Virut.nbk

Résolu
ADAM -  
afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,
SVP de l'aide mes amis j'ai virus qui circule sur mon pc "Virut.nbk" mon anti-virus ESET Nod le localise mais il est incapable de le supprimer. j'ai fais le scan avc une version portable de kaspersky il supprime " Virut.ce" mais ne detecte pas "Virut.nbk". Ce virus infecte presque tous mes fichiers system et bloque mon accés internet aprés quelque temp et ma connexion ne revient qu'aprés je redémarre mon pc . aussi il fais redémarrer les 4 autres pc de mon réseaux local.
voici un rapport Hijackthis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:09:23, on 13/02/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ESET\ESET Smart Security\egui.exe
C:\WINDOWS\FixCamera.exe
C:\WINDOWS\tsnpstd3.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ESET\ESET Smart Security\ekrn.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Internet Download Manager\IEMonitor.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
D:\Mes Documents\Downloads\Compressed\1227KASPAV2009PO_www.softarchive.net\1227KASPAV2009PO_www.softarchive.net\Setup\Portable KAV\avp.exe
D:\Mes Documents\Downloads\Compressed\1227KASPAV2009PO_www.softarchive.net\1227KASPAV2009PO_www.softarchive.net\Setup\Portable KAV\avp.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:9666
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\regwiz.exe,C:\WINDOWS\system32\gcc.exe
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [FixCamera] C:\WINDOWS\FixCamera.exe
O4 - HKLM\..\Run: [tsnpstd3] C:\WINDOWS\tsnpstd3.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [Caffe-Server] C:\Program Files\Caffe\Server.exe
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [services] C:\WINDOWS\services.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [services] C:\WINDOWS\services.exe (User 'Default user')
O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Télécharger avec IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: Télécharger le contenu de video FLV avec IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Télécharger tous les liens avec IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O23 - Service: avp - Kaspersky Lab - D:\Mes Documents\Downloads\Compressed\1227KASPAV2009PO_www.softarchive.net\1227KASPAV2009PO_www.softarchive.net\Setup\Portable KAV\avp.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

--
End of file - 6801 bytes
Configuration: Windows XP
Firefox 3.0.6

37 réponses

  • 1
  • 2
Résumé de la discussion

Une infection virale nommée Virut.nbk circule sur un PC, infecte des fichiers système et peut bloquer l’accès Internet, avec propagation potentielle au réseau local. L’antivirus ESET Nod32 le localise mais ne peut pas le supprimer, tandis qu’une version portable de Kaspersky efface Virut.ce sans toucher Virut.nbk. Des conseils incluent le redémarrage en mode sans échec, la désactivation de la restauration système et l’emploi d’outils combinés de sécurité comme Dr.Web CureIt!, IceSword, SDFix et Malwarebytes. Le fil montre également l’importance d’examiner les entrées de démarrage et les services suspects à partir du rapport HijackThis et d’analyser les fichiers difficiles via des scanners en ligne.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. totobetourne Messages postés 5677 Statut Membre 65
     
    bonjour

    1)Bonjour,

    *Télécharge SDFix (créé par AndyManchesta)
    http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
    *Double-clique sur SDFix.exe
    *Choisis Install pour l'extraire dans un dossier dédié sur le Bureau.
    *Redémarre en mode sans échec
    *Ouvre le dossier SDFix qui vient d'être créé à la racine de ton disque dur C:\
    *Double clique sur RunThis.bat pour lancer le script. (Le .bat peut ne pas apparaître)
    *Appuie sur Y pour commencer le processus de nettoyage.
    *Appuie sur une touche pour redémarrer quand SDFix te demander d'appuyer sur une touche pour redémarrer.
    *Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
    *Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
    *Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
    *Les icônes du Bureau affichées, le rapport SDFix s'ouvrira. Il porte le nom de Report.txt.
    *Copie/colle le contenu

    *Si Sdfix ne se lance pas
    * Clique sur Démarrer > Exécuter
    *Copie/colle ceci: %systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe
    *Clique sur Ok.
    *Redémarre et essaie de relance SDFix.

    2)passe cet antimalware, fait comme indique
    Telecharges malwaresbytes antimalwares(MBAM) : egalement tres util sur pb de pub mais pas tous malheureusement

    Malwarebytes Anti-Malware: http://www.malwarebytes.org/mbam/program/mbam-setup.exe

    Tutoriel Malwarebytes Anti-Malware: https://forum.pcastuces.com/malwarebytes_antimalwares___tutoriel-f31s3.htm
    fais comme indique,mise a jour , scan complet en mode sans echec et les rapports.
    COLLE LE RAPPORT APRES SUPPRESSION MERCI.

    garde le et lance un scan tout les mois comme indique.

    si tu as ad aware tu peux desinstalle car il ne reconnait plus grand chose.

    3)refais un rapport hijack et colle le . merci .
    0
    1. ^^Marie^^ Messages postés 41884 Date d'inscription   Statut Membre Dernière intervention   3 280
       
      Salut Toto

      Jette un œil sur ce sujet

      ++
      0
    2. ADAM
       
      Merci infiniment
      voila le rapport SDfix on attendant que je fais le scan avc Malwarebytes:

      [b]SDFix: Version 1.240 [/b]
      Run by Administrateur on 13/02/2009 at 16:03

      Microsoft Windows XP [version 5.1.2600]
      Running From: C:\SDFix

      [b]Checking Services [/b]:

      [b]Name [/b]:
      protect

      [b]Path [/b]:
      System32\drivers\protect.sys

      protect - Deleted



      Restoring Default Security Values
      Restoring Default Hosts File

      Rebooting


      [b]Checking Files [/b]:

      Trojan Files Found:

      C:\WINDOWS\system32\2.tmp - Deleted
      C:\WINDOWS\system32\4.tmp - Deleted
      C:\WINDOWS\system32\5.tmp - Deleted
      C:\WINDOWS\system32\7.tmp - Deleted
      C:\WINDOWS\system32\8.tmp - Deleted
      C:\WINDOWS\system32\A.tmp - Deleted
      C:\WINDOWS\system32\B.tmp - Deleted
      C:\WINDOWS\system32\D.tmp - Deleted
      C:\WINDOWS\system32\E.tmp - Deleted
      C:\WINDOWS\system32\2.tmp - Deleted
      C:\WINDOWS\system32\20.tmp - Deleted
      C:\WINDOWS\system32\21.tmp - Deleted
      C:\WINDOWS\system32\23.tmp - Deleted
      C:\WINDOWS\system32\24.tmp - Deleted
      C:\WINDOWS\system32\25.tmp - Deleted
      C:\WINDOWS\system32\27.tmp - Deleted
      C:\WINDOWS\system32\29.tmp - Deleted
      C:\WINDOWS\system32\2A.tmp - Deleted
      C:\WINDOWS\system32\2B.tmp - Deleted
      C:\WINDOWS\system32\2D.tmp - Deleted
      C:\WINDOWS\system32\2F.tmp - Deleted
      C:\WINDOWS\system32\11.tmp - Deleted
      C:\WINDOWS\system32\110.tmp - Deleted
      C:\WINDOWS\system32\12.tmp - Deleted
      C:\WINDOWS\system32\125.tmp - Deleted
      C:\WINDOWS\system32\14.tmp - Deleted
      C:\WINDOWS\system32\145.tmp - Deleted
      C:\WINDOWS\system32\15.tmp - Deleted
      C:\WINDOWS\system32\17F.tmp - Deleted
      C:\WINDOWS\system32\18.tmp - Deleted
      C:\WINDOWS\system32\19.tmp - Deleted
      C:\WINDOWS\system32\1A.tmp - Deleted
      C:\WINDOWS\system32\1C.tmp - Deleted
      C:\WINDOWS\system32\1D.tmp - Deleted
      C:\WINDOWS\system32\1E.tmp - Deleted
      C:\WINDOWS\SYSTEM32\TDSSOSVN.dat - Deleted





      Removing Temp Files

      [b]ADS Check [/b]:



      [b]Final Check [/b]:

      catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2009-02-13 16:06:38
      Windows 5.1.2600 Service Pack 3 NTFS

      scanning hidden processes ...

      scanning hidden services & system hive ...

      scanning hidden registry entries ...

      scanning hidden files ...

      scan completed successfully
      hidden processes: 0
      hidden services: 0
      hidden files: 0


      [b]Remaining Services [/b]:




      Authorized Application Key Export:

      [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
      "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
      "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
      "C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
      "C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
      "C:\\Program Files\\Caffe\\Server.exe"="C:\\Program Files\\Caffe\\Server.exe:*:Enabled:Internet Caffe Server"
      "\\??\\C:\\WINDOWS\\system32\\winlogon.exe"="\\??\\C:\\WINDOWS\\system32\\winlogon.exe:*:enabled:@shell32.dll,-1"

      [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
      "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
      "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
      "C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
      "C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

      [b]Remaining Files [/b]:


      File Backups: - C:\SDFix\backups\backups.zip

      [b]Files with Hidden Attributes [/b]:

      Mon 26 Jan 2009 1,740,632 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe"
      Mon 26 Jan 2009 5,365,592 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"
      Mon 26 Jan 2009 2,144,088 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"

      [b]Finished![/b]
      0
  2. totobetourne Messages postés 5677 Statut Membre 65
     
    bonjour marie

    ton lien n a pas l air de fonctionner , si tu veux prendre la direction des operations , tu es la bienvenue.
    comme je remarque tdss dans le rapport sd fix faut il passer autre chose?
    0
    1. toptitbal Messages postés 5341 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 232
       
      Bonjour toto

      Le lien renvoie a une astuce qui a été supprimée (j'ignore pourquoi).
      De toutes façons, compte tenu de l'infection, c'est pratiquement désespéré....
      0
  3. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Salut,

    /!\ Désactive tes protections résidentes (Antivirus, etc...) /!\

    --> Télécharge ComboFix (de sUBs) sur ton Bureau.
    --> Double-clique sur ComboFix.exe (le .exe n'est pas forcément visible) afin de le lancer.
    --> Il va te demander d'installer la console de récupération : accepte.
    --> Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

    Pour t'aider : Un guide et un tutoriel sur l'utilisation de ComboFix
    0
    1. ADAM
       
      Mes amis
      aprés l'excution de combofix et le redémarrge la connexion internet a coupé completement sur le PC infecté mais pas sur les autres
      voici le rapport de Combofix et Hijack This aprés l'escecution de combofix
      Combofix
      ComboFix 09-02-12.03 - Cybermedi@ 2009-02-13 17:25:01.1 - NTFSx86
      Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.1527.1124 [GMT 1:00]
      Lancé depuis: c:\documents and settings\Cybermedi@\Bureau\ComboFix.exe
      AV: ESET Smart Security 3.0 *On-access scanning disabled* (Updated)
      AV: Kaspersky Anti-Virus *On-access scanning disabled* (Updated)
      FW: ESET Personal firewall *disabled*
      * Un nouveau point de restauration a été créé
      .

      (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
      .

      D:\Autorun.inf

      [COLOR=RED] c:\windows\explorer.exe . . . est infecté!![/COLOR]

      .
      ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
      .

      -------\Service_Passthru


      ((((((((((((((((((((((((((((( Fichiers créés du 2009-01-13 au 2009-02-13 ))))))))))))))))))))))))))))))))))))
      .

      2009-02-13 16:14 . 2009-02-13 16:14 <REP> d-------- c:\documents and settings\Administrateur\Application Data\Malwarebytes
      2009-02-13 16:01 . 2009-02-13 16:02 <REP> d-------- c:\windows\ERUNT
      2009-02-13 15:58 . 2009-02-13 16:07 <REP> d-------- C:\SDFix
      2009-02-13 15:56 . 2009-02-13 15:56 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
      2009-02-13 15:56 . 2009-02-13 15:56 <REP> d-------- c:\documents and settings\Cybermedi@\Application Data\Malwarebytes
      2009-02-13 15:56 . 2009-02-13 15:56 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
      2009-02-13 15:56 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
      2009-02-13 15:56 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
      2009-02-13 15:42 . 2009-02-13 15:42 <REP> d-------- c:\program files\Panda Security
      2009-02-13 15:42 . 2008-06-19 16:24 28,544 --a------ c:\windows\system32\drivers\pavboot.sys
      2009-02-12 13:11 . 2009-02-12 13:12 437,038 --a------ C:\Dft32_User_Guide.pdf
      2009-02-12 13:06 . 2009-02-12 13:10 <REP> d-------- c:\documents and settings\Administrateur\Application Data\IDM
      2009-02-12 13:06 . 2009-02-12 13:10 <REP> d-------- c:\documents and settings\Administrateur\Application Data\DMCache
      2009-02-12 12:24 . 2009-02-09 16:57 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage réseau
      2009-02-12 12:24 . 2009-02-09 16:57 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage d'impression
      2009-02-12 12:24 . 2009-02-09 16:24 <REP> d--h----- c:\documents and settings\Administrateur\Modèles
      2009-02-12 12:24 . 2009-02-12 13:10 <REP> d-------- c:\documents and settings\Administrateur\Mes documents
      2009-02-12 12:24 . 2009-02-09 16:57 <REP> dr------- c:\documents and settings\Administrateur\Menu Démarrer
      2009-02-12 12:24 . 2009-02-09 16:57 <REP> d-------- c:\documents and settings\Administrateur\Favoris
      2009-02-12 12:24 . 2009-02-13 16:04 <REP> d-------- c:\documents and settings\Administrateur\Bureau
      2009-02-12 12:24 . 2009-02-12 12:24 <REP> d-------- c:\documents and settings\Administrateur
      2009-02-12 12:21 . 2009-02-12 12:21 <REP> d-------- c:\documents and settings\Cybermedi@\Application Data\Lavasoft
      2009-02-12 12:20 . 2009-02-12 12:20 <REP> d-------- c:\documents and settings\Cybermedi@\DoctorWeb
      2009-02-12 12:03 . 2009-02-12 12:03 <REP> d-------- c:\program files\CCleaner
      2009-02-12 10:22 . 2009-02-12 10:22 <REP> d-------- c:\windows\Sun
      2009-02-12 10:21 . 2009-02-12 10:21 <REP> d-------- c:\program files\Java
      2009-02-12 10:21 . 2009-02-12 10:21 410,984 --a------ c:\windows\system32\deploytk.dll
      2009-02-12 10:21 . 2009-02-12 10:21 73,728 --a------ c:\windows\system32\javacpl.cpl
      2009-02-12 09:36 . 2008-06-14 18:33 272,768 --------- c:\windows\system32\drivers\bthport.sys
      2009-02-12 09:36 . 2008-06-14 18:33 272,768 -----c--- c:\windows\system32\dllcache\bthport.sys
      2009-02-12 09:30 . 2008-08-14 14:23 2,191,232 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe
      2009-02-12 09:30 . 2008-08-14 14:23 2,147,328 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe
      2009-02-12 09:30 . 2008-08-14 14:23 2,068,096 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe
      2009-02-12 09:30 . 2008-08-14 14:23 2,025,984 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe
      2009-02-12 09:27 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
      2009-02-12 09:15 . 2005-06-28 10:21 22,752 --a------ c:\windows\system32\spupdsvc.exe
      2009-02-11 21:15 . 2009-02-11 21:59 <REP> d-------- C:\TEMP
      2009-02-11 17:21 . 2009-02-11 17:21 <REP> d-------- c:\program files\Yahoo!
      2009-02-11 17:21 . 2009-02-11 17:23 <REP> d-------- c:\documents and settings\All Users\Application Data\Yahoo!
      2009-02-11 16:37 . 2009-02-11 16:37 <REP> d-------- c:\program files\Fichiers communs\Adobe
      2009-02-11 16:31 . 2007-05-23 16:54 260,248 --a------ c:\windows\system32\QMO.dll
      2009-02-11 16:31 . 2007-05-23 16:54 92,312 --a------ c:\windows\system32\QMOCameraDll.dll
      2009-02-11 16:31 . 2007-05-23 16:54 80,024 --a------ c:\windows\system32\TXGYUploader.dll
      2009-02-10 22:41 . 2009-02-10 22:41 <REP> d-------- c:\documents and settings\Cybermedi@\Application Data\Media Player Classic
      2009-02-10 17:07 . 2009-02-10 17:07 <REP> d-------- c:\documents and settings\All Users\Application Data\Messenger Plus!
      2009-02-10 15:57 . 2009-02-13 15:34 69 --a------ c:\windows\NeroDigital.ini
      2009-02-10 15:15 . 2009-02-10 15:15 <REP> d-------- c:\program files\Messenger Plus! Live
      2009-02-10 15:15 . 2009-02-12 09:18 <REP> d-------- c:\program files\Circle Developement
      2009-02-10 14:21 . 2009-02-10 14:21 <REP> d-------- c:\program files\K-Lite Codec Pack
      2009-02-10 13:19 . 2009-02-10 13:19 <REP> d-------- c:\documents and settings\Cybermedi@\Application Data\Ahead
      2009-02-10 12:52 . 2009-02-13 17:18 <REP> d-------- c:\program files\Internet Download Manager
      2009-02-10 12:52 . 2009-02-10 12:52 <REP> d-------- c:\documents and settings\Cybermedi@\Application Data\IDM
      2009-02-10 12:38 . 2009-02-10 12:38 <REP> d-------- c:\program files\Nero
      2009-02-10 12:38 . 2009-02-10 12:40 <REP> d-------- c:\program files\Fichiers communs\Ahead
      2009-02-10 12:30 . 2008-04-13 11:46 85,248 --a------ c:\windows\system32\drivers\NABTSFEC.sys
      2009-02-10 12:30 . 2008-04-13 11:46 19,200 --a------ c:\windows\system32\drivers\WSTCODEC.SYS
      2009-02-10 12:30 . 2008-04-13 11:46 17,024 --a------ c:\windows\system32\drivers\CCDECODE.sys
      2009-02-10 12:30 . 2008-04-13 19:34 16,384 --a------ c:\windows\system32\ipsink.ax
      2009-02-10 12:30 . 2008-04-13 11:46 15,232 --a------ c:\windows\system32\drivers\StreamIP.sys
      2009-02-10 12:30 . 2008-04-13 11:46 11,136 --a------ c:\windows\system32\drivers\SLIP.sys
      2009-02-10 12:30 . 2008-04-13 11:46 10,880 --a------ c:\windows\system32\drivers\NdisIP.sys
      2009-02-10 12:30 . 2008-04-13 11:39 5,504 --a------ c:\windows\system32\drivers\MSTEE.sys
      2009-02-10 12:27 . 2008-04-13 19:34 92,160 --a------ c:\windows\system32\kswdmcap.ax
      2009-02-10 12:27 . 2008-04-13 19:34 61,952 --a------ c:\windows\system32\kstvtune.ax
      2009-02-10 12:27 . 2008-04-13 19:33 54,784 --a------ c:\windows\system32\vfwwdm32.dll
      2009-02-10 12:27 . 2008-04-13 19:34 43,008 --a------ c:\windows\system32\ksxbar.ax
      2009-02-10 12:27 . 2008-04-13 19:34 28,672 --a------ c:\windows\system32\vidcap.ax
      2009-02-10 12:26 . 2009-02-11 21:00 <REP> d-------- c:\program files\Fichiers communs\snpstd3
      2009-02-10 12:26 . 2009-02-10 12:26 <REP> d-------- c:\documents and settings\Cybermedi@\Application Data\InstallShield
      2009-02-10 12:26 . 2007-07-25 16:59 10,372,096 --a------ c:\windows\system32\drivers\snpstd3.sys
      2009-02-10 12:26 . 2007-05-10 13:18 835,584 --------- c:\windows\VSNPSTD3.EXE
      2009-02-10 12:26 . 2007-04-21 09:37 270,336 --a------ c:\windows\TSNPSTD3.EXE
      2009-02-10 12:26 . 2007-07-23 18:04 155,648 --a------ c:\windows\system32\rsnpstd3.dll
      2009-02-10 12:26 . 2006-07-03 10:31 98,304 --a------ c:\windows\AMCAP.EXE
      2009-02-10 12:26 . 2007-07-23 17:52 57,344 --a------ c:\windows\system32\vsnpstd3.dll
      2009-02-10 12:26 . 2005-11-23 13:55 53,248 --a------ c:\windows\system32\csnpstd3.dll
      2009-02-10 12:26 . 2005-11-23 13:55 53,248 --a------ c:\windows\csnpstd3.dll
      2009-02-10 12:26 . 2007-07-11 16:09 20,480 --a------ c:\windows\FIXCAMERA.EXE
      2009-02-10 12:26 . 2004-02-27 17:36 15,498 --a------ c:\windows\snpstd3.ini
      2009-02-10 12:26 . 2004-02-27 17:36 13,023 --a------ c:\windows\snpstd3.src
      2009-02-10 11:32 . 2006-10-26 19:58 30,512 --a------ c:\windows\system32\mdimon.dll
      2009-02-10 11:31 . 2009-02-10 11:31 <REP> d-------- c:\program files\MSBuild
      2009-02-10 11:31 . 2009-02-10 11:31 <REP> d-------- c:\program files\Microsoft Works
      2009-02-10 11:28 . 2009-02-10 11:31 <REP> d-------- c:\windows\SHELLNEW
      2009-02-10 11:27 . 2009-02-10 11:27 <REP> dr-h----- C:\MSOCache
      2009-02-10 11:27 . 2009-02-10 11:32 <REP> d-------- c:\documents and settings\All Users\Application Data\Microsoft Help
      2009-02-10 11:20 . 2009-02-10 11:33 <REP> d-a------ c:\documents and settings\All Users\Application Data\TEMP
      2009-02-10 11:17 . 2009-02-10 13:02 <REP> d-------- c:\program files\Trojan Remover
      2009-02-10 11:17 . 2006-05-25 14:52 162,304 --a------ c:\windows\system32\ztvunrar36.dll
      2009-02-10 11:17 . 2003-02-02 19:06 153,088 --a------ c:\windows\system32\UNRAR3.dll
      2009-02-10 11:17 . 2005-08-26 00:50 77,312 --a------ c:\windows\system32\ztvunace26.dll
      2009-02-10 11:17 . 2002-03-06 00:00 75,264 --a------ c:\windows\system32\unacev2.dll
      2009-02-10 11:17 . 2006-06-19 12:01 69,632 --a------ c:\windows\system32\ztvcabinet.dll
      2009-02-10 11:12 . 2009-02-10 11:12 128 --a------ c:\windows\system32\356.tmp
      2009-02-10 11:01 . 2009-02-10 11:01 128 --a------ c:\windows\system32\96.tmp
      2009-02-10 10:10 . 2009-02-10 10:10 128 --a------ c:\windows\system32\3C.tmp
      2009-02-10 10:10 . 2009-02-10 10:10 0 --a------ c:\windows\system32\45.tmp
      2009-02-10 10:09 . 2009-02-11 07:34 130 --a------ c:\windows\adobe.bat
      2009-02-10 10:09 . 2009-02-10 10:09 128 --a------ c:\windows\system32\31.tmp
      2009-02-10 10:09 . 2009-02-10 10:09 0 --a------ c:\windows\_id.dat
      2009-02-10 09:47 . 2009-02-11 21:02 <REP> d-------- c:\program files\Spybot - Search & Destroy
      2009-02-10 09:47 . 2009-02-12 12:19 <REP> d-------- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
      2009-02-10 09:32 . 2009-02-10 09:32 128 --a------ c:\windows\system32\D2.tmp
      2009-02-10 09:31 . 2009-02-10 09:31 <REP> d-------- c:\program files\Trend Micro
      2009-02-10 09:17 . 2009-02-12 09:50 <REP> d-------- c:\windows\BDOSCAN8
      2009-02-10 09:05 . 2009-02-10 09:05 128 --a------ c:\windows\system32\30.tmp
      2009-02-10 08:01 . 2009-02-10 08:01 0 --a------ c:\windows\system32\AE.tmp
      2009-02-10 06:59 . 2009-02-10 06:59 172 --a------ c:\windows\system32\A2.tmp
      2009-02-10 06:41 . 2009-02-10 06:41 0 --a------ c:\windows\system32\9F.tmp
      2009-02-10 06:38 . 2009-02-10 06:38 172 --a------ c:\windows\system32\93.tmp
      2009-02-10 06:24 . 2009-02-10 06:24 0 --a------ c:\windows\system32\90.tmp
      2009-02-10 06:22 . 2009-02-10 06:22 172 --a------ c:\windows\system32\82.tmp
      2009-02-10 06:22 . 2009-02-10 06:22 0 --a------ c:\windows\system32\8E.tmp
      2009-02-10 06:22 . 2009-02-10 06:22 0 --a------ c:\windows\system32\85.tmp
      2009-02-10 06:21 . 2009-02-10 06:22 172 --a------ c:\windows\system32\75.tmp
      2009-02-10 05:47 . 2009-02-10 05:47 0 --a------ c:\windows\system32\5D.tmp
      2009-02-10 05:44 . 2009-02-10 05:44 172 --a------ c:\windows\system32\51.tmp
      2009-02-10 05:30 . 2009-02-10 05:30 0 --a------ c:\windows\system32\37.tmp
      2009-02-10 04:53 . 2009-02-10 04:53 0 --a------ c:\windows\system32\758C.tmp
      2009-02-10 04:51 . 2009-02-10 04:51 172 --a------ c:\windows\system32\7586.tmp
      2009-02-10 04:51 . 2009-02-10 04:51 0 --a------ c:\windows\system32\7588.tmp
      2009-02-10 04:49 . 2009-02-10 04:49 0 --a------ c:\windows\system32\7583.tmp
      2009-02-10 04:46 . 2009-02-10 04:46 172 --a------ c:\windows\system32\757D.tmp
      2009-02-10 04:46 . 2009-02-10 04:46 0 --a------ c:\windows\system32\757F.tmp
      2009-02-10 04:04 . 2009-02-10 04:04 0 --a------ c:\windows\system32\74F6.tmp

      .
      (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2009-02-12 12:33 155,648 ----a-w c:\windows\system32\wscript.exe
      2009-02-12 12:33 135,168 ----a-w c:\windows\system32\cscript.exe
      2009-02-11 20:02 --------- d-----w c:\program files\Windows Media Connect 2
      2009-02-10 16:07 90,112 ----a-w c:\windows\DUMP3c6c.tmp
      2009-02-10 09:58 90,112 ----a-w c:\windows\DUMP35b6.tmp
      2009-02-10 08:19 90,112 ----a-w c:\windows\DUMP3884.tmp
      2009-02-10 08:02 90,112 ----a-w c:\windows\DUMP3539.tmp
      2009-02-10 04:17 90,112 ----a-w c:\windows\DUMP474a.tmp
      2009-02-10 01:44 90,112 ----a-w c:\windows\DUMP3558.tmp
      2009-02-10 01:40 90,112 ----a-w c:\windows\DUMP3df3.tmp
      2009-02-10 01:32 90,112 ----a-w c:\windows\DUMP33e1.tmp
      2009-02-09 20:48 90,112 ----a-w c:\windows\DUMP32f6.tmp
      2009-02-09 15:28 --------- d-----w c:\program files\microsoft frontpage
      2009-02-09 15:26 --------- d-----w c:\program files\Services en ligne
      2009-01-22 14:49 206,256 ----a-w c:\windows\system32\idmmbc.dll
      .

      ------- Sigcheck -------

      2008-04-13 18:34 1037824 34d64cb8a5bcd3f5262d0cf9b14fed0e c:\windows\EXPLORER.EXE
      2008-04-13 18:34 1054208 0f6069c320bb8deef916642f33af7994 c:\windows\system32\dllcache\explorer.exe

      2008-04-13 18:34 15360 aa0163de6e56e278979c3db01a21bda0 c:\windows\system32\ctfmon.exe
      2008-04-13 18:34 31744 15e01529691e92477d5945d49a6b0588 c:\windows\system32\dllcache\ctfmon.exe

      2008-04-13 18:34 26624 084363967d39a56091b5fdbe6a920260 c:\windows\system32\USERINIT.EXE
      2009-02-12 13:33 26624 c60b2f6c494fd9aa2c45d4efea2d0aa4 c:\windows\system32\dllcache\userinit.exe
      .
      ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
      REGEDIT4

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "Caffe-Server"="c:\program files\Caffe\Server.exe" [2009-02-09 5405696]
      "IDMan"="c:\program files\Internet Download Manager\IDMan.exe" [2009-02-10 2745776]
      "msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]
      "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-13 15360]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "egui"="c:\program files\ESET\ESET Smart Security\egui.exe" [2008-07-01 1447168]
      "FixCamera"="c:\windows\FixCamera.exe" [2007-07-11 20480]
      "tsnpstd3"="c:\windows\tsnpstd3.exe" [2007-04-21 270336]

      [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]

      [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
      "nltide_2"="shell32" [X]

      [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
      BootExecute REG_MULTI_SZ rmvirut.nt

      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\kcxrjmoq.sys]
      @="Driver"

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
      c:\windows\system32\dumprep 0 -k [X]

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
      --a------ 2007-05-11 03:06 40048 c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
      --a------ 2006-11-16 19:04 139264 c:\program files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
      --a------ 2008-04-13 18:34 15360 c:\windows\system32\ctfmon.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]
      --a------ 2006-10-06 12:13 114688 c:\windows\system32\hkcmd.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IDMan]
      --a------ 2009-02-10 13:31 2745776 c:\program files\Internet Download Manager\IDMan.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]
      --a------ 2006-10-06 12:11 98304 c:\windows\system32\igfxtray.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Messenger (Yahoo!)]
      --a------ 2008-10-16 21:57 4347120 c:\program files\Yahoo!\Messenger\YahooMessenger.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
      --a------ 2007-10-18 11:34 5724184 c:\program files\Windows Live\Messenger\msnmsgr.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
      --a------ 2006-01-12 15:40 155648 c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Persistence]
      --a------ 2006-10-06 12:10 110592 c:\windows\system32\igfxpers.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\snpstd3]
      --------- 2007-05-10 13:18 835584 c:\windows\VSNPSTD3.EXE

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
      -rahs---- 2009-01-26 15:31 2144088 c:\program files\Spybot - Search & Destroy\TeaTimer.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
      --a------ 2009-02-12 10:21 148888 c:\program files\Java\jre6\bin\jusched.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\tsnpstd3]
      --a------ 2007-04-21 09:37 270336 c:\windows\TSNPSTD3.EXE

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
      --a------ 2005-05-03 18:43 69632 c:\windows\Alcmtr.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
      --a------ 2006-10-30 19:49 16269312 c:\windows\RTHDCPL.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
      --a------ 2006-05-16 18:04 2882560 c:\windows\SkyTel.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
      "DisableMonitoring"=dword:00000001

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
      "EnableFirewall"= 0 (0x0)

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
      "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
      "%windir%\\system32\\sessmgr.exe"=
      "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
      "c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
      "c:\\Program Files\\Caffe\\Server.exe"=

      R0 kcxrjmoq;kcxrjmoq;c:\windows\system32\drivers\kcxrjmoq.sys [2009-02-09 33920]
      R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2009-02-13 28544]
      R1 BIOS;BIOS;c:\windows\system32\drivers\BIOS.sys [2009-02-09 13696]
      R2 ekrn;Eset Service;c:\program files\ESET\ESET Smart Security\ekrn.exe [2008-07-01 468224]
      .
      - - - - ORPHELINS SUPPRIMES - - - -

      HKU-Default-Run-services - c:\windows\services.exe
      MSConfigStartUp-AVG8_TRAY - c:\progra~1\AVG\AVG8\avgtray.exe
      MSConfigStartUp-Rxuxobeyitamewi - c:\windows\Bsosuy.dll
      MSConfigStartUp-services - c:\windows\SERVICES.EXE


      .
      ------- Examen supplémentaire -------
      .
      uInternet Settings,ProxyOverride = local
      uInternet Settings,ProxyServer = 127.0.0.1:9666
      IE: Download with IDM - c:\program files\Internet Download Manager\IEExt.htm
      IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
      IE: Télécharger avec IDM - c:\program files\Internet Download Manager\IEExt.htm
      IE: Télécharger le contenu de video FLV avec IDM - c:\program files\Internet Download Manager\IEGetVL.htm
      IE: Télécharger tous les liens avec IDM - c:\program files\Internet Download Manager\IEGetAll.htm
      DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
      FF - ProfilePath - c:\documents and settings\Cybermedi@\Application Data\Mozilla\Firefox\Profiles\7jnfpkmt.default\
      FF - component: c:\documents and settings\Cybermedi@\Application Data\IDM\idmmzcc2\components\idmmzcc.dll
      FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
      .

      **************************************************************************

      catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2009-02-13 17:28:22
      Windows 5.1.2600 Service Pack 3 NTFS

      Recherche de processus cachés ...

      Recherche d'éléments en démarrage automatique cachés ...

      Recherche de fichiers cachés ...

      Scan terminé avec succès
      Fichiers cachés: 0

      **************************************************************************
      .
      ------------------------ Autres processus actifs ------------------------
      .
      c:\program files\Java\jre6\bin\jqs.exe
      c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe
      c:\windows\system32\wbem\wmiapsrv.exe
      c:\windows\system32\wscntfy.exe
      .
      **************************************************************************
      .
      Heure de fin: 2009-02-13 17:29:45 - La machine a redémarré
      ComboFix-quarantined-files.txt 2009-02-13 16:29:43

      Avant-CF: 35,723,550,720 octets libres
      Après-CF: 35,767,373,824 octets libres

      WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
      [boot loader]
      timeout=2
      default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
      [operating systems]
      c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
      multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

      294 --- E O F --- 2009-02-12 19:00:38



      Hijack This



      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 17:36:43, on 13/02/2009
      Platform: Windows XP SP3 (WinNT 5.01.2600)
      MSIE: Internet Explorer v7.00 (7.00.6000.16791)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\ESET\ESET Smart Security\ekrn.exe
      C:\Program Files\Java\jre6\bin\jqs.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\wbem\wmiapsrv.exe
      C:\Program Files\ESET\ESET Smart Security\egui.exe
      C:\WINDOWS\FixCamera.exe
      C:\WINDOWS\tsnpstd3.exe
      C:\Program Files\Internet Download Manager\IDMan.exe
      C:\Program Files\Windows Live\Messenger\msnmsgr.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Internet Download Manager\IEMonitor.exe
      C:\WINDOWS\system32\wuauclt.exe
      C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:9666
      R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
      O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
      O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
      O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
      O4 - HKLM\..\Run: [FixCamera] C:\WINDOWS\FixCamera.exe
      O4 - HKLM\..\Run: [tsnpstd3] C:\WINDOWS\tsnpstd3.exe
      O4 - HKCU\..\Run: [Caffe-Server] C:\Program Files\Caffe\Server.exe
      O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
      O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
      O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
      O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
      O8 - Extra context menu item: Télécharger avec IDM - C:\Program Files\Internet Download Manager\IEExt.htm
      O8 - Extra context menu item: Télécharger le contenu de video FLV avec IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
      O8 - Extra context menu item: Télécharger tous les liens avec IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
      O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
      O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
      O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
      O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\system32\shdocvw.dll
      O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\system32\shdocvw.dll
      O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
      O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
      O23 - Service: avp - Kaspersky Lab - D:\Mes Documents\Downloads\Compressed\1227KASPAV2009PO_www.softarchive.net\1227KASPAV2009PO_www.softarchive.net\Setup\Portable KAV\avp.exe
      O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
      O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
      O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
      0
  4. totobetourne Messages postés 5677 Statut Membre 65
     
    on va y arriver.soyons optimiste. toutes les idees sont les bienvenues.
    0
    1. ADAM
       
      j'ai oublié voila aussi le rapport de l'anti malware
      Malwarebytes' Anti-Malware 1.34
      Version de la base de données: 1757
      Windows 5.1.2600 Service Pack 3

      13/02/2009 17:16:09
      mbam-log-2009-02-13 (17-16-09).txt

      Type de recherche: Examen complet (C:\|D:\|)
      Eléments examinés: 196844
      Temps écoulé: 1 hour(s), 0 minute(s), 32 second(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 0
      Valeur(s) du Registre infectée(s): 0
      Elément(s) de données du Registre infecté(s): 0
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 2

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Valeur(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Elément(s) de données du Registre infecté(s):
      (Aucun élément nuisible détecté)

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      D:\Mes Documents\Downloads\convertor\video\Ashampo Movie shrink and burn\keygen.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\TDSSfpmp.dll (Rootkit.Agent) -> Quarantined and deleted successfully.
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Tu as un fichier système de Windows infecté par Virut, je ne te garantis rien.

    Je n'ai plus la procédure pour AVPTool mais essaie de désinfecter quand même avec le programme :
    ftp://ftp.kaspersky.com/devbuilds/AVPTool/setup_7.0.0.290_13.02.2009_19-20.exe
    0
    1. ADAM
       
      Merci infiniment totobetourne destrio et marie
      mais que puisse je fair maintenat avc la connexion coupé? j'arrive meme pas à fair un ping sur mon medem ou mes autres postes
      et pour le fichier systeme infecté ya t il une maniere de le restaurer si je fais un Boot sur mon cd windows xp
      0
      1. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324 > ADAM
         
        Une réparation Windows peut-être :
        https://forums.cnetfrance.fr
        0
      2. noctambule28 Messages postés 25275 Date d'inscription   Statut Membre Dernière intervention   2 875 > ADAM
         
        Salut

        Tu commences par sauvegarder tes documents, aucun executable.
        La suite arrive, il te faudrait une clé usb ( qui ne devra rentrer en contact qu'une fois avec ton pc malade)

        Peu de chance de récuperer le système, mais dans tous les cas , tu reviens ici car un simple formatage ne sera pas suffisant.
        0
  7. totobetourne Messages postés 5677 Statut Membre 65
     
    destrio et marie je vous regarde car cela semble bien difficile , meme si on enlevait les differentes parties de l infection
    avec cela c:\windows\explorer.exe . . . est infecté!! cela parait tendu mais bon je suis la pour apprendre egalement.
    0
  8. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Bonsoir à tous,
    Coucou Marie,

    Pour ta connection, tente d'abord ceci (c'est simple et rapide)
    http://www.windowsfacile.com/winsock_xp_fix.html

    Et supprime ce crack D:\Mes Documents\Downloads\convertor\video\Ashampo Movie shrink and burn

    Merci
    Al.
    0
    1. noctambule28 Messages postés 25275 Date d'inscription   Statut Membre Dernière intervention   2 875
       
      Salut A!
      Il y a beaucoup de risque à faire transferer d'un pc à l'autre , non ?
      Il vaudrait mieux passer tout par clé , mais en une fois.
      0
    2. ADAM
       
      Merci Afideg la connexion a été réparé par winsock xp fix mais il a desactivé le pare feu de mon anti virus.
      Je suis en train de fair un scan avc "REmoval tool" et puis je essaierai de réaprer les fichier systemes à partir du CD xp et je vous dirai, car j peu pas formater tous mon disque dur puisque j'ai au moin 80 GO de document et de fichiers clients et c difficile de les transfere sur un autre pc vue la taille (80 go)
      Merci infiniment pour tous vos aides précieux
      0
      1. ADAM > ADAM
         
        Voici un nouveau rapport hijack this aprés scan avc " removal tool" et réparation avc cd xp
        Logfile of Trend Micro HijackThis v2.0.2
        Scan saved at 20:08:54, on 13/02/2009
        Platform: Windows XP SP3 (WinNT 5.01.2600)
        MSIE: Internet Explorer v7.00 (7.00.6000.16791)
        Boot mode: Normal

        Running processes:
        C:\WINDOWS\System32\smss.exe
        C:\WINDOWS\system32\winlogon.exe
        C:\WINDOWS\system32\services.exe
        C:\WINDOWS\system32\lsass.exe
        C:\WINDOWS\system32\svchost.exe
        C:\WINDOWS\System32\svchost.exe
        C:\WINDOWS\system32\spoolsv.exe
        C:\WINDOWS\Explorer.EXE
        C:\Program Files\ESET\ESET Smart Security\egui.exe
        C:\WINDOWS\FixCamera.exe
        C:\WINDOWS\tsnpstd3.exe
        C:\Program Files\Internet Download Manager\IDMan.exe
        C:\Program Files\Windows Live\Messenger\msnmsgr.exe
        C:\WINDOWS\system32\ctfmon.exe
        C:\Program Files\ESET\ESET Smart Security\ekrn.exe
        C:\Program Files\Java\jre6\bin\jqs.exe
        C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe
        C:\WINDOWS\system32\svchost.exe
        C:\Program Files\Internet Download Manager\IEMonitor.exe
        C:\WINDOWS\system32\wbem\wmiapsrv.exe
        C:\WINDOWS\System32\svchost.exe
        C:\WINDOWS\system32\wuauclt.exe
        C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
        C:\WINDOWS\system32\wscntfy.exe

        R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
        R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
        R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:9666
        R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
        R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
        O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
        O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
        O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
        O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
        O4 - HKLM\..\Run: [FixCamera] C:\WINDOWS\FixCamera.exe
        O4 - HKLM\..\Run: [tsnpstd3] C:\WINDOWS\tsnpstd3.exe
        O4 - HKCU\..\Run: [Caffe-Server] C:\Program Files\Caffe\Server.exe
        O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
        O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
        O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
        O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
        O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
        O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
        O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
        O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
        O8 - Extra context menu item: Télécharger avec IDM - C:\Program Files\Internet Download Manager\IEExt.htm
        O8 - Extra context menu item: Télécharger le contenu de video FLV avec IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
        O8 - Extra context menu item: Télécharger tous les liens avec IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
        O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
        O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
        O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
        O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\system32\shdocvw.dll
        O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\system32\shdocvw.dll
        O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
        O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
        O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
        O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
        O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
        O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
        O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
        O23 - Service: avp - Kaspersky Lab - D:\Mes Documents\Downloads\Compressed\1227KASPAV2009PO_www.softarchive.net\1227KASPAV2009PO_www.softarchive.net\Setup\Portable KAV\avp.exe
        O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
        O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
        O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
        0
  9. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Tu n'as pas eu de rapport avec AVPTool ?
    0
    1. ADAM
       
      AVPTool n'a rien détecté ( Detected 0) donc j'ai pas enregistré le rapport
      0
  10. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    ---> Fais analyser ce fichier : C:\WINDOWS\Explorer.EXE

    ---> Sur VirusTotal et poste le lien de l'analyse :
    https://www.virustotal.com/gui/
    0
  11. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Adam,

    Peux-tu lancer cette application, stp ?

    Télécharge DiagHelp.zip < http://www.malekal.com/download/DiagHelp.zip > sur ton bureau
    < http://img521.imageshack.us/img521/3341/screenshot426fc5.png >
    - - Ne double-clic pas dessus !!

    Clic sur l'icône DiagHelp.zip téléchargé sur le bureau > "clic-droit" sur le fichier .zip > "Ouvrir" > un nouveau dossier va être créé sous le nom DiagHelp sur une page qui s'affiche > sur cette page, clic sur "Fichier" > "Extraire tout" > Un assistant d'extraction s'ouvre ==> [Suivant] > [Suivant] (cocher la case devant "afficher les fichiers extraits") > [Terminer]

    ((( Ou alors, …un nouveau dossier va être créé sous le nom « DiagHelp » sur une page qui s'affiche ; faire clic-droit sur ce dossier « DiagHelp » dans la plage de droite, > comme ceci : https://imageshack.com/ puis « Extraire » )))

    À nouveau, une page s'affiche avec le dossier DiagHelp > Ouvre-le et clic sur le fichier "go.cmd" < http://img392.imageshack.us/img392/9054/screenshot416to8.png > ----> et sur cette page, < http://img512.imageshack.us/img512/9692/screenshot427ci2.png > choisis l'option 1 (= tape 1 sur le petit clignotant, puis [Exécuter]

    Notes:
    1)- Lors du scan, une fenêtre "Sysinternals Software Licence Terms" va s'ouvrir > clique sur "Agree"

    2)- Si un antivirus détecte Troj/INJECT MF, ou nom approchant, choisis "ignorer" c'est une fausse alerte.

    3)- Tu vas certainement recevoir une alerte du pare-feu te demandant si tu acceptes que le processus "sigcheck.exe" puisse se connecter à Internet > "Accepte".

    4)- Pendant l'analyse, à la fin du rapport "catchme", il te sera demandé d'appuyer sur une touche afin de poursuivre le scan, suis bien les instructions à l'écran! N'oublie pas !

    5- A la fin du scan tu seras dirigé vers la page de l'auteur afin d'expédier le fichier C:\upload_moi_xxxxx.zip ==> Envoie le fichier (c'est chez le concepteur) s’il te plaît.

    Si tu reçois un message d'erreur ferme simplement la page internet et clique sur la touche [Enter], pour laisser terminer le scan et avoir accès au fichier texte.
    •- A la fin de l'analyse, il te sera redemandé de redémarrer l'ordinateur...
    •- Une fois l'ordinateur redémarré le rapport va apparaître sur le bloc-notes.
    Ce dernier se trouve sur C:\resultat.txt
    - Copie/colle le contenu du bloc-notes qui s'ouvre, pour cela : « Dans le bloc-notes, cliquez sur le menu Edition / Sélectionner tout > à nouveau menu Edition / copier > pour terminer dans un nouveau message ici, faire un clic droit / coller. »

    - Tutoriel ici : < http://www.malekal.com/DiagHelp/DiagHelp.php >

    Merci
    Al.
    0
    1. ADAM
       
      Voila le resultat de l'analyse du fichier explorer.exe sur https://www.virustotal.com/gui/ et le rapport de " Diaghelp" qui a été uploadé à www.malekal.com mais comment je peux avoir le resultat de l'analyse de ce site afideg

      Virustotal

      Fichier EXPLORER.EXE reçu le 2009.02.13 20:31:26 (CET)
      Antivirus Version Dernière mise à jour Résultat
      a-squared 4.0.0.93 2009.02.13 Trojan.Win32.Patched!IK
      AhnLab-V3 2009.2.14.0 2009.02.13 -
      AntiVir 7.9.0.79 2009.02.13 -
      Authentium 5.1.0.4 2009.02.13 -
      Avast 4.8.1335.0 2009.02.13 -
      AVG 8.0.0.237 2009.02.13 -
      BitDefender 7.2 2009.02.13 -
      CAT-QuickHeal 10.00 2009.02.13 -
      ClamAV 0.94.1 2009.02.13 -
      Comodo 974 2009.02.13 -
      DrWeb 4.44.0.09170 2009.02.13 -
      eSafe 7.0.17.0 2009.02.12 -
      eTrust-Vet 31.6.6356 2009.02.13 -
      F-Prot 4.4.4.56 2009.02.13 W32/Patched.E.gen!Eldorado
      F-Secure 8.0.14470.0 2009.02.13 -
      Fortinet 3.117.0.0 2009.02.13 -
      GData 19 2009.02.13 -
      Ikarus T3.1.1.45.0 2009.02.13 Trojan.Win32.Patched
      K7AntiVirus 7.10.582 2009.01.09 -
      Kaspersky 7.0.0.125 2009.02.13 -
      McAfee 5525 2009.02.13 -
      McAfee+Artemis 5524 2009.02.12 -
      Microsoft 1.4306 2009.02.13 -
      NOD32 3852 2009.02.13 -
      Norman 6.00.02 2009.02.13 -
      nProtect 2009.1.8.0 2009.02.13 -
      Panda 9.4.3.20 2009.02.13 -
      PCTools 4.4.2.0 2009.02.13 -
      Prevx1 V2 2009.02.13 -
      Rising 21.16.42.00 2009.02.13 -
      SecureWeb-Gateway 6.7.6 2009.02.13 -
      Sophos 4.38.0 2009.02.13 -
      Sunbelt 3.2.1851.2 2009.02.12 -
      Symantec 10 2009.02.13 -
      TheHacker 6.3.2.0.255 2009.02.13 -
      TrendMicro 8.700.0.1004 2009.02.13 PE_VIRUX.A-6
      VBA32 3.12.8.12 2009.02.13 -
      ViRobot 2009.2.13.1605 2009.02.13 -
      VirusBuster 4.5.11.0 2009.02.13 -
      Information additionnelle
      File size: 1037824 bytes
      MD5...: 34d64cb8a5bcd3f5262d0cf9b14fed0e
      SHA1..: 3d2312cb5d2aa6133b35140826462acbc3586b6a
      SHA256: e26ee9bca430b4b986a401a149fca20c5d53f187c13dfa6b0f6df9617b0f41bc
      SHA512: 539ca6dd0930463dec9a68020ed805452ed0ea46223ebd4d32b43bd5938b341c<br>43442e8afa5592112dbeb92987053641211dc3be416d708420b98125e0fd0157
      ssdeep: 12288:6HmcoCUyZtwAvAs4wTCyrPTklvGVa/oXqoJpaz/g/J/v1S:4mfty/wAvN7<br>lrglvGEoXJaz/g/J/t<br>
      PEiD..: -
      TrID..: File type identification<br>Generic Win/DOS Executable (49.9%)<br>DOS Executable Generic (49.8%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0


      DiagHelp


      DiagHelp version v1.4 - http://www.malekal.com
      excute le 13/02/2009 à 20:50:27.39

      System information for \\SERVEUR:
      Uptime: Error reading uptime
      Kernel version: Microsoft Windows XP, Multiprocessor Free
      Product type: Professional
      Product version: 5.1
      Service pack: 3
      Kernel build number: 2600
      Registered organization:
      Registered owner: SERVEUR
      Install date: 09/02/2009, 16:30:28
      Activation status: Error reading status
      IE version: 7.0000
      System root: C:\WINDOWS
      Processors: 2
      Processor speed: 1.6 GHz
      Processor type: Genuine Intel(R) CPU 2140 @
      Physical memory: 1528 MB
      Video driver: Intel(R) 82945G Express Chipset Family
      Volume Type Format Label Size Free Free
      A: Removable 0.0%
      C: Fixed NTFS 40.00 GB 33.16 GB 82.9%
      D: Fixed NTFS 113.37 GB 36.86 GB 32.5%
      E: Removable 0.0%
      F: Removable 0.0%
      G: Removable 0.0%
      H: Removable 0.0%
      I: CD-ROM 0.0%
      J: Removable FAT32 FADHEL 977.04 MB 942.86 MB 96.5%


      C:\WINDOWS\prefetch\PSINFO.EXE-0434007C.pf -->13/02/2009 20:50:37
      C:\WINDOWS\prefetch\CMD.EXE-087B4001.pf -->13/02/2009 20:50:27
      C:\WINDOWS\prefetch\CHCP.COM-18156052.pf -->13/02/2009 20:50:24
      C:\WINDOWS\prefetch\WINRAR.EXE-39C6DAD9.pf -->13/02/2009 20:50:00
      C:\WINDOWS\prefetch\VERCLSID.EXE-3667BD89.pf -->13/02/2009 20:48:57
      C:\WINDOWS\prefetch\JQSNOTIFY.EXE-24AE4A36.pf -->13/02/2009 20:42:03
      C:\WINDOWS\prefetch\NOTEPAD.EXE-336351A9.pf -->13/02/2009 20:40:48
      C:\WINDOWS\prefetch\IMAPI.EXE-0BF740A4.pf -->13/02/2009 20:24:23
      C:\WINDOWS\prefetch\RUNDLL32.EXE-451FC2C0.pf -->13/02/2009 20:24:13
      C:\WINDOWS\prefetch\WMPLAYER.EXE-18DDEF9C.pf -->13/02/2009 20:22:22

      C:\WINDOWS\System32\drivers\fidbox.dat -->13/02/2009 19:48:17
      C:\WINDOWS\System32\drivers\fidbox.idx -->13/02/2009 18:43:50
      C:\WINDOWS\System32\drivers\mbamswissarmy.sys -->11/02/2009 10:19:42
      C:\WINDOWS\System32\drivers\mbam.sys -->11/02/2009 10:19:34
      C:\WINDOWS\System32\drivers\ndisio.sys -->09/02/2009 20:46:45
      C:\WINDOWS\System32\drivers\kcxrjmoq.sys -->09/02/2009 19:24:07
      C:\WINDOWS\System32\drivers\srv.sys -->11/12/2008 11:57:09

      C:\WINDOWS\System32\PerfStringBackup.INI -->13/02/2009 11:46:19
      C:\WINDOWS\System32\perfh00C.dat -->13/02/2009 11:46:19
      C:\WINDOWS\System32\perfh009.dat -->13/02/2009 11:46:19
      C:\WINDOWS\System32\perfc00C.dat -->13/02/2009 11:46:19
      C:\WINDOWS\System32\perfc009.dat -->13/02/2009 11:46:19
      C:\WINDOWS\System32\FNTCACHE.DAT -->12/02/2009 20:01:34
      C:\WINDOWS\System32\TZLog.log -->12/02/2009 20:00:17
      C:\WINDOWS\System32\wscript.exe -->12/02/2009 13:33:40
      C:\WINDOWS\System32\cscript.exe -->12/02/2009 13:33:40
      C:\WINDOWS\System32\tzchange.exe -->12/02/2009 13:33:39
      C:\WINDOWS\System32\javaws.exe -->12/02/2009 10:21:13
      C:\WINDOWS\System32\javaw.exe -->12/02/2009 10:21:13
      C:\WINDOWS\System32\javacpl.cpl -->12/02/2009 10:21:13
      C:\WINDOWS\System32\java.exe -->12/02/2009 10:21:13
      C:\WINDOWS\System32\deploytk.dll -->12/02/2009 10:21:13
      C:\WINDOWS\System32\356.tmp -->10/02/2009 11:12:43
      C:\WINDOWS\System32\96.tmp -->10/02/2009 11:01:10
      C:\WINDOWS\System32\45.tmp -->10/02/2009 10:10:16
      C:\WINDOWS\System32\3C.tmp -->10/02/2009 10:10:14
      C:\WINDOWS\System32\31.tmp -->10/02/2009 10:09:03
      C:\WINDOWS\System32\D2.tmp -->10/02/2009 09:32:44
      C:\WINDOWS\System32\30.tmp -->10/02/2009 09:05:46
      C:\WINDOWS\System32\AE.tmp -->10/02/2009 08:01:21
      C:\WINDOWS\System32\A2.tmp -->10/02/2009 06:59:46
      C:\WINDOWS\System32\9F.tmp -->10/02/2009 06:41:29

      C:\WINDOWS\NeroDigital.ini -->13/02/2009 20:22:22
      C:\WINDOWS\WindowsUpdate.log -->13/02/2009 20:08:52
      C:\WINDOWS\0.log -->13/02/2009 20:07:51
      C:\WINDOWS\wiadebug.log -->13/02/2009 20:07:50
      C:\WINDOWS\wiaservc.log -->13/02/2009 20:07:49
      C:\WINDOWS\bootstat.dat -->13/02/2009 20:07:35
      C:\WINDOWS\setupapi.log -->13/02/2009 18:43:25
      C:\WINDOWS\SchedLgU.Txt -->13/02/2009 18:41:17
      C:\WINDOWS\resetlog.txt -->13/02/2009 18:40:59
      C:\WINDOWS\nsw.log -->13/02/2009 18:10:40
      C:\WINDOWS\tsoc.log -->13/02/2009 17:33:42
      C:\WINDOWS\tabletoc.log -->13/02/2009 17:33:42
      C:\WINDOWS\ocmsn.log -->13/02/2009 17:33:42
      C:\WINDOWS\ocgen.log -->13/02/2009 17:33:42
      C:\WINDOWS\ntdtcsetup.log -->13/02/2009 17:33:42


      Le volume dans le lecteur C n'a pas de nom.
      Le numéro de série du volume est 5031-3FFD

      Répertoire de C:\WINDOWS

      13/02/2009 17:33 <REP> $hf_mig$
      12/02/2009 09:15 <REP> $NtUninstallKB898461$
      12/02/2009 19:59 <REP> $NtUninstallKB929399$
      12/02/2009 19:58 <REP> $NtUninstallKB938464$
      12/02/2009 19:59 <REP> $NtUninstallKB941569$
      12/02/2009 20:00 <REP> $NtUninstallKB946648$
      12/02/2009 19:58 <REP> $NtUninstallKB950760$
      12/02/2009 19:59 <REP> $NtUninstallKB950762$
      12/02/2009 20:00 <REP> $NtUninstallKB950974$
      12/02/2009 19:58 <REP> $NtUninstallKB951066$
      12/02/2009 20:00 <REP> $NtUninstallKB951376-v2$
      12/02/2009 20:00 <REP> $NtUninstallKB951698$
      12/02/2009 19:58 <REP> $NtUninstallKB951748$
      12/02/2009 20:00 <REP> $NtUninstallKB951978$
      12/02/2009 19:58 <REP> $NtUninstallKB952069_WM9$
      12/02/2009 19:59 <REP> $NtUninstallKB952287$
      12/02/2009 20:00 <REP> $NtUninstallKB952954$
      12/02/2009 19:58 <REP> $NtUninstallKB954154_WM11$
      12/02/2009 19:59 <REP> $NtUninstallKB954211$
      12/02/2009 19:58 <REP> $NtUninstallKB954459$
      12/02/2009 19:58 <REP> $NtUninstallKB954600$
      12/02/2009 19:58 <REP> $NtUninstallKB955069$
      12/02/2009 20:00 <REP> $NtUninstallKB955839$
      12/02/2009 19:58 <REP> $NtUninstallKB956802$
      12/02/2009 20:00 <REP> $NtUninstallKB956803$
      12/02/2009 19:59 <REP> $NtUninstallKB956841$
      12/02/2009 19:59 <REP> $NtUninstallKB957097$
      12/02/2009 19:58 <REP> $NtUninstallKB958644$
      12/02/2009 19:59 <REP> $NtUninstallKB958687$
      12/02/2009 19:59 <REP> $NtUninstallKB960715$
      12/02/2009 12:23 <REP> CSC
      13/02/2009 18:43 <REP> inf
      12/02/2009 10:21 <REP> Installer
      28/08/2001 13:00 49,102 winnt.bmp
      28/08/2001 13:00 49,102 winnt256.bmp
      3 fichier(s) 98,953 octets
      33 Rép(s) 35,599,929,344 octets libres
      Le volume dans le lecteur C n'a pas de nom.
      Le numéro de série du volume est 5031-3FFD

      Répertoire de C:\WINDOWS\system32

      13/02/2009 17:33 <REP> dllcache
      09/02/2009 20:46 66,560 secupdat.dat
      8 fichier(s) 71,281 octets
      1 Rép(s) 35,599,921,152 octets libres
      winlogon.exe
      Verified: Signed
      svchost.exe
      Verified: Signed
      ws2_32.dll
      Verified: Signed
      user32.dll
      Verified: Signed
      tcpip.sys
      Verified: Signed
      ndis.sys
      Verified: Signed
      null.sys
      Verified: Signed
      userinit.exe
      kernel32.dll


      ListDLLs v2.25 - DLL lister for Win9x/NT
      Copyright (C) 1997-2004 Mark Russinovich
      Sysinternals - www.sysinternals.com

      ------------------------------------------------------------------------------
      EXPLORER.EXE pid: 1236
      Command line: C:\WINDOWS\Explorer.EXE

      Base Size Version Path
      0x77be0000 0x58000 7.00.2600.5512 C:\WINDOWS\system32\msvcrt.dll
      0x779e0000 0x97000 5.131.2600.5512 C:\WINDOWS\system32\CRYPT32.dll
      0x76610000 0x84000 5.131.2600.5512 C:\WINDOWS\system32\CRYPTUI.dll
      0x44080000 0xd0000 7.00.6000.16791 C:\WINDOWS\system32\WININET.dll
      0x00400000 0x9000 6.00.5441.0000 C:\WINDOWS\system32\Normaliz.dll
      0x43e00000 0x45000 7.00.6000.16791 C:\WINDOWS\system32\iertutil.dll
      0x76be0000 0x2e000 5.131.2600.5512 C:\WINDOWS\system32\WINTRUST.dll
      0x753c0000 0x6b000 1.420.2600.5512 C:\WINDOWS\system32\USP10.dll
      0x58b50000 0x9a000 5.82.2900.5512 C:\WINDOWS\system32\comctl32.dll
      0x76f80000 0x7f000 2001.12.4414.0700 C:\WINDOWS\system32\CLBCATQ.DLL
      0x77000000 0xd4000 2001.12.4414.0700 C:\WINDOWS\system32\COMRes.dll
      0x76ac0000 0x11000 3.05.2284.0001 C:\WINDOWS\system32\ATL.DLL
      0x44360000 0x5cd000 7.00.6000.16791 C:\WINDOWS\system32\ieframe.dll
      0x7d200000 0x2bc000 3.01.4001.5512 C:\WINDOWS\system32\msi.dll
      0x76010000 0x65000 6.02.3104.0000 C:\WINDOWS\system32\MSVCP60.dll
      0x44160000 0x127000 7.00.6000.16791 C:\WINDOWS\system32\urlmon.dll
      0x442b0000 0x3c000 7.00.6000.16791 C:\WINDOWS\system32\webcheck.dll
      0x164a0000 0x23000 5.02.5721.5145 C:\WINDOWS\system32\wpdshserviceobj.dll
      0x109c0000 0x2c000 5.02.5721.5145 C:\WINDOWS\system32\portabledevicetypes.dll
      0x10930000 0x49000 5.02.5721.5145 C:\WINDOWS\system32\portabledeviceapi.dll
      0x10000000 0x7000 5.15.0004.0000 C:\Program Files\Internet Download Manager\idmmkb.dll
      0x02ec0000 0x5b000 8.01.0000.0000 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.dll
      0x78130000 0x9b000 8.00.50727.0762 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\MSVCR80.dll
      0x02f20000 0x4c000 8.00.0000.0000 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.FRA
      0x14070000 0x1b000 11.00.5721.5145 C:\WINDOWS\system32\wmpshell.dll
      0x00f40000 0x2b000 C:\Program Files\WinRAR\rarext.dll
      0x00d80000 0x12000 1.01.0000.0000 C:\Program Files\Malwarebytes' Anti-Malware\mbamext.dll
      0x358f0000 0xc000 8.00.0000.0357 D:\Mes Documents\Downloads\Compressed\1227KASPAV2009PO_www.softarchive.net\1227KASPAV2009PO_www.softarchive.net\Setup\Portable KAV\ShellEx.dll
      0x7c420000 0x87000 8.00.50727.0762 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\MSVCP80.dll
      0x22000000 0x2e000 3.00.0669.0000 C:\Program Files\ESET\ESET Smart Security\shellExt.dll
      0x02b90000 0x26000 5.15.0006.0000 C:\Program Files\Internet Download Manager\IDMIECC.dll
      0x00960000 0x10000 8.00.0000.0456 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
      0x6bd10000 0x10000 12.00.4518.1014 C:\Program Files\Microsoft Office\Office12\msohevi.dll
      0x74bf0000 0x2c000 4.02.5406.0000 C:\WINDOWS\system32\Oleacc.dll

      ListDLLs v2.25 - DLL lister for Win9x/NT
      Copyright (C) 1997-2004 Mark Russinovich
      Sysinternals - www.sysinternals.com

      ------------------------------------------------------------------------------
      winlogon.exe pid: 448
      Command line: winlogon.exe

      Base Size Version Path
      0x01000000 0x82000 \??\C:\WINDOWS\system32\winlogon.exe
      0x77be0000 0x58000 7.00.2600.5512 C:\WINDOWS\system32\msvcrt.dll
      0x779e0000 0x97000 5.131.2600.5512 C:\WINDOWS\system32\CRYPT32.dll
      0x76be0000 0x2e000 5.131.2600.5512 C:\WINDOWS\system32\WINTRUST.dll
      0x753c0000 0x6b000 1.420.2600.5512 C:\WINDOWS\system32\USP10.dll
      0x58b50000 0x9a000 5.82.2900.5512 C:\WINDOWS\system32\COMCTL32.dll
      0x74730000 0x3d000 3.525.1132.0000 C:\WINDOWS\system32\ODBC32.dll
      0x1f840000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
      0x77000000 0xd4000 2001.12.4414.0700 C:\WINDOWS\system32\COMRes.dll
      0x76f80000 0x7f000 2001.12.4414.0700 C:\WINDOWS\system32\CLBCATQ.DLL


      Contenu de Downloaded Program Files
      Le volume dans le lecteur C n'a pas de nom.
      Le numéro de série du volume est 5031-3FFD

      Répertoire de C:\WINDOWS\Downloaded Program Files

      13/02/2009 15:39 <REP> .
      13/02/2009 15:39 <REP> ..
      30/06/2008 10:39 128,256 as2stubie.dll
      27/06/2008 16:47 289 as2stubie.inf
      07/12/2004 17:07 32 bdcore.dll
      25/05/2006 01:21 118,784 bdupd.dll
      09/02/2009 16:26 65 desktop.ini
      25/05/2006 01:21 53,248 ipsupd.dll
      16/03/2005 12:34 7,407 lang.ini
      07/12/2004 17:07 32 libfn.dll
      13/02/2008 17:55 130 live.ini
      29/10/2007 16:45 1,244 oscan8.inf
      25/10/2007 16:54 471,040 oscan8.ocx
      14/03/2005 14:58 7,073 scanoptions.tsi
      12 fichier(s) 787,600 octets

      Total des fichiers listés :
      12 fichier(s) 787,600 octets
      2 Rép(s) 35,599,831,040 octets libres

      Recherche de rootkit! (Merci S!Ri)

      Recherche d'infections connues

      Export des clefs sensibles..


      Liste des fichiers en exception sur le pare-feu XP SP2

      "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
      "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
      "C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
      "C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
      "C:\\Program Files\\Caffe\\Server.exe"="C:\\Program Files\\Caffe\\Server.exe:*:Enabled:Internet Caffe Server"

      "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
      "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
      "C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
      "C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

      Export de la clef SharedTaskScheduler

      [SharedTaskScheduler]
      "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
      "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"



      exports des policies
      REGEDIT4

      [system]
      "dontdisplaylastusername"=dword:00000000
      "legalnoticecaption"=""
      "legalnoticetext"=""
      "shutdownwithoutlogon"=dword:00000001
      "undockwithoutlogon"=dword:00000001
      "DisableRegistryTools"=dword:00000000



      Export des clefs sensibles..
      Rechercher adresses sensibles dans le fichier HOSTS...
      catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2009-02-13 20:54:16
      Windows 5.1.2600 Service Pack 3 NTFS

      scanning hidden services & system hive ...

      scanning hidden registry entries ...

      scanning hidden files ...

      scan completed successfully
      hidden services: 0
      hidden files: 0


      Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

      device: opened successfully
      user: MBR read successfully
      kernel: MBR read successfully
      user & kernel MBR OK

      KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

      Process list by traversal of KiWaitListHead

      4 - System
      424 - csrss.exe
      448 - winlogon.exe
      492 - services.exe
      504 - lsass.exe
      664 - svchost.exe
      712 - svchost.exe
      752 - svchost.exe
      848 - svchost.exe
      1220 - CMD.EXE
      1236 - EXPLORER.EXE
      1388 - egui.exe
      1396 - FIXCAMERA.EXE
      1404 - TSNPSTD3.EXE
      1420 - IDMan.exe
      1436 - ctfmon.exe
      1800 - ekrn.exe
      1828 - jqs.exe
      1876 - mdm.exe
      1964 - svchost.exe
      2132 - alg.exe
      2332 - IEMonitor.exe
      2372 - wmiapsrv.exe
      2572 - svchost.exe

      Total number of processes = 24
      NOTE: Under WinXP, this will not show all processes.

      KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

      Driver/Module list by traversal of PsLoadedModuleList

      804D7000 - \WINDOWS\system32\ntkrnlpa.exe
      806E4000 - \WINDOWS\system32\hal.dll
      BA5A8000 - \WINDOWS\system32\KDCOM.DLL
      BA4B8000 - \WINDOWS\system32\BOOTVID.dll
      B9F78000 - ACPI.sys
      BA5AA000 - \WINDOWS\system32\DRIVERS\WMILIB.SYS
      B9F67000 - pci.sys
      BA0A8000 - isapnp.sys
      BA670000 - pciide.sys
      BA328000 - \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
      BA0B8000 - MountMgr.sys
      B9F48000 - ftdisk.sys
      BA5AC000 - dmload.sys
      B9F22000 - dmio.sys
      BA330000 - PartMgr.sys
      BA338000 - pavboot.sys
      BA0C8000 - VolSnap.sys
      B9F0A000 - atapi.sys
      BA0D8000 - disk.sys
      BA0E8000 - \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
      BA0F8000 - kcxrjmoq.sys
      B9EEA000 - fltMgr.sys
      B9ED8000 - sr.sys
      B9EC1000 - KSecDD.sys
      B9E34000 - Ntfs.sys
      B9E07000 - NDIS.sys
      B9DED000 - Mup.sys
      BA1D8000 - \SystemRoot\system32\DRIVERS\intelppm.sys
      B9C84000 - \SystemRoot\system32\DRIVERS\igxpmp32.sys
      B9C70000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
      B9C48000 - \SystemRoot\system32\DRIVERS\HDAudBus.sys
      BA3B0000 - \SystemRoot\system32\DRIVERS\usbuhci.sys
      B9C24000 - \SystemRoot\system32\DRIVERS\USBPORT.SYS
      BA3B8000 - \SystemRoot\system32\DRIVERS\usbehci.sys
      BA3C0000 - \SystemRoot\system32\DRIVERS\RTL8139.SYS
      BA3C8000 - \SystemRoot\system32\DRIVERS\fdc.sys
      B9C13000 - \SystemRoot\system32\DRIVERS\serial.sys
      BA558000 - \SystemRoot\system32\DRIVERS\serenum.sys
      B9BFF000 - \SystemRoot\system32\DRIVERS\parport.sys
      BA1E8000 - \SystemRoot\system32\DRIVERS\imapi.sys
      BA1F8000 - \SystemRoot\system32\DRIVERS\cdrom.sys
      BA208000 - \SystemRoot\system32\DRIVERS\redbook.sys
      B9BDC000 - \SystemRoot\system32\DRIVERS\ks.sys
      BA218000 - \SystemRoot\system32\DRIVERS\Epfwndis.sys
      BA7A6000 - \SystemRoot\system32\DRIVERS\audstub.sys
      BA228000 - \SystemRoot\system32\DRIVERS\rasl2tp.sys
      BA564000 - \SystemRoot\system32\DRIVERS\ndistapi.sys
      B9BC5000 - \SystemRoot\system32\DRIVERS\ndiswan.sys
      BA238000 - \SystemRoot\system32\DRIVERS\raspppoe.sys
      BA248000 - \SystemRoot\system32\DRIVERS\raspptp.sys
      BA3D0000 - \SystemRoot\system32\DRIVERS\TDI.SYS
      B9B64000 - \SystemRoot\system32\DRIVERS\psched.sys
      BA258000 - \SystemRoot\system32\DRIVERS\msgpc.sys
      BA3D8000 - \SystemRoot\system32\DRIVERS\ptilink.sys
      BA3E0000 - \SystemRoot\system32\DRIVERS\raspti.sys
      B9B0C000 - \SystemRoot\system32\DRIVERS\rdpdr.sys
      BA288000 - \SystemRoot\system32\DRIVERS\termdd.sys
      BA3E8000 - \SystemRoot\system32\DRIVERS\kbdclass.sys
      BA3F0000 - \SystemRoot\system32\DRIVERS\mouclass.sys
      BA5B2000 - \SystemRoot\system32\DRIVERS\swenum.sys
      B9AAE000 - \SystemRoot\system32\DRIVERS\update.sys
      BA584000 - \SystemRoot\system32\DRIVERS\mssmbios.sys
      BA2A8000 - \SystemRoot\System32\Drivers\NDProxy.SYS
      A906E000 - \SystemRoot\system32\drivers\RtkHDAud.sys
      A904A000 - \SystemRoot\system32\drivers\portcls.sys
      BA2B8000 - \SystemRoot\system32\drivers\drmk.sys
      BA2C8000 - \SystemRoot\system32\DRIVERS\usbhub.sys
      BA5BC000 - \SystemRoot\system32\DRIVERS\USBD.SYS
      BA400000 - \SystemRoot\system32\DRIVERS\flpydisk.sys
      A8287000 - \SystemRoot\system32\DRIVERS\78457538.sys
      BA5CA000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS
      BA697000 - \SystemRoot\System32\Drivers\Null.SYS
      BA5CC000 - \SystemRoot\System32\Drivers\Beep.SYS
      BA420000 - \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
      BA428000 - \SystemRoot\System32\drivers\vga.sys
      BA5CE000 - \SystemRoot\System32\Drivers\mnmdd.SYS
      BA5D0000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys
      BA430000 - \SystemRoot\System32\Drivers\Msfs.SYS
      BA438000 - \SystemRoot\System32\Drivers\Npfs.SYS
      B9B3C000 - \SystemRoot\system32\DRIVERS\rasacd.sys
      A8254000 - \SystemRoot\system32\DRIVERS\ipsec.sys
      A81FB000 - \SystemRoot\system32\DRIVERS\tcpip.sys
      A81E9000 - \SystemRoot\system32\DRIVERS\epfwtdi.sys
      A81C3000 - \SystemRoot\system32\DRIVERS\ipnat.sys
      A819B000 - \SystemRoot\system32\DRIVERS\netbt.sys
      BA308000 - \SystemRoot\system32\DRIVERS\wanarp.sys
      A8151000 - \SystemRoot\System32\drivers\afd.sys
      BA318000 - \SystemRoot\system32\DRIVERS\netbios.sys
      A8126000 - \SystemRoot\system32\DRIVERS\rdbss.sys
      A80B6000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys
      BA128000 - \SystemRoot\System32\Drivers\Fips.SYS
      BA148000 - \SystemRoot\system32\DRIVERS\easdrv.sys
      A8F96000 - \??\C:\WINDOWS\system32\drivers\BIOS.sys
      BA440000 - \SystemRoot\system32\DRIVERS\usbccgp.sys
      A76D1000 - \SystemRoot\system32\DRIVERS\snpstd3.sys
      BA168000 - \SystemRoot\system32\DRIVERS\STREAM.SYS
      BA188000 - \SystemRoot\System32\Drivers\Cdfs.SYS
      A82C7000 - \SystemRoot\system32\DRIVERS\hidusb.sys
      BA198000 - \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
      BA460000 - \SystemRoot\system32\DRIVERS\USBSTOR.SYS
      A82B3000 - \SystemRoot\system32\DRIVERS\mouhid.sys
      B9B60000 - \SystemRoot\system32\DRIVERS\kbdhid.sys
      A7691000 - \SystemRoot\System32\Drivers\dump_atapi.sys
      BA5F2000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS
      BF800000 - \SystemRoot\System32\win32k.sys
      B9B40000 - \SystemRoot\System32\drivers\Dxapi.sys
      BA478000 - \SystemRoot\System32\watchdog.sys
      BF000000 - \SystemRoot\System32\drivers\dxg.sys
      BA79A000 - \SystemRoot\System32\drivers\dxgthk.sys
      BF024000 - \SystemRoot\System32\igxpgd32.dll
      BF012000 - \SystemRoot\System32\igxprd32.dll
      BF04D000 - \SystemRoot\System32\igxpdv32.DLL
      BF1AE000 - \SystemRoot\System32\igxpdx32.DLL
      A753D000 - \SystemRoot\system32\DRIVERS\epfw.sys
      A757D000 - \SystemRoot\system32\DRIVERS\ndisuio.sys
      A7258000 - \SystemRoot\system32\drivers\wdmaud.sys
      A8FAA000 - \SystemRoot\system32\drivers\sysaudio.sys
      A71BE000 - \SystemRoot\System32\Drivers\Fastfat.SYS
      A6E97000 - \SystemRoot\system32\DRIVERS\mrxdav.sys
      BA61C000 - \SystemRoot\System32\Drivers\ParVdm.SYS
      A6E22000 - \SystemRoot\system32\DRIVERS\eamon.sys
      A6CE6000 - \SystemRoot\system32\DRIVERS\srv.sys
      A68E5000 - \SystemRoot\System32\Drivers\HTTP.sys
      A65C2000 - \SystemRoot\system32\drivers\kmixer.sys
      BA630000 - \??\C:\DOCUME~1\CYBERM~1\LOCALS~1\Temp\mbr.sys
      BA6C7000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

      Total number of drivers = 126

      Liste des programmes installes

      168-USB PC Camera
      Adobe Flash Player 10 Plugin
      Adobe Reader 8.1.0 - Français
      CCleaner (remove only)
      Correctif pour Windows Internet Explorer 7 (KB947864)
      Correctif pour Windows XP (KB952287)
      ESET Smart Security
      HijackThis 2.0.2
      Hotfix for Windows Media Format 11 SDK (KB929399)
      Hotfix for Windows Media Player 11 (KB944110)
      Hotfix for Windows Media Player 11 (KB944882)
      Hotfix for Windows Media Player 11 (KB946665)
      Hotfix for Windows XP (KB915865)
      HP USB Disk Storage Format Tool
      Intel(R) Graphics Media Accelerator Driver
      Internet Download Manager
      Java(TM) 6 Update 12
      K-Lite Codec Pack 4.1.0 (Full)
      Malwarebytes' Anti-Malware
      Messenger Plus! Live & Sponsor (CiD)
      Microsoft Office Access MUI (French) 2007
      Microsoft Office Excel MUI (French) 2007
      Microsoft Office InfoPath MUI (French) 2007
      Microsoft Office Outlook MUI (French) 2007
      Microsoft Office PowerPoint MUI (French) 2007
      Microsoft Office Professional Plus 2007
      Microsoft Office Professional Plus 2007
      Microsoft Office Proof (Arabic) 2007
      Microsoft Office Proof (Dutch) 2007
      Microsoft Office Proof (English) 2007
      Microsoft Office Proof (French) 2007
      Microsoft Office Proof (German) 2007
      Microsoft Office Proof (Spanish) 2007
      Microsoft Office Proofing (French) 2007
      Microsoft Office Publisher MUI (French) 2007
      Microsoft Office Shared MUI (French) 2007
      Microsoft Office Word MUI (French) 2007
      Microsoft Software Update for Web Folders (French) 12
      Microsoft Visual C++ 2005 Redistributable
      Mise à jour de sécurité pour Lecteur Windows Media (KB952069)
      Mise à jour de sécurité pour Lecteur Windows Media 11 (KB954154)
      Mise à jour de sécurité pour Windows Internet Explorer 7 (KB938127-v2)
      Mise à jour de sécurité pour Windows Internet Explorer 7 (KB961260)
      Mise à jour de sécurité pour Windows XP (KB923789)
      Mise à jour de sécurité pour Windows XP (KB938464)
      Mise à jour de sécurité pour Windows XP (KB941569)
      Mise à jour de sécurité pour Windows XP (KB946648)
      Mise à jour de sécurité pour Windows XP (KB950760)
      Mise à jour de sécurité pour Windows XP (KB950762)
      Mise à jour de sécurité pour Windows XP (KB950974)
      Mise à jour de sécurité pour Windows XP (KB951066)
      Mise à jour de sécurité pour Windows XP (KB951376-v2)
      Mise à jour de sécurité pour Windows XP (KB951698)
      Mise à jour de sécurité pour Windows XP (KB951748)
      Mise à jour de sécurité pour Windows XP (KB952954)
      Mise à jour de sécurité pour Windows XP (KB954211)
      Mise à jour de sécurité pour Windows XP (KB954459)
      Mise à jour de sécurité pour Windows XP (KB954600)
      Mise à jour de sécurité pour Windows XP (KB955069)
      Mise à jour de sécurité pour Windows XP (KB956802)
      Mise à jour de sécurité pour Windows XP (KB956803)
      Mise à jour de sécurité pour Windows XP (KB956841)
      Mise à jour de sécurité pour Windows XP (KB957097)
      Mise à jour de sécurité pour Windows XP (KB958644)
      Mise à jour de sécurité pour Windows XP (KB958687)
      Mise à jour de sécurité pour Windows XP (KB960715)
      Mise à jour pour Windows XP (KB898461)
      Mise à jour pour Windows XP (KB951978)
      Mise à jour pour Windows XP (KB955839)
      Mozilla Firefox (3.0.6)
      Nero 7 Premium
      Panda ActiveScan 2.0
      Radmin Viewer 3.2
      Realtek High Definition Audio Driver
      Spybot - Search & Destroy
      WebFldrs XP
      Windows Live Messenger
      Windows Media Player Firefox Plugin
      WinRAR archiver
      Yahoo! Messenger



      Le volume dans le lecteur C n'a pas de nom.
      Le numéro de série du volume est 5031-3FFD

      Répertoire de C:\Program Files

      13/02/2009 15:56 <REP> .
      13/02/2009 15:56 <REP> ..
      11/02/2009 16:37 <REP> Adobe
      09/02/2009 21:58 <REP> AVG
      13/02/2009 15:13 <REP> Caffe
      12/02/2009 12:03 <REP> CCleaner
      12/02/2009 09:18 <REP> Circle Developement
      09/02/2009 16:24 <REP> ComPlus Applications
      10/02/2009 03:08 <REP> ESET
      13/02/2009 17:25 <REP> Fichiers communs
      09/02/2009 18:57 <REP> Intel
      13/02/2009 17:18 <REP> Internet Download Manager
      13/02/2009 17:33 <REP> Internet Explorer
      12/02/2009 10:21 <REP> Java
      10/02/2009 14:21 <REP> K-Lite Codec Pack
      13/02/2009 15:56 <REP> Malwarebytes' Anti-Malware
      12/02/2009 20:00 <REP> Messenger
      10/02/2009 15:15 <REP> Messenger Plus! Live
      09/02/2009 16:28 <REP> microsoft frontpage
      10/02/2009 11:31 <REP> Microsoft Office
      10/02/2009 11:31 <REP> Microsoft Visual Studio
      10/02/2009 11:31 <REP> Microsoft Works
      11/02/2009 21:01 <REP> Movie Maker
      13/02/2009 20:19 <REP> Mozilla Firefox
      10/02/2009 11:31 <REP> MSBuild
      09/02/2009 16:23 <REP> MSN
      09/02/2009 16:24 <REP> MSN Gaming Zone
      10/02/2009 12:38 <REP> Nero
      12/02/2009 09:19 <REP> NetMeeting
      09/02/2009 16:24 <REP> Online Services
      11/02/2009 21:02 <REP> Outlook Express
      13/02/2009 15:42 <REP> Panda Security
      09/02/2009 19:17 <REP> Radmin Viewer 3
      09/02/2009 19:03 <REP> Realtek
      09/02/2009 16:26 <REP> Services en ligne
      11/02/2009 21:02 <REP> Spybot - Search & Destroy
      10/02/2009 09:31 <REP> Trend Micro
      10/02/2009 13:02 <REP> Trojan Remover
      09/02/2009 19:08 <REP> Windows Live
      11/02/2009 21:02 <REP> Windows Media Connect 2
      11/02/2009 21:02 <REP> Windows Media Player
      11/02/2009 21:02 <REP> Windows NT
      12/02/2009 09:20 <REP> WinRAR
      09/02/2009 16:28 <REP> xerox
      11/02/2009 17:21 <REP> Yahoo!
      0 fichier(s) 0 octets
      45 Rép(s) 35,599,065,088 octets libres
      Le volume dans le lecteur C n'a pas de nom.
      Le numéro de série du volume est 5031-3FFD

      Répertoire de C:\Program Files\fichiers communs

      13/02/2009 17:25 <REP> .
      13/02/2009 17:25 <REP> ..
      11/02/2009 16:37 <REP> Adobe
      10/02/2009 12:40 <REP> Ahead
      10/02/2009 11:31 <REP> DESIGNER
      09/02/2009 19:57 <REP> InstallShield
      10/02/2009 11:31 <REP> Microsoft Shared
      09/02/2009 16:26 <REP> MSSoap
      09/02/2009 16:57 <REP> ODBC
      09/02/2009 16:26 <REP> Services
      11/02/2009 21:00 <REP> snpstd3
      09/02/2009 16:57 <REP> SpeechEngines
      10/02/2009 11:28 <REP> System
      0 fichier(s) 0 octets
      13 Rép(s) 35,599,060,992 octets libres
      Le volume dans le lecteur C n'a pas de nom.
      Le numéro de série du volume est 5031-3FFD

      Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

      10/02/2009 11:31 <REP> .
      10/02/2009 11:31 <REP> ..
      10/02/2009 11:29 <REP> 1036
      26/10/2006 19:49 970,528 MSONSEXT.DLL
      26/10/2006 20:12 40,256 MSOSV.DLL
      03/06/1999 12:09 122,937 MSOWS409.DLL
      07/03/2001 07:00 127,033 MSOWS40c.DLL
      4 fichier(s) 1,260,754 octets
      3 Rép(s) 35,599,060,992 octets libres




      c:\Documents and Settings\All Users\Application Data\Yahoo!\YUpdater\yupdater.exe
      c:\Documents and Settings\Cybermedi@\Bureau\ComboFix.exe
      c:\Documents and Settings\Cybermedi@\Bureau\jre-6u12-windows-i586-p-iftw.exe
      c:\Documents and Settings\Cybermedi@\Bureau\DiagHelp\catchme.exe
      c:\Documents and Settings\Cybermedi@\Bureau\DiagHelp\diff.exe
      c:\Documents and Settings\Cybermedi@\Bureau\DiagHelp\dumphive.exe
      c:\Documents and Settings\Cybermedi@\Bureau\DiagHelp\FilesInfoCmd.exe
      c:\Documents and Settings\Cybermedi@\Bureau\DiagHelp\find2.exe
      c:\Documents and Settings\Cybermedi@\Bureau\DiagHelp\Fport.exe
      c:\Documents and Settings\Cybermedi@\Bureau\DiagHelp\grep.exe
      c:\Documents and Settings\Cybermedi@\Bureau\DiagHelp\gzip.exe
      c:\Documents and Settings\Cybermedi@\Bureau\DiagHelp\KProcCheck.exe
      c:\Documents and Settings\Cybermedi@\Bureau\DiagHelp\LFiles.exe
      c:\Documents and Settings\Cybermedi@\Bureau\DiagHelp\LISTDLLS.exe
      c:\Documents and Settings\Cybermedi@\Bureau\DiagHelp\mbr.exe
      c:\Documents and Settings\Cybermedi@\Bureau\DiagHelp\md5sums.exe
      c:\Documents and Settings\Cybermedi@\Bureau\DiagHelp\Psinfo.exe
      c:\Documents and Settings\Cybermedi@\Bureau\DiagHelp\pslist.exe
      c:\Documents and Settings\Cybermedi@\Bureau\DiagHelp\sigcheck.exe
      c:\Documents and Settings\Cybermedi@\Bureau\DiagHelp\streams.exe
      c:\Documents and Settings\Cybermedi@\Bureau\DiagHelp\swreg.exe
      c:\Documents and Settings\Cybermedi@\Bureau\DiagHelp\tar.exe
      c:\Documents and Settings\Administrateur\Application Data\IDM\idmmzcc2\components\idmmzcc.dll
      c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll
      c:\Documents and Settings\Cybermedi@\Application Data\IDM\idmmzcc2\components\idmmzcc.dll
      c:\Documents and Settings\Cybermedi@\Application Data\Microsoft\IdentityCRL\Production\ppcrlconfig.dll
      c:\Documents and Settings\Cybermedi@\Application Data\Mozilla\Firefox\Profiles\7jnfpkmt.default\extensions\{9f346c08-12d0-48b3-ada5-ed30bbc7d881}\components\FFAlert.dll
      c:\Documents and Settings\Cybermedi@\Application Data\Mozilla\Firefox\Profiles\7jnfpkmt.default\extensions\{9f346c08-12d0-48b3-ada5-ed30bbc7d881}\components\npmozax.dll
      c:\Documents and Settings\Cybermedi@\Application Data\Sun\Java\jre1.6.0_12\lzma.dll
      c:\Documents and Settings\LocalService\Application Data\Microsoft\UPnP Device Host\upnphost\udhisapi.dll

      ****** Fin du rapport DiagHelp
      Veuillez svp envoyer le fichier C:\upload_moi_SERVEUR.tar.gz a l'adresse http://upload.malekal.com
      0
  12. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Re,

    Quelqu'un sait-il c'est quoi ce truc C:\WINDOWS\System32\drivers\kcxrjmoq.sys -->09/02/2009 ??
    Idem ==> C:\WINDOWS\System32\drivers\ndisio.sys -->09/02/2009 ==> apparemment correct .

    ADAM, poste ce fichier comme indiqué ==> Veuillez svp envoyer le fichier C:\upload_moi_SERVEUR.tar.gz à l'adresse http://upload.malekal.com

    Ensuite, peux-tu faire analyser ce fichier (en gras) chez VirusTotal
    C:\WINDOWS\System32\drivers\kcxrjmoq.sys ?

    Merci
    Al.
    0
  13. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Analyse sur VirusTotal ;)
    0
    1. ADAM
       
      re
      Les deux fichiers refussent d'etre uploadé sur virustotal et aussi sur www.malekal.com
      0
  14. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Re,
    C'est gênant ce truc (d'autant plus que je fatigue)

    Supprime DiagHelp de ton bureau, et son rapport.

    Télécharge OTMoveIt3 (OldTimer) sur ton Bureau :
    http://oldtimer.geekstogo.com/OTMoveIt3.exe
    ---> Double-clique sur OTMoveIt3.exe afin de le lancer.
    ---> Copie (Ctrl+C) le texte suivant ci-dessous : (en gras)

    :files
    C:\Program Files\Circle Developement
    C:\WINDOWS\System32\3C.tmp

    :Services
    C:\WINDOWS\System32\drivers\kcxrjmoq.sys
    C:\Documents and Settings\Cybermedi@\LocalService\Temp\mbr.sys

    :reg
    [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
    "BootExecute"=""
    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\kcxrjmoq.sys]

    :commands
    [emptytemp]


    ---> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.
    ---> Clique maintenant sur le bouton MoveIt! puis ferme OTMoveIt3.

    Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
    Accepte en cliquant sur YES. ==> de toute manière, il faut redémarrer le PC.

    ---> Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
    Le nom du rapport correspond au moment de sa création : date_heure.log

    Ensuite,
    Télécharger Look2Me-Destroyer par Atribune http://www.atribune.org/public-beta/Look2Me-Destroyer.exe
    * Fermer toutes les fenêtres avant de continuer.
    * Double-cliquez sur "Look2Me-Destroyer.exe" pour l'exécuter.
    * Sélectionner "Run this program as a task."
    * Vous obtenez un message, veuillez simplement patienter puis cliquez OK.
    * Quand Look2Me-Destroyer s'ouvre à nouveau, cliquez sur "Scan for L2M".
    * Vos icônes sur votre bureau vont disparaître, ce qui est normal, pas d'inquiétude.
    * Une fois le scan terminé, cliquez sur "Remove L2M".
    * Vous recevrez une notification comme quoi le scan est terminé, cliquez OK.
    * Votre ordinateur va maintenant s'éteindre.
    * Démarrer votre machine, un rapport est disponible: "Look2Me-Destroyer.txt"

    Je quitte le PC
    à+...
    Al.
    0
    1. ADAM
       
      AFIDEG merci pour ta patience avc moi
      voila les deux rapports

      OTMoveIt


      ========== FILES ==========
      C:\Program Files\Circle Developement moved successfully.
      C:\WINDOWS\System32\3C.tmp moved successfully.
      ========== SERVICES/DRIVERS ==========
      Unable to stop service C:\WINDOWS\System32\drivers\kcxrjmoq.sys .
      ========== REGISTRY ==========
      HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager\\"BootExecute"|"" /E : value set successfully!
      Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\kcxrjmoq.sys\\ deleted successfully.
      ========== COMMANDS ==========
      File delete failed. C:\DOCUME~1\CYBERM~1\LOCALS~1\Temp\VBE\MSForms.exd scheduled to be deleted on reboot.
      File delete failed. C:\DOCUME~1\CYBERM~1\LOCALS~1\Temp\VBE\RefEdit.exd scheduled to be deleted on reboot.
      File delete failed. C:\DOCUME~1\CYBERM~1\LOCALS~1\Temp\~DF1C8F.tmp scheduled to be deleted on reboot.
      File delete failed. C:\DOCUME~1\CYBERM~1\LOCALS~1\Temp\~DF2EB5.tmp scheduled to be deleted on reboot.
      File delete failed. C:\DOCUME~1\CYBERM~1\LOCALS~1\Temp\~DF59A2.tmp scheduled to be deleted on reboot.
      File delete failed. C:\DOCUME~1\CYBERM~1\LOCALS~1\Temp\~DF5BB7.tmp scheduled to be deleted on reboot.
      File delete failed. C:\DOCUME~1\CYBERM~1\LOCALS~1\Temp\~DF5E1C.tmp scheduled to be deleted on reboot.
      File delete failed. C:\DOCUME~1\CYBERM~1\LOCALS~1\Temp\~DF760D.tmp scheduled to be deleted on reboot.
      File delete failed. C:\DOCUME~1\CYBERM~1\LOCALS~1\Temp\~DF76AA.tmp scheduled to be deleted on reboot.
      User's Temp folder emptied.
      User's Temporary Internet Files folder emptied.
      User's Internet Explorer cache folder emptied.
      Local Service Temp folder emptied.
      File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
      Local Service Temporary Internet Files folder emptied.
      File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_724.dat scheduled to be deleted on reboot.
      Windows Temp folder emptied.
      Java cache emptied.
      FireFox cache emptied.
      Temp folders emptied.

      OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 02132009_222621

      Files moved on Reboot...
      C:\DOCUME~1\CYBERM~1\LOCALS~1\Temp\VBE\MSForms.exd moved successfully.
      C:\DOCUME~1\CYBERM~1\LOCALS~1\Temp\VBE\RefEdit.exd moved successfully.
      File C:\DOCUME~1\CYBERM~1\LOCALS~1\Temp\~DF1C8F.tmp not found!
      File C:\DOCUME~1\CYBERM~1\LOCALS~1\Temp\~DF2EB5.tmp not found!
      File C:\DOCUME~1\CYBERM~1\LOCALS~1\Temp\~DF59A2.tmp not found!
      C:\DOCUME~1\CYBERM~1\LOCALS~1\Temp\~DF5BB7.tmp moved successfully.
      File C:\DOCUME~1\CYBERM~1\LOCALS~1\Temp\~DF5E1C.tmp not found!
      File C:\DOCUME~1\CYBERM~1\LOCALS~1\Temp\~DF760D.tmp not found!
      File C:\DOCUME~1\CYBERM~1\LOCALS~1\Temp\~DF76AA.tmp not found!
      C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat moved successfully.
      File C:\WINDOWS\temp\Perflib_Perfdata_724.dat not found!


      Look2Me

      Look2Me-Destroyer V1.0.12

      Scanning for infected files.....
      Scan started at 13/02/2009 22:32:02


      Attempting to delete infected files...

      Making registry repairs.


      Restoring Windows certificates.

      Replaced hosts file with default windows hosts file


      Restoring SeDebugPrivilege for Administrateurs - Succeeded
      0
  15. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Bonjour ADAM,

    Je disposerai de peu de temps ce jour.
    Merci pour tes rapports et ta participation.

    Ce n'est pas un cas facile; on poursuit donc comme ceci:

    A)- Supprimer
    1°- Look2Me,
    2°- OTMoveIt3
    3°- Désinstaller ComboFix, comme ceci :
    Supprime le dossier Qoobox. (il est à la racine de ton disque dur c:\)
    Supprime l'application téléchargée sur le bureau (ComboFix.exe)
    Fais Démarrer/Exécuter copie-colle la commande suivante (en gras ci-dessous) puis [OK]
    "%userprofile%\Bureau\combofix.exe" /u
    Ca désinstallera ComboFix, supprimera les points de restauration système (qui sont infectés) et remettra les options de sécurité de Windows par défaut.

    B)- Je vois que tu as deux antivirus (AV: ESET Smart Security 3.0, et AV: Kaspersky Anti-Virus). Or, il n'en faut qu'un seul actif sur ton PC.
    Vérifie que ton parefeu FW: ESET Personal firewall soit réactivé après le passage de ComboFix.

    C)- Télécharge l'outil Flash_Disinfector de sUBs:
    http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe
    Enregistre Flash_Disinfector.exe sur ton bureau.
    Ferme les applications (word, etc) : car explorer.exe va être arrêté puis relancé (on perd les icônes du bureau).
    Double clique sur Flash_Disinfector.exe pour l'exécuter.
    Quand le message : [Plug in yours flash drive & clic Ok to begin disinfection] apparaitra :
    Connecte au pc, clé USB, DD externes, susceptibles d'avoir été infectés.
    Puis clic sur Ok
    ==> il y avait infection sur une clé en D:\
    Les icônes sur le bureau vont disparaître jusqu'à l'apparition du message: [Done!!]
    Appuie ensuite sur OK, pour faire réapparaître le bureau.
    S'il y a plusieurs clés USB ou disques durs externes à désinfecter, renouvelle l'opération en branchant les clés non traitées une par une.
    Il n'y a pas de rapport à poster.

    D)- Vas dans "Panneau de configuration" et ouvrir "Système" :
    -> Dans cette fenêtre clique sur l'onglet "Matériel”.
    Puis tu cliques sur [Gestionnaire des périphériques].
    -> dans la "Barre des menus" en haut, vas sur "Affichage" et clique sur "Afficher les périphériques cachés" (très important)
    • Ensuite cherche dans les tous les périphériques présents celui dont le nom commence par TDSS....
    -> Si tu en trouves, clic-droit dessus : choisis " Désactiver " et valide la modification .
    Puis ferme le gestionnaire ....
    • S'il t'ai demandé de redémarrer le PC, fais le ...

    E)- Relance SDFix comme au post # 2.

    F)- Relance alors MBAM comme ceci:

    Branche les disques amovibles (clés USB) sans les ouvrir.

    Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
    Sélectionne "Exécuter un examen rapide"
    Clique sur "Rechercher"
    L'analyse démarre, le scan est relativement long, c'est normal.
    A la fin de l'analyse, un message s'affiche:
    ==> Citation : L'examen s'est terminé normalement.
    Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés
    .
    ==> Clique sur "Ok" pour poursuivre.
    (Si MBAM n'a rien trouvé, il te le dira aussi).
    Ferme tes navigateurs.
    Si des malwares ont été détectés, clique sur "Afficher les résultats".
    Sélectionne tout (ou laisse coché) et clique sur "Supprimer la sélection",
    MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
    MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse.
    Copie-colle ce rapport et poste-le dans ta prochaine réponse.

    NB : si MBAM te demande à redémarrer, fais-le après avoir posté ton rapport.

    Merci
    Al.
    0
    1. ADAM
       
      Salut Afudeg
      désolé de ne pas avoir répondre aussi vite. j'ai déja quitter le boulot hier lorsque t'as poste la réponse.
      Aprés l'exécution de SDFix et MBAM ma connexion internet a coupé encore . Voila le rapport de SDFix et MBAM

      SDFix


      [b]SDFix: Version 1.240 [/b]
      Run by Administrateur on 15/02/2009 at 15:23

      Microsoft Windows XP [version 5.1.2600]
      Running From: C:\SDFix

      [b]Checking Services [/b]:


      Restoring Default Security Values
      Restoring Default Hosts File

      Rebooting


      [b]Checking Files [/b]:

      No Trojan Files Found






      Removing Temp Files

      [b]ADS Check [/b]:



      [b]Final Check [/b]:

      catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2009-02-15 15:26:39
      Windows 5.1.2600 Service Pack 3 NTFS

      scanning hidden processes ...

      scanning hidden services & system hive ...

      scanning hidden registry entries ...

      scanning hidden files ...

      scan completed successfully
      hidden processes: 0
      hidden services: 0
      hidden files: 0


      [b]Remaining Services [/b]:




      Authorized Application Key Export:

      [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
      "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
      "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
      "C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
      "C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
      "C:\\Program Files\\Caffe\\Server.exe"="C:\\Program Files\\Caffe\\Server.exe:*:Enabled:Internet Caffe Server"
      "C:\\Program Files\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"="C:\\Program Files\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe:*:Enabled:BlueSoleil"

      [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
      "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
      "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
      "C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
      "C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

      [b]Remaining Files [/b]:



      [b]Files with Hidden Attributes [/b]:

      Mon 26 Jan 2009 1,740,632 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe"
      Mon 26 Jan 2009 5,365,592 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"
      Mon 26 Jan 2009 2,144,088 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"

      [b]Finished![/b]


      MBAM


      Malwarebytes' Anti-Malware 1.34
      Version de la base de données: 1757
      Windows 5.1.2600 Service Pack 3

      15/02/2009 15:36:43
      mbam-log-2009-02-15 (15-36-43).txt

      Type de recherche: Examen rapide
      Eléments examinés: 63951
      Temps écoulé: 2 minute(s), 57 second(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 3
      Valeur(s) du Registre infectée(s): 0
      Elément(s) de données du Registre infecté(s): 0
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 1

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kcxrjmoq (Rootkit.Pakes) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\kcxrjmoq (Rootkit.Pakes) -> Delete on reboot.
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kcxrjmoq (Rootkit.Pakes) -> Quarantined and deleted successfully.

      Valeur(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Elément(s) de données du Registre infecté(s):
      (Aucun élément nuisible détecté)

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      C:\WINDOWS\system32\drivers\kcxrjmoq.sys (Rootkit.Pakes) -> Delete on reboot.


      et merci infiniment pour ton aide
      0
  16. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Bonsoir

    Imprime cette procédure; ou mieux, sauve-la sur le bureau.
    Assure-toi que tu aies toujours MBAM sur le bureau !! ==> sinon, il faut le retélécharger comme précédemment.

    A)- Désinstaller Spybot S&D
    Spybot et son Tea-Timer sont totalement dépassés, et ne servent pour le moment qu'à empêcher les outils de désinfections de fonctionner.
    Il faut faire un clic-droit sur le lien ci dessous, puis choisir « Enregistrer la cible du lien sous ».
    http://www.safer-networking.org/files/remove-spybotsd-settings.reg
    Placer le fichier "remove-spybotsd-settings.reg" sur le Bureau.

    Laisse ainsi; ne fais rien d'autre avec pour l'instant.

    B)- Désactive la restauration système, comme ceci:
    Clic sur « Démarrer »
    Clic-droit sur « Poste de travail », puis clic sur « Propriétés »,
    Vas sur l’onglet « Restauration système »
    Tu y coches la case « Désactiver la restauration »
    Termine par [Appliquer], répondre “OUI” à la question, attendre, terminer par [OK]

    C)- IMPORTANT
    Arrêter puis redémarrer le PC
    Déconnecte-le du Net (Débranche ton Modem)


    D)- Cela devrait déjà résoudre ceci: Malwarebytes' Anti-Malware

    CITATION: «NB : si MBAM te demande à redémarrer, fais-le après avoir posté ton rapport.»

    Or, je lis:

    Clé(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kcxrjmoq (Rootkit.Pakes) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\kcxrjmoq (Rootkit.Pakes) -> Delete on reboot.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kcxrjmoq (Rootkit.Pakes) -> Quarantined and deleted successfully.
    Fichier(s) infecté(s):
    C:\WINDOWS\system32\drivers\kcxrjmoq.sys (Rootkit.Pakes) -> Delete on reboot.


    J'espère que l'étape ci-avant en C)- va supprimer cette sous-clé kcxrjmoq et ce driver kcxrjmoq.sys
    (NOTE: MBAM aurait dû te demander de redémarrer le PC, puisqu'il y avait détection dans une clé registre.)

    E) Faire un clic-droit sur le fichier "remove-spybotsd-settings.reg" ; puis choisir « Fusionner » et accepter la fusion dans le Registre.
    Arrêter puis redémarrer le PC.

    Si tu trouves encore ces trois fichiers, supprime-les manuellement:

    C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe
    C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
    C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe


    F)- Ne reconnecte pas ton PC au Net, et ne réactive pas la restauration système.

    G)- Relance MBAM comme ceci:

    Branche les disques amovibles (clés USB) sans les ouvrir.
    Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
    Sélectionne "Exécuter un examen rapide"
    Clique sur "Rechercher"
    L'analyse démarre, le scan est relativement long, c'est normal.
    A la fin de l'analyse, un message s'affiche:
    ==> Citation : L'examen s'est terminé normalement.
    Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
    ==> Clique sur "Ok" pour poursuivre.
    (Si MBAM n'a rien trouvé, il te le dira aussi).
    Ferme tes navigateurs.
    Si des malwares ont été détectés, clique sur "Afficher les résultats".
    Sélectionne tout (ou laisse coché) et clique sur "Supprimer la sélection",
    MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
    MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse ==> enregistre-le sur le bureau, dénomme-le MBAM.

    NB : si MBAM te demande à redémarrer, fais-le après avoir posté ton rapport.
    Si tu lis encore cette mention "-> Delete on reboot.", alors redémarre le PC.

    H)- Reconnecte le PC au Net
    Et Copie-colle le dernier rapport MBAM qui est sur le bureau et poste-le dans ta prochaine réponse.


    I)- Télécharger ce programme à cette adresse : http://www2.gmer.net/mbr/mbr.exe
    Placer le fichier sur votre bureau
    - Désactiver tous les programmes de protection (antivirus, antispyware etc.)
    - Double-cliquer sur "mbr.exe".
    - Une fenêtre de l'invite de commande va s'ouvrir et se refermer,
    - Un rapport à poster sera généré : mbr.log.

    Merci
    Al
    0
    1. ADAM
       
      re
      MBAM m'a demandé de redemarrer meme la premiere fois et je l'ai fais, peut etre que j'ai posté le rappor que MBAM a généré avant le redemarrage. Et cette fois elle n'a rien detecté. Mon probleme mnt c ke mon Firewall refuse de s'activer aprés la réinstallation de ESET smart security ( j'ai fais réparer et non pas désinstallation et aprés réinstallation)
      Voila le rapport de MBAM et un noveau scan Hijack This

      MBAM
      Malwarebytes' Anti-Malware 1.34
      Version de la base de données: 1757
      Windows 5.1.2600 Service Pack 3

      15/02/2009 17:44:34
      mbam-log-2009-02-15 (17-44-34).txt

      Type de recherche: Examen rapide
      Eléments examinés: 63754
      Temps écoulé: 2 minute(s), 14 second(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 0
      Valeur(s) du Registre infectée(s): 0
      Elément(s) de données du Registre infecté(s): 0
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 0

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Valeur(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Elément(s) de données du Registre infecté(s):
      (Aucun élément nuisible détecté)

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      (Aucun élément nuisible détecté)


      Hijack This



      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 17:54:01, on 15/02/2009
      Platform: Windows XP SP3 (WinNT 5.01.2600)
      MSIE: Internet Explorer v7.00 (7.00.6000.16791)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
      C:\Program Files\ESET\ESET Smart Security\ekrn.exe
      C:\Program Files\Java\jre6\bin\jqs.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\wbem\wmiapsrv.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\ESET\ESET Smart Security\egui.exe
      C:\WINDOWS\FixCamera.exe
      C:\WINDOWS\tsnpstd3.exe
      C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe
      C:\Program Files\Internet Download Manager\IDMan.exe
      C:\Program Files\Windows Live\Messenger\msnmsgr.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe
      C:\Program Files\Internet Download Manager\IEMonitor.exe
      C:\WINDOWS\system32\wscntfy.exe
      C:\Program Files\Mozilla Firefox\firefox.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Caffe\Server.exe
      C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
      O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
      O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
      O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
      O4 - HKLM\..\Run: [FixCamera] C:\WINDOWS\FixCamera.exe
      O4 - HKLM\..\Run: [tsnpstd3] C:\WINDOWS\tsnpstd3.exe
      O4 - HKLM\..\Run: [OrderReminder] C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe
      O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
      O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
      O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [Caffe-Server] C:\Program Files\Caffe\Server.exe
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
      O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
      O4 - Global Startup: BlueSoleil.lnk = ?
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
      O8 - Extra context menu item: Télécharger avec IDM - C:\Program Files\Internet Download Manager\IEExt.htm
      O8 - Extra context menu item: Télécharger le contenu de video FLV avec IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
      O8 - Extra context menu item: Télécharger tous les liens avec IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
      O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
      O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
      O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
      O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
      O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
      O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
      O23 - Service: avp - Kaspersky Lab - D:\Mes Documents\Downloads\Compressed\1227KASPAV2009PO_www.softarchive.net\1227KASPAV2009PO_www.softarchive.net\Setup\Portable KAV\avp.exe
      O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
      O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
      O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
      O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
      0
  17. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Re,

    Et mbr.log ?

    1°- Peux-tu me préciser quelles sont tes protections PC ?

    C'est quoi ça O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice ?
    Ton NOD32 est-il bien en service ?
    Est-ce un antivirus; ou fait-il parefeu en même temps ?

    C'est quoi ça O23 - Service: avp - Kaspersky Lab - D:\Mes Documents\Downloads\Compressed\1227KASPAV2009PO_www.softarchive.net\1227KASPAV2009PO_www.softarchive.net\Setup\Portable KAV\avp.exe
    As-tu bien un portable ?
    KAV est un antivirus seul ==> pourquoi alors NOD32/ESET en doublure ?

    Quel est ton parefeu ?
    Comme antispyware, tu as maintenant MBAM (après avoir jeté Spybot S&D).

    2°- Donne-moi des précisions sur CAFFE, s'il te plaît.
    O4 - HKCU\..\Run: [Caffe-Server] C:\Program Files\Caffe\Server.exe
    C:\Program Files\Caffe\Server.exe

    3°- Je n'aime de lire ces lignes quand je tente de dépanner un PC. Ça fait pagaille & sabotage.
    Ça fait surtout perdre des indices précieux. Merci.

    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
    O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab

    Merci
    Al.

    0
    1. ADAM
       
      RE Afideg et merci
      1°/ en principe ESET Smart Security est une suite de securité complète mais comme je vous ai dis le parefeu refuse de fonction alors que l'antivirus et l'antispam et l'update fonctionneent normalement. Pour Kaspersky c'est version portable ( non installé) que j'ai telechergé pour m'aider à la désinfection mais elle n'est pas active et ne fonctionne pas en temp réel.
      2°/ pour CAFFE Server c'est logicile que j'utilise pour la gestion de mon petit cybercaffé donc normalment c'est un programme de confiance et je l'utilise depuis longtemp
      0
      1. ADAM > ADAM
         
        pour mbr voila le rapport.
        Concernant les antivirus online quelqu'un ici m'a conseillé de les utiliser, donc j'ai fais un recherche sur internet sur eux et j'ai un scan

        mbr


        Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

        device: opened successfully
        user: MBR read successfully
        kernel: MBR read successfully
        user & kernel MBR OK
        0
  18. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Re,

    Mon message ne passe plus

    Je l'essaie en pièces détachées:

    2°- Relance HJT, coche la case devant ces lignes, et fixe-les

    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
    O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab

    3°- Je ne connais pas NOD32/ESET; mais il faudrait relire ton manuel, et vérifier s'il est correctement configuré.
    Mais je pencherais plutôt sur le fait que VIRUT l'ait altéré, et qu'il faille le réinstaller.

    4°- Merci pour le rapport encourageant.
    0
    1. ADAM
       
      Re
      voici le nouveau rapport Hijack This
      Concernant ESET/Nod c lui qui a decouvert le "virut" mais n'a pas pu le supprimer. Son parefeu continu à fonctionner normalement meme aprés qu'il dectecte le virus, il a été désactivé aprés lors de l'une des manipulations qu'on a fais ici. Je vais le désinstaller completement puis le réinstaller pour voir ce que ça donne et je vous tiens au courant.
      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 18:52:43, on 15/02/2009
      Platform: Windows XP SP3 (WinNT 5.01.2600)
      MSIE: Internet Explorer v7.00 (7.00.6000.16791)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
      C:\Program Files\ESET\ESET Smart Security\ekrn.exe
      C:\Program Files\Java\jre6\bin\jqs.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\wbem\wmiapsrv.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\ESET\ESET Smart Security\egui.exe
      C:\WINDOWS\FixCamera.exe
      C:\WINDOWS\tsnpstd3.exe
      C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe
      C:\Program Files\Internet Download Manager\IDMan.exe
      C:\Program Files\Windows Live\Messenger\msnmsgr.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe
      C:\Program Files\Internet Download Manager\IEMonitor.exe
      C:\WINDOWS\system32\wscntfy.exe
      C:\Program Files\Mozilla Firefox\firefox.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Caffe\Server.exe
      C:\Program Files\Windows Live\Messenger\usnsvc.exe
      D:\Mes Documents\Cybermedi@\fm610fr\fm610fr\Foxmail.exe
      C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
      O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
      O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
      O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
      O4 - HKLM\..\Run: [FixCamera] C:\WINDOWS\FixCamera.exe
      O4 - HKLM\..\Run: [tsnpstd3] C:\WINDOWS\tsnpstd3.exe
      O4 - HKLM\..\Run: [OrderReminder] C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe
      O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
      O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
      O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [Caffe-Server] C:\Program Files\Caffe\Server.exe
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
      O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
      O4 - Global Startup: BlueSoleil.lnk = ?
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
      O8 - Extra context menu item: Télécharger avec IDM - C:\Program Files\Internet Download Manager\IEExt.htm
      O8 - Extra context menu item: Télécharger le contenu de video FLV avec IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
      O8 - Extra context menu item: Télécharger tous les liens avec IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
      O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
      O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
      O23 - Service: avp - Kaspersky Lab - D:\Mes Documents\Downloads\Compressed\1227KASPAV2009PO_www.softarchive.net\1227KASPAV2009PO_www.softarchive.net\Setup\Portable KAV\avp.exe
      O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
      O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
      O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
      O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
      0
      1. ADAM > ADAM
         
        Re
        Aprés désinstallation de ESET/nod et redemarrage je l'ai réinstallé et le parefeu fonctionne mais internet a coupé alors j'ai utilisé "WinsockxpFix" pour la restaurer. mais aprés le demarrage voila situation:
        1°/ Le parefeu est périmé encore une fois
        2°/ Firefox fonctionne normalement
        3°/ Internet explorer et msn ne connecteent plus
        Lorsque j'ai cliqué sur " depanner " sur msn il me dis que j'ai un probleme " fichiers host" et il n'arrive pas à réparer le probleme
        0
  19. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    (suite)

    1°- Oui, mais pour l'installer, ton cyber "caffe", tu as dû charger un crack "server.exe"; comme expliqué sur Google à partir des mots "caffe/server.exe"

    C'est le lien qui ne passe pas
    0
  20. ADAM
     
    Re
    Aprés la désintallion le ESET/nod j'ai redemarré et réinstallé et le parefeu fonctionne mais la connexion internet a coupé encore une fois alors j'ai utilisé "WinsockxpFix" pour la réparer comme vous m'avez dis l'autre fois. mais cette fois ci aprés le reboot, l'internet fonctionne mais le firewall e est périmé.
    Le probleme de désactivation pourrait il etre due à ce "WinsockxpFix"
    0
  21. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Re,

    "Le parefeu est périmé"; cela voudrait signifier que ta licence est périmée.

    As-tu lu ma remarque à propos de ton "caffe/server.exe" ? Avais-tu télécharger ce crack comme il est dit sur le lien obtenu par Google par une recherche sur base des mots "Internet Caffe Client/Server pour bien gérer ton cyber café" ?

    Télécharger OAD (Outil d'Aide au Diagnostic)< http://sosvirus.changelog.fr/OAD.exe > enregistre-le sur ton bureau
    •- Lancer « OAD.exe » en faisant un double-clic sur le fichier < http://sosvirus.changelog.fr/OAD/1.bmp > , puis « Exécuter »
    ==> une page bleue s’affiche.
    •- Saisir la valeur recherchée ( = nom de fichier à rechercher ) : faire un copier/coller de kcxrjmoq puis [Enter]
    ==> une nouvelle page bleue s’affiche.
    - Type de recherche : taper 6 (sélectionner l'option 6) puis valide [entrée]< http://sosvirus.changelog.fr/OAD/4.bmp >
    •- OAD va maintenant rechercher le fichier.
    Laisse-le travailler jusqu'à ce qu'il en ait terminé.
    Suivant la taille des disques durs, cette recherche peut prendre plusieurs minutes.
    Patienter.
    •- Le rapport de recherche s'affichera automatiquement dès qu'il en aura terminé.
    •- Faire un copier/coller de ce rapport dans ton prochain post.

    •-Note: Certains Antivirus (comme Panda) peuvent émettre une alerte lors de "téléchargement / utilisation".

    0
  • 1
  • 2