Infection (pub antivirus et autres)
Fermé
Anreek
-
12 janv. 2009 à 09:38
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 - 15 janv. 2009 à 21:25
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 - 15 janv. 2009 à 21:25
A voir également:
- Infection (pub antivirus et autres)
- Youtube sans pub - Accueil - Streaming
- Netflix avec pub avis - Accueil - Streaming
- Comodo antivirus - Télécharger - Sécurité
- Panda antivirus - Télécharger - Antivirus & Antimalwares
- Stop pub gratuit - Télécharger - Divers Utilitaires
26 réponses
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
463
12 janv. 2009 à 09:43
12 janv. 2009 à 09:43
Salut,
Infection Vundo ( et non Navipromo ^^)
Fais ceci pour commencer :
Télécharge MalwareByte's :
ici http://www.commentcamarche.net/telecharger/telecharger 34055379 malwarebytes anti malware
ou ici : http://www.malwarebytes.org/mbam.php
* Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .
(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/ )
* Potasse le tuto pour te familiariser avec le prg :
https://forum.pcastuces.com/sujet.asp?f=31&s=3
( cela dis, il est très simple d'utilisation ).
! Déconnecte toi et ferme toutes applications en cours !
* Lance Malwarebyte's .
Fais un examen dit "Rapide" .
--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "résultat" .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .
Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !
Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date),
accompagné d'un nouveau rapport hijackthis pour analyse ...
Infection Vundo ( et non Navipromo ^^)
Fais ceci pour commencer :
Télécharge MalwareByte's :
ici http://www.commentcamarche.net/telecharger/telecharger 34055379 malwarebytes anti malware
ou ici : http://www.malwarebytes.org/mbam.php
* Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .
(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/ )
* Potasse le tuto pour te familiariser avec le prg :
https://forum.pcastuces.com/sujet.asp?f=31&s=3
( cela dis, il est très simple d'utilisation ).
! Déconnecte toi et ferme toutes applications en cours !
* Lance Malwarebyte's .
Fais un examen dit "Rapide" .
--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "résultat" .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .
Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !
Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date),
accompagné d'un nouveau rapport hijackthis pour analyse ...
jfkpresident
Messages postés
13408
Date d'inscription
lundi 3 septembre 2007
Statut
Contributeur sécurité
Dernière intervention
5 janvier 2015
1 175
12 janv. 2009 à 09:44
12 janv. 2009 à 09:44
hello ;
Télécharge smitfraudfix
Utilitaire de S!Ri: Moe et balltrap34
Installe le à la racine de C : tuto d'utilisation
Double clique sur l'exe pour le décompresser et lancer le fix.
Utilisation option 1 Recherche :
Double clique sur smitfraudfix.cmd
Sélectionne 1 pour créer un rapport des fichiers responsables de l'infection.
Ne fais rien d'autre sans notre avis
Copie/colle le RAPPORT sur ta prochaine réponse sur ce post stp.
Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
aide en images
Télécharge smitfraudfix
Utilitaire de S!Ri: Moe et balltrap34
Installe le à la racine de C : tuto d'utilisation
Double clique sur l'exe pour le décompresser et lancer le fix.
Utilisation option 1 Recherche :
Double clique sur smitfraudfix.cmd
Sélectionne 1 pour créer un rapport des fichiers responsables de l'infection.
Ne fais rien d'autre sans notre avis
Copie/colle le RAPPORT sur ta prochaine réponse sur ce post stp.
Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
aide en images
jfkpresident
Messages postés
13408
Date d'inscription
lundi 3 septembre 2007
Statut
Contributeur sécurité
Dernière intervention
5 janvier 2015
1 175
12 janv. 2009 à 09:45
12 janv. 2009 à 09:45
Oupss...Salut ske ....Je te laisse .
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
463
12 janv. 2009 à 09:47
12 janv. 2009 à 09:47
Salut JFK ,
no problem ! .... =)
++
no problem ! .... =)
++
Anreek
Messages postés
15
Date d'inscription
lundi 12 janvier 2009
Statut
Membre
Dernière intervention
15 janvier 2009
12 janv. 2009 à 10:01
12 janv. 2009 à 10:01
tout d'abord, merci à vous deux, tres reactif,
alors bien vu! c'ete ca accompagné de quelques petite chose, mais l log t'en dira plus que moi
Malwarebytes' Anti-Malware 1.32
Version de la base de données: 1645
Windows 5.1.2600 Service Pack 2
12/01/2009 09:56:01
mbam-log-2009-01-12 (09-56-01).txt
Type de recherche: Examen rapide
Eléments examinés: 49042
Temps écoulé: 3 minute(s), 34 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 13
Valeur(s) du Registre infectée(s): 4
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 29
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
c:\WINDOWS\system32\rijavuza.dll (Trojan.Vundo.H) -> Delete on reboot.
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4c4b1e44-7d1d-4698-99b0-d4a5d6fcebc6} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{4c4b1e44-7d1d-4698-99b0-d4a5d6fcebc6} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\solution.solution (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\solution.solution.1 (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{892b2785-b0d0-4aa2-ae6a-0ed60b00a979} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{00476c87-a276-49bf-86bc-ff005732430b} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{e81cf86b-f683-422a-b742-3f2427ea9d6a} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{99c6d1bb-7555-474c-91da-d8fb62a9cc75} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{99c6d1bb-7555-474c-91da-d8fb62a9cc75} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cpmffec30f1 (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\jihapuzomi (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ssodl (Trojan.Vundo.H) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: c:\windows\system32\rijavuza.dll -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: system32\rijavuza.dll -> Quarantined and deleted successfully.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\WINDOWS\system32\kusudewi.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\iwedusuk.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lugilodo.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\odoligul.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\pawajinu.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\unijawap.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ramuzovi.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ivozumar.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ruludoji.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ijodulur.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sehuwuri.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\iruwuhes.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\yidurufo.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ofurudiy.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\rijavuza.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\fetijonu.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\bekegoko.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\hegizuku.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\kofusipo.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\zatarozu.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\1SfUsAen.exe.a_a (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\laFA3qir.exe.a_a (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\gebegimi.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\yovopepa.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\hutijezu.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\yepogofa.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\kewevuro.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mesekaho.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ruziveki.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
puis re HijackThis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:58:35, on 12/01/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\taskswitch.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Documents and Settings\Administrateur\Bureau\HiJackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4c4b1e44-7d1d-4698-99b0-d4a5d6fcebc6} - C:\WINDOWS\system32\kedisuzo.dll (file missing)
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKLM\..\Run: [jihapuzomi] Rundll32.exe "C:\WINDOWS\system32\gibumeye.dll",s
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [jihapuzomi] Rundll32.exe "C:\WINDOWS\system32\gibumeye.dll",s (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [jihapuzomi] Rundll32.exe "C:\WINDOWS\system32\gibumeye.dll",s (User 'SERVICE RÉSEAU')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Web traffic protection statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O14 - IERESET.INF: START_PAGE_URL=https://www.google.fr/?gws_rd=ssl
O20 - AppInit_DLLs: c:\windows\system32\logipefu.dll ,C:\WINDOWS\system32\mivalivo.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
alors bien vu! c'ete ca accompagné de quelques petite chose, mais l log t'en dira plus que moi
Malwarebytes' Anti-Malware 1.32
Version de la base de données: 1645
Windows 5.1.2600 Service Pack 2
12/01/2009 09:56:01
mbam-log-2009-01-12 (09-56-01).txt
Type de recherche: Examen rapide
Eléments examinés: 49042
Temps écoulé: 3 minute(s), 34 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 13
Valeur(s) du Registre infectée(s): 4
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 29
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
c:\WINDOWS\system32\rijavuza.dll (Trojan.Vundo.H) -> Delete on reboot.
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4c4b1e44-7d1d-4698-99b0-d4a5d6fcebc6} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{4c4b1e44-7d1d-4698-99b0-d4a5d6fcebc6} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\solution.solution (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\solution.solution.1 (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{892b2785-b0d0-4aa2-ae6a-0ed60b00a979} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{00476c87-a276-49bf-86bc-ff005732430b} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{e81cf86b-f683-422a-b742-3f2427ea9d6a} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{99c6d1bb-7555-474c-91da-d8fb62a9cc75} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{99c6d1bb-7555-474c-91da-d8fb62a9cc75} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cpmffec30f1 (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\jihapuzomi (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ssodl (Trojan.Vundo.H) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: c:\windows\system32\rijavuza.dll -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: system32\rijavuza.dll -> Quarantined and deleted successfully.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\WINDOWS\system32\kusudewi.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\iwedusuk.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lugilodo.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\odoligul.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\pawajinu.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\unijawap.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ramuzovi.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ivozumar.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ruludoji.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ijodulur.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sehuwuri.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\iruwuhes.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\yidurufo.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ofurudiy.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\rijavuza.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\fetijonu.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\bekegoko.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\hegizuku.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\kofusipo.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\zatarozu.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\1SfUsAen.exe.a_a (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\laFA3qir.exe.a_a (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\gebegimi.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\yovopepa.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\hutijezu.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\yepogofa.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\kewevuro.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mesekaho.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ruziveki.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
puis re HijackThis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:58:35, on 12/01/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\taskswitch.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Documents and Settings\Administrateur\Bureau\HiJackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4c4b1e44-7d1d-4698-99b0-d4a5d6fcebc6} - C:\WINDOWS\system32\kedisuzo.dll (file missing)
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKLM\..\Run: [jihapuzomi] Rundll32.exe "C:\WINDOWS\system32\gibumeye.dll",s
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [jihapuzomi] Rundll32.exe "C:\WINDOWS\system32\gibumeye.dll",s (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [jihapuzomi] Rundll32.exe "C:\WINDOWS\system32\gibumeye.dll",s (User 'SERVICE RÉSEAU')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Web traffic protection statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O14 - IERESET.INF: START_PAGE_URL=https://www.google.fr/?gws_rd=ssl
O20 - AppInit_DLLs: c:\windows\system32\logipefu.dll ,C:\WINDOWS\system32\mivalivo.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
463
12 janv. 2009 à 10:06
12 janv. 2009 à 10:06
Bien .... la suite :
1- Télécharge CCleaner :
http://www.commentcamarche.net/telecharger/telecharger 168 ccleaner
ou https://www.pcastuces.com/logitheque/ccleaner.htm
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre .
Lors de l'installation:
-choisis bien "français" en langue .
-avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières.
Un tuto ( aide ):
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm
---> Utilisation:
! déconnecte toi et ferme toutes applications en cours !
* va dans "nettoyeur" : fais -analyse- puis -nettoyage-
* va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs-
( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .
( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )
2- Télécharge ToolBar S&D ( de Eric_71/Team IDN ) sur ton bureau :
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2
( Tuto : https://sites.google.com/site/toolbarsd/aideenimages )
!! Déconnecte toi et ferme toutes tes applications en cours le temps de la manipe !!
* Double-clique sur ToolBar SD.exe pour lancer l'outil et laisse toi guider ...
--> Tapes directement sur 2 ( option " suppression " ) puis tape sur [Entrée].
Le nettoyage commence .
! ne touche à rien lors de la suppression !
Un rapport sera généré à la fin du processus : poste son contenu dans ta prochaine réponse
accompagné d'un nouveau rapport hijackthis pour analyse ...
( le rapport est en outre sauvegardé ici -> C:\TB.txt )
1- Télécharge CCleaner :
http://www.commentcamarche.net/telecharger/telecharger 168 ccleaner
ou https://www.pcastuces.com/logitheque/ccleaner.htm
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre .
Lors de l'installation:
-choisis bien "français" en langue .
-avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières.
Un tuto ( aide ):
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm
---> Utilisation:
! déconnecte toi et ferme toutes applications en cours !
* va dans "nettoyeur" : fais -analyse- puis -nettoyage-
* va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs-
( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .
( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )
2- Télécharge ToolBar S&D ( de Eric_71/Team IDN ) sur ton bureau :
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2
( Tuto : https://sites.google.com/site/toolbarsd/aideenimages )
!! Déconnecte toi et ferme toutes tes applications en cours le temps de la manipe !!
* Double-clique sur ToolBar SD.exe pour lancer l'outil et laisse toi guider ...
--> Tapes directement sur 2 ( option " suppression " ) puis tape sur [Entrée].
Le nettoyage commence .
! ne touche à rien lors de la suppression !
Un rapport sera généré à la fin du processus : poste son contenu dans ta prochaine réponse
accompagné d'un nouveau rapport hijackthis pour analyse ...
( le rapport est en outre sauvegardé ici -> C:\TB.txt )
Anreek
Messages postés
15
Date d'inscription
lundi 12 janvier 2009
Statut
Membre
Dernière intervention
15 janvier 2009
12 janv. 2009 à 11:46
12 janv. 2009 à 11:46
merci encore pour ces reponses rapide
CCcleaner à 2 erreur registre qu'il repare mais qui reviennent
-----------\\ ToolBar S&D 1.2.8 XP/Vista
Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
X86-based PC ( Uniprocessor Free : Intel(R) Pentium(R) 4 CPU 2.40GHz )
BIOS : Award Modular BIOS v6.0
USER : Administrateur ( Administrator )
BOOT : Normal boot
A:\ (USB)
C:\ (Local Disk) - NTFS - Total:19 Go (Free:11 Go)
D:\ (Local Disk) - NTFS - Total:19 Go (Free:13 Go)
E:\ (Local Disk) - NTFS - Total:19 Go (Free:1 Go)
F:\ (Local Disk) - NTFS - Total:19 Go (Free:17 Go)
G:\ (Local Disk) - NTFS - Total:49 Go (Free:11 Go)
H:\ (Local Disk) - NTFS - Total:24 Go (Free:14 Go)
I:\ (CD or DVD)
J:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go)
K:\ (Local Disk) - NTFS - Total:24 Go (Free:24 Go)
L:\ (Local Disk) - NTFS - Total:87 Go (Free:20 Go)
"C:\ToolBar SD" ( MAJ : 21-12-2008|20:47 )
Option : [2] ( 12/01/2009|11:41 )
-----------\\ Recherche de Fichiers / Dossiers ...
-----------\\ [..\Internet Explorer\Main]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="https://www.google.fr/?gws_rd=ssl"
"Search Bar"="https://www.google.fr/?gws_rd=ssl"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="https://www.google.fr/?gws_rd=ssl"
"Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Start Page"="https://www.msn.com/fr-fr/"
--------------------\\ Recherche d'autres infections
C:\WINDOWS\Tasks\At49.job
C:\WINDOWS\Tasks\At50.job
C:\WINDOWS\Tasks\At51.job
C:\WINDOWS\Tasks\At52.job
C:\WINDOWS\Tasks\At53.job
C:\WINDOWS\Tasks\At54.job
C:\WINDOWS\Tasks\At55.job
C:\WINDOWS\Tasks\At56.job
C:\WINDOWS\Tasks\At57.job
C:\WINDOWS\Tasks\At58.job
C:\WINDOWS\Tasks\At59.job
C:\WINDOWS\Tasks\At60.job
C:\WINDOWS\Tasks\At61.job
C:\WINDOWS\Tasks\At62.job
C:\WINDOWS\Tasks\At63.job
C:\WINDOWS\Tasks\At64.job
C:\WINDOWS\Tasks\At65.job
C:\WINDOWS\Tasks\At66.job
C:\WINDOWS\Tasks\At67.job
C:\WINDOWS\Tasks\At68.job
C:\WINDOWS\Tasks\At69.job
C:\WINDOWS\Tasks\At70.job
C:\WINDOWS\Tasks\At71.job
C:\WINDOWS\Tasks\At72.job
--------------------\\ Cracks & Keygens ..
C:\DOCUME~1\ADMINI~1\Application Data\uTorrent\Macromedia DreamWeaver CS3 + Plugins and Crack.torrent
1 - "C:\ToolBar SD\TB_1.txt" - 12/01/2009|11:43 - Option : [2]
-----------\\ Fin du rapport a 11:43:06,79
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:44:18, on 12/01/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\taskswitch.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\Administrateur\Bureau\HiJackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4c4b1e44-7d1d-4698-99b0-d4a5d6fcebc6} - C:\WINDOWS\system32\kedisuzo.dll (file missing)
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKLM\..\Run: [jihapuzomi] Rundll32.exe "C:\WINDOWS\system32\gibumeye.dll",s
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [jihapuzomi] Rundll32.exe "C:\WINDOWS\system32\gibumeye.dll",s (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [jihapuzomi] Rundll32.exe "C:\WINDOWS\system32\gibumeye.dll",s (User 'SERVICE RÉSEAU')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Web traffic protection statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O14 - IERESET.INF: START_PAGE_URL=https://www.google.fr/?gws_rd=ssl
O20 - AppInit_DLLs: c:\windows\system32\logipefu.dll ,C:\WINDOWS\system32\mivalivo.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
CCcleaner à 2 erreur registre qu'il repare mais qui reviennent
-----------\\ ToolBar S&D 1.2.8 XP/Vista
Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
X86-based PC ( Uniprocessor Free : Intel(R) Pentium(R) 4 CPU 2.40GHz )
BIOS : Award Modular BIOS v6.0
USER : Administrateur ( Administrator )
BOOT : Normal boot
A:\ (USB)
C:\ (Local Disk) - NTFS - Total:19 Go (Free:11 Go)
D:\ (Local Disk) - NTFS - Total:19 Go (Free:13 Go)
E:\ (Local Disk) - NTFS - Total:19 Go (Free:1 Go)
F:\ (Local Disk) - NTFS - Total:19 Go (Free:17 Go)
G:\ (Local Disk) - NTFS - Total:49 Go (Free:11 Go)
H:\ (Local Disk) - NTFS - Total:24 Go (Free:14 Go)
I:\ (CD or DVD)
J:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go)
K:\ (Local Disk) - NTFS - Total:24 Go (Free:24 Go)
L:\ (Local Disk) - NTFS - Total:87 Go (Free:20 Go)
"C:\ToolBar SD" ( MAJ : 21-12-2008|20:47 )
Option : [2] ( 12/01/2009|11:41 )
-----------\\ Recherche de Fichiers / Dossiers ...
-----------\\ [..\Internet Explorer\Main]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="https://www.google.fr/?gws_rd=ssl"
"Search Bar"="https://www.google.fr/?gws_rd=ssl"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="https://www.google.fr/?gws_rd=ssl"
"Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Start Page"="https://www.msn.com/fr-fr/"
--------------------\\ Recherche d'autres infections
C:\WINDOWS\Tasks\At49.job
C:\WINDOWS\Tasks\At50.job
C:\WINDOWS\Tasks\At51.job
C:\WINDOWS\Tasks\At52.job
C:\WINDOWS\Tasks\At53.job
C:\WINDOWS\Tasks\At54.job
C:\WINDOWS\Tasks\At55.job
C:\WINDOWS\Tasks\At56.job
C:\WINDOWS\Tasks\At57.job
C:\WINDOWS\Tasks\At58.job
C:\WINDOWS\Tasks\At59.job
C:\WINDOWS\Tasks\At60.job
C:\WINDOWS\Tasks\At61.job
C:\WINDOWS\Tasks\At62.job
C:\WINDOWS\Tasks\At63.job
C:\WINDOWS\Tasks\At64.job
C:\WINDOWS\Tasks\At65.job
C:\WINDOWS\Tasks\At66.job
C:\WINDOWS\Tasks\At67.job
C:\WINDOWS\Tasks\At68.job
C:\WINDOWS\Tasks\At69.job
C:\WINDOWS\Tasks\At70.job
C:\WINDOWS\Tasks\At71.job
C:\WINDOWS\Tasks\At72.job
--------------------\\ Cracks & Keygens ..
C:\DOCUME~1\ADMINI~1\Application Data\uTorrent\Macromedia DreamWeaver CS3 + Plugins and Crack.torrent
1 - "C:\ToolBar SD\TB_1.txt" - 12/01/2009|11:43 - Option : [2]
-----------\\ Fin du rapport a 11:43:06,79
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:44:18, on 12/01/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\taskswitch.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\Administrateur\Bureau\HiJackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4c4b1e44-7d1d-4698-99b0-d4a5d6fcebc6} - C:\WINDOWS\system32\kedisuzo.dll (file missing)
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKLM\..\Run: [jihapuzomi] Rundll32.exe "C:\WINDOWS\system32\gibumeye.dll",s
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [jihapuzomi] Rundll32.exe "C:\WINDOWS\system32\gibumeye.dll",s (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [jihapuzomi] Rundll32.exe "C:\WINDOWS\system32\gibumeye.dll",s (User 'SERVICE RÉSEAU')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Web traffic protection statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O14 - IERESET.INF: START_PAGE_URL=https://www.google.fr/?gws_rd=ssl
O20 - AppInit_DLLs: c:\windows\system32\logipefu.dll ,C:\WINDOWS\system32\mivalivo.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
463
12 janv. 2009 à 12:11
12 janv. 2009 à 12:11
la suite :
Télécharge SmitfraudFix (de S!Ri, balltrap34 et moe31 ) :
http://siri.urz.free.fr/Fix/SmitfraudFix.exe
Installe le soft sur ton bureau ( et pas ailleurs! ) .
!! Déconnecte toi, ferme toutes tes applications et désactives tes défenses ( anti-virus ,anti-spyware,...) le temps de la manipe !!
Tuto ( aide ) : http://siri.urz.free.fr/Fix/SmitfraudFix.php
Autre tuto animé ( merci balltrapp34 ;) ) : http://pagesperso-orange.fr/rginformatique/section%20virus/smitfraudfix.htm
Utilisation ---> option 1 / Recherche :
Double-clique sur l'icône "Smitfraudfix.exe" et sélectionne 1 (et pas sur autre chose sans notre accord !) pour créer un rapport des fichiers responsables de l'infection.
Poste le rapport ( "rapport.txt" qui se trouve sous C\: ) et attends la suite ...
(Attention : "process.exe", un composant de l'outil, est détecté par certains antivirus comme étant un "RiskTool". Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité.)
Télécharge SmitfraudFix (de S!Ri, balltrap34 et moe31 ) :
http://siri.urz.free.fr/Fix/SmitfraudFix.exe
Installe le soft sur ton bureau ( et pas ailleurs! ) .
!! Déconnecte toi, ferme toutes tes applications et désactives tes défenses ( anti-virus ,anti-spyware,...) le temps de la manipe !!
Tuto ( aide ) : http://siri.urz.free.fr/Fix/SmitfraudFix.php
Autre tuto animé ( merci balltrapp34 ;) ) : http://pagesperso-orange.fr/rginformatique/section%20virus/smitfraudfix.htm
Utilisation ---> option 1 / Recherche :
Double-clique sur l'icône "Smitfraudfix.exe" et sélectionne 1 (et pas sur autre chose sans notre accord !) pour créer un rapport des fichiers responsables de l'infection.
Poste le rapport ( "rapport.txt" qui se trouve sous C\: ) et attends la suite ...
(Attention : "process.exe", un composant de l'outil, est détecté par certains antivirus comme étant un "RiskTool". Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité.)
Anreek
Messages postés
15
Date d'inscription
lundi 12 janvier 2009
Statut
Membre
Dernière intervention
15 janvier 2009
13 janv. 2009 à 20:25
13 janv. 2009 à 20:25
désolé du retard
beaucoup de travail cette semaine
donc voici le rapport
ps: je viens de recroiser un popup antivirus 2009 qui n'ete plus apparu depuis les dernières manip
je remet un coup des etapes précédentes ou pas?
SmitFraudFix v2.388
Rapport fait à 23:13:15,28, 01/01/2002
Executé à partir de C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\taskswitch.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\Policies.exe
C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
C:\WINDOWS\Tasks\At??.job PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4}"="STS"
[HKEY_CLASSES_ROOT\CLSID\{EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4}\InProcServer32]
@="c:\windows\system32\sizumeju.dll"
[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4}\InProcServer32]
@="c:\windows\system32\sizumeju.dll"
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="c:\\windows\\system32\\logipefu.dll C:\\WINDOWS\\system32\\lutayesi.dll xvfbct.dll c:\\windows\\system32\\sizumeju.dll"
"LoadAppInit_DLLs"=dword:00000001
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» RK
»»»»»»»»»»»»»»»»»»»»»»»» DNS
Description: Carte Fast Ethernet PCI de base SiS 900 - Kaspersky Anti-Virus NDIS Miniport
DNS Server Search Order: 212.27.40.240
DNS Server Search Order: 212.27.40.241
HKLM\SYSTEM\CCS\Services\Tcpip\..\{39B41B18-969C-483A-8FCA-B92F411C1A4E}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS1\Services\Tcpip\..\{39B41B18-969C-483A-8FCA-B92F411C1A4E}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS3\Services\Tcpip\..\{39B41B18-969C-483A-8FCA-B92F411C1A4E}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
beaucoup de travail cette semaine
donc voici le rapport
ps: je viens de recroiser un popup antivirus 2009 qui n'ete plus apparu depuis les dernières manip
je remet un coup des etapes précédentes ou pas?
SmitFraudFix v2.388
Rapport fait à 23:13:15,28, 01/01/2002
Executé à partir de C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\taskswitch.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\Policies.exe
C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
C:\WINDOWS\Tasks\At??.job PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4}"="STS"
[HKEY_CLASSES_ROOT\CLSID\{EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4}\InProcServer32]
@="c:\windows\system32\sizumeju.dll"
[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4}\InProcServer32]
@="c:\windows\system32\sizumeju.dll"
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="c:\\windows\\system32\\logipefu.dll C:\\WINDOWS\\system32\\lutayesi.dll xvfbct.dll c:\\windows\\system32\\sizumeju.dll"
"LoadAppInit_DLLs"=dword:00000001
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» RK
»»»»»»»»»»»»»»»»»»»»»»»» DNS
Description: Carte Fast Ethernet PCI de base SiS 900 - Kaspersky Anti-Virus NDIS Miniport
DNS Server Search Order: 212.27.40.240
DNS Server Search Order: 212.27.40.241
HKLM\SYSTEM\CCS\Services\Tcpip\..\{39B41B18-969C-483A-8FCA-B92F411C1A4E}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS1\Services\Tcpip\..\{39B41B18-969C-483A-8FCA-B92F411C1A4E}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS3\Services\Tcpip\..\{39B41B18-969C-483A-8FCA-B92F411C1A4E}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
463
13 janv. 2009 à 20:28
13 janv. 2009 à 20:28
Salut,
Suite de la manipe ( nettoyage ), fais exactement ce qui suit :
Impératif : Démarrer en mode sans echec .
/!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\
Comment aller en Mode sans échec :
1) Redémarre ton ordi .
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" .
3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage .
4) Choisis la première option : Sans Échec , et valide en tapant sur [Entrée] .
5) Choisis ton compte habituel ( et pas Administrateur ).
attention : pas de connexion possible en mode sans échec , donc copie ou imprime bien la manipe pour éviter les erreurs ...
* Double-clique sur SmitfraudFix.exe
* Sélectionne 2 et presse "Entrée" dans le menu pour supprimer les fichiers responsables de l'infection.
--> Si besion :
* A la question: Voulez-vous nettoyer le registre ? répondre O (oui) et presser Entrée afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection.
( Le correctif déterminera si le fichier wininet.dll est infecté.)
* A la question: "Corriger le fichier infecté ?" répondre O (oui) et presser Entrée
pour remplacer le fichier corrompu.
* Un redémarrage sera demandé pour terminer la procédure de nettoyage .
Si le redémarrage ne se fais pas , fais le manuellement ( c'est important ! ) .
Le rapport se trouve à la racine de disque dur C .
( dans le fichier C:\rapport.txt )
Poste moi ce dernier rapport accompagné, dans la même réponse, d'un nouveau rapport
hijackthis ( fais en mode normal ) et attends les instructions ...
Suite de la manipe ( nettoyage ), fais exactement ce qui suit :
Impératif : Démarrer en mode sans echec .
/!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\
Comment aller en Mode sans échec :
1) Redémarre ton ordi .
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" .
3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage .
4) Choisis la première option : Sans Échec , et valide en tapant sur [Entrée] .
5) Choisis ton compte habituel ( et pas Administrateur ).
attention : pas de connexion possible en mode sans échec , donc copie ou imprime bien la manipe pour éviter les erreurs ...
* Double-clique sur SmitfraudFix.exe
* Sélectionne 2 et presse "Entrée" dans le menu pour supprimer les fichiers responsables de l'infection.
--> Si besion :
* A la question: Voulez-vous nettoyer le registre ? répondre O (oui) et presser Entrée afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection.
( Le correctif déterminera si le fichier wininet.dll est infecté.)
* A la question: "Corriger le fichier infecté ?" répondre O (oui) et presser Entrée
pour remplacer le fichier corrompu.
* Un redémarrage sera demandé pour terminer la procédure de nettoyage .
Si le redémarrage ne se fais pas , fais le manuellement ( c'est important ! ) .
Le rapport se trouve à la racine de disque dur C .
( dans le fichier C:\rapport.txt )
Poste moi ce dernier rapport accompagné, dans la même réponse, d'un nouveau rapport
hijackthis ( fais en mode normal ) et attends les instructions ...
Anreek
Messages postés
15
Date d'inscription
lundi 12 janvier 2009
Statut
Membre
Dernière intervention
15 janvier 2009
13 janv. 2009 à 20:42
13 janv. 2009 à 20:42
Pouarf quel rapidité
SmitFraudFix v2.388
Rapport fait à 23:28:18,93, 01/01/2002
Executé à partir de C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4}"="STS"
[HKEY_CLASSES_ROOT\CLSID\{EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4}\InProcServer32]
@="c:\windows\system32\sizumeju.dll"
[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4}\InProcServer32]
@="c:\windows\system32\sizumeju.dll"
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
»»»»»»»»»»»»»»»»»»»»»»»» hosts
127.0.0.1 localhost
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix
S!Ri's WS2Fix: LSP not Found.
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
GenericRenosFix by S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
C:\WINDOWS\Tasks\At??.job supprimé
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» RK
»»»»»»»»»»»»»»»»»»»»»»»» DNS
HKLM\SYSTEM\CCS\Services\Tcpip\..\{39B41B18-969C-483A-8FCA-B92F411C1A4E}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS1\Services\Tcpip\..\{39B41B18-969C-483A-8FCA-B92F411C1A4E}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS3\Services\Tcpip\..\{39B41B18-969C-483A-8FCA-B92F411C1A4E}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241
»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
Nettoyage terminé.
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4}"="STS"
[HKEY_CLASSES_ROOT\CLSID\{EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4}\InProcServer32]
@="c:\windows\system32\sizumeju.dll"
[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4}\InProcServer32]
@="c:\windows\system32\sizumeju.dll"
»»»»»»»»»»»»»»»»»»»»»»»» Fin
Je n'est pas eut le droit a la seconde question
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:33:08, on 01/01/2002
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\taskswitch.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Documents and Settings\Administrateur\Bureau\HiJackThis.exe
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-20\..\Run: [jihapuzomi] Rundll32.exe "C:\WINDOWS\system32\fasapako.dll",s (User 'SERVICE RÉSEAU')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Web traffic protection statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O14 - IERESET.INF: START_PAGE_URL=https://www.google.fr/?gws_rd=ssl
O20 - AppInit_DLLs: c:\windows\system32\logipefu.dll xvfbct.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
SmitFraudFix v2.388
Rapport fait à 23:28:18,93, 01/01/2002
Executé à partir de C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4}"="STS"
[HKEY_CLASSES_ROOT\CLSID\{EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4}\InProcServer32]
@="c:\windows\system32\sizumeju.dll"
[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4}\InProcServer32]
@="c:\windows\system32\sizumeju.dll"
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
»»»»»»»»»»»»»»»»»»»»»»»» hosts
127.0.0.1 localhost
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix
S!Ri's WS2Fix: LSP not Found.
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
GenericRenosFix by S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
C:\WINDOWS\Tasks\At??.job supprimé
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» RK
»»»»»»»»»»»»»»»»»»»»»»»» DNS
HKLM\SYSTEM\CCS\Services\Tcpip\..\{39B41B18-969C-483A-8FCA-B92F411C1A4E}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS1\Services\Tcpip\..\{39B41B18-969C-483A-8FCA-B92F411C1A4E}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS3\Services\Tcpip\..\{39B41B18-969C-483A-8FCA-B92F411C1A4E}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241
»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
Nettoyage terminé.
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4}"="STS"
[HKEY_CLASSES_ROOT\CLSID\{EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4}\InProcServer32]
@="c:\windows\system32\sizumeju.dll"
[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4}\InProcServer32]
@="c:\windows\system32\sizumeju.dll"
»»»»»»»»»»»»»»»»»»»»»»»» Fin
Je n'est pas eut le droit a la seconde question
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:33:08, on 01/01/2002
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\taskswitch.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Documents and Settings\Administrateur\Bureau\HiJackThis.exe
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-20\..\Run: [jihapuzomi] Rundll32.exe "C:\WINDOWS\system32\fasapako.dll",s (User 'SERVICE RÉSEAU')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Web traffic protection statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O14 - IERESET.INF: START_PAGE_URL=https://www.google.fr/?gws_rd=ssl
O20 - AppInit_DLLs: c:\windows\system32\logipefu.dll xvfbct.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
463
13 janv. 2009 à 21:10
13 janv. 2009 à 21:10
bien ...
1- supprime tout ce qui se trouve dans la quarantaine de Malwarebytes .
2- refais un coup de CCleaner ( registre compris )
3- fais exactement ce qui suit :
Télécharge ComboFix (par sUBs) sur ton Bureau (et pas ailleurs !):
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
--------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
!! Déconnecte toi,ferme tes applications en cours ( ainsi que ton navigateur ) et DESACTIVE TOUTES TES DEFENSES (anti-virus, guarde anti spy-ware, pare-feu) le temps de la manipe :
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!
--->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Note : pour XP, bien installer la Console de Récupération de Windows comme il est indiqué dans le tuto ci-dessus ...
---------------------------------------------------------------------------------------------------------------------------------
Ensuite :
double-clique sur l'icône "combofix.exe" pour lancer l'outil .
Appuie sur la touche Y (Yes) pour démarrer le scan .
Notes importantes :
-> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
-> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes ...
-> si un message d'erreur windows apparait à un momment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )
Le rapport sera crée ici : C:\Combofix.txt
Réactive bien tes défenses .
Poste le rapport Combofix accompagné d'un nouveau rapport hijackthis pour analyse ...
1- supprime tout ce qui se trouve dans la quarantaine de Malwarebytes .
2- refais un coup de CCleaner ( registre compris )
3- fais exactement ce qui suit :
Télécharge ComboFix (par sUBs) sur ton Bureau (et pas ailleurs !):
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
--------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
!! Déconnecte toi,ferme tes applications en cours ( ainsi que ton navigateur ) et DESACTIVE TOUTES TES DEFENSES (anti-virus, guarde anti spy-ware, pare-feu) le temps de la manipe :
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!
--->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Note : pour XP, bien installer la Console de Récupération de Windows comme il est indiqué dans le tuto ci-dessus ...
---------------------------------------------------------------------------------------------------------------------------------
Ensuite :
double-clique sur l'icône "combofix.exe" pour lancer l'outil .
Appuie sur la touche Y (Yes) pour démarrer le scan .
Notes importantes :
-> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
-> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes ...
-> si un message d'erreur windows apparait à un momment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )
Le rapport sera crée ici : C:\Combofix.txt
Réactive bien tes défenses .
Poste le rapport Combofix accompagné d'un nouveau rapport hijackthis pour analyse ...
Anreek
Messages postés
15
Date d'inscription
lundi 12 janvier 2009
Statut
Membre
Dernière intervention
15 janvier 2009
13 janv. 2009 à 21:31
13 janv. 2009 à 21:31
heu j'arrive pas à activer la console de recup, est elle vraiment utile à la manip? si non je fait quand meme la manip au cas ou je formaterai et recupererai les infos par un live linux
j'attend ta rep
edit:
oups pas vu la manip avec le logiciel, je vais manger et j'essaye
je te tien au courant
j'attend ta rep
edit:
oups pas vu la manip avec le logiciel, je vais manger et j'essaye
je te tien au courant
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
463
13 janv. 2009 à 21:47
13 janv. 2009 à 21:47
;-)
Anreek
Messages postés
15
Date d'inscription
lundi 12 janvier 2009
Statut
Membre
Dernière intervention
15 janvier 2009
13 janv. 2009 à 23:29
13 janv. 2009 à 23:29
Alors voilà
puis
ComboFix 09-01-13.03 - Administrateur 2009-01-13 22:38:13.1 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1280.911 [GMT 1:00] Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\bold.log c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat c:\windows\system32\afewetay.ini c:\windows\system32\barumoju.dll c:\windows\system32\dedezaye.dll c:\windows\system32\ewetilug.ini c:\windows\system32\fogiguzu.dll c:\windows\system32\memibubu.dll c:\windows\system32\nunayeta.dll c:\windows\system32\rimeyohu.dll c:\windows\system32\tmp.reg c:\windows\system32\tomavita.dll c:\windows\system32\ujafeliy.ini c:\windows\system32\ukokiguv.ini c:\windows\system32\uzefenef.ini c:\windows\system32\vosukidu.dll ----- BITS: Il y a peut-être des sites infectés ----- hxxp://77.74.48.105 . ((((((((((((((((((((((((((((( Fichiers créés du 2008-12-13 au 2009-01-13 )))))))))))))))))))))))))))))))))))) . 2009-01-12 18:07 . 2009-01-12 18:07 2,602 ---hs---- c:\windows\system32\lahesumo.dll 2009-01-12 11:40 . 2009-01-12 11:43 <REP> d-------- C:\ToolBar SD 2009-01-12 11:33 . 2009-01-12 11:33 <REP> d-------- c:\program files\CCleaner 2009-01-12 09:49 . 2009-01-12 09:49 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware 2009-01-12 09:49 . 2009-01-12 09:49 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes 2009-01-12 09:49 . 2009-01-12 09:49 <REP> d-------- c:\documents and settings\Administrateur\Application Data\Malwarebytes 2009-01-12 09:49 . 2009-01-04 18:38 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2009-01-12 09:49 . 2009-01-04 18:38 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2009-01-12 09:26 . 2009-01-12 09:34 <REP> d-------- c:\program files\Navilog1 2009-01-11 12:06 . 2009-01-11 12:06 2,602 ---hs---- c:\windows\system32\kufiselu.dll 2009-01-10 20:46 . 2009-01-10 20:46 2,603 ---hs---- c:\windows\system32\tijebevi.dll 2009-01-10 20:46 . 2009-01-10 20:46 2,601 ---hs---- c:\windows\system32\yohujoku.dll 2009-01-10 20:46 . 2009-01-10 20:46 2,601 ---hs---- c:\windows\system32\vodewenu.dll 2009-01-09 20:08 . 2009-01-09 20:08 2,604 ---hs---- c:\windows\system32\turijola.dll 2009-01-09 20:08 . 2009-01-09 20:08 2,601 ---hs---- c:\windows\system32\tofevomu.dll 2009-01-09 20:08 . 2009-01-09 20:08 2,601 ---hs---- c:\windows\system32\tehofina.dll 2009-01-09 08:08 . 2009-01-09 08:08 2,604 ---hs---- c:\windows\system32\vokubonu.dll 2009-01-09 08:08 . 2009-01-09 08:08 2,604 ---hs---- c:\windows\system32\sunapija.dll 2009-01-09 08:08 . 2009-01-09 08:08 2,603 ---hs---- c:\windows\system32\mofewobi.dll 2009-01-08 20:08 . 2009-01-08 20:08 2,604 ---hs---- c:\windows\system32\sosilore.dll 2009-01-08 20:08 . 2009-01-08 20:08 2,603 ---hs---- c:\windows\system32\wisegava.dll 2009-01-08 20:08 . 2009-01-08 20:08 2,601 ---hs---- c:\windows\system32\wovageku.dll 2009-01-08 08:08 . 2009-01-08 08:08 2,604 ---hs---- c:\windows\system32\sigilawo.dll 2009-01-08 08:08 . 2009-01-08 08:08 2,604 ---hs---- c:\windows\system32\rezalefe.dll 2009-01-08 08:08 . 2009-01-08 08:08 2,604 ---hs---- c:\windows\system32\jisaleyu.dll 2009-01-07 20:07 . 2009-01-07 20:07 2,604 ---hs---- c:\windows\system32\zubayoro.dll 2009-01-07 20:07 . 2009-01-07 20:07 2,603 ---hs---- c:\windows\system32\nokemafu.dll 2009-01-07 20:07 . 2009-01-07 20:07 2,601 ---hs---- c:\windows\system32\sutojude.dll 2009-01-05 11:54 . 2009-01-05 11:54 2,604 ---hs---- c:\windows\system32\zedomoje.dll 2009-01-05 11:54 . 2009-01-05 11:54 2,603 ---hs---- c:\windows\system32\gekoseta.dll 2009-01-04 23:53 . 2009-01-04 23:53 2,601 ---hs---- c:\windows\system32\yozuyosa.dll 2009-01-04 11:53 . 2009-01-04 11:53 2,603 ---hs---- c:\windows\system32\hevesopa.dll 2009-01-04 09:39 . 2009-01-04 09:39 <REP> d-------- c:\program files\Lavalys 2009-01-03 23:53 . 2009-01-03 23:53 2,604 ---hs---- c:\windows\system32\rizizozu.dll 2009-01-03 23:53 . 2009-01-03 23:53 2,603 ---hs---- c:\windows\system32\latumonu.dll 2009-01-03 23:53 . 2009-01-03 23:53 2,602 ---hs---- c:\windows\system32\nuzevuzi.dll 2009-01-03 11:52 . 2009-01-03 11:52 2,604 ---hs---- c:\windows\system32\tuyihule.dll 2009-01-03 11:52 . 2009-01-03 11:52 2,602 ---hs---- c:\windows\system32\vusiwumi.dll 2009-01-03 11:52 . 2009-01-03 11:52 2,601 ---hs---- c:\windows\system32\yovinumo.dll 2009-01-02 23:52 . 2009-01-02 23:52 2,603 ---hs---- c:\windows\system32\luyehije.dll 2009-01-02 23:52 . 2009-01-02 23:52 2,601 ---hs---- c:\windows\system32\gigazayu.dll 2008-12-31 09:00 . 2008-12-31 09:00 2,603 ---hs---- c:\windows\system32\wayebomi.dll 2008-12-30 21:03 . 2008-12-30 21:03 2,602 ---hs---- c:\windows\system32\rovozefa.dll 2008-12-22 11:30 . 2008-12-22 11:30 2,603 ---hs---- c:\windows\system32\witeyaza.dll 2008-12-22 11:30 . 2008-12-22 11:30 2,601 ---hs---- c:\windows\system32\sunemudu.dll 2008-12-21 23:29 . 2008-12-21 23:29 2,604 ---hs---- c:\windows\system32\yumamano.dll 2008-12-21 23:29 . 2008-12-21 23:29 2,604 ---hs---- c:\windows\system32\lafokune.dll 2008-12-21 12:44 . 2008-12-21 12:46 <REP> d-------- c:\documents and settings\All Users\Application Data\Hitman Pro 3 2008-12-20 20:47 . 2008-12-20 20:47 2,604 ---hs---- c:\windows\system32\watusero.dll 2008-12-20 20:47 . 2008-12-20 20:47 2,604 ---hs---- c:\windows\system32\diyetoji.dll 2008-12-20 19:29 . 2008-12-20 19:29 <REP> d-------- c:\program files\Hitman Pro 3 2008-12-20 19:29 . 2008-12-21 12:30 <REP> d-------- c:\documents and settings\All Users\Application Data\Hitman Pro 2008-12-20 16:37 . 2008-12-20 16:37 151 --a------ c:\windows\system\cmicnfg.ini 2008-12-20 16:10 . 2008-12-20 16:10 96,976 --a------ c:\windows\system32\drivers\klin.dat 2008-12-20 16:10 . 2008-12-20 16:10 87,855 --a------ c:\windows\system32\drivers\klick.dat 2008-12-20 16:09 . 2009-01-13 23:24 <REP> d-------- c:\documents and settings\All Users\Application Data\Kaspersky Lab 2008-12-20 16:09 . 2009-01-13 22:41 3,720,224 --ahs---- c:\windows\system32\drivers\fidbox.dat 2008-12-20 16:09 . 2009-01-13 22:41 229,408 --ahs---- c:\windows\system32\drivers\fidbox2.dat 2008-12-20 16:09 . 2009-01-13 22:41 36,432 --ahs---- c:\windows\system32\drivers\fidbox.idx 2008-12-20 16:09 . 2009-01-13 22:41 2,912 --ahs---- c:\windows\system32\drivers\fidbox2.idx 2008-12-20 16:08 . 2008-12-20 16:08 <REP> d-------- c:\documents and settings\All Users\Application Data\Kaspersky Lab Setup Files 2008-12-19 22:10 . 2008-12-19 22:46 68,424 --a------ c:\windows\system32\drivers\GRD.sys 2008-12-19 21:37 . 2008-12-20 15:47 <REP> d-------- c:\program files\G DATA 2008-12-19 21:37 . 2008-12-20 15:47 <REP> d-------- c:\program files\Fichiers communs\G DATA 2008-12-18 00:46 . 2008-12-18 00:46 <REP> d-------- c:\program files\Precise Biometrics 2008-12-18 00:41 . 2008-12-18 00:41 <REP> d-------- c:\windows\system32\BioAPIFFDB 2008-12-18 00:39 . 2008-12-18 00:46 <REP> d-------- c:\program files\G DATA Software 2008-12-18 00:39 . 2008-12-18 00:39 <REP> d-------- c:\documents and settings\Administrateur\Application Data\InstallShield 2008-12-16 23:32 . 2008-12-19 22:46 48,712 --a------ c:\windows\system32\drivers\MiniIcpt.sys 2008-12-16 23:30 . 2008-12-19 22:48 51,016 --a------ c:\windows\system32\drivers\GDTdiIcpt.sys 2008-12-16 23:30 . 2008-12-16 23:30 22,272 --a------ c:\windows\system32\drivers\GDNdisIc.sys 2008-12-16 06:18 . 2008-12-16 06:18 2,627 ---hs---- c:\windows\system32\godobovo.dll 2008-12-16 06:18 . 2008-12-16 06:18 2,627 ---hs---- c:\windows\system32\fuhaleke.dll 2008-12-15 20:26 . 2009-01-07 22:01 <REP> d-------- c:\documents and settings\Administrateur\Application Data\teamspeak2 2008-12-15 20:25 . 2008-12-15 20:25 34,064 --a------ c:\windows\system32\lhacm.acm 2008-12-15 10:17 . 2008-12-15 10:17 <REP> dr------- c:\documents and settings\LocalService\Favoris 2008-12-15 09:00 . 2008-12-15 09:00 <REP> dr------- c:\documents and settings\NetworkService\Favoris . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2009-01-12 11:17 --------- d-----w c:\documents and settings\Administrateur\Application Data\uTorrent 2008-12-17 23:39 --------- d--h--w c:\program files\InstallShield Installation Information 2008-12-11 18:46 --------- d-----w c:\program files\Fichiers communs\Blizzard Entertainment 2008-12-11 18:15 --------- d-----w c:\documents and settings\All Users\Application Data\Blizzard 2008-11-30 20:52 --------- d-----w c:\program files\SR 2008-11-21 22:54 --------- d-----w c:\program files\Ref Hotkey 2008-11-17 17:15 --------- d-----w c:\documents and settings\Administrateur\Application Data\ATI 2008-11-17 17:10 --------- d-----w c:\program files\ATI Technologies 2008-11-17 16:56 --------- d-----w c:\program files\MSBuild 2008-11-17 16:55 --------- d-----w c:\program files\Reference Assemblies 2008-11-17 16:48 --------- d-----w c:\program files\MSXML 6.0 2008-11-17 16:29 --------- d-----w c:\program files\Fichiers communs\InstallShield 2008-11-15 23:38 --------- d-----w c:\program files\Fichiers communs\Adobe 2008-11-15 23:36 --------- d-----w c:\program files\Adobe Media Player 2008-11-15 23:33 --------- d-----w c:\program files\Fichiers communs\Adobe AIR 2008-11-15 23:22 --------- d-----w c:\documents and settings\All Users\Application Data\FLEXnet 2008-11-15 23:16 --------- d-----w c:\program files\Smart Projects 2008-11-15 22:35 --------- d-----w c:\program files\Bonjour 2008-11-15 22:25 --------- d-----w c:\program files\Fichiers communs\Macrovision Shared 2008-11-14 23:06 --------- d-----w c:\documents and settings\Administrateur\Application Data\AdobeUM 2008-11-13 22:12 --------- d-----w c:\program files\QuickPar 2008-11-11 19:00 218,376 ----a-w c:\windows\system32\klogon.dll 2002-01-01 00:04 2,603 --sh--w c:\windows\system32\lenoruta.dll 2002-01-01 00:04 2,602 --sh--w c:\windows\system32\pibujudo.dll 2002-01-01 00:04 2,602 --sh--w c:\windows\system32\soremeno.dll 2002-01-01 00:04 2,603 --sh--w c:\windows\system32\tusiheku.dll . ------- Sigcheck ------- 2005-07-09 20:40 359040 6a603809f598332dbedd535bdbce313e c:\windows\system32\drivers\tcpip.sys 2005-07-05 18:54 1242112 d061a74aed7a5ac09e9422757628db16 c:\windows\explorer.exe . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2005-07-09 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CoolSwitch"="c:\windows\system32\taskswitch.exe" [2002-03-19 45632] "DAEMON Tools-1033"="c:\program files\D-Tools\daemon.exe" [2004-08-22 81920] "Microsoft Works Update Detection"="c:\program files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe" [2003-06-10 50688] "ATICCC"="c:\program files\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056] "AVP"="c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe" [2008-11-11 206088] c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoSMBalloonTip"= 0 (0x0) [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "ForceClassicControlPanel"= 1 (0x1) "NoSMBalloonTip"= 0 (0x0) [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeCS4ServiceManager] --a------ 2008-08-14 07:58 611712 c:\program files\Fichiers communs\Adobe\CS4ServiceManager\CS4ServiceManager.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HitmanPro3] --a------ 2008-12-20 19:29 4590200 c:\program files\Hitman Pro 3\hitmanpro3.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr] --a------ 2003-02-20 00:49 2185800 c:\program files\MSN Messenger\msnmsgr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2001-07-09 11:50 155648 c:\windows\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NettoyeurTitan] -ra------ 2005-06-14 20:41 16384 c:\program files\OutilsTITAN\NettoyeurTitan\LauncherNTI.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Cmaudio] --a------ 2002-11-01 17:33 421888 c:\windows\system32\CMICNFG.CPL [HKEY_LOCAL_MACHINE\software\microsoft\security center] "UpdatesDisableNotify"="0x00000000" "AntiVirusDisableNotify"="0x00000000" [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) "DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "h:\\logiciel\\Utorrent\\uTorrent.exe"= "c:\\Program Files\\MSN Messenger\\msnmsgr.exe"= "c:\\Program Files\\Bonjour\\mDNSResponder.exe"= "c:\\Program Files\\Fichiers communs\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"= "c:\\Program Files\\Hitman Pro 3\\hitmanpro3.exe"= "c:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus 2009\\avp.exe"= "c:\\WINDOWS\\system32\\wbem\\wmiprvse.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "5353:TCP"= 5353:TCP:Adobe CSI CS4 R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [2008-01-29 32784] R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [2008-04-30 24592] S3 hitmanpro3;Hitman Pro 3 Support Driver;\??\c:\windows\system32\drivers\hitmanpro3.sys --> c:\windows\system32\drivers\hitmanpro3.sys [?] [COLOR=RED]NETSVCS REQUIRES REPAIRS - current entries shown/COLOR 6to4 AppMgmt AudioSrv Browser CryptSvc DMServer DHCP EventSystem FastUserSwitchingCompatibility HidServ Ias Iprip Irmon LanmanServer LanmanWorkstation Netman Nla Ntmssvc NWCWorkstation Nwsapagent Rasauto Rasman Remoteaccess Schedule Seclogon SENS Sharedaccess Tapisrv Themes TrkWks WZCSVC Wmi WmdmPmSp winmgmt xmlprov BITS wuauserv ShellHWDetection helpsvc WmdmPmSN HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs . - - - - ORPHELINS SUPPRIMES - - - - MSConfigStartUp-CPMffec30f1 - c:\windows\system32\rijavuza.dll MSConfigStartUp-jihapuzomi - c:\windows\system32\gibumeye.dll . ------- Examen supplémentaire ------- . mWindow Title = uInternet Settings,ProxyOverride = *.local IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000 . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-01-13 23:24:28 Windows 5.1.2600 Service Pack 2 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** . --------------------- DLLs chargées dans les processus actifs --------------------- - - - - - - - > 'winlogon.exe'(564) c:\windows\system32\Ati2evxx.dll . ------------------------ Autres processus actifs ------------------------ . c:\windows\system32\ati2evxx.exe c:\program files\Bonjour\mDNSResponder.exe c:\windows\system32\ati2evxx.exe . ************************************************************************** . Heure de fin: 2009-01-13 23:26:26 - La machine a redémarré ComboFix-quarantined-files.txt 2009-01-13 22:26:23 Avant-CF: 11 853 971 456 octets libres Après-CF: 12,317,138,944 octets libres WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect /kernel=oemkrnl.exe 280
puis
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:26:58, on 13/01/2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Bonjour\mDNSResponder.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\taskswitch.exe C:\Program Files\D-Tools\daemon.exe C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe C:\Program Files\ATI Technologies\ATI.ACE\cli.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\Program Files\ATI Technologies\ATI.ACE\cli.exe C:\Program Files\ATI Technologies\ATI.ACE\cli.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\notepad.exe H:\logiciel\Mozilla\firefox\firefox.exe C:\Documents and Settings\Administrateur\Bureau\HiJackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra button: Web traffic protection statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll O14 - IERESET.INF: START_PAGE_URL=https://www.google.fr/?gws_rd=ssl O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: UPS - Unknown owner - C:\WINDOWS\System32\ups.exe (file missing) -- End of file - 3875 bytes
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
463
14 janv. 2009 à 00:01
14 janv. 2009 à 00:01
Bien ....
tu es encore bien gavé ! ... La suite :
1-Créer un doc texte sur ton bureau :
pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .
Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :
File::
c:\windows\system32\lahesumo.dll
c:\windows\system32\kufiselu.dll
c:\windows\system32\tijebevi.dll
c:\windows\system32\yohujoku.dll
c:\windows\system32\vodewenu.dll
c:\windows\system32\turijola.dll
c:\windows\system32\tofevomu.dll
c:\windows\system32\tehofina.dll
c:\windows\system32\vokubonu.dll
c:\windows\system32\sunapija.dll
c:\windows\system32\mofewobi.dll
c:\windows\system32\sosilore.dll
c:\windows\system32\wisegava.dll
c:\windows\system32\wovageku.dll
c:\windows\system32\sigilawo.dll
c:\windows\system32\rezalefe.dll
c:\windows\system32\jisaleyu.dll
c:\windows\system32\zubayoro.dll
c:\windows\system32\nokemafu.dll
c:\windows\system32\sutojude.dll
c:\windows\system32\zedomoje.dll
c:\windows\system32\gekoseta.dll
c:\windows\system32\yozuyosa.dll
c:\windows\system32\hevesopa.dll
c:\windows\system32\rizizozu.dll
c:\windows\system32\latumonu.dll
c:\windows\system32\nuzevuzi.dll
c:\windows\system32\tuyihule.dll
c:\windows\system32\vusiwumi.dll
c:\windows\system32\yovinumo.dll
c:\windows\system32\luyehije.dll
c:\windows\system32\gigazayu.dll
c:\windows\system32\wayebomi.dll
c:\windows\system32\rovozefa.dll
c:\windows\system32\witeyaza.dll
c:\windows\system32\sunemudu.dll
c:\windows\system32\yumamano.dll
c:\windows\system32\lafokune.dll
c:\windows\system32\godobovo.dll
c:\windows\system32\fuhaleke.dll
c:\windows\system32\lenoruta.dll
c:\windows\system32\pibujudo.dll
c:\windows\system32\soremeno.dll
c:\windows\system32\tusiheku.dll
Puis va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valide ...
2-Nettoyage :
!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!
--->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .
(Regarde ici : http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript.gif )
Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tape 1 puis valide.
Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)
!! Ne touches à rien tant que le scan n'est pas terminé !!
Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
Une fois le scan achevé, un rapport va s'afficher : poste le accompagné d' un nouveau rapport HijackThis pour analyse ...
( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )
tu es encore bien gavé ! ... La suite :
1-Créer un doc texte sur ton bureau :
pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .
Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :
File::
c:\windows\system32\lahesumo.dll
c:\windows\system32\kufiselu.dll
c:\windows\system32\tijebevi.dll
c:\windows\system32\yohujoku.dll
c:\windows\system32\vodewenu.dll
c:\windows\system32\turijola.dll
c:\windows\system32\tofevomu.dll
c:\windows\system32\tehofina.dll
c:\windows\system32\vokubonu.dll
c:\windows\system32\sunapija.dll
c:\windows\system32\mofewobi.dll
c:\windows\system32\sosilore.dll
c:\windows\system32\wisegava.dll
c:\windows\system32\wovageku.dll
c:\windows\system32\sigilawo.dll
c:\windows\system32\rezalefe.dll
c:\windows\system32\jisaleyu.dll
c:\windows\system32\zubayoro.dll
c:\windows\system32\nokemafu.dll
c:\windows\system32\sutojude.dll
c:\windows\system32\zedomoje.dll
c:\windows\system32\gekoseta.dll
c:\windows\system32\yozuyosa.dll
c:\windows\system32\hevesopa.dll
c:\windows\system32\rizizozu.dll
c:\windows\system32\latumonu.dll
c:\windows\system32\nuzevuzi.dll
c:\windows\system32\tuyihule.dll
c:\windows\system32\vusiwumi.dll
c:\windows\system32\yovinumo.dll
c:\windows\system32\luyehije.dll
c:\windows\system32\gigazayu.dll
c:\windows\system32\wayebomi.dll
c:\windows\system32\rovozefa.dll
c:\windows\system32\witeyaza.dll
c:\windows\system32\sunemudu.dll
c:\windows\system32\yumamano.dll
c:\windows\system32\lafokune.dll
c:\windows\system32\godobovo.dll
c:\windows\system32\fuhaleke.dll
c:\windows\system32\lenoruta.dll
c:\windows\system32\pibujudo.dll
c:\windows\system32\soremeno.dll
c:\windows\system32\tusiheku.dll
Puis va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valide ...
2-Nettoyage :
!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!
--->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .
(Regarde ici : http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript.gif )
Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tape 1 puis valide.
Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)
!! Ne touches à rien tant que le scan n'est pas terminé !!
Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
Une fois le scan achevé, un rapport va s'afficher : poste le accompagné d' un nouveau rapport HijackThis pour analyse ...
( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )
Anreek
Messages postés
15
Date d'inscription
lundi 12 janvier 2009
Statut
Membre
Dernière intervention
15 janvier 2009
14 janv. 2009 à 00:07
14 janv. 2009 à 00:07
ouki merci je fait ca demain la femme me réclame
bonne nuit :)
bonne nuit :)
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
463
14 janv. 2009 à 00:09
14 janv. 2009 à 00:09
Oki ...
A demain avec les résultats demandés ! ....
ne touche pas au PC autrement que pour faire la manipe et venir ici poursuivre la désinfection ! ... tu es, à ce stade, encore bien infecté ! ...
Bonne nuite :)
A demain avec les résultats demandés ! ....
ne touche pas au PC autrement que pour faire la manipe et venir ici poursuivre la désinfection ! ... tu es, à ce stade, encore bien infecté ! ...
Bonne nuite :)
Anreek
Messages postés
15
Date d'inscription
lundi 12 janvier 2009
Statut
Membre
Dernière intervention
15 janvier 2009
14 janv. 2009 à 20:40
14 janv. 2009 à 20:40
me revoilà donc parfait j'ai pas utilisé le pc de la journée :)
par contre lors de la première manip combofix s'est mis à jour alors j'ai fait la manip en double pour etre sur que la premiere ete ok
et le raport du premier essai
second essai (je pense que le premier ete bien passé)
et le log
merci pour le suivi
par contre lors de la première manip combofix s'est mis à jour alors j'ai fait la manip en double pour etre sur que la premiere ete ok
ComboFix 09-01-13.04 - Administrateur 2009-01-14 20:27:27.2 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1280.976 [GMT 1:00] Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe Commutateurs utilisés :: c:\documents and settings\Administrateur\Bureau\CFScript.txt FILE :: c:\windows\system32\fuhaleke.dll c:\windows\system32\gekoseta.dll c:\windows\system32\gigazayu.dll c:\windows\system32\godobovo.dll c:\windows\system32\hevesopa.dll c:\windows\system32\jisaleyu.dll c:\windows\system32\kufiselu.dll c:\windows\system32\lafokune.dll c:\windows\system32\lahesumo.dll c:\windows\system32\latumonu.dll c:\windows\system32\lenoruta.dll c:\windows\system32\luyehije.dll c:\windows\system32\mofewobi.dll c:\windows\system32\nokemafu.dll c:\windows\system32\nuzevuzi.dll c:\windows\system32\pibujudo.dll c:\windows\system32\rezalefe.dll c:\windows\system32\rizizozu.dll c:\windows\system32\rovozefa.dll c:\windows\system32\sigilawo.dll c:\windows\system32\soremeno.dll c:\windows\system32\sosilore.dll c:\windows\system32\sunapija.dll c:\windows\system32\sunemudu.dll c:\windows\system32\sutojude.dll c:\windows\system32\tehofina.dll c:\windows\system32\tijebevi.dll c:\windows\system32\tofevomu.dll c:\windows\system32\turijola.dll c:\windows\system32\tusiheku.dll c:\windows\system32\tuyihule.dll c:\windows\system32\vodewenu.dll c:\windows\system32\vokubonu.dll c:\windows\system32\vusiwumi.dll c:\windows\system32\wayebomi.dll c:\windows\system32\wisegava.dll c:\windows\system32\witeyaza.dll c:\windows\system32\wovageku.dll c:\windows\system32\yohujoku.dll c:\windows\system32\yovinumo.dll c:\windows\system32\yozuyosa.dll c:\windows\system32\yumamano.dll c:\windows\system32\zedomoje.dll c:\windows\system32\zubayoro.dll . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\system32\fuhaleke.dll c:\windows\system32\gekoseta.dll c:\windows\system32\gigazayu.dll c:\windows\system32\godobovo.dll c:\windows\system32\hevesopa.dll c:\windows\system32\jisaleyu.dll c:\windows\system32\kufiselu.dll c:\windows\system32\lafokune.dll c:\windows\system32\lahesumo.dll c:\windows\system32\latumonu.dll c:\windows\system32\lenoruta.dll c:\windows\system32\luyehije.dll c:\windows\system32\mofewobi.dll c:\windows\system32\nokemafu.dll c:\windows\system32\nuzevuzi.dll c:\windows\system32\pibujudo.dll c:\windows\system32\rezalefe.dll c:\windows\system32\rizizozu.dll c:\windows\system32\rovozefa.dll c:\windows\system32\sigilawo.dll c:\windows\system32\soremeno.dll c:\windows\system32\sosilore.dll c:\windows\system32\sunapija.dll c:\windows\system32\sunemudu.dll c:\windows\system32\sutojude.dll c:\windows\system32\tehofina.dll c:\windows\system32\tijebevi.dll c:\windows\system32\tofevomu.dll c:\windows\system32\turijola.dll c:\windows\system32\tusiheku.dll c:\windows\system32\tuyihule.dll c:\windows\system32\vodewenu.dll c:\windows\system32\vokubonu.dll c:\windows\system32\vusiwumi.dll c:\windows\system32\wayebomi.dll c:\windows\system32\wisegava.dll c:\windows\system32\witeyaza.dll c:\windows\system32\wovageku.dll c:\windows\system32\yohujoku.dll c:\windows\system32\yovinumo.dll c:\windows\system32\yozuyosa.dll c:\windows\system32\yumamano.dll c:\windows\system32\zedomoje.dll c:\windows\system32\zubayoro.dll . ((((((((((((((((((((((((((((( Fichiers créés du 2008-12-14 au 2009-01-14 )))))))))))))))))))))))))))))))))))) . 2009-01-12 11:40 . 2009-01-12 11:43 <REP> d-------- C:\ToolBar SD 2009-01-12 11:33 . 2009-01-12 11:33 <REP> d-------- c:\program files\CCleaner 2009-01-12 09:49 . 2009-01-12 09:49 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware 2009-01-12 09:49 . 2009-01-12 09:49 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes 2009-01-12 09:49 . 2009-01-12 09:49 <REP> d-------- c:\documents and settings\Administrateur\Application Data\Malwarebytes 2009-01-12 09:49 . 2009-01-04 18:38 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2009-01-12 09:49 . 2009-01-04 18:38 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2009-01-12 09:26 . 2009-01-12 09:34 <REP> d-------- c:\program files\Navilog1 2009-01-04 09:39 . 2009-01-04 09:39 <REP> d-------- c:\program files\Lavalys 2008-12-21 12:44 . 2008-12-21 12:46 <REP> d-------- c:\documents and settings\All Users\Application Data\Hitman Pro 3 2008-12-20 20:47 . 2008-12-20 20:47 2,604 ---hs---- c:\windows\system32\watusero.dll 2008-12-20 20:47 . 2008-12-20 20:47 2,604 ---hs---- c:\windows\system32\diyetoji.dll 2008-12-20 19:29 . 2008-12-20 19:29 <REP> d-------- c:\program files\Hitman Pro 3 2008-12-20 19:29 . 2008-12-21 12:30 <REP> d-------- c:\documents and settings\All Users\Application Data\Hitman Pro 2008-12-20 16:37 . 2008-12-20 16:37 151 --a------ c:\windows\system\cmicnfg.ini 2008-12-20 16:10 . 2008-12-20 16:10 96,976 --a------ c:\windows\system32\drivers\klin.dat 2008-12-20 16:10 . 2008-12-20 16:10 87,855 --a------ c:\windows\system32\drivers\klick.dat 2008-12-20 16:09 . 2009-01-14 20:22 <REP> d-------- c:\documents and settings\All Users\Application Data\Kaspersky Lab 2008-12-20 16:09 . 2009-01-14 00:07 3,720,224 --ahs---- c:\windows\system32\drivers\fidbox.dat 2008-12-20 16:09 . 2009-01-14 00:07 229,408 --ahs---- c:\windows\system32\drivers\fidbox2.dat 2008-12-20 16:09 . 2009-01-14 00:07 36,432 --ahs---- c:\windows\system32\drivers\fidbox.idx 2008-12-20 16:09 . 2009-01-14 00:07 2,912 --ahs---- c:\windows\system32\drivers\fidbox2.idx 2008-12-20 16:08 . 2008-12-20 16:08 <REP> d-------- c:\documents and settings\All Users\Application Data\Kaspersky Lab Setup Files 2008-12-19 22:10 . 2008-12-19 22:46 68,424 --a------ c:\windows\system32\drivers\GRD.sys 2008-12-19 21:37 . 2008-12-20 15:47 <REP> d-------- c:\program files\G DATA 2008-12-19 21:37 . 2008-12-20 15:47 <REP> d-------- c:\program files\Fichiers communs\G DATA 2008-12-18 00:46 . 2008-12-18 00:46 <REP> d-------- c:\program files\Precise Biometrics 2008-12-18 00:41 . 2008-12-18 00:41 <REP> d-------- c:\windows\system32\BioAPIFFDB 2008-12-18 00:39 . 2008-12-18 00:46 <REP> d-------- c:\program files\G DATA Software 2008-12-18 00:39 . 2008-12-18 00:39 <REP> d-------- c:\documents and settings\Administrateur\Application Data\InstallShield 2008-12-16 23:32 . 2008-12-19 22:46 48,712 --a------ c:\windows\system32\drivers\MiniIcpt.sys 2008-12-16 23:30 . 2008-12-19 22:48 51,016 --a------ c:\windows\system32\drivers\GDTdiIcpt.sys 2008-12-16 23:30 . 2008-12-16 23:30 22,272 --a------ c:\windows\system32\drivers\GDNdisIc.sys 2008-12-15 20:26 . 2009-01-07 22:01 <REP> d-------- c:\documents and settings\Administrateur\Application Data\teamspeak2 2008-12-15 20:25 . 2008-12-15 20:25 34,064 --a------ c:\windows\system32\lhacm.acm 2008-12-15 10:17 . 2008-12-15 10:17 <REP> dr------- c:\documents and settings\LocalService\Favoris 2008-12-15 09:00 . 2008-12-15 09:00 <REP> dr------- c:\documents and settings\NetworkService\Favoris . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2009-01-12 11:17 --------- d-----w c:\documents and settings\Administrateur\Application Data\uTorrent 2008-12-17 23:39 --------- d--h--w c:\program files\InstallShield Installation Information 2008-12-11 18:46 --------- d-----w c:\program files\Fichiers communs\Blizzard Entertainment 2008-12-11 18:15 --------- d-----w c:\documents and settings\All Users\Application Data\Blizzard 2008-11-30 20:52 --------- d-----w c:\program files\SR 2008-11-21 22:54 --------- d-----w c:\program files\Ref Hotkey 2008-11-17 17:15 --------- d-----w c:\documents and settings\Administrateur\Application Data\ATI 2008-11-17 17:10 --------- d-----w c:\program files\ATI Technologies 2008-11-17 16:56 --------- d-----w c:\program files\MSBuild 2008-11-17 16:55 --------- d-----w c:\program files\Reference Assemblies 2008-11-17 16:48 --------- d-----w c:\program files\MSXML 6.0 2008-11-17 16:29 --------- d-----w c:\program files\Fichiers communs\InstallShield 2008-11-15 23:38 --------- d-----w c:\program files\Fichiers communs\Adobe 2008-11-15 23:36 --------- d-----w c:\program files\Adobe Media Player 2008-11-15 23:33 --------- d-----w c:\program files\Fichiers communs\Adobe AIR 2008-11-15 23:22 --------- d-----w c:\documents and settings\All Users\Application Data\FLEXnet 2008-11-15 23:16 --------- d-----w c:\program files\Smart Projects 2008-11-15 22:35 --------- d-----w c:\program files\Bonjour 2008-11-15 22:25 --------- d-----w c:\program files\Fichiers communs\Macrovision Shared 2008-11-14 23:06 --------- d-----w c:\documents and settings\Administrateur\Application Data\AdobeUM 2008-11-11 19:00 218,376 ----a-w c:\windows\system32\klogon.dll . ------- Sigcheck ------- 2005-07-09 20:40 359040 6a603809f598332dbedd535bdbce313e c:\windows\system32\drivers\tcpip.sys 2005-07-05 18:54 1242112 d061a74aed7a5ac09e9422757628db16 c:\windows\explorer.exe . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2005-07-09 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CoolSwitch"="c:\windows\system32\taskswitch.exe" [2002-03-19 45632] "DAEMON Tools-1033"="c:\program files\D-Tools\daemon.exe" [2004-08-22 81920] "Microsoft Works Update Detection"="c:\program files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe" [2003-06-10 50688] "ATICCC"="c:\program files\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056] "AVP"="c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe" [2008-11-11 206088] c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoSMBalloonTip"= 0 (0x0) [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "ForceClassicControlPanel"= 1 (0x1) "NoSMBalloonTip"= 0 (0x0) [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeCS4ServiceManager] --a------ 2008-08-14 07:58 611712 c:\program files\Fichiers communs\Adobe\CS4ServiceManager\CS4ServiceManager.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HitmanPro3] --a------ 2008-12-20 19:29 4590200 c:\program files\Hitman Pro 3\hitmanpro3.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr] --a------ 2003-02-20 00:49 2185800 c:\program files\MSN Messenger\msnmsgr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2001-07-09 11:50 155648 c:\windows\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NettoyeurTitan] -ra------ 2005-06-14 20:41 16384 c:\program files\OutilsTITAN\NettoyeurTitan\LauncherNTI.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Cmaudio] --a------ 2002-11-01 17:33 421888 c:\windows\system32\CMICNFG.CPL [HKEY_LOCAL_MACHINE\software\microsoft\security center] "UpdatesDisableNotify"="0x00000000" "AntiVirusDisableNotify"="0x00000000" [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) "DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "h:\\logiciel\\Utorrent\\uTorrent.exe"= "c:\\Program Files\\MSN Messenger\\msnmsgr.exe"= "c:\\Program Files\\Bonjour\\mDNSResponder.exe"= "c:\\Program Files\\Fichiers communs\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"= "c:\\Program Files\\Hitman Pro 3\\hitmanpro3.exe"= "c:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus 2009\\avp.exe"= "c:\\WINDOWS\\system32\\wbem\\wmiprvse.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "5353:TCP"= 5353:TCP:Adobe CSI CS4 R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [2008-01-29 32784] R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [2008-04-30 24592] S3 hitmanpro3;Hitman Pro 3 Support Driver;\??\c:\windows\system32\drivers\hitmanpro3.sys --> c:\windows\system32\drivers\hitmanpro3.sys [?] [COLOR=RED]NETSVCS REQUIRES REPAIRS - current entries shown/COLOR 6to4 AppMgmt AudioSrv Browser CryptSvc DMServer DHCP EventSystem FastUserSwitchingCompatibility HidServ Ias Iprip Irmon LanmanServer LanmanWorkstation Netman Nla Ntmssvc NWCWorkstation Nwsapagent Rasauto Rasman Remoteaccess Schedule Seclogon SENS Sharedaccess Tapisrv Themes TrkWks WZCSVC Wmi WmdmPmSp winmgmt xmlprov BITS wuauserv ShellHWDetection helpsvc WmdmPmSN HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs . . ------- Examen supplémentaire ------- . mWindow Title = uInternet Settings,ProxyOverride = *.local IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000 . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-01-14 20:28:49 Windows 5.1.2600 Service Pack 2 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** . --------------------- DLLs chargées dans les processus actifs --------------------- - - - - - - - > 'winlogon.exe'(564) c:\windows\system32\Ati2evxx.dll . Heure de fin: 2009-01-14 20:29:54 ComboFix-quarantined-files.txt 2009-01-14 19:29:51 ComboFix2.txt 2009-01-13 22:26:29 Avant-CF: 12 337 541 120 octets libres Après-CF: 12,330,049,536 octets libres 289
et le raport du premier essai
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:31:21, on 14/01/2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Bonjour\mDNSResponder.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\taskswitch.exe C:\Program Files\D-Tools\daemon.exe C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe C:\Program Files\ATI Technologies\ATI.ACE\cli.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\ATI Technologies\ATI.ACE\cli.exe C:\Program Files\ATI Technologies\ATI.ACE\cli.exe C:\WINDOWS\explorer.exe C:\Documents and Settings\Administrateur\Bureau\HiJackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra button: Web traffic protection statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll O14 - IERESET.INF: START_PAGE_URL=https://www.google.fr/?gws_rd=ssl O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: UPS - Unknown owner - C:\WINDOWS\System32\ups.exe (file missing) -- End of file - 3744 bytes
second essai (je pense que le premier ete bien passé)
ComboFix 09-01-13.04 - Administrateur 2009-01-14 20:33:26.3 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1280.952 [GMT 1:00] Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe Commutateurs utilisés :: c:\documents and settings\Administrateur\Bureau\CFScript.txt FILE :: c:\windows\system32\fuhaleke.dll c:\windows\system32\gekoseta.dll c:\windows\system32\gigazayu.dll c:\windows\system32\godobovo.dll c:\windows\system32\hevesopa.dll c:\windows\system32\jisaleyu.dll c:\windows\system32\kufiselu.dll c:\windows\system32\lafokune.dll c:\windows\system32\lahesumo.dll c:\windows\system32\latumonu.dll c:\windows\system32\lenoruta.dll c:\windows\system32\luyehije.dll c:\windows\system32\mofewobi.dll c:\windows\system32\nokemafu.dll c:\windows\system32\nuzevuzi.dll c:\windows\system32\pibujudo.dll c:\windows\system32\rezalefe.dll c:\windows\system32\rizizozu.dll c:\windows\system32\rovozefa.dll c:\windows\system32\sigilawo.dll c:\windows\system32\soremeno.dll c:\windows\system32\sosilore.dll c:\windows\system32\sunapija.dll c:\windows\system32\sunemudu.dll c:\windows\system32\sutojude.dll c:\windows\system32\tehofina.dll c:\windows\system32\tijebevi.dll c:\windows\system32\tofevomu.dll c:\windows\system32\turijola.dll c:\windows\system32\tusiheku.dll c:\windows\system32\tuyihule.dll c:\windows\system32\vodewenu.dll c:\windows\system32\vokubonu.dll c:\windows\system32\vusiwumi.dll c:\windows\system32\wayebomi.dll c:\windows\system32\wisegava.dll c:\windows\system32\witeyaza.dll c:\windows\system32\wovageku.dll c:\windows\system32\yohujoku.dll c:\windows\system32\yovinumo.dll c:\windows\system32\yozuyosa.dll c:\windows\system32\yumamano.dll c:\windows\system32\zedomoje.dll c:\windows\system32\zubayoro.dll . ((((((((((((((((((((((((((((( Fichiers créés du 2008-12-14 au 2009-01-14 )))))))))))))))))))))))))))))))))))) . 2009-01-12 11:40 . 2009-01-12 11:43 <REP> d-------- C:\ToolBar SD 2009-01-12 11:33 . 2009-01-12 11:33 <REP> d-------- c:\program files\CCleaner 2009-01-12 09:49 . 2009-01-12 09:49 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware 2009-01-12 09:49 . 2009-01-12 09:49 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes 2009-01-12 09:49 . 2009-01-12 09:49 <REP> d-------- c:\documents and settings\Administrateur\Application Data\Malwarebytes 2009-01-12 09:49 . 2009-01-04 18:38 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2009-01-12 09:49 . 2009-01-04 18:38 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2009-01-12 09:26 . 2009-01-12 09:34 <REP> d-------- c:\program files\Navilog1 2009-01-04 09:39 . 2009-01-04 09:39 <REP> d-------- c:\program files\Lavalys 2008-12-21 12:44 . 2008-12-21 12:46 <REP> d-------- c:\documents and settings\All Users\Application Data\Hitman Pro 3 2008-12-20 20:47 . 2008-12-20 20:47 2,604 ---hs---- c:\windows\system32\watusero.dll 2008-12-20 20:47 . 2008-12-20 20:47 2,604 ---hs---- c:\windows\system32\diyetoji.dll 2008-12-20 19:29 . 2008-12-20 19:29 <REP> d-------- c:\program files\Hitman Pro 3 2008-12-20 19:29 . 2008-12-21 12:30 <REP> d-------- c:\documents and settings\All Users\Application Data\Hitman Pro 2008-12-20 16:37 . 2008-12-20 16:37 151 --a------ c:\windows\system\cmicnfg.ini 2008-12-20 16:10 . 2008-12-20 16:10 96,976 --a------ c:\windows\system32\drivers\klin.dat 2008-12-20 16:10 . 2008-12-20 16:10 87,855 --a------ c:\windows\system32\drivers\klick.dat 2008-12-20 16:09 . 2009-01-14 20:22 <REP> d-------- c:\documents and settings\All Users\Application Data\Kaspersky Lab 2008-12-20 16:09 . 2009-01-14 00:07 3,720,224 --ahs---- c:\windows\system32\drivers\fidbox.dat 2008-12-20 16:09 . 2009-01-14 00:07 229,408 --ahs---- c:\windows\system32\drivers\fidbox2.dat 2008-12-20 16:09 . 2009-01-14 00:07 36,432 --ahs---- c:\windows\system32\drivers\fidbox.idx 2008-12-20 16:09 . 2009-01-14 00:07 2,912 --ahs---- c:\windows\system32\drivers\fidbox2.idx 2008-12-20 16:08 . 2008-12-20 16:08 <REP> d-------- c:\documents and settings\All Users\Application Data\Kaspersky Lab Setup Files 2008-12-19 22:10 . 2008-12-19 22:46 68,424 --a------ c:\windows\system32\drivers\GRD.sys 2008-12-19 21:37 . 2008-12-20 15:47 <REP> d-------- c:\program files\G DATA 2008-12-19 21:37 . 2008-12-20 15:47 <REP> d-------- c:\program files\Fichiers communs\G DATA 2008-12-18 00:46 . 2008-12-18 00:46 <REP> d-------- c:\program files\Precise Biometrics 2008-12-18 00:41 . 2008-12-18 00:41 <REP> d-------- c:\windows\system32\BioAPIFFDB 2008-12-18 00:39 . 2008-12-18 00:46 <REP> d-------- c:\program files\G DATA Software 2008-12-18 00:39 . 2008-12-18 00:39 <REP> d-------- c:\documents and settings\Administrateur\Application Data\InstallShield 2008-12-16 23:32 . 2008-12-19 22:46 48,712 --a------ c:\windows\system32\drivers\MiniIcpt.sys 2008-12-16 23:30 . 2008-12-19 22:48 51,016 --a------ c:\windows\system32\drivers\GDTdiIcpt.sys 2008-12-16 23:30 . 2008-12-16 23:30 22,272 --a------ c:\windows\system32\drivers\GDNdisIc.sys 2008-12-15 20:26 . 2009-01-07 22:01 <REP> d-------- c:\documents and settings\Administrateur\Application Data\teamspeak2 2008-12-15 20:25 . 2008-12-15 20:25 34,064 --a------ c:\windows\system32\lhacm.acm 2008-12-15 10:17 . 2008-12-15 10:17 <REP> dr------- c:\documents and settings\LocalService\Favoris 2008-12-15 09:00 . 2008-12-15 09:00 <REP> dr------- c:\documents and settings\NetworkService\Favoris . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2009-01-12 11:17 --------- d-----w c:\documents and settings\Administrateur\Application Data\uTorrent 2008-12-17 23:39 --------- d--h--w c:\program files\InstallShield Installation Information 2008-12-11 18:46 --------- d-----w c:\program files\Fichiers communs\Blizzard Entertainment 2008-12-11 18:15 --------- d-----w c:\documents and settings\All Users\Application Data\Blizzard 2008-11-30 20:52 --------- d-----w c:\program files\SR 2008-11-21 22:54 --------- d-----w c:\program files\Ref Hotkey 2008-11-17 17:15 --------- d-----w c:\documents and settings\Administrateur\Application Data\ATI 2008-11-17 17:10 --------- d-----w c:\program files\ATI Technologies 2008-11-17 16:56 --------- d-----w c:\program files\MSBuild 2008-11-17 16:55 --------- d-----w c:\program files\Reference Assemblies 2008-11-17 16:48 --------- d-----w c:\program files\MSXML 6.0 2008-11-17 16:29 --------- d-----w c:\program files\Fichiers communs\InstallShield 2008-11-15 23:38 --------- d-----w c:\program files\Fichiers communs\Adobe 2008-11-15 23:36 --------- d-----w c:\program files\Adobe Media Player 2008-11-15 23:33 --------- d-----w c:\program files\Fichiers communs\Adobe AIR 2008-11-15 23:22 --------- d-----w c:\documents and settings\All Users\Application Data\FLEXnet 2008-11-15 23:16 --------- d-----w c:\program files\Smart Projects 2008-11-15 22:35 --------- d-----w c:\program files\Bonjour 2008-11-15 22:25 --------- d-----w c:\program files\Fichiers communs\Macrovision Shared 2008-11-14 23:06 --------- d-----w c:\documents and settings\Administrateur\Application Data\AdobeUM 2008-11-11 19:00 218,376 ----a-w c:\windows\system32\klogon.dll . ------- Sigcheck ------- 2005-07-09 20:40 359040 6a603809f598332dbedd535bdbce313e c:\windows\system32\drivers\tcpip.sys 2005-07-05 18:54 1242112 d061a74aed7a5ac09e9422757628db16 c:\windows\explorer.exe . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2005-07-09 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CoolSwitch"="c:\windows\system32\taskswitch.exe" [2002-03-19 45632] "DAEMON Tools-1033"="c:\program files\D-Tools\daemon.exe" [2004-08-22 81920] "Microsoft Works Update Detection"="c:\program files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe" [2003-06-10 50688] "ATICCC"="c:\program files\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056] "AVP"="c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe" [2008-11-11 206088] c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoSMBalloonTip"= 0 (0x0) [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "ForceClassicControlPanel"= 1 (0x1) "NoSMBalloonTip"= 0 (0x0) [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeCS4ServiceManager] --a------ 2008-08-14 07:58 611712 c:\program files\Fichiers communs\Adobe\CS4ServiceManager\CS4ServiceManager.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HitmanPro3] --a------ 2008-12-20 19:29 4590200 c:\program files\Hitman Pro 3\hitmanpro3.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr] --a------ 2003-02-20 00:49 2185800 c:\program files\MSN Messenger\msnmsgr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2001-07-09 11:50 155648 c:\windows\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NettoyeurTitan] -ra------ 2005-06-14 20:41 16384 c:\program files\OutilsTITAN\NettoyeurTitan\LauncherNTI.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Cmaudio] --a------ 2002-11-01 17:33 421888 c:\windows\system32\CMICNFG.CPL [HKEY_LOCAL_MACHINE\software\microsoft\security center] "UpdatesDisableNotify"="0x00000000" "AntiVirusDisableNotify"="0x00000000" [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) "DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "h:\\logiciel\\Utorrent\\uTorrent.exe"= "c:\\Program Files\\MSN Messenger\\msnmsgr.exe"= "c:\\Program Files\\Bonjour\\mDNSResponder.exe"= "c:\\Program Files\\Fichiers communs\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"= "c:\\Program Files\\Hitman Pro 3\\hitmanpro3.exe"= "c:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus 2009\\avp.exe"= "c:\\WINDOWS\\system32\\wbem\\wmiprvse.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "5353:TCP"= 5353:TCP:Adobe CSI CS4 R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [2008-01-29 32784] R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [2008-04-30 24592] S3 hitmanpro3;Hitman Pro 3 Support Driver;\??\c:\windows\system32\drivers\hitmanpro3.sys --> c:\windows\system32\drivers\hitmanpro3.sys [?] [COLOR=RED]NETSVCS REQUIRES REPAIRS - current entries shown/COLOR 6to4 AppMgmt AudioSrv Browser CryptSvc DMServer DHCP EventSystem FastUserSwitchingCompatibility HidServ Ias Iprip Irmon LanmanServer LanmanWorkstation Netman Nla Ntmssvc NWCWorkstation Nwsapagent Rasauto Rasman Remoteaccess Schedule Seclogon SENS Sharedaccess Tapisrv Themes TrkWks WZCSVC Wmi WmdmPmSp winmgmt xmlprov BITS wuauserv ShellHWDetection helpsvc WmdmPmSN HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs . . ------- Examen supplémentaire ------- . mWindow Title = uInternet Settings,ProxyOverride = *.local IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000 . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-01-14 20:34:24 Windows 5.1.2600 Service Pack 2 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** . --------------------- DLLs chargées dans les processus actifs --------------------- - - - - - - - > 'winlogon.exe'(564) c:\windows\system32\Ati2evxx.dll . Heure de fin: 2009-01-14 20:35:27 ComboFix-quarantined-files.txt 2009-01-14 19:35:25 ComboFix2.txt 2009-01-14 19:29:55 ComboFix3.txt 2009-01-13 22:26:29 Avant-CF: 12 336 943 104 octets libres Après-CF: 12,329,648,128 octets libres 243
et le log
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:35:54, on 14/01/2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Bonjour\mDNSResponder.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\taskswitch.exe C:\Program Files\D-Tools\daemon.exe C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe C:\Program Files\ATI Technologies\ATI.ACE\cli.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\ATI Technologies\ATI.ACE\cli.exe C:\Program Files\ATI Technologies\ATI.ACE\cli.exe C:\WINDOWS\explorer.exe C:\Documents and Settings\Administrateur\Bureau\HiJackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra button: Web traffic protection statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll O14 - IERESET.INF: START_PAGE_URL=https://www.google.fr/?gws_rd=ssl O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: UPS - Unknown owner - C:\WINDOWS\System32\ups.exe (file missing) -- End of file - 3744 bytes
merci pour le suivi
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
463
14 janv. 2009 à 21:19
14 janv. 2009 à 21:19
Salut,
encore deux autres fichiers infectieux se sont créés entre temps ... ^^'
refais ceci :
1-Créer un doc texte sur ton bureau :
pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .
Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :
File::
c:\windows\system32\watusero.dll
c:\windows\system32\diyetoji.dll
Puis va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valide ...
2-Nettoyage :
!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!
--->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .
(Regarde ici : http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript.gif )
Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tape 1 puis valide.
Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)
!! Ne touches à rien tant que le scan n'est pas terminé !!
Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
Une fois le scan achevé, un rapport va s'afficher : poste le accompagné d' un nouveau rapport HijackThis pour analyse ...
( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )
encore deux autres fichiers infectieux se sont créés entre temps ... ^^'
refais ceci :
1-Créer un doc texte sur ton bureau :
pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .
Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :
File::
c:\windows\system32\watusero.dll
c:\windows\system32\diyetoji.dll
Puis va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valide ...
2-Nettoyage :
!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!
--->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .
(Regarde ici : http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript.gif )
Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tape 1 puis valide.
Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)
!! Ne touches à rien tant que le scan n'est pas terminé !!
Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
Une fois le scan achevé, un rapport va s'afficher : poste le accompagné d' un nouveau rapport HijackThis pour analyse ...
( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )
Anreek
Messages postés
15
Date d'inscription
lundi 12 janvier 2009
Statut
Membre
Dernière intervention
15 janvier 2009
14 janv. 2009 à 21:37
14 janv. 2009 à 21:37
voila, encore merci
et ca
ComboFix 09-01-13.04 - Administrateur 2009-01-14 21:32:28.4 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1280.945 [GMT 1:00] Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe Commutateurs utilisés :: c:\documents and settings\Administrateur\Bureau\CFScript.txt FILE :: c:\windows\system32\diyetoji.dll c:\windows\system32\watusero.dll . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\system32\diyetoji.dll c:\windows\system32\watusero.dll . ((((((((((((((((((((((((((((( Fichiers créés du 2008-12-14 au 2009-01-14 )))))))))))))))))))))))))))))))))))) . 2009-01-12 11:40 . 2009-01-12 11:43 <REP> d-------- C:\ToolBar SD 2009-01-12 11:33 . 2009-01-12 11:33 <REP> d-------- c:\program files\CCleaner 2009-01-12 09:49 . 2009-01-12 09:49 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware 2009-01-12 09:49 . 2009-01-12 09:49 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes 2009-01-12 09:49 . 2009-01-12 09:49 <REP> d-------- c:\documents and settings\Administrateur\Application Data\Malwarebytes 2009-01-12 09:49 . 2009-01-04 18:38 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2009-01-12 09:49 . 2009-01-04 18:38 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2009-01-12 09:26 . 2009-01-12 09:34 <REP> d-------- c:\program files\Navilog1 2009-01-04 09:39 . 2009-01-04 09:39 <REP> d-------- c:\program files\Lavalys 2008-12-21 12:44 . 2008-12-21 12:46 <REP> d-------- c:\documents and settings\All Users\Application Data\Hitman Pro 3 2008-12-20 19:29 . 2008-12-20 19:29 <REP> d-------- c:\program files\Hitman Pro 3 2008-12-20 19:29 . 2008-12-21 12:30 <REP> d-------- c:\documents and settings\All Users\Application Data\Hitman Pro 2008-12-20 16:37 . 2008-12-20 16:37 151 --a------ c:\windows\system\cmicnfg.ini 2008-12-20 16:10 . 2008-12-20 16:10 96,976 --a------ c:\windows\system32\drivers\klin.dat 2008-12-20 16:10 . 2008-12-20 16:10 87,855 --a------ c:\windows\system32\drivers\klick.dat 2008-12-20 16:09 . 2009-01-14 20:22 <REP> d-------- c:\documents and settings\All Users\Application Data\Kaspersky Lab 2008-12-20 16:09 . 2009-01-14 00:07 3,720,224 --ahs---- c:\windows\system32\drivers\fidbox.dat 2008-12-20 16:09 . 2009-01-14 00:07 229,408 --ahs---- c:\windows\system32\drivers\fidbox2.dat 2008-12-20 16:09 . 2009-01-14 00:07 36,432 --ahs---- c:\windows\system32\drivers\fidbox.idx 2008-12-20 16:09 . 2009-01-14 00:07 2,912 --ahs---- c:\windows\system32\drivers\fidbox2.idx 2008-12-20 16:08 . 2008-12-20 16:08 <REP> d-------- c:\documents and settings\All Users\Application Data\Kaspersky Lab Setup Files 2008-12-19 22:10 . 2008-12-19 22:46 68,424 --a------ c:\windows\system32\drivers\GRD.sys 2008-12-19 21:37 . 2008-12-20 15:47 <REP> d-------- c:\program files\G DATA 2008-12-19 21:37 . 2008-12-20 15:47 <REP> d-------- c:\program files\Fichiers communs\G DATA 2008-12-18 00:46 . 2008-12-18 00:46 <REP> d-------- c:\program files\Precise Biometrics 2008-12-18 00:41 . 2008-12-18 00:41 <REP> d-------- c:\windows\system32\BioAPIFFDB 2008-12-18 00:39 . 2008-12-18 00:46 <REP> d-------- c:\program files\G DATA Software 2008-12-18 00:39 . 2008-12-18 00:39 <REP> d-------- c:\documents and settings\Administrateur\Application Data\InstallShield 2008-12-16 23:32 . 2008-12-19 22:46 48,712 --a------ c:\windows\system32\drivers\MiniIcpt.sys 2008-12-16 23:30 . 2008-12-19 22:48 51,016 --a------ c:\windows\system32\drivers\GDTdiIcpt.sys 2008-12-16 23:30 . 2008-12-16 23:30 22,272 --a------ c:\windows\system32\drivers\GDNdisIc.sys 2008-12-15 20:26 . 2009-01-07 22:01 <REP> d-------- c:\documents and settings\Administrateur\Application Data\teamspeak2 2008-12-15 20:25 . 2008-12-15 20:25 34,064 --a------ c:\windows\system32\lhacm.acm 2008-12-15 10:17 . 2008-12-15 10:17 <REP> dr------- c:\documents and settings\LocalService\Favoris 2008-12-15 09:00 . 2008-12-15 09:00 <REP> dr------- c:\documents and settings\NetworkService\Favoris . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2009-01-12 11:17 --------- d-----w c:\documents and settings\Administrateur\Application Data\uTorrent 2008-12-17 23:39 --------- d--h--w c:\program files\InstallShield Installation Information 2008-12-11 18:46 --------- d-----w c:\program files\Fichiers communs\Blizzard Entertainment 2008-12-11 18:15 --------- d-----w c:\documents and settings\All Users\Application Data\Blizzard 2008-11-30 20:52 --------- d-----w c:\program files\SR 2008-11-21 22:54 --------- d-----w c:\program files\Ref Hotkey 2008-11-17 17:15 --------- d-----w c:\documents and settings\Administrateur\Application Data\ATI 2008-11-17 17:10 --------- d-----w c:\program files\ATI Technologies 2008-11-17 16:56 --------- d-----w c:\program files\MSBuild 2008-11-17 16:55 --------- d-----w c:\program files\Reference Assemblies 2008-11-17 16:48 --------- d-----w c:\program files\MSXML 6.0 2008-11-17 16:29 --------- d-----w c:\program files\Fichiers communs\InstallShield 2008-11-15 23:38 --------- d-----w c:\program files\Fichiers communs\Adobe 2008-11-15 23:36 --------- d-----w c:\program files\Adobe Media Player 2008-11-15 23:33 --------- d-----w c:\program files\Fichiers communs\Adobe AIR 2008-11-15 23:22 --------- d-----w c:\documents and settings\All Users\Application Data\FLEXnet 2008-11-15 23:16 --------- d-----w c:\program files\Smart Projects 2008-11-15 22:35 --------- d-----w c:\program files\Bonjour 2008-11-15 22:25 --------- d-----w c:\program files\Fichiers communs\Macrovision Shared 2008-11-14 23:06 --------- d-----w c:\documents and settings\Administrateur\Application Data\AdobeUM 2008-11-11 19:00 218,376 ----a-w c:\windows\system32\klogon.dll . ------- Sigcheck ------- 2005-07-09 20:40 359040 6a603809f598332dbedd535bdbce313e c:\windows\system32\drivers\tcpip.sys 2005-07-05 18:54 1242112 d061a74aed7a5ac09e9422757628db16 c:\windows\explorer.exe . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2005-07-09 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CoolSwitch"="c:\windows\system32\taskswitch.exe" [2002-03-19 45632] "DAEMON Tools-1033"="c:\program files\D-Tools\daemon.exe" [2004-08-22 81920] "Microsoft Works Update Detection"="c:\program files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe" [2003-06-10 50688] "ATICCC"="c:\program files\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056] "AVP"="c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe" [2008-11-11 206088] c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoSMBalloonTip"= 0 (0x0) [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "ForceClassicControlPanel"= 1 (0x1) "NoSMBalloonTip"= 0 (0x0) [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeCS4ServiceManager] --a------ 2008-08-14 07:58 611712 c:\program files\Fichiers communs\Adobe\CS4ServiceManager\CS4ServiceManager.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HitmanPro3] --a------ 2008-12-20 19:29 4590200 c:\program files\Hitman Pro 3\hitmanpro3.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr] --a------ 2003-02-20 00:49 2185800 c:\program files\MSN Messenger\msnmsgr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2001-07-09 11:50 155648 c:\windows\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NettoyeurTitan] -ra------ 2005-06-14 20:41 16384 c:\program files\OutilsTITAN\NettoyeurTitan\LauncherNTI.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Cmaudio] --a------ 2002-11-01 17:33 421888 c:\windows\system32\CMICNFG.CPL [HKEY_LOCAL_MACHINE\software\microsoft\security center] "UpdatesDisableNotify"="0x00000000" "AntiVirusDisableNotify"="0x00000000" [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) "DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "h:\\logiciel\\Utorrent\\uTorrent.exe"= "c:\\Program Files\\MSN Messenger\\msnmsgr.exe"= "c:\\Program Files\\Bonjour\\mDNSResponder.exe"= "c:\\Program Files\\Fichiers communs\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"= "c:\\Program Files\\Hitman Pro 3\\hitmanpro3.exe"= "c:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus 2009\\avp.exe"= "c:\\WINDOWS\\system32\\wbem\\wmiprvse.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "5353:TCP"= 5353:TCP:Adobe CSI CS4 R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [2008-01-29 32784] R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [2008-04-30 24592] S3 hitmanpro3;Hitman Pro 3 Support Driver;\??\c:\windows\system32\drivers\hitmanpro3.sys --> c:\windows\system32\drivers\hitmanpro3.sys [?] [COLOR=RED]NETSVCS REQUIRES REPAIRS - current entries shown/COLOR 6to4 AppMgmt AudioSrv Browser CryptSvc DMServer DHCP EventSystem FastUserSwitchingCompatibility HidServ Ias Iprip Irmon LanmanServer LanmanWorkstation Netman Nla Ntmssvc NWCWorkstation Nwsapagent Rasauto Rasman Remoteaccess Schedule Seclogon SENS Sharedaccess Tapisrv Themes TrkWks WZCSVC Wmi WmdmPmSp winmgmt xmlprov BITS wuauserv ShellHWDetection helpsvc WmdmPmSN HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs . . ------- Examen supplémentaire ------- . mWindow Title = uInternet Settings,ProxyOverride = *.local IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000 . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-01-14 21:33:25 Windows 5.1.2600 Service Pack 2 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** . --------------------- DLLs chargées dans les processus actifs --------------------- - - - - - - - > 'winlogon.exe'(564) c:\windows\system32\Ati2evxx.dll . Heure de fin: 2009-01-14 21:34:28 ComboFix-quarantined-files.txt 2009-01-14 20:34:25 ComboFix2.txt 2009-01-14 19:35:30 ComboFix3.txt 2009-01-14 19:29:55 ComboFix4.txt 2009-01-13 22:26:29 Avant-CF: 12 336 562 176 octets libres Après-CF: 12,329,590,784 octets libres 205
et ca
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:36:18, on 14/01/2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Bonjour\mDNSResponder.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\taskswitch.exe C:\Program Files\D-Tools\daemon.exe C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe C:\Program Files\ATI Technologies\ATI.ACE\cli.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\ATI Technologies\ATI.ACE\cli.exe C:\Program Files\ATI Technologies\ATI.ACE\cli.exe C:\WINDOWS\system32\notepad.exe C:\WINDOWS\explorer.exe C:\Documents and Settings\Administrateur\Bureau\HiJackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra button: Web traffic protection statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll O14 - IERESET.INF: START_PAGE_URL=https://www.google.fr/?gws_rd=ssl O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: UPS - Unknown owner - C:\WINDOWS\System32\ups.exe (file missing) -- End of file - 3777 bytes
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
463
14 janv. 2009 à 21:46
14 janv. 2009 à 21:46
Impec ...
dis moi comment va le Pc maintenant .... du mieux ?
puis fais ceci :
Télécharge GenProc (de Jean-Chretien1 et Narco4) sur ton bureau (et pas ailleur !) :
http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip
!!Déconnecte toi et ferme tes applications en cours !!
Dézippe (=extraire tout) le contenu de ce que tu viens de télécharger sur ton bureau .
Ouvre le dossier Genproc :
* double-clique sur GenProc.bat et laisse faire ...
* A la question "faites vous aidez sur un forum..." > clique sur " oui " .
-> poste le contenu du rapport qui s'ouvre ...
Aide en images ici : http://www.alt-shift-return.org/Info/GenProc-HowTo.html
IMPORTANT : poste le rapport et ne fais rien d'autre pour l'instant ( souvant il faut ajouter des consignes à la manipe indiquée pour que cela fonctionne parfaitement ) .
dis moi comment va le Pc maintenant .... du mieux ?
puis fais ceci :
Télécharge GenProc (de Jean-Chretien1 et Narco4) sur ton bureau (et pas ailleur !) :
http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip
!!Déconnecte toi et ferme tes applications en cours !!
Dézippe (=extraire tout) le contenu de ce que tu viens de télécharger sur ton bureau .
Ouvre le dossier Genproc :
* double-clique sur GenProc.bat et laisse faire ...
* A la question "faites vous aidez sur un forum..." > clique sur " oui " .
-> poste le contenu du rapport qui s'ouvre ...
Aide en images ici : http://www.alt-shift-return.org/Info/GenProc-HowTo.html
IMPORTANT : poste le rapport et ne fais rien d'autre pour l'instant ( souvant il faut ajouter des consignes à la manipe indiquée pour que cela fonctionne parfaitement ) .
Anreek
Messages postés
15
Date d'inscription
lundi 12 janvier 2009
Statut
Membre
Dernière intervention
15 janvier 2009
14 janv. 2009 à 22:30
14 janv. 2009 à 22:30
heu ouai c'est plutôt pas mal, il est plus leger au démarrage j'ai l'impression, mais une ou deux choses m'inquiètes, y'as des truc qui sont revenu entre 2 manip, ils vont revenir?
y'as pas un genre de fix a mettre qque part?
je part faire l'etape marquée au dessus
y'as pas un genre de fix a mettre qque part?
je part faire l'etape marquée au dessus
