Sujet Précédent Sujet Suivant

Rapport Hijackthis

Fermé
Briefou Messages postés 335 Date d'inscription jeudi 13 mars 2008 Statut Membre Dernière intervention 28 octobre 2013 - 1 mars 2009 à 12:26
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 - 8 mars 2009 à 20:57
Lut,
Je vient de faire une analyse de mon système, voici le rapport.
Elle a été très rapide, j'espère que c'est normal...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:25:27, on 01/03/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\BELKIN USB Wireless Monitor\WLService.exe
C:\Program Files\BELKIN USB Wireless Monitor\WLanCfgG.exe
C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\runservice.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\UltraVNC\winvnc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\YourWare Solutions\FreeRAM XP Pro\FreeRAM XP Pro.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Microsoft Office\Office\EXCEL.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Documents and Settings\Baptiste\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE
C:\Program Files\Securitoo\av_fw\Common\FSMB32.EXE
C:\Program Files\Securitoo\av_fw\Common\FCH32.EXE
C:\Program Files\Securitoo\av_fw\Common\FAMEH32.EXE
C:\Program Files\Securitoo\av_fw\FSAUA\program\fsaua.exe
C:\Program Files\Securitoo\av_fw\Anti-Virus\fsqh.exe
C:\Program Files\Securitoo\av_fw\FWES\Program\fsdfwd.exe
C:\Program Files\Securitoo\av_fw\FSAUA\program\fsus.exe
C:\Program Files\Securitoo\av_fw\Anti-Virus\fsav32.exe
C:\Program Files\Securitoo\av_fw\FSGUI\fsguidll.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Documents and Settings\Baptiste\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Documents and Settings\Baptiste\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Baptiste\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Baptiste\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/ig
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: {4e7d318d-7a38-aeab-5354-c26001633b5d} - {d5b33610-062c-4535-baea-83a7d813d7e4} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: (no name) - {DFDA85B7-8712-4440-932D-6DB9155CA944} - (no file)
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Securitoo\av_fw\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\UltraVNC\winvnc.exe" -servicehelper
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Baptiste\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [FreeRAM XP] "C:\Program Files\YourWare Solutions\FreeRAM XP Pro\FreeRAM XP Pro.exe" -win
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Search - http://ko.bar.need2find.com/KO/menusearch.html?p=KO
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} - http://messenger.zone.msn.com/binary/msgrchkr.cab28578.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} - http://messenger.zone.msn.com/binary/MineSweeper.cab28578.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} - http://gfx1.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} - http://a840.g.akamai.net/...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} - http://f011.mail.caramail.lycos.fr/app/uploader/FileUploader.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D6E7CFB5-C074-4D1C-B647-663D1A8D96BF} - http://upload.facebook.com/controls/FacebookPhotoUploader4_5.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab28578.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4FA3EE76-AB1E-49E5-84B3-69EEE8A71D2F}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{549B17EA-5EFA-4E42-AACC-7404C1391CD7}: NameServer = 192.168.1.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: yazkmz.dll
O20 - Winlogon Notify: cbXQifDV - cbXQifDV.dll (file missing)
O23 - Service: Belkin 54Mbps Wireless USB Network Service (Belkin 54Mbps Wireless USB) - Unknown owner - C:\Program Files\BELKIN USB Wireless Monitor\WLService.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LicCtrl Service (LicCtrlService) - Unknown owner - C:\WINDOWS\runservice.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PDEngine - Unknown owner - C:\Program Files\Raxco\PerfectDisk\PDEngine.exe (file missing)
O23 - Service: PDScheduler (PDSched) - Unknown owner - C:\Program Files\Raxco\PerfectDisk\PDSched.exe (file missing)
O23 - Service: VNC Server (winvnc) - www.ultravnc.fr - C:\Program Files\UltraVNC\winvnc.exe

87 réponses

Précédent
Réponse 61 / 87
Briefou Messages postés 335 Date d'inscription jeudi 13 mars 2008 Statut Membre Dernière intervention 28 octobre 2013 83
6 mars 2009 à 07:36
En plus mon ordnateur recommence à réfléchir en permanence, c'est donc la preuve d'une infection...:'(
Voila le rapport, là il est détecté comme virus :
Antivirus Version Dernière mise à jour Résultat
a-squared 4.0.0.101 2009.03.06 Trojan-Dropper.Win32.Calimocho!IK
AhnLab-V3 5.0.0.2 2009.02.27 Win32/IRCBot.worm.variant
AntiVir 7.9.0.100 2009.03.05 TR/Crypt.Morphine.Gen
Authentium 5.1.0.4 2009.03.06 W32/Spybot.IDF
Avast 4.8.1335.0 2009.03.05 Win32:Trojan-gen {Other}
AVG 8.0.0.237 2009.03.05 IRC/BackDoor.SdBot.162.BB
CAT-QuickHeal 10.00 2009.03.05 (Suspicious) - DNAScan
ClamAV 0.94.1 2009.03.06 Trojan.Packed-86
Comodo 1027 2009.03.05 Backdoor.Win32.Rbot
DrWeb 4.44.0.09170 2009.03.06 Win32.HLLW.MyBot.based
eTrust-Vet 31.6.6384 2009.03.05 Win32/Rbot.CCI
F-Prot 4.4.4.56 2009.03.05 W32/Spybot.IDF
F-Secure 8.0.14470.0 2009.03.06 Backdoor.Win32.EggDrop.v
Fortinet 3.117.0.0 2009.03.06 W32/NewThreat!Morphine
Ikarus T3.1.1.45.0 2009.03.06 Trojan-Dropper.Win32.Calimocho
K7AntiVirus 7.10.659 2009.03.05 -
Kaspersky 7.0.0.125 2009.03.06 Backdoor.Win32.EggDrop.v
McAfee 5544 2009.03.05 W32/Sdbot.worm.gen
McAfee+Artemis 5544 2009.03.05 W32/Sdbot.worm.gen
Microsoft 1.4405 2009.03.06 Backdoor:Win32/Rbot
NOD32 3911 2009.03.05 Win32/Rbot
Norman 6.00.06 2009.03.05 W32/Suspicious_N.gen
nProtect 2009.1.8.0 2009.03.06 -
Panda 10.0.0.10 2009.03.05 W32/Gaobot.EQB.worm
PCTools 4.4.2.0 2009.03.05 Worm.Rbot.AJC
Prevx1 V2 2009.03.06 -
Rising 21.19.40.00 2009.03.06 Backdoor.Rbot.wmj
SecureWeb-Gateway 6.7.6 2009.03.06 Trojan.Crypt.Morphine.Gen
Sophos 4.39.0 2009.03.06 W32/Rbot-ZM
Sunbelt 3.2.1858.2 2009.03.06 -
Symantec 10 2009.03.06 W32.Spybot.Worm
TheHacker 6.3.2.7.273 2009.03.06 Backdoor/Rbot.gen
TrendMicro 8.700.0.1004 2009.03.05 WORM_RBOT.BBC
ViRobot 2009.3.6.1636 2009.03.06 -
VirusBuster 4.5.11.0 2009.03.05 Worm.Rbot.AJC
Information additionnelle
File size: 120320 bytes
MD5...: 8935600da0f768b13591fcf7bc85601f
SHA1..: 262a054dc101f8585e34cfaea454d08d7ea1e95c
SHA256: 630580bb30b413ed12fe4a6ad6d6c1e5ae9f35a896925fced87e7dd5f7087be5
SHA512: f77d6f67da11a62dcfaafa2bcbcdde62badfdc682ccac04e4cbfbf6a0b41a391
243e380be3fb791d5061b5ef55861570c32d78d3c3df3b95f39d9368d55437e8
ssdeep: 3072:kmBPeDRE0VTCrNmTsOtjlW0Sca+rkCjlsOoM:kmBEO5fOkcJk0bo
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (38.4%)
Win32 Dynamic Link Library (generic) (34.1%)
Win16/32 Executable Delphi generic (9.3%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x15ba
timedatestamp.....: 0x3fec5153 (Fri Dec 26 15:18:43 2003)
machinetype.......: 0x14c (I386)

( 2 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x9a000 0x1d000 8.00 c4fc20769b3ef2472a3157b7f24c0115
.idata 0x9b000 0x1000 0x200 1.02 9b1d6a82190dc20c7eb050887725cd80

( 1 imports )
> kernel32.dll: GetProcAddress, LoadLibraryA

( 0 exports )
packers (Kaspersky): PE_Patch.Morphine, Morphine, Kcuf, UPX
0
Réponse 62 / 87
Briefou Messages postés 335 Date d'inscription jeudi 13 mars 2008 Statut Membre Dernière intervention 28 octobre 2013 83
6 mars 2009 à 07:37
Je suis actuellement entrain de faire une analyse de mon ordi avec a-squared et il me trouve déjà 146 problème dont 3 haut risque !!
0
Réponse 63 / 87
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
6 mars 2009 à 08:47
bien ...

mets tout ce que ad-squared trouve en quarantaine ...


puis fait ceci stp :


Télécharge SmitfraudFix (de S!Ri, balltrap34 et moe31 ) :
http://siri.urz.free.fr/Fix/SmitfraudFix.exe

Installe le soft sur ton bureau ( et pas ailleurs! ) .

!! Déconnecte toi, ferme toutes tes applications et désactives tes défenses ( anti-virus ,anti-spyware,...) le temps de la manipe !!


Tuto ( aide ) : http://siri.urz.free.fr/Fix/SmitfraudFix.php
Autre tuto animé ( merci balltrapp34 ;) ) : http://pagesperso-orange.fr/rginformatique/section%20virus/smitfraudfix.htm

Utilisation ---> option 1 / Recherche :
Double-clique sur l'icône "Smitfraudfix.exe" et sélectionne 1 (et pas sur autre chose sans notre accord !) pour créer un rapport des fichiers responsables de l'infection.

Poste le rapport ( "rapport.txt" qui se trouve sous C\: ) et attends la suite ...

(Attention : "process.exe", un composant de l'outil, est détecté par certains antivirus comme étant un "RiskTool". Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité.)


0
Réponse 64 / 87
Briefou Messages postés 335 Date d'inscription jeudi 13 mars 2008 Statut Membre Dernière intervention 28 octobre 2013 83
6 mars 2009 à 12:57
Voila le rapport :
SmitFraudFix v2.400

Rapport fait à 12:54:16,90, 06/03/2009
Executé à partir de C:\Documents and Settings\Baptiste\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\BELKIN USB Wireless Monitor\WLService.exe
C:\Program Files\BELKIN USB Wireless Monitor\WLanCfgG.exe
C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe
C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE
C:\Program Files\Securitoo\av_fw\Anti-Virus\FSGK32.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Securitoo\av_fw\Common\FSMB32.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\runservice.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\UltraVNC\winvnc.exe
C:\Program Files\Securitoo\av_fw\Common\FCH32.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Securitoo\av_fw\Common\FAMEH32.EXE
C:\Program Files\Securitoo\av_fw\Anti-Virus\fsqh.exe
C:\Program Files\Securitoo\av_fw\FSAUA\program\fsaua.exe
C:\Program Files\Securitoo\av_fw\Anti-Virus\fssm32.exe
C:\Program Files\Securitoo\av_fw\FWES\Program\fsdfwd.exe
C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE
C:\Program Files\Securitoo\av_fw\Anti-Virus\fsav32.exe
C:\Program Files\Securitoo\av_fw\FSAUA\program\fsus.exe
C:\Program Files\Securitoo\av_fw\FSGUI\fsguidll.exe
C:\Program Files\YourWare Solutions\FreeRAM XP Pro\FreeRAM XP Pro.exe
C:\Documents and Settings\Baptiste\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\a-squared Free\a2service.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Baptiste


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Baptiste\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Baptiste\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Baptiste\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{4FA3EE76-AB1E-49E5-84B3-69EEE8A71D2F}: NameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{549B17EA-5EFA-4E42-AACC-7404C1391CD7}: NameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{4FA3EE76-AB1E-49E5-84B3-69EEE8A71D2F}: NameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{549B17EA-5EFA-4E42-AACC-7404C1391CD7}: NameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{549B17EA-5EFA-4E42-AACC-7404C1391CD7}: NameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{4FA3EE76-AB1E-49E5-84B3-69EEE8A71D2F}: NameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{549B17EA-5EFA-4E42-AACC-7404C1391CD7}: NameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 65 / 87
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
6 mars 2009 à 13:31
rien pour smthfraud ...


supprime et passe à ceci :


Télécharge SDFix sur ton bureau :
ici http://downloads.andymanchesta.com/RemovalTools/SDFix.exe.
ou ici http://download.bleepingcomputer.com/andymanchesta/SDFix.exe
ou ici http://sdfix.net/SDFix.exe

--> Double-clique sur SDFix.exe et choisis "Install" .

( tuto ici : https://www.malekal.com/slenfbot-still-an-other-irc-bot/ )

Puis une fois l'installe faite ,

Impératif : Démarrer en mode sans echec .

/!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\

Comment aller en Mode sans échec :
1) Redémarre ton ordi .
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" .
3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage .
4) Choisis la première option : Sans Échec , et valide en tapant sur [Entrée] .
5) Choisis ton compte habituel ( et pas Administrateur ).
attention : pas de connexion possible en mode sans échec , donc copie ou imprime bien la manipe pour éviter les erreurs ...


Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double-clique sur RunThis.bat pour lancer l'outil .
-->Tapes Y pour lancer le script ...
Le Fix supprime les services du virus et nettoie le registre, de ce fait un redémarrage est nécessaire , donc :
presses une touche pour redémarrer quand il te le sera demandé .

Le PC va mettre du temps avant de démarrer ( c'est normale ), après le chargement du Bureau presses une touche lorsque "Finished" s'affiche .

Le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier
C:\SDFix sous le nom "Report.txt".

Poste ce dernier dans ta prochaine réponse accompagné d'un nouveau rapport RSIT pour analyse ...


0
Réponse 66 / 87
Briefou Messages postés 335 Date d'inscription jeudi 13 mars 2008 Statut Membre Dernière intervention 28 octobre 2013 83
6 mars 2009 à 18:41
Le fichier .0xe est toujours là mais je suppose que c'est normal et mon ordi continue de réfléchir tt le temps.
Voila le rapport :

[b]SDFix: Version 1.240 [/b]
Run by Baptiste on 06/03/2009 at 17:34

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services [/b]:


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files [/b]:

No Trojan Files Found






Removing Temp Files

[b]ADS Check [/b]:



[b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-06 17:59:58
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"h0"=dword:00000000
"ujdew"=hex:45,18,b1,ce,66,6b,7f,7a,0f,76,74,8c,60,9f,f9,3c,b3,9d,e4,25,05,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"h0"=dword:00000000
"ujdew"=hex:45,18,b1,ce,66,6b,7f,7a,0f,76,74,8c,60,9f,f9,3c,b3,9d,e4,25,05,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"h0"=dword:00000000
"ujdew"=hex:45,18,b1,ce,66,6b,7f,7a,0f,76,74,8c,60,9f,f9,3c,b3,9d,e4,25,05,..

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Soldat\\Soldat.exe"="C:\\Soldat\\Soldat.exe:*:Disabled:Soldat"
"C:\\unzipped\\cube[1]\\cube\\bin\\cube.exe"="C:\\unzipped\\cube[1]\\cube\\bin\\cube.exe:*:Enabled:cube"
"C:\\Sierra\\Empire Earth\\Empire Earth.exe"="C:\\Sierra\\Empire Earth\\Empire Earth.exe:*:Enabled:Empire Earth"
"C:\\WINDOWS\\system32\\dpvsetup.exe"="C:\\WINDOWS\\system32\\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test"
"C:\\unzipped\\gtaII\\gta2.exe"="C:\\unzipped\\gtaII\\gta2.exe:*:Enabled:GTA2 main executable"
"C:\\WINDOWS\\system32\\dplaysvr.exe"="C:\\WINDOWS\\system32\\dplaysvr.exe:*:Enabled:Microsoft DirectPlay Helper"
"C:\\Documents and Settings\\Laurence PERRIN\\Mes documents\\My Games\\Company of Heroes\\Patch\\FR_1_0_0_to_1_2_0.exe"="C:\\Documents and Settings\\Laurence PERRIN\\Mes documents\\My Games\\Company of Heroes\\Patch\\FR_1_0_0_to_1_2_0.exe:*:Enabled:TODO: <File description>"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\WINDOWS\\system32\\javaw.exe"="C:\\WINDOWS\\system32\\javaw.exe:*:Enabled:Java(TM) 2 Platform Standard Edition binary"
"C:\\Program Files\\Microsoft Games\\Microsoft Flight Simulator X\\fsx.exe"="C:\\Program Files\\Microsoft Games\\Microsoft Flight Simulator X\\fsx.exe:*:Enabled:Microsoft Flight Simulator®"
"C:\\Program Files\\UltraVNC\\winvnc.exe"="C:\\Program Files\\UltraVNC\\winvnc.exe:*:Enabled:Serveur VNC pour Win32"
"C:\\Program Files\\UltraVNC\\vncviewer.exe"="C:\\Program Files\\UltraVNC\\vncviewer.exe:*:Enabled:Client UltraVNC"
"C:\\Program Files\\DNA\\btdna.exe"="C:\\Program Files\\DNA\\btdna.exe:*:Enabled:DNA"
"C:\\Program Files\\BitTorrent\\bittorrent.exe"="C:\\Program Files\\BitTorrent\\bittorrent.exe:*:Enabled:BitTorrent"
"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
"C:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\helpctr.exe"="C:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\helpctr.exe:*:Enabled:Assistance à distance - Windows Messenger et voix"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

[b]Remaining Files [/b]:



[b]Files with Hidden Attributes [/b]:

Sun 25 Feb 2007 56 A.SH. --- "C:\redir.sys"
Fri 9 May 2008 24 ..SH. --- "C:\WINDOWS\S4A4E601A.tmp"
Fri 6 Mar 2009 9,396,224 A..H. --- "C:\Documents and Settings\Baptiste\ntuser.tmp"
Sun 12 Mar 2006 10,311,680 A.SH. --- "C:\Program Files\AVIConverter\mencoder.exe"
Wed 22 Oct 2008 949,072 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\advcheck.dll"
Mon 15 Sep 2008 1,562,960 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDHelper.dll"
Wed 22 Oct 2008 962,896 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\Tools.dll"
Tue 31 Jul 2012 1,537 A.SH. --- "C:\WINDOWS\page files\maxmeg.sys"
Thu 5 Oct 2006 857 A.SH. --- "C:\WINDOWS\system32\mmf(2)(2).sys"
Thu 5 Oct 2006 857 A.SH. --- "C:\WINDOWS\system32\mmf(3)(2).sys"
Mon 21 Aug 2006 857 A.SH. --- "C:\WINDOWS\system32\mmf(4)(2).sys"
Fri 6 Mar 2009 857 A.SH. --- "C:\WINDOWS\system32\mmf.sys"
Wed 17 Oct 2007 9 A..H. --- "C:\WINDOWS\system32\wxmmin.dll"
Sun 21 Dec 2008 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv06.tmp"
Wed 17 Dec 2008 0 A.SHR --- "C:\Documents and Settings\Baptiste\Mes documents\TomTom\HOME\Backup\ONE\Backup01\InternalMemory\resycled\boot.com"

[b]Finished![/b]



Et le nouveau rapport RSTI:
Logfile of random's system information tool 1.05 (written by random/random)
Run by Baptiste at 2009-03-06 18:39:46
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 57 GB (50%) free of 114 GB
Total RAM: 1023 MB (32% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:40:36, on 06/03/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\BELKIN USB Wireless Monitor\WLService.exe
C:\Program Files\BELKIN USB Wireless Monitor\WLanCfgG.exe
C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe
C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE
C:\Program Files\Securitoo\av_fw\Anti-Virus\FSGK32.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Securitoo\av_fw\Common\FSMB32.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\runservice.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Securitoo\av_fw\Common\FCH32.EXE
C:\Program Files\UltraVNC\winvnc.exe
C:\Program Files\Securitoo\av_fw\Common\FAMEH32.EXE
C:\Program Files\Securitoo\av_fw\Anti-Virus\fsqh.exe
C:\Program Files\Securitoo\av_fw\FSAUA\program\fsaua.exe
C:\Program Files\Securitoo\av_fw\Anti-Virus\fssm32.exe
C:\Program Files\Securitoo\av_fw\FWES\Program\fsdfwd.exe
C:\Program Files\Securitoo\av_fw\FSAUA\program\fsus.exe
C:\Program Files\Securitoo\av_fw\Anti-Virus\fsav32.exe
C:\Documents and Settings\Baptiste\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\YourWare Solutions\FreeRAM XP Pro\FreeRAM XP Pro.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Securitoo\av_fw\FSGUI\fsguidll.exe
C:\Documents and Settings\Baptiste\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Baptiste\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Documents and Settings\Baptiste\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Baptiste\Bureau\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\Baptiste.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/webhp?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Securitoo\av_fw\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\UltraVNC\winvnc.exe" -servicehelper
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [FreeRAM XP] "C:\Program Files\YourWare Solutions\FreeRAM XP Pro\FreeRAM XP Pro.exe" -win
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} - http://messenger.zone.msn.com/binary/msgrchkr.cab28578.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} - http://messenger.zone.msn.com/binary/MineSweeper.cab28578.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} - http://gfx1.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1105611512920
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} - http://f011.mail.caramail.lycos.fr/app/uploader/FileUploader.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D6E7CFB5-C074-4D1C-B647-663D1A8D96BF} - http://upload.facebook.com/controls/FacebookPhotoUploader4_5.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab28578.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4FA3EE76-AB1E-49E5-84B3-69EEE8A71D2F}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{549B17EA-5EFA-4E42-AACC-7404C1391CD7}: NameServer = 192.168.1.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Belkin 54Mbps Wireless USB Network Service (Belkin 54Mbps Wireless USB) - Unknown owner - C:\Program Files\BELKIN USB Wireless Monitor\WLService.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LicCtrl Service (LicCtrlService) - Unknown owner - C:\WINDOWS\runservice.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: VNC Server (winvnc) - www.ultravnc.fr - C:\Program Files\UltraVNC\winvnc.exe
0
Réponse 67 / 87
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
6 mars 2009 à 18:50
bon ...


fais ceci maintenant :

Télécharge MSNFix.zip (de !aur3n7) :
http://sosvirus.changelog.fr/MSNFix.zip
--> décompresse-le sur le Bureau ( = extraire tout ).

Déplace ensuite le dossier que tu viens d'extraire directement sous ton disque dure ,
c'est à dire ici -> C:\MSNFix .
( c'est très important pour le bon fonctionnement de l'outil ! ).

Impératif : Démarrer en mode sans echec .

/!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\

Comment aller en Mode sans échec :
1) Redémarre ton ordi .
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" .
3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage .
4) Choisis la première option : Sans Échec , et valide en tapant sur [Entrée] .
5) Choisis ton compte habituel ( et pas Administrateur ).
attention : pas de connexion possible en mode sans échec , donc copie ou imprime bien la manipe pour éviter les erreurs ...

Lance le fichier MSNFix.bat qui se trouve dans le dossier MSNfix, sur le bureau.
- Exécute l'option R (recherche).
- Si l'infection est détectée, exécute l'option N (nettoyage) .

-> Une fois finit, sauvegardes le rapport généré sur ton bureau .
Redémarre ton PC ( = retour au mode normal ).

-> il se peut aussi que l'infection doit être nettoyer au redémarrage du PC : avant l'arrivée du bureau , une fenêtre demandant l'exécution de "MSNfix" s'ouvre .
-> clique sur ok pour que l'outil puisse finir de travailler (patiente jusqu'à l'apparition du bureau ... ceci peut s'avérer relativement long).
le rapport s'ouvrira à l'arrivée du bureau ...


---> poste moi ce rapport dans ta prochaine réponse pour analyse ...


( PS : le rapport est en outre sauvegardé ici C:\MSNFix\"date_heure".txt et ici C:\WINDOWS\msnfix.txt )
0
Réponse 68 / 87
Briefou Messages postés 335 Date d'inscription jeudi 13 mars 2008 Statut Membre Dernière intervention 28 octobre 2013 83
6 mars 2009 à 19:45
Voila le rapport :
MSNFix 1.749

C:\MSNFix
Fix exécuté le 06/03/2009 - 19:29:16,78 By Baptiste
mode sans échec

************************ Recherche les fichiers présents

... C:\WINDOWS\system32\tmp.txt

************************ Recherche les dossiers présents

Aucun dossier trouvé




************************ Suppression des fichiers

.. OK ... C:\DOCUME~1\Baptiste\LOCALS~1\Temp\winlogon.exe
.. OK ... C:\DOCUME~1\Baptiste\LOCALS~1\Temp\services.exe
.. OK ... C:\WINDOWS\system32\cftmon.exe
.. OK ... C:\WINDOWS\system32\tmp.txt



************************ Nettoyage du registre



************************ Hostsclean

Cleanhosts v 0.1.0.7 By Laurent

-- Backup : C:\WINDOWS\system32\drivers\etc\hosts-20090306193406
-- original size 0.67 Kb / 19 lines
-- Start cleaning Hosts file ....



-- final size 0.67 Kb / 19 lines
-- entry Found : 0 / Entry check : 310

End .............................. 27.83 Secondes





Les fichiers encore présents seront supprimés au prochain redémarrage


Aucun Fichier trouvé





************************ Hostsclean

Cleanhosts v 0.1.0.7 By Laurent

-- Backup : C:\WINDOWS\system32\drivers\etc\hosts-20090306193759
-- original size 0.67 Kb / 19 lines
-- Start cleaning Hosts file ....



-- final size 0.67 Kb / 19 lines
-- entry Found : 0 / Entry check : 310

End .............................. 55.98 Secondes



0
Réponse 69 / 87
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
6 mars 2009 à 19:46
Bien ...


refais un coup de CCleaner ( registre compris ) ...



puis fais ceci :


souligne>Télécharge ComboFix (par sUBs) sur ton Bureau (et pas ailleurs !)</souligne>:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe


--------------------------------- [ ! ATTENTION ! ] ------------------------------------------
!! Déconnecte toi,ferme tes applications en cours ( ainsi que ton navigateur ) et DESACTIVE TOUTES TES DEFENSES (anti-virus, guarde anti spy-ware, pare-feu) le temps de la manipe :
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!
--->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Note : pour XP, bien installer la Console de Récupération de Windows comme il est indiqué dans le tuto ci-dessus ...
--------------------------------------------------------------------------------------------


Ensuite :
double-clique sur l'icône "combofix.exe" pour lancer l'outil .

Appuie sur la touche Y (Yes) pour démarrer le scan .

Notes importantes :
-> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
-> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes ...
-> si un message d'erreur windows apparait à un momment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )

Le rapport sera crée ici : C:\Combofix.txt

Réactive bien tes défenses .


Poste le rapport Combofix pour analyse ...


0
Réponse 70 / 87
Briefou Messages postés 335 Date d'inscription jeudi 13 mars 2008 Statut Membre Dernière intervention 28 octobre 2013 83
6 mars 2009 à 21:33
Voila le rapport :
ComboFix 09-03-04.01 - Baptiste 2009-03-06 21:22:34.3 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.1023.646 [GMT 1:00]
Running from: c:\documents and settings\Baptiste\Bureau\ComboFix.exe
AV: Securitoo AntiVirus Firewall 7.00 *On-access scanning disabled* (Updated)
FW: Securitoo AntiVirus Firewall 7.00 *disabled*
* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\404Fix.exe
c:\windows\system32\Agent.OMZ.Fix.exe
c:\windows\system32\dumphive.exe
c:\windows\system32\IEDFix.C.exe
c:\windows\system32\IEDFix.exe
c:\windows\system32\o4Patch.exe
c:\windows\system32\Process.exe
c:\windows\system32\SrchSTS.exe
c:\windows\system32\tmp.reg
c:\windows\system32\VACFix.exe
c:\windows\system32\VCCLSID.exe
c:\windows\system32\WS2Fix.exe

.
((((((((((((((((((((((((( Files Created from 2009-02-06 to 2009-03-06 )))))))))))))))))))))))))))))))
.

2009-03-06 19:16 . 2009-03-06 19:38 <REP> d-a------ C:\MSNFix
2009-03-06 17:28 . 2009-03-06 17:28 <REP> d-------- c:\windows\ERUNT
2009-03-06 17:05 . 2009-03-06 18:03 <REP> d-------- C:\SDFix
2009-03-06 12:54 . 2009-03-06 12:54 0 --a------ c:\windows\system32\tmp.MSNFix
2009-03-05 21:52 . 2004-08-05 13:00 251,712 --a------ C:\ntldr
2009-03-05 21:52 . 2004-10-20 15:03 3,641 --a------ C:\fm2005officshort_demo_JeuxVideo[1].com_8839.zip.torrent
2009-03-05 21:25 . 2009-03-05 23:33 <REP> d-------- c:\program files\a-squared Free
2009-03-05 20:35 . 2009-03-05 20:35 <REP> d-------- C:\rsit
2009-03-05 19:47 . 2005-03-12 15:50 120,320 --------- C:\ISOTIME.0XE
2009-03-05 19:47 . 2004-06-27 00:07 512 --ahs---- C:\BOOTSECT.DOS
2009-03-05 19:47 . 2000-02-22 13:21 7 --a------ C:\FR.ID
2009-03-05 19:47 . 2000-02-22 13:21 7 --a------ C:\FLAG.ID
2009-03-03 20:24 . 2009-03-03 20:24 <REP> d-------- c:\windows\system32\Kaspersky Lab
2009-03-03 18:37 . 2009-03-05 20:35 <REP> d-------- c:\program files\Trend Micro
2009-03-02 17:41 . 2009-03-04 21:23 <REP> d-------- c:\documents and settings\Baptiste\Application Data\Grand Ages Rome
2009-03-01 16:41 . 2009-03-01 16:41 <REP> d-------- c:\program files\CCleaner
2009-02-28 18:56 . 2009-02-28 18:56 <REP> d-------- c:\program files\Uniblue
2009-02-27 22:36 . 2009-02-28 01:07 <REP> d-------- c:\program files\nLite
2009-02-26 19:04 . 2009-02-26 19:11 <REP> d-------- C:\dd9bab483fd93874d0636d8e6849
2009-02-19 09:37 . 2009-02-20 08:42 <REP> d-------- c:\windows\SxsCaPendDel
2009-02-19 09:14 . 2009-02-19 09:14 <REP> dr-h----- C:\AHCache
2009-02-12 15:30 . 2009-02-12 15:30 <REP> d-------- c:\program files\ColiPoste
2009-02-06 18:52 . 2009-02-06 18:52 49,504 --a------ c:\windows\system32\sirenacm.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-06 18:58 --------- d--h--w c:\program files\InstallShield Installation Information
2009-03-06 18:58 --------- d-----w c:\program files\Google
2009-03-04 20:31 --------- d-----w c:\program files\Zattoo
2009-03-03 15:59 --------- d-----w c:\documents and settings\Baptiste\Application Data\BitTorrent
2009-03-02 16:26 --------- d-----w c:\program files\Kalypso
2009-03-01 17:28 --------- d-----w c:\program files\Malwarebytes' Anti-Malware
2009-02-12 09:29 --------- d-----w c:\program files\Messenger Plus! Live
2009-02-11 09:19 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-11 09:19 15,504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-02-04 06:47 --------- d-----w c:\program files\F-Secure
2009-02-02 22:38 --------- d-----w c:\documents and settings\Famille\Application Data\BitTorrent
2009-02-01 15:32 --------- d-----w c:\documents and settings\Famille\Application Data\AdobeUM
2009-01-30 06:56 --------- d-----w c:\documents and settings\Famille\Application Data\HP
2009-01-26 22:13 --------- d-----w c:\documents and settings\Famille\Application Data\Locktime
2009-01-26 12:12 --------- d-----w c:\documents and settings\Baptiste\Application Data\Locktime
2009-01-26 12:09 --------- d-----w c:\documents and settings\All Users\Application Data\Locktime
2009-01-23 18:08 --------- d-----w c:\documents and settings\Baptiste\Application Data\Skype
2009-01-23 17:13 --------- d-----w c:\documents and settings\Baptiste\Application Data\skypePM
2009-01-16 19:19 --------- d-----w c:\documents and settings\Baptiste\Application Data\Ahead
2009-01-15 18:32 --------- d-----w c:\program files\Yahoo!
2009-01-15 17:41 --------- d-----w c:\program files\YourWare Solutions
2009-01-15 16:56 --------- d-----w c:\program files\Java
2009-01-15 16:35 --------- d-----w c:\documents and settings\Baptiste\Application Data\Malwarebytes
2009-01-15 16:34 --------- d-----w c:\documents and settings\All Users\Application Data\Malwarebytes
2009-01-13 17:46 --------- d-----w c:\program files\UltraVNC
2009-01-12 21:09 --------- d-----w c:\program files\QuickMediaConverter
2009-01-12 20:57 --------- d-----w c:\program files\Spybot - Search & Destroy
2009-01-12 20:57 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-01-11 23:22 --------- d-----w c:\program files\Microsoft Silverlight
2009-01-11 23:20 --------- d-----w c:\program files\Windows Live
2009-01-11 23:15 --------- d-----w c:\program files\Microsoft SQL Server Compact Edition
2008-12-26 08:32 107,888 ----a-w c:\windows\system32\CmdLineExt.dll
2008-12-22 21:57 21,840 ----atw c:\windows\system32\SIntfNT.dll
2008-12-22 21:57 17,212 ----atw c:\windows\system32\SIntf32.dll
2008-12-22 21:57 12,067 ----atw c:\windows\system32\SIntf16.dll
2008-12-20 22:47 826,368 ----a-w c:\windows\system32\wininet.dll
2007-10-27 15:57 47,360 ----a-w c:\documents and settings\Baptiste\Application Data\pcouffin.sys
2007-07-06 01:32 87,608 ----a-w c:\documents and settings\Laurence PERRIN\Application Data\ezpinst.exe
2007-07-06 01:32 47,360 ----a-w c:\documents and settings\Laurence PERRIN\Application Data\pcouffin.sys
2007-06-17 17:37 1 ----a-w c:\documents and settings\Laurence PERRIN\SI.bin
2007-03-07 19:26 87,608 ----a-w c:\documents and settings\Baptiste\Application Data\ezpinst.exe
2004-01-07 09:58 1,897,672 -c--a-w c:\program files\winzip81.exe
2004-01-03 08:58 638,111 ----a-w c:\program files\lftp13.zip
2003-04-05 11:30 194,950 -c--a-w c:\program files\Excel.zip8
2003-04-05 11:27 1,457,664 -c--a-w c:\program files\Excel.zip7
2003-04-05 11:26 1,457,664 -c--a-w c:\program files\Excel.zip6
2003-04-05 11:24 1,457,664 -c--a-w c:\program files\Excel.zip5
2003-04-05 11:22 1,457,664 -c--a-w c:\program files\Excel.zip4
2003-04-05 11:21 1,457,664 -c--a-w c:\program files\Excel.zip3
2003-04-05 11:20 1,457,664 -c--a-w c:\program files\Excel.zip2
2003-04-05 11:19 1,457,664 ----a-w c:\program files\Excel.zip
2006-10-05 01:03 857 --sha-w c:\windows\system32\mmf(2)(2).sys
2006-10-04 23:52 857 --sha-w c:\windows\system32\mmf(3)(2).sys
2006-08-21 15:49 857 --sha-w c:\windows\system32\mmf(4)(2).sys
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-02-06 3885408]
"FreeRAM XP"="c:\program files\YourWare Solutions\FreeRAM XP Pro\FreeRAM XP Pro.exe" [2006-03-23 1591808]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-05 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-12-10 7311360]
"F-Secure Manager"="c:\program files\Securitoo\av_fw\Common\FSM32.EXE" [2007-06-13 176177]
"F-Secure TNB"="c:\program files\Securitoo\av_fw\FSGUI\TNBUtil.exe" [2007-06-13 733184]
"WinVNC"="c:\program files\UltraVNC\winvnc.exe" [2006-07-17 364544]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-12-10 86016]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.HFYU"= huffyuv.dll
"msacm.l3fhg"= mp3fhg.acm
"msacm.divxa32"= divxa32.acm
"VIDC.X264"= x264vfw.dll
"vidc.i263"= i263_32.drv

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ PDBoot.exe\[u]0/uautocheck autochk *

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
--a------ 2009-02-06 18:51 3885408 c:\program files\Windows Live\Messenger\msnmsgr.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Soldat\\Soldat.exe"=
"c:\\unzipped\\cube[1]\\cube\\bin\\cube.exe"=
"c:\\Sierra\\Empire Earth\\Empire Earth.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\unzipped\\gtaII\\gta2.exe"=
"c:\\WINDOWS\\system32\\dplaysvr.exe"=
"c:\\Documents and Settings\\Laurence PERRIN\\Mes documents\\My Games\\Company of Heroes\\Patch\\FR_1_0_0_to_1_2_0.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\javaw.exe"=
"c:\\Program Files\\Microsoft Games\\Microsoft Flight Simulator X\\fsx.exe"=
"c:\\Program Files\\UltraVNC\\winvnc.exe"=
"c:\\Program Files\\UltraVNC\\vncviewer.exe"=
"c:\\Program Files\\DNA\\btdna.exe"=
"c:\\Program Files\\BitTorrent\\bittorrent.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\helpctr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5900:TCP"= 5900:TCP:VNC
"5900:UDP"= 5900:UDP:VNC

R0 FSFW;F-Secure Firewall Driver;c:\windows\system32\drivers\fsdfw.sys [2008-03-15 51072]
R1 F-Secure HIPS;F-Secure HIPS;c:\program files\Securitoo\av_fw\HIPS\fshs.sys [2008-03-15 41184]
R2 Belkin 54Mbps Wireless USB;Belkin 54Mbps Wireless USB Network Service;c:\program files\BELKIN USB Wireless Monitor\WLService.exe [2005-01-19 49152]
R2 LicCtrlService;LicCtrl Service;c:\windows\Runservice.exe [2004-12-13 2560]
R2 nxsIO32;NextSensor Kernel I/O Driver;c:\windows\system32\drivers\nxsIO32.sys [2008-10-31 2208]
R2 vnccom;vnccom;c:\windows\system32\drivers\vnccom.SYS [2008-03-16 6016]
R3 F-Secure Gatekeeper;F-Secure Gatekeeper;c:\program files\Securitoo\av_fw\Anti-Virus\minifilter\fsgk.sys [2008-03-15 52736]
S3 ae98f87d-ee59-4ca1-ae05-e8c4fc90d941;ae98f87d-ee59-4ca1-ae05-e8c4fc90d941;\??\d:\player\cds300.dll --> d:\player\cds300.dll [?]
S3 hamachi_oem;PlayLinc Adapter;c:\windows\system32\drivers\gan_adapter.sys [2006-08-28 10664]
S3 Ndisprot;ArcNet NDIS Protocol Driver;c:\windows\system32\drivers\ndisprot.sys [2008-11-19 27904]
S4 F-Secure Filter;F-Secure File System Filter;c:\program files\Securitoo\av_fw\Anti-Virus\win2k\fsfilter.sys [2008-03-15 33024]
S4 F-Secure Recognizer;F-Secure File System Recognizer;c:\program files\Securitoo\av_fw\Anti-Virus\win2k\fsrec.sys [2008-03-15 18432]
S4 PDSched;PDScheduler;"c:\program files\Raxco\PerfectDisk\PDSched.exe" --> c:\program files\Raxco\PerfectDisk\PDSched.exe [?]

--- Other Services/Drivers In Memory ---

*NewlyCreated* - GTNDIS5

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
Contents of the 'Scheduled Tasks' folder

2009-03-06 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1615111907-2869483099-2337368712-1007.job
- c:\documents and settings\Baptiste\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2008-11-11 20:45]

2009-03-06 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1615111907-2869483099-2337368712-1009.job
- c:\documents and settings\Famille\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2008-11-11 20:06]

2009-03-06 c:\windows\Tasks\Scheduled scanning task.job
- c:\progra~1\SECURI~1\av_fw\ANTI-V~1\fsav.exe [2007-06-13 14:58]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.google.fr/ig
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
mWindow Title =
uInternet Settings,ProxyOverride = localhost
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
Trusted Zone: microsoft.com\office
TCP: {4FA3EE76-AB1E-49E5-84B3-69EEE8A71D2F} = 192.168.1.1
TCP: {549B17EA-5EFA-4E42-AACC-7404C1391CD7} = 192.168.1.1
DPF: CabBuilder - hxxp://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} - hxxp://f011.mail.caramail.lycos.fr/app/uploader/FileUploader.cab
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-06 21:26:28
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_LOCAL_MACHINE\software\LicCtrl\LicCtrl\LicCtrl\LicCtrl*lkzs$i&#&y@^t! #^$ g9^$&pgb SDB36o \7B89AC59B91B61F6]
"1"=hex:e2,7f,28,b3,f4,78,a8,90,a3,fe,4e,87,45,83,70,cb,36,b1,2e,f7,56,49,5f,
1a
"2"=hex:75,4f,d5,56,e6,9d,1a,13,c8,71,03,1e,73,6c,6e,62,58,a8,9a,49,4f,b9,cd,
0f,5b,63,25,a5,82,25,ac,36
"3"=hex:e2,7f,28,b3,f4,78,a8,90,a3,fe,4e,87,45,83,70,cb,f0,b4,6d,ee,bc,c7,ac,
0b,c8,17,e0,ea,3a,b9,a9,b3,2b,85,23,84,db,a5,db,15,57,06,da,7a,f2,b6,f8,62,\

[HKEY_LOCAL_MACHINE\software\LicCtrl\LicCtrl\LicCtrl\LicCtrl*lkzs$i&#&y@^t! #^$ g9^$&pgb SDB36o \7B89AC59B91B61F6\F441D6F238B9ABA2D3FCA772F626AD2B]
"1"=hex:7e,63,ed,e4,ff,c6,da,b0,42,9d,58,ab,db,aa,ef,ee,87,d7,ab,27,3e,71,cd,
57
"2"=hex:a3,f8,a7,9e,35,78,5d,5d
"3"=hex:81,20,8f,ab,28,6a,52,9c
"4"=hex:2f,ad,a2,e7,8a,bf,05,5e
"5"=hex:bf,e5,23,7b,b0,66,d6,fc,b8,e8,6b,a0,96,52,f7,32,80,09,8f,24,b7,b3,55,
1a,98,d1,47,16,02,43,61,1c,b9,d5,8f,2a,7b,81,b1,fb,95,22,f8,b3,2c,53,9d,ae,\
"6"=hex:bf,e5,23,7b,b0,66,d6,fc,bc,64,22,fb,7e,d3,39,3e,a3,00,33,13,c0,21,f4,
51,6c,4e,0c,96,e2,dd,ad,8a,b6,c4,05,e8,5a,bd,9a,e9,d4,1a,3d,68,9d,00,32,20
"7"=hex:e2,7f,28,b3,f4,78,a8,90,a3,fe,4e,87,45,83,70,cb,56,45,d4,09,32,3d,f1,
bb,f7,48,93,b9,38,3c,15,e4,8d,f5,b4,8e,82,72,66,0b,c7,96,98,35,f9,2a,2c,db,\
"8"=hex:63,5a,d7,1b,b1,d4,18,46,1a,71,d0,d8,f4,aa,c9,dc,12,96,5a,35,4b,e0,a7,
97,8a,49,13,86,27,5b,8c,1d,85,69,8e,f8,26,af,a9,53
"9"=hex:81,20,8f,ab,28,6a,52,9c
"18"=hex:70,56,26,33,e3,20,f8,ab
"10"=hex:81,20,8f,ab,28,6a,52,9c
"11"=hex:81,20,8f,ab,28,6a,52,9c
"12"=hex:81,20,8f,ab,28,6a,52,9c
"13"=hex:81,20,8f,ab,28,6a,52,9c
"14"=hex:81,20,8f,ab,28,6a,52,9c
"24"=hex:81,20,8f,ab,28,6a,52,9c
"26"=hex:81,20,8f,ab,28,6a,52,9c
"27"=hex:81,20,8f,ab,28,6a,52,9c
"19"=hex:81,20,8f,ab,28,6a,52,9c
"22"=hex:81,20,8f,ab,28,6a,52,9c
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(516)
c:\program files\Securitoo\av_fw\FWES\Program\fsdc.dll

- - - - - - - > 'lsass.exe'(572)
c:\program files\Securitoo\av_fw\FWES\Program\fsdc.dll

- - - - - - - > 'csrss.exe'(492)
c:\program files\Securitoo\av_fw\FWES\Program\fsdc.dll
.
Completion time: 2009-03-06 21:30:47
ComboFix-quarantined-files.txt 2009-03-06 20:30:27

Pre-Run: 59 853 193 216 octets libres
Post-Run: 59,933,278,208 octets libres

Current=3 Default=3 Failed=2 LastKnownGood=1 Sets=1,2,3,4
258 --- E O F --- 2009-02-27 02:02:51
0
Réponse 71 / 87
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
6 mars 2009 à 21:41
Fait ceci :

1-Créer un doc texte sur ton bureau :
pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .

Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :


File::
C:\ISOTIME.0XE
C:\FR.ID
C:\FLAG.ID




Puis va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valide ...


2-Nettoyage :

!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!

--->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

(Regarde ici : http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript.gif )

Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tape 1 puis valide.

Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

!! Ne touches à rien tant que le scan n'est pas terminé !!

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse et dis moi si il y a du mieux ...

( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )

0
Réponse 72 / 87
Briefou Messages postés 335 Date d'inscription jeudi 13 mars 2008 Statut Membre Dernière intervention 28 octobre 2013 83
6 mars 2009 à 22:04
Voila le rapport :
ComboFix 09-03-04.01 - Baptiste 2009-03-06 21:56:56.4 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.1023.663 [GMT 1:00]
Lancé depuis: c:\documents and settings\Baptiste\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Baptiste\Bureau\CFScript.txt
AV: Securitoo AntiVirus Firewall 7.00 *On-access scanning disabled* (Updated)
FW: Securitoo AntiVirus Firewall 7.00 *disabled*
* Un nouveau point de restauration a été créé

FILE ::
C:\FLAG.ID
C:\FR.ID
C:\ISOTIME.0XE
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\FLAG.ID
C:\FR.ID
C:\ISOTIME.0XE

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-02-06 au 2009-03-06 ))))))))))))))))))))))))))))))))))))
.

2009-03-06 19:16 . 2009-03-06 19:38 <REP> d-a------ C:\MSNFix
2009-03-06 17:28 . 2009-03-06 17:28 <REP> d-------- c:\windows\ERUNT
2009-03-06 17:05 . 2009-03-06 18:03 <REP> d-------- C:\SDFix
2009-03-06 12:54 . 2009-03-06 12:54 0 --a------ c:\windows\system32\tmp.MSNFix
2009-03-05 21:52 . 2004-08-05 13:00 251,712 --a------ C:\ntldr
2009-03-05 21:52 . 2004-10-20 15:03 3,641 --a------ C:\fm2005officshort_demo_JeuxVideo[1].com_8839.zip.torrent
2009-03-05 21:25 . 2009-03-05 23:33 <REP> d-------- c:\program files\a-squared Free
2009-03-05 20:35 . 2009-03-05 20:35 <REP> d-------- C:\rsit
2009-03-05 19:47 . 2004-06-27 00:07 512 --ahs---- C:\BOOTSECT.DOS
2009-03-03 20:24 . 2009-03-03 20:24 <REP> d-------- c:\windows\system32\Kaspersky Lab
2009-03-03 18:37 . 2009-03-05 20:35 <REP> d-------- c:\program files\Trend Micro
2009-03-02 17:41 . 2009-03-04 21:23 <REP> d-------- c:\documents and settings\Baptiste\Application Data\Grand Ages Rome
2009-03-01 16:41 . 2009-03-01 16:41 <REP> d-------- c:\program files\CCleaner
2009-02-28 18:56 . 2009-02-28 18:56 <REP> d-------- c:\program files\Uniblue
2009-02-27 22:36 . 2009-02-28 01:07 <REP> d-------- c:\program files\nLite
2009-02-26 19:04 . 2009-02-26 19:11 <REP> d-------- C:\dd9bab483fd93874d0636d8e6849
2009-02-19 09:37 . 2009-02-20 08:42 <REP> d-------- c:\windows\SxsCaPendDel
2009-02-19 09:14 . 2009-02-19 09:14 <REP> dr-h----- C:\AHCache
2009-02-12 15:30 . 2009-02-12 15:30 <REP> d-------- c:\program files\ColiPoste
2009-02-06 18:52 . 2009-02-06 18:52 49,504 --a------ c:\windows\system32\sirenacm.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-06 18:58 --------- d--h--w c:\program files\InstallShield Installation Information
2009-03-06 18:58 --------- d-----w c:\program files\Google
2009-03-04 20:31 --------- d-----w c:\program files\Zattoo
2009-03-03 15:59 --------- d-----w c:\documents and settings\Baptiste\Application Data\BitTorrent
2009-03-02 16:26 --------- d-----w c:\program files\Kalypso
2009-03-01 17:28 --------- d-----w c:\program files\Malwarebytes' Anti-Malware
2009-02-12 09:29 --------- d-----w c:\program files\Messenger Plus! Live
2009-02-11 09:19 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-11 09:19 15,504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-02-04 06:47 --------- d-----w c:\program files\F-Secure
2009-02-02 22:38 --------- d-----w c:\documents and settings\Famille\Application Data\BitTorrent
2009-02-01 15:32 --------- d-----w c:\documents and settings\Famille\Application Data\AdobeUM
2009-01-30 06:56 --------- d-----w c:\documents and settings\Famille\Application Data\HP
2009-01-26 22:13 --------- d-----w c:\documents and settings\Famille\Application Data\Locktime
2009-01-26 12:12 --------- d-----w c:\documents and settings\Baptiste\Application Data\Locktime
2009-01-26 12:09 --------- d-----w c:\documents and settings\All Users\Application Data\Locktime
2009-01-23 18:08 --------- d-----w c:\documents and settings\Baptiste\Application Data\Skype
2009-01-23 17:13 --------- d-----w c:\documents and settings\Baptiste\Application Data\skypePM
2009-01-16 19:19 --------- d-----w c:\documents and settings\Baptiste\Application Data\Ahead
2009-01-15 18:32 --------- d-----w c:\program files\Yahoo!
2009-01-15 17:41 --------- d-----w c:\program files\YourWare Solutions
2009-01-15 16:56 --------- d-----w c:\program files\Java
2009-01-15 16:35 --------- d-----w c:\documents and settings\Baptiste\Application Data\Malwarebytes
2009-01-15 16:34 --------- d-----w c:\documents and settings\All Users\Application Data\Malwarebytes
2009-01-13 17:46 --------- d-----w c:\program files\UltraVNC
2009-01-12 21:09 --------- d-----w c:\program files\QuickMediaConverter
2009-01-12 20:57 --------- d-----w c:\program files\Spybot - Search & Destroy
2009-01-12 20:57 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-01-11 23:22 --------- d-----w c:\program files\Microsoft Silverlight
2009-01-11 23:20 --------- d-----w c:\program files\Windows Live
2009-01-11 23:15 --------- d-----w c:\program files\Microsoft SQL Server Compact Edition
2008-12-26 08:32 107,888 ----a-w c:\windows\system32\CmdLineExt.dll
2008-12-22 21:57 21,840 ----atw c:\windows\system32\SIntfNT.dll
2008-12-22 21:57 17,212 ----atw c:\windows\system32\SIntf32.dll
2008-12-22 21:57 12,067 ----atw c:\windows\system32\SIntf16.dll
2008-12-20 22:47 826,368 ----a-w c:\windows\system32\wininet.dll
2007-10-27 15:57 47,360 ----a-w c:\documents and settings\Baptiste\Application Data\pcouffin.sys
2007-07-06 01:32 87,608 ----a-w c:\documents and settings\Laurence PERRIN\Application Data\ezpinst.exe
2007-07-06 01:32 47,360 ----a-w c:\documents and settings\Laurence PERRIN\Application Data\pcouffin.sys
2007-06-17 17:37 1 ----a-w c:\documents and settings\Laurence PERRIN\SI.bin
2007-03-07 19:26 87,608 ----a-w c:\documents and settings\Baptiste\Application Data\ezpinst.exe
2004-01-07 09:58 1,897,672 -c--a-w c:\program files\winzip81.exe
2004-01-03 08:58 638,111 ----a-w c:\program files\lftp13.zip
2003-04-05 11:30 194,950 -c--a-w c:\program files\Excel.zip8
2003-04-05 11:27 1,457,664 -c--a-w c:\program files\Excel.zip7
2003-04-05 11:26 1,457,664 -c--a-w c:\program files\Excel.zip6
2003-04-05 11:24 1,457,664 -c--a-w c:\program files\Excel.zip5
2003-04-05 11:22 1,457,664 -c--a-w c:\program files\Excel.zip4
2003-04-05 11:21 1,457,664 -c--a-w c:\program files\Excel.zip3
2003-04-05 11:20 1,457,664 -c--a-w c:\program files\Excel.zip2
2003-04-05 11:19 1,457,664 ----a-w c:\program files\Excel.zip
2006-10-05 01:03 857 --sha-w c:\windows\system32\mmf(2)(2).sys
2006-10-04 23:52 857 --sha-w c:\windows\system32\mmf(3)(2).sys
2006-08-21 15:49 857 --sha-w c:\windows\system32\mmf(4)(2).sys
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-02-06 3885408]
"FreeRAM XP"="c:\program files\YourWare Solutions\FreeRAM XP Pro\FreeRAM XP Pro.exe" [2006-03-23 1591808]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-05 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-12-10 7311360]
"F-Secure Manager"="c:\program files\Securitoo\av_fw\Common\FSM32.EXE" [2007-06-13 176177]
"F-Secure TNB"="c:\program files\Securitoo\av_fw\FSGUI\TNBUtil.exe" [2007-06-13 733184]
"WinVNC"="c:\program files\UltraVNC\winvnc.exe" [2006-07-17 364544]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-12-10 86016]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.HFYU"= huffyuv.dll
"msacm.l3fhg"= mp3fhg.acm
"msacm.divxa32"= divxa32.acm
"VIDC.X264"= x264vfw.dll
"vidc.i263"= i263_32.drv

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ PDBoot.exe\[u]0/uautocheck autochk *

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
--a------ 2009-02-06 18:51 3885408 c:\program files\Windows Live\Messenger\msnmsgr.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Soldat\\Soldat.exe"=
"c:\\unzipped\\cube[1]\\cube\\bin\\cube.exe"=
"c:\\Sierra\\Empire Earth\\Empire Earth.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\unzipped\\gtaII\\gta2.exe"=
"c:\\WINDOWS\\system32\\dplaysvr.exe"=
"c:\\Documents and Settings\\Laurence PERRIN\\Mes documents\\My Games\\Company of Heroes\\Patch\\FR_1_0_0_to_1_2_0.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\javaw.exe"=
"c:\\Program Files\\Microsoft Games\\Microsoft Flight Simulator X\\fsx.exe"=
"c:\\Program Files\\UltraVNC\\winvnc.exe"=
"c:\\Program Files\\UltraVNC\\vncviewer.exe"=
"c:\\Program Files\\DNA\\btdna.exe"=
"c:\\Program Files\\BitTorrent\\bittorrent.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\helpctr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5900:TCP"= 5900:TCP:VNC
"5900:UDP"= 5900:UDP:VNC

R0 FSFW;F-Secure Firewall Driver;c:\windows\system32\drivers\fsdfw.sys [2008-03-15 51072]
R1 F-Secure HIPS;F-Secure HIPS;c:\program files\Securitoo\av_fw\HIPS\fshs.sys [2008-03-15 41184]
R2 Belkin 54Mbps Wireless USB;Belkin 54Mbps Wireless USB Network Service;c:\program files\BELKIN USB Wireless Monitor\WLService.exe [2005-01-19 49152]
R2 LicCtrlService;LicCtrl Service;c:\windows\Runservice.exe [2004-12-13 2560]
R2 nxsIO32;NextSensor Kernel I/O Driver;c:\windows\system32\drivers\nxsIO32.sys [2008-10-31 2208]
R2 vnccom;vnccom;c:\windows\system32\drivers\vnccom.SYS [2008-03-16 6016]
R3 F-Secure Gatekeeper;F-Secure Gatekeeper;c:\program files\Securitoo\av_fw\Anti-Virus\minifilter\fsgk.sys [2008-03-15 52736]
S3 ae98f87d-ee59-4ca1-ae05-e8c4fc90d941;ae98f87d-ee59-4ca1-ae05-e8c4fc90d941;\??\d:\player\cds300.dll --> d:\player\cds300.dll [?]
S3 hamachi_oem;PlayLinc Adapter;c:\windows\system32\drivers\gan_adapter.sys [2006-08-28 10664]
S3 Ndisprot;ArcNet NDIS Protocol Driver;c:\windows\system32\drivers\ndisprot.sys [2008-11-19 27904]
S4 F-Secure Filter;F-Secure File System Filter;c:\program files\Securitoo\av_fw\Anti-Virus\win2k\fsfilter.sys [2008-03-15 33024]
S4 F-Secure Recognizer;F-Secure File System Recognizer;c:\program files\Securitoo\av_fw\Anti-Virus\win2k\fsrec.sys [2008-03-15 18432]
S4 PDSched;PDScheduler;"c:\program files\Raxco\PerfectDisk\PDSched.exe" --> c:\program files\Raxco\PerfectDisk\PDSched.exe [?]

--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - GTNDIS5

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
Contenu du dossier 'Tâches planifiées'

2009-03-06 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1615111907-2869483099-2337368712-1007.job
- c:\documents and settings\Baptiste\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2008-11-11 20:45]

2009-03-06 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1615111907-2869483099-2337368712-1009.job
- c:\documents and settings\Famille\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2008-11-11 20:06]

2009-03-06 c:\windows\Tasks\Scheduled scanning task.job
- c:\progra~1\SECURI~1\av_fw\ANTI-V~1\fsav.exe [2007-06-13 14:58]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/ig
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
mWindow Title =
uInternet Settings,ProxyOverride = localhost
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
Trusted Zone: microsoft.com\office
TCP: {4FA3EE76-AB1E-49E5-84B3-69EEE8A71D2F} = 192.168.1.1
TCP: {549B17EA-5EFA-4E42-AACC-7404C1391CD7} = 192.168.1.1
DPF: CabBuilder - hxxp://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} - hxxp://f011.mail.caramail.lycos.fr/app/uploader/FileUploader.cab
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-06 21:58:30
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\LicCtrl\LicCtrl\LicCtrl\LicCtrl*lkzs$i&#&y@^t! #^$ g9^$&pgb SDB36o \7B89AC59B91B61F6]
"1"=hex:e2,7f,28,b3,f4,78,a8,90,a3,fe,4e,87,45,83,70,cb,36,b1,2e,f7,56,49,5f,
1a
"2"=hex:75,4f,d5,56,e6,9d,1a,13,c8,71,03,1e,73,6c,6e,62,58,a8,9a,49,4f,b9,cd,
0f,5b,63,25,a5,82,25,ac,36
"3"=hex:e2,7f,28,b3,f4,78,a8,90,a3,fe,4e,87,45,83,70,cb,f0,b4,6d,ee,bc,c7,ac,
0b,c8,17,e0,ea,3a,b9,a9,b3,2b,85,23,84,db,a5,db,15,57,06,da,7a,f2,b6,f8,62,\

[HKEY_LOCAL_MACHINE\software\LicCtrl\LicCtrl\LicCtrl\LicCtrl*lkzs$i&#&y@^t! #^$ g9^$&pgb SDB36o \7B89AC59B91B61F6\F441D6F238B9ABA2D3FCA772F626AD2B]
"1"=hex:7e,63,ed,e4,ff,c6,da,b0,42,9d,58,ab,db,aa,ef,ee,87,d7,ab,27,3e,71,cd,
57
"2"=hex:a3,f8,a7,9e,35,78,5d,5d
"3"=hex:81,20,8f,ab,28,6a,52,9c
"4"=hex:2f,ad,a2,e7,8a,bf,05,5e
"5"=hex:bf,e5,23,7b,b0,66,d6,fc,b8,e8,6b,a0,96,52,f7,32,80,09,8f,24,b7,b3,55,
1a,98,d1,47,16,02,43,61,1c,b9,d5,8f,2a,7b,81,b1,fb,95,22,f8,b3,2c,53,9d,ae,\
"6"=hex:bf,e5,23,7b,b0,66,d6,fc,bc,64,22,fb,7e,d3,39,3e,a3,00,33,13,c0,21,f4,
51,6c,4e,0c,96,e2,dd,ad,8a,b6,c4,05,e8,5a,bd,9a,e9,d4,1a,3d,68,9d,00,32,20
"7"=hex:e2,7f,28,b3,f4,78,a8,90,a3,fe,4e,87,45,83,70,cb,56,45,d4,09,32,3d,f1,
bb,f7,48,93,b9,38,3c,15,e4,8d,f5,b4,8e,82,72,66,0b,c7,96,98,35,f9,2a,2c,db,\
"8"=hex:63,5a,d7,1b,b1,d4,18,46,1a,71,d0,d8,f4,aa,c9,dc,12,96,5a,35,4b,e0,a7,
97,8a,49,13,86,27,5b,8c,1d,85,69,8e,f8,26,af,a9,53
"9"=hex:81,20,8f,ab,28,6a,52,9c
"18"=hex:70,56,26,33,e3,20,f8,ab
"10"=hex:81,20,8f,ab,28,6a,52,9c
"11"=hex:81,20,8f,ab,28,6a,52,9c
"12"=hex:81,20,8f,ab,28,6a,52,9c
"13"=hex:81,20,8f,ab,28,6a,52,9c
"14"=hex:81,20,8f,ab,28,6a,52,9c
"24"=hex:81,20,8f,ab,28,6a,52,9c
"26"=hex:81,20,8f,ab,28,6a,52,9c
"27"=hex:81,20,8f,ab,28,6a,52,9c
"19"=hex:81,20,8f,ab,28,6a,52,9c
"22"=hex:81,20,8f,ab,28,6a,52,9c
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(516)
c:\program files\Securitoo\av_fw\FWES\Program\fsdc.dll

- - - - - - - > 'lsass.exe'(572)
c:\program files\Securitoo\av_fw\FWES\Program\fsdc.dll

- - - - - - - > 'csrss.exe'(492)
c:\program files\Securitoo\av_fw\FWES\Program\fsdc.dll
.
Heure de fin: 2009-03-06 22:02:18
ComboFix-quarantined-files.txt 2009-03-06 21:02:00
ComboFix2.txt 2009-03-06 20:30:49

Avant-CF: 59 882 549 248 octets libres
Après-CF: 59,858,833,408 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /fastdetect /NoExecute=OptIn

Current=3 Default=3 Failed=2 LastKnownGood=1 Sets=1,2,3,4
258 --- E O F --- 2009-02-27 02:02:51
0
Réponse 73 / 87
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
6 mars 2009 à 22:18
bien ...

dis moi comment va le PC ... du mieux ?



refais ceci dans l'ordre maintenant histoire de faire le tour :


1-Télécharge ToolsCleaner (de A.Rothstein) sur ton Bureau.
http://pc-system.fr/

Déconnecte toi et ferme bien toutes tes applications en cours .

Lances le .
*Clique sur Recherche et laisse le scan se terminer (cela peut être long).
*Clique sur Suppression pour finaliser.
*Clique sur "quitter" pour générer un rapport ( et pas sur la croix rouge !) :
--> Poste ce rapport : il se trouve à la racine de ton disque dur -> C:\TCleaner.txt .

Note : Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection .
Supprime tout les outils , dossiers ou rapports consernant la désinfection que Toolscleaner2 n'a pas supprimé .

( garde CCleaner et Malwarebytes : très utiles ! )

======================================

2- Refais un coup de CCleaner ( registre compris ) .

======================================

3- Retélécharge et réinstalle hijackthis ( car supprimé par Toolscleaner2 ) ,

Télécharge et installe le logiciel HijackThis :

ici ftp://ftp.commentcamarche.com/download/HJTInstall.exe
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html

-> Clique sur le setup pour lancer l'installe : laisse toi guider et ne modifie pas les paramètres d'installation .
A la fin de l'installe , le prg ce lance automatiquement : ferme le en cliquant sur la croix rouge .
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

( ne fais pas de scan pour le moment )

======================================

4- Important :
Purge de la restauration système
*Désactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK
---> Redémarre ton PC ...

*Réactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK
--->Redémarre ton PC ...

( Note : tu peux aussi y accéder via panneau de configuration->" système "->" restauration système " ).


======================================

5- Fais ce scan en ligne pour vérifier :

( ne rien faire d'autre avec le PC durant le scan ! )

Fais un scan en ligne avec Kaspersky : https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
- Sous Démonstration en ligne, on t'explique la marche à suivre, et pour lancer le scan il faut sélectionner < Exécuter l'analyse en ligne >.
Le scan ne marche que sous Internet Explorer(et pas sous firefox ou autre...).
- On va te demander de télécharger un contôle active x, accepte .
- Dans le menu Choisissez la cible de l'analyse, sélectionne Poste de travail. Le scan va commencer.
- Sauvegarde le rapport qui sera généré, puis copie/colle le dans ta prochaine réponse pour analyse et attends la suite ...

--> tuto :
https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId291566

Note :
*Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte-toi sur le site de Kaspersky pour retenter le scan en ligne.

*S'il y a un problème, assure toi que les contrôles active x sont bien configurés dans les options internet comme décrit sur ce lien : http://www.inoculer.com/activex.php3
Rappel : le scan est à faire sous Internet Explorer !



0
Réponse 74 / 87
Briefou Messages postés 335 Date d'inscription jeudi 13 mars 2008 Statut Membre Dernière intervention 28 octobre 2013 83
7 mars 2009 à 08:12
C'est bon !! Kapersky ne trouve plus que Ultra VNC que je compte garder !
Merci beaucoup beacoup beaucoup !!! Dois-je faire qq chose pour finaliser la désinfection ? Ou pouvons nous passer à mon autre ordi (ça va être dur....) ?
0
Réponse 75 / 87
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
7 mars 2009 à 08:33
bien ...


A- il me faut le rapport de Toolscleaner .


B- fait ceci pour cloturer avec ce PC :


1- Purge de la restauration système
*Désactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK
--->Redémarre ton PC ...

*Réactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK
--->Redémarre ton PC ...

( Note : tu peux aussi y accéder via panneau de configuration->" système "->" restauration système " ).


Attention : ne pas toucher au PC pendant qu'il travaille !


2-Nettoyage et Défragmentation de tes Disques
*Nettoyage :
Clique droit sur "poste de travail" ==>"ouvrir" ==>clique droit sur le disque C ==>Propriétés ==>onglet "Général"
Clique sur le bouton "nettoyage de disque", OK .
tu le fais pour chacun de tes disques ...

*Vérifications des erreurs :
Clique droit sur "poste de travail" ==>"ouvrir" ==>clique droit sur le disque C ==>Propriétés ==>onglet "Outil"
"Vérifier maintenant", une boîte s'ouvre, cocher les cases :
-réparer automatiquement les erreurs...
-rechercher et tenter une récupération...
--->Démarrer, ok
Note : s'il te dis de redémarrer ton Pc pour le faire , tu redémarres et tu laisses faire, cela prend un peu de temps c'est normal
tu le fais pour chacun de tes disques ...

ensuite toujours dans le même onglet tu choisis :
*Défragmentation :
"défragmenter maintenant", OK
une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter" > OK .
Tu le fais pour chacun de tes disques ...

Note : si tu as un utilitaire pour défragmenter , utilise le à la place ...


3-Créer un point de restauration de ton PC :

Aller dans le Menu Démarrer puis dans Programmes,
- Ensuite dans Accessoires et enfin dans Outils système,
- Choisir "Restauration du système",
- Sélectionner "Créer un point de restauration",
- Cliquer sur "Suivant",
- Entrer un nom pour le point de restauration (ce nom doit être assez évocateur), exemple :
<< Point restauration sain >> .

--> Cliquer sur "Créer" et le point de restauration se créé automatiquement.




---> une fois terminé, dis moi ce que cela a donné et comment va le PC ... =)





=================================


Pendant que tu fais ce check-up final sur ce PC , on passe à l'autre ...


> dis moi quels sont les sympthomes et disfonctionnement que tu rencontres et fait ceci :



1- Télécharge et installe le logiciel HijackThis :

ici HijackThis
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html

-->Clique sur le setup pour lancer l'installe : laisse toi guider et ne modifie pas les paramètres d'installation .
A la fin de l'installe , le prg se lance automatiquement : ferme le en cliquant sur la croix rouge .
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

( ne lance pas ce prg pour l'instant et fais la suite ... )



2- Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau.

-> http://images.malwareremoval.com/random/RSIT.exe

! Déconnecte toi et ferme toutes tes applications en cours !

Double-clique sur " RSIT.exe " pour le lancer .

-> Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " .

* Devant l'option "List files/folders created ..." , tu choisis : 2 months

* clique ensuite sur " Continue " pour lancer l'analyse ...


-> laisse faire le scan et ne touche pas au PC ...


Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note).

Poste le contenu de " log.txt " (c'est celui qui apparait à l'écran), ainsi que de " info.txt " (que tu verras dans la barre des tâches), pour analyse et attends la suite ...

Important : poste un rapport, puis l'autre dans la réponse suivante ...
Si tu essaies de poster les deux en même temps, cela risque d'être trop long pour le forum ...
Et si "log.txt" seul, ne passe pas non plus , fais le en 2 fois ... merci ...

( Note : les rapports seront en outre sauvegardés dans ce dossier -> C:\rsit )





0
Réponse 76 / 87
Briefou Messages postés 335 Date d'inscription jeudi 13 mars 2008 Statut Membre Dernière intervention 28 octobre 2013 83
7 mars 2009 à 08:49
Dsl, j'ai oublié de mettre le rapport Toolscleaner : Je vais faire ce que tu m'as dit .
[ Rapport ToolsCleaner version 2.3.2 (par A.Rothstein & dj QUIOU) ]

-->- Recherche:

C:\Combofix.txt: trouvé !
C:\SDFIX: trouvé !
C:\MsnFix: trouvé !
C:\Qoobox: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\Baptiste\Bureau\SdFix.exe: trouvé !
C:\Documents and Settings\Baptiste\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\Baptiste\Bureau\ComboFix.exe: trouvé !
C:\Documents and Settings\Baptiste\Bureau\HJTInstall.exe: trouvé !
C:\Documents and Settings\Baptiste\Bureau\Rsit.exe: trouvé !
C:\Documents and Settings\Baptiste\Bureau\SmitFraudfix: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !
C:\WINDOWS\msnfix.txt: trouvé !
C:\WINDOWS\system32\*.msnfix: trouvé !

---------------------------------
-->- Suppression:

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\Baptiste\Bureau\SdFix.exe: supprimé !
C:\Documents and Settings\Baptiste\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\Baptiste\Bureau\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\Documents and Settings\Baptiste\Bureau\HJTInstall.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\Documents and Settings\Baptiste\Bureau\Rsit.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\WINDOWS\msnfix.txt: supprimé !
C:\WINDOWS\system32\*.msnfix: ERREUR DE SUPPRESSION !!
C:\SDFIX: supprimé !
C:\MsnFix: supprimé !
C:\Qoobox: supprimé !
C:\Rsit: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Documents and Settings\Baptiste\Bureau\SmitFraudfix: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
7 mars 2009 à 08:51
lu,


supprime Combofix manuellement ! ( clique droit dessus / supprimer ) .


0
Réponse 77 / 87
Briefou Messages postés 335 Date d'inscription jeudi 13 mars 2008 Statut Membre Dernière intervention 28 octobre 2013 83
7 mars 2009 à 09:46
Voila j'ai fini avec le premier ordi. Pour le second ordi, les symptomes sont les memes, il réfléchit en permanence, le processus fssm32.exe (f-secure) fait parfois 200 000 dans le gestionnaire des taches (on m'a dit que ce serai du à un virus ?) et il y a la présence de isotime.0xe dans c:

Voila le rapport log.txt :
Logfile of random's system information tool 1.05 (written by random/random)
Run by Fabre-Perrin at 2009-03-07 09:40:07
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 60 GB (53%) free of 114 GB
Total RAM: 767 MB (64% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:40:20, on 07/03/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Securitoo\Av_Fw\Common\FSM32.EXE
C:\Program Files\Securitoo\Av_Fw\Anti-Virus\fsgk32st.exe
C:\Program Files\Securitoo\Av_Fw\Anti-Virus\FSGK32.EXE
C:\Program Files\Securitoo\Av_Fw\Common\FSMA32.EXE
C:\Program Files\Securitoo\Av_Fw\Common\FSMB32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Securitoo\Av_Fw\Common\FCH32.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\UltraVNC\WinVNC.exe
C:\Program Files\Inventel\Gateway\wlancfg.exe
C:\Program Files\Securitoo\Av_Fw\Anti-Virus\fsqh.exe
C:\Program Files\Securitoo\Av_Fw\Common\FAMEH32.EXE
C:\Program Files\Securitoo\Av_Fw\FSGUI\fsguidll.exe
C:\Program Files\Securitoo\Av_Fw\FSAUA\program\fsaua.exe
C:\Program Files\Securitoo\Av_Fw\Anti-Virus\fssm32.exe
C:\Program Files\Securitoo\Av_Fw\FWES\Program\fsdfwd.exe
C:\Program Files\Securitoo\Av_Fw\FSAUA\program\fsus.exe
C:\Program Files\Securitoo\Av_Fw\Anti-Virus\fsav32.exe
C:\Documents and Settings\Fabre-Perrin\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
C:\Documents and Settings\Fabre-Perrin\Bureau\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\Fabre-Perrin.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: EoBho - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Securitoo\Av_Fw\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Securitoo\Av_Fw\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\UltraVNC\WinVNC.exe" -servicehelper
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Web Rebates. - file://C:\Program Files\WebRebates4\websrebates\webtrebates\toprC0.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=https://www.acer.com/worldwide/selection.html
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab30149.cab
O16 - DPF: {1239CC52-59EF-4DFA-8C61-90FFA846DF7E} (Musicnotes Viewer) - https://www.musicnotes.com/download/mnviewer.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab30149.cab
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://www.sibelius.com/download/software/win/ActiveXPlugin.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{45F58392-D0D2-428E-93FC-C9339656D556}: NameServer = 192.168.1.1
O18 - Protocol: CDS300 - {AD43AA67-6860-4531-AC8A-0E68F9CF023E} - D:\Player\__CDS2.dll (file missing)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\Securitoo\Av_Fw\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Program Files\Securitoo\Av_Fw\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Securitoo\Av_Fw\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Securitoo\Av_Fw\Common\FSMA32.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\PROGRA~1\FICHIE~1\SONYSH~1\AVLib\PACSPT~1.EXE
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\FICHIE~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: VNC Server (winvnc) - www.ultravnc.fr - C:\Program Files\UltraVNC\WinVNC.exe
O23 - Service: Service de lancement de WlanCfg (Wlancfg) - Inventel - C:\Program Files\Inventel\Gateway\wlancfg.exe
0
Réponse 78 / 87
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
7 mars 2009 à 10:43
bien ...

Commence par ceci :


Télécharge Ad-remover ( de C_XX ) sur ton bureau ( et pas ailleurs!) :

http://sd-1.archive-host.com/membres/up/16506160323759868/AD-R.exe

! Déconnecte toi et ferme toutes application en cours ( navigarteur compris ) !

* Clique sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installe par défaut .
* Double-clique sur le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
* Au menu principal choisis l'option "A" et tape sur [entrée] .

Laisse travailler l'outil et ne touche à rien ...

--> Poste le rapport qui apparait à la fin .

( le rapport est sauvegardé aussi sous C:\Ad-report.log )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Note :
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


0
Réponse 79 / 87
Briefou Messages postés 335 Date d'inscription jeudi 13 mars 2008 Statut Membre Dernière intervention 28 octobre 2013 83
7 mars 2009 à 14:00
Ok je vais le faire. Un autre symptôme que j'ai oublié de préciser c'est que très regulièrement, quand on ne l'utilise pas pandant une demi heure environ, au lieu de se mettre en veille, il fait un freeze complet, plus rien ne répond (même la souris) on est obligé d'appuyé sur le bonton de l'unité central !
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
7 mars 2009 à 14:04
Lu ...

j'attends le rapport Ad-Remover ...
0
Réponse 80 / 87
Briefou Messages postés 335 Date d'inscription jeudi 13 mars 2008 Statut Membre Dernière intervention 28 octobre 2013 83
7 mars 2009 à 14:09
Voila le rapport :

------- LOGFILE OF AD-REMOVER 1.1.1.5 | ONLY XP/VISTA -------

Updated by C_XX on 25/02/2009 at 20:30

Start at: 14:02:54 | 07/03/2009 | Boot mode: Normal Boot
Option: SCAN | Executed from: C:\Program Files\Ad-remover\Ad-remover.bat
Operating System: Microsoft® Windows XP™ Service Pack 3 (version 5.1.2600)
Computer Name: ORDIDUBAS
Current User: Fabre-Perrin - Administrator
Drive(s):
- C:\ (File System: NTFS)
System Drive: C:\
Windows Directory: C:\WINDOWS\
System Directory: C:\WINDOWS\System32\

--- Running Processes: 38

+-----------------| Boonty/Boonty Games Elements Found:

.
.

+-----------------| Eorezo Elements Found:

HKCR\AppID\{362A53B2-2913-4F8A-82F5-7E0A23FDC6F9}
HKCR\AppID\EoRezoBHO.DLL
HKCR\CLSID\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKCR\EoRezoBHO.EoBho
HKCR\EoRezoBHO.EoBho.1
HKCR\Interface\{B0D071A1-36B3-4757-A126-14C89C56013A}
HKCR\Typelib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}
HKCR\Typelib\{B6ACB3F1-6A83-432C-B854-3E1056F87F4E}
HKCU\Software\EoRezo
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKLM\Software\EoRezo
HKLM\Software\Classes\AppID\{362A53B2-2913-4F8A-82F5-7E0A23FDC6F9}
HKLM\Software\Classes\AppID\EoRezoBHO.DLL
HKLM\Software\Classes\CLSID\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKLM\Software\Classes\EoRezoBHO.EoBho
HKLM\Software\Classes\EoRezoBHO.EoBho.1
HKLM\Software\Classes\TypeLib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}
HKLM\Software\Classes\TypeLib\{B6ACB3F1-6A83-432C-B854-3E1056F87F4E}
HKLM\Software\Classes\Interface\{B0D071A1-36B3-4757-A126-14C89C56013A}
HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\EoEngine
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64F56FC1-1272-44CD-BA6E-39723696E350}
.
C:\Documents and Settings\Fabre-Perrin\Cookies\fabre-perrin@eorezo[1].txt
C:\Documents and Settings\Fabre-Perrin\Cookies\fabre-perrin@scache.eorezo[1].txt

+-----------------| Infected Poker Softwares Elements Found:

.
C:\Documents and Settings\Fabre-Perrin\Cookies\fabre-perrin@partypoker[2].txt

+-----------------| FunWebProducts/MyWay/MyWebSearch Elements Found:

.
.
C:\Program Files\MyWay

+-----------------| It's TV Elements Found:

HKLM\Software\ItsLabel
.

+-----------------| Sweetim Elements Found:

.

+-----------------| Other Adwares Found:

.
HKLM\Software\Trymedia Systems
.

+-----------------| Added Scan:

---- Mozilla FireFox Version [Unable to get version] ----

ProfilePath: siu2w2ah.default
.
.
.
.
.
.

---- Internet Explorer Version 7.0.5730.13 ----

+-[HKEY_CURRENT_USER\..\Internet Explorer\Main]

Start page: hxxp://www.google.fr/

+-[HKEY_USERS\S-1-5-21-2969962186-1538417202-2915903831-1005\..\Internet Explorer\Main]

Start page: hxxp://www.google.fr/

+-[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]

Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start page: hxxp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home

+-[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]

Tabs: hxxp://ieframe.dll/tabswelcome.htm

+---------------------------------------------------------------------------+

[~3372 Bytes] - C:\Ad-Report-Scan-07.03.2009.log

- C:\Program Files\Ad-remover\TOOLS\BACKUP
- C:\Program Files\Ad-remover\TOOLS\QUARANTINE

End at: 14:04:45 | 07/03/2009
.
+-----------------| E.O.F - 79 Lines
.
0

Discussions similaires

Impossible d'afficher le rapport de tableau croisé dynamique sur un rapport
Utilisateur anonyme -
TomH. -

13 réponses
écrire un rapport de travail
asi -
REGINALD -

3 réponses
1fichier.com et bloqueur de pub
anthea1309 -
Patoche12 -

60 réponses
impossible d'afficher le tableau dynamique sur un rapport existant
Pierre -
Adrien71 -

3 réponses
Accés au cloud
Dadou1968 -
loisou17 -

3 réponses