Sujet Précédent Sujet Suivant

Virut.nbk

Résolu/Fermé
ADAM - 13 févr. 2009 à 15:10
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 - 17 févr. 2009 à 15:14
Bonjour,
SVP de l'aide mes amis j'ai virus qui circule sur mon pc "Virut.nbk" mon anti-virus ESET Nod le localise mais il est incapable de le supprimer. j'ai fais le scan avc une version portable de kaspersky il supprime " Virut.ce" mais ne detecte pas "Virut.nbk". Ce virus infecte presque tous mes fichiers system et bloque mon accés internet aprés quelque temp et ma connexion ne revient qu'aprés je redémarre mon pc . aussi il fais redémarrer les 4 autres pc de mon réseaux local.
voici un rapport Hijackthis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:09:23, on 13/02/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ESET\ESET Smart Security\egui.exe
C:\WINDOWS\FixCamera.exe
C:\WINDOWS\tsnpstd3.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ESET\ESET Smart Security\ekrn.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Internet Download Manager\IEMonitor.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
D:\Mes Documents\Downloads\Compressed\1227KASPAV2009PO_www.softarchive.net\1227KASPAV2009PO_www.softarchive.net\Setup\Portable KAV\avp.exe
D:\Mes Documents\Downloads\Compressed\1227KASPAV2009PO_www.softarchive.net\1227KASPAV2009PO_www.softarchive.net\Setup\Portable KAV\avp.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:9666
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\regwiz.exe,C:\WINDOWS\system32\gcc.exe
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [FixCamera] C:\WINDOWS\FixCamera.exe
O4 - HKLM\..\Run: [tsnpstd3] C:\WINDOWS\tsnpstd3.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [Caffe-Server] C:\Program Files\Caffe\Server.exe
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [services] C:\WINDOWS\services.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [services] C:\WINDOWS\services.exe (User 'Default user')
O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Télécharger avec IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: Télécharger le contenu de video FLV avec IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Télécharger tous les liens avec IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O23 - Service: avp - Kaspersky Lab - D:\Mes Documents\Downloads\Compressed\1227KASPAV2009PO_www.softarchive.net\1227KASPAV2009PO_www.softarchive.net\Setup\Portable KAV\avp.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

37 réponses

  • 1
  • 2
Réponse 1 / 37
totobetourne Messages postés 5592 Date d'inscription dimanche 23 mars 2008 Statut Membre Dernière intervention 6 juin 2012 65
13 févr. 2009 à 15:33
bonjour

1)Bonjour,

*Télécharge SDFix (créé par AndyManchesta)
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
*Double-clique sur SDFix.exe
*Choisis Install pour l'extraire dans un dossier dédié sur le Bureau.
*Redémarre en mode sans échec
*Ouvre le dossier SDFix qui vient d'être créé à la racine de ton disque dur C:\
*Double clique sur RunThis.bat pour lancer le script. (Le .bat peut ne pas apparaître)
*Appuie sur Y pour commencer le processus de nettoyage.
*Appuie sur une touche pour redémarrer quand SDFix te demander d'appuyer sur une touche pour redémarrer.
*Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
*Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
*Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
*Les icônes du Bureau affichées, le rapport SDFix s'ouvrira. Il porte le nom de Report.txt.
*Copie/colle le contenu


*Si Sdfix ne se lance pas
* Clique sur Démarrer > Exécuter
*Copie/colle ceci: %systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe
*Clique sur Ok.
*Redémarre et essaie de relance SDFix.



2)passe cet antimalware, fait comme indique
Telecharges malwaresbytes antimalwares(MBAM) : egalement tres util sur pb de pub mais pas tous malheureusement

Malwarebytes Anti-Malware: http://www.malwarebytes.org/mbam/program/mbam-setup.exe

Tutoriel Malwarebytes Anti-Malware: https://forum.pcastuces.com/malwarebytes_antimalwares___tutoriel-f31s3.htm
fais comme indique,mise a jour , scan complet en mode sans echec et les rapports.
COLLE LE RAPPORT APRES SUPPRESSION MERCI.

garde le et lance un scan tout les mois comme indique.

si tu as ad aware tu peux desinstalle car il ne reconnait plus grand chose.




3)refais un rapport hijack et colle le . merci .
0
^^Marie^^ Messages postés 113901 Date d'inscription mardi 6 septembre 2005 Statut Membre Dernière intervention 28 août 2020 3 275
13 févr. 2009 à 15:37
Salut Toto

Jette un œil sur ce sujet

++
0
ADAM
13 févr. 2009 à 16:12
Merci infiniment
voila le rapport SDfix on attendant que je fais le scan avc Malwarebytes:

[b]SDFix: Version 1.240 [/b]
Run by Administrateur on 13/02/2009 at 16:03

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services [/b]:

[b]Name [/b]:
protect

[b]Path [/b]:
System32\drivers\protect.sys

protect - Deleted



Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files [/b]:

Trojan Files Found:

C:\WINDOWS\system32\2.tmp - Deleted
C:\WINDOWS\system32\4.tmp - Deleted
C:\WINDOWS\system32\5.tmp - Deleted
C:\WINDOWS\system32\7.tmp - Deleted
C:\WINDOWS\system32\8.tmp - Deleted
C:\WINDOWS\system32\A.tmp - Deleted
C:\WINDOWS\system32\B.tmp - Deleted
C:\WINDOWS\system32\D.tmp - Deleted
C:\WINDOWS\system32\E.tmp - Deleted
C:\WINDOWS\system32\2.tmp - Deleted
C:\WINDOWS\system32\20.tmp - Deleted
C:\WINDOWS\system32\21.tmp - Deleted
C:\WINDOWS\system32\23.tmp - Deleted
C:\WINDOWS\system32\24.tmp - Deleted
C:\WINDOWS\system32\25.tmp - Deleted
C:\WINDOWS\system32\27.tmp - Deleted
C:\WINDOWS\system32\29.tmp - Deleted
C:\WINDOWS\system32\2A.tmp - Deleted
C:\WINDOWS\system32\2B.tmp - Deleted
C:\WINDOWS\system32\2D.tmp - Deleted
C:\WINDOWS\system32\2F.tmp - Deleted
C:\WINDOWS\system32\11.tmp - Deleted
C:\WINDOWS\system32\110.tmp - Deleted
C:\WINDOWS\system32\12.tmp - Deleted
C:\WINDOWS\system32\125.tmp - Deleted
C:\WINDOWS\system32\14.tmp - Deleted
C:\WINDOWS\system32\145.tmp - Deleted
C:\WINDOWS\system32\15.tmp - Deleted
C:\WINDOWS\system32\17F.tmp - Deleted
C:\WINDOWS\system32\18.tmp - Deleted
C:\WINDOWS\system32\19.tmp - Deleted
C:\WINDOWS\system32\1A.tmp - Deleted
C:\WINDOWS\system32\1C.tmp - Deleted
C:\WINDOWS\system32\1D.tmp - Deleted
C:\WINDOWS\system32\1E.tmp - Deleted
C:\WINDOWS\SYSTEM32\TDSSOSVN.dat - Deleted





Removing Temp Files

[b]ADS Check [/b]:



[b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-13 16:06:38
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Program Files\\Caffe\\Server.exe"="C:\\Program Files\\Caffe\\Server.exe:*:Enabled:Internet Caffe Server"
"\\??\\C:\\WINDOWS\\system32\\winlogon.exe"="\\??\\C:\\WINDOWS\\system32\\winlogon.exe:*:enabled:@shell32.dll,-1"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[b]Remaining Files [/b]:


File Backups: - C:\SDFix\backups\backups.zip

[b]Files with Hidden Attributes [/b]:

Mon 26 Jan 2009 1,740,632 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe"
Mon 26 Jan 2009 5,365,592 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"
Mon 26 Jan 2009 2,144,088 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"

[b]Finished![/b]
0
Réponse 2 / 37
totobetourne Messages postés 5592 Date d'inscription dimanche 23 mars 2008 Statut Membre Dernière intervention 6 juin 2012 65
13 févr. 2009 à 16:17
bonjour marie

ton lien n a pas l air de fonctionner , si tu veux prendre la direction des operations , tu es la bienvenue.
comme je remarque tdss dans le rapport sd fix faut il passer autre chose?
0
toptitbal Messages postés 25709 Date d'inscription samedi 8 juillet 2006 Statut Contributeur sécurité Dernière intervention 4 mars 2010 2 231
13 févr. 2009 à 16:31
Bonjour toto

Le lien renvoie a une astuce qui a été supprimée (j'ignore pourquoi).
De toutes façons, compte tenu de l'infection, c'est pratiquement désespéré....
0
Réponse 3 / 37
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
13 févr. 2009 à 16:33
Salut,

/!\ Désactive tes protections résidentes (Antivirus, etc...) /!\

--> Télécharge ComboFix (de sUBs) sur ton Bureau.
--> Double-clique sur ComboFix.exe (le .exe n'est pas forcément visible) afin de le lancer.
--> Il va te demander d'installer la console de récupération : accepte.
--> Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

Pour t'aider : Un guide et un tutoriel sur l'utilisation de ComboFix
0
ADAM
13 févr. 2009 à 17:46
Mes amis
aprés l'excution de combofix et le redémarrge la connexion internet a coupé completement sur le PC infecté mais pas sur les autres
voici le rapport de Combofix et Hijack This aprés l'escecution de combofix
Combofix
ComboFix 09-02-12.03 - Cybermedi@ 2009-02-13 17:25:01.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.1527.1124 [GMT 1:00]
Lancé depuis: c:\documents and settings\Cybermedi@\Bureau\ComboFix.exe
AV: ESET Smart Security 3.0 *On-access scanning disabled* (Updated)
AV: Kaspersky Anti-Virus *On-access scanning disabled* (Updated)
FW: ESET Personal firewall *disabled*
* Un nouveau point de restauration a été créé
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

D:\Autorun.inf

[COLOR=RED] c:\windows\explorer.exe . . . est infecté!![/COLOR]

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_Passthru


((((((((((((((((((((((((((((( Fichiers créés du 2009-01-13 au 2009-02-13 ))))))))))))))))))))))))))))))))))))
.

2009-02-13 16:14 . 2009-02-13 16:14 <REP> d-------- c:\documents and settings\Administrateur\Application Data\Malwarebytes
2009-02-13 16:01 . 2009-02-13 16:02 <REP> d-------- c:\windows\ERUNT
2009-02-13 15:58 . 2009-02-13 16:07 <REP> d-------- C:\SDFix
2009-02-13 15:56 . 2009-02-13 15:56 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-02-13 15:56 . 2009-02-13 15:56 <REP> d-------- c:\documents and settings\Cybermedi@\Application Data\Malwarebytes
2009-02-13 15:56 . 2009-02-13 15:56 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-02-13 15:56 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-13 15:56 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-02-13 15:42 . 2009-02-13 15:42 <REP> d-------- c:\program files\Panda Security
2009-02-13 15:42 . 2008-06-19 16:24 28,544 --a------ c:\windows\system32\drivers\pavboot.sys
2009-02-12 13:11 . 2009-02-12 13:12 437,038 --a------ C:\Dft32_User_Guide.pdf
2009-02-12 13:06 . 2009-02-12 13:10 <REP> d-------- c:\documents and settings\Administrateur\Application Data\IDM
2009-02-12 13:06 . 2009-02-12 13:10 <REP> d-------- c:\documents and settings\Administrateur\Application Data\DMCache
2009-02-12 12:24 . 2009-02-09 16:57 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage réseau
2009-02-12 12:24 . 2009-02-09 16:57 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage d'impression
2009-02-12 12:24 . 2009-02-09 16:24 <REP> d--h----- c:\documents and settings\Administrateur\Modèles
2009-02-12 12:24 . 2009-02-12 13:10 <REP> d-------- c:\documents and settings\Administrateur\Mes documents
2009-02-12 12:24 . 2009-02-09 16:57 <REP> dr------- c:\documents and settings\Administrateur\Menu Démarrer
2009-02-12 12:24 . 2009-02-09 16:57 <REP> d-------- c:\documents and settings\Administrateur\Favoris
2009-02-12 12:24 . 2009-02-13 16:04 <REP> d-------- c:\documents and settings\Administrateur\Bureau
2009-02-12 12:24 . 2009-02-12 12:24 <REP> d-------- c:\documents and settings\Administrateur
2009-02-12 12:21 . 2009-02-12 12:21 <REP> d-------- c:\documents and settings\Cybermedi@\Application Data\Lavasoft
2009-02-12 12:20 . 2009-02-12 12:20 <REP> d-------- c:\documents and settings\Cybermedi@\DoctorWeb
2009-02-12 12:03 . 2009-02-12 12:03 <REP> d-------- c:\program files\CCleaner
2009-02-12 10:22 . 2009-02-12 10:22 <REP> d-------- c:\windows\Sun
2009-02-12 10:21 . 2009-02-12 10:21 <REP> d-------- c:\program files\Java
2009-02-12 10:21 . 2009-02-12 10:21 410,984 --a------ c:\windows\system32\deploytk.dll
2009-02-12 10:21 . 2009-02-12 10:21 73,728 --a------ c:\windows\system32\javacpl.cpl
2009-02-12 09:36 . 2008-06-14 18:33 272,768 --------- c:\windows\system32\drivers\bthport.sys
2009-02-12 09:36 . 2008-06-14 18:33 272,768 -----c--- c:\windows\system32\dllcache\bthport.sys
2009-02-12 09:30 . 2008-08-14 14:23 2,191,232 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe
2009-02-12 09:30 . 2008-08-14 14:23 2,147,328 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe
2009-02-12 09:30 . 2008-08-14 14:23 2,068,096 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe
2009-02-12 09:30 . 2008-08-14 14:23 2,025,984 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe
2009-02-12 09:27 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
2009-02-12 09:15 . 2005-06-28 10:21 22,752 --a------ c:\windows\system32\spupdsvc.exe
2009-02-11 21:15 . 2009-02-11 21:59 <REP> d-------- C:\TEMP
2009-02-11 17:21 . 2009-02-11 17:21 <REP> d-------- c:\program files\Yahoo!
2009-02-11 17:21 . 2009-02-11 17:23 <REP> d-------- c:\documents and settings\All Users\Application Data\Yahoo!
2009-02-11 16:37 . 2009-02-11 16:37 <REP> d-------- c:\program files\Fichiers communs\Adobe
2009-02-11 16:31 . 2007-05-23 16:54 260,248 --a------ c:\windows\system32\QMO.dll
2009-02-11 16:31 . 2007-05-23 16:54 92,312 --a------ c:\windows\system32\QMOCameraDll.dll
2009-02-11 16:31 . 2007-05-23 16:54 80,024 --a------ c:\windows\system32\TXGYUploader.dll
2009-02-10 22:41 . 2009-02-10 22:41 <REP> d-------- c:\documents and settings\Cybermedi@\Application Data\Media Player Classic
2009-02-10 17:07 . 2009-02-10 17:07 <REP> d-------- c:\documents and settings\All Users\Application Data\Messenger Plus!
2009-02-10 15:57 . 2009-02-13 15:34 69 --a------ c:\windows\NeroDigital.ini
2009-02-10 15:15 . 2009-02-10 15:15 <REP> d-------- c:\program files\Messenger Plus! Live
2009-02-10 15:15 . 2009-02-12 09:18 <REP> d-------- c:\program files\Circle Developement
2009-02-10 14:21 . 2009-02-10 14:21 <REP> d-------- c:\program files\K-Lite Codec Pack
2009-02-10 13:19 . 2009-02-10 13:19 <REP> d-------- c:\documents and settings\Cybermedi@\Application Data\Ahead
2009-02-10 12:52 . 2009-02-13 17:18 <REP> d-------- c:\program files\Internet Download Manager
2009-02-10 12:52 . 2009-02-10 12:52 <REP> d-------- c:\documents and settings\Cybermedi@\Application Data\IDM
2009-02-10 12:38 . 2009-02-10 12:38 <REP> d-------- c:\program files\Nero
2009-02-10 12:38 . 2009-02-10 12:40 <REP> d-------- c:\program files\Fichiers communs\Ahead
2009-02-10 12:30 . 2008-04-13 11:46 85,248 --a------ c:\windows\system32\drivers\NABTSFEC.sys
2009-02-10 12:30 . 2008-04-13 11:46 19,200 --a------ c:\windows\system32\drivers\WSTCODEC.SYS
2009-02-10 12:30 . 2008-04-13 11:46 17,024 --a------ c:\windows\system32\drivers\CCDECODE.sys
2009-02-10 12:30 . 2008-04-13 19:34 16,384 --a------ c:\windows\system32\ipsink.ax
2009-02-10 12:30 . 2008-04-13 11:46 15,232 --a------ c:\windows\system32\drivers\StreamIP.sys
2009-02-10 12:30 . 2008-04-13 11:46 11,136 --a------ c:\windows\system32\drivers\SLIP.sys
2009-02-10 12:30 . 2008-04-13 11:46 10,880 --a------ c:\windows\system32\drivers\NdisIP.sys
2009-02-10 12:30 . 2008-04-13 11:39 5,504 --a------ c:\windows\system32\drivers\MSTEE.sys
2009-02-10 12:27 . 2008-04-13 19:34 92,160 --a------ c:\windows\system32\kswdmcap.ax
2009-02-10 12:27 . 2008-04-13 19:34 61,952 --a------ c:\windows\system32\kstvtune.ax
2009-02-10 12:27 . 2008-04-13 19:33 54,784 --a------ c:\windows\system32\vfwwdm32.dll
2009-02-10 12:27 . 2008-04-13 19:34 43,008 --a------ c:\windows\system32\ksxbar.ax
2009-02-10 12:27 . 2008-04-13 19:34 28,672 --a------ c:\windows\system32\vidcap.ax
2009-02-10 12:26 . 2009-02-11 21:00 <REP> d-------- c:\program files\Fichiers communs\snpstd3
2009-02-10 12:26 . 2009-02-10 12:26 <REP> d-------- c:\documents and settings\Cybermedi@\Application Data\InstallShield
2009-02-10 12:26 . 2007-07-25 16:59 10,372,096 --a------ c:\windows\system32\drivers\snpstd3.sys
2009-02-10 12:26 . 2007-05-10 13:18 835,584 --------- c:\windows\VSNPSTD3.EXE
2009-02-10 12:26 . 2007-04-21 09:37 270,336 --a------ c:\windows\TSNPSTD3.EXE
2009-02-10 12:26 . 2007-07-23 18:04 155,648 --a------ c:\windows\system32\rsnpstd3.dll
2009-02-10 12:26 . 2006-07-03 10:31 98,304 --a------ c:\windows\AMCAP.EXE
2009-02-10 12:26 . 2007-07-23 17:52 57,344 --a------ c:\windows\system32\vsnpstd3.dll
2009-02-10 12:26 . 2005-11-23 13:55 53,248 --a------ c:\windows\system32\csnpstd3.dll
2009-02-10 12:26 . 2005-11-23 13:55 53,248 --a------ c:\windows\csnpstd3.dll
2009-02-10 12:26 . 2007-07-11 16:09 20,480 --a------ c:\windows\FIXCAMERA.EXE
2009-02-10 12:26 . 2004-02-27 17:36 15,498 --a------ c:\windows\snpstd3.ini
2009-02-10 12:26 . 2004-02-27 17:36 13,023 --a------ c:\windows\snpstd3.src
2009-02-10 11:32 . 2006-10-26 19:58 30,512 --a------ c:\windows\system32\mdimon.dll
2009-02-10 11:31 . 2009-02-10 11:31 <REP> d-------- c:\program files\MSBuild
2009-02-10 11:31 . 2009-02-10 11:31 <REP> d-------- c:\program files\Microsoft Works
2009-02-10 11:28 . 2009-02-10 11:31 <REP> d-------- c:\windows\SHELLNEW
2009-02-10 11:27 . 2009-02-10 11:27 <REP> dr-h----- C:\MSOCache
2009-02-10 11:27 . 2009-02-10 11:32 <REP> d-------- c:\documents and settings\All Users\Application Data\Microsoft Help
2009-02-10 11:20 . 2009-02-10 11:33 <REP> d-a------ c:\documents and settings\All Users\Application Data\TEMP
2009-02-10 11:17 . 2009-02-10 13:02 <REP> d-------- c:\program files\Trojan Remover
2009-02-10 11:17 . 2006-05-25 14:52 162,304 --a------ c:\windows\system32\ztvunrar36.dll
2009-02-10 11:17 . 2003-02-02 19:06 153,088 --a------ c:\windows\system32\UNRAR3.dll
2009-02-10 11:17 . 2005-08-26 00:50 77,312 --a------ c:\windows\system32\ztvunace26.dll
2009-02-10 11:17 . 2002-03-06 00:00 75,264 --a------ c:\windows\system32\unacev2.dll
2009-02-10 11:17 . 2006-06-19 12:01 69,632 --a------ c:\windows\system32\ztvcabinet.dll
2009-02-10 11:12 . 2009-02-10 11:12 128 --a------ c:\windows\system32\356.tmp
2009-02-10 11:01 . 2009-02-10 11:01 128 --a------ c:\windows\system32\96.tmp
2009-02-10 10:10 . 2009-02-10 10:10 128 --a------ c:\windows\system32\3C.tmp
2009-02-10 10:10 . 2009-02-10 10:10 0 --a------ c:\windows\system32\45.tmp
2009-02-10 10:09 . 2009-02-11 07:34 130 --a------ c:\windows\adobe.bat
2009-02-10 10:09 . 2009-02-10 10:09 128 --a------ c:\windows\system32\31.tmp
2009-02-10 10:09 . 2009-02-10 10:09 0 --a------ c:\windows\_id.dat
2009-02-10 09:47 . 2009-02-11 21:02 <REP> d-------- c:\program files\Spybot - Search & Destroy
2009-02-10 09:47 . 2009-02-12 12:19 <REP> d-------- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-02-10 09:32 . 2009-02-10 09:32 128 --a------ c:\windows\system32\D2.tmp
2009-02-10 09:31 . 2009-02-10 09:31 <REP> d-------- c:\program files\Trend Micro
2009-02-10 09:17 . 2009-02-12 09:50 <REP> d-------- c:\windows\BDOSCAN8
2009-02-10 09:05 . 2009-02-10 09:05 128 --a------ c:\windows\system32\30.tmp
2009-02-10 08:01 . 2009-02-10 08:01 0 --a------ c:\windows\system32\AE.tmp
2009-02-10 06:59 . 2009-02-10 06:59 172 --a------ c:\windows\system32\A2.tmp
2009-02-10 06:41 . 2009-02-10 06:41 0 --a------ c:\windows\system32\9F.tmp
2009-02-10 06:38 . 2009-02-10 06:38 172 --a------ c:\windows\system32\93.tmp
2009-02-10 06:24 . 2009-02-10 06:24 0 --a------ c:\windows\system32\90.tmp
2009-02-10 06:22 . 2009-02-10 06:22 172 --a------ c:\windows\system32\82.tmp
2009-02-10 06:22 . 2009-02-10 06:22 0 --a------ c:\windows\system32\8E.tmp
2009-02-10 06:22 . 2009-02-10 06:22 0 --a------ c:\windows\system32\85.tmp
2009-02-10 06:21 . 2009-02-10 06:22 172 --a------ c:\windows\system32\75.tmp
2009-02-10 05:47 . 2009-02-10 05:47 0 --a------ c:\windows\system32\5D.tmp
2009-02-10 05:44 . 2009-02-10 05:44 172 --a------ c:\windows\system32\51.tmp
2009-02-10 05:30 . 2009-02-10 05:30 0 --a------ c:\windows\system32\37.tmp
2009-02-10 04:53 . 2009-02-10 04:53 0 --a------ c:\windows\system32\758C.tmp
2009-02-10 04:51 . 2009-02-10 04:51 172 --a------ c:\windows\system32\7586.tmp
2009-02-10 04:51 . 2009-02-10 04:51 0 --a------ c:\windows\system32\7588.tmp
2009-02-10 04:49 . 2009-02-10 04:49 0 --a------ c:\windows\system32\7583.tmp
2009-02-10 04:46 . 2009-02-10 04:46 172 --a------ c:\windows\system32\757D.tmp
2009-02-10 04:46 . 2009-02-10 04:46 0 --a------ c:\windows\system32\757F.tmp
2009-02-10 04:04 . 2009-02-10 04:04 0 --a------ c:\windows\system32\74F6.tmp

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-12 12:33 155,648 ----a-w c:\windows\system32\wscript.exe
2009-02-12 12:33 135,168 ----a-w c:\windows\system32\cscript.exe
2009-02-11 20:02 --------- d-----w c:\program files\Windows Media Connect 2
2009-02-10 16:07 90,112 ----a-w c:\windows\DUMP3c6c.tmp
2009-02-10 09:58 90,112 ----a-w c:\windows\DUMP35b6.tmp
2009-02-10 08:19 90,112 ----a-w c:\windows\DUMP3884.tmp
2009-02-10 08:02 90,112 ----a-w c:\windows\DUMP3539.tmp
2009-02-10 04:17 90,112 ----a-w c:\windows\DUMP474a.tmp
2009-02-10 01:44 90,112 ----a-w c:\windows\DUMP3558.tmp
2009-02-10 01:40 90,112 ----a-w c:\windows\DUMP3df3.tmp
2009-02-10 01:32 90,112 ----a-w c:\windows\DUMP33e1.tmp
2009-02-09 20:48 90,112 ----a-w c:\windows\DUMP32f6.tmp
2009-02-09 15:28 --------- d-----w c:\program files\microsoft frontpage
2009-02-09 15:26 --------- d-----w c:\program files\Services en ligne
2009-01-22 14:49 206,256 ----a-w c:\windows\system32\idmmbc.dll
.

------- Sigcheck -------

2008-04-13 18:34 1037824 34d64cb8a5bcd3f5262d0cf9b14fed0e c:\windows\EXPLORER.EXE
2008-04-13 18:34 1054208 0f6069c320bb8deef916642f33af7994 c:\windows\system32\dllcache\explorer.exe

2008-04-13 18:34 15360 aa0163de6e56e278979c3db01a21bda0 c:\windows\system32\ctfmon.exe
2008-04-13 18:34 31744 15e01529691e92477d5945d49a6b0588 c:\windows\system32\dllcache\ctfmon.exe

2008-04-13 18:34 26624 084363967d39a56091b5fdbe6a920260 c:\windows\system32\USERINIT.EXE
2009-02-12 13:33 26624 c60b2f6c494fd9aa2c45d4efea2d0aa4 c:\windows\system32\dllcache\userinit.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Caffe-Server"="c:\program files\Caffe\Server.exe" [2009-02-09 5405696]
"IDMan"="c:\program files\Internet Download Manager\IDMan.exe" [2009-02-10 2745776]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-13 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"egui"="c:\program files\ESET\ESET Smart Security\egui.exe" [2008-07-01 1447168]
"FixCamera"="c:\windows\FixCamera.exe" [2007-07-11 20480]
"tsnpstd3"="c:\windows\tsnpstd3.exe" [2007-04-21 270336]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ rmvirut.nt

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\kcxrjmoq.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
c:\windows\system32\dumprep 0 -k [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2007-05-11 03:06 40048 c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2006-11-16 19:04 139264 c:\program files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2008-04-13 18:34 15360 c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]
--a------ 2006-10-06 12:13 114688 c:\windows\system32\hkcmd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IDMan]
--a------ 2009-02-10 13:31 2745776 c:\program files\Internet Download Manager\IDMan.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]
--a------ 2006-10-06 12:11 98304 c:\windows\system32\igfxtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Messenger (Yahoo!)]
--a------ 2008-10-16 21:57 4347120 c:\program files\Yahoo!\Messenger\YahooMessenger.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2007-10-18 11:34 5724184 c:\program files\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2006-01-12 15:40 155648 c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Persistence]
--a------ 2006-10-06 12:10 110592 c:\windows\system32\igfxpers.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\snpstd3]
--------- 2007-05-10 13:18 835584 c:\windows\VSNPSTD3.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
-rahs---- 2009-01-26 15:31 2144088 c:\program files\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2009-02-12 10:21 148888 c:\program files\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\tsnpstd3]
--a------ 2007-04-21 09:37 270336 c:\windows\TSNPSTD3.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
--a------ 2005-05-03 18:43 69632 c:\windows\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
--a------ 2006-10-30 19:49 16269312 c:\windows\RTHDCPL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
--a------ 2006-05-16 18:04 2882560 c:\windows\SkyTel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\Caffe\\Server.exe"=

R0 kcxrjmoq;kcxrjmoq;c:\windows\system32\drivers\kcxrjmoq.sys [2009-02-09 33920]
R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2009-02-13 28544]
R1 BIOS;BIOS;c:\windows\system32\drivers\BIOS.sys [2009-02-09 13696]
R2 ekrn;Eset Service;c:\program files\ESET\ESET Smart Security\ekrn.exe [2008-07-01 468224]
.
- - - - ORPHELINS SUPPRIMES - - - -

HKU-Default-Run-services - c:\windows\services.exe
MSConfigStartUp-AVG8_TRAY - c:\progra~1\AVG\AVG8\avgtray.exe
MSConfigStartUp-Rxuxobeyitamewi - c:\windows\Bsosuy.dll
MSConfigStartUp-services - c:\windows\SERVICES.EXE


.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = local
uInternet Settings,ProxyServer = 127.0.0.1:9666
IE: Download with IDM - c:\program files\Internet Download Manager\IEExt.htm
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Télécharger avec IDM - c:\program files\Internet Download Manager\IEExt.htm
IE: Télécharger le contenu de video FLV avec IDM - c:\program files\Internet Download Manager\IEGetVL.htm
IE: Télécharger tous les liens avec IDM - c:\program files\Internet Download Manager\IEGetAll.htm
DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
FF - ProfilePath - c:\documents and settings\Cybermedi@\Application Data\Mozilla\Firefox\Profiles\7jnfpkmt.default\
FF - component: c:\documents and settings\Cybermedi@\Application Data\IDM\idmmzcc2\components\idmmzcc.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-13 17:28:22
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2009-02-13 17:29:45 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-02-13 16:29:43

Avant-CF: 35,723,550,720 octets libres
Après-CF: 35,767,373,824 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

294 --- E O F --- 2009-02-12 19:00:38



Hijack This


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:36:43, on 13/02/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ESET\ESET Smart Security\ekrn.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\ESET\ESET Smart Security\egui.exe
C:\WINDOWS\FixCamera.exe
C:\WINDOWS\tsnpstd3.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Download Manager\IEMonitor.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:9666
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [FixCamera] C:\WINDOWS\FixCamera.exe
O4 - HKLM\..\Run: [tsnpstd3] C:\WINDOWS\tsnpstd3.exe
O4 - HKCU\..\Run: [Caffe-Server] C:\Program Files\Caffe\Server.exe
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Télécharger avec IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: Télécharger le contenu de video FLV avec IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Télécharger tous les liens avec IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O23 - Service: avp - Kaspersky Lab - D:\Mes Documents\Downloads\Compressed\1227KASPAV2009PO_www.softarchive.net\1227KASPAV2009PO_www.softarchive.net\Setup\Portable KAV\avp.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
0
Réponse 4 / 37
totobetourne Messages postés 5592 Date d'inscription dimanche 23 mars 2008 Statut Membre Dernière intervention 6 juin 2012 65
13 févr. 2009 à 16:35
on va y arriver.soyons optimiste. toutes les idees sont les bienvenues.
0
ADAM
13 févr. 2009 à 17:51
j'ai oublié voila aussi le rapport de l'anti malware
Malwarebytes' Anti-Malware 1.34
Version de la base de données: 1757
Windows 5.1.2600 Service Pack 3

13/02/2009 17:16:09
mbam-log-2009-02-13 (17-16-09).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 196844
Temps écoulé: 1 hour(s), 0 minute(s), 32 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
D:\Mes Documents\Downloads\convertor\video\Ashampo Movie shrink and burn\keygen.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSSfpmp.dll (Rootkit.Agent) -> Quarantined and deleted successfully.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 37
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
13 févr. 2009 à 17:55
Tu as un fichier système de Windows infecté par Virut, je ne te garantis rien.

Je n'ai plus la procédure pour AVPTool mais essaie de désinfecter quand même avec le programme :
ftp://ftp.kaspersky.com/devbuilds/AVPTool/setup_7.0.0.290_13.02.2009_19-20.exe
0
ADAM
13 févr. 2009 à 18:20
Merci infiniment totobetourne destrio et marie
mais que puisse je fair maintenat avc la connexion coupé? j'arrive meme pas à fair un ping sur mon medem ou mes autres postes
et pour le fichier systeme infecté ya t il une maniere de le restaurer si je fais un Boot sur mon cd windows xp
0
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297 > ADAM
13 févr. 2009 à 18:22
Une réparation Windows peut-être :
https://forums.cnetfrance.fr
0
noctambule28 Messages postés 31937 Date d'inscription samedi 12 mai 2007 Statut Webmaster Dernière intervention 13 février 2022 2 858 > ADAM
13 févr. 2009 à 18:25
Salut

Tu commences par sauvegarder tes documents, aucun executable.
La suite arrive, il te faudrait une clé usb ( qui ne devra rentrer en contact qu'une fois avec ton pc malade)

Peu de chance de récuperer le système, mais dans tous les cas , tu reviens ici car un simple formatage ne sera pas suffisant.
0
Réponse 6 / 37
totobetourne Messages postés 5592 Date d'inscription dimanche 23 mars 2008 Statut Membre Dernière intervention 6 juin 2012 65
13 févr. 2009 à 17:58
destrio et marie je vous regarde car cela semble bien difficile , meme si on enlevait les differentes parties de l infection
avec cela c:\windows\explorer.exe . . . est infecté!! cela parait tendu mais bon je suis la pour apprendre egalement.
0
Réponse 7 / 37
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
13 févr. 2009 à 18:35
Bonsoir à tous,
Coucou Marie,

Pour ta connection, tente d'abord ceci (c'est simple et rapide)
http://www.windowsfacile.com/winsock_xp_fix.html

Et supprime ce crack D:\Mes Documents\Downloads\convertor\video\Ashampo Movie shrink and burn

Merci
Al.
0
noctambule28 Messages postés 31937 Date d'inscription samedi 12 mai 2007 Statut Webmaster Dernière intervention 13 février 2022 2 858
13 févr. 2009 à 18:40
Salut A!
Il y a beaucoup de risque à faire transferer d'un pc à l'autre , non ?
Il vaudrait mieux passer tout par clé , mais en une fois.
0
ADAM
13 févr. 2009 à 18:54
Merci Afideg la connexion a été réparé par winsock xp fix mais il a desactivé le pare feu de mon anti virus.
Je suis en train de fair un scan avc "REmoval tool" et puis je essaierai de réaprer les fichier systemes à partir du CD xp et je vous dirai, car j peu pas formater tous mon disque dur puisque j'ai au moin 80 GO de document et de fichiers clients et c difficile de les transfere sur un autre pc vue la taille (80 go)
Merci infiniment pour tous vos aides précieux
0
ADAM > ADAM
13 févr. 2009 à 20:14
Voici un nouveau rapport hijack this aprés scan avc " removal tool" et réparation avc cd xp
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:08:54, on 13/02/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ESET\ESET Smart Security\egui.exe
C:\WINDOWS\FixCamera.exe
C:\WINDOWS\tsnpstd3.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ESET\ESET Smart Security\ekrn.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Download Manager\IEMonitor.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wscntfy.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:9666
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [FixCamera] C:\WINDOWS\FixCamera.exe
O4 - HKLM\..\Run: [tsnpstd3] C:\WINDOWS\tsnpstd3.exe
O4 - HKCU\..\Run: [Caffe-Server] C:\Program Files\Caffe\Server.exe
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Télécharger avec IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: Télécharger le contenu de video FLV avec IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Télécharger tous les liens avec IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O23 - Service: avp - Kaspersky Lab - D:\Mes Documents\Downloads\Compressed\1227KASPAV2009PO_www.softarchive.net\1227KASPAV2009PO_www.softarchive.net\Setup\Portable KAV\avp.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
0
Réponse 8 / 37
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
13 févr. 2009 à 20:15
Tu n'as pas eu de rapport avec AVPTool ?
0
ADAM
13 févr. 2009 à 20:20
AVPTool n'a rien détecté ( Detected 0) donc j'ai pas enregistré le rapport
0
Réponse 9 / 37
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
13 févr. 2009 à 20:22
---> Fais analyser ce fichier : C:\WINDOWS\Explorer.EXE

---> Sur VirusTotal et poste le lien de l'analyse :
https://www.virustotal.com/gui/
0
Réponse 10 / 37
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
13 févr. 2009 à 20:24
Adam,

Peux-tu lancer cette application, stp ?

Télécharge DiagHelp.zip < http://www.malekal.com/download/DiagHelp.zip > sur ton bureau
< http://img521.imageshack.us/img521/3341/screenshot426fc5.png >
- - Ne double-clic pas dessus !!

Clic sur l'icône DiagHelp.zip téléchargé sur le bureau > "clic-droit" sur le fichier .zip > "Ouvrir" > un nouveau dossier va être créé sous le nom DiagHelp sur une page qui s'affiche > sur cette page, clic sur "Fichier" > "Extraire tout" > Un assistant d'extraction s'ouvre ==> [Suivant] > [Suivant] (cocher la case devant "afficher les fichiers extraits") > [Terminer]

((( Ou alors, …un nouveau dossier va être créé sous le nom « DiagHelp » sur une page qui s'affiche ; faire clic-droit sur ce dossier « DiagHelp » dans la plage de droite, > comme ceci : https://imageshack.com/ puis « Extraire » )))

À nouveau, une page s'affiche avec le dossier DiagHelp > Ouvre-le et clic sur le fichier "go.cmd" < http://img392.imageshack.us/img392/9054/screenshot416to8.png > ----> et sur cette page, < http://img512.imageshack.us/img512/9692/screenshot427ci2.png > choisis l'option 1 (= tape 1 sur le petit clignotant, puis [Exécuter]

Notes:
1)- Lors du scan, une fenêtre "Sysinternals Software Licence Terms" va s'ouvrir > clique sur "Agree"

2)- Si un antivirus détecte Troj/INJECT MF, ou nom approchant, choisis "ignorer" c'est une fausse alerte.

3)- Tu vas certainement recevoir une alerte du pare-feu te demandant si tu acceptes que le processus "sigcheck.exe" puisse se connecter à Internet > "Accepte".

4)- Pendant l'analyse, à la fin du rapport "catchme", il te sera demandé d'appuyer sur une touche afin de poursuivre le scan, suis bien les instructions à l'écran! N'oublie pas !

5- A la fin du scan tu seras dirigé vers la page de l'auteur afin d'expédier le fichier C:\upload_moi_xxxxx.zip ==> Envoie le fichier (c'est chez le concepteur) s’il te plaît.


Si tu reçois un message d'erreur ferme simplement la page internet et clique sur la touche [Enter], pour laisser terminer le scan et avoir accès au fichier texte.
•- A la fin de l'analyse, il te sera redemandé de redémarrer l'ordinateur...
•- Une fois l'ordinateur redémarré le rapport va apparaître sur le bloc-notes.
Ce dernier se trouve sur C:\resultat.txt
- Copie/colle le contenu du bloc-notes qui s'ouvre, pour cela : « Dans le bloc-notes, cliquez sur le menu Edition / Sélectionner tout > à nouveau menu Edition / copier > pour terminer dans un nouveau message ici, faire un clic droit / coller. »

- Tutoriel ici : < http://www.malekal.com/DiagHelp/DiagHelp.php >


Merci
Al.
0
ADAM
13 févr. 2009 à 21:10
Voila le resultat de l'analyse du fichier explorer.exe sur https://www.virustotal.com/gui/ et le rapport de " Diaghelp" qui a été uploadé à www.malekal.com mais comment je peux avoir le resultat de l'analyse de ce site afideg

Virustotal

Fichier EXPLORER.EXE reçu le 2009.02.13 20:31:26 (CET)
Antivirus Version Dernière mise à jour Résultat
a-squared 4.0.0.93 2009.02.13 Trojan.Win32.Patched!IK
AhnLab-V3 2009.2.14.0 2009.02.13 -
AntiVir 7.9.0.79 2009.02.13 -
Authentium 5.1.0.4 2009.02.13 -
Avast 4.8.1335.0 2009.02.13 -
AVG 8.0.0.237 2009.02.13 -
BitDefender 7.2 2009.02.13 -
CAT-QuickHeal 10.00 2009.02.13 -
ClamAV 0.94.1 2009.02.13 -
Comodo 974 2009.02.13 -
DrWeb 4.44.0.09170 2009.02.13 -
eSafe 7.0.17.0 2009.02.12 -
eTrust-Vet 31.6.6356 2009.02.13 -
F-Prot 4.4.4.56 2009.02.13 W32/Patched.E.gen!Eldorado
F-Secure 8.0.14470.0 2009.02.13 -
Fortinet 3.117.0.0 2009.02.13 -
GData 19 2009.02.13 -
Ikarus T3.1.1.45.0 2009.02.13 Trojan.Win32.Patched
K7AntiVirus 7.10.582 2009.01.09 -
Kaspersky 7.0.0.125 2009.02.13 -
McAfee 5525 2009.02.13 -
McAfee+Artemis 5524 2009.02.12 -
Microsoft 1.4306 2009.02.13 -
NOD32 3852 2009.02.13 -
Norman 6.00.02 2009.02.13 -
nProtect 2009.1.8.0 2009.02.13 -
Panda 9.4.3.20 2009.02.13 -
PCTools 4.4.2.0 2009.02.13 -
Prevx1 V2 2009.02.13 -
Rising 21.16.42.00 2009.02.13 -
SecureWeb-Gateway 6.7.6 2009.02.13 -
Sophos 4.38.0 2009.02.13 -
Sunbelt 3.2.1851.2 2009.02.12 -
Symantec 10 2009.02.13 -
TheHacker 6.3.2.0.255 2009.02.13 -
TrendMicro 8.700.0.1004 2009.02.13 PE_VIRUX.A-6
VBA32 3.12.8.12 2009.02.13 -
ViRobot 2009.2.13.1605 2009.02.13 -
VirusBuster 4.5.11.0 2009.02.13 -
Information additionnelle
File size: 1037824 bytes
MD5...: 34d64cb8a5bcd3f5262d0cf9b14fed0e
SHA1..: 3d2312cb5d2aa6133b35140826462acbc3586b6a
SHA256: e26ee9bca430b4b986a401a149fca20c5d53f187c13dfa6b0f6df9617b0f41bc
SHA512: 539ca6dd0930463dec9a68020ed805452ed0ea46223ebd4d32b43bd5938b341c<br>43442e8afa5592112dbeb92987053641211dc3be416d708420b98125e0fd0157
ssdeep: 12288:6HmcoCUyZtwAvAs4wTCyrPTklvGVa/oXqoJpaz/g/J/v1S:4mfty/wAvN7<br>lrglvGEoXJaz/g/J/t<br>
PEiD..: -
TrID..: File type identification<br>Generic Win/DOS Executable (49.9%)<br>DOS Executable Generic (49.8%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0


DiagHelp


DiagHelp version v1.4 - http://www.malekal.com
excute le 13/02/2009 à 20:50:27.39

System information for \\SERVEUR:
Uptime: Error reading uptime
Kernel version: Microsoft Windows XP, Multiprocessor Free
Product type: Professional
Product version: 5.1
Service pack: 3
Kernel build number: 2600
Registered organization:
Registered owner: SERVEUR
Install date: 09/02/2009, 16:30:28
Activation status: Error reading status
IE version: 7.0000
System root: C:\WINDOWS
Processors: 2
Processor speed: 1.6 GHz
Processor type: Genuine Intel(R) CPU 2140 @
Physical memory: 1528 MB
Video driver: Intel(R) 82945G Express Chipset Family
Volume Type Format Label Size Free Free
A: Removable 0.0%
C: Fixed NTFS 40.00 GB 33.16 GB 82.9%
D: Fixed NTFS 113.37 GB 36.86 GB 32.5%
E: Removable 0.0%
F: Removable 0.0%
G: Removable 0.0%
H: Removable 0.0%
I: CD-ROM 0.0%
J: Removable FAT32 FADHEL 977.04 MB 942.86 MB 96.5%


C:\WINDOWS\prefetch\PSINFO.EXE-0434007C.pf -->13/02/2009 20:50:37
C:\WINDOWS\prefetch\CMD.EXE-087B4001.pf -->13/02/2009 20:50:27
C:\WINDOWS\prefetch\CHCP.COM-18156052.pf -->13/02/2009 20:50:24
C:\WINDOWS\prefetch\WINRAR.EXE-39C6DAD9.pf -->13/02/2009 20:50:00
C:\WINDOWS\prefetch\VERCLSID.EXE-3667BD89.pf -->13/02/2009 20:48:57
C:\WINDOWS\prefetch\JQSNOTIFY.EXE-24AE4A36.pf -->13/02/2009 20:42:03
C:\WINDOWS\prefetch\NOTEPAD.EXE-336351A9.pf -->13/02/2009 20:40:48
C:\WINDOWS\prefetch\IMAPI.EXE-0BF740A4.pf -->13/02/2009 20:24:23
C:\WINDOWS\prefetch\RUNDLL32.EXE-451FC2C0.pf -->13/02/2009 20:24:13
C:\WINDOWS\prefetch\WMPLAYER.EXE-18DDEF9C.pf -->13/02/2009 20:22:22

C:\WINDOWS\System32\drivers\fidbox.dat -->13/02/2009 19:48:17
C:\WINDOWS\System32\drivers\fidbox.idx -->13/02/2009 18:43:50
C:\WINDOWS\System32\drivers\mbamswissarmy.sys -->11/02/2009 10:19:42
C:\WINDOWS\System32\drivers\mbam.sys -->11/02/2009 10:19:34
C:\WINDOWS\System32\drivers\ndisio.sys -->09/02/2009 20:46:45
C:\WINDOWS\System32\drivers\kcxrjmoq.sys -->09/02/2009 19:24:07
C:\WINDOWS\System32\drivers\srv.sys -->11/12/2008 11:57:09

C:\WINDOWS\System32\PerfStringBackup.INI -->13/02/2009 11:46:19
C:\WINDOWS\System32\perfh00C.dat -->13/02/2009 11:46:19
C:\WINDOWS\System32\perfh009.dat -->13/02/2009 11:46:19
C:\WINDOWS\System32\perfc00C.dat -->13/02/2009 11:46:19
C:\WINDOWS\System32\perfc009.dat -->13/02/2009 11:46:19
C:\WINDOWS\System32\FNTCACHE.DAT -->12/02/2009 20:01:34
C:\WINDOWS\System32\TZLog.log -->12/02/2009 20:00:17
C:\WINDOWS\System32\wscript.exe -->12/02/2009 13:33:40
C:\WINDOWS\System32\cscript.exe -->12/02/2009 13:33:40
C:\WINDOWS\System32\tzchange.exe -->12/02/2009 13:33:39
C:\WINDOWS\System32\javaws.exe -->12/02/2009 10:21:13
C:\WINDOWS\System32\javaw.exe -->12/02/2009 10:21:13
C:\WINDOWS\System32\javacpl.cpl -->12/02/2009 10:21:13
C:\WINDOWS\System32\java.exe -->12/02/2009 10:21:13
C:\WINDOWS\System32\deploytk.dll -->12/02/2009 10:21:13
C:\WINDOWS\System32\356.tmp -->10/02/2009 11:12:43
C:\WINDOWS\System32\96.tmp -->10/02/2009 11:01:10
C:\WINDOWS\System32\45.tmp -->10/02/2009 10:10:16
C:\WINDOWS\System32\3C.tmp -->10/02/2009 10:10:14
C:\WINDOWS\System32\31.tmp -->10/02/2009 10:09:03
C:\WINDOWS\System32\D2.tmp -->10/02/2009 09:32:44
C:\WINDOWS\System32\30.tmp -->10/02/2009 09:05:46
C:\WINDOWS\System32\AE.tmp -->10/02/2009 08:01:21
C:\WINDOWS\System32\A2.tmp -->10/02/2009 06:59:46
C:\WINDOWS\System32\9F.tmp -->10/02/2009 06:41:29

C:\WINDOWS\NeroDigital.ini -->13/02/2009 20:22:22
C:\WINDOWS\WindowsUpdate.log -->13/02/2009 20:08:52
C:\WINDOWS\0.log -->13/02/2009 20:07:51
C:\WINDOWS\wiadebug.log -->13/02/2009 20:07:50
C:\WINDOWS\wiaservc.log -->13/02/2009 20:07:49
C:\WINDOWS\bootstat.dat -->13/02/2009 20:07:35
C:\WINDOWS\setupapi.log -->13/02/2009 18:43:25
C:\WINDOWS\SchedLgU.Txt -->13/02/2009 18:41:17
C:\WINDOWS\resetlog.txt -->13/02/2009 18:40:59
C:\WINDOWS\nsw.log -->13/02/2009 18:10:40
C:\WINDOWS\tsoc.log -->13/02/2009 17:33:42
C:\WINDOWS\tabletoc.log -->13/02/2009 17:33:42
C:\WINDOWS\ocmsn.log -->13/02/2009 17:33:42
C:\WINDOWS\ocgen.log -->13/02/2009 17:33:42
C:\WINDOWS\ntdtcsetup.log -->13/02/2009 17:33:42


Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 5031-3FFD

Répertoire de C:\WINDOWS

13/02/2009 17:33 <REP> $hf_mig$
12/02/2009 09:15 <REP> $NtUninstallKB898461$
12/02/2009 19:59 <REP> $NtUninstallKB929399$
12/02/2009 19:58 <REP> $NtUninstallKB938464$
12/02/2009 19:59 <REP> $NtUninstallKB941569$
12/02/2009 20:00 <REP> $NtUninstallKB946648$
12/02/2009 19:58 <REP> $NtUninstallKB950760$
12/02/2009 19:59 <REP> $NtUninstallKB950762$
12/02/2009 20:00 <REP> $NtUninstallKB950974$
12/02/2009 19:58 <REP> $NtUninstallKB951066$
12/02/2009 20:00 <REP> $NtUninstallKB951376-v2$
12/02/2009 20:00 <REP> $NtUninstallKB951698$
12/02/2009 19:58 <REP> $NtUninstallKB951748$
12/02/2009 20:00 <REP> $NtUninstallKB951978$
12/02/2009 19:58 <REP> $NtUninstallKB952069_WM9$
12/02/2009 19:59 <REP> $NtUninstallKB952287$
12/02/2009 20:00 <REP> $NtUninstallKB952954$
12/02/2009 19:58 <REP> $NtUninstallKB954154_WM11$
12/02/2009 19:59 <REP> $NtUninstallKB954211$
12/02/2009 19:58 <REP> $NtUninstallKB954459$
12/02/2009 19:58 <REP> $NtUninstallKB954600$
12/02/2009 19:58 <REP> $NtUninstallKB955069$
12/02/2009 20:00 <REP> $NtUninstallKB955839$
12/02/2009 19:58 <REP> $NtUninstallKB956802$
12/02/2009 20:00 <REP> $NtUninstallKB956803$
12/02/2009 19:59 <REP> $NtUninstallKB956841$
12/02/2009 19:59 <REP> $NtUninstallKB957097$
12/02/2009 19:58 <REP> $NtUninstallKB958644$
12/02/2009 19:59 <REP> $NtUninstallKB958687$
12/02/2009 19:59 <REP> $NtUninstallKB960715$
12/02/2009 12:23 <REP> CSC
13/02/2009 18:43 <REP> inf
12/02/2009 10:21 <REP> Installer
28/08/2001 13:00 49,102 winnt.bmp
28/08/2001 13:00 49,102 winnt256.bmp
3 fichier(s) 98,953 octets
33 Rép(s) 35,599,929,344 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 5031-3FFD

Répertoire de C:\WINDOWS\system32

13/02/2009 17:33 <REP> dllcache
09/02/2009 20:46 66,560 secupdat.dat
8 fichier(s) 71,281 octets
1 Rép(s) 35,599,921,152 octets libres
winlogon.exe
Verified: Signed
svchost.exe
Verified: Signed
ws2_32.dll
Verified: Signed
user32.dll
Verified: Signed
tcpip.sys
Verified: Signed
ndis.sys
Verified: Signed
null.sys
Verified: Signed
userinit.exe
kernel32.dll


ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
EXPLORER.EXE pid: 1236
Command line: C:\WINDOWS\Explorer.EXE

Base Size Version Path
0x77be0000 0x58000 7.00.2600.5512 C:\WINDOWS\system32\msvcrt.dll
0x779e0000 0x97000 5.131.2600.5512 C:\WINDOWS\system32\CRYPT32.dll
0x76610000 0x84000 5.131.2600.5512 C:\WINDOWS\system32\CRYPTUI.dll
0x44080000 0xd0000 7.00.6000.16791 C:\WINDOWS\system32\WININET.dll
0x00400000 0x9000 6.00.5441.0000 C:\WINDOWS\system32\Normaliz.dll
0x43e00000 0x45000 7.00.6000.16791 C:\WINDOWS\system32\iertutil.dll
0x76be0000 0x2e000 5.131.2600.5512 C:\WINDOWS\system32\WINTRUST.dll
0x753c0000 0x6b000 1.420.2600.5512 C:\WINDOWS\system32\USP10.dll
0x58b50000 0x9a000 5.82.2900.5512 C:\WINDOWS\system32\comctl32.dll
0x76f80000 0x7f000 2001.12.4414.0700 C:\WINDOWS\system32\CLBCATQ.DLL
0x77000000 0xd4000 2001.12.4414.0700 C:\WINDOWS\system32\COMRes.dll
0x76ac0000 0x11000 3.05.2284.0001 C:\WINDOWS\system32\ATL.DLL
0x44360000 0x5cd000 7.00.6000.16791 C:\WINDOWS\system32\ieframe.dll
0x7d200000 0x2bc000 3.01.4001.5512 C:\WINDOWS\system32\msi.dll
0x76010000 0x65000 6.02.3104.0000 C:\WINDOWS\system32\MSVCP60.dll
0x44160000 0x127000 7.00.6000.16791 C:\WINDOWS\system32\urlmon.dll
0x442b0000 0x3c000 7.00.6000.16791 C:\WINDOWS\system32\webcheck.dll
0x164a0000 0x23000 5.02.5721.5145 C:\WINDOWS\system32\wpdshserviceobj.dll
0x109c0000 0x2c000 5.02.5721.5145 C:\WINDOWS\system32\portabledevicetypes.dll
0x10930000 0x49000 5.02.5721.5145 C:\WINDOWS\system32\portabledeviceapi.dll
0x10000000 0x7000 5.15.0004.0000 C:\Program Files\Internet Download Manager\idmmkb.dll
0x02ec0000 0x5b000 8.01.0000.0000 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.dll
0x78130000 0x9b000 8.00.50727.0762 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\MSVCR80.dll
0x02f20000 0x4c000 8.00.0000.0000 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.FRA
0x14070000 0x1b000 11.00.5721.5145 C:\WINDOWS\system32\wmpshell.dll
0x00f40000 0x2b000 C:\Program Files\WinRAR\rarext.dll
0x00d80000 0x12000 1.01.0000.0000 C:\Program Files\Malwarebytes' Anti-Malware\mbamext.dll
0x358f0000 0xc000 8.00.0000.0357 D:\Mes Documents\Downloads\Compressed\1227KASPAV2009PO_www.softarchive.net\1227KASPAV2009PO_www.softarchive.net\Setup\Portable KAV\ShellEx.dll
0x7c420000 0x87000 8.00.50727.0762 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\MSVCP80.dll
0x22000000 0x2e000 3.00.0669.0000 C:\Program Files\ESET\ESET Smart Security\shellExt.dll
0x02b90000 0x26000 5.15.0006.0000 C:\Program Files\Internet Download Manager\IDMIECC.dll
0x00960000 0x10000 8.00.0000.0456 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
0x6bd10000 0x10000 12.00.4518.1014 C:\Program Files\Microsoft Office\Office12\msohevi.dll
0x74bf0000 0x2c000 4.02.5406.0000 C:\WINDOWS\system32\Oleacc.dll

ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
winlogon.exe pid: 448
Command line: winlogon.exe

Base Size Version Path
0x01000000 0x82000 \??\C:\WINDOWS\system32\winlogon.exe
0x77be0000 0x58000 7.00.2600.5512 C:\WINDOWS\system32\msvcrt.dll
0x779e0000 0x97000 5.131.2600.5512 C:\WINDOWS\system32\CRYPT32.dll
0x76be0000 0x2e000 5.131.2600.5512 C:\WINDOWS\system32\WINTRUST.dll
0x753c0000 0x6b000 1.420.2600.5512 C:\WINDOWS\system32\USP10.dll
0x58b50000 0x9a000 5.82.2900.5512 C:\WINDOWS\system32\COMCTL32.dll
0x74730000 0x3d000 3.525.1132.0000 C:\WINDOWS\system32\ODBC32.dll
0x1f840000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
0x77000000 0xd4000 2001.12.4414.0700 C:\WINDOWS\system32\COMRes.dll
0x76f80000 0x7f000 2001.12.4414.0700 C:\WINDOWS\system32\CLBCATQ.DLL


Contenu de Downloaded Program Files
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 5031-3FFD

Répertoire de C:\WINDOWS\Downloaded Program Files

13/02/2009 15:39 <REP> .
13/02/2009 15:39 <REP> ..
30/06/2008 10:39 128,256 as2stubie.dll
27/06/2008 16:47 289 as2stubie.inf
07/12/2004 17:07 32 bdcore.dll
25/05/2006 01:21 118,784 bdupd.dll
09/02/2009 16:26 65 desktop.ini
25/05/2006 01:21 53,248 ipsupd.dll
16/03/2005 12:34 7,407 lang.ini
07/12/2004 17:07 32 libfn.dll
13/02/2008 17:55 130 live.ini
29/10/2007 16:45 1,244 oscan8.inf
25/10/2007 16:54 471,040 oscan8.ocx
14/03/2005 14:58 7,073 scanoptions.tsi
12 fichier(s) 787,600 octets

Total des fichiers listés :
12 fichier(s) 787,600 octets
2 Rép(s) 35,599,831,040 octets libres

Recherche de rootkit! (Merci S!Ri)

Recherche d'infections connues

Export des clefs sensibles..


Liste des fichiers en exception sur le pare-feu XP SP2

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Program Files\\Caffe\\Server.exe"="C:\\Program Files\\Caffe\\Server.exe:*:Enabled:Internet Caffe Server"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

Export de la clef SharedTaskScheduler

[SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"



exports des policies
REGEDIT4

[system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
"DisableRegistryTools"=dword:00000000



Export des clefs sensibles..
Rechercher adresses sensibles dans le fichier HOSTS...
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-13 20:54:16
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden services: 0
hidden files: 0


Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Process list by traversal of KiWaitListHead

4 - System
424 - csrss.exe
448 - winlogon.exe
492 - services.exe
504 - lsass.exe
664 - svchost.exe
712 - svchost.exe
752 - svchost.exe
848 - svchost.exe
1220 - CMD.EXE
1236 - EXPLORER.EXE
1388 - egui.exe
1396 - FIXCAMERA.EXE
1404 - TSNPSTD3.EXE
1420 - IDMan.exe
1436 - ctfmon.exe
1800 - ekrn.exe
1828 - jqs.exe
1876 - mdm.exe
1964 - svchost.exe
2132 - alg.exe
2332 - IEMonitor.exe
2372 - wmiapsrv.exe
2572 - svchost.exe

Total number of processes = 24
NOTE: Under WinXP, this will not show all processes.

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Driver/Module list by traversal of PsLoadedModuleList

804D7000 - \WINDOWS\system32\ntkrnlpa.exe
806E4000 - \WINDOWS\system32\hal.dll
BA5A8000 - \WINDOWS\system32\KDCOM.DLL
BA4B8000 - \WINDOWS\system32\BOOTVID.dll
B9F78000 - ACPI.sys
BA5AA000 - \WINDOWS\system32\DRIVERS\WMILIB.SYS
B9F67000 - pci.sys
BA0A8000 - isapnp.sys
BA670000 - pciide.sys
BA328000 - \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
BA0B8000 - MountMgr.sys
B9F48000 - ftdisk.sys
BA5AC000 - dmload.sys
B9F22000 - dmio.sys
BA330000 - PartMgr.sys
BA338000 - pavboot.sys
BA0C8000 - VolSnap.sys
B9F0A000 - atapi.sys
BA0D8000 - disk.sys
BA0E8000 - \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
BA0F8000 - kcxrjmoq.sys
B9EEA000 - fltMgr.sys
B9ED8000 - sr.sys
B9EC1000 - KSecDD.sys
B9E34000 - Ntfs.sys
B9E07000 - NDIS.sys
B9DED000 - Mup.sys
BA1D8000 - \SystemRoot\system32\DRIVERS\intelppm.sys
B9C84000 - \SystemRoot\system32\DRIVERS\igxpmp32.sys
B9C70000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
B9C48000 - \SystemRoot\system32\DRIVERS\HDAudBus.sys
BA3B0000 - \SystemRoot\system32\DRIVERS\usbuhci.sys
B9C24000 - \SystemRoot\system32\DRIVERS\USBPORT.SYS
BA3B8000 - \SystemRoot\system32\DRIVERS\usbehci.sys
BA3C0000 - \SystemRoot\system32\DRIVERS\RTL8139.SYS
BA3C8000 - \SystemRoot\system32\DRIVERS\fdc.sys
B9C13000 - \SystemRoot\system32\DRIVERS\serial.sys
BA558000 - \SystemRoot\system32\DRIVERS\serenum.sys
B9BFF000 - \SystemRoot\system32\DRIVERS\parport.sys
BA1E8000 - \SystemRoot\system32\DRIVERS\imapi.sys
BA1F8000 - \SystemRoot\system32\DRIVERS\cdrom.sys
BA208000 - \SystemRoot\system32\DRIVERS\redbook.sys
B9BDC000 - \SystemRoot\system32\DRIVERS\ks.sys
BA218000 - \SystemRoot\system32\DRIVERS\Epfwndis.sys
BA7A6000 - \SystemRoot\system32\DRIVERS\audstub.sys
BA228000 - \SystemRoot\system32\DRIVERS\rasl2tp.sys
BA564000 - \SystemRoot\system32\DRIVERS\ndistapi.sys
B9BC5000 - \SystemRoot\system32\DRIVERS\ndiswan.sys
BA238000 - \SystemRoot\system32\DRIVERS\raspppoe.sys
BA248000 - \SystemRoot\system32\DRIVERS\raspptp.sys
BA3D0000 - \SystemRoot\system32\DRIVERS\TDI.SYS
B9B64000 - \SystemRoot\system32\DRIVERS\psched.sys
BA258000 - \SystemRoot\system32\DRIVERS\msgpc.sys
BA3D8000 - \SystemRoot\system32\DRIVERS\ptilink.sys
BA3E0000 - \SystemRoot\system32\DRIVERS\raspti.sys
B9B0C000 - \SystemRoot\system32\DRIVERS\rdpdr.sys
BA288000 - \SystemRoot\system32\DRIVERS\termdd.sys
BA3E8000 - \SystemRoot\system32\DRIVERS\kbdclass.sys
BA3F0000 - \SystemRoot\system32\DRIVERS\mouclass.sys
BA5B2000 - \SystemRoot\system32\DRIVERS\swenum.sys
B9AAE000 - \SystemRoot\system32\DRIVERS\update.sys
BA584000 - \SystemRoot\system32\DRIVERS\mssmbios.sys
BA2A8000 - \SystemRoot\System32\Drivers\NDProxy.SYS
A906E000 - \SystemRoot\system32\drivers\RtkHDAud.sys
A904A000 - \SystemRoot\system32\drivers\portcls.sys
BA2B8000 - \SystemRoot\system32\drivers\drmk.sys
BA2C8000 - \SystemRoot\system32\DRIVERS\usbhub.sys
BA5BC000 - \SystemRoot\system32\DRIVERS\USBD.SYS
BA400000 - \SystemRoot\system32\DRIVERS\flpydisk.sys
A8287000 - \SystemRoot\system32\DRIVERS\78457538.sys
BA5CA000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS
BA697000 - \SystemRoot\System32\Drivers\Null.SYS
BA5CC000 - \SystemRoot\System32\Drivers\Beep.SYS
BA420000 - \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
BA428000 - \SystemRoot\System32\drivers\vga.sys
BA5CE000 - \SystemRoot\System32\Drivers\mnmdd.SYS
BA5D0000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys
BA430000 - \SystemRoot\System32\Drivers\Msfs.SYS
BA438000 - \SystemRoot\System32\Drivers\Npfs.SYS
B9B3C000 - \SystemRoot\system32\DRIVERS\rasacd.sys
A8254000 - \SystemRoot\system32\DRIVERS\ipsec.sys
A81FB000 - \SystemRoot\system32\DRIVERS\tcpip.sys
A81E9000 - \SystemRoot\system32\DRIVERS\epfwtdi.sys
A81C3000 - \SystemRoot\system32\DRIVERS\ipnat.sys
A819B000 - \SystemRoot\system32\DRIVERS\netbt.sys
BA308000 - \SystemRoot\system32\DRIVERS\wanarp.sys
A8151000 - \SystemRoot\System32\drivers\afd.sys
BA318000 - \SystemRoot\system32\DRIVERS\netbios.sys
A8126000 - \SystemRoot\system32\DRIVERS\rdbss.sys
A80B6000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys
BA128000 - \SystemRoot\System32\Drivers\Fips.SYS
BA148000 - \SystemRoot\system32\DRIVERS\easdrv.sys
A8F96000 - \??\C:\WINDOWS\system32\drivers\BIOS.sys
BA440000 - \SystemRoot\system32\DRIVERS\usbccgp.sys
A76D1000 - \SystemRoot\system32\DRIVERS\snpstd3.sys
BA168000 - \SystemRoot\system32\DRIVERS\STREAM.SYS
BA188000 - \SystemRoot\System32\Drivers\Cdfs.SYS
A82C7000 - \SystemRoot\system32\DRIVERS\hidusb.sys
BA198000 - \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
BA460000 - \SystemRoot\system32\DRIVERS\USBSTOR.SYS
A82B3000 - \SystemRoot\system32\DRIVERS\mouhid.sys
B9B60000 - \SystemRoot\system32\DRIVERS\kbdhid.sys
A7691000 - \SystemRoot\System32\Drivers\dump_atapi.sys
BA5F2000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS
BF800000 - \SystemRoot\System32\win32k.sys
B9B40000 - \SystemRoot\System32\drivers\Dxapi.sys
BA478000 - \SystemRoot\System32\watchdog.sys
BF000000 - \SystemRoot\System32\drivers\dxg.sys
BA79A000 - \SystemRoot\System32\drivers\dxgthk.sys
BF024000 - \SystemRoot\System32\igxpgd32.dll
BF012000 - \SystemRoot\System32\igxprd32.dll
BF04D000 - \SystemRoot\System32\igxpdv32.DLL
BF1AE000 - \SystemRoot\System32\igxpdx32.DLL
A753D000 - \SystemRoot\system32\DRIVERS\epfw.sys
A757D000 - \SystemRoot\system32\DRIVERS\ndisuio.sys
A7258000 - \SystemRoot\system32\drivers\wdmaud.sys
A8FAA000 - \SystemRoot\system32\drivers\sysaudio.sys
A71BE000 - \SystemRoot\System32\Drivers\Fastfat.SYS
A6E97000 - \SystemRoot\system32\DRIVERS\mrxdav.sys
BA61C000 - \SystemRoot\System32\Drivers\ParVdm.SYS
A6E22000 - \SystemRoot\system32\DRIVERS\eamon.sys
A6CE6000 - \SystemRoot\system32\DRIVERS\srv.sys
A68E5000 - \SystemRoot\System32\Drivers\HTTP.sys
A65C2000 - \SystemRoot\system32\drivers\kmixer.sys
BA630000 - \??\C:\DOCUME~1\CYBERM~1\LOCALS~1\Temp\mbr.sys
BA6C7000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

Total number of drivers = 126

Liste des programmes installes

168-USB PC Camera
Adobe Flash Player 10 Plugin
Adobe Reader 8.1.0 - Français
CCleaner (remove only)
Correctif pour Windows Internet Explorer 7 (KB947864)
Correctif pour Windows XP (KB952287)
ESET Smart Security
HijackThis 2.0.2
Hotfix for Windows Media Format 11 SDK (KB929399)
Hotfix for Windows Media Player 11 (KB944110)
Hotfix for Windows Media Player 11 (KB944882)
Hotfix for Windows Media Player 11 (KB946665)
Hotfix for Windows XP (KB915865)
HP USB Disk Storage Format Tool
Intel(R) Graphics Media Accelerator Driver
Internet Download Manager
Java(TM) 6 Update 12
K-Lite Codec Pack 4.1.0 (Full)
Malwarebytes' Anti-Malware
Messenger Plus! Live & Sponsor (CiD)
Microsoft Office Access MUI (French) 2007
Microsoft Office Excel MUI (French) 2007
Microsoft Office InfoPath MUI (French) 2007
Microsoft Office Outlook MUI (French) 2007
Microsoft Office PowerPoint MUI (French) 2007
Microsoft Office Professional Plus 2007
Microsoft Office Professional Plus 2007
Microsoft Office Proof (Arabic) 2007
Microsoft Office Proof (Dutch) 2007
Microsoft Office Proof (English) 2007
Microsoft Office Proof (French) 2007
Microsoft Office Proof (German) 2007
Microsoft Office Proof (Spanish) 2007
Microsoft Office Proofing (French) 2007
Microsoft Office Publisher MUI (French) 2007
Microsoft Office Shared MUI (French) 2007
Microsoft Office Word MUI (French) 2007
Microsoft Software Update for Web Folders (French) 12
Microsoft Visual C++ 2005 Redistributable
Mise à jour de sécurité pour Lecteur Windows Media (KB952069)
Mise à jour de sécurité pour Lecteur Windows Media 11 (KB954154)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB938127-v2)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB961260)
Mise à jour de sécurité pour Windows XP (KB923789)
Mise à jour de sécurité pour Windows XP (KB938464)
Mise à jour de sécurité pour Windows XP (KB941569)
Mise à jour de sécurité pour Windows XP (KB946648)
Mise à jour de sécurité pour Windows XP (KB950760)
Mise à jour de sécurité pour Windows XP (KB950762)
Mise à jour de sécurité pour Windows XP (KB950974)
Mise à jour de sécurité pour Windows XP (KB951066)
Mise à jour de sécurité pour Windows XP (KB951376-v2)
Mise à jour de sécurité pour Windows XP (KB951698)
Mise à jour de sécurité pour Windows XP (KB951748)
Mise à jour de sécurité pour Windows XP (KB952954)
Mise à jour de sécurité pour Windows XP (KB954211)
Mise à jour de sécurité pour Windows XP (KB954459)
Mise à jour de sécurité pour Windows XP (KB954600)
Mise à jour de sécurité pour Windows XP (KB955069)
Mise à jour de sécurité pour Windows XP (KB956802)
Mise à jour de sécurité pour Windows XP (KB956803)
Mise à jour de sécurité pour Windows XP (KB956841)
Mise à jour de sécurité pour Windows XP (KB957097)
Mise à jour de sécurité pour Windows XP (KB958644)
Mise à jour de sécurité pour Windows XP (KB958687)
Mise à jour de sécurité pour Windows XP (KB960715)
Mise à jour pour Windows XP (KB898461)
Mise à jour pour Windows XP (KB951978)
Mise à jour pour Windows XP (KB955839)
Mozilla Firefox (3.0.6)
Nero 7 Premium
Panda ActiveScan 2.0
Radmin Viewer 3.2
Realtek High Definition Audio Driver
Spybot - Search & Destroy
WebFldrs XP
Windows Live Messenger
Windows Media Player Firefox Plugin
WinRAR archiver
Yahoo! Messenger



Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 5031-3FFD

Répertoire de C:\Program Files

13/02/2009 15:56 <REP> .
13/02/2009 15:56 <REP> ..
11/02/2009 16:37 <REP> Adobe
09/02/2009 21:58 <REP> AVG
13/02/2009 15:13 <REP> Caffe
12/02/2009 12:03 <REP> CCleaner
12/02/2009 09:18 <REP> Circle Developement
09/02/2009 16:24 <REP> ComPlus Applications
10/02/2009 03:08 <REP> ESET
13/02/2009 17:25 <REP> Fichiers communs
09/02/2009 18:57 <REP> Intel
13/02/2009 17:18 <REP> Internet Download Manager
13/02/2009 17:33 <REP> Internet Explorer
12/02/2009 10:21 <REP> Java
10/02/2009 14:21 <REP> K-Lite Codec Pack
13/02/2009 15:56 <REP> Malwarebytes' Anti-Malware
12/02/2009 20:00 <REP> Messenger
10/02/2009 15:15 <REP> Messenger Plus! Live
09/02/2009 16:28 <REP> microsoft frontpage
10/02/2009 11:31 <REP> Microsoft Office
10/02/2009 11:31 <REP> Microsoft Visual Studio
10/02/2009 11:31 <REP> Microsoft Works
11/02/2009 21:01 <REP> Movie Maker
13/02/2009 20:19 <REP> Mozilla Firefox
10/02/2009 11:31 <REP> MSBuild
09/02/2009 16:23 <REP> MSN
09/02/2009 16:24 <REP> MSN Gaming Zone
10/02/2009 12:38 <REP> Nero
12/02/2009 09:19 <REP> NetMeeting
09/02/2009 16:24 <REP> Online Services
11/02/2009 21:02 <REP> Outlook Express
13/02/2009 15:42 <REP> Panda Security
09/02/2009 19:17 <REP> Radmin Viewer 3
09/02/2009 19:03 <REP> Realtek
09/02/2009 16:26 <REP> Services en ligne
11/02/2009 21:02 <REP> Spybot - Search & Destroy
10/02/2009 09:31 <REP> Trend Micro
10/02/2009 13:02 <REP> Trojan Remover
09/02/2009 19:08 <REP> Windows Live
11/02/2009 21:02 <REP> Windows Media Connect 2
11/02/2009 21:02 <REP> Windows Media Player
11/02/2009 21:02 <REP> Windows NT
12/02/2009 09:20 <REP> WinRAR
09/02/2009 16:28 <REP> xerox
11/02/2009 17:21 <REP> Yahoo!
0 fichier(s) 0 octets
45 Rép(s) 35,599,065,088 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 5031-3FFD

Répertoire de C:\Program Files\fichiers communs

13/02/2009 17:25 <REP> .
13/02/2009 17:25 <REP> ..
11/02/2009 16:37 <REP> Adobe
10/02/2009 12:40 <REP> Ahead
10/02/2009 11:31 <REP> DESIGNER
09/02/2009 19:57 <REP> InstallShield
10/02/2009 11:31 <REP> Microsoft Shared
09/02/2009 16:26 <REP> MSSoap
09/02/2009 16:57 <REP> ODBC
09/02/2009 16:26 <REP> Services
11/02/2009 21:00 <REP> snpstd3
09/02/2009 16:57 <REP> SpeechEngines
10/02/2009 11:28 <REP> System
0 fichier(s) 0 octets
13 Rép(s) 35,599,060,992 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 5031-3FFD

Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

10/02/2009 11:31 <REP> .
10/02/2009 11:31 <REP> ..
10/02/2009 11:29 <REP> 1036
26/10/2006 19:49 970,528 MSONSEXT.DLL
26/10/2006 20:12 40,256 MSOSV.DLL
03/06/1999 12:09 122,937 MSOWS409.DLL
07/03/2001 07:00 127,033 MSOWS40c.DLL
4 fichier(s) 1,260,754 octets
3 Rép(s) 35,599,060,992 octets libres




c:\Documents and Settings\All Users\Application Data\Yahoo!\YUpdater\yupdater.exe
c:\Documents and Settings\Cybermedi@\Bureau\ComboFix.exe
c:\Documents and Settings\Cybermedi@\Bureau\jre-6u12-windows-i586-p-iftw.exe
c:\Documents and Settings\Cybermedi@\Bureau\DiagHelp\catchme.exe
c:\Documents and Settings\Cybermedi@\Bureau\DiagHelp\diff.exe
c:\Documents and Settings\Cybermedi@\Bureau\DiagHelp\dumphive.exe
c:\Documents and Settings\Cybermedi@\Bureau\DiagHelp\FilesInfoCmd.exe
c:\Documents and Settings\Cybermedi@\Bureau\DiagHelp\find2.exe
c:\Documents and Settings\Cybermedi@\Bureau\DiagHelp\Fport.exe
c:\Documents and Settings\Cybermedi@\Bureau\DiagHelp\grep.exe
c:\Documents and Settings\Cybermedi@\Bureau\DiagHelp\gzip.exe
c:\Documents and Settings\Cybermedi@\Bureau\DiagHelp\KProcCheck.exe
c:\Documents and Settings\Cybermedi@\Bureau\DiagHelp\LFiles.exe
c:\Documents and Settings\Cybermedi@\Bureau\DiagHelp\LISTDLLS.exe
c:\Documents and Settings\Cybermedi@\Bureau\DiagHelp\mbr.exe
c:\Documents and Settings\Cybermedi@\Bureau\DiagHelp\md5sums.exe
c:\Documents and Settings\Cybermedi@\Bureau\DiagHelp\Psinfo.exe
c:\Documents and Settings\Cybermedi@\Bureau\DiagHelp\pslist.exe
c:\Documents and Settings\Cybermedi@\Bureau\DiagHelp\sigcheck.exe
c:\Documents and Settings\Cybermedi@\Bureau\DiagHelp\streams.exe
c:\Documents and Settings\Cybermedi@\Bureau\DiagHelp\swreg.exe
c:\Documents and Settings\Cybermedi@\Bureau\DiagHelp\tar.exe
c:\Documents and Settings\Administrateur\Application Data\IDM\idmmzcc2\components\idmmzcc.dll
c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll
c:\Documents and Settings\Cybermedi@\Application Data\IDM\idmmzcc2\components\idmmzcc.dll
c:\Documents and Settings\Cybermedi@\Application Data\Microsoft\IdentityCRL\Production\ppcrlconfig.dll
c:\Documents and Settings\Cybermedi@\Application Data\Mozilla\Firefox\Profiles\7jnfpkmt.default\extensions\{9f346c08-12d0-48b3-ada5-ed30bbc7d881}\components\FFAlert.dll
c:\Documents and Settings\Cybermedi@\Application Data\Mozilla\Firefox\Profiles\7jnfpkmt.default\extensions\{9f346c08-12d0-48b3-ada5-ed30bbc7d881}\components\npmozax.dll
c:\Documents and Settings\Cybermedi@\Application Data\Sun\Java\jre1.6.0_12\lzma.dll
c:\Documents and Settings\LocalService\Application Data\Microsoft\UPnP Device Host\upnphost\udhisapi.dll

****** Fin du rapport DiagHelp
Veuillez svp envoyer le fichier C:\upload_moi_SERVEUR.tar.gz a l'adresse http://upload.malekal.com
0
Réponse 11 / 37
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
13 févr. 2009 à 21:15
Re,

Quelqu'un sait-il c'est quoi ce truc C:\WINDOWS\System32\drivers\kcxrjmoq.sys -->09/02/2009 ??
Idem ==> C:\WINDOWS\System32\drivers\ndisio.sys -->09/02/2009 ==> apparemment correct .

ADAM, poste ce fichier comme indiqué ==> Veuillez svp envoyer le fichier C:\upload_moi_SERVEUR.tar.gz à l'adresse http://upload.malekal.com

Ensuite, peux-tu faire analyser ce fichier (en gras) chez VirusTotal
C:\WINDOWS\System32\drivers\kcxrjmoq.sys ?

Merci
Al.
0
Réponse 12 / 37
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
13 févr. 2009 à 21:16
Analyse sur VirusTotal ;)
0
ADAM
13 févr. 2009 à 22:00
re
Les deux fichiers refussent d'etre uploadé sur virustotal et aussi sur www.malekal.com
0
Réponse 13 / 37
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
13 févr. 2009 à 22:18
Re,
C'est gênant ce truc (d'autant plus que je fatigue)

Supprime DiagHelp de ton bureau, et son rapport.

Télécharge OTMoveIt3 (OldTimer) sur ton Bureau :
http://oldtimer.geekstogo.com/OTMoveIt3.exe
---> Double-clique sur OTMoveIt3.exe afin de le lancer.
---> Copie (Ctrl+C) le texte suivant ci-dessous : (en gras)

:files
C:\Program Files\Circle Developement
C:\WINDOWS\System32\3C.tmp

:Services
C:\WINDOWS\System32\drivers\kcxrjmoq.sys
C:\Documents and Settings\Cybermedi@\LocalService\Temp\mbr.sys

:reg
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
"BootExecute"=""
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\kcxrjmoq.sys]

:commands
[emptytemp]

---> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.
---> Clique maintenant sur le bouton MoveIt! puis ferme OTMoveIt3.

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES. ==> de toute manière, il faut redémarrer le PC.

---> Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log




Ensuite,
Télécharger Look2Me-Destroyer par Atribune http://www.atribune.org/public-beta/Look2Me-Destroyer.exe
* Fermer toutes les fenêtres avant de continuer.
* Double-cliquez sur "Look2Me-Destroyer.exe" pour l'exécuter.
* Sélectionner "Run this program as a task."
* Vous obtenez un message, veuillez simplement patienter puis cliquez OK.
* Quand Look2Me-Destroyer s'ouvre à nouveau, cliquez sur "Scan for L2M".
* Vos icônes sur votre bureau vont disparaître, ce qui est normal, pas d'inquiétude.
* Une fois le scan terminé, cliquez sur "Remove L2M".
* Vous recevrez une notification comme quoi le scan est terminé, cliquez OK.
* Votre ordinateur va maintenant s'éteindre.
* Démarrer votre machine, un rapport est disponible: "Look2Me-Destroyer.txt"



Je quitte le PC
à+...
Al.
0
ADAM
13 févr. 2009 à 22:40
AFIDEG merci pour ta patience avc moi
voila les deux rapports

OTMoveIt

========== FILES ==========
C:\Program Files\Circle Developement moved successfully.
C:\WINDOWS\System32\3C.tmp moved successfully.
========== SERVICES/DRIVERS ==========
Unable to stop service C:\WINDOWS\System32\drivers\kcxrjmoq.sys .
========== REGISTRY ==========
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager\\"BootExecute"|"" /E : value set successfully!
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\kcxrjmoq.sys\\ deleted successfully.
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\CYBERM~1\LOCALS~1\Temp\VBE\MSForms.exd scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\CYBERM~1\LOCALS~1\Temp\VBE\RefEdit.exd scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\CYBERM~1\LOCALS~1\Temp\~DF1C8F.tmp scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\CYBERM~1\LOCALS~1\Temp\~DF2EB5.tmp scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\CYBERM~1\LOCALS~1\Temp\~DF59A2.tmp scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\CYBERM~1\LOCALS~1\Temp\~DF5BB7.tmp scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\CYBERM~1\LOCALS~1\Temp\~DF5E1C.tmp scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\CYBERM~1\LOCALS~1\Temp\~DF760D.tmp scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\CYBERM~1\LOCALS~1\Temp\~DF76AA.tmp scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_724.dat scheduled to be deleted on reboot.
Windows Temp folder emptied.
Java cache emptied.
FireFox cache emptied.
Temp folders emptied.

OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 02132009_222621

Files moved on Reboot...
C:\DOCUME~1\CYBERM~1\LOCALS~1\Temp\VBE\MSForms.exd moved successfully.
C:\DOCUME~1\CYBERM~1\LOCALS~1\Temp\VBE\RefEdit.exd moved successfully.
File C:\DOCUME~1\CYBERM~1\LOCALS~1\Temp\~DF1C8F.tmp not found!
File C:\DOCUME~1\CYBERM~1\LOCALS~1\Temp\~DF2EB5.tmp not found!
File C:\DOCUME~1\CYBERM~1\LOCALS~1\Temp\~DF59A2.tmp not found!
C:\DOCUME~1\CYBERM~1\LOCALS~1\Temp\~DF5BB7.tmp moved successfully.
File C:\DOCUME~1\CYBERM~1\LOCALS~1\Temp\~DF5E1C.tmp not found!
File C:\DOCUME~1\CYBERM~1\LOCALS~1\Temp\~DF760D.tmp not found!
File C:\DOCUME~1\CYBERM~1\LOCALS~1\Temp\~DF76AA.tmp not found!
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat moved successfully.
File C:\WINDOWS\temp\Perflib_Perfdata_724.dat not found!


Look2Me

Look2Me-Destroyer V1.0.12

Scanning for infected files.....
Scan started at 13/02/2009 22:32:02


Attempting to delete infected files...

Making registry repairs.


Restoring Windows certificates.

Replaced hosts file with default windows hosts file


Restoring SeDebugPrivilege for Administrateurs - Succeeded
0
Réponse 14 / 37
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
14 févr. 2009 à 10:51
Bonjour ADAM,

Je disposerai de peu de temps ce jour.
Merci pour tes rapports et ta participation.

Ce n'est pas un cas facile; on poursuit donc comme ceci:

A)- Supprimer
1°- Look2Me,
2°- OTMoveIt3
3°- Désinstaller ComboFix, comme ceci :
Supprime le dossier Qoobox. (il est à la racine de ton disque dur c:\)
Supprime l'application téléchargée sur le bureau (ComboFix.exe)
Fais Démarrer/Exécuter copie-colle la commande suivante (en gras ci-dessous) puis [OK]
"%userprofile%\Bureau\combofix.exe" /u
Ca désinstallera ComboFix, supprimera les points de restauration système (qui sont infectés) et remettra les options de sécurité de Windows par défaut.


B)- Je vois que tu as deux antivirus (AV: ESET Smart Security 3.0, et AV: Kaspersky Anti-Virus). Or, il n'en faut qu'un seul actif sur ton PC.
Vérifie que ton parefeu FW: ESET Personal firewall soit réactivé après le passage de ComboFix.


C)- Télécharge l'outil Flash_Disinfector de sUBs:
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe
Enregistre Flash_Disinfector.exe sur ton bureau.
Ferme les applications (word, etc) : car explorer.exe va être arrêté puis relancé (on perd les icônes du bureau).
Double clique sur Flash_Disinfector.exe pour l'exécuter.
Quand le message : [Plug in yours flash drive & clic Ok to begin disinfection] apparaitra :
Connecte au pc, clé USB, DD externes, susceptibles d'avoir été infectés.
Puis clic sur Ok ==> il y avait infection sur une clé en D:\
Les icônes sur le bureau vont disparaître jusqu'à l'apparition du message: [Done!!]
Appuie ensuite sur OK, pour faire réapparaître le bureau.
S'il y a plusieurs clés USB ou disques durs externes à désinfecter, renouvelle l'opération en branchant les clés non traitées une par une.
Il n'y a pas de rapport à poster.


D)- Vas dans "Panneau de configuration" et ouvrir "Système" :
-> Dans cette fenêtre clique sur l'onglet "Matériel”.
Puis tu cliques sur [Gestionnaire des périphériques].
-> dans la "Barre des menus" en haut, vas sur "Affichage" et clique sur "Afficher les périphériques cachés" (très important)
• Ensuite cherche dans les tous les périphériques présents celui dont le nom commence par TDSS....
-> Si tu en trouves, clic-droit dessus : choisis " Désactiver " et valide la modification .
Puis ferme le gestionnaire ....
• S'il t'ai demandé de redémarrer le PC, fais le ...


E)- Relance SDFix comme au post # 2.


F)- Relance alors MBAM comme ceci:

Branche les disques amovibles (clés USB) sans les ouvrir.

Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
Sélectionne "Exécuter un examen rapide"
Clique sur "Rechercher"
L'analyse démarre, le scan est relativement long, c'est normal.
A la fin de l'analyse, un message s'affiche:
==> Citation : L'examen s'est terminé normalement.
Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
==> Clique sur "Ok" pour poursuivre.
(Si MBAM n'a rien trouvé, il te le dira aussi).
Ferme tes navigateurs.
Si des malwares ont été détectés, clique sur "Afficher les résultats".
Sélectionne tout (ou laisse coché) et clique sur "Supprimer la sélection",
MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse.
Copie-colle ce rapport et poste-le dans ta prochaine réponse.

NB : si MBAM te demande à redémarrer, fais-le après avoir posté ton rapport.


Merci
Al.
0
ADAM
15 févr. 2009 à 15:53
Salut Afudeg
désolé de ne pas avoir répondre aussi vite. j'ai déja quitter le boulot hier lorsque t'as poste la réponse.
Aprés l'exécution de SDFix et MBAM ma connexion internet a coupé encore . Voila le rapport de SDFix et MBAM

SDFix


[b]SDFix: Version 1.240 [/b]
Run by Administrateur on 15/02/2009 at 15:23

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services [/b]:


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files [/b]:

No Trojan Files Found






Removing Temp Files

[b]ADS Check [/b]:



[b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-15 15:26:39
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Program Files\\Caffe\\Server.exe"="C:\\Program Files\\Caffe\\Server.exe:*:Enabled:Internet Caffe Server"
"C:\\Program Files\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"="C:\\Program Files\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe:*:Enabled:BlueSoleil"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[b]Remaining Files [/b]:



[b]Files with Hidden Attributes [/b]:

Mon 26 Jan 2009 1,740,632 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe"
Mon 26 Jan 2009 5,365,592 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"
Mon 26 Jan 2009 2,144,088 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"

[b]Finished![/b]


MBAM

Malwarebytes' Anti-Malware 1.34
Version de la base de données: 1757
Windows 5.1.2600 Service Pack 3

15/02/2009 15:36:43
mbam-log-2009-02-15 (15-36-43).txt

Type de recherche: Examen rapide
Eléments examinés: 63951
Temps écoulé: 2 minute(s), 57 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kcxrjmoq (Rootkit.Pakes) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\kcxrjmoq (Rootkit.Pakes) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kcxrjmoq (Rootkit.Pakes) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\drivers\kcxrjmoq.sys (Rootkit.Pakes) -> Delete on reboot.


et merci infiniment pour ton aide
0
Réponse 15 / 37
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
15 févr. 2009 à 17:21
Bonsoir

Imprime cette procédure; ou mieux, sauve-la sur le bureau.
Assure-toi que tu aies toujours MBAM sur le bureau !! ==> sinon, il faut le retélécharger comme précédemment.


A)- Désinstaller Spybot S&D
Spybot et son Tea-Timer sont totalement dépassés, et ne servent pour le moment qu'à empêcher les outils de désinfections de fonctionner.
Il faut faire un clic-droit sur le lien ci dessous, puis choisir « Enregistrer la cible du lien sous ».
http://www.safer-networking.org/files/remove-spybotsd-settings.reg
Placer le fichier "remove-spybotsd-settings.reg" sur le Bureau.

Laisse ainsi; ne fais rien d'autre avec pour l'instant.


B)- Désactive la restauration système, comme ceci:
Clic sur « Démarrer »
Clic-droit sur « Poste de travail », puis clic sur « Propriétés »,
Vas sur l’onglet « Restauration système »
Tu y coches la case « Désactiver la restauration »
Termine par [Appliquer], répondre “OUI” à la question, attendre, terminer par [OK]


C)- IMPORTANT
Arrêter puis redémarrer le PC
Déconnecte-le du Net (Débranche ton Modem)


D)- Cela devrait déjà résoudre ceci: Malwarebytes' Anti-Malware

CITATION: «NB : si MBAM te demande à redémarrer, fais-le après avoir posté ton rapport.»

Or, je lis:

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kcxrjmoq (Rootkit.Pakes) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\kcxrjmoq (Rootkit.Pakes) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kcxrjmoq (Rootkit.Pakes) -> Quarantined and deleted successfully.
Fichier(s) infecté(s):
C:\WINDOWS\system32\drivers\kcxrjmoq.sys (Rootkit.Pakes) -> Delete on reboot.

J'espère que l'étape ci-avant en C)- va supprimer cette sous-clé kcxrjmoq et ce driver kcxrjmoq.sys
(NOTE: MBAM aurait dû te demander de redémarrer le PC, puisqu'il y avait détection dans une clé registre.)


E) Faire un clic-droit sur le fichier "remove-spybotsd-settings.reg" ; puis choisir « Fusionner » et accepter la fusion dans le Registre.
Arrêter puis redémarrer le PC.

Si tu trouves encore ces trois fichiers, supprime-les manuellement:

C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe


F)- Ne reconnecte pas ton PC au Net, et ne réactive pas la restauration système.


G)- Relance MBAM comme ceci:

Branche les disques amovibles (clés USB) sans les ouvrir.
Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
Sélectionne "Exécuter un examen rapide"
Clique sur "Rechercher"
L'analyse démarre, le scan est relativement long, c'est normal.
A la fin de l'analyse, un message s'affiche:
==> Citation : L'examen s'est terminé normalement.
Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
==> Clique sur "Ok" pour poursuivre.
(Si MBAM n'a rien trouvé, il te le dira aussi).
Ferme tes navigateurs.
Si des malwares ont été détectés, clique sur "Afficher les résultats".
Sélectionne tout (ou laisse coché) et clique sur "Supprimer la sélection",
MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse ==> enregistre-le sur le bureau, dénomme-le MBAM.

NB : si MBAM te demande à redémarrer, fais-le après avoir posté ton rapport.
Si tu lis encore cette mention "-> Delete on reboot.", alors redémarre le PC.


H)- Reconnecte le PC au Net
Et Copie-colle le dernier rapport MBAM qui est sur le bureau et poste-le dans ta prochaine réponse.


I)- Télécharger ce programme à cette adresse : http://www2.gmer.net/mbr/mbr.exe
Placer le fichier sur votre bureau
- Désactiver tous les programmes de protection (antivirus, antispyware etc.)
- Double-cliquer sur "mbr.exe".
- Une fenêtre de l'invite de commande va s'ouvrir et se refermer,
- Un rapport à poster sera généré : mbr.log.



Merci
Al
0
ADAM
15 févr. 2009 à 17:54
re
MBAM m'a demandé de redemarrer meme la premiere fois et je l'ai fais, peut etre que j'ai posté le rappor que MBAM a généré avant le redemarrage. Et cette fois elle n'a rien detecté. Mon probleme mnt c ke mon Firewall refuse de s'activer aprés la réinstallation de ESET smart security ( j'ai fais réparer et non pas désinstallation et aprés réinstallation)
Voila le rapport de MBAM et un noveau scan Hijack This

MBAM
Malwarebytes' Anti-Malware 1.34
Version de la base de données: 1757
Windows 5.1.2600 Service Pack 3

15/02/2009 17:44:34
mbam-log-2009-02-15 (17-44-34).txt

Type de recherche: Examen rapide
Eléments examinés: 63754
Temps écoulé: 2 minute(s), 14 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)


Hijack This


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:54:01, on 15/02/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Program Files\ESET\ESET Smart Security\ekrn.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ESET\ESET Smart Security\egui.exe
C:\WINDOWS\FixCamera.exe
C:\WINDOWS\tsnpstd3.exe
C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Program Files\Internet Download Manager\IEMonitor.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Caffe\Server.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [FixCamera] C:\WINDOWS\FixCamera.exe
O4 - HKLM\..\Run: [tsnpstd3] C:\WINDOWS\tsnpstd3.exe
O4 - HKLM\..\Run: [OrderReminder] C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Caffe-Server] C:\Program Files\Caffe\Server.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Global Startup: BlueSoleil.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Télécharger avec IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: Télécharger le contenu de video FLV avec IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Télécharger tous les liens avec IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O23 - Service: avp - Kaspersky Lab - D:\Mes Documents\Downloads\Compressed\1227KASPAV2009PO_www.softarchive.net\1227KASPAV2009PO_www.softarchive.net\Setup\Portable KAV\avp.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
0
Réponse 16 / 37
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
15 févr. 2009 à 18:15
Re,

Et mbr.log ?

1°- Peux-tu me préciser quelles sont tes protections PC ?

C'est quoi ça O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice ?
Ton NOD32 est-il bien en service ?
Est-ce un antivirus; ou fait-il parefeu en même temps ?

C'est quoi ça O23 - Service: avp - Kaspersky Lab - D:\Mes Documents\Downloads\Compressed\1227KASPAV2009PO_www.softarchive.net\1227KASPAV2009PO_www.softarchive.net\Setup\Portable KAV\avp.exe
As-tu bien un portable ?
KAV est un antivirus seul ==> pourquoi alors NOD32/ESET en doublure ?

Quel est ton parefeu ?
Comme antispyware, tu as maintenant MBAM (après avoir jeté Spybot S&D).



2°- Donne-moi des précisions sur CAFFE, s'il te plaît.
O4 - HKCU\..\Run: [Caffe-Server] C:\Program Files\Caffe\Server.exe
C:\Program Files\Caffe\Server.exe



3°- Je n'aime de lire ces lignes quand je tente de dépanner un PC. Ça fait pagaille & sabotage.
Ça fait surtout perdre des indices précieux. Merci.

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab


Merci
Al.


0
ADAM
15 févr. 2009 à 18:24
RE Afideg et merci
1°/ en principe ESET Smart Security est une suite de securité complète mais comme je vous ai dis le parefeu refuse de fonction alors que l'antivirus et l'antispam et l'update fonctionneent normalement. Pour Kaspersky c'est version portable ( non installé) que j'ai telechergé pour m'aider à la désinfection mais elle n'est pas active et ne fonctionne pas en temp réel.
2°/ pour CAFFE Server c'est logicile que j'utilise pour la gestion de mon petit cybercaffé donc normalment c'est un programme de confiance et je l'utilise depuis longtemp
0
ADAM > ADAM
15 févr. 2009 à 18:30
pour mbr voila le rapport.
Concernant les antivirus online quelqu'un ici m'a conseillé de les utiliser, donc j'ai fais un recherche sur internet sur eux et j'ai un scan

mbr

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
0
Réponse 17 / 37
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
15 févr. 2009 à 18:46
Re,

Mon message ne passe plus

Je l'essaie en pièces détachées:

2°- Relance HJT, coche la case devant ces lignes, et fixe-les

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab

3°- Je ne connais pas NOD32/ESET; mais il faudrait relire ton manuel, et vérifier s'il est correctement configuré.
Mais je pencherais plutôt sur le fait que VIRUT l'ait altéré, et qu'il faille le réinstaller.

4°- Merci pour le rapport encourageant.
0
ADAM
15 févr. 2009 à 18:58
Re
voici le nouveau rapport Hijack This
Concernant ESET/Nod c lui qui a decouvert le "virut" mais n'a pas pu le supprimer. Son parefeu continu à fonctionner normalement meme aprés qu'il dectecte le virus, il a été désactivé aprés lors de l'une des manipulations qu'on a fais ici. Je vais le désinstaller completement puis le réinstaller pour voir ce que ça donne et je vous tiens au courant.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:52:43, on 15/02/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Program Files\ESET\ESET Smart Security\ekrn.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ESET\ESET Smart Security\egui.exe
C:\WINDOWS\FixCamera.exe
C:\WINDOWS\tsnpstd3.exe
C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Program Files\Internet Download Manager\IEMonitor.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Caffe\Server.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
D:\Mes Documents\Cybermedi@\fm610fr\fm610fr\Foxmail.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [FixCamera] C:\WINDOWS\FixCamera.exe
O4 - HKLM\..\Run: [tsnpstd3] C:\WINDOWS\tsnpstd3.exe
O4 - HKLM\..\Run: [OrderReminder] C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Caffe-Server] C:\Program Files\Caffe\Server.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Global Startup: BlueSoleil.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Télécharger avec IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: Télécharger le contenu de video FLV avec IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Télécharger tous les liens avec IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O23 - Service: avp - Kaspersky Lab - D:\Mes Documents\Downloads\Compressed\1227KASPAV2009PO_www.softarchive.net\1227KASPAV2009PO_www.softarchive.net\Setup\Portable KAV\avp.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
0
ADAM > ADAM
15 févr. 2009 à 19:50
Re
Aprés désinstallation de ESET/nod et redemarrage je l'ai réinstallé et le parefeu fonctionne mais internet a coupé alors j'ai utilisé "WinsockxpFix" pour la restaurer. mais aprés le demarrage voila situation:
1°/ Le parefeu est périmé encore une fois
2°/ Firefox fonctionne normalement
3°/ Internet explorer et msn ne connecteent plus
Lorsque j'ai cliqué sur " depanner " sur msn il me dis que j'ai un probleme " fichiers host" et il n'arrive pas à réparer le probleme
0
Réponse 18 / 37
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
15 févr. 2009 à 18:49
(suite)

1°- Oui, mais pour l'installer, ton cyber "caffe", tu as dû charger un crack "server.exe"; comme expliqué sur Google à partir des mots "caffe/server.exe"

C'est le lien qui ne passe pas
0
Réponse 19 / 37
ADAM
15 févr. 2009 à 19:18
Re
Aprés la désintallion le ESET/nod j'ai redemarré et réinstallé et le parefeu fonctionne mais la connexion internet a coupé encore une fois alors j'ai utilisé "WinsockxpFix" pour la réparer comme vous m'avez dis l'autre fois. mais cette fois ci aprés le reboot, l'internet fonctionne mais le firewall e est périmé.
Le probleme de désactivation pourrait il etre due à ce "WinsockxpFix"
0
Réponse 20 / 37
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
15 févr. 2009 à 20:19
Re,

"Le parefeu est périmé"; cela voudrait signifier que ta licence est périmée.

As-tu lu ma remarque à propos de ton "caffe/server.exe" ? Avais-tu télécharger ce crack comme il est dit sur le lien obtenu par Google par une recherche sur base des mots "Internet Caffe Client/Server pour bien gérer ton cyber café" ?


Télécharger OAD (Outil d'Aide au Diagnostic)< http://sosvirus.changelog.fr/OAD.exe > enregistre-le sur ton bureau
•- Lancer « OAD.exe » en faisant un double-clic sur le fichier < http://sosvirus.changelog.fr/OAD/1.bmp > , puis « Exécuter »
==> une page bleue s’affiche.
•- Saisir la valeur recherchée ( = nom de fichier à rechercher ) : faire un copier/coller de kcxrjmoq puis [Enter]
==> une nouvelle page bleue s’affiche.
- Type de recherche : taper 6 (sélectionner l'option 6) puis valide [entrée]< http://sosvirus.changelog.fr/OAD/4.bmp >
•- OAD va maintenant rechercher le fichier.
Laisse-le travailler jusqu'à ce qu'il en ait terminé.
Suivant la taille des disques durs, cette recherche peut prendre plusieurs minutes.
Patienter.
•- Le rapport de recherche s'affichera automatiquement dès qu'il en aura terminé.
•- Faire un copier/coller de ce rapport dans ton prochain post.

•-Note: Certains Antivirus (comme Panda) peuvent émettre une alerte lors de "téléchargement / utilisation".

0