Sujet Précédent Sujet Suivant

TR/Crypt.XPACK.Gen & Pub intempestives

Résolu/Fermé
Snx - 27 févr. 2009 à 05:40
 Snx - 2 mars 2009 à 03:55
Bonjour,

J'ai depuis quelques jours un virus sur mon ordinateur.
Chaque fois que j'ouvre une fenêtre internet ou une autre action quelconque, avira antivirus me le signal.
Son nom est : TR/Crypt.XPACK.Gen (ou un nom semblable) et il se localise souvent sur un fichier du system 32 (je crois).
Enfin bre après quelques recherches sur le site, j'ai trouvés plusieurs posts semblables, et la marche à suivre était de copier un rapport d'avira puis un highjackthis, donc je vous le fait.

Voici mon rapport Avira Antivirus, suite à une analyse antivirus complète de mon système :


Avira AntiVir Personal
Report file date: jeudi 26 février 2009 22:02

Scanning for 1268015 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows Vista
Windows version: (plain) [6.0.6000]
Boot mode: Normally booted
Username: SYSTEM
Computer name: PC-DE-SAINX

Version information:
BUILD.DAT : 8.2.0.337 16934 Bytes 18/11/2008 13:05:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 26/11/2008 01:31:24
AVSCAN.DLL : 8.1.4.0 40705 Bytes 26/05/2008 12:56:40
LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 17:44:19
LUKERES.DLL : 8.1.4.0 12033 Bytes 26/05/2008 12:58:52
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 16:29:38
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11/02/2009 00:32:40
ANTIVIR2.VDF : 7.1.2.55 248832 Bytes 20/02/2009 21:08:46
ANTIVIR3.VDF : 7.1.2.90 142336 Bytes 26/02/2009 00:34:32
Engineversion : 8.2.0.88
AEVDF.DLL : 8.1.1.0 106868 Bytes 30/01/2009 20:56:18
AESCRIPT.DLL : 8.1.1.52 348538 Bytes 26/02/2009 17:40:20
AESCN.DLL : 8.1.1.7 127347 Bytes 13/02/2009 16:49:24
AERDL.DLL : 8.1.1.3 438645 Bytes 05/11/2008 12:43:26
AEPACK.DLL : 8.1.3.8 397684 Bytes 04/02/2009 21:11:32
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 26/02/2009 17:40:20
AEHEUR.DLL : 8.1.0.97 1610103 Bytes 26/02/2009 17:40:20
AEHELP.DLL : 8.1.2.0 119159 Bytes 26/02/2009 17:40:20
AEGEN.DLL : 8.1.1.21 336244 Bytes 26/02/2009 17:40:20
AEEMU.DLL : 8.1.0.9 393588 Bytes 15/10/2008 15:49:36
AECORE.DLL : 8.1.6.6 176501 Bytes 17/02/2009 21:00:12
AEBB.DLL : 8.1.0.3 53618 Bytes 15/10/2008 15:49:34
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 13:40:05
AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 14:28:01
AVREP.DLL : 8.0.0.2 98344 Bytes 01/08/2008 19:18:01
AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 16:26:40
AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 13:29:23
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 17:27:49
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 22:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 17:49:40
NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 17:05:10
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12/06/2008 18:48:07
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27/06/2008 18:34:37

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: C:, D:, E:,
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: jeudi 26 février 2009 22:02

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'firefox.exe' - '1' Module(s) have been scanned
Scan process 'usnsvc.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'wmpnetwk.exe' - '1' Module(s) have been scanned
Scan process 'uTorrent.exe' - '1' Module(s) have been scanned
Scan process 'IEMonitor.exe' - '1' Module(s) have been scanned
Scan process 'KHALMNPR.exe' - '1' Module(s) have been scanned
Scan process 'ApntEx.exe' - '1' Module(s) have been scanned
Scan process 'unsecapp.exe' - '1' Module(s) have been scanned
Scan process 'ApMsgFwd.exe' - '1' Module(s) have been scanned
Scan process 'ehmsas.exe' - '1' Module(s) have been scanned
Scan process 'WmiPrvSE.exe' - '1' Module(s) have been scanned
Scan process 'SetPoint.exe' - '1' Module(s) have been scanned
Scan process 'ehtray.exe' - '1' Module(s) have been scanned
Scan process 'hqtray.exe' - '1' Module(s) have been scanned
Scan process 'rundll32.exe' - '1' Module(s) have been scanned
Scan process 'vmware-tray.exe' - '1' Module(s) have been scanned
Scan process 'GrooveMonitor.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'jusched.exe' - '1' Module(s) have been scanned
Scan process 'LBTWiz.exe' - '1' Module(s) have been scanned
Scan process 'Apoint.exe' - '1' Module(s) have been scanned
Scan process 'RtHDVCpl.exe' - '1' Module(s) have been scanned
Scan process 'rundll32.exe' - '1' Module(s) have been scanned
Scan process 'taskeng.exe' - '1' Module(s) have been scanned
Scan process 'vmnetdhcp.exe' - '1' Module(s) have been scanned
Scan process 'XAudio.exe' - '1' Module(s) have been scanned
Scan process 'SearchIndexer.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'vmnat.exe' - '1' Module(s) have been scanned
Scan process 'vmount2.exe' - '1' Module(s) have been scanned
Scan process 'vmware-authd.exe' - '1' Module(s) have been scanned
Scan process 'TestHandler.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'RichVideo.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'iviRegMgr.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'FTRTSVC.exe' - '1' Module(s) have been scanned
Scan process 'EMP_NSWLSV.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'mDNSResponder.exe' - '1' Module(s) have been scanned
Scan process 'AppleMobileDeviceService.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'dwm.exe' - '1' Module(s) have been scanned
Scan process 'taskeng.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'vpnagent.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'LBTServ.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'SLsvc.exe' - '1' Module(s) have been scanned
Scan process 'audiodg.exe' - '0' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsm.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'wininit.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
72 processes with 72 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
[INFO] No virus was found!
Master boot sector HD1
[INFO] No virus was found!

Start scanning boot sectors:
Boot sector 'C:\'
[INFO] No virus was found!
Boot sector 'D:\'
[INFO] No virus was found!
Boot sector 'E:\'
[INFO] No virus was found!

Starting to scan the registry.
The registry was scanned ( '45' files ).


Starting the file scan:

Begin scan in 'C:\' <System>
C:\hiberfil.sys
[WARNING] The file could not be opened!
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\Program Files\Cain\Abel.exe
[DETECTION] Is the TR/Crypt.ULPM.Gen Trojan
[NOTE] The file was moved to '4a0c5004.qua'!
C:\Windows\System32\drivers\sptd.sys
[WARNING] The file could not be opened!
Begin scan in 'D:\' <000000>
Begin scan in 'E:\'


End of the scan: vendredi 27 février 2009 00:11
Used time: 2:08:49 Hour(s)

The scan has been done completely.

26192 Scanning directories
578756 Files were scanned
1 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
1 files were moved to quarantine
0 files were renamed
3 Files cannot be scanned
578752 Files not concerned
4564 Archives were scanned
3 Warnings
1 Notes

------------------------------------------------------------------------------------------------

Suite à cela voici mon rapport HighJackThis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:35:18, on 27/02/2009
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16764)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\rundll32.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\Logitech\SetPoint\LBTWiz.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\VMware\VMware Workstation\vmware-tray.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\VMware\VMware Workstation\hqtray.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Apoint2K\ApMsgFwd.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE
C:\Program Files\Internet Download Manager\IEMonitor.exe
C:\Program Files\uTorrent\uTorrent.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll
O1 - Hosts: ::1 localhost
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [Bluetooth Connection Assistant] LBTWIZ.EXE -silent
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [vmware-tray] "C:\Program Files\VMware\VMware Workstation\vmware-tray.exe"
O4 - HKLM\..\Run: [VMware hqtray] "C:\Program Files\VMware\VMware Workstation\hqtray.exe"
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Télécharger avec IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: Télécharger le contenu de video FLV avec IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Télécharger tous les liens avec IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O16 - DPF: {55963676-2F5E-4BAF-AC28-CF26AA587566} (Cisco AnyConnect VPN Client Web Control) - https://vpn-lelamentin.supinfo.com/CACHE/webvpn/stc/1/binaries/vpnweb.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: EMP_NSWLSV - SEIKO EPSON CORPORATION - C:\Program Files\EPSON Projector\EMP NS Connection V2\EMP_NSWLSV.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: IviRegMgr - InterVideo - c:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\LogiShrd\Bluetooth\LBTServ.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: Planificateur LiveUpdate automatique - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: Fujitsu Siemens Computers Diagnostic Testhandler (TestHandler) - Fujitsu Siemens Computers - C:\firststeps\OnlineDiagnostic\TestManager\TestHandler.exe
O23 - Service: VMware Agent Service (ufad-ws60) - VMware, Inc. - C:\Program Files\VMware\VMware Workstation\vmware-ufad.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Program Files\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\Windows\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Program Files\Common Files\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\Windows\system32\vmnat.exe
O23 - Service: Cisco AnyConnect VPN Agent (vpnagent) - Cisco Systems, Inc. - C:\Program Files\Cisco\Cisco AnyConnect VPN Client\vpnagent.exe
O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.8\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.0.51b\bin\mysqld-nt.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe
A voir également:

57 réponses

Précédent
Réponse 21 / 57
Snx
27 févr. 2009 à 11:46
Noooon je veux en finir sinon j'vais mal dormir :p J'men fout je suis en vacances jusqu'a Lundi matin ou j'ai un examen qui implique l'utilisation de ce PC, donc je préfère ne pas aller dormir et résoudre ce problème ^^
Bon appétit, si tu es toujours là quand tu auras fini de déjeuner je serai encore là pour la suite des évênements (en espérant que GMER aie fini d'ici là).
0
Réponse 22 / 57
Snx
27 févr. 2009 à 11:52
Voilà mon rapport de GMER (il n'y a eu aucune ligne rouge, mais je le colle quand même au cas où) :

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-02-27 06:51:09
Windows 6.0.6000


---- System - GMER 1.0.14 ----

SSDT 980D7F54 ZwCreateThread
SSDT 980D7F40 ZwOpenProcess
SSDT 980D7F45 ZwOpenThread
SSDT 980D7F4F ZwTerminateProcess
SSDT 980D7F4A ZwWriteVirtualMemory

INT 0x53 ? 8698FBF8
INT 0x62 ? 84BD0BF8
INT 0x63 ? 8698FBF8
INT 0x72 ? 84BD1BF8
INT 0x82 ? 84BD1BF8

---- Kernel code sections - GMER 1.0.14 ----

? System32\Drivers\spvk.sys Le fichier spécifié est introuvable. !
.text USBPORT.SYS!DllUnload 8B9F2FEB 5 Bytes JMP 8698F1D8
.text aft0urkb.SYS 8BC5A000 22 Bytes [ 1A, 82, 7A, 82, 04, 81, 7A, ... ]
.text aft0urkb.SYS 8BC5A017 95 Bytes [ 00, 99, 07, 24, 80, A4, 05, ... ]
.text aft0urkb.SYS 8BC5A077 85 Bytes [ 82, C0, 4B, 48, 82, 47, 8F, ... ]
.text aft0urkb.SYS 8BC5A0CE 10 Bytes [ 00, 00, 00, 00, 00, 00, 66, ... ]
.text aft0urkb.SYS 8BC5A0DA 12 Bytes [ 00, 00, 02, 00, 00, 00, 25, ... ]
.text ...
? C:\Windows\system32\Drivers\PROCEXP90.SYS Le fichier spécifié est introuvable. !
? C:\ComboFix\catchme.sys Le fichier spécifié est introuvable. !

---- User code sections - GMER 1.0.14 ----

.text C:\Users\sainx\Desktop\gmer.exe[5896] ntdll.dll!NtCreateFile + 3 774DF417 2 Bytes [ B7, FA ]

---- Kernel IAT/EAT - GMER 1.0.14 ----

IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortUchar] [807026D2] \SystemRoot\System32\Drivers\spvk.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortUchar] [80702040] \SystemRoot\System32\Drivers\spvk.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortBufferUshort] [807027FC] \SystemRoot\System32\Drivers\spvk.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortUshort] [807020BE] \SystemRoot\System32\Drivers\spvk.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortBufferUshort] [8070213C] \SystemRoot\System32\Drivers\spvk.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [80712048] \SystemRoot\System32\Drivers\spvk.sys
IAT \SystemRoot\System32\Drivers\aft0urkb.SYS[ataport.SYS!AtaPortNotification] 24488B66
IAT \SystemRoot\System32\Drivers\aft0urkb.SYS[ataport.SYS!AtaPortWritePortUchar] E84D8966
IAT \SystemRoot\System32\Drivers\aft0urkb.SYS[ataport.SYS!AtaPortWritePortUlong] 83E84D8B
IAT \SystemRoot\System32\Drivers\aft0urkb.SYS[ataport.SYS!AtaPortGetPhysicalAddress] 896602C1
IAT \SystemRoot\System32\Drivers\aft0urkb.SYS[ataport.SYS!AtaPortConvertPhysicalAddressToUlong] 488BEA4D
IAT \SystemRoot\System32\Drivers\aft0urkb.SYS[ataport.SYS!AtaPortGetScatterGatherList] 8DC80320
IAT \SystemRoot\System32\Drivers\aft0urkb.SYS[ataport.SYS!AtaPortReadPortUchar] 57500845
IAT \SystemRoot\System32\Drivers\aft0urkb.SYS[ataport.SYS!AtaPortStallExecution] F0458D57
IAT \SystemRoot\System32\Drivers\aft0urkb.SYS[ataport.SYS!AtaPortGetParentBusType] 00006850
IAT \SystemRoot\System32\Drivers\aft0urkb.SYS[ataport.SYS!AtaPortRequestCallback] 458DB002
IAT \SystemRoot\System32\Drivers\aft0urkb.SYS[ataport.SYS!AtaPortWritePortBufferUshort] 35FF50E8
IAT \SystemRoot\System32\Drivers\aft0urkb.SYS[ataport.SYS!AtaPortGetUnCachedExtension] [8BC7FFBC] \SystemRoot\System32\Drivers\aft0urkb.SYS (ATAPI IDE Miniport Driver/Microsoft Corporation)
IAT \SystemRoot\System32\Drivers\aft0urkb.SYS[ataport.SYS!AtaPortCompleteRequest] 57EC4D89
IAT \SystemRoot\System32\Drivers\aft0urkb.SYS[ataport.SYS!AtaPortReleaseRequestSenseIrb] 01F045C7
IAT \SystemRoot\System32\Drivers\aft0urkb.SYS[ataport.SYS!AtaPortBuildRequestSenseIrb] E8000000
IAT \SystemRoot\System32\Drivers\aft0urkb.SYS[ataport.SYS!AtaPortMoveMemory] 0001E4E4
IAT \SystemRoot\System32\Drivers\aft0urkb.SYS[ataport.SYS!AtaPortReadPortUshort] 4675C73B
IAT \SystemRoot\System32\Drivers\aft0urkb.SYS[ataport.SYS!AtaPortReadPortBufferUshort] C7FFC8A1
IAT \SystemRoot\System32\Drivers\aft0urkb.SYS[ataport.SYS!AtaPortCompleteAllActiveRequests] 8D526A8B
IAT \SystemRoot\System32\Drivers\aft0urkb.SYS[ataport.SYS!AtaPortInitialize] 00009A88
IAT \SystemRoot\System32\Drivers\aft0urkb.SYS[ataport.SYS!AtaPortGetDeviceBase] 48C08300
IAT \SystemRoot\System32\Drivers\aft0urkb.SYS[ataport.SYS!AtaPortDeviceStateChange] [8D076A50] \SystemRoot\system32\DRIVERS\HSX_CNXT.sys (HSF_CNXT driver/Conexant Systems, Inc.)

---- Devices - GMER 1.0.14 ----

Device \FileSystem\Ntfs \Ntfs 84BD81F8
Device \Driver\netbt \Device\NetBT_Tcpip_{3427068B-C291-4755-88D9-E895862D4F4A} 87300500
Device \Driver\netbt \Device\NetBT_Tcpip_{0ED74439-03D1-4CB8-B88C-54C2CCC2CDA5} 87300500

AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 VMkbd.sys

Device \Driver\netbt \Device\NetBT_Tcpip_{F0482E7A-85FB-4ECB-A95A-57902227DA25} 87300500

AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 VMkbd.sys

Device \Driver\volmgr \Device\VolMgrControl 84BD31F8
Device \Driver\usbohci \Device\USBPDO-0 860051F8
Device \Driver\usbehci \Device\USBPDO-1 85FB51F8
Device \Driver\netbt \Device\NetBT_Tcpip_{FCAB9E0F-E381-4650-879E-7094909D0E37} 87300500
Device \Driver\netbt \Device\NetBT_Tcpip_{3AD30EEF-0D89-4244-B891-906DF0BA156E} 87300500
Device \Driver\volmgr \Device\HarddiskVolume1 84BD31F8
Device \Driver\nvstor32 \Device\00000071 84BD61F8
Device \Driver\volmgr \Device\HarddiskVolume2 84BD31F8
Device \Driver\cdrom \Device\CdRom0 85EB31F8
Device \Driver\nvstor32 \Device\00000072 84BD61F8
Device \Driver\volmgr \Device\HarddiskVolume3 84BD31F8
Device \Driver\cdrom \Device\CdRom1 85EB31F8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-0 84BD51F8
Device \Driver\atapi \Device\Ide\IdePort0 84BD51F8
Device \Driver\atapi \Device\Ide\IdePort1 84BD51F8
Device \Driver\sptd \Device\2676078874 spvk.sys
Device \Driver\volmgr \Device\HarddiskVolume4 84BD31F8
Device \Driver\netbt \Device\NetBt_Wins_Export 87300500
Device \Driver\BTHUSB \Device\00000084 bthport.sys (Pilote de bus Bluetooth/Microsoft Corporation)
Device \Driver\Smb \Device\NetbiosSmb 8704E1F8
Device \Driver\BTHUSB \Device\00000086 bthport.sys (Pilote de bus Bluetooth/Microsoft Corporation)
Device \Driver\nvstor32 \Device\RaidPort0 84BD61F8
Device \Driver\iScsiPrt \Device\RaidPort1 85FA81F8
Device \Driver\netbt \Device\NetBT_Tcpip_{8FBB9824-0AFC-4452-B89F-93E00D8D069A} 87300500
Device \Driver\PCI_PNP0856 \Device\0000005f spvk.sys
Device \Driver\usbohci \Device\USBFDO-0 860051F8
Device \Driver\usbohci \Device\USBFDO-0 hcmon.sys
Device \Driver\usbehci \Device\USBFDO-1 85FB51F8
Device \Driver\usbehci \Device\USBFDO-1 hcmon.sys
Device \Driver\aft0urkb \Device\Scsi\aft0urkb1 85FC61F8
Device \Driver\aft0urkb \Device\Scsi\aft0urkb1Port4Path0Target0Lun0 85FC61F8
Device \FileSystem\cdfs \Cdfs 87CB21F8

---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001060d01a6a
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001060d10ddf
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001060d10ddf@00219e64a17d 0x7B 0x68 0xC6 0x61 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x25 0xD3 0x41 0xAC ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x57 0x2A 0xEE 0xEF ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xD0 0x5A 0x84 0xC8 ...
Reg HKLM\SYSTEM\ControlSet004\Services\BTHPORT\Parameters\Keys\001060d01a6a
Reg HKLM\SYSTEM\ControlSet004\Services\BTHPORT\Parameters\Keys\001060d10ddf
Reg HKLM\SYSTEM\ControlSet004\Services\BTHPORT\Parameters\Keys\001060d10ddf@00219e64a17d 0x7B 0x68 0xC6 0x61 ...
Reg HKLM\SYSTEM\ControlSet004\Services\msqpdxserv.sys@start 1
Reg HKLM\SYSTEM\ControlSet004\Services\msqpdxserv.sys@type 1
Reg HKLM\SYSTEM\ControlSet004\Services\msqpdxserv.sys@imagepath \systemroot\system32\drivers\msqpdxwfyvoupe.sys
Reg HKLM\SYSTEM\ControlSet004\Services\msqpdxserv.sys@group file system
Reg HKLM\SYSTEM\ControlSet004\Services\msqpdxserv.sys\modules
Reg HKLM\SYSTEM\ControlSet004\Services\msqpdxserv.sys\modules@msqpdxserv \\?\globalroot\systemroot\system32\drivers\msqpdxwfyvoupe.sys
Reg HKLM\SYSTEM\ControlSet004\Services\msqpdxserv.sys\modules@msqpdxl \\?\globalroot\systemroot\system32\msqpdxpaybymkd.dll
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x25 0xD3 0x41 0xAC ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x57 0x2A 0xEE 0xEF ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xD0 0x5A 0x84 0xC8 ...

---- EOF - GMER 1.0.14 ----
0
Réponse 23 / 57
Snx
27 févr. 2009 à 11:54
Et voici mon rapport RSIT du log.txt :

Logfile of random's system information tool 1.05 (written by random/random)
Run by sainx at 2009-02-27 06:53:20
Microsoft® Windows Vista™ Édition Familiale Premium
System drive C: has 33 GB (22%) free of 152 GB
Total RAM: 2046 MB (44% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 06:53:24, on 27/02/2009
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16764)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\Logitech\SetPoint\LBTWiz.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\VMware\VMware Workstation\vmware-tray.exe
C:\Program Files\VMware\VMware Workstation\hqtray.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Apoint2K\ApMsgFwd.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\uTorrent\uTorrent.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\Windows\system32\conime.exe
C:\Windows\Explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\VideoLAN\VLC\vlc.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\sainx\Desktop\CCM Virus\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\sainx.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll
O1 - Hosts: ::1 localhost
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [vmware-tray] "C:\Program Files\VMware\VMware Workstation\vmware-tray.exe"
O4 - HKLM\..\Run: [VMware hqtray] "C:\Program Files\VMware\VMware Workstation\hqtray.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Télécharger avec IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: Télécharger le contenu de video FLV avec IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Télécharger tous les liens avec IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - cmdmapping - (no file) (HKCU)
O13 - Gopher Prefix:
O16 - DPF: {55963676-2F5E-4BAF-AC28-CF26AA587566} (Cisco AnyConnect VPN Client Web Control) - https://vpn-lelamentin.supinfo.com/CACHE/webvpn/stc/1/binaries/vpnweb.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: EMP_NSWLSV - SEIKO EPSON CORPORATION - C:\Program Files\EPSON Projector\EMP NS Connection V2\EMP_NSWLSV.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: IviRegMgr - InterVideo - c:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\LogiShrd\Bluetooth\LBTServ.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: Planificateur LiveUpdate automatique - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: Fujitsu Siemens Computers Diagnostic Testhandler (TestHandler) - Fujitsu Siemens Computers - C:\firststeps\OnlineDiagnostic\TestManager\TestHandler.exe
O23 - Service: VMware Agent Service (ufad-ws60) - VMware, Inc. - C:\Program Files\VMware\VMware Workstation\vmware-ufad.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Program Files\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\Windows\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Program Files\Common Files\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\Windows\system32\vmnat.exe
O23 - Service: Cisco AnyConnect VPN Agent (vpnagent) - Cisco Systems, Inc. - C:\Program Files\Cisco\Cisco AnyConnect VPN Client\vpnagent.exe
O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.8\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.0.51b\bin\mysqld-nt.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe
0
Réponse 24 / 57
plopus Messages postés 5962 Date d'inscription jeudi 1 janvier 2009 Statut Contributeur sécurité Dernière intervention 11 mars 2012 293
27 févr. 2009 à 12:12
va supprimer ce dossier : C:\Program Files\Cain


et peut tu refaire rooter stp
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 57
Snx
27 févr. 2009 à 12:15
Ok rooter en cours ... (on utilisait cain en cours d'informatique pour apprendre le ARP poisonning, mais c'est vrai qu'il est considéré comme un virus, le prof nous avait prévenu, je l'ai supprimé et je t'envoie le rapport des que possible)
0
Réponse 26 / 57
Snx
27 févr. 2009 à 12:21
Punaise, après avoir lancé Rooter.exe il reste bloqué sur "Please wait ..." pendant plusieurs minutes, rien ne se passe :s
Je continue d'attendre ou bien il y a une autre solution ? :(
0
Réponse 27 / 57
plopus Messages postés 5962 Date d'inscription jeudi 1 janvier 2009 Statut Contributeur sécurité Dernière intervention 11 mars 2012 293
27 févr. 2009 à 12:24
deconnecte toi d'internet et FERME TOUTES tes applications tu dois rien avoir d'ouvert

ferme le et relance le en faisant rien et te deconnectant d'internet et patiente
0
Snx
27 févr. 2009 à 12:25
Ok
0
Réponse 28 / 57
Snx
27 févr. 2009 à 12:30
J'ai débranché mon câble ethernet et fermé toute mes applications en cours, j'ai même mis fin a des processus ... mais rien y fait ... j'ai attendu 3 minutees pour voir mais ça reste bloqué sur please wait ...

Que faire ? :(
0
Réponse 29 / 57
plopus Messages postés 5962 Date d'inscription jeudi 1 janvier 2009 Statut Contributeur sécurité Dernière intervention 11 mars 2012 293
27 févr. 2009 à 12:34
lol

ben oui faut que tu le ferme ensuite tu ferme et deconnecte internet et tu le relance au debut

normalement sa prend pas longtemps il a du bug
0
Réponse 30 / 57
Snx
27 févr. 2009 à 12:46
Deja fait et refait même probleme .. que faire ?
0
Réponse 31 / 57
plopus Messages postés 5962 Date d'inscription jeudi 1 janvier 2009 Statut Contributeur sécurité Dernière intervention 11 mars 2012 293
27 févr. 2009 à 12:49
supprime le et retelecharge le et réessaye si sa marche toujours pas

redemarre ton PC au bip tapote F8 te choisit mode sans echec et réesaye
0
Réponse 32 / 57
Snx
27 févr. 2009 à 18:43
Bon, j'ai essayé plusieurs fois mais en vain, même en mode sans échec rooter.exe reste sur "please wait..." à l'infini ... je laisse tomber.
Par contre quand j'ai redémarré mon ordinateur, avira m'a détecté un virus dans le dossier ou j'ai placé tous les logiciels que tu m'avais dit de téléchargé depuis le début du nettoyage de mon infection.

Je te copie le rapport :
-----------------------------------------------------------------------------------------------
Dans le fichier 'C:\Users\sainx\Desktop\CCM Virus\Flash_Disinfector.exe'
un virus ou un programme indésirable 'WORM/Generic.4084' [worm] a été détecté.
Action exécutée : Refuser l'accès
-----------------------------------------------------------------------------------------------

Bon à part ça, que faire pour supprimer le trojan de mon pc ? N'y a-t-il pas d'autres outils ou logiciels plus efficaces et qui fonctionnent ? :(
0
Réponse 33 / 57
plopus Messages postés 5962 Date d'inscription jeudi 1 janvier 2009 Statut Contributeur sécurité Dernière intervention 11 mars 2012 293
27 févr. 2009 à 19:13
pour la detection c'est normal c'est flash desinfector c'est un risktool

pas de soucis a avoir d'ailleurs tu l'as bien passé sur ton PC et TOUTES tes clefs USB pour pas te reinfecter ? c'est important !!!

tu as retelecharger rooter avant de retester et tu tes bien deconnecté et tu n'as rien touché ?

telecharge CCleaner ici
https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html
ouvre CCleaner va dans option/avanvé et decoche la premier ligne
et nettoie ton registre et tes fichier temporaire au moins 2fois jusqu'a trouver 0erreur

puis

telecharge GENPROC Ouvre ce lien d'aide < < http://www.alt-shift-return.org/Info/GenProc-HowTo.html >

, et le téléchargement est dedans < http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip >. repond oui à la question à la fin et poste le rapport stp
0
Snx
27 févr. 2009 à 19:28
Rapport GenProc 2.385 [1] - 27/02/2009 à 14:27:24,51 - Windows Vista

GenProc n'a détecté aucune infection caractéristique et suggère de suivre la procédure suivante :


Poste un rapport Nod32 https://www.eset.com/ (il faut utiliser Internet Explorer)
- coche toutes les cases à chaque fois, et lorsque c'est terminé, colle le rapport :
- C:\Program Files\EsetOnlineScanner\log.txt

__________________________________________________________________________________________________________

Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com



J'vais faire la procédure Nod32 qu'ils conseillent.
0
Réponse 34 / 57
plopus Messages postés 5962 Date d'inscription jeudi 1 janvier 2009 Statut Contributeur sécurité Dernière intervention 11 mars 2012 293
27 févr. 2009 à 19:42
Fait ce qui a de dit ici pour recuperer le fichier http://www.cijoint.fr/cjlink.php?file=cj200902/cijCTdqvfL.txt et ouvre le te fait ce que je t'ai mit dedans et poste le rapport

puis fait un scan avec NOD comme proposé par GENPROC

as tu encore des problemes ?
0
Réponse 35 / 57
Snx
27 févr. 2009 à 19:49
J'avais déjà lancé l'analyse de NOD (qui est toujours en cours) pendant ce temps j'ai fait ce qui est dit pour OTMoveit (une fois de plus, on l'avait déjà utilisé précédemment) et j'attends que NOD finisse son analyse pour redémarrer et supprimer les fichiers qui ne sont pas accessibles directement.

Je te poste les 2 rapports (de NOD et OTMoveit) dès que c'est terminé.

(Pour l'instant je n'ai plus de problème de détection de virus ou de fenêtre intempestive, donc je pense qu'après ça on aura fini ^^)
0
Réponse 36 / 57
plopus Messages postés 5962 Date d'inscription jeudi 1 janvier 2009 Statut Contributeur sécurité Dernière intervention 11 mars 2012 293
27 févr. 2009 à 19:49
poste deja le otmoveit stp

je sais qu'on la deja fait mais pas pour la meme chose
0
Snx
27 févr. 2009 à 20:01
Si je te le poste maintenant il sera pas complet puisqu'ils m'ont demandés de redémarrer, sauf que j'ai le scan de NOD en cours :s
Je fais quoi ? Je reboot et je te post le rapport de OTM ? ou je poste le rapport incomplet tout de suite ?
Ou j'attends que NOD finisse je reboot et j'te poste le rapport ?
0
Réponse 37 / 57
plopus Messages postés 5962 Date d'inscription jeudi 1 janvier 2009 Statut Contributeur sécurité Dernière intervention 11 mars 2012 293
27 févr. 2009 à 20:14
a oui en effet dur decision ben attends la fin du scan et reboot normalement tu dois avoir un nouveau rapport qui s'ouvre si c'est pas le cas tu postera le 1rapport que tu as la (enregistre le)

puis tu referas la manip otmoveit et postera le rapport qui sera generé + celui que tu as deja tu as compris ?
0
Réponse 38 / 57
Snx
27 févr. 2009 à 20:20
Oui j'ai bien compris, donc une fois mon analyse nod terminé je posterai 3 messages différents, le rapport de NOD, le premier rapport de OTMoveit (que ce soit l'actuel ou un nouveau généré après le reboot) ainsi qu'un deuxième rapport OTMoveit fait après le reboot (deuxième manipulation).

La patience est une vertu et là je vais devoir en faire l'expérience car NOD prend vraiment beaucoup beaucoup de temps ^^"
0
Réponse 39 / 57
plopus Messages postés 5962 Date d'inscription jeudi 1 janvier 2009 Statut Contributeur sécurité Dernière intervention 11 mars 2012 293
27 févr. 2009 à 20:22
NON si quand tu reboot tu as un nouveau rapport tu poste UNIQUEMENT celui la et tu en reste la

parcontre si tu n'en as pas comme les uatres fois, tu me poste celui que tu as deja puis refait la meme manip sauf que tu reboot direct
0
Réponse 40 / 57
Snx
27 févr. 2009 à 20:27
Ok ben j'te dis à plus tard parceque là j'ai pris 42minutes pour faire 25% du scan nod ... je pense qu'on en a pour au moins 2heures là ^^
Je te poste tout dès que c'est fini, et encore merci pour tout tes précieux conseils et aides.
0

Discussions similaires

Sa veux dire koi??Subject: FW: Tr :FW: TR: TR
france22 -
ghano0666545160 -

12 réponses
Ouvrir un fichier .pub sans Publisher
baissaoui -
baissaoui -

0 réponse
Recherche nom acteur Pub
Visu -
Lorenzo -

4 réponses
Acteur pub Skoda
Dj1900 -
PutoisSouriant84 -

17 réponses
lire un fichier .pub
xycoco -
Valou -

38 réponses