Win32.TDSS.rtk [TRJ]

Résolu
shaiko Messages postés 113 Statut Membre -  
shaiko Messages postés 113 Statut Membre -
Bonjour,

Je viens de faire deux spybot à la suite et ce fichu Win32.TDSS.rtk ne veut pas partir ....

Dans le précédent scan à noter qu'il y a avait la présence de ce fameux virtumonde de mes deux ... mais je doute qu'il ait été éradiqué grace à spybot ...

De maniere générale je soupçonne mon ordi d'être en proie à pas mal de mouchard/troyens dans le style des deux ci dessus énoncés ... Le démarage est lent, des boites de dialogies s'affichent toujours au démaragge (notamment une relative a rundll32), et le pc est également lent par la suite ....

Si quelqu'un aurait l'amabilité de m'aider à nettoyer ca en profondeur avant que les virus ne se developpent ca serait vraiment super gentil !

Merci d'avance pour une réponse !

Nicolas
Configuration: Windows XP
Internet Explorer 7.0


ps voici mon scan Hijack This

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:23, on 05/02/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Panda Security\Panda Antivirus Pro 2009\TPSrv.exe
C:\PROGRAM FILES\PANDA SECURITY\PANDA ANTIVIRUS PRO 2009\WebProxy.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Panda Security\Panda Antivirus Pro 2009\PsCtrls.exe
C:\Program Files\Panda Security\Panda Antivirus Pro 2009\PavFnSvr.exe
C:\Program Files\Fichiers communs\Panda Security\PavShld\pavprsrv.exe
C:\Program Files\Panda Security\Panda Antivirus Pro 2009\PsImSvc.exe
C:\Program Files\Panda Security\Panda Antivirus Pro 2009\PskSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Panda Security\Panda Antivirus Pro 2009\pavsrv51.exe
C:\Program Files\Panda Security\Panda Antivirus Pro 2009\AVENGINE.EXE
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Thomson SpeedTouch\SpeedTouch 120g Wireless USB Monitor\PRISMSVR.EXE
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Panda Security\Panda Antivirus Pro 2009\APVXDWIN.EXE
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Thomson SpeedTouch\SpeedTouch 120g Wireless USB Monitor\st120g.exe
C:\Program Files\alaplaya\launcher\AlaplayaLauncher.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Java\jre1.6.0_07\bin\jucheck.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\François\Bureau\Nicolas\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://runonce.msn.com/runonce3.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: (no name) - {120BB507-7E43-46F1-8645-7BF4E4E11112} - (no file)
O2 - BHO: (no name) - {13C5F517-81F1-415B-94F6-FE981353EFDF} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Program Files\Thomson SpeedTouch\SpeedTouch 120g Wireless USB Monitor\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TrayServer] C:\Program Files\MAGIX\Video_deluxe_2008_e-version\TrayServer.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Security\Panda Antivirus Pro 2009\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [SCANINICIO] "C:\Program Files\Panda Security\Panda Antivirus Pro 2009\Inicio.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingA6670] command /c del "C:\WINDOWS\system32\tdssservers.dat"
O4 - HKLM\..\RunOnce: [SpybotDeletingC2521] cmd /c del "C:\WINDOWS\system32\tdssservers.dat"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\RunOnce: [SpybotDeletingB4368] command /c del "C:\WINDOWS\system32\tdssservers.dat"
O4 - HKCU\..\RunOnce: [SpybotDeletingD7901] cmd /c del "C:\WINDOWS\system32\tdssservers.dat"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Alaplaya Launcher.lnk = C:\Program Files\alaplaya\launcher\AlaplayaLauncher.exe
O4 - Global Startup: SpeedTouch 120g Wireless USB Monitor.lnk = C:\Program Files\Thomson SpeedTouch\SpeedTouch 120g Wireless USB Monitor\st120g.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet\tools\BitCometBHO_1.1.11.30.dll/206 (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AFE2F328-AD4B-4556-AF7B-D24EAFED61B1}: NameServer = 212.198.0.91,212.198.2.51
O18 - Protocol: alaplaya - {60E6FD61-FA26-4706-BF07-C55B3A49E66C} - C:\WINDOWS\system32\alading.dll
O20 - Winlogon Notify: mlJYrrPh - mlJYrrPh.dll (file missing)
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Panda Software Controller - Panda Security, S.L. - C:\Program Files\Panda Security\Panda Antivirus Pro 2009\PsCtrls.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Security, S.L. - C:\Program Files\Panda Security\Panda Antivirus Pro 2009\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Security, S.L. - C:\Program Files\Fichiers communs\Panda Security\PavShld\pavprsrv.exe
O23 - Service: Panda On-Access Anti-Malware Service (PAVSRV) - Panda Security, S.L. - C:\Program Files\Panda Security\Panda Antivirus Pro 2009\pavsrv51.exe
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Security S.L. - C:\Program Files\Panda Security\Panda Antivirus Pro 2009\PsImSvc.exe
O23 - Service: Panda PSK service (PskSvcRetail) - Panda Security, S.L. - C:\Program Files\Panda Security\Panda Antivirus Pro 2009\PskSvc.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Security, S.L. - C:\Program Files\Panda Security\Panda Antivirus Pro 2009\TPSrv.exe

--
End of file - 11002 bytes

69 réponses

  • 1
  • 2
  • 3
  • 4
Résumé de la discussion

Infection présumée sous Windows XP impliquant Win32.TDSS.rtk et Virtumonde, entraînant un démarrage lent, des boîtes de dialogue récurrentes et une lenteur générale du système permanent. Des solutions proposées incluent l'utilisation d'OTMoveIt et d'Avenger pour supprimer des entrées et fichiers malveillants, le recours à HijackThis pour identifier des objets suspects, et le recours à VirusTotal pour analyser des fichiers. Certaines réponses concluent à une fausse détection concernant Avenger ou à des éléments à supprimer via des commandes spécifiques, d'autres suggèrent de redémarrer et de répéter l'analyse après désinstallation de certains logiciels.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Bonjour,

    Tu vas utiliser SDFix téléchargeable à :
    http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

    Tu installes le logiciel.
    Tu peux t’aider du tuto suivant :
    https://www.malekal.com/slenfbot-still-an-other-irc-bot/

    Il faut que tu redémarres en mode sans échec.
    Pour cela, tu redémarres ton ordinateur et tu appuies sur la touche F8.

    A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
    Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
    Choisis ton compte.

    Tu lances SDFix en double-cliquant sur RunThis.bat dans le dossier où tu as installé le logiciel.

    Ton ordinateur va redémarrer. il te sera peut-être demander d'appuyer sur une touche pour redémarrer.
    L'outil va continuer à travailler, c'est normal.

    Une fois affiché Finished, appuie sur une touche pour finir l'exécution du logiciel.
    Ton bureau devrait réapparaitre.

    Ouvre le dossier de SDFix sur ton Bureau.
    Copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum.

    A+
    0
  2. shaiko Messages postés 113 Statut Membre 38
     
    Salut Verni29

    Voici le rapport SDFix comme demandé

    [b]SDFix: Version 1.240 [/b]
    Run by Fran‡ois on 05/02/2009 at 18:36

    Microsoft Windows XP [version 5.1.2600]
    Running From: C:\SDFix

    [b]Checking Services [/b]:

    Restoring Default Security Values
    Restoring Default Hosts File

    Rebooting

    [b]Checking Files [/b]:

    Trojan Files Found:

    C:\Documents and Settings\Fran‡ois\Application Data\Adobe\crc.dat - Deleted
    C:\Documents and Settings\Fran‡ois\Application Data\Adobe\Player.exe.ini - Deleted
    C:\Documents and Settings\Fran‡ois\Local Settings\Temp\utt18.tmp.exe - Deleted
    C:\Documents and Settings\Fran‡ois\Application Data\TmpRecentIcons\Micro Antivirus 2009.lnk - Deleted

    Removing Temp Files

    [b]ADS Check [/b]:

    [b]Final Check [/b]:

    catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2009-02-05 18:43:28
    Windows 5.1.2600 Service Pack 3 NTFS

    scanning hidden processes ...

    scanning hidden services & system hive ...

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
    "s1"=dword:2df9c43f
    "s2"=dword:110480d0
    "h0"=dword:00000001

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
    "p0"="C:\Program Files\DAEMON Tools\"
    "h0"=dword:00000000
    "khjeh"=hex:9e,1a,89,38,e6,29,61,36,46,37,72,82,37,c5,9c,7a,02,87,7e,9b,b2,..

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
    "a0"=hex:20,01,00,00,1d,6c,6a,a8,fa,58,13,c8,25,55,88,74,0b,28,26,b7,63,..
    "khjeh"=hex:02,2e,cf,3e,f6,0c,8d,6b,30,66,7f,65,d2,20,18,25,45,55,1d,35,23,..

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
    "khjeh"=hex:37,71,26,3f,20,2d,d5,70,03,88,4c,91,cb,76,d0,6d,02,c5,6d,2e,ea,..
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
    "p0"="C:\Program Files\DAEMON Tools\"
    "h0"=dword:00000000
    "khjeh"=hex:9e,1a,89,38,e6,29,61,36,46,37,72,82,37,c5,9c,7a,02,87,7e,9b,b2,..

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
    "a0"=hex:20,01,00,00,1d,6c,6a,a8,fa,58,13,c8,25,55,88,74,0b,28,26,b7,63,..
    "khjeh"=hex:02,2e,cf,3e,f6,0c,8d,6b,30,66,7f,65,d2,20,18,25,45,55,1d,35,23,..

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
    "khjeh"=hex:37,71,26,3f,20,2d,d5,70,03,88,4c,91,cb,76,d0,6d,02,c5,6d,2e,ea,..
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
    "p0"="C:\Program Files\DAEMON Tools\"
    "h0"=dword:00000000
    "khjeh"=hex:9e,1a,89,38,e6,29,61,36,46,37,72,82,37,c5,9c,7a,02,87,7e,9b,b2,..

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
    "a0"=hex:20,01,00,00,1d,6c,6a,a8,fa,58,13,c8,25,55,88,74,0b,28,26,b7,63,..
    "khjeh"=hex:02,2e,cf,3e,f6,0c,8d,6b,30,66,7f,65,d2,20,18,25,45,55,1d,35,23,..

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
    "khjeh"=hex:37,71,26,3f,20,2d,d5,70,03,88,4c,91,cb,76,d0,6d,02,c5,6d,2e,ea,..

    scanning hidden registry entries ...

    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{8C5BD9EA-61BA-5A06-8C90-C3C912B961C0}]
    "bbbfmemegolbhpakpcdcaonfiogecgbckmoe"=hex:61,62,6d,65,61,66,6c,61,65,6f,65,66,6e,68,62,70,6e,6d,61,6e,70,..
    "abbfmemegolbhpakpckblnaclpbnglicod"=hex:65,62,62,66,66,62,66,6e,67,6f,66,68,6f,6e,6f,68,62,70,61,6b,6a,..

    scanning hidden files ...

    scan completed successfully
    hidden processes: 0
    hidden services: 0
    hidden files: 0

    [b]Remaining Services [/b]:

    Authorized Application Key Export:

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
    "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
    "C:\\Program Files\\Sega\\OutRun2006 Coast 2 Coast\\OR2006C2C.EXE"="C:\\Program Files\\Sega\\OutRun2006 Coast 2 Coast\\OR2006C2C.EXE:*:Disabled:OR2006C2C"
    "C:\\Program Files\\Veoh Networks\\Veoh\\VeohClient.exe"="C:\\Program Files\\Veoh Networks\\Veoh\\VeohClient.exe:*:Disabled:Veoh Client"
    "C:\\Program Files\\BitTorrent\\bittorrent.exe"="C:\\Program Files\\BitTorrent\\bittorrent.exe:*:Enabled:BitTorrent"
    "C:\\Program Files\\Codemasters\\Worms 4 Mayhem\\WORMS 4 MAYHEM.EXE"="C:\\Program Files\\Codemasters\\Worms 4 Mayhem\\WORMS 4 MAYHEM.EXE:*:Enabled:Worms 4 Mayhem"
    "C:\\Program Files\\Pinnacle\\VideoSpin\\Programs\\RM.exe"="C:\\Program Files\\Pinnacle\\VideoSpin\\Programs\\RM.exe:*:Enabled:Render Manager"
    "C:\\Program Files\\Pinnacle\\VideoSpin\\Programs\\PMSRegisterFile.exe"="C:\\Program Files\\Pinnacle\\VideoSpin\\Programs\\PMSRegisterFile.exe:*:Enabled:PMSRegisterFile"
    "C:\\Program Files\\Pinnacle\\VideoSpin\\Programs\\umi.exe"="C:\\Program Files\\Pinnacle\\VideoSpin\\Programs\\umi.exe:*:Enabled:umi"
    "C:\\Program Files\\Pinnacle\\VideoSpin\\Programs\\VideoSpin.exe"="C:\\Program Files\\Pinnacle\\VideoSpin\\Programs\\VideoSpin.exe:*:Enabled:Pinnacle VideoSpin"
    "C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
    "C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
    "C:\\Program Files\\Bonjour\\mDNSResponder.exe"="C:\\Program Files\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
    "C:\\Program Files\\Valve\\hl.exe"="C:\\Program Files\\Valve\\hl.exe:*:Enabled:Half-Life Launcher"
    "C:\\Documents and Settings\\Maxime\\Bureau\\c-s\\hl.exe"="C:\\Documents and Settings\\Maxime\\Bureau\\c-s\\hl.exe:*:Enabled:Half-Life Launcher"
    "C:\\Documents and Settings\\Maxime\\Bureau\\c-s\\c-s\\hl.exe"="C:\\Documents and Settings\\Maxime\\Bureau\\c-s\\c-s\\hl.exe:*:Enabled:Half-Life Launcher"
    "C:\\Program Files\\DNA\\btdna.exe"="C:\\Program Files\\DNA\\btdna.exe:*:Enabled:DNA"
    "C:\\Documents and Settings\\Maxime\\Bureau\\BitTorrent\\bittorrent.exe"="C:\\Documents and Settings\\Maxime\\Bureau\\BitTorrent\\bittorrent.exe:*:Enabled:BitTorrent"
    "G:\\Mes documents Maxime\\BitTorrent\\bittorrent.exe"="G:\\Mes documents Maxime\\BitTorrent\\bittorrent.exe:*:Enabled:BitTorrent"
    "C:\\Documents and Settings\\Maxime\\Bureau\\bittorrent.exe"="C:\\Documents and Settings\\Maxime\\Bureau\\bittorrent.exe:*:Enabled:BitTorrent"
    "C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
    "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
    "C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
    "C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

    [b]Remaining Files [/b]:

    File Backups: - C:\SDFix\backups\backups.zip

    [b]Files with Hidden Attributes [/b]:

    Wed 22 Oct 2008 949,072 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\advcheck.dll"
    Mon 15 Sep 2008 1,562,960 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDHelper.dll"
    Thu 14 Aug 2008 1,429,840 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe"
    Wed 30 Jul 2008 4,891,984 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"
    Tue 16 Sep 2008 1,833,296 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"
    Wed 22 Oct 2008 962,896 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\Tools.dll"
    Mon 18 Aug 2008 1,832,272 A.SHR --- "C:\Program Files\TeaTimer (Spybot - Search & Destroy)\TeaTimer.exe"
    Fri 11 Apr 2008 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
    Fri 25 Apr 2008 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv02.tmp"
    Fri 25 Jul 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\f7db876e78b88fd8276fd7d29cb7e4eb\BIT1.tmp"
    Sat 7 May 2005 4,348 A..H. --- "C:\Documents and Settings\Fran‡ois\Bureau\Oriane\Mes documents Oriane\Ma musique\Sauvegarde de la licence\drmv1key.bak"
    Wed 24 Aug 2005 20 A..H. --- "C:\Documents and Settings\Fran‡ois\Bureau\Oriane\Mes documents Oriane\Ma musique\Sauvegarde de la licence\drmv1lic.bak"
    Sat 7 May 2005 312 A.SH. --- "C:\Documents and Settings\Fran‡ois\Bureau\Oriane\Mes documents Oriane\Ma musique\Sauvegarde de la licence\drmv2key.bak"

    [b]Finished![/b]

    merci d'avance (je ne cesserai de le redire hahahah)

    Nicolas
    0
  3. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Télécharges Random's System Information Tool (RSIT) de random/random et enregistre le sur ton Bureau.
    http://images.malwareremoval.com/random/RSIT.exe

    Double-clique sur " RSIT.exe " pour le lancer .
    dans la fenêtre qui va s’ouvrir choisis 2 months pour l'option "List files/folders created ..." ,
    cliques ensuite sur " Continue " pour lancer l'analyse ...

    Si la dernière version de HijackThis n'est pas trouvée sur ton PC, RSIT la téléchargera et te demandera d'accepter la licence.

    Attends jusqu’à la fin de l’analyse.
    deux rapports vont être generés.

    Poste le contenu de " log.txt ", celui-ci " info.txt " ( dans la barre des tâches) tu le gardes pour analyse si je te le demande.

    Si tu ne le trouves pas, les rapports sont sauvegardés dans le dossier C:\rsit.

    A+
    0
  4. shaiko Messages postés 113 Statut Membre 38
     
    Logfile of random's system information tool 1.05 (written by random/random)
    Run by François at 2009-02-05 19:05:01
    Microsoft Windows XP Édition familiale Service Pack 3
    System drive C: has 32 GB (42%) free of 78 GB
    Total RAM: 511 MB (21% free)

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 19:05, on 05/02/2009
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16762)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\SYSTEM32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Panda Security\Panda Antivirus Pro 2009\TPSrv.exe
    C:\PROGRAM FILES\PANDA SECURITY\PANDA ANTIVIRUS PRO 2009\WebProxy.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Panda Security\Panda Antivirus Pro 2009\PsCtrls.exe
    C:\Program Files\Panda Security\Panda Antivirus Pro 2009\PavFnSvr.exe
    C:\Program Files\Fichiers communs\Panda Security\PavShld\pavprsrv.exe
    C:\Program Files\Panda Security\Panda Antivirus Pro 2009\PsImSvc.exe
    C:\Program Files\Panda Security\Panda Antivirus Pro 2009\PskSvc.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Panda Security\Panda Antivirus Pro 2009\pavsrv51.exe
    C:\Program Files\Panda Security\Panda Antivirus Pro 2009\AVENGINE.EXE
    C:\Program Files\Canon\CAL\CALMAIN.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\SYSTEM32\notepad.exe
    C:\Program Files\Thomson SpeedTouch\SpeedTouch 120g Wireless USB Monitor\PRISMSVR.EXE
    C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
    C:\Program Files\iTunes\iTunesHelper.exe
    C:\Program Files\Panda Security\Panda Antivirus Pro 2009\APVXDWIN.EXE
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    C:\Program Files\Thomson SpeedTouch\SpeedTouch 120g Wireless USB Monitor\st120g.exe
    C:\Program Files\alaplaya\launcher\AlaplayaLauncher.exe
    C:\Program Files\iPod\bin\iPodService.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Java\jre1.6.0_07\bin\jucheck.exe
    C:\Documents and Settings\François\Bureau\Nicolas\RSIT.exe
    C:\Documents and Settings\François\Bureau\Nicolas\François.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://runonce.msn.com/runonce3.aspx
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
    O2 - BHO: (no name) - {120BB507-7E43-46F1-8645-7BF4E4E11112} - (no file)
    O2 - BHO: (no name) - {13C5F517-81F1-415B-94F6-FE981353EFDF} - (no file)
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
    O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
    O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Program Files\Thomson SpeedTouch\SpeedTouch 120g Wireless USB Monitor\PRISMSVR.EXE" /APPLY
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [TrayServer] C:\Program Files\MAGIX\Video_deluxe_2008_e-version\TrayServer.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Security\Panda Antivirus Pro 2009\APVXDWIN.EXE" /s
    O4 - HKLM\..\Run: [SCANINICIO] "C:\Program Files\Panda Security\Panda Antivirus Pro 2009\Inicio.exe"
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Startup: Alaplaya Launcher.lnk = C:\Program Files\alaplaya\launcher\AlaplayaLauncher.exe
    O4 - Global Startup: SpeedTouch 120g Wireless USB Monitor.lnk = C:\Program Files\Thomson SpeedTouch\SpeedTouch 120g Wireless USB Monitor\st120g.exe
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet\tools\BitCometBHO_1.1.11.30.dll/206 (file missing)
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
    O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{AFE2F328-AD4B-4556-AF7B-D24EAFED61B1}: NameServer = 212.198.0.91,212.198.2.51
    O18 - Protocol: alaplaya - {60E6FD61-FA26-4706-BF07-C55B3A49E66C} - C:\WINDOWS\system32\alading.dll
    O20 - Winlogon Notify: mlJYrrPh - mlJYrrPh.dll (file missing)
    O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
    O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
    O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: Panda Software Controller - Panda Security, S.L. - C:\Program Files\Panda Security\Panda Antivirus Pro 2009\PsCtrls.exe
    O23 - Service: Panda Function Service (PAVFNSVR) - Panda Security, S.L. - C:\Program Files\Panda Security\Panda Antivirus Pro 2009\PavFnSvr.exe
    O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Security, S.L. - C:\Program Files\Fichiers communs\Panda Security\PavShld\pavprsrv.exe
    O23 - Service: Panda On-Access Anti-Malware Service (PAVSRV) - Panda Security, S.L. - C:\Program Files\Panda Security\Panda Antivirus Pro 2009\pavsrv51.exe
    O23 - Service: Panda IManager Service (PSIMSVC) - Panda Security S.L. - C:\Program Files\Panda Security\Panda Antivirus Pro 2009\PsImSvc.exe
    O23 - Service: Panda PSK service (PskSvcRetail) - Panda Security, S.L. - C:\Program Files\Panda Security\Panda Antivirus Pro 2009\PskSvc.exe
    O23 - Service: Panda TPSrv (TPSrv) - Panda Security, S.L. - C:\Program Files\Panda Security\Panda Antivirus Pro 2009\TPSrv.exe
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Télécharge OTMoveIt3 (de Old_Timer) sur ton Bureau.
    http://oldtimer.geekstogo.com/OTMoveIt3.exe

    Double-clique sur OTMoveIt.exe pour le lancer.
    Copie la liste qui se trouve en citation ci-dessous et colle-la dans le cadre de gauche de OTMoveIt sous Paste Instructions for Items to be Moved.


    :Processes
    explorer.exe

    :Reg
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4efb-9B51-7695ECA05670}]
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{120BB507-7E43-46F1-8645-7BF4E4E11112}]
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{13C5F517-81F1-415B-94F6-FE981353EFDF}]
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mlJYrrPh]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
    "authentication packages"=hex(7):6d,73,76,31,5f,30,00,00
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    "{120BB507-7E43-46F1-8645-7BF4E4E11112}"=-

    :Files
    C:\WINDOWS\system32\opnnoPFx
    C:\WINDOWS\system32\tdssservers.dat

    :Commands
    [purity]
    [emptytemp]
    [start explorer]
    [Reboot]


    clique sur MoveIt! pour lancer la suppression.
    Le résultat apparaitra dans le cadre "Results".
    Ton ordinateur va redémarrer.

    Après le redémarrage, un rapport va s'ouvrir.
    Poste le rapport ( fichier .log ) situé dans C:\_OTMoveIt\MovedFiles.

    A+
    0
  7. shaiko Messages postés 113 Statut Membre 38
     
    ========== PROCESSES ==========
    Process explorer.exe killed successfully.
    ========== REGISTRY ==========
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersi­on\Explorer\Browser Helper Objects\{02478D38-C3F9-4efb-9B51-7695ECA05670}\\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersi­on\Explorer\Browser Helper Objects\{120BB507-7E43-46F1-8645-7BF4E4E11112}\\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersi­on\Explorer\Browser Helper Objects\{13C5F517-81F1-415B-94F6-FE981353EFDF}\\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mlJYrrPh\\ deleted successfully.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\\"authentication packages"|hex(7):6d,73,76,31,5f,30,00,00 /E : value set successfully!
    Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\\{120BB507-7E43-46F1-8645-7BF4E4E11112} deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{120BB507-7E43-46F1-8645-7BF4E4E11112}\ not found.
    ========== FILES ==========
    File/Folder C:\WINDOWS\system32\opnnoPFx not found.
    File/Folder C:\WINDOWS\system32\tdssservers.dat not found.
    ========== COMMANDS ==========
    File delete failed. C:\DOCUME~1\FRANOI~1\LOCALS~1\Temp\~DF88B.tmp scheduled to be deleted on reboot.
    File delete failed. C:\DOCUME~1\FRANOI~1\LOCALS~1\Temp\~DF948D.tmp scheduled to be deleted on reboot.
    File delete failed. C:\DOCUME~1\FRANOI~1\LOCALS~1\Temp\~DF96A8.tmp scheduled to be deleted on reboot.
    File delete failed. C:\DOCUME~1\FRANOI~1\LOCALS~1\Temp\~DFC0F.tmp scheduled to be deleted on reboot.
    File delete failed. C:\DOCUME~1\FRANOI~1\LOCALS~1\Temp\~DFF453.tmp scheduled to be deleted on reboot.
    File delete failed. C:\DOCUME~1\FRANOI~1\LOCALS~1\Temp\~DFFAA3.tmp scheduled to be deleted on reboot.
    User's Temp folder emptied.
    User's Temporary Internet Files folder emptied.
    User's Internet Explorer cache folder emptied.
    Local Service Temp folder emptied.
    File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
    Local Service Temporary Internet Files folder emptied.
    File delete failed. C:\WINDOWS\temp\cace2423dfb97c58fe7dd9f120557063PSK_PLUGINS_0 scheduled to be deleted on reboot.
    Windows Temp folder emptied.
    Java cache emptied.
    FireFox cache emptied.
    Temp folders emptied.
    Explorer started successfully

    OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 02052009_192036

    Files moved on Reboot...
    File C:\DOCUME~1\FRANOI~1\LOCALS~1\Temp\~DF88B.tmp not found!
    File C:\DOCUME~1\FRANOI~1\LOCALS~1\Temp\~DF948D.tmp not found!
    File C:\DOCUME~1\FRANOI~1\LOCALS~1\Temp\~DF96A8.tmp not found!
    File C:\DOCUME~1\FRANOI~1\LOCALS~1\Temp\~DFC0F.tmp not found!
    File C:\DOCUME~1\FRANOI~1\LOCALS~1\Temp\~DFF453.tmp not found!
    File C:\DOCUME~1\FRANOI~1\LOCALS~1\Temp\~DFFAA3.tmp not found!
    File move failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be moved on reboot.
    C:\WINDOWS\temp\cace2423dfb97c58fe7dd9f120557063PSK_PLUGINS_0 moved successfully.
    0
  8. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Tu télécharges MalwareBytes.
    http://www.malwarebytes.org/mbam/program/mbam-setup.exe

    Tu l'installes. Choisis les options par défaut.
    A la fin de l’installation, il te sera demandé de mettre à jour MalwareBytes et de l’éxecuter .
    Accepte. Après la, mise à jour, le logiciel va s’ouvrir.

    Dans l’onglet Recherche, sélectionne Exécuter un examen complet.
    Clique sur recherche. Tu ne sélectionnes que les disques durs de l’ordinateur.
    Clique sur lancer l’examen.

    A la fin de la recherche, comme il est demandé, clique sur afficher les résultats.
    Si des infections sont trouvées, clique sur Supprimer la sélection.
    Tu postes le rapport dans ton prochain message.

    Si tu ne retrouves pas le rapport, ouvre MalwareBytes et regarde dans l’onglet Rapport/logs. Il y est. Clique dessus et choisir ouvrir.

    A+
    0
  9. shaiko Messages postés 113 Statut Membre 38
     
    ok ! merci encore pour ton aide, je viens de lancer malware (je viens de finir de manger désolé ...) a tout de suite !

    Nicolas
    0
  10. shaiko Messages postés 113 Statut Membre 38
     
    Tiens, voici le dernier rapport de maleware bytes

    Malwarebytes' Anti-Malware 1.33
    Version de la base de données: 1731
    Windows 5.1.2600 Service Pack 3

    05/02/2009 21:18:41
    mbam-log-2009-02-05 (21-18-41).txt

    Type de recherche: Examen complet (C:\|G:\|)
    Eléments examinés: 143734
    Temps écoulé: 1 hour(s), 15 minute(s), 6 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 3
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 14

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowRun (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\WINDOWS\system32\ljJCuVPh.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\hPVuCJjl.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
    C:\Documents and Settings\Maxime\Local Settings\Application Data\aaaiyyy_navps.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
    C:\Documents and Settings\Maxime\Local Settings\Application Data\aaaiyyy_nav.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
    C:\Documents and Settings\Maxime\Local Settings\Application Data\aaaiyyy.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
    C:\Documents and Settings\Maxime\Local Settings\Application Data\aaaiyyy.exe (Adware.Navipromo.H) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{FFCD037E-98C4-4026-B570-F3155278309B}\RP421\A0096234.exe (Trojan.Vundo) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{FFCD037E-98C4-4026-B570-F3155278309B}\RP421\A0096235.exe (Trojan.Vundo) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{FFCD037E-98C4-4026-B570-F3155278309B}\RP421\A0096236.exe (Trojan.Vundo) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{FFCD037E-98C4-4026-B570-F3155278309B}\RP421\A0096237.exe (Trojan.Vundo) -> Quarantined and deleted successfully.
    C:\WINDOWS\cookies.ini (Malware.Trace) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\rqRLEUMD.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
    C:\WINDOWS\BM7b5e7d97.xml (Trojan.Vundo) -> Quarantined and deleted successfully.
    C:\WINDOWS\BM7b5e7d97.txt (Trojan.Vundo) -> Quarantined and deleted successfully.

    merci merc merci !!!

    Nicolas
    0
  11. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Télécharge navilog d'il mafioso.
    http://il.mafioso.pagesperso-orange.fr/Navifix/Navilog1.exe

    Tu l’installes.
    Double-clique sur le raccourci qui a été crée sur le bureau.
    Choisis l'option 1.

    Une fois l’analyse terminée, un rapport va s’ouvrir dans le bloc-notes.
    Tu copies et colles le texte de ce rapport dans ton prochain message.

    A+
    0
  12. shaiko Messages postés 113 Statut Membre 38
     
    au fait j'ai toujours spybot qui me demande des modifications registre, je fais accepter tout le temps ?

    le rapport arrive ...
    0
  13. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Lorsqu'un PC est sain, pas de problème pour accepter ces modifications avec SpybotS&D.
    Ici, ce n'est pas le cas.

    Peux-tu me dire quelles clés il veut modifier ?

    A+
    0
  14. shaiko Messages postés 113 Statut Membre 38
     
    Search Navipromo version 3.7.1 commencé le 05/02/2009 à 21:29:30,59

    !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
    !!! Postez ce rapport sur le forum pour le faire analyser !!!
    !!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

    Outil exécuté depuis C:\Program Files\navilog1

    Mise à jour le 02.01.2009 à 19h00 par IL-MAFIOSO

    Recherche executé en mode normal

    *** Recherche Programmes installés ***

    *** Recherche dossiers dans "C:\WINDOWS" ***

    *** Recherche dossiers dans "C:\Program Files" ***

    *** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***

    *** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***

    *** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***

    *** Recherche dossiers dans "C:\Documents and Settings\François\applic~1" ***

    *** Recherche dossiers dans "C:\Documents and Settings\François\locals~1\applic~1" ***

    *** Recherche dossiers dans "C:\Documents and Settings\François\menudm~1\progra~1" ***

    *** Recherche dossiers dans "C:\DOCUME~1\Maxime\menudm~1\progra~1" ***

    *** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
    pour + d'infos : http://www.gmer.net

    *** Recherche avec GenericNaviSearch ***
    !!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
    !!! A vérifier impérativement avant toute suppression manuelle !!!

    * Recherche dans "C:\WINDOWS\system32" *

    * Recherche dans "C:\Documents and Settings\François\locals~1\applic~1" *

    *** Recherche fichiers ***

    *** Recherche clés spécifiques dans le Registre ***
    !! Les clés trouvées ne sont pas forcément infectées !!

    *** Module de Recherche complémentaire ***
    (Recherche fichiers spécifiques)

    1)Recherche nouveaux fichiers Instant Access :

    2)Recherche Heuristique :

    * Dans "C:\WINDOWS\system32" :

    * Dans "C:\Documents and Settings\François\locals~1\applic~1" :

    3)Recherche Certificats :

    Certificat Egroup absent !
    Certificat Electronic-Group absent !
    Certificat Montorgueil absent !
    Certificat OOO-Favorit absent !
    Certificat Sunny-Day-Design-Ltd absent !

    4)Recherche autres dossiers et fichiers connus :

    *** Analyse terminée le 05/02/2009 à 21:36:20,59 ***

    les demandes de spybot sont toujours consécutives aux programmes que tu me fais lancer donc j'accepte ...je te dirai à la prochaine annonce !
    0
  15. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Si c'est le cas pour les outils utilisés, tu peux les accepter.

    On va vérifier pour le rootkit.

    Télécharge gmer
    http://www2.gmer.net/gmer.zip

    Dézippe-le (clic droit et extraire sur le bureau )

    Ouvre le dossier crée et double-clique sur gmer.exe .
    Si ton antivirus réagit, ne t'inquiète et ignore l'alerte.
    Le scan va se lancer de lui-même.
    vérifie que l’outil est sur l’onglet RootKit/Malware

    A la fin du scan, clique sur le bouton save pour enregistrer le rapport.
    Enregistre-le sur le bureau ( fichier .log )
    Édite ce rapport dans ta prochaine réponse.

    A+
    0
  16. shaiko Messages postés 113 Statut Membre 38
     
    GMER 1.0.14.14536 - http://www.gmer.net
    Rootkit scan 2009-02-05 21:51:24
    Windows 5.1.2600 Service Pack 3

    ---- System - GMER 1.0.14 ----

    SSDT sptd.sys ZwEnumerateKey [0xF8431FB2]
    SSDT sptd.sys ZwEnumerateValueKey [0xF8432340]

    ---- Devices - GMER 1.0.14 ----

    Device \FileSystem\Ntfs \Ntfs ShlDrv51.sys (PandaShield driver/Panda Security, S.L.)
    Device \FileSystem\Ntfs \Ntfs 823691E8

    AttachedDevice \FileSystem\Ntfs \Ntfs pavboot.sys (Panda Boot Driver/Panda Security, S.L.)
    AttachedDevice \FileSystem\Ntfs \Ntfs pavdrv51.sys (Antivirus Filter Driver for Windows XP/2003 x86/Panda Security, S.L.)

    ---- EOF - GMER 1.0.14 ----
    0
  17. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Tu vas télécharger ComBoFix et enregistre le sur ton bureau ( important pour la suite )
    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    On va installer la console de récupération pour pouvoir utiliser ComBoFix.

    Choisis le lien suivant ta version de XP ( familiale ou professionnelle ) :
    Windows XP Édition familiale
    http://www.microsoft.com/downloads/details.aspx?FamilyId=15491F07-99F7-4A2D-983D-81C2137FF464&displaylang=fr
    Windows XP Professionnel
    http://www.microsoft.com/downloads/details.aspx?FamilyId=535D248D-5E10-49B5-B80C-0A0205368124&displaylang=fr

    Télécharges la console sur ton bureau ( Important ).

    déconnecte toi du net.
    Désactive les protections résidentes de ton ordinateur ( antivirus, antispyware et parefeu )
    Branche tes différents supports amovibles ( clés USB, disque dur externe ) sans les ouvrir.

    Glisse/Dépose ce fichier sur l'icone de ComBoFix.
    Regarde le lien suivant si tu ne sais pas ce qu'est un Glisser/Déposer
    http://img.bleepingcomputer.com/combofix/usage/rc.gif

    Ceci va lancer combofix et installer la console de récupération.
    Accepte le contrat de licence.
    Tu devrais avoir un message de confirmation de la bonne installation de la console.
    Clique sur Oui pour continuer le scan.

    Poste le rapport que tu auras obtenu.

    Il se trouve également en C:\Combofix.txt

    A+
    0
  18. shaiko Messages postés 113 Statut Membre 38
     
    ComboFix 09-02-05.01 - François 2009-02-05 22:07:09.1 - NTFSx86
    Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.511.237 [GMT 1:00]
    Lancé depuis: c:\documents and settings\François\Bureau\ComboFix.exe
    Commutateurs utilisés :: c:\documents and settings\François\Bureau\WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
    AV: Panda Antivirus Pro 2009 *On-access scanning disabled* (Updated)
    * Un nouveau point de restauration a été créé

    AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\install.exe

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2009-01-05 au 2009-02-05 ))))))))))))))))))))))))))))))))))))
    .

    2009-02-05 21:50 . 2009-02-05 21:50 250 --a------ c:\windows\gmer.ini
    2009-02-05 21:28 . 2009-02-05 21:37 <REP> d-------- c:\program files\Navilog1
    2009-02-05 21:28 . 2009-02-05 21:28 61,440 --a------ c:\windows\system32\drivers\ctkr.sys
    2009-02-05 19:57 . 2009-02-05 19:57 <REP> d-------- c:\documents and settings\François\Application Data\Malwarebytes
    2009-02-05 19:56 . 2009-02-05 19:56 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
    2009-02-05 19:56 . 2009-02-05 19:56 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
    2009-02-05 19:56 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
    2009-02-05 19:56 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys
    2009-02-05 19:20 . 2009-02-05 19:20 <REP> d-------- C:\_OTMoveIt
    2009-02-05 19:05 . 2009-02-05 19:05 <REP> d-------- C:\rsit
    2009-02-05 18:36 . 2009-02-05 18:36 579,584 --a--c--- c:\windows\system32\dllcache\user32.dll
    2009-02-05 18:34 . 2009-02-05 18:34 <REP> d-------- c:\windows\ERUNT
    2009-02-05 18:29 . 2009-02-05 18:45 <REP> d-------- C:\SDFix
    2009-01-17 14:26 . 2009-01-17 14:26 399,360 --a------ c:\windows\system32\dllcache\rpcss.dll

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2009-02-05 20:23 --------- d-----w c:\documents and settings\All Users\Application Data\Google Updater
    2009-02-05 17:32 --------- d-----w c:\program files\Spybot - Search & Destroy
    2009-02-05 16:17 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
    2009-02-05 16:14 --------- d-----w c:\program files\CCleaner
    2009-02-01 12:10 --------- d-----w c:\program files\DNA
    2009-01-27 19:01 --------- d-----w c:\documents and settings\François\Application Data\BitTorrent
    2009-01-25 18:06 --------- d-----w c:\documents and settings\François\Application Data\ZoomBrowser EX
    2009-01-25 18:06 --------- d-----w c:\documents and settings\All Users\Application Data\ZoomBrowser
    2009-01-19 20:43 --------- d-----w c:\documents and settings\François\Application Data\dvdcss
    2009-01-18 11:21 --------- d-----w c:\program files\Google
    2009-01-03 14:18 --------- d-----w c:\program files\BitTorrent
    2008-12-27 13:03 --------- d--h--w c:\program files\InstallShield Installation Information
    2008-12-27 13:03 --------- d-----w c:\program files\Panda Security
    2008-12-27 13:03 --------- d-----w c:\documents and settings\All Users\Application Data\Panda Security
    2008-12-27 13:01 --------- d-----w c:\program files\Fichiers communs\Panda Security
    2008-12-24 23:03 --------- d-----w c:\program files\Philips
    2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys
    2007-09-03 08:15 712,704 ----a-w c:\windows\inf\OTHER\AUDIO3D.DLL
    1996-12-02 15:44 582,144 ----a-w c:\program files\Fichiers communs\dao350.dll
    2008-09-19 14:34 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008090820080915\index.dat
    2008-09-19 14:34 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008091920080920\index.dat
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "msnmsgr"="c:\program files\MSN Messenger\msnmsgr.exe" [2007-01-19 5674352]
    "MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]
    "SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]
    "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-11-07 68856]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "PRISMSVR.EXE"="c:\program files\Thomson SpeedTouch\SpeedTouch 120g Wireless USB Monitor\PRISMSVR.EXE" [2004-07-02 295001]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
    "TrayServer"="c:\program files\MAGIX\Video_deluxe_2008_e-version\TrayServer.exe" [2007-07-17 90112]
    "SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
    "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-10-01 289576]
    "QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-09-06 413696]
    "APVXDWIN"="c:\program files\Panda Security\Panda Antivirus Pro 2009\APVXDWIN.EXE" [2008-12-03 869632]
    "SCANINICIO"="c:\program files\Panda Security\Panda Antivirus Pro 2009\Inicio.exe" [2008-07-07 50432]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

    c:\documents and settings\Fran‡ois\Menu D‚marrer\Programmes\D‚marrage\
    Alaplaya Launcher.lnk - c:\program files\alaplaya\launcher\AlaplayaLauncher.exe [2008-11-04 506368]

    c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    SpeedTouch 120g Wireless USB Monitor.lnk - c:\program files\Thomson SpeedTouch\SpeedTouch 120g Wireless USB Monitor\st120g.exe [2004-09-23 303104]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avldr]
    2008-03-18 16:58 58672 c:\windows\system32\avldr.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "msacm.l3acm"= l3codecp.acm

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PskSvcRetail]
    @="Service"

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RaidTool]
    --a------ 2007-09-03 09:15 1056768 c:\program files\VIA\RAID\raid_tool.exe

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "c:\\Program Files\\Veoh Networks\\Veoh\\VeohClient.exe"=
    "c:\\Program Files\\BitTorrent\\bittorrent.exe"=
    "c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
    "c:\\Program Files\\MSN Messenger\\livecall.exe"=
    "c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
    "c:\\Program Files\\Valve\\hl.exe"=
    "c:\\Program Files\\DNA\\btdna.exe"=
    "g:\\Mes documents Maxime\\BitTorrent\\bittorrent.exe"=
    "c:\\Program Files\\iTunes\\iTunes.exe"=

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "12000:TCP"= 12000:TCP:Bittorrent 12000 TCP
    "12000:UDP"= 12000:UDP:Bittorrent 12000 UDP

    R0 pavboot;Panda boot driver;c:\windows\system32\drivers\pavboot.sys [2008-12-27 28544]
    R1 ShldDrv;Panda File Shield Driver;c:\windows\system32\drivers\ShlDrv51.sys [2008-12-27 41144]
    R2 Gwmsrv;Panda Goodware Cache Manager;c:\windows\system32\svchost -k Panda --> c:\windows\system32\svchost -k Panda [?]
    R2 PavProc;Panda Process Protection Driver;c:\windows\system32\drivers\PavProc.sys [2008-12-27 179640]
    R2 PskSvcRetail;Panda PSK service;c:\program files\Panda Security\Panda Antivirus Pro 2009\psksvc.exe [2008-12-27 28928]
    R3 BT4501D;SpeedTouch 120g Wireless USB Adapter Driver;c:\windows\system32\drivers\BT4501D.sys [2007-09-19 346720]
    R3 PavTPK.sys;PavTPK.sys;\??\c:\windows\system32\PavTPK.sys --> c:\windows\system32\PavTPK.sys [?]
    S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\program files\MAGIX\Common\Database\bin\fbserver.exe [2008-05-02 1527900]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    panda REG_MULTI_SZ Gwmsrv
    .
    Contenu du dossier 'Tâches planifiées'

    2009-01-31 c:\windows\Tasks\AppleSoftwareUpdate.job
    - c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    BHO-{13C5F517-81F1-415B-94F6-FE981353EFDF} - (no file)
    HKLM-Run-Cmaudio - cmicnfg.cpl
    Notify-mlJYrrPh - (no file)

    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.google.com/
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    TCP: {AFE2F328-AD4B-4556-AF7B-D24EAFED61B1} = 212.198.0.91,212.198.2.51
    Handler: alaplaya - {60E6FD61-FA26-4706-BF07-C55B3A49E66C} - c:\windows\system32\alading.dll
    DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
    FF - ProfilePath - c:\documents and settings\François\Application Data\Mozilla\Firefox\Profiles\uiag71k1.default\
    FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
    FF - prefs.js: browser.search.selectedEngine - Google
    FF - prefs.js: browser.startup.homepage - hxxp://en-us.start.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:en-US:official
    FF - plugin: c:\program files\Google\Google Updater\2.4.1368.5602\npCIDetect13.dll
    FF - plugin: c:\program files\Mozilla Firefox\plugins\npbittorrent.dll
    FF - plugin: c:\program files\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll
    .

    **************************************************************************

    catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2009-02-05 22:09:14
    Windows 5.1.2600 Service Pack 3 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_USERS\S-1-5-21-1644491937-2139871995-682003330-1005\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{8C5BD9EA-61BA-5A06-8C90-C3C912B961C0}*]
    "bbbfmemegolbhpakpcdcaonfiogecgbckmoe"=hex:61,62,6d,65,61,66,6c,61,65,6f,65,66,
    6e,68,62,70,6e,6d,61,6e,70,62,65,64,67,66,66,61,6c,6c,63,6d,67,61,00,6a
    "abbfmemegolbhpakpckblnaclpbnglicod"=hex:65,62,62,66,66,62,66,6e,67,6f,66,68,
    6f,6e,6f,68,62,70,61,6b,6a,62,6e,6f,65,66,6a,65,6c,69,6f,6c,63,64,70,6a,65,\

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32*]
    "ThreadingModel"="Apartment"
    @="c:\\WINDOWS\\system32\\OLE32.DLL"
    "cd042efbbd7f7af1647644e76e06692b"=hex:e2,63,26,f1,3f,c8,ff,68,7e,aa,22,14,04,
    b1,22,dd,c8,28,51,af,b0,29,a3,98,86,40,43,60,39,22,54,2c,e2,63,26,f1,3f,c8,\

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32*]
    "ThreadingModel"="Apartment"
    @="c:\\WINDOWS\\system32\\OLE32.DLL"
    "bca643cdc5c2726b20d2ecedcc62c59b"=hex:71,3b,04,66,8b,46,0d,96,58,db,b3,85,46,
    95,ec,c2,71,3b,04,66,8b,46,0d,96,28,38,12,d2,7d,03,f0,f2,6a,9c,d6,61,af,45,\

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32*]
    "ThreadingModel"="Apartment"
    @="c:\\WINDOWS\\system32\\OLE32.DLL"
    "2c81e34222e8052573023a60d06dd016"=hex:25,da,ec,7e,55,20,c9,26,7e,1b,06,73,fe,
    f6,ec,94,25,da,ec,7e,55,20,c9,26,a2,ee,15,cb,a8,55,9d,9b,ff,7c,85,e0,43,d4,\

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32*]
    "ThreadingModel"="Apartment"
    @="c:\\WINDOWS\\system32\\OLE32.DLL"
    "2582ae41fb52324423be06337561aa48"=hex:3e,1e,9e,e0,57,5a,93,61,10,14,03,ea,01,
    5d,6d,fd,3e,1e,9e,e0,57,5a,93,61,b7,77,ff,59,ff,b7,d0,c4,86,8c,21,01,be,91,\

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32*]
    "ThreadingModel"="Apartment"
    @="c:\\WINDOWS\\system32\\OLE32.DLL"
    "caaeda5fd7a9ed7697d9686d4b818472"=hex:f5,1d,4d,73,a8,13,5c,05,5d,a8,8d,1f,78,
    4f,20,7f,cd,44,cd,b9,a6,33,6c,cd,87,aa,84,89,5f,5a,8a,a9,f5,1d,4d,73,a8,13,\

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32*]
    "ThreadingModel"="Apartment"
    @="c:\\WINDOWS\\system32\\OLE32.DLL"
    "a4a1bcf2cc2b8bc3716b74b2b4522f5d"=hex:df,20,58,62,78,6b,cf,c8,2d,ff,73,5b,d4,
    6f,0c,a3,b0,18,ed,a7,3f,8d,37,a4,17,50,7b,16,20,de,b3,97,df,20,58,62,78,6b,\

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32*]
    "ThreadingModel"="Apartment"
    @="c:\\WINDOWS\\system32\\OLE32.DLL"
    "4d370831d2c43cd13623e232fed27b7b"=hex:97,20,4e,9a,c7,f1,35,ee,01,0b,58,f8,75,
    33,86,06,31,77,e1,ba,b1,f8,68,02,69,2e,aa,54,4f,4a,92,1e,fb,a7,78,e6,12,2f,\

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32*]
    "ThreadingModel"="Apartment"
    @="c:\\WINDOWS\\system32\\OLE32.DLL"
    "1d68fe701cdea33e477eb204b76f993d"=hex:83,6c,56,8b,a0,85,96,ab,22,e1,40,8f,4a,
    91,9c,8d,83,6c,56,8b,a0,85,96,ab,59,c3,99,29,ea,3a,9d,05,01,3a,48,fc,e8,04,\

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32*]
    "ThreadingModel"="Apartment"
    @="c:\\WINDOWS\\system32\\OLE32.DLL"
    "1fac81b91d8e3c5aa4b0a51804d844a3"=hex:51,fa,6e,91,28,9e,14,cc,1e,0d,73,b9,a7,
    ce,88,71,51,fa,6e,91,28,9e,14,cc,96,18,5a,9d,75,52,28,0a,f6,0f,4e,58,98,5b,\

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32*]
    "ThreadingModel"="Apartment"
    @="c:\\WINDOWS\\system32\\OLE32.DLL"
    "f5f62a6129303efb32fbe080bb27835b"=hex:b1,cd,45,5a,a8,c4,f8,b9,84,dd,fa,54,61,
    0e,c8,0b,b1,cd,45,5a,a8,c4,f8,b9,1d,ec,44,07,c3,c4,56,43,3d,ce,ea,26,2d,45,\

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32*]
    "ThreadingModel"="Apartment"
    @="c:\\WINDOWS\\system32\\OLE32.DLL"
    "fd4e2e1a3940b94dceb5a6a021f2e3c6"=hex:e3,0e,66,d5,eb,bc,2f,6b,5f,56,30,3d,e6,
    63,0c,64,e3,0e,66,d5,eb,bc,2f,6b,7f,01,e8,e6,4c,26,e6,f4,2a,b7,cc,b5,b9,7f,\

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32*]
    "ThreadingModel"="Apartment"
    @="c:\\WINDOWS\\system32\\OLE32.DLL"
    "8a8aec57dd6508a385616fbc86791ec2"=hex:05,73,21,dd,54,d8,4a,c5,b5,9d,9b,d2,31,
    6e,06,72,fa,ea,66,7f,d4,3b,6b,70,60,40,3c,31,d0,8b,17,15,6c,43,2d,1e,aa,22,\

    [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•9~*]
    "C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

    [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•9~*]
    "C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'winlogon.exe'(712)
    c:\windows\SYSTEM32\avldr.dll
    .
    Heure de fin: 2009-02-05 22:10:50
    ComboFix-quarantined-files.txt 2009-02-05 21:10:48

    Avant-CF: 33 868 111 872 octets libres
    Après-CF: 35,267,223,552 octets libres

    228 --- E O F --- 2009-01-14 11:32:11

    comme tu peux le voir il n'a pas detecté la console ...je crois que c'est du au fait que les mises a jour windows en sont pas à joutr justement ....

    a part ca spybot a demandé l'autorisation de modification registre (que j'ai acceptée) pour ces 4 elements

    COMMAND PROCESSOR
    NT START UP
    scrnsave.exe
    Disable Registry Tools

    C'est grave ??
    0
  19. shaiko Messages postés 113 Statut Membre 38
     
    je crois que la console n'a pas été detecté car le fichier telehcargé concerne le SP2 et je suis sur le SP3 ....
    0
  20. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Pour les modifications, non vu les outils utilisés.

    1) Double-clique sur OTMoveIt.exe pour le lancer.
    Copie la liste qui se trouve en citation ci-dessous et colle-la dans le cadre de gauche de OTMoveIt sous Paste Instructions for Items to be Moved.


    :Reg
    [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{8C5BD9EA-61BA-5A06-8C90-C3C912B961C0}]


    clique sur MoveIt! pour lancer la suppression.
    Le résultat apparaitra dans le cadre "Results".
    Copi/colle ce résultat pour le poster ensuite dans ton prochain message.
    Clique sur Exit pour fermer.

    Il est possible que ton ordinateur redémarre pour supprimer les fichiers.

    2) Tu vas sur le site de VirusTotal et tu vas pouvoir analyser le fichier.
    https://www.virustotal.com/gui/

    Copiez le chemin indiqué ci-dessous et le coller dans la zone à analyser.

    c:\windows\system32\drivers\ctkr.sys

    Tu cliques ensuite sur envoyer le fichier.
    Tu postes le rapport de l'analyse ( pour cela, tu sélectionnes la zone de résultat --> click droit --> copier )

    A+
    0
  21. shaiko Messages postés 113 Statut Membre 38
     
    ========== REGISTRY ==========
    Registry key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersio­n\Shell Extensions\Approved\{8C5BD9EA-61BA-5A06-8C90-C3C912B961C0}\\ not found.

    OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 02052009_223051
    0
  • 1
  • 2
  • 3
  • 4