Trojan ou rootkit

tarzie Messages postés 103 Date d'inscription   Statut Membre -  
 gen-hackman -
Bonjour,a tous

mon pc rame et j'ai des doute je pense être infecter comment faire stp

merci de votre aide
Configuration: Windows XP
Firefox 3.0.7

43 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Un PC sous Windows XP qui rame et des doutes d’infection motivent une demande d’aide sur les mesures à effectuer pour vérifier et nettoyer le système. Des réponses privilégient des outils de diagnostic et de nettoyage comme SuperAntiSpyware, puis des procédures de mise à jour et de quarantaine des éléments détectés. Des guides détaillent aussi l’utilisation de HijackThis et d’autres utilitaires pour établir un diagnostic précis et récupérer des rapports à partager pour analyse et actions correctives. En complément, certains conseils soulignent l’importance des sauvegardes et de l’évitement d’actions risquées tant que l’on n’a pas identifié clairement les nuisances et les sources potentielles d’infection.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. tarzie Messages postés 103 Date d'inscription   Statut Membre 4
     
    voila le rapport j'ai pas voulue ouvrir le dossier au cas ou c'était la quarantaine

    par contre au redémarrage mon msn ne c'est pas lancer comme d'habitude c'est normal ?

    ========== PROCESSES ==========
    Process explorer.exe killed successfully.
    ========== SERVICES/DRIVERS ==========

    Service\Driver MEMSWEEP2 deleted successfully.
    Service\Driver utbjrksenokx not found.
    Service\Driver utbjrksenokx not found.
    ========== FILES ==========
    File/Folder C:\WINDOWS\system32\drivers\utbjrksenokx.sys not found.
    File/Folder C:\WINDOWS\system32\drivers\MEMSWEEP2.sys not found.
    ========== REGISTRY ==========
    Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\MsnMsgr deleted successfully.
    ========== COMMANDS ==========
    User's Temp folder emptied.
    User's Temporary Internet Files folder emptied.
    User's Internet Explorer cache folder emptied.
    Local Service Temp folder emptied.
    Local Service Temporary Internet Files folder emptied.
    Windows Temp folder emptied.
    FireFox cache emptied.
    Temp folders emptied.
    Explorer started successfully

    OTMoveIt3 by OldTimer - Version 1.0.9.0 log created on 03202009_195431
    1
  2. gen-hackman
     
    Salut,

    commences par ceci pour voir ce qu'il en est,avoir un diagnostic précis et donc repérer les infections possibles et les neutraliser:

    Télécharges et installes le logiciel de diagnostic :

    ici Hijackthis
    ou ici Hijackthis
    ou ici Hijackthis

    ou renommé

    1- Cliques sur le setup pour lancer l'installe : laisses toi guider et ne modifies pas les paramètres d'installation .
    A la fin de l'installe , le prg ce lance automatiquement : fermes le en cliquant sur la croix rouge .
    Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
    "C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

    tuto pour utilisation :(merci balltrap34)
    Regardes ici, c'est parfaitement expliqué en images ,

    ( Ne fixes encore AUCUNE ligne de ton plein gré, cela pourrait empêcher ton PC de fonctionner correctement )

    2- !! Déconnectes toi et fermes toute tes applications en cours !!

    Cliques sur le raccourci du bureau pour lancer le prg :
    fais un scan HijackThis en cliquant sur : "Do a system scan and save a logfile"

    --->copies-colles le rapport généré pour analyse
    0
  3. RolandFrance Messages postés 51 Statut Membre 1
     
    Anti-virus(en ligne):
    https://www.trendmicro.com/en_us/forHome/products/housecall.html
    mode d'emploi :
    http://www.commentcamarche.net/faq/sujet 8873 scanner en ligne avec trendmicro housecall

    sinon

    https://www.01net.com/telecharger/windows/Securite/antivirus-antitrojan/fiches/12884.html
    http://www.commentcamarche.net/telecharger/telecharger 34055379 malwarebytes anti malware

    peut pas t'aider plus j'en suis navré
    0
  4. tarzie Messages postés 103 Date d'inscription   Statut Membre 4
     
    salut a vous deux et merci pour l'aide

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 18:22:29, on 19/03/2009
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.5730.0011)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Sygate\SPF\smc.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Fichiers communs\Acronis\Fomatik\TrueImageTryStartService.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
    C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe
    C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\lclock.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\Program Files\MSN Messenger\usnsvc.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
    O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
    O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe
    O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe"
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [LClock] lclock.exe
    O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\CCleaner.exe" /AUTO
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - HKUS\.DEFAULT\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'Default user')
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
    O9 - Extra button: Sélection intelligente HP - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
    O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
    O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
    O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Program Files\Fichiers communs\Acronis\Fomatik\TrueImageTryStartService.exe
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. gen-hackman
     
    Mets Internet Explorer a jour vers la version 7 via windows update :):):)

    (ah non tu peux pas ton windows est cracké)

    ensuite :


    Télécharge Superantispyware (SAS)

    Choisis "enregistrer" et enregistre-le sur ton bureau.

    Double-clique sur l'icône d'installation qui vient de se créer et suis les instructions.

    Créé une icône sur le bureau.

    Double-clique sur l'icône de SAS (une tête dans un cercle rouge barré) pour le lancer.

    - Si l'outil te demande de mettre à jour le programme ("update the program definitions", clique sur yes.
    - Sous Configuration and Preferences, clique sur le bouton "Preferences"
    - Clique sur l'onglet "Scanning Control "
    - Dans "Scanner Options ", assure toi que la case devant lles lignes suivantes est cochée :

    Close browsers before scanning
    Scan for tracking cookies
    Terminate memory threats before quarantining
    - Laisse les autres lignes décochées.

    - Clique sur le bouton "Close" pour quitter l'écran du centre de contrôle.

    - Dans la fenêtre principale, clique, dans "Scan for Harmful Software", sur "Scan your computer".

    Dans la colonne de gauche, coche C:\Fixed Drive.

    Dans la colonne de droite, sous "Complete scan", clique sur "Perform Complete Scan"

    Clique sur "next" pour lancer le scan. Patiente pendant la durée du scan.

    A la fin du scan, une fenêtre de résultats s'ouvre . Clique sur OK.

    Assure toi que toutes les lignes de la fenêtre blanche sont cochées et clique sur "Next".

    Tout ce qui a été trouvé sera mis en quarantaine. S'il t'es demandé de redémarrer l'ordi ("reboot"), clique sur Yes.

    Pour recopier les informations sur le forum, fais ceci :

    - après le redémarrage de l'ordi, double-clique sur l'icône pour lancer SAS.
    - Clique sur "Preferences" puis sur l'onglet "Statistics/Logs ".
    - Dans "scanners logs", double-clique sur SUPERAntiSpyware Scan Log.

    - Le rapport va s'ouvrir dans ton éditeur de texte par défaut.

    - Copie son contenu dans ta réponse.

    Regarde bien le tuto SUPERAntiSpyware il est très bien expliqué.
    0
  7. tarzie Messages postés 103 Date d'inscription   Statut Membre 4
     
    lol je préfère le terme améliorer que cracker j'ai le cd officiel mais j'aime pas

    j'attaque superantispyware meme si je préfére doctor spyware que je trouve plus performant
    0
  8. gen-hackman
     
    le terme améliorer = et tu as pris quelle clé pour le valider chez Microsoft ???

    tu as les mises à jour automatiques???

    pour moi une amélioration est une reconfiguration du programme et non une copie non légale
    0
  9. tarzie Messages postés 103 Date d'inscription   Statut Membre 4
     
    voila le rapport SUPERAntiSpyware +doctor

    SUPERAntiSpyware journal de bord
    https://www.superantispyware.com/

    Généré 03/19/2009 at 07:03 PM

    Version du Logiciel : 4.25.1012

    Core Rules Database Version : 3805
    Trace Rules Database Version: 1760

    Genre de Scan : Scan Complète
    Temps total du Scan : 00:10:52

    Articles du Mémoire analysés : 469
    Risques de dommage de Mémoire détectés : 0
    Articles du Registre analysés : 3623
    Risques de dommage de Registre détectés : 0
    Articles de fichier scannés : 8205
    Risques du Dommage de Fichier Détectés : 0

    et doctor spyware dans la foule

    -=- Doctor Spyware Cleaner version 3.0 -=-
    -=- Full Scanning Report -=-
    -=- 19/03/2009 19:12:59 -=-

    Total items found: 5

    [*** Item 1 ***]
    Spyware name: ISTbar (1 trace)
    Registry key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DownloadManager

    [*** Item 3 ***]
    Spyware name: YourSiteBar (2 traces)
    File name: C:\System Volume Information\_restore{A28D027A-7476-4293-8C9A-A4A23697C4FC}\RP34\A0006921.sys
    Product Name: Not defined
    Product Version: Not defined
    File Version: Not defined
    File Description: Not defined
    Private Build: Not defined
    Special Build: Not defined
    Company Name: Not defined
    Internal Name: Not defined
    Original FileName: Not defined
    Legal Copyright: Not defined
    Legal Trademarks: Not defined
    Comments: Not defined

    [*** Item 3 ***]
    Spyware name: YourSiteBar (2 traces)
    File name: C:\System Volume Information\_restore{A28D027A-7476-4293-8C9A-A4A23697C4FC}\RP34\A0006922.sys
    Product Name: Not defined
    Product Version: Not defined
    File Version: Not defined
    File Description: Not defined
    Private Build: Not defined
    Special Build: Not defined
    Company Name: Not defined
    Internal Name: Not defined
    Original FileName: Not defined
    Legal Copyright: Not defined
    Legal Trademarks: Not defined
    Comments: Not defined
    0
  10. gen-hackman
     
    spyware doctor =pas confiance :

    on voit avec ceci et au cas on nettoie :

    Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau.

    ! Déconnecte toi et ferme toutes tes applications en cours !

    Double-clique sur " RSIT.exe " pour le lancer .

    -> Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " .

    * Devant l'option "List files/folders created ..." , tu choisis : 2 months

    * clique ensuite sur " Continue " pour lancer l'analyse ...

    -> laisse faire le scan et ne touche pas au PC ...

    Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note).

    Poste le contenu de " log.txt " (c'est celui qui apparait à l'écran), ainsi que de " info.txt " (que tu verras dans la barre des tâches), pour analyse et attends la suite ...

    Important : poste un rapport, puis l'autre dans la réponse suivante
    Si tu essaies de poster les deux en même temps, cela risque d'être trop long pour le forum

    ( Note : les rapports seront en outre sauvegardés dans ce dossier -> C:\rsit )
    0
  11. tarzie Messages postés 103 Date d'inscription   Statut Membre 4
     
    ok je lance Random's System Information Tool (RSIT)

    et pourquoi pas confiance ?
    0
  12. RolandFrance Messages postés 51 Statut Membre 1
     
    Comme Norton
    0
  13. tarzie Messages postés 103 Date d'inscription   Statut Membre 4
     
    et voilou merci pour tes conseille et aide c'est cool

    info.txt logfile of random's system information tool 1.05 2009-03-19 20:02:25

    ======Uninstall list======

    -->MsiExec /X{A7E07C2B-2220-4415-87E3-784D5814BC93}
    -->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
    32 Bit HP CIO Components Installer-->MsiExec.exe /I{09BDEEF0-5590-457D-89A9-5DB2742F9BBF}
    7-Zip 4.57-->"C:\Program Files\7-Zip\Uninstall.exe"
    Acronis True Image Home-->MsiExec.exe /X{E5343B27-55DF-40BD-9FCF-A643C1331E8A}
    Adobe Flash Player ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
    Adobe Reader 9 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A90000000001}
    Analyseur MSXML 6.0-->MsiExec.exe /I{5903C48B-E953-47B8-A651-B9222C483057}
    Ashampoo WinOptimizer 5.10-->"C:\Program Files\Ashampoo\Ashampoo WinOptimizer 5\unins000.exe"
    a-squared Free 4.0-->"C:\Program Files\a-squared Free\unins000.exe"
    Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
    CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
    CleanUp!-->C:\Program Files\CleanUp!\uninstall.exe
    Doctor Spyware Cleaner 1.1-->"C:\Program Files\Doctor Spyware Cleaner\unins000.exe"
    EasyCleaner-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F5346614-B7C4-4E94-826A-E2363155233D}\setup.exe" -l0x9 -removeonly
    Error Repair Professional 3.9.3-->"C:\Program Files\Error Repair Professional\unins000.exe"
    HijackThis 2.0.2-->"C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
    HomePlayer 1.5.7-->C:\Program Files\HomePlayer\uninst.exe
    Hotfix for Windows XP (KB915865)-->"C:\WINDOWS\$NtUninstallKB915865$\spuninst\spuninst.exe"
    HP Imaging Device Functions 10.0-->C:\Program Files\HP\Digital Imaging\DeviceManagement\hpzscr01.exe -datfile hpqbud01.dat
    HP Photosmart All-In-One Driver Software 10.0 Rel .2-->C:\Program Files\HP\Digital Imaging\{20B30DC1-E423-4939-B51D-05C58B0F9BBB}\setup\hpzscr01.exe -datfile hposcr21.dat -onestop
    HP Photosmart Essential 2.5-->C:\Program Files\HP\Digital Imaging\PhotoSmartEssential\hpzscr01.exe -datfile hpqbud13.dat
    HP Smart Web Printing-->C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpzscr01.exe -datfile hpqbud15.dat
    HP Solution Center 10.0-->C:\Program Files\HP\Digital Imaging\eSupport\hpzscr01.exe -datfile hpqbud05.dat
    Java(TM) 6 Update 4-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160040}
    Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
    Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe"
    Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe"
    Mozilla Firefox (3.0.7)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
    MRU-Blaster v1.5 (Database 3/28/2004)-->"C:\Program Files\MRU-Blaster\unins000.exe"
    MSXML 4.0 SP2 (KB927978)-->MsiExec.exe /I{37477865-A3F1-4772-AD43-AAFC6BCFF99F}
    NVIDIA Drivers-->C:\WINDOWS\system32\nvuninst.exe UninstallGUI
    NVIDIA PhysX v8.09.04-->MsiExec.exe /X{A7E07C2B-2220-4415-87E3-784D5814BC93}
    OCR Software by I.R.I.S. 10.0-->C:\Program Files\HP\Digital Imaging\OCR\hpzscr01.exe -datfile hpqbud11.dat
    OpenOffice.org 2.4-->MsiExec.exe /I{A122962F-331A-4C2E-93DB-AD92D8A4FB14}
    Realtek AC'97 Audio-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{FB08F381-6533-4108-B7DD-039E11FBC27E}\setup.exe" -l0x40c -removeonly
    SiSRaidPackage-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{13D41D72-0284-4931-A261-F86F6565D4B4}\setup.exe" -l0x40c
    SUPERAntiSpyware Free Edition-->MsiExec.exe /X{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}
    Sygate Personal Firewall Pro-->MsiExec.exe /I{3D133CD6-EBDF-4C14-BBB9-5D3AE0BD7C58}
    VLC media player 0.9.8a-->C:\Program Files\VideoLAN\VLC\uninstall.exe
    Windows Internet Explorer 7-->"C:\WINDOWS\ie7\spuninst\spuninst.exe"
    Windows Live Messenger-->MsiExec.exe /I{F6326B60-1B1D-4ABF-BFCD-7B7404F44411}
    Wise Registry Cleaner 3 Free 3.94-->"C:\Program Files\Wise Registry Cleaner 3\unins000.exe"
    XChat 2 (remove only)-->"C:\Program Files\xchat\uninstall.exe"

    ======Hosts File======

    127.0.0.1 localhost

    ======Security center information======

    AV: Avira AntiVir PersonalEdition
    FW: Sygate Personal Firewall Pro

    System event log

    Computer Name: ORDINATEUR
    Event Code: 3260
    Message: Cet ordinateur a correctement été joint au workgroup 'MSHOME'.

    Record Number: 5
    Source Name: Workstation
    Time Written: 20090217120501.000000+060
    Event Type: Informations
    User:

    Computer Name: ORDINATEUR
    Event Code: 6011
    Message: Le nom NetBIOS et le nom de l'hôte DNS de cet ordinateur ont été modifiés de MACHINENAME vers ORDINATEUR.

    Record Number: 4
    Source Name: EventLog
    Time Written: 20090217120424.000000+060
    Event Type: Informations
    User:

    Computer Name: MACHINENAME
    Event Code: 2
    Message: Pendant la validation de \Device\Serial0 en tant que port série, une FIFO a été détectée. La FIFO sera utilisée.

    Record Number: 3
    Source Name: Serial
    Time Written: 20090217125920.000000+060
    Event Type: Informations
    User:

    Computer Name: MACHINENAME
    Event Code: 6005
    Message: Le service d'Enregistrement d'événement a démarré.

    Record Number: 2
    Source Name: EventLog
    Time Written: 20090217125900.000000+060
    Event Type: Informations
    User:

    Computer Name: MACHINENAME
    Event Code: 6009
    Message: Microsoft (R) Windows (R) 5.01. 2600 Service Pack 2 Uniprocessor Free.

    Record Number: 1
    Source Name: EventLog
    Time Written: 20090217125900.000000+060
    Event Type: Informations
    User:

    Application event log

    Computer Name: ORDINATEUR
    Event Code: 301
    Message: msnmsgr (1868) \\.\C:\Documents and Settings\Rosaille\Local Settings\Application Data\Microsoft\Messenger\tarzie33@live.fr\SharingMetadata\Working\database_6618_D20E_18D1_DCDD\dfsr.db: Le moteur de base de données commence la relecture du fichier journal \\.\C:\Documents and Settings\Rosaille\Local Settings\Application Data\Microsoft\Messenger\benabdel33@live.fr\SharingMetadata\Working\database_6618_D20E_18D1_DCDD\fsr.log.

    Record Number: 629
    Source Name: ESENT
    Time Written: 20090319102636.000000+060
    Event Type: Informations
    User:

    Computer Name: ORDINATEUR
    Event Code: 301
    Message: msnmsgr (1868) \\.\C:\Documents and Settings\Rosaille\Local Settings\Application Data\Microsoft\Messenger\tarzie33@live.fr\SharingMetadata\Working\database_6618_D20E_18D1_DCDD\dfsr.db: Le moteur de base de données commence la relecture du fichier journal \\.\C:\Documents and Settings\Rosaille\Local Settings\Application Data\Microsoft\Messenger\benabdel33@live.fr\SharingMetadata\Working\database_6618_D20E_18D1_DCDD\fsr00003.log.

    Record Number: 628
    Source Name: ESENT
    Time Written: 20090319102636.000000+060
    Event Type: Informations
    User:

    Computer Name: ORDINATEUR
    Event Code: 300
    Message: msnmsgr (1868) \\.\C:\Documents and Settings\Rosaille\Local Settings\Application Data\Microsoft\Messenger\tarzie33@live.fr\SharingMetadata\Working\database_6618_D20E_18D1_DCDD\dfsr.db: Le moteur de base de données initialise la procédure de récupération.

    Record Number: 627
    Source Name: ESENT
    Time Written: 20090319102636.000000+060
    Event Type: Informations
    User:

    Computer Name: ORDINATEUR
    Event Code: 102
    Message: msnmsgr (1868) \\.\C:\Documents and Settings\Rosaille\Local Settings\Application Data\Microsoft\Messenger\tarzie33@live.fr\SharingMetadata\Working\database_6618_D20E_18D1_DCDD\dfsr.db: Le moteur de base de données a démarré une nouvelle instance (0).

    Record Number: 626
    Source Name: ESENT
    Time Written: 20090319102635.000000+060
    Event Type: Informations
    User:

    Computer Name: ORDINATEUR
    Event Code: 100
    Message: msnmsgr (1868) Le moteur de base de données 5.01.2600.2780 est démarré.

    Record Number: 625
    Source Name: ESENT
    Time Written: 20090319102635.000000+060
    Event Type: Informations
    User:

    ======Environment variables======

    "ComSpec"=%SystemRoot%\system32\cmd.exe
    "Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
    "windir"=%SystemRoot%
    "FP_NO_HOST_CHECK"=NO
    "OS"=Windows_NT
    "PROCESSOR_ARCHITECTURE"=x86
    "PROCESSOR_LEVEL"=15
    "PROCESSOR_IDENTIFIER"=x86 Family 15 Model 4 Stepping 1, GenuineIntel
    "PROCESSOR_REVISION"=0401
    "NUMBER_OF_PROCESSORS"=1
    "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
    "TEMP"=%SystemRoot%\TEMP
    "TMP"=%SystemRoot%\TEMP
    "DEVMGR_SHOW_DETAILS"=1

    -----------------EOF-----------------

    Logfile of random's system information tool 1.05 (written by random/random)
    Run by Rosaille at 2009-03-19 20:02:21
    Microsoft Windows XP Professionnel Service Pack 2
    System drive C: has 35 GB (87%) free of 41 GB
    Total RAM: 1023 MB (67% free)

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 20:02:24, on 19/03/2009
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.5730.0011)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Sygate\SPF\smc.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Fichiers communs\Acronis\Fomatik\TrueImageTryStartService.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
    C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe
    C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\lclock.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Documents and Settings\Rosaille\Bureau\RSIT.exe
    C:\Program Files\Trend Micro\HijackThis\Rosaille.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    F2 - REG:system.ini: Shell=explorer.exe
    O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
    O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
    O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe
    O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe"
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [LClock] lclock.exe
    O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\CCleaner.exe" /AUTO
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - HKUS\.DEFAULT\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'Default user')
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
    O9 - Extra button: Sélection intelligente HP - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
    O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
    O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
    O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Program Files\Fichiers communs\Acronis\Fomatik\TrueImageTryStartService.exe
    0
  14. gen-hackman
     
    Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage
    - Coche Afficher les fichiers et dossiers cachés
    - Décoche Masquer les extensions des fichiers dont le type est connu
    - Décoche Masquer les fichiers protégés du système d'exploitation (recommandé)
    clique sur Appliquer, puis OK.

    N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation en fin de désinfection, c'est important

    Fais analyser le(s) fichier(s) suivants sur Virustotal :

    Virus Total

    * Clique sur Parcourir en haut, choisis Poste de travail et cherche ce fichier :

    C:\WINDOWS\system32\drivers\utbjrksenokx.sys

    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
    * Une nouvelle fenêtre de ton navigateur va apparaître
    * Clique alors sur les deux fleches
    * Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
    * Enfin colle le résultat dans ta prochaine réponse.
    0
  15. tarzie Messages postés 103 Date d'inscription   Statut Membre 4
     
    se fichier ne s'y trouve pas

    C:\WINDOWS\system32\drivers\utbjrksenokx.sys
    0
  16. gen-hackman
     
    -- Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.
    -- Ne pas utiliser en dehors de ce cas de figure : dangereux!

    Lors de son exécution,

    ComboFix va vérifier si la Console de récupération Microsoft Windows est installée. Avec des infections comme celles d'aujourd'hui, il est fortement conseillé de l'avoir pré-installée sur votre PC avant toute suppression de nuisibles.
    Elle vous permettra de démarrer dans un mode spécial, de récupération (réparation), qui nous permet de vous aider plus facilement si jamais votre ordinateur rencontre un problème après une tentative de nettoyage.

    Suivez les invites pour permettre à ComboFix de télécharger et installer la Console de récupération Microsoft Windows

    et lorsque cela vous est demandé, acceptez le Contrat de Licence Utilisateur Final pour installer la Console de récupération Microsoft Windows.

    Sous XP

    Sous Vista

    **Note importante: Si la Console de récupération Microsoft Windows est déjà installée, ComboFix continuera ses procédures de suppression de nuisibles.

    A Lire , Impératif !!!!

    Télécharges Combofix :

    Et important, enregistre le sous "moi.exe" sur le bureau.

    Avant d'utiliser ComboFix :

    ? Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.
    ? Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

    Une fois fait, sur ton bureau double-clic sur moi.exe

    - Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

    /!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

    - En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

    - Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

    ? Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

    ? Reviens sur le forum, et

    copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

    0
  17. Ced_King Messages postés 3519 Date d'inscription   Statut Contributeur Dernière intervention   667
     
    Salut,

    - Je crois que ça va etre impossible pour la console de recuperations :

    O4 - HKUS\S-1-5-18\..\RunOnce: [LSD_III] --> version Piratée

    - Bonne continuation... @ +
    .
    0
  18. gen-hackman
     
    salut tu as deja essayé ?
    0
    1. Ced_King Messages postés 3519 Date d'inscription   Statut Contributeur Dernière intervention   667
       
      Salut tu as deja essayé ?

      --> Pourquoi essayer ?

      la logique étant que Windows reconnait cette version comme une version piratée et te le rappelle continuellement avec un message en bas à droite de l'ecran.



      - @ +
      .
      0
  19. tarzie Messages postés 103 Date d'inscription   Statut Membre 4
     
    bonjour

    ComboFix 09-03-18.01 - Rosaille 2009-03-20 7:55:49.13 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1023.716 [GMT 1:00]
    Lancé depuis: c:\documents and settings\Rosaille\Bureau\ComboFix.exe
    AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)
    FW: Sygate Personal Firewall Pro *enabled*
    * Un nouveau point de restauration a été créé

    AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
    .

    ((((((((((((((((((((((((((((( Fichiers créés du 2009-02-20 au 2009-03-20 ))))))))))))))))))))))))))))))))))))
    .

    2009-03-19 21:25 . 2009-03-19 21:25 <REP> d-------- C:\Nouveau dossier
    2009-03-19 21:24 . 2009-03-19 21:32 <REP> d-------- c:\program files\FindyKill
    2009-03-19 20:02 . 2009-03-19 20:02 <REP> d-------- C:\rsit
    2009-03-19 18:22 . 2009-03-19 18:22 <REP> d-------- c:\program files\Trend Micro
    2009-03-19 14:33 . 2009-03-19 14:33 <REP> d-------- c:\program files\Avira
    2009-03-19 14:33 . 2009-03-19 14:33 <REP> d-------- c:\documents and settings\All Users\Application Data\Avira
    2009-03-19 13:48 . 2009-03-19 19:15 <REP> d-------- c:\program files\Doctor Spyware Cleaner
    2009-03-19 08:25 . 2009-03-19 08:25 <REP> d-------- c:\documents and settings\Administrateur\Application Data\Malwarebytes
    2009-03-18 21:19 . 2009-03-18 21:19 <REP> d-------- c:\program files\Sygate
    2009-03-18 21:19 . 2005-06-06 18:05 83,096 --a------ c:\windows\system32\SSSensor.dll
    2009-03-18 21:19 . 2005-06-06 17:32 61,008 --a------ c:\windows\system32\drivers\Teefer.sys
    2009-03-18 21:19 . 2005-06-06 17:34 21,075 --a------ c:\windows\system32\drivers\wpsdrvnt.sys
    2009-03-18 21:19 . 2005-06-06 18:05 14,448 --a------ c:\windows\system32\drivers\wg3n.sys
    2009-03-18 21:12 . 2009-03-18 21:12 <REP> d-------- c:\windows\ERUNT
    2009-03-18 21:12 . 2009-03-18 21:12 579,072 --a------ c:\windows\system32\DllCache\user32.dll
    2009-03-18 19:55 . 2009-03-18 19:56 <REP> d-------- c:\program files\Fichiers communs\Adobe
    2009-03-17 20:02 . 2009-03-17 20:08 <REP> d-------- C:\Nouveau dossier2
    2009-03-15 12:10 . 2008-10-07 06:33 453,152 --a------ c:\windows\system32\nvudisp.exe
    2009-03-15 12:10 . 2009-03-20 07:58 200,819 --a------ c:\windows\system32\nvapps.xml
    2009-03-15 12:10 . 2008-10-07 06:33 18,477 --a------ c:\windows\system32\nvdisp.nvu
    2009-03-15 12:09 . 2008-10-02 10:07 453,152 --a------ c:\windows\system32\NVUNINST.EXE
    2009-03-15 11:59 . 2009-03-15 11:59 <REP> d-------- c:\windows\system32\AGEIA
    2009-03-15 11:59 . 2009-03-15 11:59 <REP> d-------- c:\program files\AGEIA Technologies
    2009-03-15 11:53 . 2009-03-15 11:53 <REP> d-------- c:\program files\MRU-Blaster
    2009-03-15 11:51 . 2009-03-15 11:52 <REP> d-------- c:\program files\Error Repair Professional

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2009-03-19 22:46 --------- d-----w c:\documents and settings\Rosaille\Application Data\X-Chat 2
    2009-03-19 13:55 --------- d-----w c:\documents and settings\Rosaille\Application Data\OpenOffice.org2
    2009-03-19 13:50 --------- d-----w c:\documents and settings\Rosaille\Application Data\HPAppData
    2009-03-19 09:38 --------- d-----w c:\program files\a-squared Free
    2009-03-16 17:04 --------- d-----w c:\documents and settings\All Users\Application Data\Acronis
    2009-03-15 10:58 --------- d-----w c:\program files\Fichiers communs\Wise Installation Wizard
    2009-02-18 14:21 --------- d-----w c:\program files\RegCleaner
    2009-02-18 13:57 --------- d--h--w c:\program files\InstallShield Installation Information
    2009-02-18 13:57 --------- d-----w c:\program files\Fichiers communs\InstallShield
    2009-02-18 12:08 --------- d-----w c:\documents and settings\NetworkService\Application Data\Acronis
    2009-02-18 12:06 441,760 ----a-w c:\windows\system32\drivers\timntr.sys
    2009-02-18 12:06 44,384 ----a-w c:\windows\system32\drivers\tifsfilt.sys
    2009-02-18 12:06 129,248 ----a-w c:\windows\system32\drivers\snapman.sys
    2009-02-18 12:05 368,736 ----a-w c:\windows\system32\drivers\tdrpman.sys
    2009-02-18 12:05 --------- d-----w c:\program files\Fichiers communs\Acronis
    2009-02-18 12:05 --------- d-----w c:\program files\Acronis
    2009-02-17 20:55 --------- d-----w c:\program files\HomePlayer
    2009-02-17 20:33 --------- d-----w c:\program files\SUPERAntiSpyware
    2009-02-17 20:33 --------- d-----w c:\documents and settings\Rosaille\Application Data\SUPERAntiSpyware.com
    2009-02-17 20:33 --------- d-----w c:\documents and settings\All Users\Application Data\SUPERAntiSpyware.com
    2009-02-17 15:13 --------- d-----w c:\documents and settings\Rosaille\Application Data\HP
    2009-02-17 15:12 --------- d-----w c:\program files\HP
    2009-02-17 15:11 --------- d-----w c:\program files\Hewlett-Packard
    2009-02-17 15:11 --------- d-----w c:\program files\Fichiers communs\Hewlett-Packard
    2009-02-17 15:11 --------- d-----w c:\documents and settings\All Users\Application Data\HP Product Assistant
    2009-02-17 15:11 --------- d-----w c:\documents and settings\All Users\Application Data\HP
    2009-02-17 15:10 --------- d-----w c:\program files\Fichiers communs\HP
    2009-02-17 15:10 --------- d-----w c:\documents and settings\All Users\Application Data\Hewlett-Packard
    2009-02-17 14:43 --------- d-----w c:\program files\OpenOffice.org 2.4
    2009-02-17 14:43 --------- d-----w c:\program files\Java
    2009-02-17 14:43 --------- d-----w c:\program files\Fichiers communs\Java
    2009-02-17 14:35 --------- d-----w c:\program files\eMule
    2009-02-17 14:31 --------- d-----w c:\documents and settings\Rosaille\Application Data\vlc
    2009-02-17 14:08 --------- d-----w c:\program files\VideoLAN
    2009-02-17 13:19 --------- d-----w c:\program files\Ashampoo
    2009-02-17 13:11 --------- d-----w c:\program files\Malwarebytes' Anti-Malware
    2009-02-17 13:11 --------- d-----w c:\documents and settings\Rosaille\Application Data\Malwarebytes
    2009-02-17 13:11 --------- d-----w c:\documents and settings\All Users\Application Data\Malwarebytes
    2009-02-17 12:18 --------- d-----w c:\program files\Wise Registry Cleaner 3
    2009-02-17 12:13 --------- d-----w c:\program files\SimonTools
    2009-02-17 12:10 --------- d-----w c:\program files\MSN Messenger
    2009-02-17 12:05 --------- d-----w c:\program files\ToniArts
    2009-02-17 12:03 --------- d-----w c:\program files\CleanUp!
    2009-02-17 12:03 --------- d-----w c:\program files\CCleaner
    2009-02-17 11:45 --------- d-----w c:\program files\Silicon Integrated Systems
    2009-02-17 11:30 --------- d-----w c:\program files\7-Zip
    2009-02-17 11:25 --------- d-----w c:\program files\Realtek AC97
    2009-02-17 11:17 --------- d-----w c:\program files\MSXML 6.0
    2009-02-17 11:16 --------- d-----w c:\program files\MSXML 4.0
    2009-02-17 11:07 --------- d-----w c:\program files\Services en ligne
    2009-02-11 09:19 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
    2009-02-11 09:19 15,504 ----a-w c:\windows\system32\drivers\mbam.sys
    .

    ------- Sigcheck -------

    2005-06-28 18:56 359808 77c0c5e7d6cfe2052b8cf28b8722f528 c:\windows\system32\drivers\tcpip.sys

    2007-07-18 20:14 506368 fa7c7c2b461130a792adf6a28f1d652b c:\windows\system32\winlogon.exe

    2007-08-06 10:51 3256832 7c56d56d6be0760ddf9a37344731bd3f c:\windows\explorer.exe
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-19 15360]
    "ccleaner"="c:\program files\CCleaner\CCleaner.exe" [2009-01-20 1451248]
    "MsnMsgr"="c:\program files\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352]
    "LClock"="lclock.exe" [2004-12-08 c:\windows\LClock.exe]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "TrueImageMonitor.exe"="c:\program files\Acronis\TrueImageHome\TrueImageMonitor.exe" [2007-10-07 2620336]
    "AcronisTimounterMonitor"="c:\program files\Acronis\TrueImageHome\TimounterMonitor.exe" [2007-10-07 904880]
    "Acronis Scheduler2 Service"="c:\program files\Fichiers communs\Acronis\Schedule2\schedhlp.exe" [2007-10-07 140568]
    "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-10-07 13574144]
    "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-10-07 86016]
    "avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
    "SoundMan"="SOUNDMAN.EXE" [2007-04-16 c:\windows\soundman.exe]
    "nwiz"="nwiz.exe" [2008-10-07 c:\windows\system32\nwiz.exe]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-19 15360]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
    "LSD_III"="c:\windows\LSD\end.cmd" [2007-08-07 2336]
    "tscuninstall"="c:\windows\system32\tscupgrd.exe" [2004-08-19 44544]
    "nltide_3"="advpack.dll" [2006-10-27 c:\windows\system32\advpack.dll]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
    "NoResolveTrack"= 1 (0x1)

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
    "NoSMBalloonTip"= 0 (0x0)

    [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
    "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program files\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
    2008-12-22 11:05 356352 c:\program files\SUPERAntiSpyware\SASWINLO.dll

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
    BootExecute REG_MULTI_SZ autocheck autochk *\[u]0/upfdnnt c:\windows\system32\pfdnnt_actions.sys

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^HP Digital Imaging Monitor.lnk]

    [HKLM\~\startupfolder\C:^Documents and Settings^Rosaille^Menu Démarrer^Programmes^Démarrage^MRU-Blaster Scheduler.lnk]

    [HKLM\~\startupfolder\C:^Documents and Settings^Rosaille^Menu Démarrer^Programmes^Démarrage^MRU-Blaster Silent Clean.lnk]

    [HKLM\~\startupfolder\C:^Documents and Settings^Rosaille^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 2.4.lnk]

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
    --a------ 2008-06-12 02:38 34672 c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HomePlayer]
    --a------ 2007-11-06 21:58 294912 c:\program files\HomePlayer\HomePlayer.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
    --a------ 2007-10-14 21:17 49152 c:\program files\HP\HP Software Update\hpwuSchd2.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hpqSRMon]
    --a------ 2007-08-22 16:31 80896 c:\program files\HP\Digital Imaging\bin\HpqSRmon.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SiSRaid]
    --------- 2007-01-18 11:59 389120 c:\program files\Silicon Integrated Systems\SiSRaidPackage\Sraid.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
    --a------ 2007-12-14 03:42 144784 c:\program files\Java\jre1.6.0_04\bin\jusched.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SUPERAntiSpyware]
    --a------ 2009-01-15 16:17 1830128 c:\program files\SUPERAntiSpyware\SUPERAntiSpyware.exe

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)
    "DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
    "c:\\Program Files\\MSN Messenger\\livecall.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
    "c:\\Program Files\\HomePlayer\\HomePlayer.exe"=
    "c:\\Program Files\\HomePlayer\\VLC\\vlc.exe"=

    R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [2009-03-19 22336]
    R1 avgntdd;avgntdd;c:\windows\system32\drivers\avgntdd.sys [2009-03-19 45376]
    R1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\sasdifsv.sys [2009-01-15 8944]
    R1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [2009-01-15 55024]
    S3 MEMSWEEP2;MEMSWEEP2; [x]
    S3 SASENUM;SASENUM;c:\program files\SUPERAntiSpyware\SASENUM.SYS [2009-01-15 7408]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
    hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.google.fr
    uSearchURL,(Default) = hxxp://www.google.fr/keyword/%s
    FF - ProfilePath - c:\documents and settings\Rosaille\Application Data\Mozilla\Firefox\Profiles\k0zdako8.default\
    FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
    .

    **************************************************************************

    catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2009-03-20 07:58:40
    Windows 5.1.2600 Service Pack 2 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vsdatant]
    "ImagePath"=""
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'winlogon.exe'(1088)
    c:\program files\SUPERAntiSpyware\SASWINLO.dll
    c:\windows\system32\WININET.dll

    - - - - - - - > 'lsass.exe'(1144)
    c:\windows\system32\relog_ap.dll
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe
    c:\program files\Fichiers communs\Acronis\Schedule2\schedul2.exe
    c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    c:\windows\system32\nvsvc32.exe
    c:\program files\Sygate\SPF\Smc.exe
    c:\program files\Fichiers communs\Acronis\Fomatik\TrueImageTryStartService.exe
    c:\windows\system32\rundll32.exe
    c:\windows\system32\rundll32.exe
    c:\windows\system32\wscntfy.exe
    .
    **************************************************************************
    .
    Heure de fin: 2009-03-20 8:00:14 - La machine a redémarré
    ComboFix-quarantined-files.txt 2009-03-20 07:00:11

    Avant-CF: 37 098 565 632 octets libres
    Après-CF: 37,072,568,320 octets libres

    224
    0
  20. gen-hackman
     
    Je ne savais pas qu il y avait un rapport entre la validation et la console de recuperation

    tu n'as pas executé rsit comme demandé (2 mois)

    ok c'est un rootkit :

    ---> Désactive ton antivirus le temps de la manipulation car OTMoveIt3 est détecté comme une infection à tort.

    ---> Télécharge OTMoveIt3 (OldTimer) sur ton Bureau :

    ---> Double-clique sur OTMoveIt3.exe afin de le lancer.

    ---> Copie (Ctrl+C) le texte suivant ci-dessous :



    :processes
    explorer.exe

    :services
    MEMSWEEP2
    utbjrksenokx

    :files
    C:\WINDOWS\system32\drivers\utbjrksenokx.sys
    C:\WINDOWS\system32\drivers\MEMSWEEP2.sys

    :reg
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    "MsnMsgr"=-

    :commands
    [purity]
    [emptytemp]
    [start explorer]
    [reboot]


    ---> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.

    ---> Clique maintenant sur le bouton MoveIt! puis ferme OTMoveIt3.

    Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
    Accepte en cliquant sur YES.

    ---> Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
    Le nom du rapport correspond au moment de sa création : date_heure.log
    0
  21. gen-hackman
     
    Bonjour Je ne savais pas qu il y avait un rapport entre la validation et la console de recuperation

    tu n'as pas executé rsit comme demandé (2 mois)

    ok c'est un rootkit :

    ---> Désactive ton antivirus le temps de la manipulation car OTMoveIt3 est détecté comme une infection à tort.

    ---> Télécharge OTMoveIt3 (OldTimer) sur ton Bureau :

    ---> Double-clique sur OTMoveIt3.exe afin de le lancer.

    ---> Copie (Ctrl+C) le texte suivant ci-dessous :



    :processes
    explorer.exe

    :services
    MEMSWEEP2
    utbjrksenokx

    :files
    C:\WINDOWS\system32\drivers\utbjrksenokx.sys
    C:\WINDOWS\system32\drivers\MEMSWEEP2.sys

    :reg
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    "MsnMsgr"=-

    :commands
    [purity]
    [emptytemp]
    [start explorer]
    [reboot]


    ---> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.

    ---> Clique maintenant sur le bouton MoveIt! puis ferme OTMoveIt3.

    Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
    Accepte en cliquant sur YES.

    ---> Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
    Le nom du rapport correspond au moment de sa création : date_heure.log
    0
  • 1
  • 2
  • 3