Sujet Précédent Sujet Suivant

Trojan ou rootkit

Fermé
tarzie Messages postés 62 Date d'inscription mercredi 25 février 2009 Statut Membre Dernière intervention 22 janvier 2010 - 19 mars 2009 à 18:11
 Utilisateur anonyme - 24 mars 2009 à 09:33
Bonjour,a tous

mon pc rame et j'ai des doute je pense être infecter comment faire stp

merci de votre aide
A voir également:

43 réponses

Réponse 1 / 43
tarzie Messages postés 62 Date d'inscription mercredi 25 février 2009 Statut Membre Dernière intervention 22 janvier 2010 4
20 mars 2009 à 20:14
voila le rapport j'ai pas voulue ouvrir le dossier au cas ou c'était la quarantaine

par contre au redémarrage mon msn ne c'est pas lancer comme d'habitude c'est normal ?

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== SERVICES/DRIVERS ==========

Service\Driver MEMSWEEP2 deleted successfully.
Service\Driver utbjrksenokx not found.
Service\Driver utbjrksenokx not found.
========== FILES ==========
File/Folder C:\WINDOWS\system32\drivers\utbjrksenokx.sys not found.
File/Folder C:\WINDOWS\system32\drivers\MEMSWEEP2.sys not found.
========== REGISTRY ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\MsnMsgr deleted successfully.
========== COMMANDS ==========
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.9.0 log created on 03202009_195431
1
Réponse 2 / 43
Utilisateur anonyme
19 mars 2009 à 18:20
Salut,


commences par ceci pour voir ce qu'il en est,avoir un diagnostic précis et donc repérer les infections possibles et les neutraliser:


Télécharges et installes le logiciel de diagnostic :

ici Hijackthis
ou ici Hijackthis
ou ici Hijackthis

ou renommé



1- Cliques sur le setup pour lancer l'installe : laisses toi guider et ne modifies pas les paramètres d'installation .
A la fin de l'installe , le prg ce lance automatiquement : fermes le en cliquant sur la croix rouge .
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

tuto pour utilisation :(merci balltrap34)
Regardes ici, c'est parfaitement expliqué en images ,

( Ne fixes encore AUCUNE ligne de ton plein gré, cela pourrait empêcher ton PC de fonctionner correctement )

2- !! Déconnectes toi et fermes toute tes applications en cours !!

Cliques sur le raccourci du bureau pour lancer le prg :
fais un scan HijackThis en cliquant sur : "Do a system scan and save a logfile"

--->copies-colles le rapport généré pour analyse
0
Réponse 3 / 43
RolandFrance Messages postés 47 Date d'inscription mardi 10 mars 2009 Statut Membre Dernière intervention 20 août 2009 1
19 mars 2009 à 18:22
Anti-virus(en ligne):
https://www.trendmicro.com/en_us/forHome/products/housecall.html
mode d'emploi :
http://www.commentcamarche.net/faq/sujet 8873 scanner en ligne avec trendmicro housecall

sinon

https://www.01net.com/telecharger/windows/Securite/antivirus-antitrojan/fiches/12884.html
http://www.commentcamarche.net/telecharger/telecharger 34055379 malwarebytes anti malware

peut pas t'aider plus j'en suis navré
0
Réponse 4 / 43
tarzie Messages postés 62 Date d'inscription mercredi 25 février 2009 Statut Membre Dernière intervention 22 janvier 2010 4
19 mars 2009 à 18:25
salut a vous deux et merci pour l'aide

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:22:29, on 19/03/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Acronis\Fomatik\TrueImageTryStartService.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\lclock.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LClock] lclock.exe
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\CCleaner.exe" /AUTO
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra button: Sélection intelligente HP - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Program Files\Fichiers communs\Acronis\Fomatik\TrueImageTryStartService.exe
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 43
Utilisateur anonyme
19 mars 2009 à 18:33
Mets Internet Explorer a jour vers la version 7 via windows update :):):)

(ah non tu peux pas ton windows est cracké)

ensuite :

Télécharge Superantispyware (SAS)

Choisis "enregistrer" et enregistre-le sur ton bureau.

Double-clique sur l'icône d'installation qui vient de se créer et suis les instructions.

Créé une icône sur le bureau.

Double-clique sur l'icône de SAS (une tête dans un cercle rouge barré) pour le lancer.

- Si l'outil te demande de mettre à jour le programme ("update the program definitions", clique sur yes.
- Sous Configuration and Preferences, clique sur le bouton "Preferences"
- Clique sur l'onglet "Scanning Control "
- Dans "Scanner Options ", assure toi que la case devant lles lignes suivantes est cochée :

Close browsers before scanning
Scan for tracking cookies
Terminate memory threats before quarantining
- Laisse les autres lignes décochées.

- Clique sur le bouton "Close" pour quitter l'écran du centre de contrôle.

- Dans la fenêtre principale, clique, dans "Scan for Harmful Software", sur "Scan your computer".

Dans la colonne de gauche, coche C:\Fixed Drive.

Dans la colonne de droite, sous "Complete scan", clique sur "Perform Complete Scan"

Clique sur "next" pour lancer le scan. Patiente pendant la durée du scan.

A la fin du scan, une fenêtre de résultats s'ouvre . Clique sur OK.

Assure toi que toutes les lignes de la fenêtre blanche sont cochées et clique sur "Next".

Tout ce qui a été trouvé sera mis en quarantaine. S'il t'es demandé de redémarrer l'ordi ("reboot"), clique sur Yes.

Pour recopier les informations sur le forum, fais ceci :

- après le redémarrage de l'ordi, double-clique sur l'icône pour lancer SAS.
- Clique sur "Preferences" puis sur l'onglet "Statistics/Logs ".
- Dans "scanners logs", double-clique sur SUPERAntiSpyware Scan Log.

- Le rapport va s'ouvrir dans ton éditeur de texte par défaut.

- Copie son contenu dans ta réponse.


Regarde bien le tuto SUPERAntiSpyware il est très bien expliqué.
0
Réponse 6 / 43
tarzie Messages postés 62 Date d'inscription mercredi 25 février 2009 Statut Membre Dernière intervention 22 janvier 2010 4
19 mars 2009 à 18:55
lol je préfère le terme améliorer que cracker j'ai le cd officiel mais j'aime pas

j'attaque superantispyware meme si je préfére doctor spyware que je trouve plus performant
0
Réponse 7 / 43
Utilisateur anonyme
19 mars 2009 à 19:03
le terme améliorer = et tu as pris quelle clé pour le valider chez Microsoft ???

tu as les mises à jour automatiques???

pour moi une amélioration est une reconfiguration du programme et non une copie non légale
0
Réponse 8 / 43
tarzie Messages postés 62 Date d'inscription mercredi 25 février 2009 Statut Membre Dernière intervention 22 janvier 2010 4
19 mars 2009 à 19:18
voila le rapport SUPERAntiSpyware +doctor

SUPERAntiSpyware journal de bord
https://www.superantispyware.com/

Généré 03/19/2009 at 07:03 PM

Version du Logiciel : 4.25.1012

Core Rules Database Version : 3805
Trace Rules Database Version: 1760

Genre de Scan : Scan Complète
Temps total du Scan : 00:10:52

Articles du Mémoire analysés : 469
Risques de dommage de Mémoire détectés : 0
Articles du Registre analysés : 3623
Risques de dommage de Registre détectés : 0
Articles de fichier scannés : 8205
Risques du Dommage de Fichier Détectés : 0

et doctor spyware dans la foule

-=- Doctor Spyware Cleaner version 3.0 -=-
-=- Full Scanning Report -=-
-=- 19/03/2009 19:12:59 -=-

Total items found: 5

[*** Item 1 ***]
Spyware name: ISTbar (1 trace)
Registry key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DownloadManager

[*** Item 3 ***]
Spyware name: YourSiteBar (2 traces)
File name: C:\System Volume Information\_restore{A28D027A-7476-4293-8C9A-A4A23697C4FC}\RP34\A0006921.sys
Product Name: Not defined
Product Version: Not defined
File Version: Not defined
File Description: Not defined
Private Build: Not defined
Special Build: Not defined
Company Name: Not defined
Internal Name: Not defined
Original FileName: Not defined
Legal Copyright: Not defined
Legal Trademarks: Not defined
Comments: Not defined


[*** Item 3 ***]
Spyware name: YourSiteBar (2 traces)
File name: C:\System Volume Information\_restore{A28D027A-7476-4293-8C9A-A4A23697C4FC}\RP34\A0006922.sys
Product Name: Not defined
Product Version: Not defined
File Version: Not defined
File Description: Not defined
Private Build: Not defined
Special Build: Not defined
Company Name: Not defined
Internal Name: Not defined
Original FileName: Not defined
Legal Copyright: Not defined
Legal Trademarks: Not defined
Comments: Not defined
0
Réponse 9 / 43
Utilisateur anonyme
19 mars 2009 à 19:56
spyware doctor =pas confiance :

on voit avec ceci et au cas on nettoie :

Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau.

! Déconnecte toi et ferme toutes tes applications en cours !

Double-clique sur " RSIT.exe " pour le lancer .

-> Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " .

* Devant l'option "List files/folders created ..." , tu choisis : 2 months

* clique ensuite sur " Continue " pour lancer l'analyse ...


-> laisse faire le scan et ne touche pas au PC ...


Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note).

Poste le contenu de " log.txt " (c'est celui qui apparait à l'écran), ainsi que de " info.txt " (que tu verras dans la barre des tâches), pour analyse et attends la suite ...

Important : poste un rapport, puis l'autre dans la réponse suivante
Si tu essaies de poster les deux en même temps, cela risque d'être trop long pour le forum


( Note : les rapports seront en outre sauvegardés dans ce dossier -> C:\rsit )
0
Réponse 10 / 43
tarzie Messages postés 62 Date d'inscription mercredi 25 février 2009 Statut Membre Dernière intervention 22 janvier 2010 4
19 mars 2009 à 20:07
ok je lance Random's System Information Tool (RSIT)

et pourquoi pas confiance ?
0
Réponse 11 / 43
RolandFrance Messages postés 47 Date d'inscription mardi 10 mars 2009 Statut Membre Dernière intervention 20 août 2009 1
19 mars 2009 à 20:08
Comme Norton
0
Réponse 12 / 43
tarzie Messages postés 62 Date d'inscription mercredi 25 février 2009 Statut Membre Dernière intervention 22 janvier 2010 4
19 mars 2009 à 20:12
et voilou merci pour tes conseille et aide c'est cool

info.txt logfile of random's system information tool 1.05 2009-03-19 20:02:25

======Uninstall list======

-->MsiExec /X{A7E07C2B-2220-4415-87E3-784D5814BC93}
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
32 Bit HP CIO Components Installer-->MsiExec.exe /I{09BDEEF0-5590-457D-89A9-5DB2742F9BBF}
7-Zip 4.57-->"C:\Program Files\7-Zip\Uninstall.exe"
Acronis True Image Home-->MsiExec.exe /X{E5343B27-55DF-40BD-9FCF-A643C1331E8A}
Adobe Flash Player ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Reader 9 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A90000000001}
Analyseur MSXML 6.0-->MsiExec.exe /I{5903C48B-E953-47B8-A651-B9222C483057}
Ashampoo WinOptimizer 5.10-->"C:\Program Files\Ashampoo\Ashampoo WinOptimizer 5\unins000.exe"
a-squared Free 4.0-->"C:\Program Files\a-squared Free\unins000.exe"
Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
CleanUp!-->C:\Program Files\CleanUp!\uninstall.exe
Doctor Spyware Cleaner 1.1-->"C:\Program Files\Doctor Spyware Cleaner\unins000.exe"
EasyCleaner-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F5346614-B7C4-4E94-826A-E2363155233D}\setup.exe" -l0x9 -removeonly
Error Repair Professional 3.9.3-->"C:\Program Files\Error Repair Professional\unins000.exe"
HijackThis 2.0.2-->"C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
HomePlayer 1.5.7-->C:\Program Files\HomePlayer\uninst.exe
Hotfix for Windows XP (KB915865)-->"C:\WINDOWS\$NtUninstallKB915865$\spuninst\spuninst.exe"
HP Imaging Device Functions 10.0-->C:\Program Files\HP\Digital Imaging\DeviceManagement\hpzscr01.exe -datfile hpqbud01.dat
HP Photosmart All-In-One Driver Software 10.0 Rel .2-->C:\Program Files\HP\Digital Imaging\{20B30DC1-E423-4939-B51D-05C58B0F9BBB}\setup\hpzscr01.exe -datfile hposcr21.dat -onestop
HP Photosmart Essential 2.5-->C:\Program Files\HP\Digital Imaging\PhotoSmartEssential\hpzscr01.exe -datfile hpqbud13.dat
HP Smart Web Printing-->C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpzscr01.exe -datfile hpqbud15.dat
HP Solution Center 10.0-->C:\Program Files\HP\Digital Imaging\eSupport\hpzscr01.exe -datfile hpqbud05.dat
Java(TM) 6 Update 4-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160040}
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe"
Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe"
Mozilla Firefox (3.0.7)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
MRU-Blaster v1.5 (Database 3/28/2004)-->"C:\Program Files\MRU-Blaster\unins000.exe"
MSXML 4.0 SP2 (KB927978)-->MsiExec.exe /I{37477865-A3F1-4772-AD43-AAFC6BCFF99F}
NVIDIA Drivers-->C:\WINDOWS\system32\nvuninst.exe UninstallGUI
NVIDIA PhysX v8.09.04-->MsiExec.exe /X{A7E07C2B-2220-4415-87E3-784D5814BC93}
OCR Software by I.R.I.S. 10.0-->C:\Program Files\HP\Digital Imaging\OCR\hpzscr01.exe -datfile hpqbud11.dat
OpenOffice.org 2.4-->MsiExec.exe /I{A122962F-331A-4C2E-93DB-AD92D8A4FB14}
Realtek AC'97 Audio-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{FB08F381-6533-4108-B7DD-039E11FBC27E}\setup.exe" -l0x40c -removeonly
SiSRaidPackage-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{13D41D72-0284-4931-A261-F86F6565D4B4}\setup.exe" -l0x40c
SUPERAntiSpyware Free Edition-->MsiExec.exe /X{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}
Sygate Personal Firewall Pro-->MsiExec.exe /I{3D133CD6-EBDF-4C14-BBB9-5D3AE0BD7C58}
VLC media player 0.9.8a-->C:\Program Files\VideoLAN\VLC\uninstall.exe
Windows Internet Explorer 7-->"C:\WINDOWS\ie7\spuninst\spuninst.exe"
Windows Live Messenger-->MsiExec.exe /I{F6326B60-1B1D-4ABF-BFCD-7B7404F44411}
Wise Registry Cleaner 3 Free 3.94-->"C:\Program Files\Wise Registry Cleaner 3\unins000.exe"
XChat 2 (remove only)-->"C:\Program Files\xchat\uninstall.exe"

======Hosts File======

127.0.0.1 localhost

======Security center information======

AV: Avira AntiVir PersonalEdition
FW: Sygate Personal Firewall Pro

System event log

Computer Name: ORDINATEUR
Event Code: 3260
Message: Cet ordinateur a correctement été joint au workgroup 'MSHOME'.

Record Number: 5
Source Name: Workstation
Time Written: 20090217120501.000000+060
Event Type: Informations
User:

Computer Name: ORDINATEUR
Event Code: 6011
Message: Le nom NetBIOS et le nom de l'hôte DNS de cet ordinateur ont été modifiés de MACHINENAME vers ORDINATEUR.

Record Number: 4
Source Name: EventLog
Time Written: 20090217120424.000000+060
Event Type: Informations
User:

Computer Name: MACHINENAME
Event Code: 2
Message: Pendant la validation de \Device\Serial0 en tant que port série, une FIFO a été détectée. La FIFO sera utilisée.

Record Number: 3
Source Name: Serial
Time Written: 20090217125920.000000+060
Event Type: Informations
User:

Computer Name: MACHINENAME
Event Code: 6005
Message: Le service d'Enregistrement d'événement a démarré.

Record Number: 2
Source Name: EventLog
Time Written: 20090217125900.000000+060
Event Type: Informations
User:

Computer Name: MACHINENAME
Event Code: 6009
Message: Microsoft (R) Windows (R) 5.01. 2600 Service Pack 2 Uniprocessor Free.

Record Number: 1
Source Name: EventLog
Time Written: 20090217125900.000000+060
Event Type: Informations
User:

Application event log

Computer Name: ORDINATEUR
Event Code: 301
Message: msnmsgr (1868) \\.\C:\Documents and Settings\Rosaille\Local Settings\Application Data\Microsoft\Messenger\tarzie33@live.fr\SharingMetadata\Working\database_6618_D20E_18D1_DCDD\dfsr.db: Le moteur de base de données commence la relecture du fichier journal \\.\C:\Documents and Settings\Rosaille\Local Settings\Application Data\Microsoft\Messenger\benabdel33@live.fr\SharingMetadata\Working\database_6618_D20E_18D1_DCDD\fsr.log.

Record Number: 629
Source Name: ESENT
Time Written: 20090319102636.000000+060
Event Type: Informations
User:

Computer Name: ORDINATEUR
Event Code: 301
Message: msnmsgr (1868) \\.\C:\Documents and Settings\Rosaille\Local Settings\Application Data\Microsoft\Messenger\tarzie33@live.fr\SharingMetadata\Working\database_6618_D20E_18D1_DCDD\dfsr.db: Le moteur de base de données commence la relecture du fichier journal \\.\C:\Documents and Settings\Rosaille\Local Settings\Application Data\Microsoft\Messenger\benabdel33@live.fr\SharingMetadata\Working\database_6618_D20E_18D1_DCDD\fsr00003.log.

Record Number: 628
Source Name: ESENT
Time Written: 20090319102636.000000+060
Event Type: Informations
User:

Computer Name: ORDINATEUR
Event Code: 300
Message: msnmsgr (1868) \\.\C:\Documents and Settings\Rosaille\Local Settings\Application Data\Microsoft\Messenger\tarzie33@live.fr\SharingMetadata\Working\database_6618_D20E_18D1_DCDD\dfsr.db: Le moteur de base de données initialise la procédure de récupération.

Record Number: 627
Source Name: ESENT
Time Written: 20090319102636.000000+060
Event Type: Informations
User:

Computer Name: ORDINATEUR
Event Code: 102
Message: msnmsgr (1868) \\.\C:\Documents and Settings\Rosaille\Local Settings\Application Data\Microsoft\Messenger\tarzie33@live.fr\SharingMetadata\Working\database_6618_D20E_18D1_DCDD\dfsr.db: Le moteur de base de données a démarré une nouvelle instance (0).

Record Number: 626
Source Name: ESENT
Time Written: 20090319102635.000000+060
Event Type: Informations
User:

Computer Name: ORDINATEUR
Event Code: 100
Message: msnmsgr (1868) Le moteur de base de données 5.01.2600.2780 est démarré.

Record Number: 625
Source Name: ESENT
Time Written: 20090319102635.000000+060
Event Type: Informations
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 4 Stepping 1, GenuineIntel
"PROCESSOR_REVISION"=0401
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"DEVMGR_SHOW_DETAILS"=1

-----------------EOF-----------------

Logfile of random's system information tool 1.05 (written by random/random)
Run by Rosaille at 2009-03-19 20:02:21
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 35 GB (87%) free of 41 GB
Total RAM: 1023 MB (67% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:02:24, on 19/03/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Acronis\Fomatik\TrueImageTryStartService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\lclock.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Rosaille\Bureau\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\Rosaille.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: Shell=explorer.exe
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LClock] lclock.exe
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\CCleaner.exe" /AUTO
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra button: Sélection intelligente HP - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Program Files\Fichiers communs\Acronis\Fomatik\TrueImageTryStartService.exe
0
Réponse 13 / 43
Utilisateur anonyme
19 mars 2009 à 20:36
Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage
- Coche Afficher les fichiers et dossiers cachés
- Décoche Masquer les extensions des fichiers dont le type est connu
- Décoche Masquer les fichiers protégés du système d'exploitation (recommandé)
clique sur Appliquer, puis OK.

N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation en fin de désinfection, c'est important

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

* Clique sur Parcourir en haut, choisis Poste de travail et cherche ce fichier :

C:\WINDOWS\system32\drivers\utbjrksenokx.sys

* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
* Une nouvelle fenêtre de ton navigateur va apparaître
* Clique alors sur les deux fleches
* Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
* Enfin colle le résultat dans ta prochaine réponse.
0
Réponse 14 / 43
tarzie Messages postés 62 Date d'inscription mercredi 25 février 2009 Statut Membre Dernière intervention 22 janvier 2010 4
19 mars 2009 à 21:01
se fichier ne s'y trouve pas


C:\WINDOWS\system32\drivers\utbjrksenokx.sys
0
Réponse 15 / 43
Utilisateur anonyme
19 mars 2009 à 22:47
-- Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.
-- Ne pas utiliser en dehors de ce cas de figure : dangereux!

Lors de son exécution,

ComboFix va vérifier si la Console de récupération Microsoft Windows est installée. Avec des infections comme celles d'aujourd'hui, il est fortement conseillé de l'avoir pré-installée sur votre PC avant toute suppression de nuisibles.
Elle vous permettra de démarrer dans un mode spécial, de récupération (réparation), qui nous permet de vous aider plus facilement si jamais votre ordinateur rencontre un problème après une tentative de nettoyage.

Suivez les invites pour permettre à ComboFix de télécharger et installer la Console de récupération Microsoft Windows

et lorsque cela vous est demandé, acceptez le Contrat de Licence Utilisateur Final pour installer la Console de récupération Microsoft Windows.

Sous XP

Sous Vista

**Note importante: Si la Console de récupération Microsoft Windows est déjà installée, ComboFix continuera ses procédures de suppression de nuisibles.


A Lire , Impératif !!!!

Télécharges Combofix :




Et important, enregistre le sous "moi.exe" sur le bureau.

Avant d'utiliser ComboFix :

? Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.
? Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.


Une fois fait, sur ton bureau double-clic sur moi.exe

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

? Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

? Reviens sur le forum, et

copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

0
Réponse 16 / 43
Ced_King Messages postés 3519 Date d'inscription lundi 2 mars 2009 Statut Contributeur Dernière intervention 10 octobre 2016 571
19 mars 2009 à 22:56
Salut,


- Je crois que ça va etre impossible pour la console de recuperations :

O4 - HKUS\S-1-5-18\..\RunOnce: [LSD_III] --> version Piratée

- Bonne continuation... @ +
.
0
Réponse 17 / 43
Utilisateur anonyme
20 mars 2009 à 00:29
salut tu as deja essayé ?
0
Ced_King Messages postés 3519 Date d'inscription lundi 2 mars 2009 Statut Contributeur Dernière intervention 10 octobre 2016 571
20 mars 2009 à 13:59
Salut tu as deja essayé ?

--> Pourquoi essayer ?

la logique étant que Windows reconnait cette version comme une version piratée et te le rappelle continuellement avec un message en bas à droite de l'ecran.



- @ +
.
0
Réponse 18 / 43
tarzie Messages postés 62 Date d'inscription mercredi 25 février 2009 Statut Membre Dernière intervention 22 janvier 2010 4
20 mars 2009 à 08:05
bonjour

ComboFix 09-03-18.01 - Rosaille 2009-03-20 7:55:49.13 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1023.716 [GMT 1:00]
Lancé depuis: c:\documents and settings\Rosaille\Bureau\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
FW: Sygate Personal Firewall Pro *enabled*
* Un nouveau point de restauration a été créé

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

((((((((((((((((((((((((((((( Fichiers créés du 2009-02-20 au 2009-03-20 ))))))))))))))))))))))))))))))))))))
.

2009-03-19 21:25 . 2009-03-19 21:25 <REP> d-------- C:\Nouveau dossier
2009-03-19 21:24 . 2009-03-19 21:32 <REP> d-------- c:\program files\FindyKill
2009-03-19 20:02 . 2009-03-19 20:02 <REP> d-------- C:\rsit
2009-03-19 18:22 . 2009-03-19 18:22 <REP> d-------- c:\program files\Trend Micro
2009-03-19 14:33 . 2009-03-19 14:33 <REP> d-------- c:\program files\Avira
2009-03-19 14:33 . 2009-03-19 14:33 <REP> d-------- c:\documents and settings\All Users\Application Data\Avira
2009-03-19 13:48 . 2009-03-19 19:15 <REP> d-------- c:\program files\Doctor Spyware Cleaner
2009-03-19 08:25 . 2009-03-19 08:25 <REP> d-------- c:\documents and settings\Administrateur\Application Data\Malwarebytes
2009-03-18 21:19 . 2009-03-18 21:19 <REP> d-------- c:\program files\Sygate
2009-03-18 21:19 . 2005-06-06 18:05 83,096 --a------ c:\windows\system32\SSSensor.dll
2009-03-18 21:19 . 2005-06-06 17:32 61,008 --a------ c:\windows\system32\drivers\Teefer.sys
2009-03-18 21:19 . 2005-06-06 17:34 21,075 --a------ c:\windows\system32\drivers\wpsdrvnt.sys
2009-03-18 21:19 . 2005-06-06 18:05 14,448 --a------ c:\windows\system32\drivers\wg3n.sys
2009-03-18 21:12 . 2009-03-18 21:12 <REP> d-------- c:\windows\ERUNT
2009-03-18 21:12 . 2009-03-18 21:12 579,072 --a------ c:\windows\system32\DllCache\user32.dll
2009-03-18 19:55 . 2009-03-18 19:56 <REP> d-------- c:\program files\Fichiers communs\Adobe
2009-03-17 20:02 . 2009-03-17 20:08 <REP> d-------- C:\Nouveau dossier2
2009-03-15 12:10 . 2008-10-07 06:33 453,152 --a------ c:\windows\system32\nvudisp.exe
2009-03-15 12:10 . 2009-03-20 07:58 200,819 --a------ c:\windows\system32\nvapps.xml
2009-03-15 12:10 . 2008-10-07 06:33 18,477 --a------ c:\windows\system32\nvdisp.nvu
2009-03-15 12:09 . 2008-10-02 10:07 453,152 --a------ c:\windows\system32\NVUNINST.EXE
2009-03-15 11:59 . 2009-03-15 11:59 <REP> d-------- c:\windows\system32\AGEIA
2009-03-15 11:59 . 2009-03-15 11:59 <REP> d-------- c:\program files\AGEIA Technologies
2009-03-15 11:53 . 2009-03-15 11:53 <REP> d-------- c:\program files\MRU-Blaster
2009-03-15 11:51 . 2009-03-15 11:52 <REP> d-------- c:\program files\Error Repair Professional

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-19 22:46 --------- d-----w c:\documents and settings\Rosaille\Application Data\X-Chat 2
2009-03-19 13:55 --------- d-----w c:\documents and settings\Rosaille\Application Data\OpenOffice.org2
2009-03-19 13:50 --------- d-----w c:\documents and settings\Rosaille\Application Data\HPAppData
2009-03-19 09:38 --------- d-----w c:\program files\a-squared Free
2009-03-16 17:04 --------- d-----w c:\documents and settings\All Users\Application Data\Acronis
2009-03-15 10:58 --------- d-----w c:\program files\Fichiers communs\Wise Installation Wizard
2009-02-18 14:21 --------- d-----w c:\program files\RegCleaner
2009-02-18 13:57 --------- d--h--w c:\program files\InstallShield Installation Information
2009-02-18 13:57 --------- d-----w c:\program files\Fichiers communs\InstallShield
2009-02-18 12:08 --------- d-----w c:\documents and settings\NetworkService\Application Data\Acronis
2009-02-18 12:06 441,760 ----a-w c:\windows\system32\drivers\timntr.sys
2009-02-18 12:06 44,384 ----a-w c:\windows\system32\drivers\tifsfilt.sys
2009-02-18 12:06 129,248 ----a-w c:\windows\system32\drivers\snapman.sys
2009-02-18 12:05 368,736 ----a-w c:\windows\system32\drivers\tdrpman.sys
2009-02-18 12:05 --------- d-----w c:\program files\Fichiers communs\Acronis
2009-02-18 12:05 --------- d-----w c:\program files\Acronis
2009-02-17 20:55 --------- d-----w c:\program files\HomePlayer
2009-02-17 20:33 --------- d-----w c:\program files\SUPERAntiSpyware
2009-02-17 20:33 --------- d-----w c:\documents and settings\Rosaille\Application Data\SUPERAntiSpyware.com
2009-02-17 20:33 --------- d-----w c:\documents and settings\All Users\Application Data\SUPERAntiSpyware.com
2009-02-17 15:13 --------- d-----w c:\documents and settings\Rosaille\Application Data\HP
2009-02-17 15:12 --------- d-----w c:\program files\HP
2009-02-17 15:11 --------- d-----w c:\program files\Hewlett-Packard
2009-02-17 15:11 --------- d-----w c:\program files\Fichiers communs\Hewlett-Packard
2009-02-17 15:11 --------- d-----w c:\documents and settings\All Users\Application Data\HP Product Assistant
2009-02-17 15:11 --------- d-----w c:\documents and settings\All Users\Application Data\HP
2009-02-17 15:10 --------- d-----w c:\program files\Fichiers communs\HP
2009-02-17 15:10 --------- d-----w c:\documents and settings\All Users\Application Data\Hewlett-Packard
2009-02-17 14:43 --------- d-----w c:\program files\OpenOffice.org 2.4
2009-02-17 14:43 --------- d-----w c:\program files\Java
2009-02-17 14:43 --------- d-----w c:\program files\Fichiers communs\Java
2009-02-17 14:35 --------- d-----w c:\program files\eMule
2009-02-17 14:31 --------- d-----w c:\documents and settings\Rosaille\Application Data\vlc
2009-02-17 14:08 --------- d-----w c:\program files\VideoLAN
2009-02-17 13:19 --------- d-----w c:\program files\Ashampoo
2009-02-17 13:11 --------- d-----w c:\program files\Malwarebytes' Anti-Malware
2009-02-17 13:11 --------- d-----w c:\documents and settings\Rosaille\Application Data\Malwarebytes
2009-02-17 13:11 --------- d-----w c:\documents and settings\All Users\Application Data\Malwarebytes
2009-02-17 12:18 --------- d-----w c:\program files\Wise Registry Cleaner 3
2009-02-17 12:13 --------- d-----w c:\program files\SimonTools
2009-02-17 12:10 --------- d-----w c:\program files\MSN Messenger
2009-02-17 12:05 --------- d-----w c:\program files\ToniArts
2009-02-17 12:03 --------- d-----w c:\program files\CleanUp!
2009-02-17 12:03 --------- d-----w c:\program files\CCleaner
2009-02-17 11:45 --------- d-----w c:\program files\Silicon Integrated Systems
2009-02-17 11:30 --------- d-----w c:\program files\7-Zip
2009-02-17 11:25 --------- d-----w c:\program files\Realtek AC97
2009-02-17 11:17 --------- d-----w c:\program files\MSXML 6.0
2009-02-17 11:16 --------- d-----w c:\program files\MSXML 4.0
2009-02-17 11:07 --------- d-----w c:\program files\Services en ligne
2009-02-11 09:19 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-11 09:19 15,504 ----a-w c:\windows\system32\drivers\mbam.sys
.

------- Sigcheck -------

2005-06-28 18:56 359808 77c0c5e7d6cfe2052b8cf28b8722f528 c:\windows\system32\drivers\tcpip.sys

2007-07-18 20:14 506368 fa7c7c2b461130a792adf6a28f1d652b c:\windows\system32\winlogon.exe

2007-08-06 10:51 3256832 7c56d56d6be0760ddf9a37344731bd3f c:\windows\explorer.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-19 15360]
"ccleaner"="c:\program files\CCleaner\CCleaner.exe" [2009-01-20 1451248]
"MsnMsgr"="c:\program files\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352]
"LClock"="lclock.exe" [2004-12-08 c:\windows\LClock.exe]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TrueImageMonitor.exe"="c:\program files\Acronis\TrueImageHome\TrueImageMonitor.exe" [2007-10-07 2620336]
"AcronisTimounterMonitor"="c:\program files\Acronis\TrueImageHome\TimounterMonitor.exe" [2007-10-07 904880]
"Acronis Scheduler2 Service"="c:\program files\Fichiers communs\Acronis\Schedule2\schedhlp.exe" [2007-10-07 140568]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-10-07 13574144]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-10-07 86016]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"SoundMan"="SOUNDMAN.EXE" [2007-04-16 c:\windows\soundman.exe]
"nwiz"="nwiz.exe" [2008-10-07 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-19 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"LSD_III"="c:\windows\LSD\end.cmd" [2007-08-07 2336]
"tscuninstall"="c:\windows\system32\tscupgrd.exe" [2004-08-19 44544]
"nltide_3"="advpack.dll" [2006-10-27 c:\windows\system32\advpack.dll]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMBalloonTip"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program files\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 11:05 356352 c:\program files\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\[u]0/upfdnnt c:\windows\system32\pfdnnt_actions.sys

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^HP Digital Imaging Monitor.lnk]

[HKLM\~\startupfolder\C:^Documents and Settings^Rosaille^Menu Démarrer^Programmes^Démarrage^MRU-Blaster Scheduler.lnk]

[HKLM\~\startupfolder\C:^Documents and Settings^Rosaille^Menu Démarrer^Programmes^Démarrage^MRU-Blaster Silent Clean.lnk]

[HKLM\~\startupfolder\C:^Documents and Settings^Rosaille^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 2.4.lnk]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-06-12 02:38 34672 c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HomePlayer]
--a------ 2007-11-06 21:58 294912 c:\program files\HomePlayer\HomePlayer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
--a------ 2007-10-14 21:17 49152 c:\program files\HP\HP Software Update\hpwuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hpqSRMon]
--a------ 2007-08-22 16:31 80896 c:\program files\HP\Digital Imaging\bin\HpqSRmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SiSRaid]
--------- 2007-01-18 11:59 389120 c:\program files\Silicon Integrated Systems\SiSRaidPackage\Sraid.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-12-14 03:42 144784 c:\program files\Java\jre1.6.0_04\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SUPERAntiSpyware]
--a------ 2009-01-15 16:17 1830128 c:\program files\SUPERAntiSpyware\SUPERAntiSpyware.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"c:\\Program Files\\MSN Messenger\\livecall.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Program Files\\HomePlayer\\HomePlayer.exe"=
"c:\\Program Files\\HomePlayer\\VLC\\vlc.exe"=

R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [2009-03-19 22336]
R1 avgntdd;avgntdd;c:\windows\system32\drivers\avgntdd.sys [2009-03-19 45376]
R1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\sasdifsv.sys [2009-01-15 8944]
R1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [2009-01-15 55024]
S3 MEMSWEEP2;MEMSWEEP2; [x]
S3 SASENUM;SASENUM;c:\program files\SUPERAntiSpyware\SASENUM.SYS [2009-01-15 7408]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr
uSearchURL,(Default) = hxxp://www.google.fr/keyword/%s
FF - ProfilePath - c:\documents and settings\Rosaille\Application Data\Mozilla\Firefox\Profiles\k0zdako8.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-20 07:58:40
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vsdatant]
"ImagePath"=""
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(1088)
c:\program files\SUPERAntiSpyware\SASWINLO.dll
c:\windows\system32\WININET.dll

- - - - - - - > 'lsass.exe'(1144)
c:\windows\system32\relog_ap.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\program files\Fichiers communs\Acronis\Schedule2\schedul2.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\windows\system32\nvsvc32.exe
c:\program files\Sygate\SPF\Smc.exe
c:\program files\Fichiers communs\Acronis\Fomatik\TrueImageTryStartService.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2009-03-20 8:00:14 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-03-20 07:00:11

Avant-CF: 37 098 565 632 octets libres
Après-CF: 37,072,568,320 octets libres

224
0
Réponse 19 / 43
Utilisateur anonyme
20 mars 2009 à 16:44
Je ne savais pas qu il y avait un rapport entre la validation et la console de recuperation

tu n'as pas executé rsit comme demandé (2 mois)

ok c'est un rootkit :

---> Désactive ton antivirus le temps de la manipulation car OTMoveIt3 est détecté comme une infection à tort.

---> Télécharge OTMoveIt3 (OldTimer) sur ton Bureau :

---> Double-clique sur OTMoveIt3.exe afin de le lancer.

---> Copie (Ctrl+C) le texte suivant ci-dessous :





:processes
explorer.exe

:services
MEMSWEEP2
utbjrksenokx

:files
C:\WINDOWS\system32\drivers\utbjrksenokx.sys
C:\WINDOWS\system32\drivers\MEMSWEEP2.sys

:reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"=-


:commands
[purity]
[emptytemp]
[start explorer]
[reboot]





---> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.

---> Clique maintenant sur le bouton MoveIt! puis ferme OTMoveIt3.

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.

---> Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log
0
Réponse 20 / 43
Utilisateur anonyme
20 mars 2009 à 16:44
Bonjour Je ne savais pas qu il y avait un rapport entre la validation et la console de recuperation

tu n'as pas executé rsit comme demandé (2 mois)

ok c'est un rootkit :

---> Désactive ton antivirus le temps de la manipulation car OTMoveIt3 est détecté comme une infection à tort.

---> Télécharge OTMoveIt3 (OldTimer) sur ton Bureau :

---> Double-clique sur OTMoveIt3.exe afin de le lancer.

---> Copie (Ctrl+C) le texte suivant ci-dessous :





:processes
explorer.exe

:services
MEMSWEEP2
utbjrksenokx

:files
C:\WINDOWS\system32\drivers\utbjrksenokx.sys
C:\WINDOWS\system32\drivers\MEMSWEEP2.sys

:reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"=-


:commands
[purity]
[emptytemp]
[start explorer]
[reboot]





---> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.

---> Clique maintenant sur le bouton MoveIt! puis ferme OTMoveIt3.

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.

---> Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log
0

Discussions similaires

Comment supprimer le virus Trojan
vitsou -
vitsou -

18 réponses
Aide pour un virus
cerise92700 -
MisteryBean -

41 réponses
Virus : trojan:win32/wacatac.h!ml
Alky09 -
bazfile -

8 réponses
Trojan impossible à supprimer!
Gridouu -
Malekal_morte- -

12 réponses
Comment éliminer manuellement virus trojan?
ballag -
RClog -

12 réponses