A voir également:
- Infection clés UDB par game.exe
- Cles windows 8 - Guide
- Ma cle usb n'est pas reconnu par mon pc - Guide
- Clés word - Télécharger - Sécurité
- Clé Windows ou Office : récupérer une licence sur un PC - Guide
- Booter sur clé usb sans passer par le bios - Forum BIOS
14 réponses
Utilisateur anonyme
1 janv. 2009 à 15:28
1 janv. 2009 à 15:28
Salut ,
Dès que je les repasse sur l'autre machine, le phénomène réapparaît.
il faut travailler sur cette machine
branche tes clé sur celle ci et :
Télécharge HijackThis (outils de diagnostic) ici :
-> Fais un clic droit sur un des liens et choisi enregistrer la cible sous .... le bureau
-> http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
-> HijackThis
-> Fais un double-clic sur HJTInstall.exe afin de lancer l'installation
-> Clique sur Install ensuite sur I Accept
-> Clique sur Do a scan system and save log file
-> Le bloc-notes s'ouvrira, fais un copier-coller de tout son contenu ici dans ta prochaine réponse
Dès que je les repasse sur l'autre machine, le phénomène réapparaît.
il faut travailler sur cette machine
branche tes clé sur celle ci et :
Télécharge HijackThis (outils de diagnostic) ici :
-> Fais un clic droit sur un des liens et choisi enregistrer la cible sous .... le bureau
-> http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
-> HijackThis
-> Fais un double-clic sur HJTInstall.exe afin de lancer l'installation
-> Clique sur Install ensuite sur I Accept
-> Clique sur Do a scan system and save log file
-> Le bloc-notes s'ouvrira, fais un copier-coller de tout son contenu ici dans ta prochaine réponse
Utilisateur anonyme
1 janv. 2009 à 18:58
1 janv. 2009 à 18:58
re
je te confirme ; cette machine a une infection "usb"
je vais te demander un scan supplémentaire sur celle ci et voir un petit autre si tu veux bien avant de tout nettoyer
Télécharge ici :
http://images.malwareremoval.com/random/RSIT.exe
random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.
Double-clique sur RSIT.exe afin de lancer RSIT.
Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions).
Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.
Poste le contenu de log.txt
je te confirme ; cette machine a une infection "usb"
je vais te demander un scan supplémentaire sur celle ci et voir un petit autre si tu veux bien avant de tout nettoyer
Télécharge ici :
http://images.malwareremoval.com/random/RSIT.exe
random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.
Double-clique sur RSIT.exe afin de lancer RSIT.
Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions).
Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.
Poste le contenu de log.txt
Voici le log de RSIT
Merci ... et bonne année ;o)
Logfile of random's system information tool 1.05 (written by random/random)
Run by NJ at 2009-01-01 19:36:51
Microsoft Windows 2000 Professionnel Service Pack 4
System drive G: has 13 GB (61%) free of 21 GB
Total RAM: 1015 MB (70% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:36:59, on 01/01/2009
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
G:\WINNT\System32\smss.exe
G:\WINNT\system32\winlogon.exe
G:\WINNT\system32\services.exe
G:\WINNT\system32\lsass.exe
G:\WINNT\system32\svchost.exe
G:\WINNT\system32\ZoneLabs\vsmon.exe
G:\WINNT\system32\spoolsv.exe
h:\Program Files\a-squared Free\a2service.exe
G:\WINNT\system32\svchost.exe
G:\Program Files\Canon\IJPLM\IJPLMSVC.EXE
G:\WINNT\system32\regsvc.exe
G:\WINNT\system32\MSTask.exe
g:\winnt\explorer.exe
G:\WINNT\system32\stisvc.exe
G:\WINNT\System32\TSIRCSRV.EXE
G:\WINNT\System32\WBEM\WinMgmt.exe
G:\WINNT\system32\svchost.exe
H:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
G:\Program Files\Canon\MyPrinter\BJMyPrt.exe
H:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
h:\Program Files\Zone Labs\ZoneAlarm\MailFrontier\mantispm.exe
G:\WINNT\explorer.exe
G:\Documents and Settings\NJ\Bureau\RSIT.exe
G:\Program Files\Trend Micro\HijackThis\NJ.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ww17.ads.eorezo.com/cgi-bin/advert/getads.cgi?x_format=redirect&x_dp_id=9
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=g:\winnt\explorer.exe
F2 - REG:system.ini: UserInit=g:\winnt\system32\userinit.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - G:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - H:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - G:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [zzzHPSETUP] K:\Setup.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "h:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [CanonMyPrinter] G:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [SpybotSD TeaTimer] h:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] G:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - H:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - H:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.inoculer.com/antivirus/Msie/bitdefender.cab
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - h:\Program Files\a-squared Free\a2service.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - G:\WINNT\System32\dmadmin.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - G:\Program Files\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: TSI Remote Control Service (TSIRCSRV) - Laplink Software, Inc. - G:\WINNT\System32\TSIRCSRV.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - G:\WINNT\system32\ZoneLabs\vsmon.exe
Merci ... et bonne année ;o)
Logfile of random's system information tool 1.05 (written by random/random)
Run by NJ at 2009-01-01 19:36:51
Microsoft Windows 2000 Professionnel Service Pack 4
System drive G: has 13 GB (61%) free of 21 GB
Total RAM: 1015 MB (70% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:36:59, on 01/01/2009
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
G:\WINNT\System32\smss.exe
G:\WINNT\system32\winlogon.exe
G:\WINNT\system32\services.exe
G:\WINNT\system32\lsass.exe
G:\WINNT\system32\svchost.exe
G:\WINNT\system32\ZoneLabs\vsmon.exe
G:\WINNT\system32\spoolsv.exe
h:\Program Files\a-squared Free\a2service.exe
G:\WINNT\system32\svchost.exe
G:\Program Files\Canon\IJPLM\IJPLMSVC.EXE
G:\WINNT\system32\regsvc.exe
G:\WINNT\system32\MSTask.exe
g:\winnt\explorer.exe
G:\WINNT\system32\stisvc.exe
G:\WINNT\System32\TSIRCSRV.EXE
G:\WINNT\System32\WBEM\WinMgmt.exe
G:\WINNT\system32\svchost.exe
H:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
G:\Program Files\Canon\MyPrinter\BJMyPrt.exe
H:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
h:\Program Files\Zone Labs\ZoneAlarm\MailFrontier\mantispm.exe
G:\WINNT\explorer.exe
G:\Documents and Settings\NJ\Bureau\RSIT.exe
G:\Program Files\Trend Micro\HijackThis\NJ.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ww17.ads.eorezo.com/cgi-bin/advert/getads.cgi?x_format=redirect&x_dp_id=9
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=g:\winnt\explorer.exe
F2 - REG:system.ini: UserInit=g:\winnt\system32\userinit.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - G:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - H:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - G:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [zzzHPSETUP] K:\Setup.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "h:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [CanonMyPrinter] G:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [SpybotSD TeaTimer] h:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] G:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - H:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - H:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.inoculer.com/antivirus/Msie/bitdefender.cab
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - h:\Program Files\a-squared Free\a2service.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - G:\WINNT\System32\dmadmin.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - G:\Program Files\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: TSI Remote Control Service (TSIRCSRV) - Laplink Software, Inc. - G:\WINNT\System32\TSIRCSRV.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - G:\WINNT\system32\ZoneLabs\vsmon.exe
Utilisateur anonyme
1 janv. 2009 à 20:13
1 janv. 2009 à 20:13
désolé du retard .. quelques appels de "bonne année"
elecharge UsbFix sur ton bureau
--> Lance l installation avec les parametres par default
Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir
--> Double clic sur le raccourci UsbFix sur ton bureau
-->choisi l option 1 (nettoyage)
--> Le pc va redémarer
-->Apres redémarrage post le rapport UsbFix.txt
Note : le rapport UsbFix.txt est sauvegardé a la racine du disque
Note :
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
elecharge UsbFix sur ton bureau
--> Lance l installation avec les parametres par default
Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir
--> Double clic sur le raccourci UsbFix sur ton bureau
-->choisi l option 1 (nettoyage)
--> Le pc va redémarer
-->Apres redémarrage post le rapport UsbFix.txt
Note : le rapport UsbFix.txt est sauvegardé a la racine du disque
Note :
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
Au lancement d'UsbFix, apparaît une fenêtre DOS intitulée "UsbFix par Chiquitine29, peinte en rouge vif et contenant les 3 lignes suivantes :
Version non supportée !!
UsbFix ne peut continuer à s'exercer..
Appuyer sur une touche pour Quitter UsbFix.
A aucun moment, je n'ai vu : "option 1 (nettoyage) "
le rapport UsbFix.txt n'est pas sauvegardé a la racine du disque
Version non supportée !!
UsbFix ne peut continuer à s'exercer..
Appuyer sur une touche pour Quitter UsbFix.
A aucun moment, je n'ai vu : "option 1 (nettoyage) "
le rapport UsbFix.txt n'est pas sauvegardé a la racine du disque
Utilisateur anonyme
2 janv. 2009 à 13:18
2 janv. 2009 à 13:18
> Télécharge Flash_Disinfector (de sUBs) sur ton bureau : http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe
- Double clique dessus puis laisse toi guider.
- Double clique dessus puis laisse toi guider.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bonjour et merci de continuer à m'aider,
J'ai téléchargé, installé et mis en route "Flash_Disinfector". Tout s'est bien passé et terminé par un "Done OK"
Mais quand j'ai observé ma clé, l'autorun était toujours vérolé comm' d'hab..
Un détail peut-être important :
lorsque tu m'as conseillé de tester avec RSIT, je suis quasi persuadé que lors du test correspondant, j'avais oublié de connecter ma clé. Celà aurait-il une importance ?
J'ai téléchargé, installé et mis en route "Flash_Disinfector". Tout s'est bien passé et terminé par un "Done OK"
Mais quand j'ai observé ma clé, l'autorun était toujours vérolé comm' d'hab..
Un détail peut-être important :
lorsque tu m'as conseillé de tester avec RSIT, je suis quasi persuadé que lors du test correspondant, j'avais oublié de connecter ma clé. Celà aurait-il une importance ?
Utilisateur anonyme
2 janv. 2009 à 13:50
2 janv. 2009 à 13:50
re,
non c est pas grave
telecharge ce fichier sur le bureau :
http://sd-1.archive-host.com/membres/up/116615172019703188/Scan.bat
branche tes clé usb etc
double clic sur scan.bat et post le rapport list.txt qui devrait apparaitre
non c est pas grave
telecharge ce fichier sur le bureau :
http://sd-1.archive-host.com/membres/up/116615172019703188/Scan.bat
branche tes clé usb etc
double clic sur scan.bat et post le rapport list.txt qui devrait apparaitre
+- Contenu de l'autorun : C:\autorun.inf
+- Contenu de l'autorun : D:\autorun.inf
+- Contenu de l'autorun : E:\autorun.inf
+- Contenu de l'autorun : F:\autorun.inf
+- Contenu de l'autorun : G:\autorun.inf
+- Contenu de l'autorun : H:\autorun.inf
+- Contenu de l'autorun : I:\autorun.inf
+- Contenu de l'autorun : J:\autorun.inf
[autorun]
ShellExecute=game.exe
UseAutoPlay=1
--------------- [ Lecteur C ] ----------------
+- Listing des fichiers présents :
[30/03/07 19:38 ][---h-----] C:\AUTOEXEC.BAT
[31/05/94 06:22 ][---hs----] C:\COMMAND.COM
[31/05/94 06:22 ][---hs----] C:\NTDETECT.COM
[19/06/03 12:05 ][-rahs----] C:\arcldr.exe
[19/06/03 12:05 ][-rahs----] C:\arcsetup.exe
[20/04/08 13:49 ][---hs----] C:\boot.ini
[02/01/09 13:26 ][drahs----] C:\autorun.inf
[26/03/07 15:08 ][---------] C:\usblog.txt
[26/03/07 15:08 ][---------] C:\xscan.txt
[31/05/94 06:22 ][-r-hs----] C:\IO.SYS
[31/05/94 06:22 ][-r-hs----] C:\MSDOS.SYS
[31/05/94 06:22 ][-r-hs----] C:\CONFIG.SYS
--------------- [ Lecteur D ] ----------------
+- Listing des fichiers présents :
[02/01/09 13:26 ][drahs----] D:\autorun.inf
--------------- [ Lecteur E ] ----------------
+- Listing des fichiers présents :
[02/01/09 13:26 ][drahs----] E:\autorun.inf
[][] E:\pagefile.sys
--------------- [ Lecteur F ] ----------------
+- Listing des fichiers présents :
[13/04/08 11:54 ][---------] F:\rollback.ini
[02/01/09 13:26 ][drahs----] F:\autorun.inf
--------------- [ Lecteur G ] ----------------
+- Listing des fichiers présents :
[22/07/08 11:00 ][--a------] G:\rollback.ini
[02/01/09 13:26 ][drahs----] G:\autorun.inf
[02/01/09 21:37 ][--a------] G:\List.txt
[][] G:\pagefile.sys
--------------- [ Lecteur H ] ----------------
Bonsoir,
Voici le list.txt
+- Listing des fichiers présents :
[02/01/09 13:26 ][drahs----] H:\autorun.inf
--------------- [ Lecteur I ] ----------------
+- Listing des fichiers présents :
[02/01/09 13:26 ][drahs----] I:\autorun.inf
--------------- [ Lecteur J ] ----------------
+- Listing des fichiers présents :
[02/01/09 21:37 ][--a------] J:\autorun.inf
[01/01/09 19:39 ][--a------] J:\log_RSIT.txt
[01/01/09 19:39 ][--a------] J:\Nouveau-test.txt
[01/01/09 19:39 ][--a------] J:\Si_vous_trouvez_cette_clef_USB.txt
Précisions :
C: est une partition DOS 6.22
D: est ma partition "Données"
E: est une partition contenant des photos
F: est une partition Win2000 qui ne fonctionne plus
G: est la partition du Win2000 actif
H: est ma partition "Programmes"
I: est une partition de "Sauvegardes"
J: est le port USB de la clé
K/ et L: le graveur et le lecteur CD
Dans toutes mes manips je n'ai branché qu'une seule de mes 3 clés (toujours en J:)
+- Contenu de l'autorun : D:\autorun.inf
+- Contenu de l'autorun : E:\autorun.inf
+- Contenu de l'autorun : F:\autorun.inf
+- Contenu de l'autorun : G:\autorun.inf
+- Contenu de l'autorun : H:\autorun.inf
+- Contenu de l'autorun : I:\autorun.inf
+- Contenu de l'autorun : J:\autorun.inf
[autorun]
ShellExecute=game.exe
UseAutoPlay=1
--------------- [ Lecteur C ] ----------------
+- Listing des fichiers présents :
[30/03/07 19:38 ][---h-----] C:\AUTOEXEC.BAT
[31/05/94 06:22 ][---hs----] C:\COMMAND.COM
[31/05/94 06:22 ][---hs----] C:\NTDETECT.COM
[19/06/03 12:05 ][-rahs----] C:\arcldr.exe
[19/06/03 12:05 ][-rahs----] C:\arcsetup.exe
[20/04/08 13:49 ][---hs----] C:\boot.ini
[02/01/09 13:26 ][drahs----] C:\autorun.inf
[26/03/07 15:08 ][---------] C:\usblog.txt
[26/03/07 15:08 ][---------] C:\xscan.txt
[31/05/94 06:22 ][-r-hs----] C:\IO.SYS
[31/05/94 06:22 ][-r-hs----] C:\MSDOS.SYS
[31/05/94 06:22 ][-r-hs----] C:\CONFIG.SYS
--------------- [ Lecteur D ] ----------------
+- Listing des fichiers présents :
[02/01/09 13:26 ][drahs----] D:\autorun.inf
--------------- [ Lecteur E ] ----------------
+- Listing des fichiers présents :
[02/01/09 13:26 ][drahs----] E:\autorun.inf
[][] E:\pagefile.sys
--------------- [ Lecteur F ] ----------------
+- Listing des fichiers présents :
[13/04/08 11:54 ][---------] F:\rollback.ini
[02/01/09 13:26 ][drahs----] F:\autorun.inf
--------------- [ Lecteur G ] ----------------
+- Listing des fichiers présents :
[22/07/08 11:00 ][--a------] G:\rollback.ini
[02/01/09 13:26 ][drahs----] G:\autorun.inf
[02/01/09 21:37 ][--a------] G:\List.txt
[][] G:\pagefile.sys
--------------- [ Lecteur H ] ----------------
Bonsoir,
Voici le list.txt
+- Listing des fichiers présents :
[02/01/09 13:26 ][drahs----] H:\autorun.inf
--------------- [ Lecteur I ] ----------------
+- Listing des fichiers présents :
[02/01/09 13:26 ][drahs----] I:\autorun.inf
--------------- [ Lecteur J ] ----------------
+- Listing des fichiers présents :
[02/01/09 21:37 ][--a------] J:\autorun.inf
[01/01/09 19:39 ][--a------] J:\log_RSIT.txt
[01/01/09 19:39 ][--a------] J:\Nouveau-test.txt
[01/01/09 19:39 ][--a------] J:\Si_vous_trouvez_cette_clef_USB.txt
Précisions :
C: est une partition DOS 6.22
D: est ma partition "Données"
E: est une partition contenant des photos
F: est une partition Win2000 qui ne fonctionne plus
G: est la partition du Win2000 actif
H: est ma partition "Programmes"
I: est une partition de "Sauvegardes"
J: est le port USB de la clé
K/ et L: le graveur et le lecteur CD
Dans toutes mes manips je n'ai branché qu'une seule de mes 3 clés (toujours en J:)
Utilisateur anonyme
3 janv. 2009 à 07:12
3 janv. 2009 à 07:12
salut
il faudrait refaire cette oprération avec les 3 clé branché , c est possible ?
il faudrait refaire cette oprération avec les 3 clé branché , c est possible ?
Bonjour,
Test avec les 3 clés branchées. J'ai supposé que tu parlais du dernier test, celui de scan.bat.
Le résultat ci-après.
(Evidemment, j'ai retrouvé les 3 clés avec leur autorun.inf vérolé).
+- Contenu de l'autorun : C:\autorun.inf
+- Contenu de l'autorun : D:\autorun.inf
+- Contenu de l'autorun : E:\autorun.inf
+- Contenu de l'autorun : F:\autorun.inf
+- Contenu de l'autorun : G:\autorun.inf
+- Contenu de l'autorun : H:\autorun.inf
+- Contenu de l'autorun : I:\autorun.inf
+- Contenu de l'autorun : J:\autorun.inf
[autorun]
ShellExecute=game.exe
UseAutoPlay=1
+- Contenu de l'autorun : M:\autorun.inf
[autorun]
ShellExecute=game.exe
UseAutoPlay=1
+- Contenu de l'autorun : N:\autorun.inf
[autorun]
ShellExecute=game.exe
UseAutoPlay=1
--------------- [ Lecteur C ] ----------------
+- Listing des fichiers présents :
[30/03/07 19:38 ][---h-----] C:\AUTOEXEC.BAT
[31/05/94 06:22 ][---hs----] C:\COMMAND.COM
[31/05/94 06:22 ][---hs----] C:\NTDETECT.COM
[19/06/03 12:05 ][-rahs----] C:\arcldr.exe
[19/06/03 12:05 ][-rahs----] C:\arcsetup.exe
[20/04/08 13:49 ][---hs----] C:\boot.ini
[02/01/09 13:26 ][drahs----] C:\autorun.inf
[26/03/07 15:08 ][---------] C:\usblog.txt
[26/03/07 15:08 ][---------] C:\xscan.txt
[31/05/94 06:22 ][-r-hs----] C:\IO.SYS
[31/05/94 06:22 ][-r-hs----] C:\MSDOS.SYS
[31/05/94 06:22 ][-r-hs----] C:\CONFIG.SYS
--------------- [ Lecteur D ] ----------------
+- Listing des fichiers présents :
[02/01/09 13:26 ][drahs----] D:\autorun.inf
--------------- [ Lecteur E ] ----------------
+- Listing des fichiers présents :
[02/01/09 13:26 ][drahs----] E:\autorun.inf
[][] E:\pagefile.sys
--------------- [ Lecteur F ] ----------------
+- Listing des fichiers présents :
[13/04/08 11:54 ][---------] F:\rollback.ini
[02/01/09 13:26 ][drahs----] F:\autorun.inf
--------------- [ Lecteur G ] ----------------
+- Listing des fichiers présents :
[22/07/08 11:00 ][--a------] G:\rollback.ini
[02/01/09 13:26 ][drahs----] G:\autorun.inf
[03/01/09 09:07 ][--a------] G:\List.txt
[][] G:\pagefile.sys
--------------- [ Lecteur H ] ----------------
+- Listing des fichiers présents :
[02/01/09 13:26 ][drahs----] H:\autorun.inf
--------------- [ Lecteur I ] ----------------
+- Listing des fichiers présents :
[02/01/09 13:26 ][drahs----] I:\autorun.inf
--------------- [ Lecteur J ] ----------------
+- Listing des fichiers présents :
[03/01/09 09:07 ][--a------] J:\autorun.inf
[08/10/08 10:01 ][--a------] J:\Si_vous_trouvez_cette_clef_USB.txt
--------------- [ Lecteur M ] ----------------
+- Listing des fichiers présents :
[03/01/09 09:07 ][--a------] M:\autorun.inf
[08/10/08 10:01 ][--a------] M:\Si_vous_trouvez_cette_clef_USB.txt
[08/10/08 09:58 ][-rahs----] M:\MSDOS.SYS
[08/10/08 09:58 ][-rahs----] M:\IO.SYS
--------------- [ Lecteur N ] ----------------
+- Listing des fichiers présents :
[03/01/09 09:07 ][--a------] N:\autorun.inf
[01/01/09 19:39 ][--a------] N:\log_RSIT.txt
[01/01/09 19:39 ][--a------] N:\Nouveau-test.txt
[01/01/09 19:39 ][--a------] N:\List_scan_bat.txt
[01/01/09 19:39 ][--a------] N:\Si_vous_trouvez_cette_clef_USB.txt
Test avec les 3 clés branchées. J'ai supposé que tu parlais du dernier test, celui de scan.bat.
Le résultat ci-après.
(Evidemment, j'ai retrouvé les 3 clés avec leur autorun.inf vérolé).
+- Contenu de l'autorun : C:\autorun.inf
+- Contenu de l'autorun : D:\autorun.inf
+- Contenu de l'autorun : E:\autorun.inf
+- Contenu de l'autorun : F:\autorun.inf
+- Contenu de l'autorun : G:\autorun.inf
+- Contenu de l'autorun : H:\autorun.inf
+- Contenu de l'autorun : I:\autorun.inf
+- Contenu de l'autorun : J:\autorun.inf
[autorun]
ShellExecute=game.exe
UseAutoPlay=1
+- Contenu de l'autorun : M:\autorun.inf
[autorun]
ShellExecute=game.exe
UseAutoPlay=1
+- Contenu de l'autorun : N:\autorun.inf
[autorun]
ShellExecute=game.exe
UseAutoPlay=1
--------------- [ Lecteur C ] ----------------
+- Listing des fichiers présents :
[30/03/07 19:38 ][---h-----] C:\AUTOEXEC.BAT
[31/05/94 06:22 ][---hs----] C:\COMMAND.COM
[31/05/94 06:22 ][---hs----] C:\NTDETECT.COM
[19/06/03 12:05 ][-rahs----] C:\arcldr.exe
[19/06/03 12:05 ][-rahs----] C:\arcsetup.exe
[20/04/08 13:49 ][---hs----] C:\boot.ini
[02/01/09 13:26 ][drahs----] C:\autorun.inf
[26/03/07 15:08 ][---------] C:\usblog.txt
[26/03/07 15:08 ][---------] C:\xscan.txt
[31/05/94 06:22 ][-r-hs----] C:\IO.SYS
[31/05/94 06:22 ][-r-hs----] C:\MSDOS.SYS
[31/05/94 06:22 ][-r-hs----] C:\CONFIG.SYS
--------------- [ Lecteur D ] ----------------
+- Listing des fichiers présents :
[02/01/09 13:26 ][drahs----] D:\autorun.inf
--------------- [ Lecteur E ] ----------------
+- Listing des fichiers présents :
[02/01/09 13:26 ][drahs----] E:\autorun.inf
[][] E:\pagefile.sys
--------------- [ Lecteur F ] ----------------
+- Listing des fichiers présents :
[13/04/08 11:54 ][---------] F:\rollback.ini
[02/01/09 13:26 ][drahs----] F:\autorun.inf
--------------- [ Lecteur G ] ----------------
+- Listing des fichiers présents :
[22/07/08 11:00 ][--a------] G:\rollback.ini
[02/01/09 13:26 ][drahs----] G:\autorun.inf
[03/01/09 09:07 ][--a------] G:\List.txt
[][] G:\pagefile.sys
--------------- [ Lecteur H ] ----------------
+- Listing des fichiers présents :
[02/01/09 13:26 ][drahs----] H:\autorun.inf
--------------- [ Lecteur I ] ----------------
+- Listing des fichiers présents :
[02/01/09 13:26 ][drahs----] I:\autorun.inf
--------------- [ Lecteur J ] ----------------
+- Listing des fichiers présents :
[03/01/09 09:07 ][--a------] J:\autorun.inf
[08/10/08 10:01 ][--a------] J:\Si_vous_trouvez_cette_clef_USB.txt
--------------- [ Lecteur M ] ----------------
+- Listing des fichiers présents :
[03/01/09 09:07 ][--a------] M:\autorun.inf
[08/10/08 10:01 ][--a------] M:\Si_vous_trouvez_cette_clef_USB.txt
[08/10/08 09:58 ][-rahs----] M:\MSDOS.SYS
[08/10/08 09:58 ][-rahs----] M:\IO.SYS
--------------- [ Lecteur N ] ----------------
+- Listing des fichiers présents :
[03/01/09 09:07 ][--a------] N:\autorun.inf
[01/01/09 19:39 ][--a------] N:\log_RSIT.txt
[01/01/09 19:39 ][--a------] N:\Nouveau-test.txt
[01/01/09 19:39 ][--a------] N:\List_scan_bat.txt
[01/01/09 19:39 ][--a------] N:\Si_vous_trouvez_cette_clef_USB.txt
Utilisateur anonyme
3 janv. 2009 à 09:48
3 janv. 2009 à 09:48
Repasse flash désinfector avec tes 3 clé branché et ça devrait aller
Hélas non, çà ne va pas : flash désinfector avec les 3 clé branchées s'est déroulé comme annoncé et terminé par la fenêtre "Done" mais j'ai retrouvé les 3 clés avec leur autorun.inf vérolé.
Sur l'autre PC, j'ai rétabli et enregistré les autorun et éjecté correctement les clés et les ai remontées sur le PC vérolé.
Les autorun sont toujours modifiés.
C'est démoniaque, non ?
Sur l'autre PC, j'ai rétabli et enregistré les autorun et éjecté correctement les clés et les ai remontées sur le PC vérolé.
Les autorun sont toujours modifiés.
C'est démoniaque, non ?
Utilisateur anonyme
3 janv. 2009 à 10:48
3 janv. 2009 à 10:48
TU PEUX REFAIRE un scan rsit stp et poster le rapport
je dois sortir , je re dans 1 H par là
je dois sortir , je re dans 1 H par là
ADSL qui rame ou commentcamarche bloqué ? je n'arrive à passer ce message que maintenant.
Nouveau test RSIT :
Logfile of random's system information tool 1.05 (written by random/random)
Run by NJ at 2009-01-03 14:35:46
Microsoft Windows 2000 Professionnel Service Pack 4
System drive G: has 13 GB (62%) free of 21 GB
Total RAM: 1015 MB (65% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:35:58, on 03/01/2009
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
G:\WINNT\System32\smss.exe
G:\WINNT\system32\winlogon.exe
G:\WINNT\system32\services.exe
G:\WINNT\system32\lsass.exe
G:\WINNT\system32\svchost.exe
G:\WINNT\system32\ZoneLabs\vsmon.exe
G:\WINNT\system32\spoolsv.exe
h:\Program Files\a-squared Free\a2service.exe
G:\WINNT\system32\svchost.exe
G:\Program Files\Canon\IJPLM\IJPLMSVC.EXE
G:\WINNT\system32\regsvc.exe
G:\WINNT\system32\MSTask.exe
g:\winnt\explorer.exe
G:\WINNT\system32\stisvc.exe
G:\WINNT\System32\TSIRCSRV.EXE
G:\WINNT\System32\WBEM\WinMgmt.exe
G:\WINNT\system32\svchost.exe
H:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
G:\Program Files\Canon\MyPrinter\BJMyPrt.exe
H:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
h:\Program Files\Zone Labs\ZoneAlarm\MailFrontier\mantispm.exe
G:\Documents and Settings\NJ\Bureau\RSIT.exe
G:\Program Files\Trend Micro\HijackThis\NJ.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ww17.ads.eorezo.com/cgi-bin/advert/getads.cgi?x_format=redirect&x_dp_id=9
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=g:\winnt\explorer.exe
F2 - REG:system.ini: UserInit=g:\winnt\system32\userinit.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - G:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - H:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - G:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [zzzHPSETUP] K:\Setup.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "h:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [CanonMyPrinter] G:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [SpybotSD TeaTimer] h:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] G:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - H:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - H:\PROGRA~1\SPYBOT~1\SDHelper.dll
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.inoculer.com/antivirus/Msie/bitdefender.cab
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - h:\Program Files\a-squared Free\a2service.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - G:\WINNT\System32\dmadmin.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - G:\Program Files\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: TSI Remote Control Service (TSIRCSRV) - Laplink Software, Inc. - G:\WINNT\System32\TSIRCSRV.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - G:\WINNT\system32\ZoneLabs\vsmon.exe
Nouveau test RSIT :
Logfile of random's system information tool 1.05 (written by random/random)
Run by NJ at 2009-01-03 14:35:46
Microsoft Windows 2000 Professionnel Service Pack 4
System drive G: has 13 GB (62%) free of 21 GB
Total RAM: 1015 MB (65% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:35:58, on 03/01/2009
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
G:\WINNT\System32\smss.exe
G:\WINNT\system32\winlogon.exe
G:\WINNT\system32\services.exe
G:\WINNT\system32\lsass.exe
G:\WINNT\system32\svchost.exe
G:\WINNT\system32\ZoneLabs\vsmon.exe
G:\WINNT\system32\spoolsv.exe
h:\Program Files\a-squared Free\a2service.exe
G:\WINNT\system32\svchost.exe
G:\Program Files\Canon\IJPLM\IJPLMSVC.EXE
G:\WINNT\system32\regsvc.exe
G:\WINNT\system32\MSTask.exe
g:\winnt\explorer.exe
G:\WINNT\system32\stisvc.exe
G:\WINNT\System32\TSIRCSRV.EXE
G:\WINNT\System32\WBEM\WinMgmt.exe
G:\WINNT\system32\svchost.exe
H:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
G:\Program Files\Canon\MyPrinter\BJMyPrt.exe
H:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
h:\Program Files\Zone Labs\ZoneAlarm\MailFrontier\mantispm.exe
G:\Documents and Settings\NJ\Bureau\RSIT.exe
G:\Program Files\Trend Micro\HijackThis\NJ.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ww17.ads.eorezo.com/cgi-bin/advert/getads.cgi?x_format=redirect&x_dp_id=9
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=g:\winnt\explorer.exe
F2 - REG:system.ini: UserInit=g:\winnt\system32\userinit.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - G:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - H:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - G:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [zzzHPSETUP] K:\Setup.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "h:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [CanonMyPrinter] G:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [SpybotSD TeaTimer] h:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] G:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - H:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - H:\PROGRA~1\SPYBOT~1\SDHelper.dll
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.inoculer.com/antivirus/Msie/bitdefender.cab
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - h:\Program Files\a-squared Free\a2service.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - G:\WINNT\System32\dmadmin.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - G:\Program Files\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: TSI Remote Control Service (TSIRCSRV) - Laplink Software, Inc. - G:\WINNT\System32\TSIRCSRV.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - G:\WINNT\system32\ZoneLabs\vsmon.exe
Bonjour Chiquitine29, bonjour à tous,
Tous mes tests sont restés sans effet ;o(
En plus de l'infection systématique de mes clés USB dès que je les branche, cette machine a un comportement erratique : plantages sans raison apparente, refus de s'arrêter sur commande.
Je l'ai analysée hier avec kav_rescue_2008 sous linux : rien !
Je viens de découvrir des "trucs" dans la base de registres :
HKEY_CURRENT_USER
Software
Microsoft
Internet Explorer
Explorer Bars
{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}
FilesNamedMRU
Dans le panneau de droite de RegEdit, on trouve sous les noms 001, 008, 010, les données sxs.exe, autorun.inf et game.exe !!!!
Qu'est que je risque si je supprime tout le contenu de Explorer Bars ? Quelqu'un sait-il ?
Merci de m'avoir lu.
Jean
Tous mes tests sont restés sans effet ;o(
En plus de l'infection systématique de mes clés USB dès que je les branche, cette machine a un comportement erratique : plantages sans raison apparente, refus de s'arrêter sur commande.
Je l'ai analysée hier avec kav_rescue_2008 sous linux : rien !
Je viens de découvrir des "trucs" dans la base de registres :
HKEY_CURRENT_USER
Software
Microsoft
Internet Explorer
Explorer Bars
{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}
FilesNamedMRU
Dans le panneau de droite de RegEdit, on trouve sous les noms 001, 008, 010, les données sxs.exe, autorun.inf et game.exe !!!!
Qu'est que je risque si je supprime tout le contenu de Explorer Bars ? Quelqu'un sait-il ?
Merci de m'avoir lu.
Jean
Utilisateur anonyme
6 janv. 2009 à 14:24
6 janv. 2009 à 14:24
élécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
-> Double clique sur combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
Avant d'utiliser ComboFix :
-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.
-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.
Une fois fait, sur ton bureau double-clic sur Combofix.exe.
- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.
- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)
-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
-> Double clique sur combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
Avant d'utiliser ComboFix :
-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.
-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.
Une fois fait, sur ton bureau double-clic sur Combofix.exe.
- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.
- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)
-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
Bonjour et merci beaucoup pour tes nouvelles consignes.
A l'exécution de ComboFix, il s'est passé quelque chose de bizarre : après quelques minutes et l'annonce de la suppression de quelques fichiers dont nvault32.dll, tout s'est figé. J'ai attendu 5 bonnes minutes et, sachant que d'une part depuis quelques temps la machine refusait de s'arrêter et que d'autre part tu m'as indiqué que ComboFix avait besoin de redémarrer le système, je l'ai arrêté "en sauvage". Au redémarrage, le ComboFix.txt ne contenait que 4 lignes !
J'ai donc relancé ComboFix.
Cette fois, il s'est déroulé de façon plus logique, dans la fenêtre DOS sont apparues une trentaine de lignes puis des messages de fin de travail et de confection d'un log.
J'ai eu la preuve que ComboFix avait su arrêter puis redémarrer Win puisque j'ai retrouvé Zone Alarm et Spybot dans la zone de notification. D'ailleurs Spybot m'a proposé d'accepter 4 ou 5 demandes de modif de registre, ce que j'ai fait.
Avant de coller le contenu du log, je te signale deux choses :
- il y a une semaine que le micro refusait de s'arrêter. J'ai tenté la manip : tout est redevenu normal de ce côté là,
- lors du test de ComboFix, je n'avais pas branché de clé USB. Faut-il de je remette çà avec mes 3 clés branchées ?
ComboFix 09-01-05.05 - NJ 2009-01-06 15:36:49.2 - NTFSx86
Microsoft Windows 2000 Professionnel 5.0.2195.4.1252.1.1036.18.1015.778 [GMT 1:00]
Lancé depuis: g:\documents and settings\NJ\Bureau\ComboFix.exe
[COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR]
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
g:\winnt\system32\nvaux32.dll
.
---- Previous Run -------
.
g:\program files\Internet Explorer\fxavx.ini
g:\winnt\system32\drivers\atmapi.sys
g:\winnt\Web\default.htt
g:\winnt\winhelp.ini
.
((((((((((((((((((((((((((((( Fichiers créés du 2008-12-06 au 2009-01-06 ))))))))))))))))))))))))))))))))))))
.
2009-01-06 15:36 . 09-01-06 15:36 16,384 --a----t- g:\winnt\system32\Perflib_Perfdata_39c.dat
2009-01-05 13:59 . 09-01-05 13:59 <DIR> d-------- g:\winnt\BDOSCAN8
2009-01-02 00:58 . 09-01-02 00:58 <DIR> d-------- g:\program files\UsbFix
2009-01-01 19:29 . 09-01-01 19:30 <DIR> d-------- G:\rsit
2009-01-01 18:47 . 09-01-01 18:47 <DIR> d-------- g:\program files\Trend Micro
2008-12-31 19:15 . 08-12-27 18:24 381,712 --a------ g:\winnt\system32\aegrsgz
2008-12-31 18:49 . 08-04-23 09:34 1,093,249 --a------ g:\winnt\_detmp.1
2008-12-31 18:32 . 08-12-31 13:37 21,650,029 --a------ g:\winnt\LPT$VPN.739
2008-12-31 18:31 . 08-12-31 18:31 <DIR> d-------- g:\winnt\AU_Temp
2008-12-31 13:37 . 08-12-31 13:37 21,650,029 --a------ g:\winnt\VPTNFILE.739
2008-12-30 18:27 . 08-12-31 13:38 <DIR> d-------- g:\winnt\report
2008-12-30 13:34 . 08-12-27 18:24 381,712 --a------ g:\winnt\system32\uvbnbi
2008-12-27 20:29 . 08-12-27 20:34 <DIR> d-------- g:\program files\PhotoFiltre
2008-12-27 19:27 . 08-12-27 19:27 <DIR> d-------- g:\documents and settings\NJ\Application Data\Media Player Classic
2008-12-27 18:25 . 03-06-19 13:05 17,680 --a------ g:\winnt\system32\{64f56fc1-1272-44cd-ba6e-39723696e350}
2008-12-27 18:24 . 08-12-31 19:31 65,024 --a------ g:\winnt\system32\2rg3.es
2008-12-27 18:24 . 08-12-31 19:31 64,512 --a------ g:\winnt\system32\ef3p.ee
2008-12-27 18:24 . 08-12-31 19:31 32,768 --a------ g:\winnt\system32\zred.pa
2008-12-27 18:24 . 08-12-31 19:31 32,768 --a------ g:\winnt\system32\fks.as
2008-12-27 18:24 . 08-12-31 19:31 24,576 --a------ g:\winnt\system32\4rr.pa
2008-12-27 18:24 . 08-12-31 19:31 21,504 --a------ g:\winnt\system32\gr1.e
2008-12-26 16:54 . 08-12-26 16:54 <DIR> d-------- g:\winnt\winsxs
2008-12-25 22:51 . 09-01-05 14:44 1,195,950 ---h----- g:\winnt\ShellIconCache
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-06 14:39 4,264,992 --sha-w g:\winnt\system32\drivers\fidbox.dat
2009-01-06 14:39 253,472 --sha-w g:\winnt\system32\drivers\fidbox2.dat
2009-01-06 14:29 58,640 --sha-w g:\winnt\system32\drivers\fidbox.idx
2009-01-06 14:29 24,620 --sha-w g:\winnt\system32\drivers\fidbox2.idx
2009-01-05 19:55 --------- d-----w g:\documents and settings\All Users\Application Data\CanonIJPLM
2008-12-31 17:31 91,744 ----a-w g:\winnt\BPMNT.dll
2008-12-31 17:31 1,213,784 ----a-w g:\winnt\vsapi32.dll
2008-12-30 17:27 71,749 ----a-w g:\winnt\hcextoutput.dll
2008-12-30 17:27 345,157 ----a-w g:\winnt\TSC.exe
2008-12-30 15:15 2,429,991 ----a-w g:\winnt\Internet Logs\tvDebug.zip
2008-12-27 17:24 381,712 ----a-w g:\winnt\system32\user32.DLL
2008-12-26 15:54 --------- d-----w g:\program files\Fichiers communs\Adobe
2008-12-18 09:46 --------- d-----w g:\program files\Fichiers communs\LapLink AntiVirus
2008-12-13 11:57 --------- d-----w g:\documents and settings\All Users\Application Data\BSD
2008-10-23 05:27 237,840 ----a-w g:\winnt\system32\GDI32.DLL
2008-10-16 13:13 202,776 ----a-w g:\winnt\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w g:\winnt\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w g:\winnt\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w g:\winnt\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w g:\winnt\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w g:\winnt\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w g:\winnt\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w g:\winnt\system32\wups.dll
2008-10-16 09:50 581,120 ----a-w g:\winnt\system32\WININET.DLL
2008-04-20 11:51 271 ---h--w g:\program files\desktop.ini
2008-04-20 11:51 22,115 ---h--w g:\program files\folder.htt
1999-12-16 10:00 32,528 ----a-w g:\winnt\inf\wbfirdma.sys
.
[color=red] g:\winnt\system32\user32.dll ... est infecté !! [/color]
420,112 2005-06-03 10:30:50 g:\winnt\$NtUninstallKB925902$\user32.dll
420,112 2005-06-03 10:30:50 g:\winnt\$NtUninstallKB925902$\user32.dll.000
403,728 2003-06-19 12:05:04 g:\winnt\$NtUpdateRollupPackUninstall$\user32.dll
381,712 2008-12-27 17:24:13 g:\winnt\system32\user32.DLL
381,712 2008-12-27 17:24:13 g:\winnt\system32\dllcache\USER32.DLL
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="h:\program files\Spybot - Search & Destroy\TeaTimer.exe" [08-01-28 11:43 2097488]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ZoneAlarm Client"="h:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [07-12-13 19:27 919016]
"CanonMyPrinter"="g:\program files\Canon\MyPrinter\BJMyPrt.exe" [07-09-14 02:50 1603152]
"Synchronization Manager"="mobsync.exe" [03-06-19 13:05 111888 g:\winnt\system32\mobsync.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [99-12-16 11:00 20752 g:\winnt\system32\internat.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="g:\program files\Internet Explorer\Connection Wizard\icwconn1.exe" [03-06-19 13:05 189712]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"= mmdrv.dll
R1 tsircmir;LapLink Mirror Driver Miniport;g:\winnt\system32\drivers\tsircmir.sys [2008-05-02 2816]
R3 TSIKBF5;Traveling Software Keyboard Filter Driver;g:\winnt\system32\drivers\TSIKBF5.sys [2008-05-02 9728]
R3 TSIMSF5;Traveling Software Mouse Filter Driver;g:\winnt\system32\drivers\TSIMSF5.sys [2008-05-02 5632]
R3 usbhub20;Prise en charge du concentrateur racine USB 2.0;g:\winnt\system32\drivers\usbhub20.sys [2008-04-20 49776]
R4 TSISER;TSISER;g:\winnt\system32\drivers\tsiser.sys [2008-05-02 43040]
R4 TSISTRMX;Traveling Software Stream Driver;g:\winnt\system32\drivers\TSISTRMX.SYS [2008-05-02 5120]
S1 TSIRCINK;Traveling Software Install Driver;g:\winnt\system32\drivers\TSIRCINK.SYS [2008-05-02 9216]
S3 LLUSBFLT;LLUSBFLT;g:\winnt\system32\drivers\llusbflt.sys [2008-04-14 4736]
S3 OKAMAI;OKAMAI Service;g:\winnt\system32\CMD.EXE [2005-06-03 249616]
S3 PLUsbbc2;Laplink USB Cable Driver;g:\winnt\system32\drivers\usbbc2.sys [2008-04-14 8960]
.
Contenu du dossier 'Tâches planifiées'
2008-12-26 g:\winnt\Tasks\Maintenance en 1 clic.job
- h:\program files\TuneUp Utilities 2007\SystemOptimizer.exe [07-01-17 14:47 ]
.
- - - - ORPHELINS SUPPRIMES - - - -
HKLM-Run-zzzHPSETUP - K:\Setup.exe
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
mStart Page = hxxp://ads.eorezo.com/cgi-bin/advert/getads.cgi?x_format=redirect&x_dp_id=9
LSP: %SystemRoot%\system32\msafd.dll
Trusted Zone: www.secuser.com
g:\winnt\bdoscandellang.ini - g:\winnt\bdoscandel.exe
g:\winnt\Downloaded Program Files\live.ini
g:\winnt\Downloaded Program Files\scanoptions.tsi
g:\winnt\Downloaded Program Files\lang.ini
g:\winnt\Downloaded Program Files\ipsupd.dll
g:\winnt\Downloaded Program Files\bdupd.dll
g:\winnt\Downloaded Program Files\libfn.dll
g:\winnt\Downloaded Program Files\bdcore.dll
g:\winnt\Downloaded Program Files\oscan8.ocx
O16 -: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499}
hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
g:\winnt\Downloaded Program Files\oscan8.inf
FF - ProfilePath - g:\documents and settings\NJ\Application Data\Mozilla\Firefox\Profiles\becbiz97.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - plugin: h:\program files\Adobe\Acrobat 6.0\Reader\browser\nppdf32.dll
FF - plugin: h:\program files\Adobe\Reader 9.0\Reader\browser\nppdf32.dll
[color=red]ATTENTION: FIREFOX POLICES IS IN FORCE [/color]
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 200000
FF - user.js: content.notify.interval - 100000
FF - user.js: content.switch.threshold - 650000
FF - user.js: nglayout.initialpaint.delay - 300
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-06 15:39:27
Windows 5.0.2195 Service Pack 4 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
g:\winnt\system32\Perflib_Perfdata_478.dat
Scan terminé avec succès
Fichiers cachés: 1
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(204)
g:\winnt\system32\wzcdlg.dll
g:\winnt\system32\WZCSAPI.DLL
.
Heure de fin: 2009-01-06 15:41:45
ComboFix-quarantined-files.txt 2009-01-06 14:41:05
Avant-CF: 13,348,749,312 octets libres
Après-CF: 17,923,764,224 octets libres
163 --- E O F --- 2008-12-18 09:34:59
A l'exécution de ComboFix, il s'est passé quelque chose de bizarre : après quelques minutes et l'annonce de la suppression de quelques fichiers dont nvault32.dll, tout s'est figé. J'ai attendu 5 bonnes minutes et, sachant que d'une part depuis quelques temps la machine refusait de s'arrêter et que d'autre part tu m'as indiqué que ComboFix avait besoin de redémarrer le système, je l'ai arrêté "en sauvage". Au redémarrage, le ComboFix.txt ne contenait que 4 lignes !
J'ai donc relancé ComboFix.
Cette fois, il s'est déroulé de façon plus logique, dans la fenêtre DOS sont apparues une trentaine de lignes puis des messages de fin de travail et de confection d'un log.
J'ai eu la preuve que ComboFix avait su arrêter puis redémarrer Win puisque j'ai retrouvé Zone Alarm et Spybot dans la zone de notification. D'ailleurs Spybot m'a proposé d'accepter 4 ou 5 demandes de modif de registre, ce que j'ai fait.
Avant de coller le contenu du log, je te signale deux choses :
- il y a une semaine que le micro refusait de s'arrêter. J'ai tenté la manip : tout est redevenu normal de ce côté là,
- lors du test de ComboFix, je n'avais pas branché de clé USB. Faut-il de je remette çà avec mes 3 clés branchées ?
ComboFix 09-01-05.05 - NJ 2009-01-06 15:36:49.2 - NTFSx86
Microsoft Windows 2000 Professionnel 5.0.2195.4.1252.1.1036.18.1015.778 [GMT 1:00]
Lancé depuis: g:\documents and settings\NJ\Bureau\ComboFix.exe
[COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR]
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
g:\winnt\system32\nvaux32.dll
.
---- Previous Run -------
.
g:\program files\Internet Explorer\fxavx.ini
g:\winnt\system32\drivers\atmapi.sys
g:\winnt\Web\default.htt
g:\winnt\winhelp.ini
.
((((((((((((((((((((((((((((( Fichiers créés du 2008-12-06 au 2009-01-06 ))))))))))))))))))))))))))))))))))))
.
2009-01-06 15:36 . 09-01-06 15:36 16,384 --a----t- g:\winnt\system32\Perflib_Perfdata_39c.dat
2009-01-05 13:59 . 09-01-05 13:59 <DIR> d-------- g:\winnt\BDOSCAN8
2009-01-02 00:58 . 09-01-02 00:58 <DIR> d-------- g:\program files\UsbFix
2009-01-01 19:29 . 09-01-01 19:30 <DIR> d-------- G:\rsit
2009-01-01 18:47 . 09-01-01 18:47 <DIR> d-------- g:\program files\Trend Micro
2008-12-31 19:15 . 08-12-27 18:24 381,712 --a------ g:\winnt\system32\aegrsgz
2008-12-31 18:49 . 08-04-23 09:34 1,093,249 --a------ g:\winnt\_detmp.1
2008-12-31 18:32 . 08-12-31 13:37 21,650,029 --a------ g:\winnt\LPT$VPN.739
2008-12-31 18:31 . 08-12-31 18:31 <DIR> d-------- g:\winnt\AU_Temp
2008-12-31 13:37 . 08-12-31 13:37 21,650,029 --a------ g:\winnt\VPTNFILE.739
2008-12-30 18:27 . 08-12-31 13:38 <DIR> d-------- g:\winnt\report
2008-12-30 13:34 . 08-12-27 18:24 381,712 --a------ g:\winnt\system32\uvbnbi
2008-12-27 20:29 . 08-12-27 20:34 <DIR> d-------- g:\program files\PhotoFiltre
2008-12-27 19:27 . 08-12-27 19:27 <DIR> d-------- g:\documents and settings\NJ\Application Data\Media Player Classic
2008-12-27 18:25 . 03-06-19 13:05 17,680 --a------ g:\winnt\system32\{64f56fc1-1272-44cd-ba6e-39723696e350}
2008-12-27 18:24 . 08-12-31 19:31 65,024 --a------ g:\winnt\system32\2rg3.es
2008-12-27 18:24 . 08-12-31 19:31 64,512 --a------ g:\winnt\system32\ef3p.ee
2008-12-27 18:24 . 08-12-31 19:31 32,768 --a------ g:\winnt\system32\zred.pa
2008-12-27 18:24 . 08-12-31 19:31 32,768 --a------ g:\winnt\system32\fks.as
2008-12-27 18:24 . 08-12-31 19:31 24,576 --a------ g:\winnt\system32\4rr.pa
2008-12-27 18:24 . 08-12-31 19:31 21,504 --a------ g:\winnt\system32\gr1.e
2008-12-26 16:54 . 08-12-26 16:54 <DIR> d-------- g:\winnt\winsxs
2008-12-25 22:51 . 09-01-05 14:44 1,195,950 ---h----- g:\winnt\ShellIconCache
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-06 14:39 4,264,992 --sha-w g:\winnt\system32\drivers\fidbox.dat
2009-01-06 14:39 253,472 --sha-w g:\winnt\system32\drivers\fidbox2.dat
2009-01-06 14:29 58,640 --sha-w g:\winnt\system32\drivers\fidbox.idx
2009-01-06 14:29 24,620 --sha-w g:\winnt\system32\drivers\fidbox2.idx
2009-01-05 19:55 --------- d-----w g:\documents and settings\All Users\Application Data\CanonIJPLM
2008-12-31 17:31 91,744 ----a-w g:\winnt\BPMNT.dll
2008-12-31 17:31 1,213,784 ----a-w g:\winnt\vsapi32.dll
2008-12-30 17:27 71,749 ----a-w g:\winnt\hcextoutput.dll
2008-12-30 17:27 345,157 ----a-w g:\winnt\TSC.exe
2008-12-30 15:15 2,429,991 ----a-w g:\winnt\Internet Logs\tvDebug.zip
2008-12-27 17:24 381,712 ----a-w g:\winnt\system32\user32.DLL
2008-12-26 15:54 --------- d-----w g:\program files\Fichiers communs\Adobe
2008-12-18 09:46 --------- d-----w g:\program files\Fichiers communs\LapLink AntiVirus
2008-12-13 11:57 --------- d-----w g:\documents and settings\All Users\Application Data\BSD
2008-10-23 05:27 237,840 ----a-w g:\winnt\system32\GDI32.DLL
2008-10-16 13:13 202,776 ----a-w g:\winnt\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w g:\winnt\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w g:\winnt\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w g:\winnt\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w g:\winnt\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w g:\winnt\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w g:\winnt\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w g:\winnt\system32\wups.dll
2008-10-16 09:50 581,120 ----a-w g:\winnt\system32\WININET.DLL
2008-04-20 11:51 271 ---h--w g:\program files\desktop.ini
2008-04-20 11:51 22,115 ---h--w g:\program files\folder.htt
1999-12-16 10:00 32,528 ----a-w g:\winnt\inf\wbfirdma.sys
.
[color=red] g:\winnt\system32\user32.dll ... est infecté !! [/color]
420,112 2005-06-03 10:30:50 g:\winnt\$NtUninstallKB925902$\user32.dll
420,112 2005-06-03 10:30:50 g:\winnt\$NtUninstallKB925902$\user32.dll.000
403,728 2003-06-19 12:05:04 g:\winnt\$NtUpdateRollupPackUninstall$\user32.dll
381,712 2008-12-27 17:24:13 g:\winnt\system32\user32.DLL
381,712 2008-12-27 17:24:13 g:\winnt\system32\dllcache\USER32.DLL
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="h:\program files\Spybot - Search & Destroy\TeaTimer.exe" [08-01-28 11:43 2097488]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ZoneAlarm Client"="h:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [07-12-13 19:27 919016]
"CanonMyPrinter"="g:\program files\Canon\MyPrinter\BJMyPrt.exe" [07-09-14 02:50 1603152]
"Synchronization Manager"="mobsync.exe" [03-06-19 13:05 111888 g:\winnt\system32\mobsync.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [99-12-16 11:00 20752 g:\winnt\system32\internat.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="g:\program files\Internet Explorer\Connection Wizard\icwconn1.exe" [03-06-19 13:05 189712]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"= mmdrv.dll
R1 tsircmir;LapLink Mirror Driver Miniport;g:\winnt\system32\drivers\tsircmir.sys [2008-05-02 2816]
R3 TSIKBF5;Traveling Software Keyboard Filter Driver;g:\winnt\system32\drivers\TSIKBF5.sys [2008-05-02 9728]
R3 TSIMSF5;Traveling Software Mouse Filter Driver;g:\winnt\system32\drivers\TSIMSF5.sys [2008-05-02 5632]
R3 usbhub20;Prise en charge du concentrateur racine USB 2.0;g:\winnt\system32\drivers\usbhub20.sys [2008-04-20 49776]
R4 TSISER;TSISER;g:\winnt\system32\drivers\tsiser.sys [2008-05-02 43040]
R4 TSISTRMX;Traveling Software Stream Driver;g:\winnt\system32\drivers\TSISTRMX.SYS [2008-05-02 5120]
S1 TSIRCINK;Traveling Software Install Driver;g:\winnt\system32\drivers\TSIRCINK.SYS [2008-05-02 9216]
S3 LLUSBFLT;LLUSBFLT;g:\winnt\system32\drivers\llusbflt.sys [2008-04-14 4736]
S3 OKAMAI;OKAMAI Service;g:\winnt\system32\CMD.EXE [2005-06-03 249616]
S3 PLUsbbc2;Laplink USB Cable Driver;g:\winnt\system32\drivers\usbbc2.sys [2008-04-14 8960]
.
Contenu du dossier 'Tâches planifiées'
2008-12-26 g:\winnt\Tasks\Maintenance en 1 clic.job
- h:\program files\TuneUp Utilities 2007\SystemOptimizer.exe [07-01-17 14:47 ]
.
- - - - ORPHELINS SUPPRIMES - - - -
HKLM-Run-zzzHPSETUP - K:\Setup.exe
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
mStart Page = hxxp://ads.eorezo.com/cgi-bin/advert/getads.cgi?x_format=redirect&x_dp_id=9
LSP: %SystemRoot%\system32\msafd.dll
Trusted Zone: www.secuser.com
g:\winnt\bdoscandellang.ini - g:\winnt\bdoscandel.exe
g:\winnt\Downloaded Program Files\live.ini
g:\winnt\Downloaded Program Files\scanoptions.tsi
g:\winnt\Downloaded Program Files\lang.ini
g:\winnt\Downloaded Program Files\ipsupd.dll
g:\winnt\Downloaded Program Files\bdupd.dll
g:\winnt\Downloaded Program Files\libfn.dll
g:\winnt\Downloaded Program Files\bdcore.dll
g:\winnt\Downloaded Program Files\oscan8.ocx
O16 -: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499}
hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
g:\winnt\Downloaded Program Files\oscan8.inf
FF - ProfilePath - g:\documents and settings\NJ\Application Data\Mozilla\Firefox\Profiles\becbiz97.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - plugin: h:\program files\Adobe\Acrobat 6.0\Reader\browser\nppdf32.dll
FF - plugin: h:\program files\Adobe\Reader 9.0\Reader\browser\nppdf32.dll
[color=red]ATTENTION: FIREFOX POLICES IS IN FORCE [/color]
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 200000
FF - user.js: content.notify.interval - 100000
FF - user.js: content.switch.threshold - 650000
FF - user.js: nglayout.initialpaint.delay - 300
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-06 15:39:27
Windows 5.0.2195 Service Pack 4 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
g:\winnt\system32\Perflib_Perfdata_478.dat
Scan terminé avec succès
Fichiers cachés: 1
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(204)
g:\winnt\system32\wzcdlg.dll
g:\winnt\system32\WZCSAPI.DLL
.
Heure de fin: 2009-01-06 15:41:45
ComboFix-quarantined-files.txt 2009-01-06 14:41:05
Avant-CF: 13,348,749,312 octets libres
Après-CF: 17,923,764,224 octets libres
163 --- E O F --- 2008-12-18 09:34:59
Utilisateur anonyme
6 janv. 2009 à 16:11
6 janv. 2009 à 16:11
Imprime ces instructions car tu n'y auras pas accès durant le passage en mode sans échec.
Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install.
L'outil sera extrait à la racine du lecteur système (généralement le C:\)..
Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
Il est possible que l'outil demande un redémarrage en mode Sans Échec en début de routine, si une infection particulière est détectée; valide et tapote la touche F8 au redémarrage pour accéder aux options de démarrage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du scrïpt et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !
__________________
Si SDfix ne se lance pas (ça arrive!)
* Démarrer->Exécuter
* Copie/colle ceci dans la fenêtre :
%systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe
* Clique sur ok, et valide.
* Redémarre et essaye de nouveau de lancer SDfix.
Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install.
L'outil sera extrait à la racine du lecteur système (généralement le C:\)..
Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
Il est possible que l'outil demande un redémarrage en mode Sans Échec en début de routine, si une infection particulière est détectée; valide et tapote la touche F8 au redémarrage pour accéder aux options de démarrage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du scrïpt et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !
__________________
Si SDfix ne se lance pas (ça arrive!)
* Démarrer->Exécuter
* Copie/colle ceci dans la fenêtre :
%systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe
* Clique sur ok, et valide.
* Redémarre et essaye de nouveau de lancer SDfix.
Bonsoir,
Le rapport de SDFix :
[b]SDFix: Version 1.240 [/b]
Run by NJ on mar. 06/01/2009 at 17:24
Microsoft Windows 2000 [Version 5.00.2195]
Running From: G:\SDFix
[b]Checking Services [/b]:
[b]Infected user32.dll Found![/b]
user32.dll File Locations:
"G:\WINNT\$NtUninstallKB925902$\user32.dll" 420112 03/06/05 11:30
"G:\WINNT\$NtUpdateRollupPackUninstall$\user32.dll" 403728 19/06/03 13:05
"G:\WINNT\system32\user32.DLL" 381712 27/12/08 18:24
"G:\WINNT\system32\dllcache\USER32.DLL" 381712 27/12/08 18:24
[G:\WINNT\$NtUninstallKB925902$\user32.dll] B95C420794BBC9E61321DAADF95CAD55
[G:\WINNT\$NtUpdateRollupPackUninstall$\user32.dll] DDF50F96013D03882A4C76D3C0F5B2CE
[G:\WINNT\system32\user32.DLL] 8FB584FBD6863AC9DA489162EDD9F8E0
[G:\WINNT\system32\dllcache\USER32.DLL] 8FB584FBD6863AC9DA489162EDD9F8E0
Note: SDFix does not repair this file!
Restoring Default Security Values
Restoring Default Hosts File
Rebooting
[b]Checking Files [/b]:
No Trojan Files Found
Removing Temp Files
[b]ADS Check [/b]:
[b]Final Check [/b]:
catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-06 17:50:31
Windows 5.0.2195 Service Pack 4 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
scanning hidden registry entries ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
[b]Remaining Services [/b]:
[b]Remaining Files [/b]:
[b]Files with Hidden Attributes [/b]:
Sat 3 Jan 2009 19,968 ...H. --- "G:\Documents and Settings\NJ\Application Data\Microsoft\Word\~WRL1130.tmp"
Sat 3 Jan 2009 19,968 ...H. --- "G:\Documents and Settings\NJ\Application Data\Microsoft\Word\~WRL1660.tmp"
Sat 3 Jan 2009 20,480 ...H. --- "G:\Documents and Settings\NJ\Application Data\Microsoft\Word\~WRL2928.tmp"
[b]Finished![/b]
Le log de HijackThis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:08:32, on 06/01/2009
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
G:\WINNT\System32\smss.exe
G:\WINNT\system32\winlogon.exe
G:\WINNT\system32\services.exe
G:\WINNT\system32\lsass.exe
G:\WINNT\system32\svchost.exe
G:\WINNT\system32\ZoneLabs\vsmon.exe
G:\WINNT\system32\spoolsv.exe
h:\Program Files\a-squared Free\a2service.exe
G:\WINNT\system32\svchost.exe
G:\Program Files\Canon\IJPLM\IJPLMSVC.EXE
G:\WINNT\system32\regsvc.exe
G:\WINNT\system32\stisvc.exe
G:\WINNT\System32\TSIRCSRV.EXE
G:\WINNT\Explorer.EXE
G:\WINNT\System32\WBEM\WinMgmt.exe
G:\WINNT\system32\svchost.exe
H:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
G:\Program Files\Canon\MyPrinter\BJMyPrt.exe
H:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
h:\Program Files\Zone Labs\ZoneAlarm\MailFrontier\mantispm.exe
G:\WINNT\explorer.exe
G:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ww17.ads.eorezo.com/cgi-bin/advert/getads.cgi?x_format=redirect&x_dp_id=9
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - G:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - H:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - G:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [ZoneAlarm Client] "h:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [CanonMyPrinter] G:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [SpybotSD TeaTimer] h:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] G:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - G:\WINNT\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - G:\WINNT\system32\shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - H:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - H:\PROGRA~1\SPYBOT~1\SDHelper.dll
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.inoculer.com/antivirus/Msie/bitdefender.cab
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - h:\Program Files\a-squared Free\a2service.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - G:\WINNT\System32\dmadmin.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - G:\Program Files\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: TSI Remote Control Service (TSIRCSRV) - Laplink Software, Inc. - G:\WINNT\System32\TSIRCSRV.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - G:\WINNT\system32\ZoneLabs\vsmon.exe
Le rapport de SDFix :
[b]SDFix: Version 1.240 [/b]
Run by NJ on mar. 06/01/2009 at 17:24
Microsoft Windows 2000 [Version 5.00.2195]
Running From: G:\SDFix
[b]Checking Services [/b]:
[b]Infected user32.dll Found![/b]
user32.dll File Locations:
"G:\WINNT\$NtUninstallKB925902$\user32.dll" 420112 03/06/05 11:30
"G:\WINNT\$NtUpdateRollupPackUninstall$\user32.dll" 403728 19/06/03 13:05
"G:\WINNT\system32\user32.DLL" 381712 27/12/08 18:24
"G:\WINNT\system32\dllcache\USER32.DLL" 381712 27/12/08 18:24
[G:\WINNT\$NtUninstallKB925902$\user32.dll] B95C420794BBC9E61321DAADF95CAD55
[G:\WINNT\$NtUpdateRollupPackUninstall$\user32.dll] DDF50F96013D03882A4C76D3C0F5B2CE
[G:\WINNT\system32\user32.DLL] 8FB584FBD6863AC9DA489162EDD9F8E0
[G:\WINNT\system32\dllcache\USER32.DLL] 8FB584FBD6863AC9DA489162EDD9F8E0
Note: SDFix does not repair this file!
Restoring Default Security Values
Restoring Default Hosts File
Rebooting
[b]Checking Files [/b]:
No Trojan Files Found
Removing Temp Files
[b]ADS Check [/b]:
[b]Final Check [/b]:
catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-06 17:50:31
Windows 5.0.2195 Service Pack 4 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
scanning hidden registry entries ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
[b]Remaining Services [/b]:
[b]Remaining Files [/b]:
[b]Files with Hidden Attributes [/b]:
Sat 3 Jan 2009 19,968 ...H. --- "G:\Documents and Settings\NJ\Application Data\Microsoft\Word\~WRL1130.tmp"
Sat 3 Jan 2009 19,968 ...H. --- "G:\Documents and Settings\NJ\Application Data\Microsoft\Word\~WRL1660.tmp"
Sat 3 Jan 2009 20,480 ...H. --- "G:\Documents and Settings\NJ\Application Data\Microsoft\Word\~WRL2928.tmp"
[b]Finished![/b]
Le log de HijackThis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:08:32, on 06/01/2009
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
G:\WINNT\System32\smss.exe
G:\WINNT\system32\winlogon.exe
G:\WINNT\system32\services.exe
G:\WINNT\system32\lsass.exe
G:\WINNT\system32\svchost.exe
G:\WINNT\system32\ZoneLabs\vsmon.exe
G:\WINNT\system32\spoolsv.exe
h:\Program Files\a-squared Free\a2service.exe
G:\WINNT\system32\svchost.exe
G:\Program Files\Canon\IJPLM\IJPLMSVC.EXE
G:\WINNT\system32\regsvc.exe
G:\WINNT\system32\stisvc.exe
G:\WINNT\System32\TSIRCSRV.EXE
G:\WINNT\Explorer.EXE
G:\WINNT\System32\WBEM\WinMgmt.exe
G:\WINNT\system32\svchost.exe
H:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
G:\Program Files\Canon\MyPrinter\BJMyPrt.exe
H:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
h:\Program Files\Zone Labs\ZoneAlarm\MailFrontier\mantispm.exe
G:\WINNT\explorer.exe
G:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ww17.ads.eorezo.com/cgi-bin/advert/getads.cgi?x_format=redirect&x_dp_id=9
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - G:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - H:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - G:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [ZoneAlarm Client] "h:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [CanonMyPrinter] G:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [SpybotSD TeaTimer] h:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] G:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - G:\WINNT\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - G:\WINNT\system32\shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - H:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - H:\PROGRA~1\SPYBOT~1\SDHelper.dll
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.inoculer.com/antivirus/Msie/bitdefender.cab
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - h:\Program Files\a-squared Free\a2service.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - G:\WINNT\System32\dmadmin.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - G:\Program Files\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: TSI Remote Control Service (TSIRCSRV) - Laplink Software, Inc. - G:\WINNT\System32\TSIRCSRV.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - G:\WINNT\system32\ZoneLabs\vsmon.exe
Utilisateur anonyme
6 janv. 2009 à 18:52
6 janv. 2009 à 18:52
bon c est un peut la merde sans rien te cacher
instal antivir et lance le sacn apres mis a jours et post son rapport stp :
->Antivir le telecharger
-> http://www.commentcamarche.net/telecharger/telecharger 55 antivir
tuto : https://www.malekal.com/avira-free-security-antivirus-gratuit/
tuto : http://www.swl1f.net/viewtopic.php?f=14&t=59
instal antivir et lance le sacn apres mis a jours et post son rapport stp :
->Antivir le telecharger
-> http://www.commentcamarche.net/telecharger/telecharger 55 antivir
tuto : https://www.malekal.com/avira-free-security-antivirus-gratuit/
tuto : http://www.swl1f.net/viewtopic.php?f=14&t=59
Rapport AntiVir :
Avira AntiVir Personal
Date de création du fichier de rapport : mardi 6 janvier 2009 19:23
La recherche porte sur 1153470 souches de virus.
Détenteur de la licence :Avira AntiVir PersonalEdition Classic
Numéro de série : 0000149996-ADJIE-0001
Plateforme : Windows 2000
Version de Windows :(Service Pack 4) [5.0.2195]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur :CYRANORI-397A98
Informations de version :
BUILD.DAT : 8.2.0.52 16931 Bytes 02/12/2008 14:55:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 18/11/2008 08:21:00
AVSCAN.DLL : 8.1.4.1 49921 Bytes 21/07/2008 13:44:27
LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 12:44:16
LUKERES.DLL : 8.1.4.0 13057 Bytes 04/07/2008 07:30:27
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 11:30:36
ANTIVIR1.VDF : 7.1.1.33 1705984 Bytes 24/12/2008 18:20:36
ANTIVIR2.VDF : 7.1.1.60 318976 Bytes 02/01/2009 18:20:38
ANTIVIR3.VDF : 7.1.1.74 158208 Bytes 06/01/2009 18:20:38
Version du moteur: 8.2.0.45
AEVDF.DLL : 8.1.0.6 102772 Bytes 14/10/2008 10:05:56
AESCRIPT.DLL : 8.1.1.19 336252 Bytes 06/01/2009 18:20:44
AESCN.DLL : 8.1.1.5 123251 Bytes 07/11/2008 15:06:41
AERDL.DLL : 8.1.1.3 438645 Bytes 04/11/2008 13:58:38
AEPACK.DLL : 8.1.3.4 393591 Bytes 11/11/2008 09:41:39
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 06/01/2009 18:20:44
AEHEUR.DLL : 8.1.0.75 1524087 Bytes 06/01/2009 18:20:43
AEHELP.DLL : 8.1.2.0 119159 Bytes 06/01/2009 18:20:41
AEGEN.DLL : 8.1.1.8 323956 Bytes 06/01/2009 18:20:40
AEEMU.DLL : 8.1.0.9 393588 Bytes 14/10/2008 10:05:56
AECORE.DLL : 8.1.5.2 172405 Bytes 06/01/2009 18:20:39
AEBB.DLL : 8.1.0.3 53618 Bytes 14/10/2008 10:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 09:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 31/07/2008 12:02:15
AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 04/07/2008 07:23:16
RCTEXT.DLL : 8.0.52.1 86273 Bytes 17/07/2008 10:08:43
Configuration pour la recherche actuelle :
Nom de la tâche..................: Contrôle intégral du système
Fichier de configuration.........: g:\program files\avira\antivir personaledition classic\sysscan.avp
Documentation....................: bas
Action principale................: interactif
Action secondaire................: ignorer
Recherche sur les secteurs d'amorçage maître: marche
Recherche sur les secteurs d'amorçage: marche
Secteurs d'amorçage..............: C:, D:, E:, F:, G:, H:, I:,
Recherche dans les programmes actifs: marche
Recherche en cours sur l'enregistrement: marche
Recherche de Rootkits............: arrêt
Fichier mode de recherche........: Sélection de fichiers intelligente
Recherche sur les archives.......: marche
Limiter la profondeur de récursivité: 20
Archive Smart Extensions.........: marche
Heuristique de macrovirus........: marche
Heuristique fichier..............: élevé
Début de la recherche : mardi 6 janvier 2009 19:23
La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '0' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '0' module(s) sont contrôlés
Processus de recherche 'NTVDM.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mantispm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TeaTimer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'BJMYPRT.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'zlclient.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winmgmt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TSIRCSRV.exe' - '1' module(s) sont contrôlés
Processus de recherche 'stisvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'regsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ijplmsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'a2service.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ScanningProcess' - '0' module(s) sont contrôlés
Processus de recherche 'vsmon.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LSASS.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'SERVICES.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'WINLOGON.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'24' processus ont été contrôlés avec '24' modules
La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD1
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD2
[INFO] Aucun virus trouvé !
La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'D:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'E:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'F:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'G:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'H:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'I:\'
[INFO] Aucun virus trouvé !
La recherche sur les renvois aux fichiers exécutables (registre) commence.
Le registre a été contrôlé ( '33' fichiers).
La recherche sur les fichiers sélectionnés commence :
Recherche débutant dans 'C:\' <DOS622>
Recherche débutant dans 'D:\' <DONNEES>
D:\ARCHIVES\Archives.JL\FAMILLE\LUC\ICONS45S.EXE
[0] Type d'archive: RSRC
--> Object
[1] Type d'archive: CAB (Microsoft)
--> Axicons.cnt
[AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
D:\FIC_TELE\32BITS\MACHINE\BELLAMY\JCB.ZIP
[0] Type d'archive: ZIP
--> jcb/fr/iloveyou.html
[RESULTAT] Contient le modèle de détection du virus de script VBS VBS/Loveletter.D
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49a5cfb4.qua' !
Recherche débutant dans 'E:\' <PHOTOS>
E:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
Recherche débutant dans 'F:\' <WIN2000PRO>
Recherche débutant dans 'G:\' <NOUVEAUWIN>
G:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
G:\Qoobox\Quarantine\G\WINNT\system32\nvaux32.dll.vir
[RESULTAT] Contient le cheval de Troie TR/Trash.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49c4e5f0.qua' !
G:\Qoobox\Quarantine\G\WINNT\system32\_nvaux32_.dll.zip
[0] Type d'archive: ZIP
--> nvaux32.dll
[1] Type d'archive: RSRC
--> Object
[RESULTAT] Contient le modèle de détection du ver WORM/Pinit.AN
--> Object
[RESULTAT] Contient le modèle de détection du ver WORM/Pinit.AO
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49d9e5ee.qua' !
Recherche débutant dans 'H:\' <PROGRAMMES>
H:\Program Files\TuneUp Utilities 2006\SDShelEx.dll
[RESULTAT] Contient le cheval de Troie TR/Muldrop.6045.A
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49b6e7f5.qua' !
Recherche débutant dans 'I:\' <SAUVEGARDES>
Fin de la recherche : mercredi 7 janvier 2009 00:29
Temps nécessaire: 5:06:20 Heure(s)
La recherche a été effectuée intégralement
6306 Les répertoires ont été contrôlés
365803 Des fichiers ont été contrôlés
6 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
4 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
2 Impossible de contrôler des fichiers
365795 Fichiers non infectés
14695 Les archives ont été contrôlées
3 Avertissements
4 Consignes
Certains virus qui ont été mis en quarantaine l'étaient déjà, dédectés et mis à l'abri par d'autres antivirus.
J'espère que tu dors à l'heure qu'il est ;o)
Avira AntiVir Personal
Date de création du fichier de rapport : mardi 6 janvier 2009 19:23
La recherche porte sur 1153470 souches de virus.
Détenteur de la licence :Avira AntiVir PersonalEdition Classic
Numéro de série : 0000149996-ADJIE-0001
Plateforme : Windows 2000
Version de Windows :(Service Pack 4) [5.0.2195]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur :CYRANORI-397A98
Informations de version :
BUILD.DAT : 8.2.0.52 16931 Bytes 02/12/2008 14:55:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 18/11/2008 08:21:00
AVSCAN.DLL : 8.1.4.1 49921 Bytes 21/07/2008 13:44:27
LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 12:44:16
LUKERES.DLL : 8.1.4.0 13057 Bytes 04/07/2008 07:30:27
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 11:30:36
ANTIVIR1.VDF : 7.1.1.33 1705984 Bytes 24/12/2008 18:20:36
ANTIVIR2.VDF : 7.1.1.60 318976 Bytes 02/01/2009 18:20:38
ANTIVIR3.VDF : 7.1.1.74 158208 Bytes 06/01/2009 18:20:38
Version du moteur: 8.2.0.45
AEVDF.DLL : 8.1.0.6 102772 Bytes 14/10/2008 10:05:56
AESCRIPT.DLL : 8.1.1.19 336252 Bytes 06/01/2009 18:20:44
AESCN.DLL : 8.1.1.5 123251 Bytes 07/11/2008 15:06:41
AERDL.DLL : 8.1.1.3 438645 Bytes 04/11/2008 13:58:38
AEPACK.DLL : 8.1.3.4 393591 Bytes 11/11/2008 09:41:39
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 06/01/2009 18:20:44
AEHEUR.DLL : 8.1.0.75 1524087 Bytes 06/01/2009 18:20:43
AEHELP.DLL : 8.1.2.0 119159 Bytes 06/01/2009 18:20:41
AEGEN.DLL : 8.1.1.8 323956 Bytes 06/01/2009 18:20:40
AEEMU.DLL : 8.1.0.9 393588 Bytes 14/10/2008 10:05:56
AECORE.DLL : 8.1.5.2 172405 Bytes 06/01/2009 18:20:39
AEBB.DLL : 8.1.0.3 53618 Bytes 14/10/2008 10:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 09:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 31/07/2008 12:02:15
AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 04/07/2008 07:23:16
RCTEXT.DLL : 8.0.52.1 86273 Bytes 17/07/2008 10:08:43
Configuration pour la recherche actuelle :
Nom de la tâche..................: Contrôle intégral du système
Fichier de configuration.........: g:\program files\avira\antivir personaledition classic\sysscan.avp
Documentation....................: bas
Action principale................: interactif
Action secondaire................: ignorer
Recherche sur les secteurs d'amorçage maître: marche
Recherche sur les secteurs d'amorçage: marche
Secteurs d'amorçage..............: C:, D:, E:, F:, G:, H:, I:,
Recherche dans les programmes actifs: marche
Recherche en cours sur l'enregistrement: marche
Recherche de Rootkits............: arrêt
Fichier mode de recherche........: Sélection de fichiers intelligente
Recherche sur les archives.......: marche
Limiter la profondeur de récursivité: 20
Archive Smart Extensions.........: marche
Heuristique de macrovirus........: marche
Heuristique fichier..............: élevé
Début de la recherche : mardi 6 janvier 2009 19:23
La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '0' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '0' module(s) sont contrôlés
Processus de recherche 'NTVDM.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mantispm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TeaTimer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'BJMYPRT.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'zlclient.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winmgmt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TSIRCSRV.exe' - '1' module(s) sont contrôlés
Processus de recherche 'stisvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'regsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ijplmsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'a2service.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ScanningProcess' - '0' module(s) sont contrôlés
Processus de recherche 'vsmon.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LSASS.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'SERVICES.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'WINLOGON.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'24' processus ont été contrôlés avec '24' modules
La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD1
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD2
[INFO] Aucun virus trouvé !
La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'D:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'E:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'F:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'G:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'H:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'I:\'
[INFO] Aucun virus trouvé !
La recherche sur les renvois aux fichiers exécutables (registre) commence.
Le registre a été contrôlé ( '33' fichiers).
La recherche sur les fichiers sélectionnés commence :
Recherche débutant dans 'C:\' <DOS622>
Recherche débutant dans 'D:\' <DONNEES>
D:\ARCHIVES\Archives.JL\FAMILLE\LUC\ICONS45S.EXE
[0] Type d'archive: RSRC
--> Object
[1] Type d'archive: CAB (Microsoft)
--> Axicons.cnt
[AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
D:\FIC_TELE\32BITS\MACHINE\BELLAMY\JCB.ZIP
[0] Type d'archive: ZIP
--> jcb/fr/iloveyou.html
[RESULTAT] Contient le modèle de détection du virus de script VBS VBS/Loveletter.D
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49a5cfb4.qua' !
Recherche débutant dans 'E:\' <PHOTOS>
E:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
Recherche débutant dans 'F:\' <WIN2000PRO>
Recherche débutant dans 'G:\' <NOUVEAUWIN>
G:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
G:\Qoobox\Quarantine\G\WINNT\system32\nvaux32.dll.vir
[RESULTAT] Contient le cheval de Troie TR/Trash.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49c4e5f0.qua' !
G:\Qoobox\Quarantine\G\WINNT\system32\_nvaux32_.dll.zip
[0] Type d'archive: ZIP
--> nvaux32.dll
[1] Type d'archive: RSRC
--> Object
[RESULTAT] Contient le modèle de détection du ver WORM/Pinit.AN
--> Object
[RESULTAT] Contient le modèle de détection du ver WORM/Pinit.AO
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49d9e5ee.qua' !
Recherche débutant dans 'H:\' <PROGRAMMES>
H:\Program Files\TuneUp Utilities 2006\SDShelEx.dll
[RESULTAT] Contient le cheval de Troie TR/Muldrop.6045.A
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49b6e7f5.qua' !
Recherche débutant dans 'I:\' <SAUVEGARDES>
Fin de la recherche : mercredi 7 janvier 2009 00:29
Temps nécessaire: 5:06:20 Heure(s)
La recherche a été effectuée intégralement
6306 Les répertoires ont été contrôlés
365803 Des fichiers ont été contrôlés
6 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
4 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
2 Impossible de contrôler des fichiers
365795 Fichiers non infectés
14695 Les archives ont été contrôlées
3 Avertissements
4 Consignes
Certains virus qui ont été mis en quarantaine l'étaient déjà, dédectés et mis à l'abri par d'autres antivirus.
J'espère que tu dors à l'heure qu'il est ;o)
1 janv. 2009 à 18:55
Voici le log
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:48:15, on 01/01/2009
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
G:\WINNT\System32\smss.exe
G:\WINNT\system32\winlogon.exe
G:\WINNT\system32\services.exe
G:\WINNT\system32\lsass.exe
G:\WINNT\system32\svchost.exe
G:\WINNT\system32\ZoneLabs\vsmon.exe
G:\WINNT\system32\spoolsv.exe
h:\Program Files\a-squared Free\a2service.exe
G:\WINNT\system32\svchost.exe
G:\Program Files\Canon\IJPLM\IJPLMSVC.EXE
G:\WINNT\system32\regsvc.exe
G:\WINNT\system32\MSTask.exe
g:\winnt\explorer.exe
G:\WINNT\system32\stisvc.exe
G:\WINNT\System32\TSIRCSRV.EXE
G:\WINNT\System32\WBEM\WinMgmt.exe
G:\WINNT\system32\svchost.exe
H:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
G:\Program Files\Canon\MyPrinter\BJMyPrt.exe
H:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
h:\Program Files\Zone Labs\ZoneAlarm\MailFrontier\mantispm.exe
G:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ww17.ads.eorezo.com/cgi-bin/advert/getads.cgi?x_format=redirect&x_dp_id=9
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=g:\winnt\explorer.exe
F2 - REG:system.ini: UserInit=g:\winnt\system32\userinit.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - G:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - H:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - G:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [zzzHPSETUP] K:\Setup.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "h:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [CanonMyPrinter] G:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [SpybotSD TeaTimer] h:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] G:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - H:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - H:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.inoculer.com/antivirus/Msie/bitdefender.cab
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - h:\Program Files\a-squared Free\a2service.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - G:\WINNT\System32\dmadmin.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - G:\Program Files\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: TSI Remote Control Service (TSIRCSRV) - Laplink Software, Inc. - G:\WINNT\System32\TSIRCSRV.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - G:\WINNT\system32\ZoneLabs\vsmon.exe