Virus .exe ?! Résolu/Fermé

Question

Bonjour,
Voilà en faite je crois avoir un virus qui supprimer certains fichiers .exe (Ccleaner.exe, MSN Messenger, ...)
Il m'empêche aussi de lancer certains programmes, notamment Ccleaner.exe qui se ferme directement après que je l'aie ouvert (et des setup aussi).
Je suis assez mauvais en informatique mais j'ai fait quelques recherches avec des cas un peu similaire mais je crois que c'était deux problèmes distincts.
Je peux toujours utiliser certains programmes (reste à savoir jusqu'à quand, on dirait qu'ils s'enlèvent progressivement ou je me fais des idées...) comme HiJackThis (je vous envois le rapport).

Mais bon pour être honnête je crois que le soucis vient d'un crack sur photoshop qu'un ami m'avait prêté il y a peu... (aurai mieux fait de pas accepter --').
Enfin je suis bloqué maintenant, je m'en remet à vous, merci d'avance :/

(Ah oui, je n'ai pas vraiment d'Antivirus ou quoi, c'est un peu stupide de ma part j'en suis désolé :/ J'ai essayé d'installer Avast après avoir compris pour le virus mais lorsque j'ouvre le setup, mon PC affiche un ecran bleu "Physical Error...")

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:32, on 2009-01-27
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Rising\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Rising\Rav\Ravmond.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Intel\Wireless\Bin\OProtSvc.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Pen_Tablet.exe
C:\WINDOWS\system32\WTablet\Pen_TabletUser.exe
C:\WINDOWS\system32\Pen_Tablet.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\conime.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\YU\&#26700;&#38754;\ELIBAGLA.%D8C%D8BB%D8%D8I.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\YU\&#26700;&#38754;\HiJackThis.exe

R3 - URLSearchHook: Yahoo! &#956;?o?ì? - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\ckvo.exe
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [!CNS]  ?D??é?í?
O11 - Options group: [CDNCLIENT]  ?D??é?í?
O11 - Options group: [TBH] ?D??????
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: OwnershipProtocol - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\OProtSvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Rising Proxy  Service (RfwProxySrv) - Unknown owner - c:\program files\rising\rfw\rfwproxy.exe (file missing)
O23 - Service: Rising Personal Firewall Service (RfwService) - Unknown owner - C:\Program Files\Rising\Rfw\rfwsrv.exe (file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe
O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\Ravmond.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: TabletServicePen - Wacom Technology, Corp. - C:\WINDOWS\system32\Pen_Tablet.exe
O23 - Service: User Profile Hive Cleanup (UPHClean) - Unknown owner - C:\Program Files\UPHClean\uphclean.exe (file missing)

Destrio5 · Answer

Salut,

- Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.

- Double-clique sur RSIT.exe afin de lancer le programme.

- Clique sur Continue à l'écran Disclaimer.

- Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

- Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches).

Note : Les rapports sont sauvegardés dans le dossier C:\rsit.

Tiande · Answer

Merci pour m'avoir répondu si rapidement mais le programme que tu m'as envoyé plante à 3 barres vertes (environ 3-5% je suppose) du chargement.
Au bout de 10 minutes je l'ai fermé (fallait pas ? :o), désolé :/

Destrio5 · Answer

---> Télécharge Malwarebytes' Anti-Malware (MBAM) sur ton Bureau.
---> Double-clique sur le fichier téléchargé pour lancer le processus d'installation.
---> Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour : si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, accepte.
---> Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.
---> Sélectionne Exécuter un examen rapide.
---> Clique sur Rechercher. L'analyse démarre.

A la fin de l'analyse, un message s'affiche :

L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.

---> Clique sur OK pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
---> Ferme tes navigateurs.
Si des malwares ont été détectés, clique sur Afficher les résultats.
---> Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.
---> MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.

Tiande · Answer

Désolé mais je suis vraiment un cas à problème (on fait la paire avec mon vieux pc) http://img142.imageshack.us/img142/8019/malwaeaq6.jpg Voilà ce qui s'affiche Vu que mon PC est un mélange de chinois avec du français, il y a parfois des soucis comme ça... En appuyant sur le bouton avec <<"..."ent nuisible n'a "..."? d...>>, c'est comme faire précédent et je me retrouve à nouveau dans la page avec le choix recherche complète ou rapide Sinon le bouton quitter n'aide pas et les onglets ne fonctionnent pas O_O' (il reste le texte marqué en rouge sur la bannière mais je pense pas qu'il y ait un rapport)

Utilisateur anonyme · Answer

Bonsoir :)

En accord avec Destrio,

> Télécharge DiagHelp.zip (de Malekal_morte) sur ton bureau : http://www.malekal.com/download/DiagHelp.zip
- Ne double-clic pas dessus !! Fais un clic droit sur le fichier et extraire tout
- Un nouveau dossier  DiagHelp va être créé.
- Ouvre le et double-clic sur go.cmd (le .cmd peut ne pas apparaître)
- Une fenêtre va s'ouvrir, choisis l'option 1
- L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande.
- A la fin de l'analyse, il te sera redemandé de redémarrer l'ordinateur... Une fois l'ordinateur redémarré le rapport va apparaître sur le bloc-note.. Ce dernier se trouve aussi ici C:\resultat.txt
- Copie/colle le contenu du rapport obtenu et poste le sur le forum
Tuto si besoin est : http://www.malekal.com/DiagHelp/DiagHelp.php



Merci.

A+

Tiande · Answer

Ah merci aussi pour l'aide DllD ^^' Euh bah alors voilà le résultat : (je n'ai pas du redémarrer le pc par contre :x) DiagHelp version v1.4 - http://www.malekal.com excute le 2009-01-27 ? 2:13:14.48 System information for \TIANDE: Uptime: 0 days 0 hours 57 minutes 35 seconds Kernel version: Microsoft Windows XP, Uniprocessor Free Product type: Professional Product version: 5.1 Service pack: 2 Kernel build number: 2600 Registered organization: Registered owner: chenyu Install date: 2007-09-24, 20:31 Activation status: Error reading status IE version: 6.0000 System root: C:\WINDOWS Processors: 1 Processor speed: 1.5 GHz Processor type: Intel(R) Pentium(R) M processor Physical memory: 504 MB Video driver: Mobile Intel(R) 915GM/GMS,910GML Express Chipset Family Volume Type Format Label Size Free Free C: Fixed NTFS 19.53 GB 9.02 GB 46.2% D: CD-ROM CDFS TheFrozenThrone 524.17 MB 0.0% E: Fixed NTFS 4.43 GB 4.17 GB 94.1% F: Fixed NTFS 4.43 GB 4.40 GB 99.4% G: Fixed NTFS 4.43 GB 1.06 GB 24.0% H: Fixed NTFS 4.44 GB 1.28 GB 28.8% I: Removable 0.0% J: Removable 0.0% K: Removable FAT32 UDISK 3.73 GB 3.73 GB 100.0% C:\WINDOWS\prefetch\WINRAR.EXE-39C6DAD9.pf -->2009-01-27 02:12:09 C:\WINDOWS\prefetch\TELNET.EXE-24182D40.pf -->2009-01-27 02:07:10 C:\WINDOWS\prefetch\NOTEPAD.EXE-336351A9.pf -->2009-01-27 02:07:07 C:\WINDOWS\prefetch\MSPAINT.EXE-11CBB631.pf -->2009-01-27 01:55:22 C:\WINDOWS\prefetch\WORDPAD.EXE-24533991.pf -->2009-01-27 01:51:48 C:\WINDOWS\prefetch\VERCLSID.EXE-3667BD89.pf -->2009-01-27 01:42:36 C:\WINDOWS\prefetch\REGSVR32.EXE-25EEFE2F.pf -->2009-01-27 01:42:32 C:\WINDOWS\prefetch\WUAUCLT.EXE-399A8E72.pf -->2009-01-27 01:36:25 C:\WINDOWS\prefetch\RUNDLL32.EXE-34B3EEC1.pf -->2009-01-27 01:36:24 C:\WINDOWS\prefetch\JAVA.EXE-0C263507.pf -->2009-01-27 01:26:15 C:\WINDOWS\System32\drivers\mbamswissarmy.sys -->2009-01-14 16:11:32 C:\WINDOWS\System32\drivers\mbam.sys -->2009-01-14 16:11:28 C:\WINDOWS\System32\drivers\srv.sys -->2008-12-11 12:57:21 C:\WINDOWS\System32\drivers\mrxsmb.sys -->2008-10-24 12:10:42 C:\WINDOWS\System32\drivers\wacmoumonitor.sys -->2008-10-06 10:53:24 C:\WINDOWS\System32\drivers\PnkBstrK.sys -->2008-08-24 19:58:11 C:\WINDOWS\System32\drivers\wacomvhid.sys -->2008-08-18 14:45:00 C:\WINDOWS\System32\CF3878.exe -->2009-01-27 00:43:10 C:\WINDOWS\System32\CF30615.exe -->2009-01-27 00:12:21 C:\WINDOWS\System32\CF30546.exe -->2009-01-27 00:12:01 C:\WINDOWS\System32\CF30478.exe -->2009-01-27 00:11:40 C:\WINDOWS\System32\CF30347.exe -->2009-01-27 00:10:59 C:\WINDOWS\System32\CF30344.exe -->2009-01-27 00:10:59 C:\WINDOWS\System32\wpa.dbl -->2009-01-26 17:43:08 C:\WINDOWS\System32\HsInfo.dat -->2009-01-19 17:10:32 C:\WINDOWS\System32\MRT.exe -->2009-01-10 02:35:28 C:\WINDOWS\System32 ablet.dat -->2009-01-03 11:41:09 C:\WINDOWS\System32\FNTCACHE.DAT -->2008-12-29 12:09:14 C:\WINDOWS\System32\javaws.exe -->2008-12-19 09:58:03 C:\WINDOWS\System32\javaw.exe -->2008-12-19 09:58:03 C:\WINDOWS\System32\javacpl.cpl -->2008-12-19 09:58:03 C:\WINDOWS\System32\java.exe -->2008-12-19 09:58:03 C:\WINDOWS\System32\deploytk.dll -->2008-12-19 09:58:03 C:\WINDOWS\System32\TZLog.log -->2008-12-13 13:08:26 C:\WINDOWS\System32\mshtml.dll -->2008-12-12 18:33:22 C:\WINDOWS\System32\Pen_Tablet.exe -->2008-12-11 10:11:30 C:\WINDOWS\System32\Pen_Tablet.dll -->2008-12-11 09:59:14 C:\WINDOWS\System32\PenTablet.cpl -->2008-12-11 09:57:46 C:\WINDOWS\System32\Wintab32.dll -->2008-12-11 09:50:38 C:\WINDOWS\System32\PenTablet.znc -->2008-11-11 10:45:54 C:\WINDOWS\System32\prfh0804.dat -->2008-10-26 13:13:51 C:\WINDOWS\System32\prfc0804.dat -->2008-10-26 13:13:51 C:\WINDOWS\WindowsUpdate.log -->2009-01-27 01:36:36 C:\WINDOWS\wiaservc.log -->2009-01-27 01:17:17 C:\WINDOWS\wiadebug.log -->2009-01-27 01:17:16 C:\WINDOWS\0.log -->2009-01-27 01:16:56 C:\WINDOWS\bootstat.dat -->2009-01-27 01:16:53 C:\WINDOWS\SchedLgU.Txt -->2009-01-27 01:15:08 C:\WINDOWS\setupapi.log -->2009-01-26 20:10:20 C:\WINDOWS\MEMORY.DMP -->2009-01-26 19:56:52 C:\WINDOWS\Rfw.ini -->2009-01-26 18:52:16 C:\WINDOWS\system.ini -->2009-01-26 18:01:32 C:\WINDOWS\GEARInstall.log -->2009-01-26 01:13:56 C:\WINDOWS\QTFont.qfn -->2009-01-25 15:56:03 C:\WINDOWS\QTFont.for -->2009-01-25 15:56:03 C:\WINDOWS\wmsetup.log -->2009-01-22 20:04:33 C:\WINDOWS\svcpack.log -->2009-01-18 12:51:34 Volume in drive C has no label. Volume Serial Number is F0AC-FC1C Directory of C:\WINDOWS 2009-01-15 15:46 $hf_mig$ 2007-10-03 12:48 $MSI31Uninstall_KB893803v2$ 2008-12-13 13:08 $NtUninstallKB952069_WM9$ 2008-12-13 13:06 $NtUninstallKB954600$ 2008-11-14 15:44 $NtUninstallKB955069$ 2008-12-13 13:08 $NtUninstallKB955839$ 2008-12-13 13:06 $NtUninstallKB956802$ 2008-11-14 15:44 $NtUninstallKB957097$ 2008-12-13 13:08 $NtUninstallKB958215$ 2009-01-15 15:46 $NtUninstallKB958687$ 2008-12-19 09:54 $NtUninstallKB960714$ 2007-03-22 23:17 20 assist.dat 2007-05-21 16:22 41 dsez7025.dat 2009-01-26 20:10 inf 2009-01-27 00:52 Installer 2006-07-03 00:25 PIF 2009-01-25 15:56 54,156 QTFont.qfn 2004-06-06 07:14 48,680 winnt.bmp 2004-06-06 07:14 48,680 winnt256.bmp 6 File(s) 152,326 bytes 14 Dir(s) 9,687,683,072 bytes free Volume in drive C has no label. Volume Serial Number is F0AC-FC1C Directory of C:\WINDOWS\system32 2005-02-22 17:55 81,920 aac_parser.ax 2006-09-12 12:46 227,328 ac3DX.ax 2006-01-13 00:23 123,904 AVCDX.ax 2006-08-16 15:53 175,104 CoreAAC.ax 2005-01-18 00:26 179,200 DiracSplitter.ax 2009-01-27 01:23 dllcache 2008-05-08 21:13 56 ezsidmv.dat 2006-05-03 11:06 163,328 flvDX.dll 2009-01-19 17:10 96 HsInfo.dat 2006-03-10 22:48 169,472 MatroskaDX.ax 2007-02-21 12:47 31,232 msfDX.dll 2005-11-25 21:46 161,792 RealMediaDX.ax 2003-11-21 00:00 54,784 RLAPEDec.ax 2004-04-27 00:00 37,888 RLMPCDec.ax 2005-02-13 00:00 186,880 RLOgg.ax 2005-02-13 00:00 51,712 RLSpeexDec.ax 2005-02-13 00:00 67,584 RLTheoraDec.ax 2005-02-06 00:00 92,672 RLVorbisDec.ax 2007-12-17 14:43 27,648 Smab0.dll 2008-09-03 18:30 5,632 Thumbs.db 26 File(s) 1,842,953 bytes 1 Dir(s) 9,687,683,072 bytes free winlogon.exe Verified: Signed svchost.exe Verified: Signed ws2_32.dll Verified: Signed user32.dll Verified: Signed tcpip.sys Verified: Signed ndis.sys Verified: Signed null.sys Verified: Signed userinit.exe kernel32.dll ListDLLs v2.25 - DLL lister for Win9x/NT Copyright (C) 1997-2004 Mark Russinovich Sysinternals - www.sysinternals.com ------------------------------------------------------------------------------ explorer.exe pid: 1352 Command line: C:\WINDOWS\Explorer.EXE Base Size Version Path 0x5d170000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\comctl32.dll 0x00ba0000 0xd000 4.00.0000.0950 C:\WINDOWS\system32\HANWANGP.IME 0x76fa0000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL 0x77020000 0x9a000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll 0x10000000 0x19000 18.00.0000.0019 C:\WINDOWS\system32\RavExt.dll 0x76af0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL 0x7c9c0000 0x2be000 3.01.4000.4039 C:\WINDOWS\system32\msi.dll 0x01d20000 0x2c000 C:\Program Files\WinRAR arext.dll 0x78130000 0x9b000 8.00.50727.0762 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\MSVCR80.dll 0x01e20000 0x10000 9.00.0000.0332 C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll 0x02c50000 0x29000 C:\Program Files\Satsuki Decoder Pack\Filtres\mmfinfo.dll 0x02cf0000 0xb000 C:\Program Files\Satsuki Decoder Pack\Filtres\mkunicode.dll 0x02d10000 0x5b000 9.00.0000.0332 C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll 0x02d70000 0x4c000 9.00.0000.0000 C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.FRA 0x73540000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll 0x02ea0000 0x17000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll 0x014b0000 0x12000 1.01.0000.0000 C:\Program Files\Malwarebytes' Anti-Malware\mbamext.dll 0x01410000 0x11000 9.00.0000.0332 C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll 0x7c420000 0x87000 8.00.50727.0762 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\MSVCP80.dll 0x02b40000 0x33000 6.14.0010.4764 C:\WINDOWS\system32\igfxpph.dll 0x02b80000 0x1a000 6.14.0010.4764 C:\WINDOWS\system32\hccutils.DLL ListDLLs v2.25 - DLL lister for Win9x/NT Copyright (C) 1997-2004 Mark Russinovich Sysinternals - www.sysinternals.com ------------------------------------------------------------------------------ winlogon.exe pid: 1116 Command line: winlogon.exe Base Size Version Path 0x01000000 0x7c000 \??\C:\WINDOWS\system32\winlogon.exe 0x5d170000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\COMCTL32.dll 0x73540000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll 0x20000000 0x17000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll 0x00ac0000 0xd000 4.00.0000.0950 C:\WINDOWS\system32\HANWANGP.IME 0x10000000 0x1e000 9.00.0001.0000 C:\Program Files\Intel\Wireless\Bin\LgNotify.dll 0x77020000 0x9a000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll 0x76fa0000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL Contenu de Downloaded Program Files Volume in drive C has no label. Volume Serial Number is F0AC-FC1C Directory of C:\WINDOWS\Downloaded Program Files 2008-09-06 17:15 . 2008-09-06 17:15 .. 2007-03-01 14:21 3721 2007-03-01 18:23 2,462 assis.ico 2007-04-04 21:42 161,792 Cbfhjx.dll 2006-11-11 23:12 1,768 Cns02.dat 2007-01-30 19:30 61,315 CnsHint.cab 2006-12-20 18:07 135,168 cnshint.dll 2007-01-24 18:59 45,056 cnsio.dll 2007-03-01 14:30 137 CnsMin.ini 2006-10-11 14:32 79,441 CnsMinAL.cab 2007-03-01 14:21 10,073 CnsMinCg.ini 2007-01-30 19:30 11,021 CnsMinDT.cab 2006-12-21 17:55 24,576 CnsMinDT.dll 2007-03-01 14:21 888 CnsMinEx.ini 2007-02-28 19:53 25,273 CnsMinIO.cab 2007-01-24 19:00 36,864 CnsMinIO.dll 2007-01-30 19:30 15,574 CnsPlus.cab 2006-12-20 18:07 49,152 cnsplus.dll 2007-03-01 14:21 110 CnsUp.ini 2007-09-24 20:25 65 desktop.ini 2007-04-04 22:07 119,296 Hnbmy.dll 2007-02-09 21:06 36,864 keepmain.dll 2007-02-28 19:53 105,232 keepmainM.cab 2007-02-22 22:41 304,544 MessengerStatsPAClient.dll 2007-02-28 13:21 131,472 msgrchkr.dll 2007-03-01 18:23 6,526 sms.ico 2007-03-01 18:23 1,886 taobao.ico 2005-12-23 01:10 Update 2007-03-01 18:23 5,734 widget.ico 2005-09-09 17:45 1,516 wvc1dmo.inf 2007-03-01 18:23 5,734 yahoomsg.ico 2006-10-11 14:30 191 yascnsup.ini 2007-03-01 18:23 5,734 ymail.ico 2007-02-19 10:26 159,128 ZIntro.ocx 31 File(s) 1,544,592 bytes Directory of C:\WINDOWS\Downloaded Program Files\3721 2007-03-01 14:21 . 2007-03-01 14:21 .. 2007-02-16 13:06 927 ListInfo.dat 1 File(s) 927 bytes Directory of C:\WINDOWS\Downloaded Program Files\Update 2005-12-23 01:10 . 2005-12-23 01:10 .. 0 File(s) 0 bytes Total Files Listed: 32 File(s) 1,545,519 bytes 8 Dir(s) 9,687,351,296 bytes free Recherche de rootkit! (Merci S!Ri) Recherche d'infections connues Possible [b]infection chinoise : AdPlug/b, l'utilisation de combofix est recommand? Export des clefs sensibles.. Liste des fichiers en exception sur le pare-feu XP SP2 "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\Program Files\Internet Explorer\IEXPLORE.EXE"="C:\Program Files\Internet Explorer\IEXPLORE.EXE:*:Enabled:Internet Explorer" "C:\Documents and Settings\YU\Application Data\Macromedia\Flash Player\www.macromedia.com\bin\DofusUpdater\DofusUpdater.exe"="C:\Documents and Settings\YU\Application Data\Macromedia\Flash Player\www.macromedia.com\bin\DofusUpdater\DofusUpdater.exe:*:Disabled:Installation de Dofus" "C:\Program Files\Messenger\msmsgs.exe"="C:\Program Files\Messenger\msmsgs.exe:*:Enabled:Windows Messenger" "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"="C:\Program Files\Microsoft ActiveSync\wcescomm.exe:*:Enabled:ActiveSync Connection Manager" "C:\Program Files\Microsoft ActiveSync\WcesMgr.exe"="C:\Program Files\Microsoft ActiveSync\WcesMgr.exe:*:Enabled:ActiveSync Application" "C:\WINDOWS\PCHEALTH\HELPCTR\Binaries\HelpCtr.exe"="C:\WINDOWS\PCHEALTH\HELPCTR\Binaries\HelpCtr.exe:*:Enabled:???? - Windows Messenger ???" "C:\Program Files\Valve\Steam\SteamApps\tiande\counter-strike source\hl2.exe"="C:\Program Files\Valve\Steam\SteamApps\tiande\counter-strike source\hl2.exe:*:Disabled:hl2" "C:\Program Files\MSN Messenger\msncall.exe"="C:\Program Files\MSN Messenger\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)" "C:\Program Files\mIRC\mirc.exe"="C:\Program Files\mIRC\mirc.exe:*:Enabled:mIRC" "C:\Program Files\Warcraft III\Warcraft III.exe"="C:\Program Files\Warcraft III\Warcraft III.exe:*:Enabled:Warcraft III" "C:\Program Files\Warcraft III\War3.exe"="C:\Program Files\Warcraft III\War3.exe:*:Disabled:Warcraft III" "C:\Program Files\MSN Messenger\msnmsgr.exe"="C:\Program Files\MSN Messenger\MsnMsgr.Exe:*:Enabled:ipsec" "C:\Program Files\MSN Messenger\livecall.exe"="C:\Program Files\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)" "C:\Program Files\Dofus-Arena beta 2\DofusArena.exe"="C:\Program Files\Dofus-Arena beta 2\DofusArena.exe:*:Disabled:Dofus Arena Client" "C:\WINDOWS\system32\java.exe"="C:\WINDOWS\system32\java.exe:*:Disabled:Java(TM) Platform SE binary" "C:\Program Files\iMesh Applications\iMesh\iMesh.exe"="C:\Program Files\iMesh Applications\iMesh\iMesh.exe:*:Disabled:iMesh" "C:\Program Files\Valve\Steam\Steam.exe"="C:\Program Files\Valve\Steam\Steam.exe:*:Enabled:Steam" "C:\Program Files\Ankama Games\DofusBetaHardcore\DofusBetaHardcore.exe"="C:\Program Files\Ankama Games\DofusBetaHardcore\DofusBetaHardcore.exe:*:Enabled:Dofus Client" "C:\Program Files\Winamp Remote\bin\Orb.exe"="C:\Program Files\Winamp Remote\bin\Orb.exe:*:Enabled:Orb" "C:\Program Files\Winamp Remote\bin\OrbTray.exe"="C:\Program Files\Winamp Remote\bin\OrbTray.exe:*:Enabled:OrbTray" "C:\Program Files\Winamp Remote\bin\OrbStreamerClient.exe"="C:\Program Files\Winamp Remote\bin\OrbStreamerClient.exe:*:Enabled:Orb Stream Client" "C:\Program Files\Azureus\Azureus.exe"="C:\Program Files\Azureus\Azureus.exe:*:Enabled:Azureus" "C:\Program Files\Mozilla Firefox\firefox.exe"="C:\Program Files\Mozilla Firefox\firefox.exe:*:Enabled:ipsec" "C:\Program Files\uTorrent\uTorrent.exe"="C:\Program Files\uTorrent\uTorrent.exe:*:Enabled:礣orrent" "C:\Program Files\DNA\btdna.exe"="C:\Program Files\DNA\btdna.exe:*:Enabled:DNA" "C:\Program Files\softnyx\GunboundWC\GunBound.gme"="C:\Program Files\softnyx\GunboundWC\GunBound.gme:*:Enabled:GunBound" "C:\Documents and Settings\All Users.WINDOWS\Application Data\NexonUS\NGM\NGM.exe"="C:\Documents and Settings\All Users.WINDOWS\Application Data\NexonUS\NGM\NGM.exe:*:Enabled:Nexon Game Manager" "C:\Program Files\Free Download Manager\fdm.exe"="C:\Program Files\Free Download Manager\fdm.exe:*:Enabled:Free Download Manager" "C:\Program Files\Metin2_France\metin2.bin"="C:\Program Files\Metin2_France\metin2.bin:*:Enabled:metin2" "C:\Program Files\ma-config.com\maconfservice.exe"="C:\Program Files\ma-config.com\maconfservice.exe:LocalSubNet:Enabled:maconfservice" "C:\Program Files\iTunes\iTunes.exe"="C:\Program Files\iTunes\iTunes.exe:*:Enabled:iTunes" "K:\sq.com"="K:\sq.com:*:Enabled:ipsec" "C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe"="C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe:*:Enabled:ipsec" "C:\WINDOWS\TEMP\winghnbur.exe"="C:\WINDOWS\TEMP\winghnbur.exe:*:Enabled:ipsec" "C:\WINDOWS\TEMP\winxvqux.exe"="C:\WINDOWS\TEMP\winxvqux.exe:*:Enabled:ipsec" "C:\WINDOWS\ALCMTR.EXE"="C:\WINDOWS\ALCMTR.EXE:*:Enabled:ipsec" "C:\WINDOWS\system32\HDAShCut.exe"="C:\WINDOWS\system32\HDAShCut.exe:*:Enabled:ipsec" "C:\WINDOWS\system32\WTablet\Pen_TabletUser.exe"="C:\WINDOWS\system32\WTablet\Pen_TabletUser.exe:*:Enabled:ipsec" "C:\DOCUME~1\YU\LOCALS~1\Temp\winhkkdpv.exe"="C:\DOCUME~1\YU\LOCALS~1\Temp\winhkkdpv.exe:*:Enabled:ipsec" "C:\DOCUME~1\YU\LOCALS~1\Temp\winnahnf.exe"="C:\DOCUME~1\YU\LOCALS~1\Temp\winnahnf.exe:*:Enabled:ipsec" "C:\DOCUME~1\YU\LOCALS~1\Temp\winmnemrp.exe"="C:\DOCUME~1\YU\LOCALS~1\Temp\winmnemrp.exe:*:Enabled:ipsec" "C:\DOCUME~1\YU\LOCALS~1\Temp\winlyjmrp.exe"="C:\DOCUME~1\YU\LOCALS~1\Temp\winlyjmrp.exe:*:Enabled:ipsec" "C:\DOCUME~1\YU\LOCALS~1\Temp\winnrea.exe"="C:\DOCUME~1\YU\LOCALS~1\Temp\winnrea.exe:*:Enabled:ipsec" "C:\Program Files\Rising\Rfw\RfwMain.exe"="C:\Program Files\Rising\Rfw\RfwMain.exe:*:Enabled:ipsec" "C:\WINDOWS\TEMP\winbfgpvp.exe"="C:\WINDOWS\TEMP\winbfgpvp.exe:*:Enabled:ipsec" "C:\WINDOWS\TEMP\winkhnl.exe"="C:\WINDOWS\TEMP\winkhnl.exe:*:Enabled:ipsec" "C:\WINDOWS\TEMP\winkqoik.exe"="C:\WINDOWS\TEMP\winkqoik.exe:*:Enabled:ipsec" "C:\WINDOWS\TEMP\winxoimlg.exe"="C:\WINDOWS\TEMP\winxoimlg.exe:*:Enabled:ipsec" "C:\WINDOWS\TEMP\winmydlt.exe"="C:\WINDOWS\TEMP\winmydlt.exe:*:Enabled:ipsec" "C:\WINDOWS\TEMP\wininyo.exe"="C:\WINDOWS\TEMP\wininyo.exe:*:Enabled:ipsec" "C:\WINDOWS\TEMP\winlyby.exe"="C:\WINDOWS\TEMP\winlyby.exe:*:Enabled:ipsec" "C:\WINDOWS\TEMP\winkmtsg.exe"="C:\WINDOWS\TEMP\winkmtsg.exe:*:Enabled:ipsec" "C:\WINDOWS\system32\ckvo.exe"="C:\WINDOWS\system32\ckvo.exe:*:Enabled:ipsec" "C:\Program Files\iTunes\iTunesHelper.exe"="C:\Program Files\iTunes\iTunesHelper.exe:*:Enabled:ipsec" "C:\DOCUME~1\YU\LOCALS~1\Temp\windmft.exe"="C:\DOCUME~1\YU\LOCALS~1\Temp\windmft.exe:*:Enabled:ipsec" "C:\DOCUME~1\YU\LOCALS~1\Temp\windted.exe"="C:\DOCUME~1\YU\LOCALS~1\Temp\windted.exe:*:Enabled:ipsec" "C:\DOCUME~1\YU\LOCALS~1\Temp\winwmlqep.exe"="C:\DOCUME~1\YU\LOCALS~1\Temp\winwmlqep.exe:*:Enabled:ipsec" "C:\DOCUME~1\YU\LOCALS~1\Temp\winhpyg.exe"="C:\DOCUME~1\YU\LOCALS~1\Temp\winhpyg.exe:*:Enabled:ipsec" "C:\DOCUME~1\YU\LOCALS~1\Temp\winkmbpj.exe"="C:\DOCUME~1\YU\LOCALS~1\Temp\winkmbpj.exe:*:Enabled:ipsec" "C:\DOCUME~1\YU\LOCALS~1\Temp\winltplmp.exe"="C:\DOCUME~1\YU\LOCALS~1\Temp\winltplmp.exe:*:Enabled:ipsec" "C:\DOCUME~1\YU\LOCALS~1\Temp\wingkug.exe"="C:\DOCUME~1\YU\LOCALS~1\Temp\wingkug.exe:*:Enabled:ipsec" "C:\DOCUME~1\YU\LOCALS~1\Temp\windnrga.exe"="C:\DOCUME~1\YU\LOCALS~1\Temp\windnrga.exe:*:Enabled:ipsec" "C:\DOCUME~1\YU\LOCALS~1\Temp\winlwvd.exe"="C:\DOCUME~1\YU\LOCALS~1\Temp\winlwvd.exe:*:Enabled:ipsec" "C:\DOCUME~1\YU\LOCALS~1\Temp\winkngnlg.exe"="C:\DOCUME~1\YU\LOCALS~1\Temp\winkngnlg.exe:*:Enabled:ipsec" "C:\DOCUME~1\YU\LOCALS~1\Temp\winwwesc.exe"="C:\DOCUME~1\YU\LOCALS~1\Temp\winwwesc.exe:*:Enabled:ipsec" "C:\Documents and Settings\YU\Local Settings\Temp\windmft.exe"="C:\Documents and Settings\YU\Local Settings\Temp\windmft.exe:*:Enabled:ipsec" "C:\DOCUME~1\YU\LOCALS~1\Temp\winnavxp.exe"="C:\DOCUME~1\YU\LOCALS~1\Temp\winnavxp.exe:*:Enabled:ipsec" "C:\DOCUME~1\YU\LOCALS~1\Temp\winkolut.exe"="C:\DOCUME~1\YU\LOCALS~1\Temp\winkolut.exe:*:Enabled:ipsec" "C:\DOCUME~1\YU\LOCALS~1\Temp\winrdhij.exe"="C:\DOCUME~1\YU\LOCALS~1\Temp\winrdhij.exe:*:Enabled:ipsec" "C:\DOCUME~1\YU\LOCALS~1\Temp\winhpnkr.exe"="C:\DOCUME~1\YU\LOCALS~1\Temp\winhpnkr.exe:*:Enabled:ipsec" "C:\DOCUME~1\YU\LOCALS~1\Temp\winbtjef.exe"="C:\DOCUME~1\YU\LOCALS~1\Temp\winbtjef.exe:*:Enabled:ipsec" "C:\DOCUME~1\YU\LOCALS~1\Temp\winjkoy.exe"="C:\DOCUME~1\YU\LOCALS~1\Temp\winjkoy.exe:*:Enabled:ipsec" "C:\DOCUME~1\YU\LOCALS~1\Temp\wintocmi.exe"="C:\DOCUME~1\YU\LOCALS~1\Temp\wintocmi.exe:*:Enabled:ipsec" "C:\DOCUME~1\YU\LOCALS~1\Temp\winhhggyh.exe"="C:\DOCUME~1\YU\LOCALS~1\Temp\winhhggyh.exe:*:Enabled:ipsec" "C:\DOCUME~1\YU\LOCALS~1\Temp\wingplk.exe"="C:\DOCUME~1\YU\LOCALS~1\Temp\wingplk.exe:*:Enabled:ipsec" "C:\DOCUME~1\YU\LOCALS~1\Temp\winehxvw.exe"="C:\DOCUME~1\YU\LOCALS~1\Temp\winehxvw.exe:*:Enabled:ipsec" "C:\DOCUME~1\YU\LOCALS~1\Temp\winhpjosc.exe"="C:\DOCUME~1\YU\LOCALS~1\Temp\winhpjosc.exe:*:Enabled:ipsec" "C:\DOCUME~1\YU\LOCALS~1\Temp\winfrmbs.exe"="C:\DOCUME~1\YU\LOCALS~1\Temp\winfrmbs.exe:*:Enabled:ipsec" "C:\DOCUME~1\YU\LOCALS~1\Temp\winycpx.exe"="C:\DOCUME~1\YU\LOCALS~1\Temp\winycpx.exe:*:Enabled:ipsec" "C:\DOCUME~1\YU\LOCALS~1\Temp\winxgxih.exe"="C:\DOCUME~1\YU\LOCALS~1\Temp\winxgxih.exe:*:Enabled:ipsec" "C:\DOCUME~1\YU\LOCALS~1\Temp\winjijsut.exe"="C:\DOCUME~1\YU\LOCALS~1\Temp\winjijsut.exe:*:Enabled:ipsec" "C:\DOCUME~1\YU\LOCALS~1\Temp\winxfod.exe"="C:\DOCUME~1\YU\LOCALS~1\Temp\winxfod.exe:*:Enabled:ipsec" "C:\DOCUME~1\YU\LOCALS~1\Temp\winfyjfg.exe"="C:\DOCUME~1\YU\LOCALS~1\Temp\winfyjfg.exe:*:Enabled:ipsec" "C:\DOCUME~1\YU\LOCALS~1\Temp\winojmo.exe"="C:\DOCUME~1\YU\LOCALS~1\Temp\winojmo.exe:*:Enabled:ipsec" "C:\DOCUME~1\YU\LOCALS~1\Temp\winecwuwl.exe"="C:\DOCUME~1\YU\LOCALS~1\Temp\winecwuwl.exe:*:Enabled:ipsec" "C:\DOCUME~1\YU\LOCALS~1\Temp\winexrr.exe"="C:\DOCUME~1\YU\LOCALS~1\Temp\winexrr.exe:*:Enabled:ipsec" "C:\WINDOWS\system32\wuauclt.exe"="C:\WINDOWS\system32\wuauclt.exe:*:Enabled:ipsec" "C:\DOCUME~1\YU\LOCALS~1\Temp\wineuowfc.exe"="C:\DOCUME~1\YU\LOCALS~1\Temp\wineuowfc.exe:*:Enabled:ipsec" "C:\DOCUME~1\YU\LOCALS~1\Temp\winbempdw.exe"="C:\DOCUME~1\YU\LOCALS~1\Temp\winbempdw.exe:*:Enabled:ipsec" "C:\DOCUME~1\YU\LOCALS~1\Temp\winjpbje.exe"="C:\DOCUME~1\YU\LOCALS~1\Temp\winjpbje.exe:*:Enabled:ipsec" "C:\DOCUME~1\YU\LOCALS~1\Temp\winudfnk.exe"="C:\DOCUME~1\YU\LOCALS~1\Temp\winudfnk.exe:*:Enabled:ipsec" "C:\DOCUME~1\YU\LOCALS~1\Temp\winbqfo.exe"="C:\DOCUME~1\YU\LOCALS~1\Temp\winbqfo.exe:*:Enabled:ipsec" "C:\DOCUME~1\YU\LOCALS~1\Temp\winsusik.exe"="C:\DOCUME~1\YU\LOCALS~1\Temp\winsusik.exe:*:Enabled:ipsec" "C:\DOCUME~1\YU\LOCALS~1\Temp\windhccxg.exe"="C:\DOCUME~1\YU\LOCALS~1\Temp\windhccxg.exe:*:Enabled:ipsec" "C:\DOCUME~1\YU\LOCALS~1\Temp\winarkdnu.exe"="C:\DOCUME~1\YU\LOCALS~1\Temp\winarkdnu.exe:*:Enabled:ipsec" "C:\DOCUME~1\YU\LOCALS~1\Temp\winttvxf.exe"="C:\DOCUME~1\YU\LOCALS~1\Temp\winttvxf.exe:*:Enabled:ipsec" "C:\DOCUME~1\YU\LOCALS~1\Temp\winowdae.exe"="C:\DOCUME~1\YU\LOCALS~1\Temp\winowdae.exe:*:Enabled:ipsec" "C:\DOCUME~1\YU\LOCALS~1\Temp\winvxdl.exe"="C:\DOCUME~1\YU\LOCALS~1\Temp\winvxdl.exe:*:Enabled:ipsec" "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\Program Files\MSN Messenger\msncall.exe"="C:\Program Files\MSN Messenger\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)" "C:\Program Files\MSN Messenger\msnmsgr.exe"="C:\Program Files\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1" "C:\Program Files\MSN Messenger\livecall.exe"="C:\Program Files\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)" Export de la clef SharedTaskScheduler [SharedTaskScheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui ?????" "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="????????" exports des policies REGEDIT4 [system] "dontdisplaylastusername"=dword:00000001 "legalnoticecaption"="" "legalnoticetext"="" "shutdownwithoutlogon"=dword:00000001 "undockwithoutlogon"=dword:00000001 "EnableLUA"=dword:00000000 Export des clefs sensibles.. Rechercher adresses sensibles dans le fichier HOSTS... Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg) Process list by traversal of KiWaitListHead 4 - System 140 - PnkBstrA.exe 552 - SOUNDMAN.EXE 792 - Pen_TabletUser. 796 - Pen_Tablet.exe 968 - ZCfgSvc.exe 1084 - csrss.exe 1116 - winlogon.exe 1160 - services.exe 1180 - lsass.exe 1256 - ATKOSD.exe 1324 - svchost.exe 1352 - explorer.exe 1372 - igfxpers.exe 1408 - 1XConfig.exe 1424 - svchost.exe 1480 - svchost.exe 1524 - EvtEng.exe 1628 - S24EvMon.exe 1680 - svchost.exe 1728 - cmd.exe 1804 - svchost.exe 1824 - RavMonD.exe 1948 - jqs.exe 1980 - conime.exe 2100 - firefox.exe 2168 - wuauclt.exe 2628 - HControl.exe 2672 - winjpbje.exe 2716 - jusched.exe 2904 - hkcmd.exe 2948 - iTunesHelper.ex 3516 - ctfmon.exe 3696 - iPodService.exe 3936 - winbqfo.exe 4056 - wineuowfc.exe 4076 - svchost.exe Total number of processes = 37 NOTE: Under WinXP, this will not show all processes. KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg) Driver/Module list by traversal of PsLoadedModuleList 804D8000 - \WINDOWS\system32 toskrnl.exe 806ED000 - \WINDOWS\system32\hal.dll F8A42000 - \WINDOWS\system32\KDCOM.DLL F8952000 - \WINDOWS\system32\BOOTVID.dll F8956000 - ojplqra.sys F84F3000 - ACPI.sys F8A44000 - \WINDOWS\system32\DRIVERS\WMILIB.SYS F84E2000 - pci.sys F8542000 - isapnp.sys F8552000 - ohci1394.sys F8562000 - \WINDOWS\system32\DRIVERS\1394BUS.SYS F895A000 - compbatt.sys F895E000 - \WINDOWS\system32\DRIVERS\BATTC.SYS F8B0A000 - pciide.sys F87C2000 - \WINDOWS\system32\DRIVERS\PCIIDEX.SYS F84C5000 - pcmcia.sys F8572000 - MountMgr.sys F84A6000 - ftdisk.sys F8A48000 - dmload.sys F8480000 - dmio.sys F8962000 - ACPIEC.sys F8B0B000 - \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS F87CA000 - PartMgr.sys F87D2000 - pavboot.sys F8582000 - VolSnap.sys F8468000 - atapi.sys F8592000 - disk.sys F85A2000 - \WINDOWS\system32\DRIVERS\CLASSPNP.SYS F8448000 - fltMgr.sys F8436000 - sr.sys F8424000 - CnsMinKP.sys F85B2000 - PxHelp20.sys F840D000 - KSecDD.sys F8A4A000 - PenClass.sys F8380000 - Ntfs.sys F8353000 - NDIS.sys F87DA000 - risdpntk.sys F85C2000 - R592.sys F8338000 - Mup.sys F8322000 - kdlfkf.sys F8762000 - \SystemRoot\system32\DRIVERS\intelppm.sys F6CC3000 - \SystemRoot\system32\DRIVERS\igxpmp32.sys F6CAF000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS F6C8A000 - \SystemRoot\system32\DRIVERS\HDAudBus.sys F8882000 - \SystemRoot\system32\DRIVERS\usbuhci.sys F6C67000 - \SystemRoot\system32\DRIVERS\USBPORT.SYS F888A000 - \SystemRoot\system32\DRIVERS\usbehci.sys F6C20000 - \SystemRoot\system32\DRIVERS\yk51x86.sys F8772000 - \SystemRoot\system32\DRIVERS ic1394.sys F690D000 - \SystemRoot\system32\DRIVERS\w29n51.sys F8782000 - \SystemRoot\system32\DRIVERS\i8042prt.sys F8892000 - \SystemRoot\system32\DRIVERS\kbdclass.sys F889A000 - \SystemRoot\system32\DRIVERS\mouclass.sys F8792000 - \SystemRoot\system32\DRIVERS\smcirda.sys F8A32000 - \SystemRoot\system32\DRIVERS\irenum.sys F87A2000 - \SystemRoot\system32\DRIVERS\imapi.sys F87B2000 - \SystemRoot\system32\DRIVERS\cdrom.sys F8602000 - \SystemRoot\system32\DRIVERS edbook.sys F68EA000 - \SystemRoot\system32\DRIVERS\ks.sys F8A3E000 - \SystemRoot\system32\DRIVERS\CmBatt.sys F8A5C000 - \SystemRoot\system32\DRIVERS\ATKACPI.sys F82FE000 - \SystemRoot\system32\DRIVERS\fsvga.sys F8A5E000 - \SystemRoot\system32\DRIVERS\wacomvhid.sys F8612000 - \SystemRoot\system32\DRIVERS\HIDCLASS.SYS F88A2000 - \SystemRoot\system32\DRIVERS\HIDPARSE.SYS F8A60000 - \SystemRoot\system32\DRIVERS\WacomVKHid.sys F68AD000 - \SystemRoot\system32\DRIVERS\iwca.sys F8C65000 - \SystemRoot\system32\DRIVERS\audstub.sys F88AA000 - \SystemRoot\system32\DRIVERS asirda.sys F88B2000 - \SystemRoot\system32\DRIVERS\TDI.SYS F8622000 - \SystemRoot\system32\DRIVERS asl2tp.sys F82F2000 - \SystemRoot\system32\DRIVERS distapi.sys F6896000 - \SystemRoot\system32\DRIVERS diswan.sys F8632000 - \SystemRoot\system32\DRIVERS aspppoe.sys F8642000 - \SystemRoot\system32\DRIVERS aspptp.sys F6885000 - \SystemRoot\system32\DRIVERS\psched.sys F8652000 - \SystemRoot\system32\DRIVERS\msgpc.sys F88BA000 - \SystemRoot\system32\DRIVERS\ptilink.sys F88C2000 - \SystemRoot\system32\DRIVERS aspti.sys F6854000 - \SystemRoot\system32\DRIVERS dpdr.sys F8662000 - \SystemRoot\system32\DRIVERS ermdd.sys F8A62000 - \SystemRoot\system32\DRIVERS\swenum.sys F67D3000 - \SystemRoot\system32\DRIVERS\update.sys F79D7000 - \SystemRoot\system32\DRIVERS\mssmbios.sys F79D3000 - \SystemRoot\system32\DRIVERS\mouhid.sys F88CA000 - \SystemRoot\system32\DRIVERS\wacommousefilter.sys F79CF000 - \SystemRoot\system32\DRIVERS\kbdhid.sys F72BC000 - \SystemRoot\System32\Drivers\NDProxy.SYS AA76F000 - \SystemRoot\system32\drivers\HdAudio.sys AA74B000 - \SystemRoot\system32\drivers\portcls.sys F72AC000 - \SystemRoot\system32\drivers\drmk.sys F729C000 - \SystemRoot\system32\DRIVERS\usbhub.sys F8A66000 - \SystemRoot\system32\DRIVERS\USBD.SYS F8A68000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS F8B0F000 - \SystemRoot\System32\Drivers\Null.SYS F8A6A000 - \SystemRoot\System32\Drivers\Beep.SYS F88EA000 - \SystemRoot\System32\drivers\vga.sys F8A6C000 - \SystemRoot\System32\Drivers\mnmdd.SYS F8A6E000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys F88F2000 - \SystemRoot\System32\Drivers\Msfs.SYS F88FA000 - \SystemRoot\System32\Drivers\Npfs.SYS F8A0A000 - \SystemRoot\system32\DRIVERS asacd.sys AA678000 - \SystemRoot\system32\DRIVERS\ipsec.sys AA620000 - \SystemRoot\system32\DRIVERS cpip.sys AA5F8000 - \SystemRoot\system32\DRIVERS etbt.sys AA5D6000 - \SystemRoot\System32\drivers\afd.sys F726C000 - \SystemRoot\system32\DRIVERS etbios.sys AA5AB000 - \SystemRoot\system32\DRIVERS dbss.sys AA53C000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys F725C000 - \SystemRoot\System32\Drivers\Fips.SYS AA51B000 - \SystemRoot\system32\DRIVERS\ipnat.sys F724C000 - \SystemRoot\system32\DRIVERS\wanarp.sys F723C000 - \SystemRoot\system32\DRIVERS\arp1394.sys F890A000 - \SystemRoot\system32\DRIVERS\USBSTOR.SYS F8A70000 - \SystemRoot\System32\DRIVERS\plff.sys F6850000 - \SystemRoot\system32\DRIVERS\hidusb.sys F8682000 - \SystemRoot\System32\Drivers\Cdfs.SYS AA4D0000 - \SystemRoot\System32\Drivers\Fastfat.SYS AA4B8000 - \SystemRoot\System32\Drivers\dump_atapi.sys F8A72000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS BF800000 - \SystemRoot\System32\win32k.sys F683C000 - \SystemRoot\System32\drivers\Dxapi.sys F8912000 - \SystemRoot\System32\watchdog.sys BF000000 - \SystemRoot\System32\drivers\dxg.sys F8B18000 - \SystemRoot\System32\drivers\dxgthk.sys BF024000 - \SystemRoot\System32\igxpgd32.dll BF012000 - \SystemRoot\System32\igxprd32.dll BF04E000 - \SystemRoot\System32\igxpdv32.DLL BF1CC000 - \SystemRoot\System32\igxpdx32.DLL AA3B4000 - \SystemRoot\system32\DRIVERS\AegisP.sys AA312000 - \SystemRoot\system32\DRIVERS\irda.sys AA3A8000 - \SystemRoot\system32\DRIVERS\s24trans.sys AA370000 - \SystemRoot\system32\DRIVERS disuio.sys AA334000 - \SystemRoot\System32\DRIVERS\BaseTDI.SYS A9F3D000 - \SystemRoot\system32\drivers\wdmaud.sys AA2A2000 - \SystemRoot\system32\drivers\sysaudio.sys A9C29000 - \SystemRoot\system32\DRIVERS\mrxdav.sys A9E27000 - \SystemRoot\system32\DRIVERS\mdmxsdk.sys A9BAF000 - \SystemRoot\system32\DRIVERS\srv.sys A95A6000 - \SystemRoot\System32\Drivers\HTTP.sys A9857000 - \SystemRoot\system32\DRIVERS\ipfltdrv.sys F8AD4000 - \??\C:\WINDOWS\system32\drivers\fkpqqk.sys A91A6000 - \SystemRoot\system32\drivers\kmixer.sys F8AC6000 - \??\C:\DOCUME~1\YU\LOCALS~1\Temp\mbr.sys F8B39000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys Total number of drivers = 145 Liste des programmes installes Adobe Flash Player ActiveX Adobe Flash Player Plugin Adobe Shockwave Player 11 Applian FLV Player ATK0100 ACPI UTILITY AVIConverter 5.1.6 HijackThis 2.0.2 Intel(R) Graphics Media Accelerator Driver Intel(R) PROSet/Wireless Software iPod for Windows 2006-06-28 iTunes Malwarebytes' Anti-Malware Manga Studio Debut 3.0 Marvell Miniport Driver mIRC Mozilla Firefox (3.0.5) Panda ActiveScan 2.0 QuickTime Satsuki Decoder Pack 4000 Windows Installer 3.1 (KB893803) Windows Media Player (KB952069) 安全 Windows XP 安全更新 (KB954 Windows XP 安全更新 (KB955 Windows XP 安全更新 (KB956 Windows XP 安全更新 (KB957 Windows XP 安全更新 (KB958 Windows XP 安全更新 (KB958 Windows XP 安全更新 (KB960 Windows XP 更新 (KB95583 数? Volume in drive C has no label. Volume Serial Number is F0AC-FC1C Directory of C:\Program Files 2009-01-27 01:53 . 2009-01-27 01:53 .. 2008-10-31 19:45 Adobe 2008-12-21 18:40 AirSnare 2007-08-19 14:17 Assistant 2008-11-08 18:10 AVIConverter 2008-06-29 22:47 AviSynth 2.5 2004-07-09 08:13 703,080 BDA.cab 2004-07-19 21:58 1,156,363 BDANT.cab 2004-07-19 21:53 976,020 BDAXP.cab 2008-11-19 14:14 Common Files 2009-01-03 10:11 Corel 2004-07-09 08:13 15,493,481 DirectX.cab 2007-10-28 20:48 DivX 2008-09-06 23:34 DNA 2004-07-09 13:17 13,265,040 dxnt.cab 2009-01-03 09:44 e frontier 2008-07-01 12:45 eRightSoft 2009-01-26 18:26 Free Download Manager 2008-12-17 20:12 GIMP-2.0 2005-11-04 17:19 Intel 2008-08-23 18:08 Internet Download Manager 2008-12-13 13:08 Internet Explorer 2009-01-25 15:52 iPod 2009-01-26 01:13 iTunes 2008-12-19 09:57 Java 2008-10-29 20:00 ma-config.com 2009-01-27 01:42 Malwarebytes' Anti-Malware 2004-07-22 09:51 3,432,656 ManagedDX.CAB 2008-08-30 18:04 Marvell 2008-08-14 14:24 Messenger 2008-07-02 20:00 Microsoft ActiveSync 2005-01-12 16:29 microsoft frontpage 2008-01-09 19:44 Microsoft Office 2009-01-09 23:23 mIRC 2008-11-19 14:43 Movie Maker 2009-01-27 01:21 Mozilla Firefox 2005-01-12 16:25 MSN Gaming Zone 2007-10-01 20:48 MSN Messenger 2008-11-14 15:43 MSXML 4.0 2005-11-03 16:36 NetMeeting 2005-11-03 16:37 Online Services 2007-10-05 15:24 Outlook Express 2009-01-26 19:58 Panda Security 2009-01-26 01:15 QuickTime 2006-05-11 00:58 Real 2008-08-30 18:02 Realtek 2009-01-26 20:00 Rising 2009-01-12 23:06 Satsuki Decoder Pack 2005-11-03 18:30 Synaptics 2009-01-03 11:42 Tablet 2009-01-03 11:41 Tablette 2009-01-27 01:36 UsbFix 2008-08-15 13:15 uTorrent 2007-05-15 18:54 VideoLAN 2009-01-26 21:11 Warcraft III 2008-07-01 07:37 Windows Media Player 2005-11-03 16:33 Windows NT 2008-12-21 18:38 WinPcap 2006-12-10 23:41 WinRAR 2005-01-12 16:29 xerox 2007-10-29 17:40 XP 2008-11-09 18:12 Yahoo! 6 File(s) 35,026,640 bytes 57 Dir(s) 9,671,806,976 bytes free Volume in drive C has no label. Volume Serial Number is F0AC-FC1C Directory of C:\Program Files\common files 2008-11-19 14:14 . 2008-11-19 14:14 .. 2008-10-31 19:47 Adobe 2006-08-13 19:47 Adobe Systems Shared 2007-10-02 18:59 i4j_jres 2008-07-30 01:59 INCA Shared 2006-07-13 19:46 InstallShield 2007-10-28 17:14 Java 2008-01-09 19:44 Microsoft Shared 2005-11-03 16:36 MSSoap 2005-01-13 09:23 ODBC 2008-11-19 14:14 Real 2005-11-03 16:36 Services 2005-11-04 00:10 snpstd3 2005-01-13 09:23 SpeechEngines 2006-06-16 18:41 SWF Studio 2006-01-22 02:54 Synacast 2008-01-09 19:44 System 0 File(s) 0 bytes 18 Dir(s) 9,671,806,976 bytes free Attention : C:\autorun.inf existe c:\Documents and Settings\Administrator\Local Settings\Temp\setup\capp.exe c:\Documents and Settings\Administrator\Local Settings\Temp\setup\IdnMail.exe c:\Documents and Settings\Administrator\Local Settings\Temp\setup\insact.exe c:\Documents and Settings\Administrator\Local Settings\Temp\setup\setup.exe c:\Documents and Settings\All Users.WINDOWS\Application Data\NexonUS\NGM\NGM.exe c:\Documents and Settings\YU\Application Data\Azureus\plugins\azemp\azmplay.exe c:\Documents and Settings\YU\Application Data\Mozilla\Firefox\Profiles\kep2vbhm.default\extensions\{bb628310-0ab7-11db-9cd8-0800200c9a66}\maconfsetup.exe c:\Documents and Settings\YU\Application Data\U3\00001680D77344BB\cleanup.exe c:\Documents and Settings\YU\Application Data\U3\00001680D77344BB\Launchpad Removal.exe c:\Documents and Settings\YU\Application Data\U3\00001680D77344BB\LaunchPad.exe c:\Documents and Settings\YU\Application Data\U3\00001680D77344BB\U3AccessGrant.exe c:\Documents and Settings\YU\Application Data\U3 emp\Launchpad Removal.exe c:\Documents and Settings\YU\Local Settings\Temp\winbqfo.exe c:\Documents and Settings\YU\Local Settings\Temp\wineuowfc.exe c:\Documents and Settings\YU\Local Settings\Temp\winjpbje.exe c:\Documents and Settings\YU\??\mbam-setup(2).exe c:\Documents and Settings\YU\??\RSIT.exe c:\Documents and Settings\YU\??\UsbFix.exe c:\Documents and Settings\YU\??\DiagHelp\catchme.exe c:\Documents and Settings\YU\??\DiagHelp\diff.exe c:\Documents and Settings\YU\??\DiagHelp\dumphive.exe c:\Documents and Settings\YU\??\DiagHelp\FilesInfoCmd.exe c:\Documents and Settings\YU\??\DiagHelp\find2.exe c:\Documents and Settings\YU\??\DiagHelp\Fport.exe c:\Documents and Settings\YU\??\DiagHelp\grep.exe c:\Documents and Settings\YU\??\DiagHelp\gzip.exe c:\Documents and Settings\YU\??\DiagHelp\KProcCheck.exe c:\Documents and Settings\YU\??\DiagHelp\LFiles.exe c:\Documents and Settings\YU\??\DiagHelp\LISTDLLS.exe c:\Documents and Settings\YU\??\DiagHelp\mbr.exe c:\Documents and Settings\YU\??\DiagHelp\md5sums.exe c:\Documents and Settings\YU\??\DiagHelp\Psinfo.exe c:\Documents and Settings\YU\??\DiagHelp\pslist.exe c:\Documents and Settings\YU\??\DiagHelp\sigcheck.exe c:\Documents and Settings\YU\??\DiagHelp\streams.exe c:\Documents and Settings\YU\??\DiagHelp\swreg.exe c:\Documents and Settings\YU\??\DiagHelp ar.exe c:\Documents and Settings\YU\??\?????\activescan2_fr.exe c:\Documents and Settings\YU\??\?????\AntiBagle-FR.exe c:\Documents and Settings\YU\??\?????\ComboFix.exe c:\Documents and Settings\YU\??\?????\ELIBAGLA.%D8C%D8BB%D8%D8I.EXE c:\Documents and Settings\YU\??\?????\HiJackThis.exe c:\Documents and Settings\YU\??\?????\RHosts.exe c:\Documents and Settings\YU\??\?????\VundoFix.exe c:\Documents and Settings\All Users.WINDOWS\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll c:\Documents and Settings\All Users.WINDOWS\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll c:\Documents and Settings\All Users.WINDOWS\Application Data\NexonUS\NGM\NGMDll.dll c:\Documents and Settings\All Users.WINDOWS\Application Data\NexonUS\NGM\NGMResource.dll c:\Documents and Settings\All Users.WINDOWS\Application Data\NexonUS\NGM pNxGameUS.dll c:\Documents and Settings\All Users.WINDOWS\Application Data\NexonUS\NGM xgameus.dll c:\Documents and Settings\All Users.WINDOWS\Application Data\NexonUS\NGM\unicows.dll c:\Documents and Settings\All Users.WINDOWS\Application Data\Zylom\ZylomGamesPlayer pzylomgamesplayer.dll c:\Documents and Settings\All Users.WINDOWS\Application Data\Zylom\ZylomGamesPlayer\zylomgamesplayer.dll c:\Documents and Settings\All Users.WINDOWS\Application Data\Zylom\ZylomGamesPlayer\Zylom\MyZylomExtension\MyZylomExtension.dll c:\Documents and Settings\All Users.WINDOWS\Application Data\Zylom\ZylomGamesPlayer\Zylom\peggle\fr-FR\bass.dll c:\Documents and Settings\All Users.WINDOWS\Application Data\Zylom\ZylomGamesPlayer\Zylom\peggle\fr-FR\j2k-codec.dll c:\Documents and Settings\All Users.WINDOWS\Application Data\Zylom\ZylomGamesPlayer\Zylom\peggle\fr-FR\peggle.dll c:\Documents and Settings\All Users.WINDOWS\Application Data\Zylom\ZylomGamesPlayer\Zylom\PopcapExtension\PopcapExtension.dll c:\Documents and Settings\YU\Application Data\Azureus\plugins\azemp\libInfoGetter.dll c:\Documents and Settings\YU\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll c:\Documents and Settings\YU\Application Data\Microsoft\IdentityCRL\Production\ppcrlconfig.dll c:\Documents and Settings\YU\Application Data\Mozilla\Firefox\Profiles\kep2vbhm.default\extensions\{bb628310-0ab7-11db-9cd8-0800200c9a66}\plugins phardwaredetection.dll c:\Documents and Settings\YU\Application Data\Sun\Java\jre1.6.0_11\lzma.dll c:\Documents and Settings\YU\Application Data\U3\00001680D77344BB\LPSecurityExtension.dll c:\Documents and Settings\YU\Application Data\U3\00001680D77344BB\SanDiskFormatExtension.dll c:\Documents and Settings\YU\Application Data\U3\00001680D77344BB\u3dapi10.dll ****** Fin du rapport DiagHelp Veuillez svp envoyer le fichier C:\upload_moi_TIANDE.tar.gz a l'adresse http://upload.malekal.com

Destrio5 · Answer

"Possible [b]infection chinoise : AdPlug/b, l'utilisation de combofix est recommand?"
---> Ça confirme ce qu'on pensait, Ludo ;)

/!\ Désactive tes protections résidentes (Antivirus, etc...) /!\

--> Télécharge ComboFix (de sUBs) sur ton Bureau.
--> Double-clique sur ComboFix.exe (le .exe n'est pas forcément visible) afin de le lancer.
--> Il va te demander d'installer la console de récupération : accepte.
--> Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

Pour t'aider : Un guide et un tutoriel sur l'utilisation de ComboFix

Tiande · Answer

Ouf j'ai cru que ça allait bugger x] (Je dois partir, on continuera demain enfin si possible ^^') ComboFix 09-01-21.04 - YU 2009-01-27 2:49:11.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.936.1.2052.18.503.104 [GMT 1:00] 执行位置: c:\documents and settings\YU\桌面\新建文件夹\ComboFix.exe AV: 瑞星杀毒软件 *On-access scanning disabled* (Outdated) FW: 瑞星个人防火墙 *enabled* * 成功创造新还原点 . ((((((((((((((((((((((((((((((((((((((( 被删除的档案 ))))))))))))))))))))))))))))))))))))))))))))))))) . c:\documents and settings\YU\Favorites\链接 C:\InfoSat.txt c:\windows\Downloaded Program Files.\Cns02.dat c:\windows\Downloaded Program Files.\CnsHint.cab c:\windows\Downloaded Program Files.\cnshint.dll c:\windows\Downloaded Program Files.\cnsio.dll c:\windows\Downloaded Program Files.\CnsMin.ini c:\windows\Downloaded Program Files.\CnsMinAL.cab c:\windows\Downloaded Program Files.\CnsMinCg.ini c:\windows\Downloaded Program Files.\CnsMinDT.cab c:\windows\Downloaded Program Files.\CnsMinDT.dll c:\windows\Downloaded Program Files.\CnsMinEx.ini c:\windows\Downloaded Program Files.\CnsMinIO.cab c:\windows\Downloaded Program Files.\CnsMinIO.dll c:\windows\Downloaded Program Files.\CnsPlus.cab c:\windows\Downloaded Program Files.\cnsplus.dll c:\windows\Downloaded Program Files.\CnsUp.ini c:\windows\Downloaded Program Files\3721 c:\windows\Downloaded Program Files\3721\ListInfo.dat c:\windows\Downloaded Program Files\CnsMin.ini c:\windows\Downloaded Program Files\CnsMinAL.cab c:\windows\Downloaded Program Files\CnsMinCg.ini c:\windows\Downloaded Program Files\CnsMinDT.cab c:\windows\Downloaded Program Files\CnsMinDT.dll c:\windows\Downloaded Program Files\CnsMinEx.ini c:\windows\Downloaded Program Files\CnsMinIO.cab c:\windows\Downloaded Program Files\CnsMinIO.dll c:\windows\Downloaded Program Files\keepmain.dll c:\windows\Downloaded Program Files\keepmainm.cab c:\windows\Downloaded Program Files\sms.ico c:\windows\Downloaded Program Files\taobao.ico c:\windows\Downloaded Program Files\Update c:\windows\Downloaded Program Files\yahoomsg.ico c:\windows\Downloaded Program Files\ymail.ico c:\windows\system32\_000005_.tmp.dll c:\windows\system32\cdn.dll c:\windows\system32\cdnns.dll c:\windows\system32\cns.dat c:\windows\system32\cns.dll c:\windows\system32\cns.exe c:\windows\system32\drivers\cdnprot.sys c:\windows\system32\drivers\cdntran.sys c:\windows\system32\drivers\CnsMinKP.sys c:\windows\system32\drivers\npf.sys c:\windows\system32\packet.dll c:\windows\system32\pthreadVC.dll c:\windows\system32\Scrax.dll c:\windows\system32\wanpacket.dll c:\windows\system32\wpcap.dll K:\uvsqfgwd.cmd . ((((((((((((((((((((((((((((((((((((((( 驱动/服务 ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_CNSMINKP -------\Legacy_NPF -------\Service_CnsMinKP -------\Service_NPF -------\Service_poof ((((((((((((((((((((((((( 2008-12-27 至 2009-01-27 的新的档案 ))))))))))))))))))))))))))))))) . 2009-01-27 02:14 . 2009-01-27 02:14 14,933,561 --a------ C:\upload_moi_TIANDE.tar.gz 2009-01-27 01:42 . 2009-01-27 01:42 d-------- c:\program files\Malwarebytes' Anti-Malware 2009-01-27 01:42 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2009-01-27 01:42 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2009-01-27 01:14 . 2009-01-27 01:36 d-------- c:\program files\UsbFix 2009-01-27 00:59 . 2009-01-27 00:59 d-------- C:\rsit 2009-01-26 20:10 . 2008-06-19 17:24 28,544 --a------ c:\windows\system32\drivers\pavboot.sys 2009-01-26 18:25 . 2009-01-26 19:58 d-------- c:\program files\Panda Security 2009-01-26 01:14 . 2009-01-26 01:15 d-------- c:\program files\QuickTime 2009-01-26 01:13 . 2009-01-26 01:13 d-------- c:\program files\iTunes 2009-01-25 15:52 . 2009-01-25 15:52 d-------- c:\program files\iPod 2009-01-25 15:52 . 2004-12-18 20:32 38,229 --------- c:\windows\system32\drivers\StMp3Rec.sys 2009-01-18 18:13 . 2009-01-18 18:13 d-------- C:\WTablet 2009-01-12 23:05 . 2009-01-12 23:06 d-------- c:\program files\Satsuki Decoder Pack 2009-01-11 21:49 . 2009-01-19 17:10 96 --ah----- c:\windows\system32\HsInfo.dat 2009-01-03 18:14 . 2009-01-25 12:51 d-------- c:\documents and settings\LocalService.NT AUTHORITY.000\Application Data\WTablet 2009-01-03 11:43 . 2009-01-27 02:54 d-------- c:\documents and settings\YU\Application Data\WTablet 2009-01-03 11:43 . 2004-08-04 00:44 14,592 --a------ c:\windows\system32\drivers\kbdhid.sys 2009-01-03 11:43 . 2004-08-04 00:44 14,592 --a--c--- c:\windows\system32\dllcache\kbdhid.sys 2009-01-03 11:42 . 2008-08-18 14:45 13,352 --a------ c:\windows\system32\drivers\wacomvhid.sys 2009-01-03 11:42 . 2007-02-15 15:11 11,440 --a------ c:\windows\system32\drivers\WacomVKHid.sys 2009-01-03 11:42 . 2007-02-16 10:12 11,312 --a------ c:\windows\system32\drivers\wacommousefilter.sys 2009-01-03 11:41 . 2008-12-11 10:11 2,749,736 --a------ c:\windows\system32\Pen_Tablet.exe 2009-01-03 11:41 . 2008-12-11 09:59 186,152 --a------ c:\windows\system32\Pen_Tablet.dll 2009-01-03 11:41 . 2008-10-06 10:53 15,656 --a------ c:\windows\system32\drivers\wacmoumonitor.sys 2009-01-03 11:40 . 2005-06-17 21:00 749,568 --a------ c:\windows\system32\Tablet.exe 2009-01-03 10:17 . 2009-01-03 10:17 d-------- c:\documents and settings\YU\Application Data\Corel 2009-01-03 10:11 . 2009-01-03 10:11 d-------- c:\program files\Corel 2009-01-03 09:55 . 2009-01-03 09:55 d-------- c:\documents and settings\YU\Application Data\e frontier 2009-01-03 09:44 . 2009-01-03 09:44 d-------- c:\program files\e frontier 2009-01-03 09:16 . 2009-01-03 11:41 d-------- c:\windows\system32\WTablet 2009-01-03 09:16 . 2009-01-03 11:41 d-------- c:\program files\Tablette 2009-01-03 09:16 . 2009-01-03 11:42 d-------- c:\program files\Tablet 2009-01-03 09:16 . 2008-12-11 09:57 4,222,760 --a------ c:\windows\system32\PenTablet.cpl 2009-01-03 09:16 . 2008-11-11 10:45 1,421,964 --a------ c:\windows\system32\PenTablet.znc 2009-01-03 09:16 . 2008-12-11 09:50 172,840 --a------ c:\windows\system32\Wintab32.dll 2009-01-03 09:16 . 2009-01-03 11:41 12,915 --a------ c:\windows\system32\tablet.dat 2009-01-03 09:16 . 2001-04-09 21:45 8,138 --------- c:\windows\system32\drivers\PenClass.sys . (((((((((((((((((((((((((((((((((((((((( 在三个月内被修改的档案 )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-01-26 20:11 --------- d-----w c:\program files\Warcraft III 2009-01-26 19:00 --------- d-----w c:\program files\Rising 2009-01-26 17:56 --------- d--h--w c:\program files\InstallShield Installation Information 2009-01-26 17:26 --------- d-----w c:\program files\Free Download Manager 2009-01-26 00:34 --------- d-----w c:\documents and settings\YU\Application Data\uTorrent 2009-01-25 14:54 --------- d-----w c:\docume~1\ALLUSE~1.WIN\APPLIC~1\Apple Computer 2009-01-09 23:01 --------- d-----w c:\documents and settings\YU\Application Data\mIRC 2009-01-09 22:23 --------- d-----w c:\program files\mIRC 2008-12-21 17:40 --------- d-----w c:\program files\AirSnare 2008-12-21 17:38 --------- d-----w c:\program files\WinPcap 2008-12-21 15:39 --------- d-----w c:\documents and settings\YU\Application Data\gtk-2.0 2008-12-19 08:57 --------- d-----w c:\program files\Java 2008-12-17 19:12 --------- d-----w c:\program files\GIMP-2.0 2008-12-11 11:57 333,184 ----a-w c:\windows\system32\drivers\srv.sys 2008-11-29 15:32 --------- d-----w c:\docume~1\ALLUSE~1.WIN\APPLIC~1\Zylom 2008-11-21 19:11 2,829 ----a-w c:\windows\War3Unin.pif 2008-11-21 19:11 139,264 ----a-w c:\windows\War3Unin.exe 2004-07-22 08:51 3,432,656 ----a-w c:\program files\ManagedDX.CAB 2004-07-19 20:58 1,156,363 ----a-w c:\program files\BDANT.cab 2004-07-19 20:53 976,020 ----a-w c:\program files\BDAXP.cab 2004-07-09 12:17 13,265,040 ----a-w c:\program files\dxnt.cab 2004-07-09 07:13 703,080 ----a-w c:\program files\BDA.cab 2004-07-09 07:13 15,493,481 ----a-w c:\program files\DirectX.cab 2006-05-03 10:06 163,328 --sh--r c:\windows\system32\flvDX.dll 2007-02-21 11:47 31,232 --sh--r c:\windows\system32\msfDX.dll 2007-12-17 13:43 27,648 --sh--w c:\windows\system32\Smab0.dll . ((((((((((((((((((((((((((((((((((((( 重要登入点 )))))))))))))))))))))))))))))))))))))))))))))))))) . . *注意* 空白与合法缺省登录将不会被显示 REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MsnMsgr"="c:\program files\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5735792] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 59392] "PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-03 455168] "PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-03 455168] "HControl"="c:\windows\ATK0100\HControl.exe" [2005-08-29 102400] "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-12-19 136600] "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-01-13 163840] "Persistence"="c:\windows\system32\igfxpers.exe" [2007-01-13 135168] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 96112] "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2006-06-14 339968] "QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-01-26 344064] "SoundMan"="SOUNDMAN.EXE" [2005-01-26 c:\windows\SOUNDMAN.EXE] "High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 c:\windows\system32\HdAShCut.exe] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] "{32CD708B-60A7-4C00-9377-D73EAA495F0F}"= "c:\windows\system32\RavExt.dll" [2006-05-25 98304] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless] 2004-10-15 11:27 110592 c:\program files\Intel\Wireless\Bin\LgNotify.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "MSACM.CEGSM"= mobilev.acm "vidc.i420"= i420vfw.dll [HKLM\~\startupfolder\C:^Documents and Settings^All Users.WINDOWS^「开始」菜单^程序^启动^Windows Update.lnk] path=c:\documents and settings\All Users.WINDOWS\「开始」菜单\程序\启动\Windows Update.lnk backup=c:\windows\pss\Windows Update.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 "FirewallOverride"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "c:\Program Files\Messenger\msmsgs.exe"= "c:\WINDOWS\PCHEALTH\HELPCTR\Binaries\HelpCtr.exe"= "c:\Program Files\mIRC\mirc.exe"= "c:\Program Files\Warcraft III\Warcraft III.exe"= "c:\Program Files\Warcraft III\War3.exe"= "c:\Program Files\MSN Messenger\msnmsgr.exe"= c:\Program Files\MSN Messenger\MsnMsgr.Exe "c:\Program Files\MSN Messenger\livecall.exe"= "c:\WINDOWS\system32\java.exe"= "c:\Program Files\Mozilla Firefox\firefox.exe"= "c:\Program Files\uTorrent\uTorrent.exe"= "c:\Program Files\DNA\btdna.exe"= "c:\Documents and Settings\All Users.WINDOWS\Application Data\NexonUS\NGM\NGM.exe"= "c:\Program Files\iTunes\iTunes.exe"= "c:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe"= "c:\WINDOWS\ALCMTR.EXE"= "c:\WINDOWS\system32\HDAShCut.exe"= "c:\WINDOWS\system32\WTablet\Pen_TabletUser.exe"= "c:\Program Files\iTunes\iTunesHelper.exe"= "c:\WINDOWS\system32\wuauclt.exe"= "c:\WINDOWS\system32\hkcmd.exe"= "c:\WINDOWS\SOUNDMAN.EXE"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009 "4875:TCP"= 4875:TCP:ppLive "4343:UDP"= 4343:UDP:ppLive R0 kdlfkf;kdlfkf;\SystemRoot\SystemRoot\System32\drivers\kdlfkf.sys --> \SystemRoot\SystemRoot\System32\drivers\kdlfkf.sys [?] R0 ojplqra;ojplqra;c:\windows\system32\drivers\ojplqra.sys [2006-12-21 13936] R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2009-01-26 28544] R0 PLFF;USB Flash Disk Driver;c:\windows\system32\drivers\plff.sys [2006-01-06 7424] R0 R592;R592;c:\windows\system32\drivers\R592.sys [2005-11-04 57088] R0 risdpntk;risdpntk;c:\windows\system32\drivers\risdpntk.sys [2005-11-04 27264] R3 aic32p;aic32p;\??\c:\windows\system32\drivers\fkpqqk.sys --> c:\windows\system32\drivers\fkpqqk.sys [?] R4 BaseTDI;Rising TDI Base Driver;c:\windows\system32\drivers\basetdi.sys [2005-11-04 13364] R4 RsCCenter;Rising Process Communication Center;c:\program files\Rising\Rav\CCenter.exe [2005-11-04 110592] R4 RsRavMon;RsRavMon Service;c:\program files\Rising\Rav\RavMonD.exe [2005-11-04 233472] R4 TabletServicePen;TabletServicePen;c:\windows\system32\Pen_Tablet.exe [2009-01-03 2749736] S1 ADProt;ADProt;c:\windows\system32\drivers\ADProt.SYS [2006-12-21 50688] S3 camvid20;Philips ToUcam Camera; Video;c:\windows\system32\drivers\camdrv21.sys [2007-04-16 223232] S3 FLMCKUSB;AuthenTec TruePrint USB Driver (AES3400, AES3500, AES4000);c:\windows\system32\drivers\FLMckUSB.sys [2006-01-06 80724] S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [2008-10-27 257192] S3 RfwProxySrv;Rising Proxy Service;c:\program files\rising\rfw\rfwproxy.exe --> c:\program files\rising\rfw\rfwproxy.exe [?] S3 wacmoumonitor;Wacom Mode Helper;c:\windows\system32\drivers\wacmoumonitor.sys [2009-01-03 15656] S4 ExpScaner;ExpScaner;\??\c:\program files\Rising\Rav\ExpScan.sys --> c:\program files\Rising\Rav\ExpScan.sys [?] S4 HookCont;HookCont;\??\c:\program files\Rising\Rav\HOOKCONT.sys --> c:\program files\Rising\Rav\HOOKCONT.sys [?] S4 HookReg;HookReg;\??\c:\program files\Rising\Rav\HookReg.sys --> c:\program files\Rising\Rav\HookReg.sys [?] S4 HookSys;HookSys;\??\c:\program files\Rising\Rav\HookSys.sys --> c:\program files\Rising\Rav\HookSys.sys [?] S4 HookUrl;HookUrl;\??\c:\program files\Rising\Rfw\HookUrl.sys --> c:\program files\Rising\Rfw\HookUrl.sys [?] S4 MEMSCAN;MEMSCAN;\??\c:\program files\Rising\Rav\MEMSCAN.sys --> c:\program files\Rising\Rav\MEMSCAN.sys [?] S4 mProcRs;mProcRs;\??\c:\program files\rising\rfw\mProcRs.sys --> c:\program files\rising\rfw\mProcRs.sys [?] S4 RfwService;Rising Personal Firewall Service;c:\program files\Rising\Rfw\rfwsrv.exe --> c:\program files\Rising\Rfw\rfwsrv.exe [?] S4 RsFwDrv;RsFwDrv;\??\c:\program files\Rising\Rfw\RsFwDrv.sys --> c:\program files\Rising\Rfw\RsFwDrv.sys [?] . ‘计划任务’ 文件夹里的内容 2008-10-31 c:\windows\Tasks\{6C7C27A7-312E-4193-94A5-16D26498527F}_CHENYU_YU.job - c:\windows\system32\mobsync.exe [2004-08-04 01:52] 2009-01-23 c:\windows\Tasks\{F07D5B4C-8AF6-4EDC-A9DB-5CE7932E32A7}_CHENYU_YU.job - c:\windows\system32\mobsync.exe [2004-08-04 01:52] 2009-01-23 c:\windows\Tasks\{FD91195E-63DE-4AC4-BBA2-3392C33E9B57}_CHENYU_YU.job - c:\windows\system32\mobsync.exe [2004-08-04 01:52] . . ------- 而外的扫描 ------- . IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000 IE: 上传到QQ网络硬盘 - IE: 添加到QQ自定义面板 - IE: 添加到QQ表情 - IE: 用QQ彩信发送该图片 - Handler: ic32pp - {BBCA9F81-8F4F-11D2-90FF-0080C83D3571} - c:\windows\wc98pp.dll FF - ProfilePath - c:\documents and settings\YU\Application Data\Mozilla\Firefox\Profiles\kep2vbhm.default\ FF - plugin: c:\documents and settings\All Users.WINDOWS\Application Data\NexonUS\NGM\npNxGameUS.dll FF - plugin: c:\documents and settings\All Users.WINDOWS\Application Data\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll FF - plugin: c:\documents and settings\YU\Application Data\Mozilla\Firefox\Profiles\kep2vbhm.default\extensions\{bb628310-0ab7-11db-9cd8-0800200c9a66}\plugins\nphardwaredetection.dll FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll FF - plugin: c:\program files\Mozilla Firefox\plugins\npzylomgamesplayer.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-01-27 02:54:28 Windows 5.1.2600 Service Pack 2 NTFS 扫描被隐藏的进程。。。扫描被隐藏的启动组。。。扫描被隐藏的文件。。。 c:\documents and settings\YU\ 7077888 bytes c:\documents and settings\YU\c:\documents and settings\YU\c:\documents and settings\YU\ 2804 bytes c:\documents and settings\YU\c:\documents and settings\YU\c:\documents and settings\YU\ 15793 bytes c:\documents and settings\YU\c:\documents and settings\YU\c:\documents and settings\YU\c:\documents and settings\YU\c:\documents and settings\YU\c:\documents and settings\YU\c:\documents and settings\YU\ 1024 bytes c:\documents and settings\YU\ 278 bytes c:\documents and settings\YU\c:\documents and settings\YU\c:\documents and settings\YU\c:\documents and settings\YU\c:\documents and settings\YU\c:\documents and settings\YU\c:\documents and settings\YU\c:\documents and settings\YU\ 扫描完成被隐藏的档案: 23 ************************************************************************** . --------------------- LOCKED REGISTRY KEYS --------------------- [HKEY_USERS\.Default\AppEvents\Schemes\Apps\Conf\ g篘*慂Q\.Current] @="c:\Program Files\NetMeeting\Blip.wav" [HKEY_USERS\LocalService\AppEvents\Schemes\Apps\Conf\ g篘*慂Q\.Current] @="c:\Program Files\NetMeeting\Blip.wav" [HKEY_USERS\S-1-5-20\AppEvents\Schemes\Apps\Conf\ g篘*慂Q\.Current] @="c:\Program Files\NetMeeting\Blip.wav" [HKEY_USERS\S-1-5-21-117609710-1085031214-839522115-1003\AppEvents\Schemes\Apps\Conf\ g篘*慂Q\.Current] @="c:\Program Files\NetMeeting\Blip.wav" [HKEY_USERS\S-1-5-21-117609710-1085031214-839522115-1003\Software\DownloadManager\FoldersTree\Compress*] "ID"=dword:00000007 "mask"="zip rar r0* r1* arj gz sit sitx sea ace bz2" "path"="c:\Documents and Settings\YU\My Documents\Downloads\Compressed" "rememberLastPath"=dword:00000000 [HKEY_USERS\S-1-5-21-117609710-1085031214-839522115-1003\Software\Microsoft\Internet Explorer\MenuExt\鹠燫0RQ*Q*陙歔INb?g] @="" "contexts"=dword:0000007f [HKEY_USERS\S-1-5-21-117609710-1085031214-839522115-1003\Software\Microsoft\Internet Explorer\MenuExt\鹠燫0RQ*Q*h埮`] @="" "contexts"=dword:00000002 [HKEY_USERS\S-1-5-21-117609710-1085031214-839522115-1003\Software\Microsoft\Internet Explorer\MenuExt\(uQ*Q*i_酧裇愬孇VGr] @="" "contexts"=dword:00000002 [HKEY_LOCAL_MACHINE\software\Classes\B*D*A*T*u*n*e*r*.*膥鯪\CLSID] @="{809B6661-94C4-49E6-B6EC-3F0F862215AA}" [HKEY_LOCAL_MACHINE\software\Classes\B*D*A*T*u*n*e*r*.*膥鯪\CurVer] @="BDATuner.组件.1" [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\SUPER *] "DisplayName"="SUPER ?Version 2008.bld.30 (Mar 22, 2008)" "UninstallString"="c:\PROGRA~1\ERIGHT~1\SUPER\Setup.exe /remove /q0" "InstallDate"="2008-07-01 13:45:01" "InstallLocation"="c:\Program Files\eRightSoft\SUPER" "InstallSource"="c:\Documents and Settings\YU\桌面" "DisplayIcon"="c:\Program Files\eRightSoft\SUPER\SUPER.exe" "DisplayVersion"="Version 2008.bld.30 (Mar 22, 2008)" "VersionMajor"=dword:00000000 "VersionMinor"=dword:00000000 "Publisher"="eRightSoft" "HelpLink"="https://www.erightsoft.com/home.html" "URLInfoAbout"="https://www.erightsoft.com/home.html" "URLUpdateInfo"="https://www.erightsoft.com/home.html" "Contact"="support@eRightSoft.com" . --------------------- 运行进程下的动态链接库 --------------------- - - - - - - - > 'winlogon.exe'(1120) c:\windows\system32\HANWANGP.IME c:\program files\Intel\Wireless\Bin\LgNotify.dll . ------------------------ 其他运行进程 ------------------------ . c:\program files\Intel\Wireless\Bin\EvtEng.exe c:\program files\Intel\Wireless\Bin\S24EvMon.exe c:\program files\Intel\Wireless\Bin\ZCfgSvc.exe c:\progra~1\Intel\Wireless\Bin\1XConfig.exe c:\windows\system32\conime.exe c:\program files\Java\jre6\bin\jqs.exe c:\program files\Intel\Wireless\Bin\OProtSvc.exe c:\windows\system32\PnkBstrA.exe c:\program files\Intel\Wireless\Bin\RegSrvc.exe c:\windows\system32\wdfmgr.exe c:\windows\system32\WTablet\Pen_TabletUser.exe c:\program files\iPod\bin\iPodService.exe c:\windows\ATK0100\ATKOSD.exe c:\program files\Mozilla Firefox\firefox.exe . ************************************************************************** . 完成时间: 2009-01-27 3:03:10 - 电脑已重新启动 [YU] ComboFix-quarantined-files.txt 2009-01-27 02:03:07 Pre-Run: 9,682,063,360 可用字节 Post-Run: 9,583,521,792 可用字节 WindowsXP-KB310994-SP2-Pro-BootDisk-CHS.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=OptIn /fastdetect multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /noexecute=OptIn /fastdetect 345 --- E O F --- 2009-01-15 14:46:58

Destrio5 · Answer

Retente un scan avec MBAM.

Tiande · Answer

(Rebonjour)
Toujours le même problème avec MBAM, je peux pas afficher les résultats :x
Désolé...

Edit : Ah et je rapporte quelques autres petites choses que j'ai remarqué qui ont changé :
- Firefox n'est plus mon navigateur par défaut, et quand j'essaye de le remettre comme navigateur par défaut, un message "NSIS Error" (The Installer you are trying to use is corrupted or incomplete. This could be the result of a damaged disk, a failed download or a virus ......)
- Lorsque je tente de jouer à Warcraft III en Battle.net, il s'affiche un message comme quoi le jeu n'est pas valide ou quelque chose de ce genre, et qu'il faudrait réinstaller manuellement un patch (c'est une version officiel bien entendu)

Ah et autre chose, avant (hier) j'avais encore un Antivirus Rising, je l'ai volontairement supprimé en pensant qu'il était la cause du virus (le nombre d'icône le représentant se multipliait dans la barre d'icônes à côté de l'heure, quand je repassais la souris dessus ils disparaissaient)

J'ai aussi essayé Panda Scan (version en ligne) mais on dirait que quelque chose bloque le scan, une étape de "Mise à jour du programme" qui laisse le chargement à 0%

C'est à peu près tout ce qui s'est produit ^^'

Utilisateur anonyme · Answer

Bonsoir,

Peux-tu réessayer de nous fournir un rapport RSIT comme indiqué ici : http://www.commentcamarche.net/forum/affich 10717314 virus exe?#1 ?


Si ça marche pas on fait autrement. ;)


+

Tiande · Answer

J'ai réessayé pour RSIT.exe et ça marche ! (enfin quelque chose qui fonctionne lol)

Logfile of random's system information tool 1.05 (written by random/random)
Run by YU at 2009-01-27 19:21:32
Microsoft Windows XP Professional Service Pack 2
System drive C: has 9 GB (45%) free of 20 GB
Total RAM: 503 MB (34% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:22:09, on 27/01/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Rising\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Rising\Rav\Ravmond.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ATK0100\HControl.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Intel\Wireless\Bin\OProtSvc.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Pen_Tablet.exe
C:\WINDOWS\system32\WTablet\Pen_TabletUser.exe
C:\WINDOWS\system32\Pen_Tablet.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOCUME~1\YU\LOCALS~1\Temp\winswwrk.exe
C:\DOCUME~1\YU\LOCALS~1\Temp\winjgrof.exe
C:\DOCUME~1\YU\LOCALS~1\Temp\winvduys.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\conime.exe
C:\Documents and Settings\YU\&#26700;&#38754;\RSIT.exe
C:\Program Files	rend micro\YU.exe

R3 - URLSearchHook: Yahoo! &#956;?o?ì? - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: OwnershipProtocol - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\OProtSvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Rising Proxy  Service (RfwProxySrv) - Unknown owner - c:\program filesisingfwfwproxy.exe (file missing)
O23 - Service: Rising Personal Firewall Service (RfwService) - Unknown owner - C:\Program Files\Rising\Rfwfwsrv.exe (file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcappcapd.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe
O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\Ravmond.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: TabletServicePen - Wacom Technology, Corp. - C:\WINDOWS\system32\Pen_Tablet.exe
O23 - Service: User Profile Hive Cleanup (UPHClean) - Unknown owner - C:\Program Files\UPHClean\uphclean.exe (file missing)

Utilisateur anonyme · Answer

Ok, très bien.
Je te prépare une manip.

Juste une question : ta version de Windows est chinoise ou tu parles chinois, ou autre chose... ? Ou bien ça n'a rien à voir et c'est juste l'infection CnsMin qui fait ça ?

Tiande · Answer

Ma Version est bien chinoise mais je ne sais pas vraiment le lire alors il m'embête assez souvent (sa existe pas les packs pour changer la langue de Windows, si ? x]). C'était celui de mon père à la base d'où la langue...
D'ailleurs je me demandais s'il était possible de retirer les transformations automatique qui transforment les é, è, ... en !, ? ou caractère chinois, les programmes/jeux multi-langue sont aussi mis en chinois comme langue par défaut et j'ai des difficultés à le changer (mais bon c'est une autre affaire).

Utilisateur anonyme · Answer

Re, désolé j'étais au téléphone et là je vais pas tarder à aller manger. Peux tu faire ceci ? (on dirait du Sality) > Rends toi sur le site Virus Total : https://www.virustotal.com/gui/ et fais analyser le/les fichier(s) suivant(s) : (Clique sur puis copie/colle la/les ligne(s) dans le cadre "Nom du Fichier", ensuite valide par . Clique alors sur ) C:\WINDOWS\system32\drivers\fkpqqk.sys et poste le/les résultat(s) par copier/coller (ou le/les lien(s) http, c'est plus rapide et préférable). N.B. : Les fichiers doivent être analysés un par un. Ouvrir plusieurs fenêtres sur Virus Total peut bloquer les envois. Si Virus total te dit que le fichier a déjà été analysé alors demande une nouvelle analyse. Je reviens après avec la suite.

Tiande · Answer

Le Site ne veux pas s'afficher... (c'est une malédiction chez moi)
J'ai trouvé https://virustotal-uploader.fr.softonic.com/ Virus Total Uploader, c'est à peu près pareil non ? (Enfin je n'en ai aucune idée)

Utilisateur anonyme · Answer

Ok, je suis de retour. Alors, > Télécharge ATF Cleaner par Atribune sur ton bureau. - Démarre ATF-Cleaner et coche les valeurs suivantes : Windows Temp Current User Temp All Users Temp Cookies Temporary Internet Files Prefetch Java Cache Recycle Bin - Clique sur et au message "Done Cleaning" sur NB : Si tu utilises Firefox ou Opera : - Clique sur Firefox ou Opera en haut puis choisis

Tiande · Answer

Merci beaucoup pour ta réponse
Mais il y a toujours un (des XD) problèmes :
- ATF Cleaner, de la même manière que Ccleaner, se ferme directement après l'avoir ouvert
- Je n'arrive pas à démarrer en mode sans échec...
J'ai bien suivi le tutoriel mais il y a déjà un soucis de départ :
Mon PC comporte deux systèmes d'exploitation (enfin y'a un choix au démarrage oO) identique, l'un d'eux à un problème comme quoi il manquerait un fichier hal.dll (je n'ai plus le CD pour le remettre à neuf)
Le second système fonctionne bien (d'ailleurs j'ai laissé tomber le précédent) mais lorsque je teste le démarrage sans échec, une liste apparaît (concerne les drivers) suivi d'un écran bleu (pendant une fraction de seconde) avant de complètement redémarrer le pc

(Y'a aussi depuis hier probablement une troisième option "system recovered" quelque chose comme ça)

En ce qui concerne Rising, je n'en ai aucune idée :x Je ne l'ai jamais vraiment utilisé, je le laisse de côté, c'est à peine si j'avais un firewall !! (Il était dessus quand on me l'a passé...)

(A croire que la meilleure solution disponible c'est le formatage...)

Tiande · Answer

Bonjour
J'ai scanné mon pc avec A-Squared (j'ai dû passer l'étape avec ATF Cleaner vu qu'il ne peux pas fonctionner)
Voici donc le rapport généré : http://www.cijoint.fr/cjlink.php?file=cj200901/cijap3UZxI.txt

Mais malgré que j'aie effacé les virus détecté, le problème qui m'embête persiste toujours...
(Et aussi, j'ai perdu une bonne partie de mes fichiers .exe pour lancer des programmes, je vais devoir les télécharger à nouveau ?)

Utilisateur anonyme · Answer

Salut Tiande,

Ton PC a :
- deux OS dont un qui est HS, 
- plusieurs infections dont une Sality comme je pensais ici : http://www.commentcamarche.net/forum/affich 10717314 virus exe?#15
- la version de Windows est chinoise.
- Plus d'accès au MSE.
- ect...
Bref, beaucoup de choses qui me font te proposer le formatage.

Ton PC est encore récupérable mais l'infection Sality s'en prend aux .exe donc lance un minimum d'applications avant son éradication.

Que comptes-tu faire ? As-tu un OS à installer (un CD Windows ou autre sous la main) ? Veux-tu qu'on continue la désinfection ? Je suis partant. Jusqu'à présent on a fait l'inventaire des crasses présents sur ton PC en en supprimant une partie. Là on peut rentrer dans le lard.

C'est toi qui choisis... Dis moi....

PS : Oui, quoi qu'il en soit, tu vas devoir réinstaller les programmes supprimés car infectés par Sality.



A+

Tiande · Answer

Je préfère continuer si sa ne te dérange pas
J'aimerai bien formater le PC mais je n'ai pas le CD (et encore moins en version française ^^')

Au pire si on ne résout pas le problème avant fin de semaine, je trouverais bien un CD pour formater mon PC

Mais j'aurai voulu savoir, est-ce que le virus peut se propager par DD ou clé USB ?
Parce que même si je le formatais, si le virus restait sur un périphérique je le rencontrerai à nouveau
Il faudra bien passer par le nettoyage à un moment donné si c'est le cas

Bref continuons ! Je compte sur toi pour la suite ^^ Et Merci encore ! :)

Utilisateur anonyme · Answer

Ok, ça marche. No sushi.

Alors pendant que je liste l'ensemble des fichiers à supprimer dans les rapports précédents :

> Scanne ton PC avec  BitDefender en ligne http://www.bitdefender.fr/scan_fr/scan8/ie.html (uniquement sous Internet Explorer) 
- Clique sur J'accepte puis accepte également l'ActiveX bloqué par la barre anti-popup du SP2 qui clignotera en haut et installe le.
- Commence par connecter tout ton matériel de stockage à ton PC (clés USB, DD amovible...) si possible. Allume les si necessaire.
- Ensuite, clique sur Cliquez ici pour scanner.
- Patiente jusqu'à la fin du scan qui peut durer assez longtemps... 
- Poste le rapport une fois terminé.
Tuto : https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId131054


Puis une fois avoir posté le rapport je t'envoie la suite.


Bon courage.

Destrio5 · Answer

DllD, il pourrait utiliser l'AVPTool de Kaspersky ?

Tiande · Answer

Rien ne se produit quand j'appuie sur le bouton "J'accepte"
Je pourrais peut-être télécharger la version 30j d'essai ?

Tiande · Answer

J'ai essayé les 2 liens disponible mais sans succès, page introuvable... :/ Désolé
(Et par moteur de recherche, je retombe toujours sur ces pages)

Destrio5 · Answer

http://downloads5.kaspersky-labs.com/devbuilds/AVPTool/setup_7.0.0.290_28.01.2009_18-00.exe

Tiande · Answer

Le résultat est toujours le même : Page Introuvable :/
(Pour le FTP, il ouvre seulement la page mais il n'y a aucun dossier dedans)

Tiande · Answer

Marche pas non plus...

Destrio5 · Answer

Je suis en train de te l'uploader.

Utilisateur anonyme · Answer

Désolé pour le retard mais le chinois c'est pas mon fort... ;) Je vois que tu as utilisé pas mal de fix.... Merci de juste suivre cette procédure stp (ni plus, ni moins ;)) Alors, > Lance Hijackthis : - Puis sélectionne - Coche les cases des lignes suivantes si encore présentes : R3 - URLSearchHook: Yahoo! ??o?ì? - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O11 - Options group: [!CNS] ?D??é?í? O11 - Options group: [CDNCLIENT] ?D??é?í? O11 - Options group: [TBH] ?D?????? Ensuite, - Ferme toutes les autres fenêtres et applications (même internet). - Clic sur Ensuite, > Télécharge OTMoveIT_3 (de Old_Timer) : http://oldtimer.geekstogo.com/OTMoveIt3.exe sur ton bureau... - Double-clique sur OTMoveIt3.exe pour le lancer. - Copie le texte qui se trouve ci-dessous et colle-le dans le cadre de gauche de OTMoveIt nommé < Paste standard List of Files/Folders to be moved > ( Image ). :processes explorer.exe :files C:\WINDOWS\system32\ckvo.exe C:\Windows\system32\wmimgr32.dll C:\WINDOWS\System32\TZLog.log C:\WINDOWS\WindowsUpdate.log C:\WINDOWS\wiaservc.log C:\WINDOWS\wiadebug.log C:\WINDOWS\0.log C:\WINDOWS\setupapi.log C:\WINDOWS\GEARInstall.log C:\WINDOWS\wmsetup.log C:\WINDOWS\svcpack.log C:\WINDOWS\assist.dat C:\WINDOWS\system32\Smab0.dll C:\WINDOWS\system32\flvDX.dll C:\WINDOWS\system32\msfDX.dll C:\WINDOWS\Downloaded Program Files\3721 C:\WINDOWS\Downloaded Program Files\assis.ico C:\WINDOWS\Downloaded Program Files\Cbfhjx.dll C:\WINDOWS\Downloaded Program Files\Cns02.dat C:\WINDOWS\Downloaded Program Files\CnsHint.cab C:\WINDOWS\Downloaded Program Files\cnshint.dll C:\WINDOWS\Downloaded Program Files\cnsio.dll C:\WINDOWS\Downloaded Program Files\CnsMin.ini C:\WINDOWS\Downloaded Program Files\CnsMinAL.cab C:\WINDOWS\Downloaded Program Files\CnsMinCg.ini C:\WINDOWS\Downloaded Program Files\CnsMinDT.cab C:\WINDOWS\Downloaded Program Files\CnsMinDT.dll C:\WINDOWS\Downloaded Program Files\CnsMinEx.ini C:\WINDOWS\Downloaded Program Files\CnsMinIO.cab C:\WINDOWS\Downloaded Program Files\CnsMinIO.dll C:\WINDOWS\Downloaded Program Files\CnsPlus.cab C:\WINDOWS\Downloaded Program Files\cnsplus.dll C:\WINDOWS\Downloaded Program Files\CnsUp.ini C:\WINDOWS\Downloaded Program Files\Hnbmy.dll C:\WINDOWS\Downloaded Program Files\keepmain.dll C:\WINDOWS\Downloaded Program Files\keepmainM.cab C:\WINDOWS\Downloaded Program Files\sms.ico C:\WINDOWS\Downloaded Program Files aobao.ico C:\WINDOWS\Downloaded Program Files\widget.ico C:\WINDOWS\Downloaded Program Files\wvc1dmo.inf C:\WINDOWS\Downloaded Program Files\yahoomsg.ico C:\WINDOWS\Downloaded Program Files\yascnsup.ini C:\WINDOWS\Downloaded Program Files\ymail.ico K:\sq.com C:\DOCUME~1\YU\LOCALS~1\Temp\mbr.sys C:\WINDOWS\TEMP\winghnbur.exe C:\WINDOWS\TEMP\winxvqux.exe C:\DOCUME~1\YU\LOCALS~1\Temp\winhkkdpv.exe C:\DOCUME~1\YU\LOCALS~1\Temp\winnahnf.exe C:\DOCUME~1\YU\LOCALS~1\Temp\winmnemrp.exe C:\DOCUME~1\YU\LOCALS~1\Temp\winlyjmrp.exe C:\DOCUME~1\YU\LOCALS~1\Temp\winnrea.exe C:\DOCUME~1\YU\LOCALS~1\Temp\winswwrk.exe C:\DOCUME~1\YU\LOCALS~1\Temp\winjgrof.exe C:\DOCUME~1\YU\LOCALS~1\Temp\winvduys.exe C:\WINDOWS\system32\winjpbje.exe C:\WINDOWS\system32\winjpbje.exe C:\WINDOWS\system32\winbqfo.exe C:\WINDOWS\system32\wineuowfc.exe C:\autorun.inf C:\WINDOWS\system32\drivers\ojplqra.sys C:\WINDOWS\system32\drivers\CnsMinKP.sys C:\WINDOWS\system32\drivers\kdlfkf.sys C:\WINDOWS\system32\drivers\fkpqqk.sys c:\Documents and Settings\Administrator\Local Settings\Temp\setup\capp.exe c:\Documents and Settings\Administrator\Local Settings\Temp\setup\IdnMail.exe c:\Documents and Settings\Administrator\Local Settings\Temp\setup\insact.exe c:\Documents and Settings\Administrator\Local Settings\Temp\setup\setup.exe c:\Documents and Settings\YU\Local Settings\Temp\winbqfo.exe c:\Documents and Settings\YU\Local Settings\Temp\wineuowfc.exe c:\Documents and Settings\YU\Local Settings\Temp\winjpbje.exe c:\windows\wc98pp.dll C:\WINDOWS\Downloaded Program Files\3721 :commands [purity] [emptytemp] [start explorer] [reboot] - Clique sur < MoveIt! > pour lancer la suppression. N.B :Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur YES. Un rapport est créé dans %SYSTEMDRIVE%\_OTMoveIt\MovedFiles\date du jour (souvent C:\_OTMoveIt\MovedFiles\), copie-colle-le dans ta réponse suivante. Puis, As-tu pu passer Ccleaner ? Si il ne veut pas en MSE alors fais le en Mode normal. Je te remets la manip : >Télécharge et installe Ccleaner (logiciel à conserver et à utiliser régulièrement) : https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/ , si besoin est tu trouveras des Tutoriaux ici, ici et là. (N'installe pas la Yahoo Toolbar) > Démarre en mode sans échec : (image). Si problème : tuto ici >Lance Ccleaner,, - Choisi l’onglet "Options" puis clique sur "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures" (tout doit être supprimé). - Dans l'onglet "Nettoyeur" clique sur "Analyse". - Une fois l'analyse terminée, clique sur "Lancer le Nettoyage". - Dans l'onglet "registre" => Recherches des erreurs => Réparer les erreurs sélectionnées => enregistre une sauvegarde => corriger toutes erreurs sélectionnées => ok => fermer. N.B : Si Ccleaner te propose d'enregistrer une sauvegarde, reponds oui et enregistre sous 'Bureau' Recommence jusqu’à ce qu’il ne trouve plus rien (cela varie en général entre 1 et 4 fois). Peux-tu aussi réessayer Malwaresbyte's (mode normal et scanne rapide) ? Je te conseille aussi de désinstaller iMesh (il est douteux). Bon courage ;) PS : Le PC va mieux ?

Tiande · Answer

Yosh résultats :

1ère Manipulation : (Hijackthis) J'ai bien supprimé les fichiers à l'exception de ceux-ci :
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"     
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
Je l'ai avait désinstallé y'a peu pour faire de la place, je les remettrais le moment voulu (en plus sans fichier .exe je peux pas m'en servir... Et sa doit être de même pour tous mes fichiers affectés...)
R3 - URLSearchHook: Yahoo! ??o?ì? - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) 
O11 - Options group: [!CNS] ?D??é?í?
O11 - Options group: [CDNCLIENT] ?D??é?í?
O11 - Options group: [TBH] ?D?????? 
Ils étaient pas présent
2ème Manipulation : (OTMoveIt3)
========== PROCESSES ==========
Process explorer.exe killed successfully.
========== FILES ==========
File/Folder C:\WINDOWS\system32\ckvo.exe not found.
File/Folder C:\Windows\system32\wmimgr32.dll not found.
C:\WINDOWS\System32\TZLog.log moved successfully.
File move failed. C:\WINDOWS\WindowsUpdate.log scheduled to be moved on reboot.
File move failed. C:\WINDOWS\wiaservc.log scheduled to be moved on reboot.
File move failed. C:\WINDOWS\wiadebug.log scheduled to be moved on reboot.
C:\WINDOWS\0.log moved successfully.
C:\WINDOWS\setupapi.log moved successfully.
C:\WINDOWS\GEARInstall.log moved successfully.
C:\WINDOWS\wmsetup.log moved successfully.
C:\WINDOWS\svcpack.log moved successfully.
C:\WINDOWS\assist.dat moved successfully.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\Smab0.dll
C:\WINDOWS\system32\Smab0.dll NOT unregistered.
C:\WINDOWS\system32\Smab0.dll moved successfully.
C:\WINDOWS\system32\flvDX.dll unregistered successfully.
C:\WINDOWS\system32\flvDX.dll moved successfully.
C:\WINDOWS\system32\msfDX.dll unregistered successfully.
C:\WINDOWS\system32\msfDX.dll moved successfully.
File/Folder C:\WINDOWS\Downloaded Program Files\3721 not found.
C:\WINDOWS\Downloaded Program Files\assis.ico moved successfully.
File/Folder C:\WINDOWS\Downloaded Program Files\Cbfhjx.dll not found.
File/Folder C:\WINDOWS\Downloaded Program Files\Cns02.dat not found.
File/Folder C:\WINDOWS\Downloaded Program Files\CnsHint.cab not found.
File/Folder C:\WINDOWS\Downloaded Program Files\cnshint.dll not found.
File/Folder C:\WINDOWS\Downloaded Program Files\cnsio.dll not found.
File/Folder C:\WINDOWS\Downloaded Program Files\CnsMin.ini not found.
File/Folder C:\WINDOWS\Downloaded Program Files\CnsMinAL.cab not found.
File/Folder C:\WINDOWS\Downloaded Program Files\CnsMinCg.ini not found.
File/Folder C:\WINDOWS\Downloaded Program Files\CnsMinDT.cab not found.
File/Folder C:\WINDOWS\Downloaded Program Files\CnsMinDT.dll not found.
File/Folder C:\WINDOWS\Downloaded Program Files\CnsMinEx.ini not found.
File/Folder C:\WINDOWS\Downloaded Program Files\CnsMinIO.cab not found.
File/Folder C:\WINDOWS\Downloaded Program Files\CnsMinIO.dll not found.
File/Folder C:\WINDOWS\Downloaded Program Files\CnsPlus.cab not found.
File/Folder C:\WINDOWS\Downloaded Program Files\cnsplus.dll not found.
File/Folder C:\WINDOWS\Downloaded Program Files\CnsUp.ini not found.
File/Folder C:\WINDOWS\Downloaded Program Files\Hnbmy.dll not found.
File/Folder C:\WINDOWS\Downloaded Program Files\keepmain.dll not found.
File/Folder C:\WINDOWS\Downloaded Program Files\keepmainM.cab not found.
File/Folder C:\WINDOWS\Downloaded Program Files\sms.ico not found.
File/Folder C:\WINDOWS\Downloaded Program Files	aobao.ico not found.
C:\WINDOWS\Downloaded Program Files\widget.ico moved successfully.
C:\WINDOWS\Downloaded Program Files\wvc1dmo.inf moved successfully.
File/Folder C:\WINDOWS\Downloaded Program Files\yahoomsg.ico not found.
C:\WINDOWS\Downloaded Program Files\yascnsup.ini moved successfully.
File/Folder C:\WINDOWS\Downloaded Program Files\ymail.ico not found.
File/Folder K:\sq.com not found.
File/Folder C:\DOCUME~1\YU\LOCALS~1\Temp\mbr.sys not found.
File/Folder C:\WINDOWS\TEMP\winghnbur.exe not found.
File/Folder C:\WINDOWS\TEMP\winxvqux.exe not found.
File/Folder C:\DOCUME~1\YU\LOCALS~1\Temp\winhkkdpv.exe not found.
File/Folder C:\DOCUME~1\YU\LOCALS~1\Temp\winnahnf.exe not found.
File/Folder C:\DOCUME~1\YU\LOCALS~1\Temp\winmnemrp.exe not found.
File/Folder C:\DOCUME~1\YU\LOCALS~1\Temp\winlyjmrp.exe not found.
File/Folder C:\DOCUME~1\YU\LOCALS~1\Temp\winnrea.exe not found.
File/Folder C:\DOCUME~1\YU\LOCALS~1\Temp\winswwrk.exe not found.
File/Folder C:\DOCUME~1\YU\LOCALS~1\Temp\winjgrof.exe not found.
File/Folder C:\DOCUME~1\YU\LOCALS~1\Temp\winvduys.exe not found.
File/Folder C:\WINDOWS\system32\winjpbje.exe not found.
File/Folder C:\WINDOWS\system32\winjpbje.exe not found.
File/Folder C:\WINDOWS\system32\winbqfo.exe not found.
File/Folder C:\WINDOWS\system32\wineuowfc.exe not found.
C:\autorun.inf moved successfully.
C:\WINDOWS\system32\drivers\ojplqra.sys moved successfully.
File/Folder C:\WINDOWS\system32\drivers\CnsMinKP.sys not found.
File/Folder C:\WINDOWS\system32\drivers\kdlfkf.sys not found.
File/Folder C:\WINDOWS\system32\drivers\fkpqqk.sys not found.
File/Folder c:\Documents and Settings\Administrator\Local Settings\Temp\setup\capp.exe not found.
File/Folder c:\Documents and Settings\Administrator\Local Settings\Temp\setup\IdnMail.exe not found.
File/Folder c:\Documents and Settings\Administrator\Local Settings\Temp\setup\insact.exe not found.
File/Folder c:\Documents and Settings\Administrator\Local Settings\Temp\setup\setup.exe not found.
File/Folder c:\Documents and Settings\YU\Local Settings\Temp\winbqfo.exe not found.
File/Folder c:\Documents and Settings\YU\Local Settings\Temp\wineuowfc.exe not found.
File/Folder c:\Documents and Settings\YU\Local Settings\Temp\winjpbje.exe not found.
c:\windows\wc98pp.dll unregistered successfully.
c:\windows\wc98pp.dll moved successfully.
File/Folder C:\WINDOWS\Downloaded Program Files\3721 not found.
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\YU\LOCALS~1\Temp\etilqs_eO0333bnOW5kFgL7z6uk scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\YU\LOCALS~1\Temp\winfpmtak.exe scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\YU\LOCALS~1\Temp\winjxjl.exe scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\YU\LOCALS~1\Temp\winossy.exe scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS	emp\Perflib_Perfdata_354.dat scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS	emp\Perflib_Perfdata_738.dat scheduled to be deleted on reboot.
Windows Temp folder emptied.
Java cache emptied.
File delete failed. C:\Documents and Settings\YU\Local Settings\Application Data\Mozilla\Firefox\Profiles\kep2vbhm.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\YU\Local Settings\Application Data\Mozilla\Firefox\Profiles\kep2vbhm.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\YU\Local Settings\Application Data\Mozilla\Firefox\Profiles\kep2vbhm.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\YU\Local Settings\Application Data\Mozilla\Firefox\Profiles\kep2vbhm.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\YU\Local Settings\Application Data\Mozilla\Firefox\Profiles\kep2vbhm.default\urlclassifier3.sqlite scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\YU\Local Settings\Application Data\Mozilla\Firefox\Profiles\kep2vbhm.default\XUL.mfl scheduled to be deleted on reboot.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully
 
OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 01282009_221440

(Bon il me demande de reboot, je t'envois la suite après)

Ah et, Concernant Ccleaner, mon PC ne veut pas faire le MSE et en normal, il se ferme toujours directement après l'avoir ouvert (je rajoute que le virus ne s'est pas gêné à complètement supprimer le fichier .exe qui permettait son lancement, bref c'est bon pour la désinstallation/réinstallation)

Utilisateur anonyme · Answer

Ok,
parfait.

Dis moi pour Ccleaner et MAlwareByte's stp.

Ensuite tu peux aussi réessayer le scanne en ligne et le lien de Destrio ci-dessus. Sinon on continue autrement.

;)

Tiande · Answer

(...)
Files moved on Reboot...
File move failed. C:\WINDOWS\WindowsUpdate.log scheduled to be moved on reboot.
File move failed. C:\WINDOWS\wiaservc.log scheduled to be moved on reboot.
File move failed. C:\WINDOWS\wiadebug.log scheduled to be moved on reboot.
File C:\DOCUME~1\YU\LOCALS~1\Temp\etilqs_eO0333bnOW5kFgL7z6uk not found!
C:\DOCUME~1\YU\LOCALS~1\Temp\winfpmtak.exe moved successfully.
File C:\DOCUME~1\YU\LOCALS~1\Temp\winjxjl.exe not found!
C:\DOCUME~1\YU\LOCALS~1\Temp\winossy.exe moved successfully.
C:\WINDOWS	emp\Perflib_Perfdata_354.dat moved successfully.
C:\WINDOWS	emp\Perflib_Perfdata_738.dat moved successfully.
C:\Documents and Settings\YU\Local Settings\Application Data\Mozilla\Firefox\Profiles\kep2vbhm.default\Cache\_CACHE_001_ moved successfully.
C:\Documents and Settings\YU\Local Settings\Application Data\Mozilla\Firefox\Profiles\kep2vbhm.default\Cache\_CACHE_002_ moved successfully.
C:\Documents and Settings\YU\Local Settings\Application Data\Mozilla\Firefox\Profiles\kep2vbhm.default\Cache\_CACHE_003_ moved successfully.
C:\Documents and Settings\YU\Local Settings\Application Data\Mozilla\Firefox\Profiles\kep2vbhm.default\Cache\_CACHE_MAP_ moved successfully.
C:\Documents and Settings\YU\Local Settings\Application Data\Mozilla\Firefox\Profiles\kep2vbhm.default\urlclassifier3.sqlite moved successfully.
C:\Documents and Settings\YU\Local Settings\Application Data\Mozilla\Firefox\Profiles\kep2vbhm.default\XUL.mfl moved successfully.
-------------------
Pour MBAM
(J'ai plusieurs logs différent, j'avais fait un court puis un complet donc...)
Registry Keys Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{db8b2393-7a6c-4c76-88ce-6b1f6ff6ffe9} (Adware.Agent) -> Quarantined and deleted succes
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{54ebd53a-9bc1-480b-966a-843a333ca162} (Spyware.OnlineGames) -> Quarantined and deleted
=> Je simplifie :D
-------------------
J'ai un soucis, probablement une consequence des effacements. Avant, j'avais la possibilite de choisir entre le clavier AZERTY et QWERTY (accessible par le raccourci CTRL + SPACE ou ALT + SHIFT < decouvert en tapotant mon clavier) mais maintenant je n'arrive plus qu'a utiliser mon clavier QWERTY et le changement s'effectue dans le choix entre l'usage de signes (des Kanji en japonais) ou des lettres simplement (Romaji)
Sa m'ennui un peu parce qu'en QWERTY il n'y a pas d'accent
Enfin bon laissons sa de cote

Merci beaucoup Destrio5 pour l'upload ! (avec ma connexion de fin de mois, sa me prend une heure a telecharger donc je le ferais demain)

Sinon, il va falloir que je réinstalle tous mes programmes qui avaient un .exe non ?
Sa va me servir de leçon, aller la semaine prochaine je vais aller m'acheter un antivirus lol =D

EDIT : Pour Ccleaner y'a vraiment aucun moyen, autant le laisser tomber pour le moment (il se ferme toujours 5 secondes plus tard mais c'est quand meme la 3eme fois que je le dis lol)

Utilisateur anonyme · Answer

Bah au niveau Antivirus tu as Rising mais si tu veux on peut changer pour Antivir (je comptais t'en parler).

Dans ce cas :
Désinstalle Rising puis :
> Essaye d'installer Antivir : : ouvre ce lien, télécharge Antivir et installe le.
N.B : Tuto : https://www.malekal.com/avira-free-security-antivirus-gratuit/
- Lance Antivir, fais les mises à jours puis branche tous ton matériel de stockage sur le PC, puis lance un scan (si des virus sont découverts, mets les en quarantaine. Si tu ne peux pas alors supprime les).
- A la fin du scan clique sur 'report', enregistre ce rapport sur le bureau (fichier => enregistrer sous), puis fait un copier/coller de ce rapport dans ton prochain message.

> Relance ton PC



Voilà.

Je pars dîner. Je reviens ensuite.

+

Tiande · Answer

Bonne Appetit ^^'

J'ai deja essayer Antivir, sa fait la meme chose que Ccleaner : il ferme subitement le setup pour l'installer, bref je ne peux pas l'utiliser (Avast est identique)

Par contre c'est etrange cette histoire avec Rising, normalement je l'ai deja supprimer hier soir, il doit rester des (grosses) traces je suppose =x

Utilisateur anonyme · Answer

Bon,
ok.

Et MBAM dit quoi ? Toujours pas de rapport ?

Peux-tu réessayer de faire un scanne Bitdefender en ligne ?

Aller, à table :)

Tiande · Answer

Ben pour MBAM je t'ai envoye les rapports (j'ai juste retirer les informations style "0 fichiers infectees..."

Enfin bon voila :

Malwarebytes' Anti-Malware 1.33
Database version: 1702
Windows 5.1.2600 Service Pack 2

28/01/2009 19:09:18
mbam-log-2009-01-28 (19-09-18).txt

Scan type: Full Scan (C:\|K:\|)
Objects scanned: 88826
Time elapsed: 44 minute(s), 6 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 2
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{db8b2393-7a6c-4c76-88ce-6b1f6ff6ffe­9} (Adware.Agent) -> Quarantined and deleted succes
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{54ebd53a-9bc1-480b-966a-843a333ca162} (Spyware.OnlineGames) -> Quarantined and deleted 

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)

PS : Pour l'Upload de Destrio5, le setup semble corrompu ~~ (enfin c'est p-e a cause de moi) mais merci quand meme

Destrio5 · Answer

Pourquoi corrompu ?

Tiande · Answer

Ben quand j'essaye de l'ouvrir, il marque "the setup files are corrupted. Please obtain a new copy of the program"

Au faite, est-ce que les périphériques comme le DD ou Clé USB sont affecté par le Virus ? Ou uniquement en cas d'échange des fichiers parasité par le virus ?

Destrio5 · Answer

Retélécharge AVPTool.

Tiande · Answer

Bon j'ai finalement décidé de formater le PC (pus simple xD)
Merci beaucoup pour votre aide ^^

A bientôt peut-être :)

Destrio5 · Answer

Ok ;)

Bonne soirée.

Virus .exe ?!

42 réponses

Discussions similaires