Wuauclt.exe virus???
aveuglemspas_sourd
Messages postés
286
Date d'inscription
Statut
Membre
Dernière intervention
-
anthony5151 Messages postés 10573 Date d'inscription Statut Contributeur sécurité Dernière intervention -
anthony5151 Messages postés 10573 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Bonjour,
Voila j'ai observé que mon pc met beaucoup plus de temps au démarrage et qu'ensuite il rame, je suis d'abord aller jeter un coup d'oeil en tapant msconfig et demarrage et je n'ai pas trouver grand chose d'alarmant.
Sauf un truc qui même quand je le décoche, il se recoche apres lié a quicktime, du coup là je désinstalle quicktime.
Mais ce qui me gène le plus c'est un processus, wuauclt.exe qui quand je l'observe dans le gestionnaire de processus, prend de plus en plus de ressource mémoire jusqua ce que ça lag complet, du coup je bute le processus , mais parfois il revien ..
je ne sais pas trop quoi fairE..
Voila j'ai observé que mon pc met beaucoup plus de temps au démarrage et qu'ensuite il rame, je suis d'abord aller jeter un coup d'oeil en tapant msconfig et demarrage et je n'ai pas trouver grand chose d'alarmant.
Sauf un truc qui même quand je le décoche, il se recoche apres lié a quicktime, du coup là je désinstalle quicktime.
Mais ce qui me gène le plus c'est un processus, wuauclt.exe qui quand je l'observe dans le gestionnaire de processus, prend de plus en plus de ressource mémoire jusqua ce que ça lag complet, du coup je bute le processus , mais parfois il revien ..
je ne sais pas trop quoi fairE..
A voir également:
- Wuauclt.exe virus???
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Undisclosed-recipients virus - Guide
- Message virus iphone site adulte - Forum iPhone
- "Pourquoi wuauclt.exe plante?" ✓ - Forum Virus
32 réponses
Bonjour,
On va vérifier ça :
Télécharge hijackthis (logiciel de diagnostic) sur ton Bureau :
https://www.commentcamarche.net/telecharger/securite/11747-hijackthis/
Installe le, lance le et clique sur "Do a system scan and save a logfile".
Fais un copier-coller du rapport entier sur le forum
On va vérifier ça :
Télécharge hijackthis (logiciel de diagnostic) sur ton Bureau :
https://www.commentcamarche.net/telecharger/securite/11747-hijackthis/
Installe le, lance le et clique sur "Do a system scan and save a logfile".
Fais un copier-coller du rapport entier sur le forum
oki voici le log :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:39:42, on 28/02/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
E:\keylogger\rkfree.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_14\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [rkfree] E:\keylogger\rkfree.exe /b
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://E:\Office\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_14\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_14\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:39:42, on 28/02/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
E:\keylogger\rkfree.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_14\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [rkfree] E:\keylogger\rkfree.exe /b
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://E:\Office\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_14\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_14\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
Tu n'as pas de logiciel de protection ?
Si tu veux un antivirus gratuit, je te conseille celui-ci, c'est le meilleur : Antivir
Je vois une infection EoRezo, et apparemment un keylogger :
O4 - HKLM\..\Run: [rkfree] E:\keylogger\rkfree.exe /b
Par contre, je ne vois pas wuauclt.exe dans tes programmes de démarrage, tu l'as décoché dans msconfig ?
Pour supprimer EoRezo, télécharge Ad-Remover (de C_XX) sur ton Bureau.
/!\ Déconnecte toi et ferme toutes les applications en cours /!\
● Double clique sur le programme d'installation , et installe le dans son emplacement par défaut. ( C:\Program files )
● Double clique sur l'icône Ad-remover située sur ton Bureau
● Au menu principal choisis l'option "A"
● Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report(date).log )
Si tu veux un antivirus gratuit, je te conseille celui-ci, c'est le meilleur : Antivir
Je vois une infection EoRezo, et apparemment un keylogger :
O4 - HKLM\..\Run: [rkfree] E:\keylogger\rkfree.exe /b
Par contre, je ne vois pas wuauclt.exe dans tes programmes de démarrage, tu l'as décoché dans msconfig ?
Pour supprimer EoRezo, télécharge Ad-Remover (de C_XX) sur ton Bureau.
/!\ Déconnecte toi et ferme toutes les applications en cours /!\
● Double clique sur le programme d'installation , et installe le dans son emplacement par défaut. ( C:\Program files )
● Double clique sur l'icône Ad-remover située sur ton Bureau
● Au menu principal choisis l'option "A"
● Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report(date).log )
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Pas de soucis, tu es sûr ? Voici quelques références sérieuses sur rkfree :
https://www.greatis.com/appdata/d/r/rkfree.exe.htm
http://www.ca.com/us/securityadvisor/pest/pest.aspx?id=453122715
http://www.prevx.com/filenames/X1491071908038288424-0/RKFREE.EXE.html
https://www.broadcom.com/support/security-center/attacksignatures?asid=22722
Comment sais-tu que ce keylogger n'envoie pas toutes les données qu'il récupère à quelqu'un d'autre ?
Sinon, tu ne réponds pas à ma question :
"Par contre, je ne vois pas wuauclt.exe dans tes programmes de démarrage, tu l'as décoché dans msconfig ? "
https://www.greatis.com/appdata/d/r/rkfree.exe.htm
http://www.ca.com/us/securityadvisor/pest/pest.aspx?id=453122715
http://www.prevx.com/filenames/X1491071908038288424-0/RKFREE.EXE.html
https://www.broadcom.com/support/security-center/attacksignatures?asid=22722
Comment sais-tu que ce keylogger n'envoie pas toutes les données qu'il récupère à quelqu'un d'autre ?
Sinon, tu ne réponds pas à ma question :
"Par contre, je ne vois pas wuauclt.exe dans tes programmes de démarrage, tu l'as décoché dans msconfig ? "
heu pour wcault.exe il me semble qu'a un moment je l'avais décoché, mais là je ne le vois plus dans la liste de démarrage. En tout cas il se lance tout seul, car a chaque démarrage je le retrouve.
Et pour le keylogger c'est vrai que je peux pas être sur qu'il soit envoyer je ne sais ou :s
Et pour le keylogger c'est vrai que je peux pas être sur qu'il soit envoyer je ne sais ou :s
voici le log de AD :
------- LOGFILE OF AD-REMOVER 1.1.1.5 | ONLY XP/VISTA -------
Updated by C_XX on 25/02/2009 at 20:30
Start at: 14:59:56 | Sam 28/02/2009 | Boot mode: Normal Boot
Option: SCAN | Executed from: C:\Program Files\Ad-remover\Ad-remover.bat
Operating System: Microsoft® Windows XP™ Service Pack 3 (version 5.1.2600)
Computer Name: JONATH-ED9A6B7A
Current User: jonath - Administrator
Drive(s):
- C:\ (File System: NTFS)
- D:\ (File System: CDFS)
- E:\ (File System: NTFS)
- F:\ (File System: CDFS)
- H:\ (File System: CDFS)
System Drive: C:\
Windows Directory: C:\WINDOWS\
System Directory: C:\WINDOWS\System32\
--- Running Processes: 31
+-----------------| Boonty/Boonty Games Elements Found:
.
.
+-----------------| Eorezo Elements Found:
HKCR\CLSID\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKCR\EoRezoBHO.EoBho
HKCR\EoRezoBHO.EoBho.1
HKCR\Interface\{B0D071A1-36B3-4757-A126-14C89C56013A}
HKCR\Typelib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}
HKCU\Software\EoRezo
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKLM\Software\EoRezo
HKLM\Software\Classes\CLSID\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKLM\Software\Classes\EoRezoBHO.EoBho
HKLM\Software\Classes\EoRezoBHO.EoBho.1
HKLM\Software\Classes\TypeLib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}
HKLM\Software\Classes\Interface\{B0D071A1-36B3-4757-A126-14C89C56013A}
HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\EoEngine
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64F56FC1-1272-44CD-BA6E-39723696E350}
.
C:\Program Files\EoRezo
C:\Documents and Settings\jonath\Application Data\EoRezo
+-----------------| Infected Poker Softwares Elements Found:
.
C:\Documents and Settings\jonath\Cookies\jonath@partypoker[2].txt
C:\Documents and Settings\jonath\Cookies\jonath@partypoker[3].txt
+-----------------| FunWebProducts/MyWay/MyWebSearch Elements Found:
.
.
+-----------------| It's TV Elements Found:
HKCU\Software\ItsLabel
HKLM\Software\ItsLabel
HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\ItsTV
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ItsTV_is1
HKU\S-1-5-21-854245398-838170752-839522115-1003\Software\ItsLabel
.
C:\Program Files\ItsLabel
C:\Documents and Settings\jonath\Application Data\ItsLabel
C:\Documents and Settings\All Users\Menudm~1\Progra~1\ItsLabel
+-----------------| Sweetim Elements Found:
.
+-----------------| Other Adwares Found:
.
.
C:\Documents and Settings\jonath\Cookies\jonath@atdmt[2].txt
C:\Documents and Settings\jonath\Cookies\jonath@bs.serving-sys[2].txt
C:\Documents and Settings\jonath\Cookies\jonath@bs.serving-sys[3].txt
C:\Documents and Settings\jonath\Cookies\jonath@imgfarm[1].txt
+-----------------| Added Scan:
---- Mozilla FireFox Version 2.0.0.20 ----
ProfilePath: z1pcmvy4.default
.
.
.
.
.
.
---- Internet Explorer Version 7.0.5730.13 ----
+-[HKEY_CURRENT_USER\..\Internet Explorer\Main]
Search bar: hxxp://www.google.com/ie
Search Page: hxxp://www.google.com
Start page: hxxp://www.google.fr/
+-[HKEY_USERS\S-1-5-21-854245398-838170752-839522115-1003\..\Internet Explorer\Main]
Search bar: hxxp://www.google.com/ie
Search Page: hxxp://www.google.com
Start page: hxxp://www.google.fr/
+-[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start page: hxxp://go.microsoft.com/fwlink/?LinkId=69157
+-[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
Tabs: hxxp://ieframe.dll/tabswelcome.htm
+---------------------------------------------------------------------------+
[~3821 Bytes] - C:\Ad-Report-Scan-28.02.2009.log
- C:\Program Files\Ad-remover\TOOLS\BACKUP
- C:\Program Files\Ad-remover\TOOLS\QUARANTINE
End at: 15:01:56 | 28/02/2009
.
+-----------------| E.O.F - 91 Lines
.
------- LOGFILE OF AD-REMOVER 1.1.1.5 | ONLY XP/VISTA -------
Updated by C_XX on 25/02/2009 at 20:30
Start at: 14:59:56 | Sam 28/02/2009 | Boot mode: Normal Boot
Option: SCAN | Executed from: C:\Program Files\Ad-remover\Ad-remover.bat
Operating System: Microsoft® Windows XP™ Service Pack 3 (version 5.1.2600)
Computer Name: JONATH-ED9A6B7A
Current User: jonath - Administrator
Drive(s):
- C:\ (File System: NTFS)
- D:\ (File System: CDFS)
- E:\ (File System: NTFS)
- F:\ (File System: CDFS)
- H:\ (File System: CDFS)
System Drive: C:\
Windows Directory: C:\WINDOWS\
System Directory: C:\WINDOWS\System32\
--- Running Processes: 31
+-----------------| Boonty/Boonty Games Elements Found:
.
.
+-----------------| Eorezo Elements Found:
HKCR\CLSID\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKCR\EoRezoBHO.EoBho
HKCR\EoRezoBHO.EoBho.1
HKCR\Interface\{B0D071A1-36B3-4757-A126-14C89C56013A}
HKCR\Typelib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}
HKCU\Software\EoRezo
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKLM\Software\EoRezo
HKLM\Software\Classes\CLSID\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKLM\Software\Classes\EoRezoBHO.EoBho
HKLM\Software\Classes\EoRezoBHO.EoBho.1
HKLM\Software\Classes\TypeLib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}
HKLM\Software\Classes\Interface\{B0D071A1-36B3-4757-A126-14C89C56013A}
HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\EoEngine
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64F56FC1-1272-44CD-BA6E-39723696E350}
.
C:\Program Files\EoRezo
C:\Documents and Settings\jonath\Application Data\EoRezo
+-----------------| Infected Poker Softwares Elements Found:
.
C:\Documents and Settings\jonath\Cookies\jonath@partypoker[2].txt
C:\Documents and Settings\jonath\Cookies\jonath@partypoker[3].txt
+-----------------| FunWebProducts/MyWay/MyWebSearch Elements Found:
.
.
+-----------------| It's TV Elements Found:
HKCU\Software\ItsLabel
HKLM\Software\ItsLabel
HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\ItsTV
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ItsTV_is1
HKU\S-1-5-21-854245398-838170752-839522115-1003\Software\ItsLabel
.
C:\Program Files\ItsLabel
C:\Documents and Settings\jonath\Application Data\ItsLabel
C:\Documents and Settings\All Users\Menudm~1\Progra~1\ItsLabel
+-----------------| Sweetim Elements Found:
.
+-----------------| Other Adwares Found:
.
.
C:\Documents and Settings\jonath\Cookies\jonath@atdmt[2].txt
C:\Documents and Settings\jonath\Cookies\jonath@bs.serving-sys[2].txt
C:\Documents and Settings\jonath\Cookies\jonath@bs.serving-sys[3].txt
C:\Documents and Settings\jonath\Cookies\jonath@imgfarm[1].txt
+-----------------| Added Scan:
---- Mozilla FireFox Version 2.0.0.20 ----
ProfilePath: z1pcmvy4.default
.
.
.
.
.
.
---- Internet Explorer Version 7.0.5730.13 ----
+-[HKEY_CURRENT_USER\..\Internet Explorer\Main]
Search bar: hxxp://www.google.com/ie
Search Page: hxxp://www.google.com
Start page: hxxp://www.google.fr/
+-[HKEY_USERS\S-1-5-21-854245398-838170752-839522115-1003\..\Internet Explorer\Main]
Search bar: hxxp://www.google.com/ie
Search Page: hxxp://www.google.com
Start page: hxxp://www.google.fr/
+-[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start page: hxxp://go.microsoft.com/fwlink/?LinkId=69157
+-[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
Tabs: hxxp://ieframe.dll/tabswelcome.htm
+---------------------------------------------------------------------------+
[~3821 Bytes] - C:\Ad-Report-Scan-28.02.2009.log
- C:\Program Files\Ad-remover\TOOLS\BACKUP
- C:\Program Files\Ad-remover\TOOLS\QUARANTINE
End at: 15:01:56 | 28/02/2009
.
+-----------------| E.O.F - 91 Lines
.
Pour le keylogger, regarde les 4 références que je t'ai posté (notamment prevX et Symantec qui sont des éditeurs d'antivirus)
Pour vérifier, tu peux faire ceci :
• Rends toi sur le site https://www.virustotal.com/gui/
• Clique sur Parcourir, et navigue jusqu'au fichier suivant et valide : E:\keylogger\rkfree.exe
• Clique sur "Envoyer le fichier" : s'il a déjà été analysé, demande une nouvelle analyse.
• Fais un copier/coller du rapport sur le forum.
Pour Wuauclt.exe, j'ai besoin d'un rapport hijackthis où il est visible pour te dire s'il est légitime ou non. Pour ça, réactive le dans msconfig, redémarre ton ordinateur et poste un nouveau rapport stp.
Pour vérifier, tu peux faire ceci :
• Rends toi sur le site https://www.virustotal.com/gui/
• Clique sur Parcourir, et navigue jusqu'au fichier suivant et valide : E:\keylogger\rkfree.exe
• Clique sur "Envoyer le fichier" : s'il a déjà été analysé, demande une nouvelle analyse.
• Fais un copier/coller du rapport sur le forum.
Pour Wuauclt.exe, j'ai besoin d'un rapport hijackthis où il est visible pour te dire s'il est légitime ou non. Pour ça, réactive le dans msconfig, redémarre ton ordinateur et poste un nouveau rapport stp.
j'arrive plus à le trouver wcault.exe, et là j'ai la nouvelle analyse pour rkfree.exe, mais tu veux quel parti du rapport?
Antivirus Version Dernière mise à jour Résultat
a-squared 4.0.0.101 2009.02.28 MonitoringTool.Win32.RevealerKeylogger.B!IK
AhnLab-V3 5.0.0.2 2009.02.27 -
AntiVir 7.9.0.98 2009.02.28 SPR/RevealerKeylogger.E.1
Authentium 5.1.0.4 2009.02.28 -
Avast 4.8.1335.0 2009.02.27 -
AVG 8.0.0.237 2009.02.27 Logger.ESE
BitDefender 7.2 2009.02.28 Trojan.Generic.1114163
CAT-QuickHeal 10.00 2009.02.28 -
ClamAV 0.94.1 2009.02.28 -
Comodo 986 2009.02.20 -
DrWeb 4.44.0.09170 2009.02.28 -
eSafe 7.0.17.0 2009.02.26 -
eTrust-Vet 31.6.6376 2009.02.27 -
F-Prot 4.4.4.56 2009.02.26 -
F-Secure 8.0.14470.0 2009.02.27 Monitoring-Tool:W32/RevealerKeylogger.A
Fortinet 3.117.0.0 2009.02.28 -
GData 19 2009.02.28 Trojan.Generic.1114163
Ikarus T3.1.1.45.0 2009.02.28 MonitoringTool.Win32.RevealerKeylogger.B
K7AntiVirus 7.10.649 2009.02.27 not-a-virus:Monitor.Win32.RevealerKeylogger.e
Kaspersky 7.0.0.125 2009.02.28 not-a-virus:Monitor.Win32.RevealerKeylogger.e
McAfee 5538 2009.02.27 Generic PWS.y
McAfee+Artemis 5538 2009.02.27 Generic PWS.y
Microsoft 1.4306 2009.02.28 MonitoringTool:Win32/RevealerKeylogger.B
NOD32 3896 2009.02.28 Win32/KeyLogger.RevealerKeylogger.135
Norman 6.00.06 2009.02.27 -
nProtect 2009.1.8.0 2009.02.28 -
Panda 10.0.0.10 2009.02.27 Trj/CI.A
PCTools 4.4.2.0 2009.02.28 -
Prevx1 V2 2009.02.28 -
Rising 21.18.52.00 2009.02.28 -
SecureWeb-Gateway 6.7.6 2009.02.28 Riskware.RevealerKeylogger.E.1
Sophos 4.39.0 2009.02.28 Revealer Keylogger
Sunbelt 3.2.1858.2 2009.02.28 Trojan.1
Symantec 10 2009.02.28 Spyware.RevealerKeylog
TheHacker 6.3.2.6.267 2009.02.28 Aplicacion/RevealerKeylogger.e
TrendMicro 8.700.0.1004 2009.02.27 -
VBA32 3.12.10.1 2009.02.26 -
ViRobot 2009.2.28.1628 2009.02.28 Not_a_virus:Monitor.RevealerKeylogger.66048.A
VirusBuster 4.5.11.0 2009.02.28 -
Information additionnelle
File size: 66048 bytes
MD5...: 9d4ca12f56f82f275b369dadc24a8d50
SHA1..: 6a4b070739576f65074eab62190a576abff21ac6
SHA256: 643953031824a2a7887aef1e234aabc301b46ad480c5df587cbcbff6aa0c0245
SHA512: b660be01c0d297b41f7d8e70d1a7e81f7bb01f3ae556c398c1631e6b7c929b14
07eb2411567d03fd2dbea1df05c44c33bd283099dd1c14ed67a895f8acf7d2ac
ssdeep: 1536:fyyXtqkwfTL/uWGQG0v/C1cPPyNQFc6eGn:qyw7fnuWGQG+C1cnb+C
PEiD..: -
TrID..: File type identification
Win64 Executable Generic (54.6%)
Win32 Executable MS Visual C++ (generic) (24.0%)
Windows Screen Saver (8.3%)
Win32 Executable Generic (5.4%)
Win32 Dynamic Link Library (generic) (4.8%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x1210
timedatestamp.....: 0x4a94fddc (Wed Aug 26 09:18:20 2009)
machinetype.......: 0x14c (I386)
( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x6a32 0x6c00 5.91 5ed4fe88284e352453e8c7d04862e837
.rdata 0x8000 0x1865 0x1a00 4.75 ee9d5917e10c1debaa3ddc2cb415c229
.data 0xa000 0x282e 0x200 0.21 06be9b4f4b02a85a32bd6c214cb5359b
.rsrc 0xd000 0x7500 0x7600 5.41 682360959ce18c281d3d72d106330acb
( 9 imports )
> KERNEL32.dll: GetDateFormatA, WriteFile, SetProcessPriorityBoost, OpenProcess, GlobalAlloc, lstrcpynW, GetTimeFormatW, ReadFile, GetModuleFileNameW, CreateFileW, lstrcatA, lstrcmpW, lstrlenW, SetThreadPriority, GlobalUnlock, GetLastError, FindClose, FormatMessageA, CreateFileMappingW, RemoveDirectoryW, lstrcmpiW, lstrcatW, OpenFileMappingW, IsDebuggerPresent, FindNextFileW, GetShortPathNameW, GetCurrentThreadId, CloseHandle, DeleteFileW, GetCurrentProcessId, LocalFree, lstrcpyW, GetVolumeInformationW, CreateThread, lstrcpyA, GetProcessHeap, GetCurrentThread, GetModuleHandleW, GetTimeFormatA, GetComputerNameW, GlobalLock, CreateDirectoryW, HeapFree, GetCurrentProcess, HeapAlloc, UnmapViewOfFile, MapViewOfFile, SetFilePointer, FindFirstFileW, SetPriorityClass, GetFileSize, GetDateFormatW, GetEnvironmentVariableW, GetCommandLineW, GetLocalTime, ExitProcess
> USER32.dll: EmptyClipboard, SetClassLongW, GetWindowTextW, GetWindowLongW, LoadMenuW, InvalidateRect, TrackPopupMenuEx, GetKeyboardLayout, GetGUIThreadInfo, LoadIconW, RegisterClassExW, TranslateMessage, CharLowerW, SendMessageA, SetFocus, IsWindowEnabled, CallNextHookEx, LoadCursorW, GetParent, DialogBoxParamW, SetForegroundWindow, GetSubMenu, GetKeyState, UnregisterClassW, TrackPopupMenu, PostQuitMessage, GetMessageW, GetDlgItem, MapVirtualKeyW, CloseClipboard, DestroyWindow, SetWindowsHookExW, OpenClipboard, UnhookWindowsHookEx, DeferWindowPos, SetWindowLongW, EndDialog, SendDlgItemMessageW, GetDesktopWindow, GetCursorPos, LoadStringW, MessageBoxW, BeginDeferWindowPos, GetSystemMetrics, SetDlgItemTextW, SendMessageW, MapWindowPoints, UpdateWindow, EnableWindow, SetClipboardData, UnregisterHotKey, DestroyMenu, SetWindowTextW, EndDeferWindowPos, DispatchMessageW, ToUnicodeEx, SetMenuItemInfoW, RegisterHotKey, DefWindowProcW, GetWindowThreadProcessId, ShowWindow, IsDlgButtonChecked, CreateDialogParamW, GetWindowRect, CreateWindowExW, PostThreadMessageW
> GDI32.dll: GetStockObject, SetTextColor, SetBkMode
> SHELL32.dll: CommandLineToArgvW, ShellExecuteExW, SHGetFolderPathW, ShellExecuteW, SHChangeNotify
> ADVAPI32.dll: CryptDestroyHash, CryptGetHashParam, CryptAcquireContextW, GetUserNameW, CryptReleaseContext, RegDeleteValueW, RegOpenCurrentUser, CryptCreateHash, RegOpenKeyExW, CryptHashData, RegCloseKey, RegSetValueExW
> comdlg32.dll: GetSaveFileNameW
> COMCTL32.dll: ImageList_Destroy, InitCommonControlsEx, ImageList_LoadImageW
> SHLWAPI.dll: PathAppendW, PathQuoteSpacesW, PathRemoveFileSpecW, PathStripPathW
> PSAPI.DLL: EnumProcessModules, GetModuleBaseNameW
( 2 exports )
_LowLevelKeyboardProc@12, _LowLevelMouseProc@12
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=9d4ca12f56f82f275b369dadc24a8d50' target='_blank'>http://research.sunbelt-software.com/...
a-squared 4.0.0.101 2009.02.28 MonitoringTool.Win32.RevealerKeylogger.B!IK
AhnLab-V3 5.0.0.2 2009.02.27 -
AntiVir 7.9.0.98 2009.02.28 SPR/RevealerKeylogger.E.1
Authentium 5.1.0.4 2009.02.28 -
Avast 4.8.1335.0 2009.02.27 -
AVG 8.0.0.237 2009.02.27 Logger.ESE
BitDefender 7.2 2009.02.28 Trojan.Generic.1114163
CAT-QuickHeal 10.00 2009.02.28 -
ClamAV 0.94.1 2009.02.28 -
Comodo 986 2009.02.20 -
DrWeb 4.44.0.09170 2009.02.28 -
eSafe 7.0.17.0 2009.02.26 -
eTrust-Vet 31.6.6376 2009.02.27 -
F-Prot 4.4.4.56 2009.02.26 -
F-Secure 8.0.14470.0 2009.02.27 Monitoring-Tool:W32/RevealerKeylogger.A
Fortinet 3.117.0.0 2009.02.28 -
GData 19 2009.02.28 Trojan.Generic.1114163
Ikarus T3.1.1.45.0 2009.02.28 MonitoringTool.Win32.RevealerKeylogger.B
K7AntiVirus 7.10.649 2009.02.27 not-a-virus:Monitor.Win32.RevealerKeylogger.e
Kaspersky 7.0.0.125 2009.02.28 not-a-virus:Monitor.Win32.RevealerKeylogger.e
McAfee 5538 2009.02.27 Generic PWS.y
McAfee+Artemis 5538 2009.02.27 Generic PWS.y
Microsoft 1.4306 2009.02.28 MonitoringTool:Win32/RevealerKeylogger.B
NOD32 3896 2009.02.28 Win32/KeyLogger.RevealerKeylogger.135
Norman 6.00.06 2009.02.27 -
nProtect 2009.1.8.0 2009.02.28 -
Panda 10.0.0.10 2009.02.27 Trj/CI.A
PCTools 4.4.2.0 2009.02.28 -
Prevx1 V2 2009.02.28 -
Rising 21.18.52.00 2009.02.28 -
SecureWeb-Gateway 6.7.6 2009.02.28 Riskware.RevealerKeylogger.E.1
Sophos 4.39.0 2009.02.28 Revealer Keylogger
Sunbelt 3.2.1858.2 2009.02.28 Trojan.1
Symantec 10 2009.02.28 Spyware.RevealerKeylog
TheHacker 6.3.2.6.267 2009.02.28 Aplicacion/RevealerKeylogger.e
TrendMicro 8.700.0.1004 2009.02.27 -
VBA32 3.12.10.1 2009.02.26 -
ViRobot 2009.2.28.1628 2009.02.28 Not_a_virus:Monitor.RevealerKeylogger.66048.A
VirusBuster 4.5.11.0 2009.02.28 -
Information additionnelle
File size: 66048 bytes
MD5...: 9d4ca12f56f82f275b369dadc24a8d50
SHA1..: 6a4b070739576f65074eab62190a576abff21ac6
SHA256: 643953031824a2a7887aef1e234aabc301b46ad480c5df587cbcbff6aa0c0245
SHA512: b660be01c0d297b41f7d8e70d1a7e81f7bb01f3ae556c398c1631e6b7c929b14
07eb2411567d03fd2dbea1df05c44c33bd283099dd1c14ed67a895f8acf7d2ac
ssdeep: 1536:fyyXtqkwfTL/uWGQG0v/C1cPPyNQFc6eGn:qyw7fnuWGQG+C1cnb+C
PEiD..: -
TrID..: File type identification
Win64 Executable Generic (54.6%)
Win32 Executable MS Visual C++ (generic) (24.0%)
Windows Screen Saver (8.3%)
Win32 Executable Generic (5.4%)
Win32 Dynamic Link Library (generic) (4.8%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x1210
timedatestamp.....: 0x4a94fddc (Wed Aug 26 09:18:20 2009)
machinetype.......: 0x14c (I386)
( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x6a32 0x6c00 5.91 5ed4fe88284e352453e8c7d04862e837
.rdata 0x8000 0x1865 0x1a00 4.75 ee9d5917e10c1debaa3ddc2cb415c229
.data 0xa000 0x282e 0x200 0.21 06be9b4f4b02a85a32bd6c214cb5359b
.rsrc 0xd000 0x7500 0x7600 5.41 682360959ce18c281d3d72d106330acb
( 9 imports )
> KERNEL32.dll: GetDateFormatA, WriteFile, SetProcessPriorityBoost, OpenProcess, GlobalAlloc, lstrcpynW, GetTimeFormatW, ReadFile, GetModuleFileNameW, CreateFileW, lstrcatA, lstrcmpW, lstrlenW, SetThreadPriority, GlobalUnlock, GetLastError, FindClose, FormatMessageA, CreateFileMappingW, RemoveDirectoryW, lstrcmpiW, lstrcatW, OpenFileMappingW, IsDebuggerPresent, FindNextFileW, GetShortPathNameW, GetCurrentThreadId, CloseHandle, DeleteFileW, GetCurrentProcessId, LocalFree, lstrcpyW, GetVolumeInformationW, CreateThread, lstrcpyA, GetProcessHeap, GetCurrentThread, GetModuleHandleW, GetTimeFormatA, GetComputerNameW, GlobalLock, CreateDirectoryW, HeapFree, GetCurrentProcess, HeapAlloc, UnmapViewOfFile, MapViewOfFile, SetFilePointer, FindFirstFileW, SetPriorityClass, GetFileSize, GetDateFormatW, GetEnvironmentVariableW, GetCommandLineW, GetLocalTime, ExitProcess
> USER32.dll: EmptyClipboard, SetClassLongW, GetWindowTextW, GetWindowLongW, LoadMenuW, InvalidateRect, TrackPopupMenuEx, GetKeyboardLayout, GetGUIThreadInfo, LoadIconW, RegisterClassExW, TranslateMessage, CharLowerW, SendMessageA, SetFocus, IsWindowEnabled, CallNextHookEx, LoadCursorW, GetParent, DialogBoxParamW, SetForegroundWindow, GetSubMenu, GetKeyState, UnregisterClassW, TrackPopupMenu, PostQuitMessage, GetMessageW, GetDlgItem, MapVirtualKeyW, CloseClipboard, DestroyWindow, SetWindowsHookExW, OpenClipboard, UnhookWindowsHookEx, DeferWindowPos, SetWindowLongW, EndDialog, SendDlgItemMessageW, GetDesktopWindow, GetCursorPos, LoadStringW, MessageBoxW, BeginDeferWindowPos, GetSystemMetrics, SetDlgItemTextW, SendMessageW, MapWindowPoints, UpdateWindow, EnableWindow, SetClipboardData, UnregisterHotKey, DestroyMenu, SetWindowTextW, EndDeferWindowPos, DispatchMessageW, ToUnicodeEx, SetMenuItemInfoW, RegisterHotKey, DefWindowProcW, GetWindowThreadProcessId, ShowWindow, IsDlgButtonChecked, CreateDialogParamW, GetWindowRect, CreateWindowExW, PostThreadMessageW
> GDI32.dll: GetStockObject, SetTextColor, SetBkMode
> SHELL32.dll: CommandLineToArgvW, ShellExecuteExW, SHGetFolderPathW, ShellExecuteW, SHChangeNotify
> ADVAPI32.dll: CryptDestroyHash, CryptGetHashParam, CryptAcquireContextW, GetUserNameW, CryptReleaseContext, RegDeleteValueW, RegOpenCurrentUser, CryptCreateHash, RegOpenKeyExW, CryptHashData, RegCloseKey, RegSetValueExW
> comdlg32.dll: GetSaveFileNameW
> COMCTL32.dll: ImageList_Destroy, InitCommonControlsEx, ImageList_LoadImageW
> SHLWAPI.dll: PathAppendW, PathQuoteSpacesW, PathRemoveFileSpecW, PathStripPathW
> PSAPI.DLL: EnumProcessModules, GetModuleBaseNameW
( 2 exports )
_LowLevelKeyboardProc@12, _LowLevelMouseProc@12
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=9d4ca12f56f82f275b369dadc24a8d50' target='_blank'>http://research.sunbelt-software.com/...
Vu le nombre d'antivirus qui le détectent, j'espère que tu es maintenant convaincu qu'il est infectieux...
As-tu installé un antivirus comme je te l'ai recommandé (Antivir par exemple) au message 3 ?
Pour EoRezo :
! Déconnecte toi et ferme toutes les applications en cours !
Relance "Ad-remover" et choisis l'option "B" au menu principal
Coche à l'écran de sélection :
Suppression Eorezo
Suppression Infected Poker Softwares
Suppression It's TV
Other Adwares
Puis choisis "S" , le programme va travailler,
Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report(date).log )
As-tu installé un antivirus comme je te l'ai recommandé (Antivir par exemple) au message 3 ?
Pour EoRezo :
! Déconnecte toi et ferme toutes les applications en cours !
Relance "Ad-remover" et choisis l'option "B" au menu principal
Coche à l'écran de sélection :
Suppression Eorezo
Suppression Infected Poker Softwares
Suppression It's TV
Other Adwares
Puis choisis "S" , le programme va travailler,
Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report(date).log )
oui j'ai lancer antivir mais j'ai pas eu le temps de faire une analyse lol
voici le log, (ça a été long) :
------- LOGFILE OF AD-REMOVER 1.1.1.5 | ONLY XP/VISTA -------
Updated by C_XX on 25/02/2009 at 20:30
*** LIMITED TO ***
Eorezo
Infected Poker Softwares
It's TV
Other Adwares
******************
Start at: 15:44:09 | Sam 28/02/2009 | Boot mode: Normal Boot
Option: CLEAN | Executed from: C:\Program Files\Ad-remover\Ad-remover.bat
Operating System: Microsoft® Windows XP™ Service Pack 3 (version 5.1.2600)
Computer Name: JONATH-ED9A6B7A
Current User: jonath - Administrator
Drive(s):
- C:\ (File System: NTFS)
- D:\ (File System: CDFS)
- E:\ (File System: NTFS)
- F:\ (File System: CDFS)
- H:\ (File System: CDFS)
System Drive: C:\
Windows Directory: C:\WINDOWS\
System Directory: C:\WINDOWS\System32\
--- Running Processes: 34
(!) ---- IE start pages/Tabs reset
+-----------------| Eorezo Elements Deleted :
HKCR\CLSID\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKCR\EoRezoBHO.EoBho
HKCR\EoRezoBHO.EoBho.1
HKCR\Interface\{B0D071A1-36B3-4757-A126-14C89C56013A}
HKCR\Typelib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}
HKCU\Software\EoRezo
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKLM\Software\EoRezo
HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\EoEngine
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64F56FC1-1272-44CD-BA6E-39723696E350}
.
C:\Program Files\EoRezo
C:\Documents and Settings\jonath\Application Data\EoRezo
+-----------------| Infected Poker Softwares Elements Deleted :
.
C:\Documents and Settings\jonath\Cookies\jonath@partypoker[2].txt
C:\Documents and Settings\jonath\Cookies\jonath@partypoker[3].txt
+-----------------| It's TV Elements Deleted :
HKCU\Software\ItsLabel
HKLM\Software\ItsLabel
HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\ItsTV
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ItsTV_is1
.
C:\Program Files\ItsLabel
C:\Documents and Settings\jonath\Application Data\ItsLabel
C:\Documents and Settings\All Users\Menudm~1\Progra~1\ItsLabel
+-----------------| Other Adwares Deleted:
.
.
C:\Documents and Settings\jonath\Cookies\jonath@atdmt[2].txt
C:\Documents and Settings\jonath\Cookies\jonath@bs.serving-sys[2].txt
C:\Documents and Settings\jonath\Cookies\jonath@bs.serving-sys[3].txt
C:\Documents and Settings\jonath\Cookies\jonath@imgfarm[1].txt
(!) ---- Temp files deleted.
(!) ---- Recycle bin emptied in all drives.
+-----------------| Added Scan :
---- Mozilla FireFox Version 2.0.0.20 ----
ProfilePath: z1pcmvy4.default
.
.
.
.
.
.
---- Internet Explorer Version 7.0.5730.13 ----
+-[HKEY_CURRENT_USER\..\Internet Explorer\Main]
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Search Page: hxxp://www.google.com
Start page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
+-[HKEY_USERS\S-1-5-21-854245398-838170752-839522115-1003\..\Internet Explorer\Main]
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Search Page: hxxp://www.google.com
Start page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
+-[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start page: hxxp://fr.msn.com/
+-[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
Tabs: hxxp://ieframe.dll/tabswelcome.htm
+---------------------------------------------------------------------------+
[~4031 Bytes] - C:\Ad-Report-Clean-28.02.2009.log
[~4042 Bytes] - C:\Ad-Report-Scan-28.02.2009.log
- C:\Program Files\Ad-remover\TOOLS\BACKUP
- C:\Program Files\Ad-remover\TOOLS\QUARANTINE
End at: 15:52:12 | 28/02/2009
.
+-----------------| E.O.F - 91 Lines
.
voici le log, (ça a été long) :
------- LOGFILE OF AD-REMOVER 1.1.1.5 | ONLY XP/VISTA -------
Updated by C_XX on 25/02/2009 at 20:30
*** LIMITED TO ***
Eorezo
Infected Poker Softwares
It's TV
Other Adwares
******************
Start at: 15:44:09 | Sam 28/02/2009 | Boot mode: Normal Boot
Option: CLEAN | Executed from: C:\Program Files\Ad-remover\Ad-remover.bat
Operating System: Microsoft® Windows XP™ Service Pack 3 (version 5.1.2600)
Computer Name: JONATH-ED9A6B7A
Current User: jonath - Administrator
Drive(s):
- C:\ (File System: NTFS)
- D:\ (File System: CDFS)
- E:\ (File System: NTFS)
- F:\ (File System: CDFS)
- H:\ (File System: CDFS)
System Drive: C:\
Windows Directory: C:\WINDOWS\
System Directory: C:\WINDOWS\System32\
--- Running Processes: 34
(!) ---- IE start pages/Tabs reset
+-----------------| Eorezo Elements Deleted :
HKCR\CLSID\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKCR\EoRezoBHO.EoBho
HKCR\EoRezoBHO.EoBho.1
HKCR\Interface\{B0D071A1-36B3-4757-A126-14C89C56013A}
HKCR\Typelib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}
HKCU\Software\EoRezo
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKLM\Software\EoRezo
HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\EoEngine
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64F56FC1-1272-44CD-BA6E-39723696E350}
.
C:\Program Files\EoRezo
C:\Documents and Settings\jonath\Application Data\EoRezo
+-----------------| Infected Poker Softwares Elements Deleted :
.
C:\Documents and Settings\jonath\Cookies\jonath@partypoker[2].txt
C:\Documents and Settings\jonath\Cookies\jonath@partypoker[3].txt
+-----------------| It's TV Elements Deleted :
HKCU\Software\ItsLabel
HKLM\Software\ItsLabel
HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\ItsTV
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ItsTV_is1
.
C:\Program Files\ItsLabel
C:\Documents and Settings\jonath\Application Data\ItsLabel
C:\Documents and Settings\All Users\Menudm~1\Progra~1\ItsLabel
+-----------------| Other Adwares Deleted:
.
.
C:\Documents and Settings\jonath\Cookies\jonath@atdmt[2].txt
C:\Documents and Settings\jonath\Cookies\jonath@bs.serving-sys[2].txt
C:\Documents and Settings\jonath\Cookies\jonath@bs.serving-sys[3].txt
C:\Documents and Settings\jonath\Cookies\jonath@imgfarm[1].txt
(!) ---- Temp files deleted.
(!) ---- Recycle bin emptied in all drives.
+-----------------| Added Scan :
---- Mozilla FireFox Version 2.0.0.20 ----
ProfilePath: z1pcmvy4.default
.
.
.
.
.
.
---- Internet Explorer Version 7.0.5730.13 ----
+-[HKEY_CURRENT_USER\..\Internet Explorer\Main]
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Search Page: hxxp://www.google.com
Start page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
+-[HKEY_USERS\S-1-5-21-854245398-838170752-839522115-1003\..\Internet Explorer\Main]
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Search Page: hxxp://www.google.com
Start page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
+-[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start page: hxxp://fr.msn.com/
+-[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
Tabs: hxxp://ieframe.dll/tabswelcome.htm
+---------------------------------------------------------------------------+
[~4031 Bytes] - C:\Ad-Report-Clean-28.02.2009.log
[~4042 Bytes] - C:\Ad-Report-Scan-28.02.2009.log
- C:\Program Files\Ad-remover\TOOLS\BACKUP
- C:\Program Files\Ad-remover\TOOLS\QUARANTINE
End at: 15:52:12 | 28/02/2009
.
+-----------------| E.O.F - 91 Lines
.
C'est parfait, maintenant fais un scan avec Antivir stp (ça prend 20-30 minutes) :
• Double clique sur l'icone d'Antivir près de l'horloge → configuration → coche "Mode expert" → coche "Rech rootkits au dem de la recherche" → clique sur OK
• Mets à jour Antivir manuellement : fais un clic droit sur l'icone d'Antivir près de l'horloge et clique sur "Démarrer la mise à jour"
• Ensuite, double clique sur l'icone d'Antivir près de l'horloge --> clique sur "Contrôler syst. maintenant" pour lancer l'anayse.
• Double clique sur l'icone d'Antivir près de l'horloge → configuration → coche "Mode expert" → coche "Rech rootkits au dem de la recherche" → clique sur OK
• Mets à jour Antivir manuellement : fais un clic droit sur l'icone d'Antivir près de l'horloge et clique sur "Démarrer la mise à jour"
• Ensuite, double clique sur l'icone d'Antivir près de l'horloge --> clique sur "Contrôler syst. maintenant" pour lancer l'anayse.
oui ça a mis toute une nuit voici le scan :) :
Plateforme : Windows XP
Version de Windows :(Service Pack 3) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur :JONATH-ED9A6B7A
Informations de version :
BUILD.DAT : 8.2.0.52 16931 Bytes 02/12/2008 14:55:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 18/11/2008 08:21:00
AVSCAN.DLL : 8.1.4.1 49921 Bytes 21/07/2008 13:44:27
LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 12:44:16
LUKERES.DLL : 8.1.4.0 13057 Bytes 04/07/2008 07:30:27
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 11:30:36
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11/02/2009 14:55:23
ANTIVIR2.VDF : 7.1.2.105 513536 Bytes 03/03/2009 14:43:02
ANTIVIR3.VDF : 7.1.2.111 53248 Bytes 03/03/2009 14:43:02
Version du moteur: 8.2.0.98
AEVDF.DLL : 8.1.1.0 106868 Bytes 28/02/2009 14:55:36
AESCRIPT.DLL : 8.1.1.56 352634 Bytes 28/02/2009 14:55:35
AESCN.DLL : 8.1.1.7 127347 Bytes 28/02/2009 14:55:33
AERDL.DLL : 8.1.1.3 438645 Bytes 04/11/2008 13:58:38
AEPACK.DLL : 8.1.3.8 397684 Bytes 28/02/2009 14:55:32
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 28/02/2009 14:55:31
AEHEUR.DLL : 8.1.0.100 1618295 Bytes 28/02/2009 14:55:30
AEHELP.DLL : 8.1.2.2 119158 Bytes 28/02/2009 14:55:28
AEGEN.DLL : 8.1.1.22 336245 Bytes 28/02/2009 14:55:28
AEEMU.DLL : 8.1.0.9 393588 Bytes 14/10/2008 10:05:56
AECORE.DLL : 8.1.6.6 176501 Bytes 28/02/2009 14:55:26
AEBB.DLL : 8.1.0.3 53618 Bytes 14/10/2008 10:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 09:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 31/07/2008 12:02:15
AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 04/07/2008 07:23:16
RCTEXT.DLL : 8.0.52.1 86273 Bytes 17/07/2008 10:08:43
Configuration pour la recherche actuelle :
Nom de la tâche..................: Contrôle intégral du système
Fichier de configuration.........: c:\program files\avira\antivir personaledition classic\sysscan.avp
Documentation....................: bas
Action principale................: interactif
Action secondaire................: ignorer
Recherche sur les secteurs d'amorçage maître: marche
Recherche sur les secteurs d'amorçage: marche
Secteurs d'amorçage..............: C:, E:,
Recherche dans les programmes actifs: marche
Recherche en cours sur l'enregistrement: marche
Recherche de Rootkits............: marche
Fichier mode de recherche........: Sélection de fichiers intelligente
Recherche sur les archives.......: marche
Limiter la profondeur de récursivité: 20
Archive Smart Extensions.........: marche
Heuristique de macrovirus........: marche
Heuristique fichier..............: moyen
Début de la recherche : mardi 3 mars 2009 22:19
La recherche d'objets cachés commence.
'52338' objets ont été contrôlés, '0' objets cachés ont été trouvés.
La recherche sur les processus démarrés commence :
Processus de recherche 'logonui.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'taskmgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'GoogleUpdate.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'usnsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'msnmsgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'rkfree.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wscntfy.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PnkBstrA.exe' - '1' module(s) sont contrôlés
Processus de recherche 'nvsvc32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'btwdins.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'33' processus ont été contrôlés avec '33' modules
La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !
La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'E:\'
[INFO] Aucun virus trouvé !
La recherche sur les renvois aux fichiers exécutables (registre) commence.
Le registre a été contrôlé ( '54' fichiers).
La recherche sur les fichiers sélectionnés commence :
Recherche débutant dans 'C:\'
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\WINDOWS\system32\drivers\dtscsi.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\WINDOWS\system32\drivers\sptd.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\WINDOWS\system32\drivers\sptd1341.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
Recherche débutant dans 'E:\' <Nouveau nom>
Fin de la recherche : mercredi 4 mars 2009 04:10
Temps nécessaire: 5:50:14 Heure(s)
La recherche a été effectuée intégralement
10478 Les répertoires ont été contrôlés
699168 Des fichiers ont été contrôlés
0 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
0 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
4 Impossible de contrôler des fichiers
699164 Fichiers non infectés
5171 Les archives ont été contrôlées
4 Avertissements
0 Consignes
52338 Des objets ont été contrôlés lors du Rootkitscan
0 Des objets cachés ont été trouvés
Plateforme : Windows XP
Version de Windows :(Service Pack 3) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur :JONATH-ED9A6B7A
Informations de version :
BUILD.DAT : 8.2.0.52 16931 Bytes 02/12/2008 14:55:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 18/11/2008 08:21:00
AVSCAN.DLL : 8.1.4.1 49921 Bytes 21/07/2008 13:44:27
LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 12:44:16
LUKERES.DLL : 8.1.4.0 13057 Bytes 04/07/2008 07:30:27
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 11:30:36
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11/02/2009 14:55:23
ANTIVIR2.VDF : 7.1.2.105 513536 Bytes 03/03/2009 14:43:02
ANTIVIR3.VDF : 7.1.2.111 53248 Bytes 03/03/2009 14:43:02
Version du moteur: 8.2.0.98
AEVDF.DLL : 8.1.1.0 106868 Bytes 28/02/2009 14:55:36
AESCRIPT.DLL : 8.1.1.56 352634 Bytes 28/02/2009 14:55:35
AESCN.DLL : 8.1.1.7 127347 Bytes 28/02/2009 14:55:33
AERDL.DLL : 8.1.1.3 438645 Bytes 04/11/2008 13:58:38
AEPACK.DLL : 8.1.3.8 397684 Bytes 28/02/2009 14:55:32
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 28/02/2009 14:55:31
AEHEUR.DLL : 8.1.0.100 1618295 Bytes 28/02/2009 14:55:30
AEHELP.DLL : 8.1.2.2 119158 Bytes 28/02/2009 14:55:28
AEGEN.DLL : 8.1.1.22 336245 Bytes 28/02/2009 14:55:28
AEEMU.DLL : 8.1.0.9 393588 Bytes 14/10/2008 10:05:56
AECORE.DLL : 8.1.6.6 176501 Bytes 28/02/2009 14:55:26
AEBB.DLL : 8.1.0.3 53618 Bytes 14/10/2008 10:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 09:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 31/07/2008 12:02:15
AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 04/07/2008 07:23:16
RCTEXT.DLL : 8.0.52.1 86273 Bytes 17/07/2008 10:08:43
Configuration pour la recherche actuelle :
Nom de la tâche..................: Contrôle intégral du système
Fichier de configuration.........: c:\program files\avira\antivir personaledition classic\sysscan.avp
Documentation....................: bas
Action principale................: interactif
Action secondaire................: ignorer
Recherche sur les secteurs d'amorçage maître: marche
Recherche sur les secteurs d'amorçage: marche
Secteurs d'amorçage..............: C:, E:,
Recherche dans les programmes actifs: marche
Recherche en cours sur l'enregistrement: marche
Recherche de Rootkits............: marche
Fichier mode de recherche........: Sélection de fichiers intelligente
Recherche sur les archives.......: marche
Limiter la profondeur de récursivité: 20
Archive Smart Extensions.........: marche
Heuristique de macrovirus........: marche
Heuristique fichier..............: moyen
Début de la recherche : mardi 3 mars 2009 22:19
La recherche d'objets cachés commence.
'52338' objets ont été contrôlés, '0' objets cachés ont été trouvés.
La recherche sur les processus démarrés commence :
Processus de recherche 'logonui.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'taskmgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'GoogleUpdate.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'usnsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'msnmsgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'rkfree.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wscntfy.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PnkBstrA.exe' - '1' module(s) sont contrôlés
Processus de recherche 'nvsvc32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'btwdins.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'33' processus ont été contrôlés avec '33' modules
La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !
La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'E:\'
[INFO] Aucun virus trouvé !
La recherche sur les renvois aux fichiers exécutables (registre) commence.
Le registre a été contrôlé ( '54' fichiers).
La recherche sur les fichiers sélectionnés commence :
Recherche débutant dans 'C:\'
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\WINDOWS\system32\drivers\dtscsi.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\WINDOWS\system32\drivers\sptd.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\WINDOWS\system32\drivers\sptd1341.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
Recherche débutant dans 'E:\' <Nouveau nom>
Fin de la recherche : mercredi 4 mars 2009 04:10
Temps nécessaire: 5:50:14 Heure(s)
La recherche a été effectuée intégralement
10478 Les répertoires ont été contrôlés
699168 Des fichiers ont été contrôlés
0 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
0 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
4 Impossible de contrôler des fichiers
699164 Fichiers non infectés
5171 Les archives ont été contrôlées
4 Avertissements
0 Consignes
52338 Des objets ont été contrôlés lors du Rootkitscan
0 Des objets cachés ont été trouvés
alors j'ai 2 partitions, normalement C pour mon os et E pour mes données
voici le scan :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:29:50, on 04/03/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
E:\keylogger\rkfree.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\jonath\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_14\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [rkfree] E:\keylogger\rkfree.exe /b
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://E:\Office\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_14\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_14\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - https://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
voici le scan :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:29:50, on 04/03/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
E:\keylogger\rkfree.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\jonath\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_14\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [rkfree] E:\keylogger\rkfree.exe /b
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://E:\Office\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_14\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_14\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - https://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
/!\ A l'attention de ceux qui passent sur ce sujet /!\
Le logiciel qui suit n'est pas à utiliser à la légère ! Ne le faites que si un helpeur du forum qui connait bien cet outil vous l'a recommandé.
On va utiliser Combofix pour finir la désinfection. Attention, ce logiciel est très puissant, une mauvaise utilisation peut faire des dégâts... Fais exactement ce qui suit :
Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !) : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
---------------------------------------- [ ! ATTENTION ! ] --------------------------------------------------
! déconnecte toi, ferme toutes tes applications en cours et DESACTIVE TOUTES TES DEFENCES (anti-virus, antispyware, pare-feu) le temps de la manipulation qui pourraient gêner fortement l'outil...Tu les réactiveras donc après !
Dans ton cas, il s'agit d'AntiVir (fais un clic-droit sur le parapluie rouge près de l'horloge et décoche « Activer AntiVir guard »
==> Surtout, si tu rencontres des difficultés à ce niveau là, dis le moi avant de poursuivre...
Tuto ici pour installer la Console de récupération (important en cas de problème) : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
---------------------------------------------------------------------------------------------------------------------------------
Ensuite :
• Clique sur ce lien et copie l'intégralité du script qu'il contient :
http://sd-1.archive-host.com/membres/up/7739387536519291/script.txt
• Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
• Colle le script à l'intérieur, et enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
• Quitte le Bloc Notes
• Fais un glisser/déposer de ce fichier CFScript sur le fichier Combofix
• Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
• Si le fichier ne s'ouvre pas, il se trouve ici → C:\ComboFix.txt
Attention : n'utilise pas ta souris ni ton clavier pendant que le programme tourne. Cela pourrait figer l'ordi ---> si un message d'erreur windows apparait à un moment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer
Le logiciel qui suit n'est pas à utiliser à la légère ! Ne le faites que si un helpeur du forum qui connait bien cet outil vous l'a recommandé.
On va utiliser Combofix pour finir la désinfection. Attention, ce logiciel est très puissant, une mauvaise utilisation peut faire des dégâts... Fais exactement ce qui suit :
Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !) : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
---------------------------------------- [ ! ATTENTION ! ] --------------------------------------------------
! déconnecte toi, ferme toutes tes applications en cours et DESACTIVE TOUTES TES DEFENCES (anti-virus, antispyware, pare-feu) le temps de la manipulation qui pourraient gêner fortement l'outil...Tu les réactiveras donc après !
Dans ton cas, il s'agit d'AntiVir (fais un clic-droit sur le parapluie rouge près de l'horloge et décoche « Activer AntiVir guard »
==> Surtout, si tu rencontres des difficultés à ce niveau là, dis le moi avant de poursuivre...
Tuto ici pour installer la Console de récupération (important en cas de problème) : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
---------------------------------------------------------------------------------------------------------------------------------
Ensuite :
• Clique sur ce lien et copie l'intégralité du script qu'il contient :
http://sd-1.archive-host.com/membres/up/7739387536519291/script.txt
• Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
• Colle le script à l'intérieur, et enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
• Quitte le Bloc Notes
• Fais un glisser/déposer de ce fichier CFScript sur le fichier Combofix
• Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
• Si le fichier ne s'ouvre pas, il se trouve ici → C:\ComboFix.txt
Attention : n'utilise pas ta souris ni ton clavier pendant que le programme tourne. Cela pourrait figer l'ordi ---> si un message d'erreur windows apparait à un moment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer
