Sujet Précédent Sujet Suivant

Ordinateur infecté par antivirus xp pro 2009

Fermé
theodiablo Messages postés 53 Date d'inscription mardi 5 février 2008 Statut Membre Dernière intervention 22 avril 2009 - 11 févr. 2009 à 18:07
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 - 11 févr. 2009 à 20:38
Bonjour,
je viens d'attraper un virus vraiment très énervant qui ouvre des pages internet toutes les 20 secondes!
mon ordinateur est très ralenti a cause de ça...

j'ai donc fait un log hijackthis pour vous demander de m'aider dans cette aventure (s'il vous plait sauvez moi!)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:03:38, on 11/02/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20815)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\LClock\LClock.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\PowerISO\PWRISOVM.EXE
C:\WINDOWS\system32\frmwrk32.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe
C:\Program Files\Styler\Styler.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\ntdll64.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\WINDOWS\system32\ntdll64.exe
C:\Documents and Settings\Theodiablo\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://stats.garena.com/clientinstall.php
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Program Files\Styler\TB\StylerTB.dll
O4 - HKLM\..\Run: [LClock] C:\Program Files\LClock\LClock.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [QlbCtrl.exe] C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [HP Software Update] c:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [Bluetooth Connection Assistant] LBTWIZ.EXE -silent
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Framework Windows] frmwrk32.exe
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - S-1-5-18 Startup: Styler.lnk = ? (User 'SYSTEM')
O4 - .DEFAULT Startup: Styler.lnk = ? (User 'Default user')
O4 - Startup: Styler.lnk = ?
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\windows\temp\ntdll64.dll
O10 - Unknown file in Winsock LSP: c:\windows\temp\ntdll64.dll
O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
A voir également:

17 réponses

Réponse 1 / 17
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
11 févr. 2009 à 18:16
Salut,


1/

- Télécharge LSPFix et dézippe-le sur le Bureau.

- Lance LSPfix et mets-toi en plein écran pour voir tous les boutons et ascenseurs.

- Ferme ton navigateur et arrête la connexion à Internet.

- Coche la case I know what I'm doing (je sais ce que je fais).

- Dans la colonne de gauche, sélectionne ntdll64.dll.

- Cique sur la flèche vers la droite pour l'ajouter (de la colonne KEEP) dans la colonne REMOVE.

- Scroll et clique sur Finish.


2/

- Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.

- Double-clique sur RSIT.exe afin de lancer le programme.

- Clique sur Continue à l'écran Disclaimer.

- Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

- Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches).

Note : Les rapports sont sauvegardés dans le dossier C:\rsit.
0
Réponse 2 / 17
theodiablo Messages postés 53 Date d'inscription mardi 5 février 2008 Statut Membre Dernière intervention 22 avril 2009
11 févr. 2009 à 18:27
voila les fichiers:

info:
info.txt logfile of random's system information tool 1.05 2009-02-11 18:21:48

======Uninstall list======

-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{2E47302B-8081-46D3-9FEA-BEB2E5F5C3EC}\setup.exe" -l0x40c anything
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Alky for Applications (Windows XP)-->MsiExec.exe /X{BB05D173-9681-4812-A7FA-BD4042A3DA00}
Barbarian Invasion-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{4905C2C7-96CB-4DD9-A706-C427913DE5AE}\setup.exe" -l0x40c
Broadcom 802.11 Wireless LAN Adapter-->"C:\Program Files\Broadcom\Broadcom 802.11\Driver\bcmwlu00.exe" verbose /rootkey="Software\Broadcom\802.11\UninstallInfo" /rootdir="C:\Program Files\Broadcom\Broadcom 802.11\Driver"
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
DAMN NFO Viewer v2.10.0032.RC3 (Remove Only)-->rundll32.exe advpack.dll,LaunchINFSection DamnNFO.inf,DefaultUninstall
Far Cry 2-->"C:\Program Files\InstallShield Installation Information\{F2835483-37F2-4123-B4FE-0E77D58447F2}\setup.exe" -runfromtemp -l0x040c -removeonly
Gadget Installer-->MsiExec.exe /I{3F3733A5-8322-454D-A638-3B74E1C83752}
Garena-->C:\Program Files\InstallShield Installation Information\{89C89156-A70F-4C6D-9CAE-2EA71F1396FE}\setup.exe -runfromtemp -l0x0009 -removeonly
HijackThis 2.0.2-->"C:\Documents and Settings\Theodiablo\Desktop\HijackThis.exe" /uninstall
Hitman 2: Silent Assassin-->C:\PROGRA~1\HITMAN~1\uninstall.exe
HP Quick Launch Buttons 6.40 H2-->C:\Program Files\InstallShield Installation Information\{34D2AB40-150D-475D-AE32-BD23FB5EE355}\Setup.exe -runfromtemp -l0x040c -removeonly uninst
HP Update-->MsiExec.exe /X{AB40272D-92AB-4F30-B36B-22EDE16F8FE5}
IconPackager-->C:\PROGRA~1\Stardock\OBJECT~1\ICONPA~1\iconpackager.exe /uninstallwise
Intel® Matrix Storage Manager-->C:\Program Files\Intel\Intel Matrix Storage Manager\Uninstall\imsmudlg.exe -uninstall
Java(TM) 6 Update 6-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160060}
LClock-->C:\Program Files\LClock\Uninstall.exe
LightScribe System Software 1.14.17.1-->MsiExec.exe /X{0E7DBD52-B097-4F2B-A7C7-F105B0D20FDB}
Ma-Config.com-->MsiExec.exe /X{8AFB8FC4-3EBA-4C67-943F-CF43DB2180F1}
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 2.0 Service Pack 1-->MsiExec.exe /I{B508B3F1-A24A-32C0-B310-85786919EF28}
Microsoft .NET Framework 3.0 Service Pack 1-->MsiExec.exe /I{2BA00471-0328-3743-93BD-FA813353A783}
Microsoft .NET Framework 3.5-->c:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5\setup.exe
Microsoft .NET Framework 3.5-->MsiExec.exe /I{2FC099BD-AC9B-33EB-809C-D332E1B27C40}
Microsoft Compression Client Pack 1.0 for Windows XP-->"C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe"
Microsoft Kernel-Mode Driver Framework Feature Pack 1.5-->"C:\WINDOWS\$NtUninstallWdf01005$\spuninst\spuninst.exe"
Microsoft Office 2007 Recent Documents Gadget-->MsiExec.exe /X{90120000-008A-0409-0000-0000000FF1CE}
Microsoft User-Mode Driver Framework Feature Pack 1.0-->"C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe"
Microsoft Visual C++ 2005 SP1 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30304-->MsiExec.exe /X{C9B26742-06BE-3B75-B1DE-7B91B5956A04}
Module de compatibilité pour Microsoft Office System 2007-->MsiExec.exe /X{90120000-0020-040C-0000-0000000FF1CE}
Mozilla Firefox (3.0)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
Mozilla Sunbird (0.9)-->C:\Program Files\Mozilla Sunbird\uninstall\uninst.exe
Nero 9 Trial-->C:\Program Files\Common Files\Nero\Nero ProductInstaller 4\SetupX.exe REMOVESERIALNUMBER="8M01-249K-1T0E-3A1A-C7AA-MUZ3-8EL4-2U9W"
neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
NVIDIA Drivers-->C:\WINDOWS\system32\nvudisp.exe UninstallGUI
PowerISO-->"C:\Program Files\PowerISO\uninstall.exe"
REALTEK GbE & FE Ethernet PCI-E NIC Driver-->C:\Program Files\InstallShield Installation Information\{C9BED750-1211-4480-B1A5-718A3BE15525}\setup.exe -runfromtemp -removeonly
Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\Setup.exe" -l0x40c -removeonly
Resource Hacker 3.4.0-->"C:\WINDOWS\Resource Hacker 3.4.0\uninstall.exe" "/U:C:\Program Files\Resource Hacker 3.4.0\Uninstall\uninstall.xml"
Right Click Image Converter-->"C:\Program Files\Kristanix\Right Click Image Converter\uninstall.exe"
Rome - Total War - Alexander-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{6C1804BC-094F-431A-BEA5-37A837958029}\setup.exe" -l0x40c -removeonly
Rome - Total War(TM)-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\9\INTEL3~1\IDriver.exe /M{A642BB6B-CA1D-4142-8DD4-318C3F3DC834}
Rome Total War - patch 1.3-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{A5D65411-8E73-4C85-AD80-9FE8B7391CF9}\Setup.exe" -l0x9
Styler-->MsiExec.exe /I{E9ECF354-2422-4FDB-9ABF-D8ADAC0EF941}
Synaptics Pointing Device Driver-->rundll32.exe "C:\Program Files\Synaptics\SynTP\SynISDLL.dll",standAloneUninstall
Tomb Raider: Anniversary 1.0-->C:\Program Files\Tomb Raider - Anniversary\uninsttra.exe
Unlocker 1.8.5-->C:\Program Files\Unlocker\uninst.exe
VLC media player 0.9.8a-->C:\Program Files\VideoLAN\VLC\uninstall.exe
Windows Media Format 11 runtime-->"C:\Program Files\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows Media Player 11-->"C:\Program Files\Windows Media Player\Setup_wm.exe" /Uninstall
Windows Media Player 11-->"C:\WINDOWS\$NtUninstallwmp11$\spuninst\spuninst.exe"
Windows Sidebar-->RUNDLL32 advpack.dll,LaunchINFSection Sidebar.inf,UnInstall
WinRAR archiver-->C:\Program Files\WinRAR\uninstall.exe

System event log

Computer Name: THEO
Event Code: 3260
Message: This computer has been successfully joined to workgroup 'THEDUKE'.

Record Number: 5
Source Name: Workstation
Time Written: 20090207165153.000000+060
Event Type: information
User:

Computer Name: THEO
Event Code: 6011
Message: The NetBIOS name and DNS host name of this machine have been changed from MACHINENAME to THEO.

Record Number: 4
Source Name: EventLog
Time Written: 20090207164432.000000+060
Event Type: information
User:

Computer Name: MACHINENAME
Event Code: 7036
Message: The service entered the \DEVICE\{7088F6EF-7806-4ADF-ADCB-566D902FC1D7} state.

Record Number: 3
Source Name: NETw4x32
Time Written: 20090207174026.000000+060
Event Type: information
User:

Computer Name: MACHINENAME
Event Code: 6005
Message: The Event log service was started.

Record Number: 2
Source Name: EventLog
Time Written: 20090207173620.000000+060
Event Type: information
User:

Computer Name: MACHINENAME
Event Code: 6009
Message: Microsoft (R) Windows (R) 5.01. 2600 Service Pack 3 Multiprocessor Free.

Record Number: 1
Source Name: EventLog
Time Written: 20090207173620.000000+060
Event Type: information
User:

Application event log

Computer Name: THEO
Event Code: 1000
Message: Performance counters for the MSDTC (MSDTC) service were loaded successfully.
The Record Data contains the new index values assigned
to this service.

Record Number: 5
Source Name: LoadPerf
Time Written: 20090207165346.000000+060
Event Type: information
User:

Computer Name: THEO
Event Code: 1000
Message: Performance counters for the TermService (Terminal Services) service were loaded successfully.
The Record Data contains the new index values assigned
to this service.

Record Number: 4
Source Name: LoadPerf
Time Written: 20090207165345.000000+060
Event Type: information
User:

Computer Name: THEO
Event Code: 1000
Message: Performance counters for the RemoteAccess (Routing and Remote Access) service were loaded successfully.
The Record Data contains the new index values assigned
to this service.

Record Number: 3
Source Name: LoadPerf
Time Written: 20090207164449.000000+060
Event Type: information
User:

Computer Name: THEO
Event Code: 1000
Message: Performance counters for the PSched (PSched) service were loaded successfully.
The Record Data contains the new index values assigned
to this service.

Record Number: 2
Source Name: LoadPerf
Time Written: 20090207164445.000000+060
Event Type: information
User:

Computer Name: THEO
Event Code: 1000
Message: Performance counters for the RSVP (QoS RSVP) service were loaded successfully.
The Record Data contains the new index values assigned
to this service.

Record Number: 1
Source Name: LoadPerf
Time Written: 20090207164433.000000+060
Event Type: information
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\Alky for Applications\Libraries\
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 15 Stepping 13, GenuineIntel
"PROCESSOR_REVISION"=0f0d
"NUMBER_OF_PROCESSORS"=2
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP

-----------------EOF-----------------





et log:
Logfile of random's system information tool 1.05 (written by random/random)
Run by Theodiablo at 2009-02-11 18:21:46
Microsoft Windows XP Professional Service Pack 3
System drive C: has 190 GB (65%) free of 294 GB
Total RAM: 3070 MB (73% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:21:46, on 11/02/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20815)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\LClock\LClock.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\frmwrk32.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe
C:\Program Files\Styler\Styler.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
C:\WINDOWS\system32\ntdll64.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\WINDOWS\system32\ntdll64.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\Theodiablo\Desktop\RSIT.exe
C:\Documents and Settings\Theodiablo\Desktop\Theodiablo.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://stats.garena.com/clientinstall.php
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Program Files\Styler\TB\StylerTB.dll
O4 - HKLM\..\Run: [LClock] C:\Program Files\LClock\LClock.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [QlbCtrl.exe] C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [HP Software Update] c:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [Bluetooth Connection Assistant] LBTWIZ.EXE -silent
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Framework Windows] frmwrk32.exe
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - S-1-5-18 Startup: Styler.lnk = ? (User 'SYSTEM')
O4 - .DEFAULT Startup: Styler.lnk = ? (User 'Default user')
O4 - Startup: Styler.lnk = ?
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
0
Réponse 3 / 17
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
11 févr. 2009 à 18:32
Le rapport log n'est pas passé entièrement.

---> Uploader un fichier sur Mediafire :
● Rends-toi sur ce lien : https://www.mediafire.com/
● Clique en haut sur Upload files To Media fire. Choisis ensuite I want to upload without an account.
● Une fenêtre de ton explorateur windows va s'ouvrir. Navigue jusqu'au rapport que je te demande d'uploader, sélectionne-le puis clique sur ouvrir.
● Clique ensuite sur Upload.
● A droite de l'écran, choisis : upload to a new folder. Laisse le nom par défaut (= la date).
● Valide et laisse l'upload se faire.
● Clique sur View uploaded file et copie-moi l'url (= le lien) du nouvel onglet ou de la nouvelle fenêtre qui va s'ouvrir dans ton prochain message. Ainsi, je pourrais télécharger le rapport demandé.
0
Réponse 4 / 17
theodiablo Messages postés 53 Date d'inscription mardi 5 février 2008 Statut Membre Dernière intervention 22 avril 2009
11 févr. 2009 à 18:35
https://www.mediafire.com/?sharekey=c361489ead7309be7f7ec40ada4772a6fd708d53c83bf47dce018c8114394287
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 17
theodiablo Messages postés 53 Date d'inscription mardi 5 février 2008 Statut Membre Dernière intervention 22 avril 2009
11 févr. 2009 à 18:48
désolé j'ai eu un peu de mal avec médiafire...
mais normalement ca devrait fonctionner correctement
0
Réponse 6 / 17
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
11 févr. 2009 à 18:51
Je lis les rapports et je te dis quoi.
0
Réponse 7 / 17
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
11 févr. 2009 à 18:53
---> Télécharge Malwarebytes' Anti-Malware (MBAM) sur ton Bureau.
---> Double-clique sur le fichier téléchargé pour lancer le processus d'installation.
---> Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour : si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, accepte.
---> Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.
---> Sélectionne Exécuter un examen rapide.
---> Clique sur Rechercher. L'analyse démarre.

A la fin de l'analyse, un message s'affiche :

L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.

---> Clique sur OK pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
---> Ferme tes navigateurs.
Si des malwares ont été détectés, clique sur Afficher les résultats.
---> Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.
---> MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.
0
Réponse 8 / 17
theodiablo Messages postés 53 Date d'inscription mardi 5 février 2008 Statut Membre Dernière intervention 22 avril 2009
11 févr. 2009 à 18:59
Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1749
Windows 5.1.2600 Service Pack 3

11/02/2009 18:59:13
mbam-log-2009-02-11 (18-59-13).txt

Type de recherche: Examen rapide
Eléments examinés: 50897
Temps écoulé: 2 minute(s), 33 second(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 9
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 12

Processus mémoire infecté(s):
C:\WINDOWS\system32\frmwrk32.exe (Trojan.FakeAlert) -> Failed to unload process.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Framework Windows (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\userinit.exe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\userinit.exe -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallpaper (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\activedesktop\NoChangingWallpaper (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\ntdll64.exe (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\senekametkmeja.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\warning.gif (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ahtn.htm (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\frmwrk32.exe (Trojan.FakeAlert) -> Delete on reboot.
C:\Documents and Settings\Administrator\Local Settings\Temp\ntdll64.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrator\Local Settings\Temp\mousehook.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\ntdll64.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\mousehook.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Documents and Settings\Theodiablo\Local Settings\Temp\mousehook.dll (Trojan.FakeAlert) -> Delete on reboot.
C:\WINDOWS\system32\senekappujxjyo.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\senekasiglmphl.dat (Trojan.Agent) -> Quarantined and deleted successfully.

voilà
0
Réponse 9 / 17
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
11 févr. 2009 à 19:00
/!\ Désactive tes protections résidentes (Antivirus, etc...) /!\

--> Télécharge ComboFix (de sUBs) sur ton Bureau.
--> Double-clique sur ComboFix.exe (le .exe n'est pas forcément visible) afin de le lancer.
--> Il va te demander d'installer la console de récupération : accepte.
--> Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

Pour t'aider : Un guide et un tutoriel sur l'utilisation de ComboFix
0
Réponse 10 / 17
theodiablo Messages postés 53 Date d'inscription mardi 5 février 2008 Statut Membre Dernière intervention 22 avril 2009
11 févr. 2009 à 19:29
voila le rapport de combofix:

ComboFix 09-02-10.03 - Theodiablo 2009-02-11 19:21:32.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1033.18.3070.2438 [GMT 1:00]
Lancé depuis: c:\documents and settings\Theodiablo\Desktop\ComboFix.exe
* Un nouveau point de restauration a été créé
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\docume~1\THEODI~1\LOCALS~1\Temp\mousehook.dll
c:\windows\system32\303350.exe
c:\windows\system32\404Fix.exe
c:\windows\system32\Agent.OMZ.Fix.exe
c:\windows\system32\dumphive.exe
c:\windows\system32\frmwrk32.exe
c:\windows\system32\IEDFix.C.exe
c:\windows\system32\IEDFix.exe
c:\windows\system32\init32.exe
c:\windows\system32\ntdll64.exe
c:\windows\system32\o4Patch.exe
c:\windows\system32\Process.exe
c:\windows\system32\SrchSTS.exe
c:\windows\system32\tmp.reg
c:\windows\system32\uniq.tll
c:\windows\system32\VACFix.exe
c:\windows\system32\VCCLSID.exe
c:\windows\system32\win32hlp.cnf
c:\windows\system32\WS2Fix.exe

[COLOR=RED] c:\windows\system32\userinit.exe . . . est infecté!![/COLOR]

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_seneka


((((((((((((((((((((((((((((( Fichiers créés du 2009-01-11 au 2009-02-11 ))))))))))))))))))))))))))))))))))))
.

2009-02-11 19:23 . 2009-02-11 19:23 <DIR> d-------- c:\windows\system32\xircom
2009-02-11 19:23 . 2009-02-11 19:23 <DIR> d-------- c:\program files\microsoft frontpage
2009-02-11 18:21 . 2009-02-11 18:21 <DIR> d-------- C:\rsit
2009-02-11 17:34 . 2009-02-11 17:34 <DIR> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-02-11 17:34 . 2009-02-11 17:34 <DIR> d-------- c:\documents and settings\Theodiablo\Application Data\Malwarebytes
2009-02-11 17:34 . 2009-02-11 17:34 <DIR> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-02-11 17:34 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-11 17:34 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-02-11 17:26 . 2009-02-07 20:58 <DIR> d-------- c:\documents and settings\Administrator\Application Data\Intel
2009-02-11 17:26 . 2009-02-07 17:02 <DIR> d-------- c:\documents and settings\Administrator\7zS202C.tmp
2009-02-11 17:26 . 2009-02-07 17:02 <DIR> d-------- c:\documents and settings\Administrator\7zS2027.tmp
2009-02-11 17:26 . 2009-02-07 17:02 <DIR> d-------- c:\documents and settings\Administrator\7zS201F.tmp
2009-02-11 17:26 . 2009-02-07 17:02 <DIR> d-------- c:\documents and settings\Administrator\_ir_sf7_temp_0
2009-02-11 17:26 . 2009-02-11 17:26 <DIR> d-------- c:\documents and settings\Administrator
2009-02-11 17:22 . 2009-02-11 17:23 <DIR> d-------- c:\documents and settings\Theodiablo\SmitfraudFix
2009-02-11 16:52 . 2009-02-11 16:52 <DIR> d-------- c:\windows\Logs
2009-02-11 16:52 . 2009-02-11 16:52 107,888 --a------ c:\windows\system32\CmdLineExt.dll
2009-02-11 16:47 . 2009-02-11 16:47 <DIR> d-------- c:\program files\Far Cry 2
2009-02-11 16:43 . 2009-02-11 16:46 <DIR> d-------- c:\program files\Hitman 2 Silent Assassin
2009-02-11 16:35 . 2009-02-11 16:35 228 --a------ c:\windows\RomeTW.ini
2009-02-11 16:30 . 2009-02-11 16:40 <DIR> d-------- c:\program files\Rome Total War
2009-02-11 16:24 . 2009-02-11 16:24 <DIR> d-------- c:\documents and settings\Theodiablo\Application Data\Nero
2009-02-11 16:24 . 2009-02-11 16:24 <DIR> d-------- c:\documents and settings\All Users\Application Data\LightScribe
2009-02-11 16:18 . 2009-02-11 16:18 104,960 --a------ c:\windows\system32\dllcache\userinit.exe
2009-02-11 16:17 . 2009-02-11 16:22 <DIR> d-------- c:\program files\Tomb Raider - Anniversary
2009-02-11 15:42 . 2009-02-11 15:42 <DIR> d-------- c:\program files\PowerISO
2009-02-11 15:39 . 2009-02-11 15:50 <DIR> d-------- c:\program files\Nero
2009-02-11 15:38 . 2009-02-11 15:50 <DIR> d-------- c:\program files\Common Files\Nero
2009-02-11 15:38 . 2009-02-11 15:38 <DIR> d-------- c:\program files\Common Files\LightScribe
2009-02-11 15:38 . 2009-02-11 15:43 <DIR> d-------- c:\documents and settings\All Users\Application Data\Nero
2009-02-11 15:30 . 2009-02-11 15:30 <DIR> d-------- c:\program files\MSECache
2009-02-08 12:50 . 2009-02-08 12:52 <DIR> d-------- c:\program files\psp
2009-02-08 12:45 . 2009-02-11 15:55 <DIR> d-------- c:\program files\warcraft III
2009-02-08 12:32 . 2009-02-08 12:32 <DIR> d-------- c:\documents and settings\Theodiablo\Application Data\Talkback
2009-02-08 12:31 . 2009-02-08 12:32 <DIR> d-------- c:\program files\Mozilla Sunbird
2009-02-08 12:20 . 2009-02-08 12:21 466 --a------ c:\windows\iCalendarDesktop2007.ini
2009-02-08 12:20 . 2009-02-08 12:20 0 --a------ c:\windows\iCalendarDesktop2007urls.ini
2009-02-08 12:20 . 2009-02-08 12:20 0 --a------ c:\windows\iCalendarDesktop2007locations.ini
2009-02-07 23:16 . 2009-02-07 23:16 <DIR> d-------- c:\documents and settings\Theodiablo\Application Data\vlc
2009-02-07 22:10 . 2009-02-07 22:14 <DIR> d-------- c:\documents and settings\Theodiablo\Application Data\IconTweaker
2009-02-07 22:10 . 2009-02-07 22:14 <DIR> d-------- c:\documents and settings\All Users\Application Data\IconTweaker
2009-02-07 21:17 . 2009-02-07 21:17 <DIR> d-------- c:\program files\VideoLAN
2009-02-07 21:07 . 2009-02-07 21:07 <DIR> d-------- c:\windows\system32\Lang
2009-02-07 20:58 . 2009-02-07 20:58 <DIR> d--h----- c:\windows\PIF
2009-02-07 20:48 . 2009-02-07 21:06 <DIR> d-------- c:\program files\Realtek
2009-02-07 20:48 . 2009-01-12 10:45 73,728 --a------ c:\windows\system32\RtNicProp32.dll
2009-02-07 20:47 . 2009-02-07 20:47 <DIR> d-------- c:\windows\system32\config\systemprofile\Application Data\Intel
2009-02-07 20:47 . 2009-02-07 20:58 <DIR> d-------- c:\documents and settings\Theodiablo\Application Data\Intel
2009-02-07 20:47 . 2009-02-07 20:58 <DIR> d-------- c:\documents and settings\NetworkService\Application Data\Intel
2009-02-07 20:47 . 2009-02-07 20:58 <DIR> d-------- c:\documents and settings\LocalService\Application Data\Intel
2009-02-07 20:47 . 2009-02-07 20:58 <DIR> d-------- c:\documents and settings\All Users\Application Data\Intel
2009-02-07 20:35 . 2007-05-14 22:38 8,429,568 --a------ c:\windows\system32\nvcpl.dll
2009-02-07 19:58 . 2009-02-07 19:58 0 --ah----- c:\windows\system32\drivers\Msft_Kernel_LMouFilt_01005.Wdf
2009-02-07 19:58 . 2009-02-07 19:58 0 --ah----- c:\windows\system32\drivers\Msft_Kernel_LHidFilt_01005.Wdf
2009-02-07 19:57 . 2009-02-07 21:07 <DIR> d-------- c:\program files\Logitech
2009-02-07 19:57 . 2009-02-07 21:07 <DIR> d-------- c:\program files\Common Files\Logishrd
2009-02-07 19:57 . 2009-02-07 21:01 <DIR> d-------- c:\documents and settings\All Users\Application Data\LogiShrd
2009-02-07 19:57 . 2008-12-04 09:31 53,248 --a------ c:\windows\system32\CSVer.dll
2009-02-07 19:56 . 2009-02-07 20:58 <DIR> d----c--- c:\windows\system32\DRVSTORE
2009-02-07 19:56 . 2009-02-07 20:58 <DIR> d-------- c:\program files\Intel
2009-02-07 19:56 . 2009-02-07 19:56 <DIR> d-------- C:\Intel
2009-02-07 19:56 . 2006-11-10 08:25 319,456 --a------ c:\windows\system32\difxapi.dll
2009-02-07 18:40 . 2009-02-07 18:40 <DIR> d-------- c:\program files\ma-config.com
2009-02-07 18:40 . 2009-02-07 18:40 <DIR> d-------- c:\documents and settings\All Users\Application Data\ma-config.com
2009-02-07 18:37 . 2009-02-07 18:37 <DIR> d-------- c:\program files\Hp
2009-02-07 18:36 . 2009-02-07 18:36 <DIR> d-------- c:\program files\Synaptics
2009-02-07 18:36 . 2007-09-14 19:09 213,696 --a------ c:\windows\system32\drivers\SynTP.sys
2009-02-07 18:36 . 2007-09-14 19:13 196,608 --a------ c:\windows\system32\SynCtrl.dll
2009-02-07 18:36 . 2007-09-14 19:13 163,840 --a------ c:\windows\system32\SynCOM.dll
2009-02-07 18:36 . 2007-09-14 19:21 147,456 --a------ c:\windows\system32\SynTPAPI.dll
2009-02-07 18:36 . 2007-09-14 19:50 110,592 --a------ c:\windows\system32\SynTPCo4.dll
2009-02-07 18:34 . 2009-02-11 16:26 <DIR> d-------- c:\program files\Common Files\InstallShield
2009-02-07 18:26 . 2009-02-11 18:16 <DIR> d--h----- c:\program files\InstallShield Installation Information
2009-02-07 18:26 . 2008-08-06 17:06 1,560,576 --a------ c:\windows\system32\BttnCmns_64.dll
2009-02-07 18:26 . 2006-06-30 06:46 1,560,576 --a------ c:\windows\system32\BttnCmns.dll
2009-02-07 18:26 . 2007-06-22 11:34 1,419,232 --a------ c:\windows\system32\WdfCoInstaller01005.dll
2009-02-07 18:26 . 2005-10-31 15:30 987,136 --a------ c:\windows\system32\BttnCmn.dll
2009-02-07 18:26 . 2008-04-14 10:41 21,504 --a------ c:\windows\system32\hidserv.dll
2009-02-07 18:26 . 2007-06-18 17:12 16,768 --a------ c:\windows\system32\drivers\HpqKbFiltr.sys
2009-02-07 18:26 . 2008-04-14 05:09 14,592 --a------ c:\windows\system32\drivers\kbdhid.sys
2009-02-07 18:26 . 2007-07-11 10:30 7,168 --a------ c:\windows\system32\drivers\HpqRemHid.sys
2009-02-07 18:26 . 2009-02-07 18:26 0 --ah----- c:\windows\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2009-02-07 18:26 . 2009-02-07 18:26 0 --ah----- c:\windows\system32\drivers\Msft_Kernel_HpqKbFiltr_01005.Wdf
2009-02-07 18:25 . 2009-02-07 20:36 <DIR> d-------- C:\SWSetup
2009-02-07 18:25 . 2009-02-07 18:25 <DIR> d-------- c:\program files\HPQ
2009-02-07 18:25 . 2009-02-07 18:25 <DIR> d-------- c:\program files\Broadcom
2009-02-07 18:24 . 2009-02-07 20:55 <DIR> d-------- c:\program files\Hewlett-Packard
2009-02-07 18:24 . 2009-02-07 18:24 <DIR> d-------- c:\documents and settings\Theodiablo\Application Data\InstallShield

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-11 15:23 --------- d-----w c:\program files\Unlocker
2009-02-07 16:19 --------- d-----w c:\program files\Styler
2009-02-07 16:19 --------- d-----w c:\documents and settings\Theodiablo\Application Data\Styler
2009-02-07 16:04 --------- d-----w c:\program files\Windows Media Connect 2
2009-02-07 16:03 --------- d-----w c:\program files\Windows Sidebar
2009-02-07 16:03 --------- d-----w c:\program files\Alky for Applications
2009-02-07 16:02 --------- d-----w c:\program files\Resource Hacker 3.4.0
2009-02-07 16:02 --------- d-----w c:\program files\Common Files\Stardock
2009-02-07 16:01 --------- d-----w c:\program files\Java
2009-02-07 16:01 --------- d-----w c:\program files\Common Files\Java
2009-02-07 16:01 --------- d-----w c:\program files\CCleaner
2009-02-07 15:59 --------- d-----w c:\program files\MSBuild
2009-02-07 15:58 --------- d-----w c:\program files\Reference Assemblies
2009-02-07 15:53 --------- d-----w c:\program files\VistaExperience.org
2009-02-07 15:52 --------- d-----w c:\program files\Microsoft PowerToys
2009-02-07 15:52 --------- d-----w c:\program files\LClock
2009-02-07 15:52 --------- d-----w c:\program files\HashTab Shell Extension
2009-02-07 15:52 --------- d-----w c:\program files\Desktop
2009-01-06 18:00 4,968,448 ----a-w c:\windows\system32\drivers\RtkHDAud.sys
2008-12-30 13:58 18,082,304 ----a-w c:\windows\RTHDCPL.EXE
.

------- Sigcheck -------

2008-06-19 21:43 361344 68f06fe0021b01e670af37b8c5964fdf c:\windows\system32\drivers\tcpip.sys

2008-04-23 06:58 2306560 8c4050bd9fd87e23cded28ffa889b0ba c:\windows\system32\ntoskrnl.exe

2009-02-11 16:18 104960 b14ae4c84b0ce003569f869b978ae7d5 c:\windows\system32\userinit.exe
2009-02-11 16:18 104960 b14ae4c84b0ce003569f869b978ae7d5 c:\windows\system32\dllcache\userinit.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-03-22 1271808]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"LightScribe Control Panel"="c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe" [2008-06-09 2363392]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LClock"="c:\program files\LClock\LClock.exe" [2004-09-19 65536]
"UnlockerAssistant"="c:\program files\Unlocker\UnlockerAssistant.exe" [2006-09-07 15872]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 144784]
"QlbCtrl.exe"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2008-08-01 202032]
"SynTPStart"="c:\program files\Synaptics\SynTP\SynTPStart.exe" [2007-09-14 102400]
"HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2005-02-16 49152]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2008-12-04 186904]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-05-14 8429568]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-05-14 81920]
"nwiz"="nwiz.exe" [2007-05-14 c:\windows\system32\nwiz.exe]
"RTHDCPL"="RTHDCPL.EXE" [2008-12-30 c:\windows\RTHDCPL.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"ShowDeskFix"="shell32" [X]
"nltide_3"="advpack.dll" [2008-06-19 c:\windows\system32\advpack.dll]

c:\documents and settings\Theodiablo\Start Menu\Programs\Startup\
Styler.lnk - c:\documents and settings\Theodiablo\Application Data\Microsoft\Installer\{E9ECF354-2422-4FDB-9ABF-D8ADAC0EF941}\_585b207a.exe [2/7/2009 5:18:25 PM 15086]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSetActiveDesktop"= 1 (0x1)
"NoActiveDesktopChanges"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\explorer.exe,"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\warcraft III\\garena\\Garena.exe"=
"c:\\Program Files\\Far Cry 2\\bin\\FarCry2.exe"=

R0 iastor78;iastor78;c:\windows\system32\drivers\iastor78.sys [6/19/2008 9:56:17 PM 308248]
R3 Com4QLBEx;Com4QLBEx;c:\program files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [2/7/2009 6:26:24 PM 193840]
S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [1/24/2009 2:46:50 PM 216232]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [2/11/2009 5:34:24 PM 38496]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"c:\program files\Common Files\LightScribe\LSRunOnce.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{D58F39FF-953E-4F45-898F-59F243B9A523}]
RUNDLL32 advpack.dll,LaunchINFSection Sidebar.inf,Register
.
- - - - ORPHELINS SUPPRIMES - - - -

HKLM-Run-Bluetooth Connection Assistant - LBTWIZ.EXE


.
------- Examen supplémentaire -------
.
uInternet Connection Wizard,ShellNext = hxxp://stats.garena.com/clientinstall.php
FF - ProfilePath - c:\documents and settings\Theodiablo\Application Data\Mozilla\Firefox\Profiles\pmchomuj.default\
FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-11 19:23:59
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-2052111302-515967899-1801674531-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\Clsid]
@Denied: (Full) (LocalSystem)
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\rundll32.exe
c:\program files\Synaptics\SynTP\SynTPEnh.exe
c:\program files\Styler\Styler.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\program files\Common Files\Nero\Nero BackItUp 4\NBService.exe
c:\windows\system32\nvsvc32.exe
c:\program files\Intel\Intel Matrix Storage Manager\IAANTmon.exe
c:\program files\Hewlett-Packard\Shared\hpqwmiex.exe
.
**************************************************************************
.
Heure de fin: 2009-02-11 19:27:30 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-02-11 18:27:28

Avant-CF: 200 928 579 584 bytes free
Après-CF: 202,903,478,272 bytes free

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

248
0
Réponse 11 / 17
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
11 févr. 2009 à 19:32
"[COLOR=RED] c:\windows\system32\userinit.exe . . . est infecté!!/COLOR"

---> Plutôt embêtant...

---> Fais analyser ce fichier : c:\windows\system32\userinit.exe

---> Sur VirusTotal et poste le lien de l'analyse :
https://www.virustotal.com/gui/
0
Réponse 12 / 17
theodiablo Messages postés 53 Date d'inscription mardi 5 février 2008 Statut Membre Dernière intervention 22 avril 2009
11 févr. 2009 à 19:38
voila le lien
mais qu'est-ce que c'est au juste userinit?

http://www.virustotal.com/fr/analisis/dd0c80312df9e57cebedee30190ab26d
0
Réponse 13 / 17
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
11 févr. 2009 à 19:42
"mais qu'est-ce que c'est au juste userinit?"
---> Un fichier de Windows.

Je te tiens au courant.
0
Réponse 14 / 17
theodiablo Messages postés 53 Date d'inscription mardi 5 février 2008 Statut Membre Dernière intervention 22 avril 2009
11 févr. 2009 à 19:44
ok merci de bien vouloir m'aider!
en tout cas, antivirusxp pro est partit, plus de pop-un toutes les 2 secondes et j'ai retrouvé mon fond d'écran, ca fait plaisir!
0
Réponse 15 / 17
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
11 févr. 2009 à 19:46
As-tu le CD d'XP ?

C'est pour faire une vérification des fichiers système.
0
Réponse 16 / 17
theodiablo Messages postés 53 Date d'inscription mardi 5 février 2008 Statut Membre Dernière intervention 22 avril 2009
11 févr. 2009 à 20:35
non j'ai pas le cd ici, c'est chez moi et j'y suis pas avant une semaine...
0
Réponse 17 / 17
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
11 févr. 2009 à 20:38
Je serai là ;)
0

Discussions similaires

Google Chrome "  Échec de l'analyse antivirus "
jmpower -
RBmoon -

18 réponses
Mode d'utilisation de la caméra V380 en français
delacree -
Gigi -

14 réponses