probleme avec windows - ecriture décaléeFermé

Question

Bonjour,
Me voilà de nouveau confronter a un problème je vous demande de m'aider s'il vous plait !!!
Le pc me lance a chaque fois un petit message sur la barre de tache ou figure le texte suivant :

   Windows - L'écriture décalée a échoué
Windows n'a pas pu sauvegarder toutes les données pour le fichier D:\uxkl0abt.bat . Les données ont été perdues . Cette erreur peut etre due à une panne de votre matériel ou de votre connexion reseau. essayez de sauvegarder ce fichier a un autre emplacement.

N.B : sachant que j'ai formater le D: en question et que je n'ai rien copier ni installer dedans. Je n'ai pas de connexion réseau non plus ... help me please !!!

gen-hackman · Answer

Salut, 


commences par ceci pour voir ce qu'il en est,avoir un diagnostic précis et donc repérer les infections possibles et les neutraliser: 


Télécharges et installes le logiciel de diagnostic : 

ici Hijackthis 
ou ici Hijackthis
ou ici Hijackthis

ou renommé



1- Cliques sur le setup pour lancer l'installe : laisses toi guider et ne modifies pas les paramètres d'installation . 
A la fin de l'installe , le prg ce lance automatiquement : fermes le en cliquant sur la croix rouge . 
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme : 
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " . 

tuto pour utilisation :(merci balltrap34) 
Regardes ici, c'est parfaitement expliqué en images , 

( Ne fixes encore AUCUNE ligne de ton plein gré, cela pourrait empêcher ton PC de fonctionner correctement ) 

2- !! Déconnectes toi et fermes toute tes applications en cours !! 

Cliques sur le raccourci du bureau pour lancer le prg : 
fais un scan HijackThis en cliquant sur : "Do a system scan and save a logfile" 

--->copies-colles le rapport généré pour analyse

pratik · Answer

Salut,
voici le log :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:44:35, on 16/03/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Normal

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\csrss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\system32\svchost.exe
F:\Program Files\Windows Defender\MsMpEng.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\Explorer.EXE
F:\WINDOWS\system32\ctfmon.exe
F:\WINDOWS\system32\spoolsv.exe
F:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
F:\Program Files\Alwil Software\Avast4\ashServ.exe
F:\WINDOWS\system32\RUNDLL32.EXE
F:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
F:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
F:\Program Files\Google\Update\GoogleUpdate.exe
F:\WINDOWS\system32
vsvc32.exe
F:\WINDOWS\System32\snmp.exe
F:\WINDOWS\system32\wbem\wmiprvse.exe
F:\WINDOWS\System32\alg.exe
F:\WINDOWS\system32\wuauclt.exe
F:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.fr/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.orbitdownloader.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/toolbar/ie8/sidebar.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Ultimate Edition
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - F:\Program Files\Orbitdownloader\orbitcth.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayerpbrowserrecordplugin.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - F:\Program Files\Orbitdownloader\GrabPro.dll
O4 - HKLM\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe"
O4 - HKLM\..\Run: [VisualTaskTips] C:\Windows\System32\VisualTaskTips.exe
O4 - HKLM\..\Run: [Vistadrv] C:\Windows\system32\Vistadrive\vsdrv.exe
O4 - HKLM\..\Run: [TransBar] C:\Windows\System32\TransBar.exe /s
O4 - HKLM\..\Run: [Styler] C:\Program Files\styler\Styler.exe
O4 - HKLM\..\Run: [TopDesk] C:\WINDOWS\system32	opdesk.exe
O4 - HKLM\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKLM\..\Run: [Windows Defender] "F:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [IMJPMIG8.1] "F:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] F:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] F:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] F:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] F:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TkBellExe] "F:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKCU\..\Run: [ctfmon.exe] F:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [cdoosoft] F:\WINDOWS\system32\olhrwef.exe
O4 - HKCU\..\Run: [eMuleAutoStart] F:\Program Files\eMule\emule.exe -AutoStart
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE RESEAU')
O4 - HKUS\S-1-5-18\..\Run: [ctfmon.exe] F:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] F:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Global Startup: Orbit.lnk = F:\Program Files\Orbitdownloader\orbitdm.exe
O8 - Extra context menu item: &Download by Orbit - res://F:\Program Files\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://F:\Program Files\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://F:\Program Files\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://F:\Program Files\Orbitdownloader\orbitmxt.dll/202
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - F:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - F:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - F:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - F:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - F:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - F:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Google Update (gupdate1c9a5dbb5157529) (gupdate1c9a5dbb5157529) - Google Inc. - F:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\system32
vsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - F:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - F:\Program Files\Spyware Doctor\pctsSvc.exe

gen-hackman · Answer

Télécharge SDFix sur ton bureau : 
ici :SDFix 
ou ici SDFix 
ou ici SDFix 

--> Double-clique sur SDFix.exe et choisis "Install" . 

Tuto 

Puis une fois l'installe faite , 

Impératif : Démarrer en mode sans echec . 

/!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\ 

Comment aller en Mode sans échec : 
1) Redémarre ton ordi . 
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" . 
3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage . 
4) Choisis la première option : Sans Échec , et valide en tapant sur [Entrée] . 
5) Choisis ton compte habituel ( et pas Administrateur ). 
attention : pas de connexion possible en mode sans échec , donc copie ou imprime bien la manipe pour éviter les erreurs ... 


Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double-clique sur RunThis.bat pour lancer l'outil . 
-->Tapes Y pour lancer le script ... 
Le Fix supprime les services du virus et nettoie le registre, de ce fait un redémarrage est nécessaire , donc : 
presses une touche pour redémarrer quand il te le sera demandé . 

Le PC va mettre du temps avant de démarrer ( c'est normal ), après le chargement du Bureau presses une touche lorsque "Finished" s'affiche . 

Le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier 
C:\SDFix sous le nom "Report.txt". 

Poste ce dernier dans ta prochaine réponse

pratik · Answer

salut,


[b]SDFix: Version 1.240 [/b]
Run by Administrateur on 16/03/2009 at 14:20

Microsoft Windows XP [version 5.1.2600]
Running From: F:\SDFix

[b]Checking Services [/b]:


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files [/b]: 

Trojan Files Found:

F:\autorun.inf - Deleted





Removing Temp Files

[b]ADS Check [/b]:
 


                                 [b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-16 14:30:49
Windows 5.1.2600 Service Pack 2 NTFS

detected NTDLL code modification:
ZwClose

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"F:\Program Files\MSN Messenger\msnmsgr.exe"="F:\Program Files\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"F:\Program Files\MSN Messenger\livecall.exe"="F:\Program Files\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"F:\Program Files\eMule\emule.exe"="F:\Program Files\eMule\emule.exe:*:Enabled:eMule"
"F:\Program Files\Orbitdownloader\orbitdm.exe"="F:\Program Files\Orbitdownloader\orbitdm.exe:*:Enabled:Orbit"
"F:\Program Files\Orbitdownloader\orbitnet.exe"="F:\Program Files\Orbitdownloader\orbitnet.exe:*:Enabled:Orbit"
"F:\Program Files\uTorrent\uTorrent.exe"="F:\Program Files\uTorrent\uTorrent.exe:*:Enabled:&#1608;Torrent"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"F:\Program Files\MSN Messenger\msnmsgr.exe"="F:\Program Files\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"F:\Program Files\MSN Messenger\livecall.exe"="F:\Program Files\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

[b]Remaining Files [/b]:


File Backups: - F:\SDFix\backups\backups.zip

[b]Files with Hidden Attributes [/b]:

Mon 16 Mar 2009        94,720 ..SHR --- "F:\WINDOWS\system32
mdfgds0.dll"
Sun 15 Mar 2009       109,504 ..SHR --- "F:\WINDOWS\system32\olhrwef.exe"
Mon 16 Mar 2009     1,054,760 A..H. --- "F:\WINDOWS\SoftwareDistribution\Download\0c6492dcf130e65e95857fcb79cdee99\BIT13.tmp"
Mon 16 Mar 2009       612,392 A..H. --- "F:\WINDOWS\SoftwareDistribution\Download\150c61e4a7f6ffd925a60156be3e1a5b\BIT3E.tmp"
Mon 16 Mar 2009             0 A..H. --- "F:\WINDOWS\SoftwareDistribution\Download\15fb26b0f1a63cc86063c86a72797532\BIT38.tmp"
Mon 16 Mar 2009       577,576 A..H. --- "F:\WINDOWS\SoftwareDistribution\Download\1ee8dd82f6739b9dc49cbfb31b1606bf\BIT3B.tmp"
Mon 16 Mar 2009     5,813,640 A..H. --- "F:\WINDOWS\SoftwareDistribution\Download\350d802525eccf5ca49543df1838e24e\BIT24.tmp"
Mon 16 Mar 2009     5,815,712 A..H. --- "F:\WINDOWS\SoftwareDistribution\Download\47bddd894ee234e8cb060bde0b98a5ce\BIT1D.tmp"
Mon 16 Mar 2009             0 A..H. --- "F:\WINDOWS\SoftwareDistribution\Download\47c4bdf626b189d93918e8924a659af7\BIT81.tmp"
Mon 16 Mar 2009     1,098,280 A..H. --- "F:\WINDOWS\SoftwareDistribution\Download\4b869f18ffa23590ab9b302aa268b77f\BIT40.tmp"
Mon 16 Mar 2009     1,317,744 A..H. --- "F:\WINDOWS\SoftwareDistribution\Download\5e4f2e76786e12fcb7b972dae96443a2\BIT32.tmp"
Mon 16 Mar 2009             0 A..H. --- "F:\WINDOWS\SoftwareDistribution\Download\60102ca8d49bef61c61212965ef6dbcb\BIT83.tmp"
Mon 16 Mar 2009     2,873,384 A..H. --- "F:\WINDOWS\SoftwareDistribution\Download\69088120c474dc8d7af3c9e4e110d486\BIT33.tmp"
Mon 16 Mar 2009       505,200 A..H. --- "F:\WINDOWS\SoftwareDistribution\Download\702a7c80c501a5b71048682e44a362b4\BIT2C.tmp"
Mon 16 Mar 2009     9,249,736 A..H. --- "F:\WINDOWS\SoftwareDistribution\Download\80541332f80149b5f3f271f730226312\BIT30.tmp"
Mon 16 Mar 2009     8,831,368 A..H. --- "F:\WINDOWS\SoftwareDistribution\Download\8a899ed7d93ef1188fb849621e59999b\BIT31.tmp"
Mon 16 Mar 2009    10,246,088 A..H. --- "F:\WINDOWS\SoftwareDistribution\Download\8fd596a7d3509ec2cce2964bbbb275e6\BIT35.tmp"
Mon 16 Mar 2009             0 A..H. --- "F:\WINDOWS\SoftwareDistribution\Download\90278c5c0a95b94f1b4a73dda9853808\BIT82.tmp"
Mon 16 Mar 2009             0 A..H. --- "F:\WINDOWS\SoftwareDistribution\Download\b024880fe56b3ff50f74fc334213eb78\BIT1F.tmp"
Mon 16 Mar 2009     9,018,736 A..H. --- "F:\WINDOWS\SoftwareDistribution\Download\b10a34ee89c22d0fb80700a6ee0d2795\BIT22.tmp"
Mon 16 Mar 2009     1,474,448 A..H. --- "F:\WINDOWS\SoftwareDistribution\Download\cbc1b829918070e9cdead53865e03be6\BIT41.tmp"
Mon 16 Mar 2009    14,092,696 A..H. --- "F:\WINDOWS\SoftwareDistribution\Download\e1492508613079c67a80a0e5e0672d8a\BIT3C.tmp"
Mon 16 Mar 2009     3,151,744 A..H. --- "F:\WINDOWS\SoftwareDistribution\Download\fb7e4e3914021d8e9d80ac8f418fa4bb\BIT45.tmp"

[b]Finished![/b]

gen-hackman · Answer

-- Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil. 
-- Ne pas utiliser en dehors de ce cas de figure : dangereux! 

Lors de son exécution,
 
ComboFix va vérifier si la Console de récupération Microsoft Windows est installée. Avec des infections comme celles d'aujourd'hui, il est fortement conseillé de l'avoir pré-installée sur votre PC avant toute suppression de nuisibles. 
Elle vous permettra de démarrer dans un mode spécial, de récupération (réparation), qui nous permet de vous aider plus facilement si jamais votre ordinateur rencontre un problème après une tentative de nettoyage. 

Suivez les invites pour permettre à ComboFix de télécharger et installer la Console de récupération Microsoft Windows

et lorsque cela vous est demandé, acceptez le Contrat de Licence Utilisateur Final pour installer la Console de récupération Microsoft Windows. 
 
Sous XP 
 
Sous Vista

**Note importante: Si la Console de récupération Microsoft Windows est déjà installée, ComboFix continuera ses procédures de suppression de nuisibles.

 
A Lire , Impératif !!!!

Télécharges Combofix : 
 



Et important, enregistre le sous "moi.exe" sur le bureau. 

Avant d'utiliser ComboFix : 

? Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours. 
? Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 


Une fois fait, sur ton bureau double-clic sur moi.exe

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc. 

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes. 

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire. 

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt) 

? Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 

? Reviens sur le forum, et 

copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

pratik · Answer

salut, ComboFix 09-03-15.01 - Administrateur 2009-03-16 16:38:52.1 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.2.1256.213.1036.18.1535.1175 [GMT 1:00] Running from: f:\downloads\ComboFix.exe AV: avast! antivirus 4.7.844 [VPS 0622-2] *On-access scanning disabled* (Outdated) AV: Spyware Doctor with AntiVirus *On-access scanning disabled* (Updated) * Created a new restore point WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) . C:\Autorun.inf C:\uxkl0apt.bat D:\Autorun.inf D:\pv6mxu.bat D:\uxkl0apt.bat F:\uxkl0apt.bat f:\windows\system32 mdfgds0.dll f:\windows\system32\olhrwef.exe . ((((((((((((((((((((((((( Files Created from 2009-02-16 to 2009-03-16 ))))))))))))))))))))))))))))))) . 2009-03-16 14:28 . 2009-03-16 14:28 d-------- f:\documents and settings\LocalService\Menu Démarrer 2009-03-16 14:27 . 2008-06-06 12:15 51,520 --a------ f:\windows\system32\drivers\TfFsMon.sys 2009-03-16 14:27 . 2008-06-06 12:15 38,208 --a------ f:\windows\system32\drivers\TfSysMon.sys 2009-03-16 14:27 . 2008-06-06 12:15 33,088 --a------ f:\windows\system32\drivers\TfNetMon.sys 2009-03-16 14:27 . 2008-06-06 12:15 12,608 --a------ f:\windows\system32\drivers\TfKbMon.sys 2009-03-16 14:19 . 2009-03-16 14:19 578,048 --a--c--- f:\windows\system32\dllcache\user32.dll 2009-03-16 14:18 . 2009-03-16 14:18 d-------- f:\windows\ERUNT 2009-03-16 14:06 . 2009-03-16 14:31 d-------- F:\SDFix 2009-03-16 12:21 . 2009-03-16 12:21 d-------- f:\program files\Trend Micro 2009-03-16 12:17 . 2009-03-16 16:37 d-------- f:\program files\Spyware Doctor 2009-03-16 12:17 . 2009-03-16 12:32 d-------- f:\program files\Fichiers communs\PC Tools 2009-03-16 12:17 . 2009-03-16 16:37 d-a------ f:\documents and settings\All Users\Application Data\TEMP 2009-03-16 12:17 . 2009-03-16 14:28 d-------- f:\documents and settings\All Users\Application Data\PC Tools 2009-03-16 12:17 . 2009-03-16 12:17 d-------- f:\documents and settings\Administrateur\Application Data\PC Tools 2009-03-16 12:17 . 2008-12-11 08:38 159,600 --a------ f:\windows\system32\drivers\pctgntdi.sys 2009-03-16 12:17 . 2009-03-06 16:45 130,424 --a------ f:\windows\system32\drivers\PCTCore.sys 2009-03-16 12:17 . 2008-12-18 12:16 73,840 --a------ f:\windows\system32\drivers\PCTAppEvent.sys 2009-03-16 12:17 . 2008-12-10 12:36 64,392 --a------ f:\windows\system32\drivers\pctplsg.sys 2009-03-16 11:42 . 2009-03-16 11:42 d-------- f:\program files\uTorrent 2009-03-16 11:41 . 2009-03-16 14:13 d-------- f:\documents and settings\Administrateur\Application Data\uTorrent 2009-03-16 11:40 . 2008-10-16 14:09 35,864 --a------ f:\windows\system32\wucltui.dll.mui 2009-03-16 11:40 . 2008-10-16 14:08 27,672 --a------ f:\windows\system32\wuaucpl.cpl.mui 2009-03-16 11:40 . 2008-10-16 14:08 27,672 --a------ f:\windows\system32\wuapi.dll.mui 2009-03-16 11:40 . 2008-10-16 14:07 19,992 --a------ f:\windows\system32\wuaueng.dll.mui 2009-03-16 03:21 . 2009-03-16 03:21 d-------- f:\program files\Orbitdownloader 2009-03-16 03:21 . 2009-03-16 15:12 d-------- F:\Downloads 2009-03-16 03:21 . 2009-03-16 16:34 d-------- f:\documents and settings\Administrateur\Application Data\Orbit 2009-03-16 03:21 . 2009-03-16 03:21 d-------- f:\documents and settings\Administrateur\Application Data\GrabPro 2009-03-16 03:07 . 2009-03-16 03:07 d-------- f:\program files\Fichiers communs\xing shared 2009-03-16 03:06 . 2009-03-16 03:07 d-------- f:\program files\Fichiers communs\Real 2009-03-16 03:05 . 2009-03-16 03:05 d-------- f:\program files\Google 2009-03-16 02:58 . 2009-03-16 02:58 d-------- f:\program files\K-Lite Codec Pack 2009-03-16 02:20 . 2009-03-16 02:20 d-------- f:\program files\MT882 2009-03-16 02:20 . 2007-04-18 10:35 38,400 --a------ f:\windows\system32\CoInst.dll 2009-03-16 02:20 . 2007-04-21 06:04 29,696 --a------ f:\windows\system32\drivers\glauiad.sys 2009-03-16 02:20 . 2007-06-01 19:19 19,302 --------- f:\windows\wwdslcfg.ini 2009-03-16 02:18 . 2009-03-16 14:32 d-------- f:\program files\eMule 2009-03-16 02:03 . 2006-06-14 10:50 172,416 --a------ f:\windows\system32\drivers\kmixer.sys 2009-03-16 02:03 . 2006-02-15 02:22 142,464 --a------ f:\windows\system32\drivers\aec.sys 2009-03-16 02:03 . 2006-06-14 11:17 82,944 --a------ f:\windows\system32\drivers\wdmaud.sys 2009-03-16 02:03 . 2004-08-03 23:15 60,800 --a------ f:\windows\system32\drivers\sysaudio.sys 2009-03-16 02:03 . 2001-08-17 23:00 54,272 --a------ f:\windows\system32\drivers\swmidi.sys 2009-03-16 02:03 . 2004-08-04 00:07 52,864 --a------ f:\windows\system32\drivers\DMusic.sys 2009-03-16 02:03 . 2004-08-03 23:58 7,552 --a------ f:\windows\system32\drivers\MSKSSRV.sys 2009-03-16 02:03 . 2006-06-14 10:50 6,272 --a------ f:\windows\system32\drivers\splitter.sys 2009-03-16 02:03 . 2004-08-03 23:58 5,376 --a------ f:\windows\system32\drivers\MSPCLOCK.sys 2009-03-16 02:03 . 2004-08-03 23:58 4,992 --a------ f:\windows\system32\drivers\MSPQM.sys 2009-03-16 02:03 . 2004-08-04 00:07 2,944 --a------ f:\windows\system32\drivers\drmkaud.sys 2009-03-16 02:02 . 2004-08-04 01:39 58,496 --a------ f:\windows\system32\drivers edbook.sys 2009-03-16 02:01 . 2009-03-16 02:01 d-------- f:\program files\Alwil Software . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-03-16 00:38 --------- d-----w f:\program files\Fichiers communs\InstallShield 2009-03-16 00:22 --------- d-----w f:\program files\MSN Messenger . ------- Sigcheck ------- 2006-12-14 23:21 578048 4a048552ca537ef146a8c21a0881b1ba f:\windows\system32\user32.dll 2009-03-16 14:19 578048 4a048552ca537ef146a8c21a0881b1ba f:\windows\system32\dllcache\user32.dll 2006-12-16 00:51 838656 1cc220712da13c68aa19ab97436aed79 f:\windows\system32\wininet.dll 2004-08-04 13:57 360576 c7be59b07c6eb74bea6fd67c1b164015 f:\windows\system32\drivers cpip.sys 2006-12-14 23:30 507904 fb66744d525ea5df9a719f1db9b2dff4 f:\windows\system32\winlogon.exe 2004-08-28 13:00 2217344 4348884ddd80826b35bcbe5bc67a4a1b f:\windows\system32 tkrnlpa.exe 2001-08-28 13:00 2340096 49f2e8f99dfa03763270bc1aaf521573 f:\windows\system32 toskrnl.exe 2001-08-28 13:00 1934848 1630d57b8370b7a20a41bb4c1e459edf f:\windows\explorer.exe 2006-12-06 17:56 25088 43836cffabac8d6779e8ee55e308df2c f:\windows\system32\ctfmon.exe 2006-12-24 02:00 57856 ad3d9d191aea7b5445fe1d82ffbb4788 f:\windows\system32\spoolsv.exe 2006-12-24 01:59 297984 70921de4c83652dc301a05f0cc46c985 f:\windows\system32 ermsrv.dll 2006-12-24 02:06 1050624 f57c6efa25a66c6403958c1e22d59f99 f:\windows\system32\kernel32.dll . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="f:\windows\system32\ctfmon.exe" [2006-12-06 25088] "eMuleAutoStart"="f:\program files\eMule\emule.exe" [2006-09-14 5001216] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IMJPMIG8.1"="f:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-03 208952] "MSPY2002"="f:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-03 59392] "PHIME2002ASync"="f:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-03 455168] "PHIME2002A"="f:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-03 455168] "NvCplDaemon"="f:\windows\system32\NvCpl.dll" [2006-10-22 7700480] "NvMediaCenter"="f:\windows\system32\NvMcTray.dll" [2006-10-22 86016] "avast!"="f:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2006-05-31 108160] "TkBellExe"="f:\program files\Fichiers communs\Real\Update_OB ealsched.exe" [2009-03-16 198160] "nwiz"="nwiz.exe" [2006-10-22 f:\windows\system32 wiz.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="f:\windows\system32\CTFMON.EXE" [2006-12-06 25088] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "nltide_3"="advpack.dll" [2006-12-24 f:\windows\system32\advpack.dll] f:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ Orbit.lnk - f:\program files\Orbitdownloader\orbitdm.exe [2009-03-16 1719496] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoSMHelp"= 1 (0x1) [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "NoSMHelp"= 1 (0x1) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\Network Diagnostic\xpnetdiag.exe"= "%windir%\system32\sessmgr.exe"= "f:\Program Files\MSN Messenger\msnmsgr.exe"= "f:\Program Files\MSN Messenger\livecall.exe"= "f:\Program Files\eMule\emule.exe"= "f:\Program Files\Orbitdownloader\orbitdm.exe"= "f:\Program Files\Orbitdownloader\orbitnet.exe"= "f:\Program Files\uTorrent\uTorrent.exe"= R0 PCTCore;PCTools KDS;f:\windows\system32\drivers\PCTCore.sys [2009-03-16 130424] R0 TfFsMon;TfFsMon;f:\windows\system32\drivers\TfFsMon.sys [2009-03-16 51520] R0 TfSysMon;TfSysMon;f:\windows\system32\drivers\TfSysMon.sys [2009-03-16 38208] R1 pctgntdi;pctgntdi;f:\windows\system32\drivers\pctgntdi.sys [2009-03-16 159600] R3 TfNetMon;TfNetMon;f:\windows\system32\drivers\TfNetMon.sys [2009-03-16 33088] S2 gupdate1c9a5dbb5157529;Service Google Update (gupdate1c9a5dbb5157529);f:\program files\Google\Update\GoogleUpdate.exe [2009-03-16 133104] S2 WinDefend;Windows Defender;f:\program files\Windows Defender\MsMpEng.exe [2006-11-03 13592] S3 iadusb;MT882;f:\windows\system32\drivers\glauiad.sys [2009-03-16 29696] S3 pctplsg;pctplsg;f:\windows\system32\drivers\pctplsg.sys [2009-03-16 64392] S3 sdAuxService;PC Tools Auxiliary Service;f:\program files\Spyware Doctor\pctsAuxs.exe [2009-03-16 348752] S3 ThreatFire;ThreatFire;f:\program files\Spyware Doctor\TFEngine\TFService.exe service --> f:\program files\Spyware Doctor\TFEngine\TFService.exe service [?] --- Other Services/Drivers In Memory --- *NewlyCreated* - PCTGNTDI *NewlyCreated* - PCTPLSG *NewlyCreated* - TFFSMON *NewlyCreated* - TFNETMON *NewlyCreated* - TFSYSMON *NewlyCreated* - THREATFIRE *Deregistered* - mchInjDrv [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C] \Shell\AutoRun\command - C:\uxkl0apt.bat \Shell\open\Command - C:\uxkl0apt.bat [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D] \Shell\AutoRun\command - D:\uxkl0apt.bat \Shell\open\Command - D:\uxkl0apt.bat [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F] \Shell\AutoRun\command - F:\uxkl0apt.bat \Shell\open\Command - F:\uxkl0apt.bat . Contents of the 'Scheduled Tasks' folder 2009-03-16 f:\windows\Tasks\GoogleUpdateTaskMachine.job - f:\program files\Google\Update\GoogleUpdate.exe [2009-03-16 03:05] . - - - - ORPHANS REMOVED - - - - Toolbar-SaveLinksOrder - (no file) Toolbar-Locked - (no file) Toolbar-ITBarLayout - (no file) Toolbar-ITBarLayout - (no file) HKCU-Run-cdoosoft - f:\windows\system32\olhrwef.exe HKLM-Run-UberIcon - c:\program files\UberIcon\UberIcon Manager.exe HKLM-Run-VisualTaskTips - c:\windows\System32\VisualTaskTips.exe HKLM-Run-Vistadrv - c:\windows\system32\Vistadrive\vsdrv.exe HKLM-Run-TransBar - c:\windows\System32\TransBar.exe HKLM-Run-Styler - c:\program files\styler\Styler.exe HKLM-Run-TopDesk - c:\windows\system32 opdesk.exe HKLM-Run-Sidebar - c:\program files\Windows Sidebar\sidebar.exe . ------- Supplementary Scan ------- . uStart Page = hxxp://search.orbitdownloader.com uDefault_Search_URL = hxxp://www.google.fr/keyword/%s uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8 mStart Page = hxxp://www.google.fr uSearchURL,(Default) = hxxp://www.google.fr/keyword/%s IE: &Download by Orbit - f:\program files\Orbitdownloader\orbitmxt.dll/201 IE: &Grab video by Orbit - f:\program files\Orbitdownloader\orbitmxt.dll/204 IE: Do&wnload selected by Orbit - f:\program files\Orbitdownloader\orbitmxt.dll/203 IE: Down&load all by Orbit - f:\program files\Orbitdownloader\orbitmxt.dll/202 LSP: f:\program files\Fichiers communs\PC Tools\Lsp\PCTLsp.dll FF - ProfilePath - f:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\lprsz6fo.default\ FF - prefs.js: browser.startup.homepage - hxxp://search.orbitdownloader.com FF - component: c:\program files\Real\RealPlayer\browserrecord\components prpbrowserrecordplugin.dll FF - plugin: c:\program files\Real\RealPlayer\Netscape6 ppl3260.dll FF - plugin: c:\program files\Real\RealPlayer\Netscape6 prjplug.dll FF - plugin: c:\program files\Real\RealPlayer\Netscape6 prpjplug.dll FF - plugin: f:\program files\Google\Update\1.2.141.5 pGoogleOneClick7.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-03-16 16:40:13 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . --------------------- DLLs Loaded Under Running Processes --------------------- - - - - - - - > 'winlogon.exe'(472) f:\windows\system32\SETUPAPI.dll f:\windows\system32\sfc_os.dll - - - - - - - > 'lsass.exe'(528) f:\windows\system32\SETUPAPI.dll . Completion time: 2009-03-16 16:41:13 ComboFix-quarantined-files.txt 2009-03-16 15:41:10 Pre-Run: 73 626 669 056 octets libres Post-Run: 73,633,267,712 octets libres 217 --- E O F --- 2009-03-16 14:12:48

gen-hackman · Answer

Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau. 

! Déconnecte toi et ferme toutes tes applications en cours ! 

Double-clique sur " RSIT.exe " pour le lancer . 

-> Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " . 

* Devant l'option "List files/folders created ..." , tu choisis : 2 months 

* clique ensuite sur " Continue " pour lancer l'analyse ... 


-> laisse faire le scan et ne touche pas au PC ... 


Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note). 

Poste le contenu de " log.txt " (c'est celui qui apparait à l'écran), ainsi que de " info.txt " (que tu verras dans la barre des tâches), pour analyse et attends la suite ... 

Important : poste un rapport, puis l'autre dans la réponse suivante
Si tu essaies de poster les deux en même temps, cela risque d'être trop long pour le forum 


( Note : les rapports seront en outre sauvegardés dans ce dossier -> C:\rsit )

pratik · Answer

Logfile of random's system information tool 1.05 (written by random/random)
Run by Administrateur at 2009-03-17 11:58:51
Microsoft Windows XP Professionnel Service Pack 2
System drive F: has 68 GB (89%) free of 76 GB
Total RAM: 1535 MB (74% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:58, on 17/03/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Normal

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\csrss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\Explorer.EXE
F:\WINDOWS\system32\spoolsv.exe
F:\WINDOWS\system32\ctfmon.exe
F:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
F:\Program Files\Alwil Software\Avast4\ashServ.exe
F:\WINDOWS\system32
vsvc32.exe
F:\Program Files\Google\Update\GoogleUpdate.exe
F:\WINDOWS\system32\RUNDLL32.EXE
F:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
F:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
F:\WINDOWS\System32\snmp.exe
F:\WINDOWS\System32\alg.exe
F:\Program Files\Google\Chrome\Application\chrome.exe
F:\Program Files\Google\Chrome\Application\chrome.exe
F:\Documents and Settings\Administrateur\Bureau\RSIT.exe
F:\WINDOWS\system32\wbem\wmiprvse.exe
F:\Program Files\Trend Micro\HijackThis\Administrateur.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.fr/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.orbitdownloader.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - F:\Program Files\Orbitdownloader\orbitcth.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayerpbrowserrecordplugin.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - F:\Program Files\Orbitdownloader\GrabPro.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "F:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] F:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] F:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] F:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] F:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TkBellExe] "F:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKCU\..\Run: [ctfmon.exe] F:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [uTorrent] "F:\Program Files\uTorrent\uTorrent.exe"
O4 - HKCU\..\Run: [eMuleAutoStart] F:\Program Files\eMule\emule.exe -AutoStart
O4 - HKUS\S-1-5-18\..\Run: [ctfmon.exe] F:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] F:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Global Startup: Orbit.lnk = F:\Program Files\Orbitdownloader\orbitdm.exe
O8 - Extra context menu item: &Download by Orbit - res://F:\Program Files\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://F:\Program Files\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://F:\Program Files\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://F:\Program Files\Orbitdownloader\orbitmxt.dll/202
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - F:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - F:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - F:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - F:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - F:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - F:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: CiSvc - Unknown owner - F:\WINDOWS\system32\cisvc.exe (file missing)
O23 - Service: Service Google Update (gupdate1c9a5dbb5157529) (gupdate1c9a5dbb5157529) - Google Inc. - F:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\system32
vsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - F:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - F:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: ThreatFire - PC Tools - F:\Program Files\Spyware Doctor\TFEngine\TFService.exe

pratik · Answer

info.txt logfile of random's system information tool 1.05 2009-03-17 11:58:56

======Uninstall list======

-->F:\Program Files\Fichiers communs\Real\Update_OB1puninst.exe RealNetworks|RealPlayer|6.0
Adobe Flash Player 10 ActiveX-->F:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->F:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Archiveur WinRAR-->F:\Program Files\WinRAR\uninstall.exe
avast! Antivirus-->rundll32 F:\PROGRA~1\ALWILS~1\Avast4\Setup\setiface.dll,RunSetup
eMule-->"F:\Program Files\eMule\Uninstall.exe"
Google Chrome-->"F:\Program Files\Google\Chrome\Application\1.0.154.50\Installer\setup.exe" --uninstall --system-level
Google Update Helper-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
HijackThis 2.0.2-->"F:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
K-Lite Codec Pack 4.3.4 (Full)-->"F:\Program Files\K-Lite Codec Pack\unins000.exe"
Microsoft .NET Framework 1.1 French Language Pack-->MsiExec.exe /X{9A394342-4A68-4EBA-85A6-55B559F4E700}
Microsoft .NET Framework 1.1 Hotfix (KB886903)-->"F:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "F:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\M886903\M886903Uninstall.msp"
Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 2.0-->F:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.exe
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7}
Module de prise en charge linguistique de Microsoft .NET Framework 2.0 - FRA-->F:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0 Language Pack - FRA\install.exe
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
MT882-->F:\Program Files\MT882\Adsl\uninstall.exe
NVIDIA Drivers-->F:\WINDOWS\system32
vudisp.exe UninstallGUI
Orbit Downloader-->"F:\Program Files\Orbitdownloader\unins000.exe"
RealPlayer-->F:\Program Files\Fichiers communs\Real\Update_OB1puninst.exe RealNetworks|RealPlayer|6.0
Security Update for Microsoft .NET Framework 2.0 (KB917283)-->F:\WINDOWS\system32\msiexec.exe /promptrestart /uninstall {967B098A-042D-4367-BAC9-8BC11684174F} /package {7131646D-CD3C-40F4-97B9-CD9E4E6262EF}
Security Update pour Microsoft .NET Framework 2.0 (KB922770)-->F:\WINDOWS\system32\msiexec.exe /promptrestart /uninstall {0E92DD42-76F5-4EF2-B381-F9C1D72BE23D} /package {7131646D-CD3C-40F4-97B9-CD9E4E6262EF}
Segoe UI-->MsiExec.exe /I{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}
Spyware Doctor 6.0-->F:\Program Files\Spyware Doctor\unins000.exe /LOG
Windows Defender-->MsiExec.exe /I{A06275F4-324B-4E85-95E6-87B2CD729401}
Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52}
Windows Live Messenger-->MsiExec.exe /I{626C0733-8A5C-49EB-BB7C-7008C85BDBB9}

======Hosts File======

127.0.0.1 localhost

======Security center information======

AV: Spyware Doctor with AntiVirus (disabled)
AV: avast! antivirus 4.7.844 [VPS 0622-2] (disabled) (outdated)

System event log

Computer Name: E3128BC46FF347D
Event Code: 6011
Message: Le nom NetBIOS et le nom de l'hôte DNS de cet ordinateur ont été modifiés de MACHINENAME vers E3128BC46FF347D.

Record Number: 5
Source Name: EventLog
Time Written: 20090316010349.000000+060
Event Type: information
User: 

Computer Name: MACHINENAME
Event Code: 51
Message: Une erreur a été détectée sur le périphérique \Device\Harddisk1\D au cours d'une opération de pagination.

Record Number: 4
Source Name: Disk
Time Written: 20090316015713.000000+060
Event Type: warning
User: 

Computer Name: MACHINENAME
Event Code: 2
Message: Pendant la validation de \Device\Serial0 en tant que port série, une FIFO a été détectée. La FIFO sera utilisée.

Record Number: 3
Source Name: Serial
Time Written: 20090316015713.000000+060
Event Type: information
User: 

Computer Name: MACHINENAME
Event Code: 6005
Message: Le service d'Enregistrement d'événement a démarré.

Record Number: 2
Source Name: EventLog
Time Written: 20090316015657.000000+060
Event Type: information
User: 

Computer Name: MACHINENAME
Event Code: 6009
Message: Microsoft (R) Windows (R) 5.01. 2600 Service Pack 2 Uniprocessor Free.

Record Number: 1
Source Name: EventLog
Time Written: 20090316015657.000000+060
Event Type: information
User: 

Application event log

Computer Name: E3128BC46FF347D
Event Code: 1000
Message: Les compteurs de performances pour le service WmiApRpl (WmiApRpl) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.

Record Number: 5
Source Name: LoadPerf
Time Written: 20090316010559.000000+060
Event Type: information
User: 

Computer Name: E3128BC46FF347D
Event Code: 1000
Message: Les compteurs de performances pour le service TermService (Services Terminal Server) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.

Record Number: 4
Source Name: LoadPerf
Time Written: 20090316010555.000000+060
Event Type: information
User: 

Computer Name: E3128BC46FF347D
Event Code: 1000
Message: Les compteurs de performances pour le service RemoteAccess (Routage et accès distant) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.

Record Number: 3
Source Name: LoadPerf
Time Written: 20090316010449.000000+060
Event Type: information
User: 

Computer Name: E3128BC46FF347D
Event Code: 1000
Message: Les compteurs de performances pour le service PSched (PSched) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.

Record Number: 2
Source Name: LoadPerf
Time Written: 20090316010420.000000+060
Event Type: information
User: 

Computer Name: E3128BC46FF347D
Event Code: 1000
Message: Les compteurs de performances pour le service RSVP (QoS RSVP) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.

Record Number: 1
Source Name: LoadPerf
Time Written: 20090316010402.000000+060
Event Type: information
User: 

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 2 Stepping 9, GenuineIntel
"PROCESSOR_REVISION"=0209
"NUMBER_OF_PROCESSORS"=1
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH

-----------------EOF-----------------

gen-hackman · Answer

Telecharge maintenant FindyKill (de Chiquitine29) sur ton bureau : 


--> Lance l installation avec les parametres par default 

--> Au menu principal,choisi l option 1 (Recherche) 

--> Post le rapport FindyKill.txt 

Note : le rapport FindyKill.txt est sauvegardé a la racine du disque

pratik · Answer

############################## [ FindyKill V4.720 ] 

# User : Administrateur (Administrateurs) # E3128BC46FF347D
# Update on 12/03/09 by Chiquitine29
# Start at: 12:34:40 | 17/03/2009

#               Intel(R) Pentium(R) 4 CPU 2.80GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 7.0.5730.11
# Windows Firewall Status : Disabled
# AV : Spyware Doctor with AntiVirus 6.1.0.47 [ Enabled | Updated ]
# AV : avast! antivirus 4.7.844 [VPS 0622-2] 4.7.844 [ Enabled | (!) Outdated ]

# C:\ # Disque fixe local # 19,53 Go (19,44 Go free) # NTFS
# D:\ # Disque fixe local # 17,73 Go (17,15 Go free) # NTFS
# E:\ # Disque CD-ROM
# F:\ # Disque fixe local # 74,52 Go (66,08 Go free) # NTFS
 
############################## [ Processus actifs ] 
 
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\csrss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\Explorer.EXE
F:\WINDOWS\system32\spoolsv.exe
F:\WINDOWS\system32\ctfmon.exe
F:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
F:\Program Files\Alwil Software\Avast4\ashServ.exe
F:\WINDOWS\system32
vsvc32.exe
F:\Program Files\Google\Update\GoogleUpdate.exe
F:\WINDOWS\system32\RUNDLL32.EXE
F:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
F:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
F:\WINDOWS\System32\snmp.exe
F:\WINDOWS\System32\alg.exe
F:\Program Files\Google\Chrome\Application\chrome.exe
F:\Program Files\Google\Chrome\Application\chrome.exe
F:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
F:\Program Files\Alwil Software\Avast4\ashWebSv.exe
F:\Program Files\Spyware Doctor\pctsAuxs.exe
F:\Program Files\Spyware Doctor\pctsSvc.exe
F:\Program Files\Spyware Doctor\pctsTray.exe
F:\Program Files\Spyware Doctor\TFEngine\TFService.exe
F:\Program Files\Google\Chrome\Application\chrome.exe
F:\Program Files\Google\Chrome\Application\chrome.exe
F:\Program Files\Google\Chrome\Application\chrome.exe
F:\Program Files\Google\Chrome\Application\chrome.exe
F:\WINDOWS\system32\wbem\wmiprvse.exe
 
################## [ Fichiers / Dossiers infectieux F:\ ] 
 
 
################## [ F:\WINDOWS ] 
 
 
################## [ F:\WINDOWS\system32 ] 
 
 
################## [ F:\WINDOWS\system32\drivers ] 
 
 
################## [ F:\.. Application Data ... ] 
 
 
################## [ Registre / Clés infectieuses ] 
 
 
 
################## [ Recherche dans supports amovibles] 
 
# Presence des fichiers :  

 
################## [ Registre / Mountpoint2 ] 
 
# -> Not found ! 
 
################## [ ! Fin du rapport # FindyKill V4.720 ! ]

gen-hackman · Answer

un probleme a regler : Windows XP SP2 = Windows Update

ensuite :

---> Désactive ton antivirus le temps de la manipulation car OTMoveIt3 est détecté comme une infection à tort. 

---> Télécharge OTMoveIt3 (OldTimer) sur ton Bureau : 

---> Double-clique sur OTMoveIt3.exe afin de le lancer. 

---> Copie (Ctrl+C) le texte suivant ci-dessous : 





:processes 
explorer.exe

:files 
C:\uxkl0apt.bat
D:\uxkl0apt.bat
F:\uxkl0apt.bat
 
:reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7E853D72-626A-48EC-A868-BA8D5E23E045}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]

:commands 
[purity] 
[emptytemp] 
[start explorer] 
[reboot] 





---> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved. 

---> Clique maintenant sur le bouton MoveIt! puis ferme OTMoveIt3. 

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. 
Accepte en cliquant sur YES. 

---> Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\ 
Le nom du rapport correspond au moment de sa création : date_heure.log

pratik · Answer

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== FILES ==========
File/Folder C:\uxkl0apt.bat not found.
File/Folder D:\uxkl0apt.bat not found.
File/Folder F:\uxkl0apt.bat not found.
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7E853D72-626A-48EC-A868-BA8D5E23E045}\ deleted successfully.
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C\ deleted successfully.
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D\ deleted successfully.
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F\ deleted successfully.
========== COMMANDS ==========
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
File delete failed. F:\WINDOWS	emp\Perflib_Perfdata_63c.dat scheduled to be deleted on reboot.
File delete failed. F:\WINDOWS	emp\Perflib_Perfdata_6f8.dat scheduled to be deleted on reboot.
Windows Temp folder emptied.
Temp folders emptied.
Explorer started successfully
 
OTMoveIt3 by OldTimer - Version 1.0.9.0 log created on 03172009_130730

Files moved on Reboot...
F:\WINDOWS	emp\Perflib_Perfdata_63c.dat moved successfully.
File F:\WINDOWS	emp\Perflib_Perfdata_6f8.dat not found!

gen-hackman · Answer

as-tu regle ceci ? :

Un probleme a regler : Windows XP SP2 = Windows Update

pratik · Answer

non , j'ai oublié et en plus je sais pas comment faire !!!

le pc vient tout juste de me faire un ecran bleu !!! j'ai du faire un reset ... kesk ça ve dire ???

gen-hackman · Answer

pour la mise a jour de windows = Demarrer / Tous les programmes / Windows Ipdate je viens de voir une chose a laquelle je n'avais pas porté cas = tu n'as pas installé la console recuperation comme demande au dessus > Télécharge Dr Web CureIt sur ton Bureau : - Double clique et ensuite clique sur ; - Clique à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton . Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X". - Lorsque le scan rapide est terminé, clique sur le menu puis ; Choisis l'onglet , et décoche . Clique ensuite sur . - De retour à la fenêtre principale : clique pour activer - Clique le bouton avec flèche verte sur la droite, et le scan débutera. - Clique pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter". - Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône , au dessous, et choisis . - Du menu principal de l'outil, au haut à gauche, clique sur le menu et choisis . Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv - Ferme Dr.Web Cureit - Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage). - Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de Dr.Web dans ta prochaine réponse.

pratik · Answer

voila ce qu'il y'avait d'ecrit sur l'ecran bleu :
***  STOP : 0x0000008E (0xc0000005, 0xBF951193, 0xB5B5BC00, 0x00000000)
*** win32k.sys - address BF951193 base at BF800000, DATESTAMP 4418c2b4

tu n'as pas installé la console recuperation comme demande au dessus      (je fais comment)

gen-hackman · Answer

tout était indiqué au post 5

pratik · Answer

removewga_removewga_1.2_anglais_21437.exe;F:\Documents and Settings\Administrateur\Mes documents;Tool.RemoveWGA;Irréparable.Quarantaine.;
psexec.cfexe;F:\Program Files\Spyware Doctor\avdb	emp\COMBOFIX.EXE507\32788R22FWJFW;Program.PsExec.171;Irréparable.Quarantaine.;
Process.exe;F:\SDFix\apps;Tool.Prockill;Irréparable.Quarantaine.;
Process.exe;F:\Program Files\FindyKill\Tools;Tool.Prockill;Irréparable.Quarantaine.;
data002;F:\Downloads;L'archive contient des éléments infectés;;
ComboFix.exe/data002\32788R22FWJFW\psexec.cfexe;F:\Downloads\ComboFix.exe/data002;Program.PsExec.171;;
ComboFix.exe;F:\Downloads;Conteneur comporte des objets infectés;Quarantaine.;


NB : je n'ai vraiment pas su comment faire pour la console de recuperation désole ...

gen-hackman · Answer

Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage
  - Coche    Afficher les fichiers et dossiers cachés
  - Décoche Masquer les extensions des fichiers dont le type est connu
  - Décoche Masquer les fichiers protégés du système d'exploitation (recommandé)
clique sur Appliquer, puis OK.

N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation en fin de désinfection, c'est important

Fais analyser le(s) fichier(s) suivants sur Virus Total:



    * Clique sur Parcourir en haut, choisis Poste de travail et cherche ce fichier :

 F:\WINDOWS\system32\drivers\TfNetMon.sys 

    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
    * Une nouvelle fenêtre de ton navigateur va apparaître
    * Clique alors sur les deux fleches
    * Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
    * Enfin colle le résultat dans ta prochaine réponse.


    * Fais la même chose avec ces fichiers :

F:\WINDOWS\system32\drivers\klif.sys
F:\WINDOWS\system32\drivers\pctplsg.sys

gen-hackman · Answer

pour ton message c est ca sur l' ecran bleu ?:

"Un problème a été détecté et Windows a été arrêté afin de prévenir tout dommage sur votre ordinateur" " PFN-LIST-CORRUPT Informations techniques : Stop : 0x00008E (0XC0000005 , 0xXXXXXXX , 0xXXXXXXX , 0x00000000)" - "Win32k.sys - adress BFXXXXXX Base at BF800000 DateStamp XXXXXXXX Début du vidage de la mémoire physique . Vidage de la mémoire physique vers le disque"

pratik · Answer

STOP : 0x0000008E (0xc0000005, 0xBF951193, 0xB5B5BC00, 0x00000000) 
*** win32k.sys - address BF951193 base at BF800000, DATESTAMP 4418c2b4 
Début du vidage de la mémoire physique . Vidage de la mémoire physique vers le disque
C'etait plus ça je dirais !!!

gen-hackman · Answer

il est possible que ce soit un probleme de barette memoire (RAM)

pratik · Answer

Voila pour le premier fichier: Antivirus Version Dernière mise à jour Résultat a-squared 4.0.0.101 2009.03.17 - AhnLab-V3 5.0.0.2 2009.03.17 - AntiVir 7.9.0.116 2009.03.17 - Authentium 5.1.0.4 2009.03.17 - Avast 4.8.1335.0 2009.03.17 - AVG 8.0.0.237 2009.03.17 - BitDefender 7.2 2009.03.17 - CAT-QuickHeal 10.00 2009.03.17 - ClamAV 0.94.1 2009.03.17 - Comodo 1062 2009.03.17 - DrWeb 4.44.0.09170 2009.03.17 - eSafe 7.0.17.0 2009.03.17 - eTrust-Vet 31.6.6388 2009.03.09 - F-Prot 4.4.4.56 2009.03.17 - F-Secure 8.0.14470.0 2009.03.17 - Fortinet 3.117.0.0 2009.03.17 - GData 19 2009.03.17 - Ikarus T3.1.1.45.0 2009.03.17 - K7AntiVirus 7.10.674 2009.03.17 - Kaspersky 7.0.0.125 2009.03.17 - McAfee 5556 2009.03.17 - McAfee+Artemis 5556 2009.03.17 - McAfee-GW-Edition 6.7.6 2009.03.17 - Microsoft 1.4502 2009.03.17 - NOD32 3944 2009.03.17 - Norman 6.00.06 2009.03.17 - nProtect 2009.1.8.0 2009.03.17 - Panda 10.0.0.10 2009.03.17 - PCTools 4.4.2.0 2009.03.17 - Prevx1 V2 2009.03.17 - Rising 21.21.12.00 2009.03.17 - Sophos 4.39.0 2009.03.17 - Sunbelt 3.2.1858.2 2009.03.17 - Symantec 1.4.4.12 2009.03.17 - TheHacker 6.3.3.0.283 2009.03.16 - TrendMicro 8.700.0.1004 2009.03.17 - VBA32 3.12.10.1 2009.03.17 - ViRobot 2009.3.17.1652 2009.03.17 - VirusBuster 4.6.5.0 2009.03.17 - Information additionnelle File size: 33088 bytes MD5...: 9a8bfaf8ba5a384a02ccda1eb351bfb0 SHA1..: ba70c6756bfec6cf01ffe8d237c019572ee4098d SHA256: e5bff012851e2c769f52ac731b5fdb2ed2fe013df128d6a402eae12ed8ca5534 SHA512: 6336af27bcda6c00ae2becc2cf5cbaeeaa4d155d990b0dbf51ae1c9ae143bb3e
d4008de455a409890da9a665c61fae7c4eb93c7ce0522098ca7143fb8df1fa46 ssdeep: 768:h/lOtPWV7gDCe+b8tYiq0p73gXWiMuO1VLDubEZz:5lFcDB+bFo7cMuCV2o
PEiD..: - TrID..: File type identification
Win64 Executable Generic (87.2%)
Win32 Executable Generic (8.6%)
Generic Win/DOS Executable (2.0%)
DOS Executable Generic (2.0%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x8005
timedatestamp.....: 0x48496df0 (Fri Jun 06 17:03:44 2008)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x4f8c 0x5000 6.48 723993069ff0289c9c70d04313ee20a0
.rdata 0x6000 0x3f4 0x400 4.47 93b8d887255dd58767a7e2918d7a7365
.data 0x7000 0x5b9 0x200 2.38 61950ac27be10ad6c5f6fd5280c491b0
INIT 0x8000 0x65a 0x800 4.72 c7ad2aebf9859100536d133892bfb77d
.rsrc 0x9000 0x3f8 0x400 3.29 cfbbbef62d45708b109ab532e25b76da
.reloc 0xa000 0x490 0x600 4.49 3efd1d890e95ae26301cd0c847198650

( 3 imports )
> ntoskrnl.exe: strncpy, tolower, IoFreeMdl, MmMapLockedPagesSpecifyCache, MmBuildMdlForNonPagedPool, IoAllocateMdl, ZwClose, DbgBreakPoint, ZwQueryValueKey, RtlInitUnicodeString, ZwOpenKey, ObfDereferenceObject, PsLookupProcessByProcessId, KeSetEvent, KeTickCount, ExAllocatePoolWithTag, ExFreePoolWithTag, towlower, PsTerminateSystemThread, KeCancelTimer, memset, KeSetTimer, KeQueryTimeIncrement, KeWaitForSingleObject, ExfInterlockedInsertTailList, KeInitializeEvent, ExfInterlockedRemoveHeadList, PsCreateSystemThread, KeInitializeTimer, ObReferenceObjectByHandle, KeReleaseMutex, KeInitializeMutex, KeDelayExecutionThread, strncmp, IofCompleteRequest, IofCallDriver, IoFreeWorkItem, IoQueueWorkItem, IoAllocateWorkItem, IoDeleteSymbolicLink, IoAttachDevice, IoDeleteDevice, IoCreateSymbolicLink, IoCreateDevice, KeBugCheckEx, memcpy, PsGetCurrentProcessId, PsGetCurrentThreadId, wcschr, wcsrchr, KefReleaseSpinLockFromDpcLevel, KeWaitForMultipleObjects, KefAcquireSpinLockAtDpcLevel, RtlUnwind
> HAL.dll: KeGetCurrentIrql, KfReleaseSpinLock, KfAcquireSpinLock
> TDI.SYS: TdiCopyMdlToBuffer, TdiCopyBufferToMdl, TdiMapUserRequest

( 0 exports )
par contre ce fichier je ne l'ai pas trouver .... F:\WINDOWS\system32\drivers\klif.sys pour le troisieme fichier voila le rapport d'analyse : Antivirus Version Dernière mise à jour Résultat a-squared 4.0.0.101 2009.03.17 - AhnLab-V3 5.0.0.2 2009.03.17 - AntiVir 7.9.0.116 2009.03.17 - Authentium 5.1.0.4 2009.03.17 - Avast 4.8.1335.0 2009.03.17 - AVG 8.0.0.237 2009.03.17 - BitDefender 7.2 2009.03.17 - CAT-QuickHeal 10.00 2009.03.17 - ClamAV 0.94.1 2009.03.17 - Comodo 1062 2009.03.17 - DrWeb 4.44.0.09170 2009.03.17 - eSafe 7.0.17.0 2009.03.17 - eTrust-Vet 31.6.6388 2009.03.09 - F-Prot 4.4.4.56 2009.03.17 - F-Secure 8.0.14470.0 2009.03.17 - Fortinet 3.117.0.0 2009.03.17 - GData 19 2009.03.17 - Ikarus T3.1.1.45.0 2009.03.17 - K7AntiVirus 7.10.674 2009.03.17 - Kaspersky 7.0.0.125 2009.03.17 - McAfee 5556 2009.03.17 - McAfee+Artemis 5556 2009.03.17 - McAfee-GW-Edition 6.7.6 2009.03.17 - Microsoft 1.4502 2009.03.17 - NOD32 3944 2009.03.17 - Norman 6.00.06 2009.03.17 - nProtect 2009.1.8.0 2009.03.17 - Panda 10.0.0.10 2009.03.17 - PCTools 4.4.2.0 2009.03.17 - Prevx1 V2 2009.03.18 - Rising 21.21.12.00 2009.03.17 - Sophos 4.39.0 2009.03.17 - Sunbelt 3.2.1858.2 2009.03.17 - Symantec 1.4.4.12 2009.03.17 - TheHacker 6.3.3.0.283 2009.03.16 - TrendMicro 8.700.0.1004 2009.03.17 - VBA32 3.12.10.1 2009.03.17 - ViRobot 2009.3.17.1652 2009.03.17 - VirusBuster 4.6.5.0 2009.03.17 - Information additionnelle File size: 64392 bytes MD5...: 5aa75b88e57aedf7fdb1f6b5196ad8a6 SHA1..: 210aa81c5d98e0b71468fbeb3b67bbcfc40eaa7b SHA256: a156aac24b9107a494aef3e32cc2013b8dd32b4e0aeed00f1d0658e95a968ac7 SHA512: 8f7d0c826ce586df7deaddd3a39a5d10e873408b4cd765d1816cbf54b7d12c5a
e94d599988a2c83af93ad22da4cb452171b4f04ae66fde371e9f64f8114a55f6 ssdeep: 1536:x9rCLPTI9VmD1gkxMo9NhhXcIWOm1L/nwnt0Abm:x9ro09ED1gDgNhNkOm1
bn6GV
PEiD..: - TrID..: File type identification
Win32 Executable Generic (58.4%)
Clipper DOS Executable (13.8%)
Generic Win/DOS Executable (13.7%)
DOS Executable Generic (13.7%)
VXD Driver (0.2%) PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xd285
timedatestamp.....: 0x493d9405 (Mon Dec 08 21:39:17 2008)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x480 0xc5a0 0xc600 6.47 c89f7ddd36fab9779d10d1452a0fff52
.rdata 0xca80 0x3c8 0x400 4.73 1eb8fddef363b68b3a2e265e746f5962
.data 0xce80 0x3d4 0x400 1.11 5cbfdd642538c6ea087610214b46ef95
INIT 0xd280 0x432 0x480 5.16 ba66bb23c87ff34d3321095a80c3212d
.rsrc 0xd700 0x358 0x380 3.09 80692d65970f041a11fe037dbdf2c409
.reloc 0xda80 0x920 0x980 5.50 dfb410d6dd7d83aab128cf2e4bf5bad6

( 2 imports )
> ntoskrnl.exe: KeWaitForSingleObject, ExInterlockedPopEntrySList, ExInterlockedPushEntrySList, ExAllocatePool, ExFreePool, ExInitializeNPagedLookasideList, ExAllocatePoolWithTag, strncpy, ExDeleteNPagedLookasideList, KeInitializeEvent, ExFreePoolWithTag, memmove, memcpy, KeClearEvent, PsGetCurrentProcessId, PsGetCurrentThreadId, KeTickCount, KeBugCheckEx, KeResetEvent, KeSetEvent, memset, _purecall, MmIsAddressValid, toupper, tolower, IoCreateDevice, RtlInitUnicodeString, KeReadStateEvent, IoStopTimer, IoInitializeTimer, IoStartTimer, IoDeleteDevice, MmGetSystemRoutineAddress, strstr, _strlwr, memchr, _stricmp, _strnicmp, RtlUnwind
> HAL.dll: KfAcquireSpinLock, KfReleaseSpinLock, KeGetCurrentIrql

( 0 exports )

gen-hackman · Answer

et bien le message d'erreur n'est pas identique donc je voudrais pas t'engager dans une direction negative

gen-hackman · Answer

il me semble que cela est bien expliqué ici   :)     :

Console de Récupération : suivre les explications a la lettre

Probleme avec windows - ecriture décalée

26 réponses

Newsletters