Virus you have a security problem

angele2388 -  
 angele2388 -
Bonjour,

j'ai un virus "you have a security problem" j'ai deja fait un nettoyage ac malwarebytes hier soir et voila mon rapport Hjackthis
merci de votre aide

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:01:27, on 22/03/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\userinit.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Windows Live\Family Safety\fsssvc.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\AGRSMMSG.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre6\bin\jusched.exe
Q:\iTunesHelper.exe
C:\Program Files\Windows Live\Family Safety\fsui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Fichiers communs\Logitech\khalshared\KHALMNPR.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Mozilla Firefox\firefox.exe
N:\Divers Vrac\Malwarebytes' Anti-Malware\mbam.exe
C:\WINDOWS\system32\3k560Dh5.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Windows Live\Toolbar\wltuser.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.live.com/sphome.aspx
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.live.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://recherche.neuf.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.live.com/sphome.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://login.live.com/ppsecure/sha1auth.srf?lc=1036
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Family Safety Browser Helper - {4f3ed5cd-0726-42a9-87f5-d13f3d2976ac} - C:\Program Files\Windows Live\Family Safety\fssbho.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /F "C:\WINDOWS\system32\config\SYSTEM~1\LOCALS~1\Temp\E_S15B.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [PlatriumWeather] "C:\Program Files\Platrium\bin\1.2.103.0\Weather.exe" -auto
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "Q:\iTunesHelper.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [fssui] "C:\Program Files\Windows Live\Family Safety\fsui.exe" -autorun
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /M "Stylus DX3800" /EF "HKCU"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [DAEMON Tools Lite] "N:\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_01] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\eHome" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_03] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\pchealth" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_04] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\Srchasst" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_05] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\system32\Oobe" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_06] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\Help\Tours" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_07] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\system32\Inetsrv" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_08] cmd.exe /c md "%USERPROFILE%\Local Settings\Temp" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_09] rundll32 advpack.dll,DelNodeRunDLL32 "%SystemRoot%\System32\dllcache" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_10] cmd.exe /c md "%SystemRoot%\System32\dllcache" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_11] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_12] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_13] rundll32 advpack.dll,LaunchINFSection nlite.inf,S (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_01] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\eHome" (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

--
End of file - 10830 bytes
Configuration: Windows XP
Firefox 3.0.7

45 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Un ordinateur sous Windows XP affiche un message « you have a security problem » après un nettoyage avec Malwarebytes, et doit être évalué à partir d'un rapport HijackThis. La meilleure réponse propose de tout réinstaller pour revenir à l'état d'origine. Des détails techniques et des logs HijackThis sont mentionnés, mais l'information clé est que le nettoyage seul peut ne pas suffire. En cas de réinstallation, il convient de sauvegarder les données personnelles et de vérifier les pilotes et logiciels préinstallés, car les entrées du journal peuvent refléter des composants légitimes ou des éléments potentiels indésirables.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    re,

    merci, je ne la vois pas probablement parce que combofix n'examine pas ce répertoire.

    ====================
    1. Télécharge The Avenger par Swandog46 sur le Bureau

    http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/

    Clique sur Avenger.zip pour ouvrir le fichier
    Extraire avenger.exe sur le bureau

    2. Copier tout le texte en gras ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):

    Begin copying here:
    
    Files to move:
    c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\userinit.exe | c:\windows\system32\userinit.exe


    IMPORTANT : Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
    si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.


    Ferme toutes les applications et ton navigateur

    3. Maintenant, lance The Avenger en cliquant sur son icône du bureau.

    Vérifie que la case devant "Automatically disable any rootkits found" n'est pas cochée.

    Cclique sur l'icone de droite (en rose et bleu). Le texte va se copier dans la fenêtre.

    Clique sur Execute

    4. The Avenger va automatiquement faire ce qui suit:

    Il va Re-démarrer le système.
    Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le bureau, ceci est NORMAL.
    Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
    The Avenger aura également sauvegardé tous les fichiers, etc., que tu lui as demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.

    5. Pour finir copier/coller le contenu du ficher c:\avenger.txt dans ta réponse
    2
    1. angele2388
       
      je crois que sa a tué mon ordinateur, il s'allume et s'eteint sans arret, sans afficher mon buro donc je ne peut rien faire !! et au bout d e15 min il s'eteint sans se rallumer

      ya t'il une solution ? ou dois je abandonner l'afaire !

      merci de votre aide
      0
  2. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    si tu es prête à le retrouver dans l'état où il était quand tu l'as acheté,

    tu vérifies bien que tu as la clé à 25 caractères, tu mets ton CD dans le lecteur, tu fais redémarrer l'ordi et tu suis les instructions.

    Tu mets à jour Windows et Internet explorer.

    Tu installes un antivirus. Je te conseille vivement de préférer Antivir à Avast :

    https://www.malekal.com/avira-free-security-antivirus-gratuit/

    =================

    Quand ça s'est fait,

    Télécharge ici :

    http://images.malwareremoval.com/random/RSIT.exe

    random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.

    Double-clique sur RSIT.exe afin de lancer RSIT.

    Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions).

    Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

    Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

    Poste le contenu de log.txt (<<qui sera affiché)
    .

    NB : Les rapports sont sauvegardés dans le dossier C:\rsit
    2
  3. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    Bonjour ;

    Télécharge Toolbar-S&D (Team IDN) sur ton Bureau.
    https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2

    * Lance l'installation du programme en exécutant le fichier téléchargé.
    * Double-clique maintenant sur le raccourci de Toolbar-S&D.
    * Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.
    * Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche.
    * Poste le rapport généré. (C:\TB.txt)

    Ensuite :

    Télécharges AD-Remover sur ton bureau :

    /!\ Déconnectes toi et fermes toutes applications en cours

    ? Double clique sur le programme d'installation , et installe le dans son emplacement par défaut. ( C:\Program files )
    ? Double clique sur l'icône Ad-removersituée sur ton bureau
    ? Au menu principal choisi l'option "A"
    ? Postes le rapport qui apparait à la fin .

    ( le rapport est sauvegardé aussi sous C:\Ad-report(date).log )

    (CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    Note :

    "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
    1
  4. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    à la demande de jfkpresident.

    Ouvre l'explorateur Windows, cherche

    c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\userinit.exe

    Fais un clic droit dessus et Copier.

    Mets le curseur dans un coin vide de la fenêtre de droite et clic droit et Coller.

    Un fichier" copie de userinit.exe" a du s'être créé.

    ===============

    Copie ou imprime les instructions avant

    Déconnecte toi d'internet et ferme toutes tes applications.

    Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)

    Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

    KillAll::
    
    AtJob::
     
    FCopy::
    c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\userinit.exe | c:\windows\system32\userinit.exe 


    Enregistre ce fichier sous le nom CFscript

    Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe

    Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

    Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

    Ne touche à rien tant que le scan n'est pas terminé.

    Réactive ton parefeu, ton antivirus, la garde de ton antispyware

    Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

    Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

    Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.
    1
    1. angele2388
       
      voila le rapport (merci de ton aide)

      ComboFix 09-03-22.01 - Administrateur 2009-03-24 10:19:12.2 - NTFSx86
      Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.767.487 [GMT 1:00]
      Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe
      Commutateurs utilisés :: c:\documents and settings\Administrateur\Bureau\CFscript .txt

      AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
      .
      [color=purple]Les fichiers ci-dessous ont été désactivés pendant l'exécution:[/color]
      c:\program files\SuperCopier2\SC2Hook.dll


      (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
      .

      c:\windows\Tasks\At1.job
      c:\windows\Tasks\At10.job
      c:\windows\Tasks\At11.job
      c:\windows\Tasks\At12.job
      c:\windows\Tasks\At13.job
      c:\windows\Tasks\At14.job
      c:\windows\Tasks\At15.job
      c:\windows\Tasks\At16.job
      c:\windows\Tasks\At17.job
      c:\windows\Tasks\At18.job
      c:\windows\Tasks\At19.job
      c:\windows\Tasks\At2.job
      c:\windows\Tasks\At20.job
      c:\windows\Tasks\At21.job
      c:\windows\Tasks\At22.job
      c:\windows\Tasks\At23.job
      c:\windows\Tasks\At24.job
      c:\windows\Tasks\At3.job
      c:\windows\Tasks\At4.job
      c:\windows\Tasks\At5.job
      c:\windows\Tasks\At6.job
      c:\windows\Tasks\At7.job
      c:\windows\Tasks\At8.job
      c:\windows\Tasks\At9.job

      .
      ((((((((((((((((((((((((((((( Fichiers créés du 2009-02-24 au 2009-03-24 ))))))))))))))))))))))))))))))))))))
      .

      2009-03-23 11:04 . 2009-03-23 11:04 578,048 --a------ c:\windows\system32\DllCache\user32.dll
      2009-03-23 11:01 . 2009-03-23 11:01 <REP> d-------- c:\windows\ERUNT
      2009-03-22 21:29 . 2009-03-23 11:19 <REP> d-------- C:\SDFix
      2009-03-22 14:01 . 2009-03-22 14:01 <REP> d-------- c:\windows\system32\xircom
      2009-03-22 14:01 . 2009-03-22 14:01 <REP> d-------- c:\windows\system32\restore
      2009-03-22 14:01 . 2009-03-22 14:01 <REP> d-------- c:\windows\srchasst
      2009-03-22 14:01 . 2009-03-22 14:01 <REP> d-------- c:\program files\microsoft frontpage
      2009-03-22 12:18 . 2009-03-22 12:18 <REP> d-------- c:\program files\Ad-remover
      2009-03-22 12:10 . 2009-03-23 10:55 <REP> d-------- C:\ToolBar SD
      2009-03-22 11:59 . 2009-03-22 11:59 <REP> d-------- c:\program files\Trend Micro
      2009-03-21 19:00 . 2009-03-21 19:00 <REP> dr------- c:\documents and settings\NetworkService\Favoris
      2009-03-21 18:22 . 2009-03-21 18:22 76,288 --a------ c:\windows\system32\3k560Dh5.exe
      2009-03-13 00:40 . 2009-03-16 12:36 117 --a------ c:\windows\crywmvtoavi.ini
      2009-03-12 23:14 . 2009-03-23 10:55 7,168 --ahs---- c:\windows\Thumbs.db
      2009-03-12 20:44 . 2009-03-12 20:45 <REP> d-------- C:\My Video
      2009-03-12 20:44 . 2009-03-16 12:36 5 --a------ c:\windows\system32\SySwmvtoavi.dat
      2009-03-12 20:31 . 2009-03-12 20:31 530,054 --a------ C:\output.avi
      2009-03-11 20:35 . 2006-10-07 17:43 502,784 --a------ c:\windows\x2.64.exe
      2009-03-11 20:35 . 2005-02-28 13:16 240,128 --a------ c:\windows\system32\x.264.exe
      2009-03-11 20:35 . 2006-04-12 09:47 217,073 --a------ c:\windows\meta4.exe
      2009-03-11 20:35 . 2004-01-25 00:00 70,656 --a------ c:\windows\system32\yv12vfw.dll
      2009-03-11 20:35 . 2004-01-25 00:00 70,656 --a------ c:\windows\system32\i420vfw.dll
      2009-03-11 20:35 . 2006-04-05 08:09 66,560 --a------ c:\windows\MOTA113.exe
      2009-03-11 20:35 . 2005-07-14 12:31 27,648 --a------ c:\windows\system32\AVSredirect.dll
      2009-03-11 20:34 . 2005-02-12 23:00 186,880 -r-hs---- c:\windows\system32\RLOgg.ax
      2009-03-11 20:34 . 2005-01-17 23:26 179,200 -r-hs---- c:\windows\system32\DiracSplitter.ax
      2009-03-11 20:34 . 2006-08-16 14:53 175,104 -r-hs---- c:\windows\system32\CoreAAC.ax
      2009-03-11 20:34 . 2005-02-05 23:00 92,672 -r-hs---- c:\windows\system32\RLVorbisDec.ax
      2009-03-11 20:34 . 2005-02-22 16:55 81,920 -r-hs---- c:\windows\system32\aac_parser.ax
      2009-03-11 20:34 . 2005-02-12 23:00 67,584 -r-hs---- c:\windows\system32\RLTheoraDec.ax
      2009-03-11 20:34 . 2005-02-12 23:00 51,712 -r-hs---- c:\windows\system32\RLSpeexDec.ax

      .
      (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2009-03-24 09:23 --------- d-----w c:\program files\SuperCopier2
      2009-02-18 13:21 --------- d-----w c:\program files\Windows Live
      2009-02-17 11:58 --------- d-----w c:\program files\Zylom Games
      2009-02-15 22:14 --------- d-----w c:\documents and settings\All Users\Application Data\Zylom
      2009-02-15 22:14 --------- d-----w c:\documents and settings\Administrateur\Application Data\Zylom
      2009-02-11 09:19 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
      2009-02-11 09:19 15,504 ----a-w c:\windows\system32\drivers\mbam.sys
      2009-02-06 18:39 308,600 ----a-w c:\windows\WLXPGSS.SCR
      2008-03-03 17:37 47,360 ----a-w c:\documents and settings\Administrateur\Application Data\pcouffin.sys
      2007-09-30 15:03 1,440 ----a-w c:\documents and settings\Administrateur\Application Data\filterclsid.dat
      2007-04-02 13:45 87,608 ----a-w c:\documents and settings\Administrateur\Application Data\ezpinst.exe
      2005-12-04 23:12 20,640 ----a-w c:\windows\inf\pxhelp20.sys
      .

      ------- Sigcheck -------

      2008-04-13 20:20 361344 93ea8d04ec73a85db02eb8805988f733 c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\tcpip.sys
      2006-09-09 14:49 360576 c7be59b07c6eb74bea6fd67c1b164015 c:\windows\system32\drivers\tcpip.sys

      2004-08-04 05:54 1227264 e28d16a8d63eca6246921fdf7cbde42a c:\windows\explorer.exe
      2004-08-04 05:54 1227264 e28d16a8d63eca6246921fdf7cbde42a c:\windows\icon_TMP\explorer.exe
      2008-04-14 03:34 1037824 f2317622d29f9ff0f88aeecd5f60f0dd c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\explorer.exe
      2004-08-04 05:54 1036288 4c33e5b9a6197b6ed215f6cfba0a2daa c:\windows\system_backup\explorer.exe

      2008-04-14 03:34 26624 e74ddb12188c2ff57a78624dbf7332fc c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\userinit.exe
      md5deep: c:\windows\system32\userinit.exe: Permission denied
      .
      ((((((((((((((((((((((((((((( SnapShot@2009-03-22_14.05.08.51 )))))))))))))))))))))))))))))))))))))))))
      .
      + 2008-08-07 14:27:04 163,328 ----a-w c:\windows\ERUNT\SDFIX\ERDNT.EXE
      + 2009-03-23 10:02:10 6,598,656 ----a-w c:\windows\ERUNT\SDFIX\Users\[u]0[/u]0000001\NTUSER.DAT
      + 2009-03-23 10:02:10 172,032 ----a-w c:\windows\ERUNT\SDFIX\Users\[u]0[/u]0000002\UsrClass.dat
      + 2008-08-07 14:27:04 163,328 ----a-w c:\windows\ERUNT\SDFIX_First_Run\ERDNT.EXE
      + 2009-03-23 10:01:54 6,598,656 ----a-w c:\windows\ERUNT\SDFIX_First_Run\Users\[u]0[/u]0000001\NTUSER.DAT
      + 2009-03-23 10:01:54 172,032 ----a-w c:\windows\ERUNT\SDFIX_First_Run\Users\[u]0[/u]0000002\UsrClass.dat
      + 2009-03-24 09:23:25 16,384 ----atw c:\windows\system32\config\systemprofile\Local Settings\Temp\Perflib_Perfdata_4e0.dat
      + 2009-03-24 09:02:39 16,384 ----atw c:\windows\system32\config\systemprofile\Local Settings\Temp\Perflib_Perfdata_594.dat
      + 2009-03-24 09:23:24 16,384 ----atw c:\windows\system32\config\systemprofile\Local Settings\Temp\Perflib_Perfdata_69c.dat
      .
      ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
      REGEDIT4

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
      "SuperCopier2.exe"="c:\program files\SuperCopier2\SuperCopier2.exe" [2006-07-07 1052672]
      "MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2009-02-06 3885408]
      "AlcoholAutomount"="c:\program files\Alcohol Soft\Alcohol 120\axcmd.exe" [2008-03-20 217544]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-11-22 344064]
      "avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 78008]
      "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-11-30 136600]
      "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-11-04 413696]
      "iTunesHelper"="Q:\iTunesHelper.exe" [2008-11-20 290088]
      "fssui"="c:\program files\Windows Live\Family Safety\fsui.exe" [2009-02-06 454000]
      "SoundMan"="SOUNDMAN.EXE" [2006-06-21 c:\windows\SOUNDMAN.EXE]
      "AGRSMMSG"="AGRSMMSG.exe" [2003-05-23 c:\windows\AGRSMMSG.exe]
      "Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2006-07-19 c:\windows\KHALMNPR.Exe]

      [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]
      "Picasa Media Detector"="o:\picasa2\PicasaMediaDetector.exe" [2007-10-23 443968]

      c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
      Logitech SetPoint.lnk - c:\program files\Logitech\SetPoint\SetPoint.exe [2007-03-25 671744]

      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
      "ForceClassicControlPanel"= 1 (0x1)

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
      "NoSMConfigurePrograms"= 1 (0x1)

      [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
      "NoSMHelp"= 1 (0x1)
      "NoSMConfigurePrograms"= 1 (0x1)
      "StartMenuLogoff"= 1 (0x1)

      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
      "VIDC.I420"= i420vfw.dll

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
      "EnableFirewall"= 0 (0x0)
      "DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
      "%windir%\\system32\\sessmgr.exe"=
      "c:\\Program Files\\FlashFXP\\FlashFXP.exe"=
      "c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
      "c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
      "q:\\iTunes.exe"=
      "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
      "c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
      "10060:TCP"= 10060:TCP:BitComet 10060 TCP
      "10060:UDP"= 10060:UDP:BitComet 10060 UDP
      "7995:TCP"= 7995:TCP:BitComet 7995 TCP
      "7995:UDP"= 7995:UDP:BitComet 7995 UDP

      R0 ATIIDE;ATIIDE;c:\windows\system32\drivers\atiide.sys [2006-09-09 6016]
      R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-08-24 78416]
      R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2008-08-24 20560]
      R2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr_tdi.sys [2008-12-17 55136]
      R2 fsssvc;Windows Live Contrôle parental;c:\program files\Windows Live\Family Safety\fsssvc.exe [2009-02-06 533360]
      R2 LBeepKE;LBeepKE;c:\windows\system32\drivers\LBeepKE.sys [2007-03-25 3712]
      R2 SeaPort;SeaPort;c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe [2009-01-14 226656]
      S1 vdrv8000;vdrv8000;c:\windows\system32\DRIVERS\vdrv8000.sys --> c:\windows\system32\DRIVERS\vdrv8000.sys [?]

      --- Autres Services/Pilotes en mémoire ---

      *Deregistered* - mchInjDrv
      .
      Contenu du dossier 'Tâches planifiées'

      2009-03-18 c:\windows\Tasks\AppleSoftwareUpdate.job
      - c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
      .
      .
      ------- Examen supplémentaire -------
      .
      mWindow Title =
      uInternet Connection Wizard,ShellNext = https://login.live.com/ppsecure/sha1auth.srf?lc=1036
      uInternet Settings,ProxyOverride = *.local
      IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
      FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\izg03voh.default\
      FF - prefs.js: browser.search.selectedEngine - Live Search
      FF - prefs.js: browser.startup.homepage - hxxp://go.microsoft.com/fwlink/?LinkId=69157
      FF - prefs.js: keyword.URL - hxxp://search.live.com/results.aspx?mkt=fr-FR&FORM=MIMWA5&q=
      FF - plugin: c:\documents and settings\All Users\Application Data\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
      FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
      FF - plugin: c:\program files\Mozilla Firefox\plugins\npunagi2.dll
      FF - plugin: c:\program files\Mozilla Firefox\plugins\npzylomgamesplayer.dll
      FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
      FF - plugin: q:\mozilla plugins\npitunes.dll

      ---- PARAMETRES FIREFOX ----
      FF - user.js: yahoo.homepage.dontask - true.

      **************************************************************************

      catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2009-03-24 10:23:57
      Windows 5.1.2600 Service Pack 2 NTFS

      Recherche de processus cachés ...

      Recherche d'éléments en démarrage automatique cachés ...

      Recherche de fichiers cachés ...

      Scan terminé avec succès
      Fichiers cachés: 0

      **************************************************************************

      [HKEY_LOCAL_MACHINE\System\ControlSet013\Services\mchInjDrv]
      "ImagePath"="\??\c:\docume~1\ADMINI~1\LOCALS~1\Temp\mc24.tmp"
      .
      --------------------- DLLs chargées dans les processus actifs ---------------------

      - - - - - - - > 'winlogon.exe'(496)
      c:\windows\system32\Ati2evxx.dll
      .
      ------------------------ Autres processus actifs ------------------------
      .
      c:\windows\system32\ati2evxx.exe
      c:\windows\system32\ati2evxx.exe
      c:\windows\system32\userinit.exe
      c:\program files\Alwil Software\Avast4\aswUpdSv.exe
      c:\program files\Alwil Software\Avast4\ashServ.exe
      c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
      c:\program files\Bonjour\mDNSResponder.exe
      c:\program files\Java\jre6\bin\jqs.exe
      c:\program files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
      c:\program files\Alwil Software\Avast4\ashMaiSv.exe
      c:\program files\Alwil Software\Avast4\ashWebSv.exe
      c:\windows\system32\wbem\wmiapsrv.exe
      c:\program files\Alwil Software\Avast4\ashDisp.exe
      c:\program files\iPod\bin\iPodService.exe
      c:\program files\Fichiers communs\Logitech\khalshared\KHALMNPR.exe
      .
      **************************************************************************
      .
      Heure de fin: 2009-03-24 10:29:03 - La machine a redémarré
      ComboFix-quarantined-files.txt 2009-03-24 09:28:20
      ComboFix2.txt 2009-03-22 13:07:41

      Avant-CF: 9 058 566 144 octets libres
      Après-CF: 9,068,027,904 octets libres

      Current=13 Default=13 Failed=12 LastKnownGood=14 Sets=1,2,3,4,5,6,7,8,9,10,11,12,13,14
      234
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    Télécharge SmitfraudFix (de S!Ri) :

    Enregistre-le sur le Bureau

    Double-clique sur SmitfraudFix.exe et choisis l'option 1 puis Entrée

    Un rapport sera généré, poste-le dans ta prochaine réponse stp.

    Tutoriel illustré
    0
  7. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    slt

    je laisse la main a jfk
    0
  8. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    Trop de monde sur ce topique ....Je vous laisse la place .
    0
  9. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    non va y :)
    0
  10. angele2388
     
    merci pour vo reponses

    voila mon rapport avc toobllar

    -----------\\ ToolBar S&D 1.2.8 XP/Vista

    Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
    X86-based PC ( Uniprocessor Free : Intel(R) Celeron(R) CPU 2.60GHz )
    BIOS : BIOS Date: 10/20/03 15:02:30 Ver: 08.00.09
    USER : Administrateur ( Administrator )
    BOOT : Normal boot
    C:\ (Local Disk) - NTFS - Total:19 Go (Free:7 Go)
    D:\ (Local Disk) - NTFS - Total:39 Go (Free:38 Go)
    E:\ (USB)
    F:\ (USB)
    G:\ (CD or DVD)
    H:\ (USB)
    I:\ (Local Disk) - NTFS - Total:14 Go (Free:13 Go)
    J:\ (Local Disk) - NTFS - Total:1 Go (Free:1 Go)
    K:\ (CD or DVD)
    L:\ (CD or DVD)
    M:\ (Local Disk) - NTFS - Total:48 Go (Free:36 Go)
    N:\ (Local Disk) - NTFS - Total:48 Go (Free:36 Go)
    O:\ (Local Disk) - NTFS - Total:48 Go (Free:48 Go)
    P:\ (Local Disk) - NTFS - Total:78 Go (Free:26 Go)
    Q:\ (Local Disk) - NTFS - Total:73 Go (Free:55 Go)
    S:\ (USB)

    "C:\ToolBar SD" ( MAJ : 21-12-2008|20:47 )
    Option : [1] ( 22/03/2009|12:11 )

    -----------\\ Recherche de Fichiers / Dossiers ...

    -----------\\ Extensions

    (Administrateur) - {37E4D8EA-8BDA-4831-8EA1-89053939A250} => pdfdownload
    (Administrateur) - {635abd67-4fe9-1b23-4f01-e679fa7484c1} => ytoolbar
    (Administrateur) - {7b821b0e-b102-4f9b-b6e3-433ede1fe379} => torrentbar
    (Administrateur) - {a7c6cf7f-112c-4500-a7ea-39801a327e5f} => fireftp
    (Administrateur) - {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} => adblockplus
    (Administrateur) - {dd30bf68-268a-4815-ad48-8740b774c764} => redcats_green
    (Administrateur) - {EEE6C361-6118-11DC-9C72-001320C79847} => sweetim-toolbar

    -----------\\ [..\Internet Explorer\Main]

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
    "Start Page"="https://www.msn.com/fr-fr/?ocid=iehp"
    "Search Page"="https://www.bing.com/?fdr=lc&toHttps=1&redig=FA6AD360E0BE4C719380F8C470A3D3A8"
    "Search Bar"="http://www.bing.com/spresults.aspx"

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
    "Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
    "Default_Search_URL"="https://actus.sfr.fr"
    "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
    "Start Page"="http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home"
    "Search Bar"="https://www.bing.com/?toHttps=1&redig=8F3F334EA60E4B1CB4D040DCFE393A89{SUB_RFC1766}/srchasst/srchasst.htm"

    --------------------\\ Recherche d'autres infections

    C:\WINDOWS\Tasks\At1.job
    C:\WINDOWS\Tasks\At10.job
    C:\WINDOWS\Tasks\At11.job
    C:\WINDOWS\Tasks\At12.job
    C:\WINDOWS\Tasks\At13.job
    C:\WINDOWS\Tasks\At14.job
    C:\WINDOWS\Tasks\At15.job
    C:\WINDOWS\Tasks\At16.job
    C:\WINDOWS\Tasks\At17.job
    C:\WINDOWS\Tasks\At18.job
    C:\WINDOWS\Tasks\At19.job
    C:\WINDOWS\Tasks\At2.job
    C:\WINDOWS\Tasks\At20.job
    C:\WINDOWS\Tasks\At21.job
    C:\WINDOWS\Tasks\At22.job
    C:\WINDOWS\Tasks\At23.job
    C:\WINDOWS\Tasks\At24.job
    C:\WINDOWS\Tasks\At3.job
    C:\WINDOWS\Tasks\At4.job
    C:\WINDOWS\Tasks\At5.job
    C:\WINDOWS\Tasks\At6.job
    C:\WINDOWS\Tasks\At7.job
    C:\WINDOWS\Tasks\At8.job
    C:\WINDOWS\Tasks\At9.job

    --------------------\\ ROOTKIT !!

    Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet012\Enum\Root\LEGACY_TDSSSERV]
    Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet013\Enum\Root\LEGACY_TDSSSERV]
    Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet014\Enum\Root\LEGACY_TDSSSERV]
    Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDSSSERV]
    Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\tdssserv]
    Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet006\Services\tdssserv]
    Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet007\Services\tdssserv]
    Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet008\Services\tdssserv]
    Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet009\Services\tdssserv]
    Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet010\Services\tdssserv]
    Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet011\Services\tdssserv]
    Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet012\Services\tdssserv]
    Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet013\Services\tdssserv]
    Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet014\Services\tdssserv]
    Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tdssserv]

    1 - "C:\ToolBar SD\TB_1.txt" - 22/03/2009|12:15 - Option : [1]

    -----------\\ Fin du rapport a 12:15:40,92
    0
  11. Utilisateur anonyme
     
    ancienneté oblige ;)
    je vous regarde :-)
    0
  12. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    Rootkit TDSS ..............arffff !

    Angele : colle moi ensuite le rapport de AD-Remover ,please .
    0
  13. angele2388
     
    voila l'autre rapport ! encore merci

    ------- LOGFILE OF AD-REMOVER 1.1.2.0 | ONLY XP/VISTA -------

    Updated by C_XX on 22/03/2009 at 10:00
    Contact: AdRemover.contact@gmail.com
    Website: http://pagesperso-orange.fr/FindyKill.Ad.Remover/

    Start at: 12:20:46, Dim 22/03/2009 | Boot mode: Normal Boot
    Option: SCAN | Executed from: C:\Program Files\Ad-remover\Ad-remover.bat
    Operating System: Microsoft® Windows XP™ Service Pack 2 (version 5.1.2600)
    Computer Name: SWEET-152D494D0
    Current User: Administrateur - Administrator
    Drive(s):
    - C:\ (File System: NTFS)
    - D:\ (File System: NTFS)
    - I:\ (File System: NTFS)
    - J:\ (File System: NTFS)
    - M:\ (File System: NTFS)
    - N:\ (File System: NTFS)
    - O:\ (File System: NTFS)
    - P:\ (File System: NTFS)
    - Q:\ (File System: NTFS)
    System Drive: C:\
    Windows Directory: C:\WINDOWS\
    System Directory: C:\WINDOWS\System32\

    --- Running Processes: 53

    +-----------------| Boonty/Boonty Games Elements Found:

    Service: Boonty Games
    .
    HKCR\boontybox
    HKCU\Software\Boonty
    HKLM\Software\Boonty
    HKLM\Software\Classes\boontybox
    HKLM\System\CurrentControlSet\Services\Boonty Games
    .
    C:\Program Files\Fichiers communs\BOONTY Shared
    C:\Documents and Settings\All Users\Application Data\BOONTY

    +-----------------| Eorezo Elements Found:

    .

    +-----------------| Infected Poker Softwares Elements Found:

    HKCU\Software\Grand Virtual
    .

    +-----------------| FunWebProducts/MyWay/MyWebSearch Elements Found:

    .
    .

    +-----------------| It's TV Elements Found:

    .

    +-----------------| Sweetim Elements Found:

    HKCU\Software\SweetIM
    HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35B-6118-11DC-9C72-001320C79847}
    HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35C-6118-11DC-9C72-001320C79847}
    HKLM\Software\SweetIM
    HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{EEE6C35B-6118-11DC-9C72-001320C79847}
    HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Components\980289C22F80A7C4BB9323DC61255E4E
    HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Components\FA96423FE2B98E248A3B23548D1E22D9
    .
    C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\izg03voh.default\searchplugins\sweetim.xml
    C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\izg03voh.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}
    C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\izg03voh.default\SweetIMToolbarData
    C:\Documents and Settings\All Users\Application Data\SweetIM

    ============ Other Adwares Found ============

    .
    .
    C:\Program Files\Conduit
    C:\Documents and Settings\Administrateur\Cookies\administrateur@atdmt[1].txt

    +-----------------| Added Scan:

    ---- Mozilla FireFox Version 3.0.7 ----

    ProfilePath: izg03voh.default (Administrateur)
    .
    Prefs.js: Browser.Search.SelectedEngine: "Live Search"
    .
    .
    .
    .
    .

    ---- Internet Explorer Version 6.0.2900.2180 ----

    +-[HKEY_CURRENT_USER\..\Internet Explorer\Main]

    Search bar: hxxp://search.live.com/sphome.aspx
    Search Page: hxxp://search.live.com
    Start page: hxxp://go.microsoft.com/fwlink/?LinkId=69157

    +-[HKEY_USERS\S-1-5-21-789336058-854245398-1417001333-500\..\Internet Explorer\Main]

    Search bar: hxxp://search.live.com/sphome.aspx
    Search Page: hxxp://search.live.com
    Start page: hxxp://go.microsoft.com/fwlink/?LinkId=69157

    +-[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]

    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Default_Search_URL: hxxp://recherche.neuf.fr/
    Search bar: hxxp://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Start page: hxxp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home

    +-[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]

    +---------------------------------------------------------------------------+

    4036 Byte(s) - C:\Ad-Report-Scan-22.03.2009.log

    0 File(s) - C:\Program Files\Ad-remover\TOOLS\BACKUP
    0 File(s) - C:\Program Files\Ad-remover\TOOLS\QUARANTINE

    End at: 12:35:50 | 22/03/2009
    .
    +-----------------| E.O.F - 89 Lines
    .
    0
  14. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    On va commencer par supprimer ces adwares :

    Relance Toolbar-S&D en double-cliquant sur le raccourci. Tape sur "2" puis valide en appuyant sur "Entrée".
    ! Ne ferme pas la fenêtre lors de la suppression !
    Un rapport sera généré, poste son contenu ici.

    ========================
    ! Déconnectes toi et fermes toutes applications en cours !

    ? Relances "Ad-remover" : au menu principal choisi l'option "B" .

    ? A l'écran de sélection, choisi le chiffre à gauche de ces lignes en validant par ENTREE à chaque fois :

    Suppression Boonty/BoontyGames
    Suppression Eorezo
    Suppression Everest Poker
    Suppression Funwebproduct/MyWay/MyWebsearch
    Suppression Messenger Skinner
    Suppression Sweetim

    ? Puis choisi "S" , le programme va travailler,

    ? Postes le rapport qui apparait à la fin.

    ( le rapport est sauvegardé aussi sous C:\Ad-report(date).log )

    (CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    /!\ Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides)

    =====================
    Ensuite on va s'occuper de la plus grosse partie ,ce satané rogue :

    Télécharges ComboFix à partir d'un de ces liens :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    https://forospyware.com
    http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/

    Et important, enregistre le sur le bureau.

    Avant d'utiliser ComboFix :

    ? Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

    ? Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
    la protection en temps réel de ton Antivirus et de tes Antispywares,
    qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

    Renomme combofix en scan.exe .

    Une fois fait, sur ton bureau double-clic sur Scan.exe.

    - Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

    /!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

    - En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

    - Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt,.
    est automatiquement sauvegardé et rangé à C:\Combofix.txt)

    ? Réactive la protection en temps réel de ton Antivirus et de tes Antispywares,
    avant de te reconnecter à internet.

    ? Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
    0
  15. angele2388
     
    1er rapport tooblar (merci infiniment de ton aide !)
    -----------\\ ToolBar S&D 1.2.8 XP/Vista

    Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
    X86-based PC ( Uniprocessor Free : Intel(R) Celeron(R) CPU 2.60GHz )
    BIOS : BIOS Date: 10/20/03 15:02:30 Ver: 08.00.09
    USER : Administrateur ( Administrator )
    BOOT : Normal boot
    C:\ (Local Disk) - NTFS - Total:19 Go (Free:7 Go)
    D:\ (Local Disk) - NTFS - Total:39 Go (Free:38 Go)
    E:\ (USB)
    F:\ (USB)
    G:\ (CD or DVD)
    H:\ (USB)
    I:\ (Local Disk) - NTFS - Total:14 Go (Free:13 Go)
    J:\ (Local Disk) - NTFS - Total:1 Go (Free:1 Go)
    K:\ (CD or DVD)
    L:\ (CD or DVD)
    M:\ (Local Disk) - NTFS - Total:48 Go (Free:36 Go)
    N:\ (Local Disk) - NTFS - Total:48 Go (Free:36 Go)
    O:\ (Local Disk) - NTFS - Total:48 Go (Free:48 Go)
    P:\ (Local Disk) - NTFS - Total:78 Go (Free:26 Go)
    Q:\ (Local Disk) - NTFS - Total:73 Go (Free:55 Go)
    S:\ (USB)

    "C:\ToolBar SD" ( MAJ : 21-12-2008|20:47 )
    Option : [2] ( 22/03/2009|13:04 )

    -----------\\ Recherche de Fichiers / Dossiers ...

    -----------\\ Extensions

    (Administrateur) - {37E4D8EA-8BDA-4831-8EA1-89053939A250} => pdfdownload
    (Administrateur) - {635abd67-4fe9-1b23-4f01-e679fa7484c1} => ytoolbar
    (Administrateur) - {7b821b0e-b102-4f9b-b6e3-433ede1fe379} => torrentbar
    (Administrateur) - {a7c6cf7f-112c-4500-a7ea-39801a327e5f} => fireftp
    (Administrateur) - {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} => adblockplus
    (Administrateur) - {dd30bf68-268a-4815-ad48-8740b774c764} => redcats_green
    (Administrateur) - {EEE6C361-6118-11DC-9C72-001320C79847} => sweetim-toolbar

    -----------\\ [..\Internet Explorer\Main]

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
    "Start Page"="https://www.msn.com/fr-fr/?ocid=iehp"
    "Search Page"="https://www.bing.com/?fdr=lc&toHttps=1&redig=FA6AD360E0BE4C719380F8C470A3D3A8"
    "Search Bar"="http://www.bing.com/spresults.aspx"

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
    "Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
    "Default_Search_URL"="https://actus.sfr.fr"
    "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
    "Start Page"="https://www.msn.com/fr-fr/"
    "Search Bar"="https://www.bing.com/?toHttps=1&redig=8F3F334EA60E4B1CB4D040DCFE393A89{SUB_RFC1766}/srchasst/srchasst.htm"

    --------------------\\ Recherche d'autres infections

    C:\WINDOWS\Tasks\At1.job
    C:\WINDOWS\Tasks\At10.job
    C:\WINDOWS\Tasks\At11.job
    C:\WINDOWS\Tasks\At12.job
    C:\WINDOWS\Tasks\At13.job
    C:\WINDOWS\Tasks\At14.job
    C:\WINDOWS\Tasks\At15.job
    C:\WINDOWS\Tasks\At16.job
    C:\WINDOWS\Tasks\At17.job
    C:\WINDOWS\Tasks\At18.job
    C:\WINDOWS\Tasks\At19.job
    C:\WINDOWS\Tasks\At2.job
    C:\WINDOWS\Tasks\At20.job
    C:\WINDOWS\Tasks\At21.job
    C:\WINDOWS\Tasks\At22.job
    C:\WINDOWS\Tasks\At23.job
    C:\WINDOWS\Tasks\At24.job
    C:\WINDOWS\Tasks\At3.job
    C:\WINDOWS\Tasks\At4.job
    C:\WINDOWS\Tasks\At5.job
    C:\WINDOWS\Tasks\At6.job
    C:\WINDOWS\Tasks\At7.job
    C:\WINDOWS\Tasks\At8.job
    C:\WINDOWS\Tasks\At9.job

    --------------------\\ ROOTKIT !!

    Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet012\Enum\Root\LEGACY_TDSSSERV]
    Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet013\Enum\Root\LEGACY_TDSSSERV]
    Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet014\Enum\Root\LEGACY_TDSSSERV]
    Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDSSSERV]
    Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\tdssserv]
    Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet006\Services\tdssserv]
    Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet007\Services\tdssserv]
    Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet008\Services\tdssserv]
    Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet009\Services\tdssserv]
    Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet010\Services\tdssserv]
    Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet011\Services\tdssserv]
    Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet012\Services\tdssserv]
    Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet013\Services\tdssserv]
    Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet014\Services\tdssserv]
    Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tdssserv]

    1 - "C:\ToolBar SD\TB_1.txt" - 22/03/2009|12:15 - Option : [1]
    2 - "C:\ToolBar SD\TB_2.txt" - 22/03/2009|13:07 - Option : [2]

    -----------\\ Fin du rapport a 13:07:39,62
    0
    1. angele2388
       
      second raport (le "you have a security probleme a disparu)
      ------- LOGFILE OF AD-REMOVER 1.1.2.0 | ONLY XP/VISTA -------

      Updated by C_XX on 22/03/2009 at 10:00
      Contact: AdRemover.contact@gmail.com
      Website: http://pagesperso-orange.fr/FindyKill.Ad.Remover/

      **** LIMITED TO ****

      Boonty/BoontyGames
      Eorezo
      Infected Poker Softwares
      FunWebProduct/MyWay/MyWebSearch
      Sweetim

      ********************

      Start at: 13:13:12, Dim 22/03/2009 | Boot mode: Normal Boot
      Option: CLEAN | Executed from: C:\Program Files\Ad-remover\Ad-remover.bat
      Operating System: Microsoft® Windows XP™ Service Pack 2 (version 5.1.2600)
      Computer Name: SWEET-152D494D0
      Current User: Administrateur - Administrator
      Drive(s):
      - C:\ (File System: NTFS)
      - D:\ (File System: NTFS)
      - I:\ (File System: NTFS)
      - J:\ (File System: NTFS)
      - M:\ (File System: NTFS)
      - N:\ (File System: NTFS)
      - O:\ (File System: NTFS)
      - P:\ (File System: NTFS)
      - Q:\ (File System: NTFS)
      System Drive: C:\
      Windows Directory: C:\WINDOWS\
      System Directory: C:\WINDOWS\System32\

      --- Running Processes: 50

      (!) ---- IE start pages/Tabs reset

      +-----------------| Boonty/Boonty Games Elements Deleted :

      Service: "Boonty Games"
      .
      HKCR\boontybox
      HKCU\Software\Boonty
      HKLM\Software\Boonty
      .
      C:\Program Files\Fichiers communs\BOONTY Shared
      C:\Documents and Settings\All Users\Application Data\BOONTY

      +-----------------| Eorezo Elements Deleted :

      .

      +-----------------| Infected Poker Softwares Elements Deleted :

      HKCU\Software\Grand Virtual
      .

      +-----------------| FunWebProducts/MyWay/MyWebSearch Elements Deleted :

      .
      .

      +-----------------| Sweetim Elements Deleted :

      HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{EEE6C35B-6118-11DC-9C72-001320C79847}
      HKCU\Software\SweetIM
      HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35B-6118-11DC-9C72-001320C79847}
      HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35C-6118-11DC-9C72-001320C79847}
      HKLM\Software\SweetIM
      HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Components\980289C22F80A7C4BB9323DC61255E4E
      HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Components\FA96423FE2B98E248A3B23548D1E22D9
      .
      C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\izg03voh.default\searchplugins\sweetim.xml
      C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\izg03voh.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}
      C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\izg03voh.default\SweetIMToolbarData
      C:\Documents and Settings\All Users\Application Data\SweetIM

      (!) ---- Temp files deleted.
      (!) ---- Recycle bin emptied in all drives.


      +-----------------| Added Scan :

      ---- Mozilla FireFox Version 3.0.7 ----

      ProfilePath: izg03voh.default (Administrateur)
      .
      Prefs.js: Browser.Search.SelectedEngine: "Live Search"
      .
      .
      .
      .
      .

      ---- Internet Explorer Version 6.0.2900.2180 ----

      +-[HKEY_CURRENT_USER\..\Internet Explorer\Main]

      Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
      Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
      Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
      Search Page: hxxp://search.live.com
      Start page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

      +-[HKEY_USERS\S-1-5-21-789336058-854245398-1417001333-500\..\Internet Explorer\Main]

      Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
      Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
      Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
      Search Page: hxxp://search.live.com
      Start page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

      +-[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]

      Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
      Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
      Search bar: hxxp://search.msn.com/spbasic.htm
      Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
      Start page: hxxp://fr.msn.com/

      +-[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]

      Tabs: hxxp://ieframe.dll/tabswelcome.htm

      +---------------------------------------------------------------------------+

      4382 Byte(s) - C:\Ad-Report-Clean-22.03.2009.log
      4276 Byte(s) - C:\Ad-Report-Scan-22.03.2009.log

      2 File(s) - C:\Program Files\Ad-remover\TOOLS\BACKUP
      1 File(s) - C:\Program Files\Ad-remover\TOOLS\QUARANTINE

      End at: 13:18:37 | 22/03/2009
      .
      +-----------------| E.O.F - 95 Lines
      .
      0
  16. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    (le "you have a security probleme a disparu) 


    Oui mais ce n'est pas fini ,il reste un gros poisson :))

    J'attend le rapport Combofix .
    0
  17. angele2388
     
    je part travailler mais j'ai garder vos instructions et je le ferai ce soir en rentrant du boulot !!

    Merci !
    0
  18. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    No soucy ,bon courage pour le boulot -;)
    0
  19. angele2388
     
    j'ai eu le temps d'avoir le compte rendu avant de parti !! il faudra faire autre chose ?
    en tous les cas merci bcp !!!

    ComboFix 09-03-19.02 - Administrateur 2009-03-22 13:57:27.1 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.767.396 [GMT 1:00]
    Lancé depuis: q:\divers vrac\scan.exe..exe

    AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\documents and settings\Administrateur\Application Data\inst.exe
    c:\windows\Downloaded Program Files\UDC6V_0001_D19M0709NetInstaller.exe
    c:\windows\system32\_002592_.tmp.dll
    c:\windows\system32\_002593_.tmp.dll
    c:\windows\system32\_002594_.tmp.dll
    c:\windows\system32\_002595_.tmp.dll
    c:\windows\system32\_002602_.tmp.dll
    c:\windows\system32\_002603_.tmp.dll
    c:\windows\system32\_002604_.tmp.dll
    c:\windows\system32\_002605_.tmp.dll
    c:\windows\system32\_002607_.tmp.dll
    c:\windows\system32\_002608_.tmp.dll
    c:\windows\system32\_002611_.tmp.dll
    c:\windows\system32\_002612_.tmp.dll
    c:\windows\system32\_002614_.tmp.dll
    c:\windows\system32\_002615_.tmp.dll
    c:\windows\system32\_002616_.tmp.dll
    c:\windows\system32\_002618_.tmp.dll
    c:\windows\system32\_002621_.tmp.dll
    c:\windows\system32\_002622_.tmp.dll
    c:\windows\system32\_002626_.tmp.dll
    c:\windows\system32\_002627_.tmp.dll
    c:\windows\system32\_002629_.tmp.dll
    c:\windows\system32\_002631_.tmp.dll
    c:\windows\system32\_002633_.tmp.dll
    c:\windows\system32\_002634_.tmp.dll
    c:\windows\system32\_002635_.tmp.dll
    c:\windows\system32\_002636_.tmp.dll
    c:\windows\system32\_002637_.tmp.dll
    c:\windows\system32\_002640_.tmp.dll
    c:\windows\system32\_002641_.tmp.dll
    c:\windows\system32\_002642_.tmp.dll
    c:\windows\system32\_002643_.tmp.dll
    c:\windows\system32\_002644_.tmp.dll
    c:\windows\system32\_002649_.tmp.dll
    c:\windows\system32\_002651_.tmp.dll

    .
    ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Legacy_OREANS32
    -------\Legacy_TDSSSERV
    -------\Service_oreans32
    -------\Service_tdssserv

    ((((((((((((((((((((((((((((( Fichiers créés du 2009-02-22 au 2009-03-22 ))))))))))))))))))))))))))))))))))))
    .

    2009-03-22 14:01 . 2009-03-22 14:01 <REP> d-------- c:\windows\system32\xircom
    2009-03-22 14:01 . 2009-03-22 14:01 <REP> d-------- c:\windows\system32\restore
    2009-03-22 14:01 . 2009-03-22 14:01 <REP> d-------- c:\windows\srchasst
    2009-03-22 14:01 . 2009-03-22 14:01 <REP> d-------- c:\program files\microsoft frontpage
    2009-03-22 12:18 . 2009-03-22 12:18 <REP> d-------- c:\program files\Ad-remover
    2009-03-22 12:10 . 2009-03-22 13:07 <REP> d-------- C:\ToolBar SD
    2009-03-22 11:59 . 2009-03-22 11:59 <REP> d-------- c:\program files\Trend Micro
    2009-03-21 19:00 . 2009-03-21 19:00 <REP> dr------- c:\documents and settings\NetworkService\Favoris
    2009-03-21 18:22 . 2009-03-21 18:22 76,288 --a------ c:\windows\system32\3k560Dh5.exe
    2009-03-13 00:40 . 2009-03-16 12:36 117 --a------ c:\windows\crywmvtoavi.ini
    2009-03-12 23:14 . 2009-03-17 07:57 7,168 --ahs---- c:\windows\Thumbs.db
    2009-03-12 20:44 . 2009-03-12 20:45 <REP> d-------- C:\My Video
    2009-03-12 20:44 . 2009-03-16 12:36 5 --a------ c:\windows\system32\SySwmvtoavi.dat
    2009-03-12 20:31 . 2009-03-12 20:31 530,054 --a------ C:\output.avi
    2009-03-11 20:35 . 2006-10-07 17:43 502,784 --a------ c:\windows\x2.64.exe
    2009-03-11 20:35 . 2005-02-28 13:16 240,128 --a------ c:\windows\system32\x.264.exe
    2009-03-11 20:35 . 2006-04-12 09:47 217,073 --a------ c:\windows\meta4.exe
    2009-03-11 20:35 . 2004-01-25 00:00 70,656 --a------ c:\windows\system32\yv12vfw.dll
    2009-03-11 20:35 . 2004-01-25 00:00 70,656 --a------ c:\windows\system32\i420vfw.dll
    2009-03-11 20:35 . 2006-04-05 08:09 66,560 --a------ c:\windows\MOTA113.exe
    2009-03-11 20:35 . 2005-07-14 12:31 27,648 --a------ c:\windows\system32\AVSredirect.dll
    2009-03-11 20:34 . 2005-02-12 23:00 186,880 -r-hs---- c:\windows\system32\RLOgg.ax
    2009-03-11 20:34 . 2005-01-17 23:26 179,200 -r-hs---- c:\windows\system32\DiracSplitter.ax
    2009-03-11 20:34 . 2006-08-16 14:53 175,104 -r-hs---- c:\windows\system32\CoreAAC.ax
    2009-03-11 20:34 . 2005-02-05 23:00 92,672 -r-hs---- c:\windows\system32\RLVorbisDec.ax
    2009-03-11 20:34 . 2005-02-22 16:55 81,920 -r-hs---- c:\windows\system32\aac_parser.ax
    2009-03-11 20:34 . 2005-02-12 23:00 67,584 -r-hs---- c:\windows\system32\RLTheoraDec.ax
    2009-03-11 20:34 . 2005-02-12 23:00 51,712 -r-hs---- c:\windows\system32\RLSpeexDec.ax

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2009-03-22 13:01 --------- d-----w c:\program files\SuperCopier2
    2009-02-18 13:21 --------- d-----w c:\program files\Windows Live
    2009-02-17 11:58 --------- d-----w c:\program files\Zylom Games
    2009-02-15 22:14 --------- d-----w c:\documents and settings\All Users\Application Data\Zylom
    2009-02-15 22:14 --------- d-----w c:\documents and settings\Administrateur\Application Data\Zylom
    2009-02-11 09:19 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
    2009-02-11 09:19 15,504 ----a-w c:\windows\system32\drivers\mbam.sys
    2009-02-06 18:39 308,600 ----a-w c:\windows\WLXPGSS.SCR
    2008-03-03 17:37 47,360 ----a-w c:\documents and settings\Administrateur\Application Data\pcouffin.sys
    2007-09-30 15:03 1,440 ----a-w c:\documents and settings\Administrateur\Application Data\filterclsid.dat
    2007-04-02 13:45 87,608 ----a-w c:\documents and settings\Administrateur\Application Data\ezpinst.exe
    2005-12-04 23:12 20,640 ----a-w c:\windows\inf\pxhelp20.sys
    .

    ------- Sigcheck -------

    2008-04-13 20:20 361344 93ea8d04ec73a85db02eb8805988f733 c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\tcpip.sys
    2006-09-09 14:49 360576 c7be59b07c6eb74bea6fd67c1b164015 c:\windows\system32\drivers\tcpip.sys

    2004-08-04 05:54 1227264 e28d16a8d63eca6246921fdf7cbde42a c:\windows\explorer.exe
    2004-08-04 05:54 1227264 e28d16a8d63eca6246921fdf7cbde42a c:\windows\icon_TMP\explorer.exe
    2008-04-14 03:34 1037824 f2317622d29f9ff0f88aeecd5f60f0dd c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\explorer.exe
    2004-08-04 05:54 1036288 4c33e5b9a6197b6ed215f6cfba0a2daa c:\windows\system_backup\explorer.exe

    2008-04-14 03:34 26624 e74ddb12188c2ff57a78624dbf7332fc c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\userinit.exe
    2009-03-21 18:22 47616 2c6f05acf7a8fde4faa83f7f06f21c59 c:\windows\system32\userinit.exe
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
    "SuperCopier2.exe"="c:\program files\SuperCopier2\SuperCopier2.exe" [2006-07-07 1052672]
    "MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2009-02-06 3885408]
    "AlcoholAutomount"="c:\program files\Alcohol Soft\Alcohol 120\axcmd.exe" [2008-03-20 217544]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-11-22 344064]
    "avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 78008]
    "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-11-30 136600]
    "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-11-04 413696]
    "iTunesHelper"="Q:\iTunesHelper.exe" [2008-11-20 290088]
    "fssui"="c:\program files\Windows Live\Family Safety\fsui.exe" [2009-02-06 454000]
    "SoundMan"="SOUNDMAN.EXE" [2006-06-21 c:\windows\SOUNDMAN.EXE]
    "AGRSMMSG"="AGRSMMSG.exe" [2003-05-23 c:\windows\AGRSMMSG.exe]
    "Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2006-07-19 c:\windows\KHALMNPR.Exe]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]
    "Picasa Media Detector"="o:\picasa2\PicasaMediaDetector.exe" [2007-10-23 443968]

    c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    Logitech SetPoint.lnk - c:\program files\Logitech\SetPoint\SetPoint.exe [2007-03-25 671744]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
    "ForceClassicControlPanel"= 1 (0x1)

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
    "NoSMConfigurePrograms"= 1 (0x1)

    [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
    "NoSMHelp"= 1 (0x1)
    "NoSMConfigurePrograms"= 1 (0x1)
    "StartMenuLogoff"= 1 (0x1)

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "VIDC.I420"= i420vfw.dll

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)
    "DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\FlashFXP\\FlashFXP.exe"=
    "c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
    "c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
    "q:\\iTunes.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "10060:TCP"= 10060:TCP:BitComet 10060 TCP
    "10060:UDP"= 10060:UDP:BitComet 10060 UDP
    "7995:TCP"= 7995:TCP:BitComet 7995 TCP
    "7995:UDP"= 7995:UDP:BitComet 7995 UDP

    R0 ATIIDE;ATIIDE;c:\windows\system32\drivers\atiide.sys [2006-09-09 6016]
    R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-08-24 78416]
    R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2008-08-24 20560]
    R2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr_tdi.sys [2008-12-17 55136]
    R2 fsssvc;Windows Live Contrôle parental;c:\program files\Windows Live\Family Safety\fsssvc.exe [2009-02-06 533360]
    R2 LBeepKE;LBeepKE;c:\windows\system32\drivers\LBeepKE.sys [2007-03-25 3712]
    R2 SeaPort;SeaPort;c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe [2009-01-14 226656]
    S1 vdrv8000;vdrv8000;c:\windows\system32\DRIVERS\vdrv8000.sys --> c:\windows\system32\DRIVERS\vdrv8000.sys [?]

    --- Autres Services/Pilotes en mémoire ---

    *NewlyCreated* - HELPSVC
    *Deregistered* - mchInjDrv
    .
    Contenu du dossier 'Tâches planifiées'

    2009-03-18 c:\windows\Tasks\AppleSoftwareUpdate.job
    - c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

    2009-03-21 c:\windows\Tasks\At1.job
    - c:\windows\system32\3k560Dh5.exe [2009-03-21 18:22]

    2009-03-21 c:\windows\Tasks\At10.job
    - c:\windows\system32\3k560Dh5.exe [2009-03-21 18:22]

    2009-03-21 c:\windows\Tasks\At11.job
    - c:\windows\system32\3k560Dh5.exe [2009-03-21 18:22]

    2009-03-21 c:\windows\Tasks\At12.job
    - c:\windows\system32\3k560Dh5.exe [2009-03-21 18:22]

    2009-03-22 c:\windows\Tasks\At13.job
    - c:\windows\system32\3k560Dh5.exe [2009-03-21 18:22]

    2009-03-22 c:\windows\Tasks\At14.job
    - c:\windows\system32\3k560Dh5.exe [2009-03-21 18:22]

    2009-03-21 c:\windows\Tasks\At15.job
    - c:\windows\system32\3k560Dh5.exe [2009-03-21 18:22]

    2009-03-21 c:\windows\Tasks\At16.job
    - c:\windows\system32\3k560Dh5.exe [2009-03-21 18:22]

    2009-03-21 c:\windows\Tasks\At17.job
    - c:\windows\system32\3k560Dh5.exe [2009-03-21 18:22]

    2009-03-21 c:\windows\Tasks\At18.job
    - c:\windows\system32\3k560Dh5.exe [2009-03-21 18:22]

    2009-03-21 c:\windows\Tasks\At19.job
    - c:\windows\system32\3k560Dh5.exe [2009-03-21 18:22]

    2009-03-22 c:\windows\Tasks\At2.job
    - c:\windows\system32\3k560Dh5.exe [2009-03-21 18:22]

    2009-03-21 c:\windows\Tasks\At20.job
    - c:\windows\system32\3k560Dh5.exe [2009-03-21 18:22]

    2009-03-21 c:\windows\Tasks\At21.job
    - c:\windows\system32\3k560Dh5.exe [2009-03-21 18:22]

    2009-03-22 c:\windows\Tasks\At22.job
    - c:\windows\system32\3k560Dh5.exe [2009-03-21 18:22]

    2009-03-21 c:\windows\Tasks\At23.job
    - c:\windows\system32\3k560Dh5.exe [2009-03-21 18:22]

    2009-03-21 c:\windows\Tasks\At24.job
    - c:\windows\system32\3k560Dh5.exe [2009-03-21 18:22]

    2009-03-22 c:\windows\Tasks\At3.job
    - c:\windows\system32\3k560Dh5.exe [2009-03-21 18:22]

    2009-03-21 c:\windows\Tasks\At4.job
    - c:\windows\system32\3k560Dh5.exe [2009-03-21 18:22]

    2009-03-21 c:\windows\Tasks\At5.job
    - c:\windows\system32\3k560Dh5.exe [2009-03-21 18:22]

    2009-03-21 c:\windows\Tasks\At6.job
    - c:\windows\system32\3k560Dh5.exe [2009-03-21 18:22]

    2009-03-21 c:\windows\Tasks\At7.job
    - c:\windows\system32\3k560Dh5.exe [2009-03-21 18:22]

    2009-03-21 c:\windows\Tasks\At8.job
    - c:\windows\system32\3k560Dh5.exe [2009-03-21 18:22]

    2009-03-21 c:\windows\Tasks\At9.job
    - c:\windows\system32\3k560Dh5.exe [2009-03-21 18:22]
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    HKCU-Run-EPSON Stylus DX3800 Series - c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE
    HKCU-Run-DAEMON Tools Lite - n:\daemon tools lite\daemon.exe
    HKLM-Run-EPSON Stylus DX3800 Series - c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE
    Notify-dimsntfy - (no file)

    .
    ------- Examen supplémentaire -------
    .
    mWindow Title =
    uInternet Connection Wizard,ShellNext = https://login.live.com/ppsecure/sha1auth.srf?lc=1036
    uInternet Settings,ProxyOverride = *.local
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
    FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\izg03voh.default\
    FF - prefs.js: browser.search.selectedEngine - Live Search
    FF - prefs.js: browser.startup.homepage - hxxp://go.microsoft.com/fwlink/?LinkId=69157
    FF - prefs.js: keyword.URL - hxxp://search.live.com/results.aspx?mkt=fr-FR&FORM=MIMWA5&q=
    FF - plugin: c:\documents and settings\All Users\Application Data\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
    FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
    FF - plugin: c:\program files\Mozilla Firefox\plugins\npunagi2.dll
    FF - plugin: c:\program files\Mozilla Firefox\plugins\npzylomgamesplayer.dll
    FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
    FF - plugin: q:\mozilla plugins\npitunes.dll

    ---- PARAMETRES FIREFOX ----
    FF - user.js: yahoo.homepage.dontask - true.

    **************************************************************************

    catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2009-03-22 14:02:34
    Windows 5.1.2600 Service Pack 2 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************

    [HKEY_LOCAL_MACHINE\System\ControlSet013\Services\mchInjDrv]
    "ImagePath"="\??\c:\docume~1\ADMINI~1\LOCALS~1\Temp\mc24.tmp"
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'winlogon.exe'(512)
    c:\windows\system32\Ati2evxx.dll
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\windows\system32\ati2evxx.exe
    c:\windows\system32\ati2evxx.exe
    c:\windows\system32\userinit.exe
    c:\program files\Alwil Software\Avast4\aswUpdSv.exe
    c:\program files\Alwil Software\Avast4\ashServ.exe
    c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    c:\program files\Bonjour\mDNSResponder.exe
    c:\program files\Java\jre6\bin\jqs.exe
    c:\program files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
    c:\program files\Alwil Software\Avast4\ashMaiSv.exe
    c:\program files\Alwil Software\Avast4\ashWebSv.exe
    c:\windows\system32\wbem\wmiapsrv.exe
    c:\program files\Alwil Software\Avast4\ashDisp.exe
    c:\program files\Fichiers communs\Logitech\khalshared\KHALMNPR.exe
    c:\program files\iPod\bin\iPodService.exe
    .
    **************************************************************************
    .
    Heure de fin: 2009-03-22 14:07:35 - La machine a redémarré
    ComboFix-quarantined-files.txt 2009-03-22 13:06:50

    Avant-CF: 9 209 155 584 octets libres
    Après-CF: 9,154,846,720 octets libres

    Current=13 Default=13 Failed=12 LastKnownGood=14 Sets=1,2,3,4,5,6,7,8,9,10,11,12,13,14
    287
    0
  20. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    On a envore un peu de boulot ensemble :)

    Il va falloir analyser un ou des fichier(s) suspect(s) !

    Il se peut qu'il se trouvent dans les " dossiers cachés " du systeme.
    Il faut donc les rendre visibles pour le scan.

    Pour afficher les dossiers et fichiers cachés:

    Panneau de configuration > Options des dossiers > onglet Affichage.

    Coche Afficher les fichiers et dossiers cachés,
    Décoche Masquer les extensions de fichiers connus
    Décoche Masquer les fichiers protégés du Système.
    Un message de mise en garde va apparaitre. Clique sur OK pour confirmer ton choix.
    Les fichiers et dossiers cachés du système apparaitront alors dans l'explorateur Windows en transparence.

    Rends toi sur ce site :

    https://www.virustotal.com/gui/

    Clique sur parcourir et cherche ces fichiers : c:\windows\system32\3k560Dh5.exe
    c:\windows\crywmvtoavi.ini
    c:\windows\system32\SySwmvtoavi.dat

    Clique sur Send File.

    Un rapport va s'élaborer ligne à ligne.

    Attends la fin. Il doit comprendre la taille du fichier envoyé.

    Sauvegarde le rapport avec le bloc-note.

    Copie le dans ta réponse.

    0
    1. angele2388
       
      Voila tout ce qu'il m'écrit !

      c:\windows\system32\3k560Dh5.exe
      MD5: c1442f82ee60fd6e7b0599c9ba20a0de
      First received: 2009.03.21 22:17:52 (CET)
      Date 2009.03.21 22:17:52 (CET) [<1D]
      Résultats 1/39
      Permalink: analisis/3beb57f49d27335910d7309b75e15f94








      Fichier crywmvtoavi.ini reçu le 2009.03.22 16:51:34 (CET)
      Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
      Résultat: 0/39 (0%)

      Antivirus Version Dernière mise à jour Résultat
      a-squared 4.0.0.101 2009.03.22 -
      AhnLab-V3 5.0.0.2 2009.03.22 -
      AntiVir 7.9.0.120 2009.03.21 -
      Authentium 5.1.2.4 2009.03.21 -
      Avast 4.8.1335.0 2009.03.21 -
      AVG 8.5.0.283 2009.03.21 -
      BitDefender 7.2 2009.03.22 -
      CAT-QuickHeal 10.00 2009.03.21 -
      ClamAV 0.94.1 2009.03.22 -
      Comodo 1080 2009.03.22 -
      DrWeb 4.44.0.09170 2009.03.22 -
      eSafe 7.0.17.0 2009.03.19 -
      eTrust-Vet 31.6.6409 2009.03.20 -
      F-Prot 4.4.4.56 2009.03.21 -
      F-Secure 8.0.14470.0 2009.03.22 -
      Fortinet 3.117.0.0 2009.03.22 -
      GData 19 2009.03.22 -
      Ikarus T3.1.1.48.0 2009.03.22 -
      K7AntiVirus 7.10.678 2009.03.21 -
      Kaspersky 7.0.0.125 2009.03.22 -
      McAfee 5560 2009.03.21 -
      McAfee+Artemis 5560 2009.03.21 -
      McAfee-GW-Edition 6.7.6 2009.03.21 -
      Microsoft 1.4502 2009.03.22 -
      NOD32 3953 2009.03.21 -
      Norman 6.00.06 2009.03.20 -
      nProtect 2009.1.8.0 2009.03.22 -
      Panda 10.0.0.10 2009.03.22 -
      PCTools 4.4.2.0 2009.03.22 -
      Prevx1 V2 2009.03.22 -
      Rising 21.21.62.00 2009.03.22 -
      Sophos 4.39.0 2009.03.22 -
      Sunbelt 3.2.1858.2 2009.03.21 -
      Symantec 1.4.4.12 2009.03.22 -
      TheHacker 6.3.3.3.287 2009.03.22 -
      TrendMicro 8.700.0.1004 2009.03.22 -
      VBA32 3.12.10.1 2009.03.22 -
      ViRobot 2009.3.20.1658 2009.03.20 -
      VirusBuster 4.6.5.0 2009.03.22 -
      Information additionnelle
      File size: 117 bytes
      MD5...: a1502273a359d591f9098aae47bae46e
      SHA1..: 06115d68bc4ef2d11a12e872bf76777a5b2dc83e
      SHA256: 293c7d5deefbc3086c39626265af4d6116b6c336977f09c4abd355926fa4afcd
      SHA512: 5dee935e86ab148b0614576136dced6aaef831395d7a5aa44e7d28b93a635c45
      8d2d0da20843aedb98b8f1b0c48c68a586152b05292b39e9fcb82f5c630be5e7
      ssdeep: 3:TAKRfUMjXjUxUKX5JwKg2KcCo9CvXslb4JUykVDsn:MKfUMXjzMcR2lr9CvXsl
      b4JU3VDsn
      PEiD..: -
      TrID..: File type identification
      Generic INI configuration (100.0%)
      PEInfo: -



      Fichier SySwmvtoavi.dat reçu le 2009.03.22 17:06:14 (CET)
      Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
      Résultat: 0/39 (0%)
      en train de charger les informations du serveur...
      Votre fichier est dans la file d'attente, en position: 1.
      L'heure estimée de démarrage est entre 42 et 60 secondes.
      Ne fermez pas la fenêtre avant la fin de l'analyse.
      L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
      Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
      Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
      les résultats seront affichés au fur et à mesure de leur génération.
      Formaté Formaté
      Impression des résultats Impression des résultats
      Votre fichier a expiré ou n'existe pas.
      Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

      Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
      Email:

      Antivirus Version Dernière mise à jour Résultat
      a-squared 4.0.0.101 2009.03.22 -
      AhnLab-V3 5.0.0.2 2009.03.22 -
      AntiVir 7.9.0.120 2009.03.21 -
      Authentium 5.1.2.4 2009.03.21 -
      Avast 4.8.1335.0 2009.03.21 -
      AVG 8.5.0.283 2009.03.21 -
      BitDefender 7.2 2009.03.22 -
      CAT-QuickHeal 10.00 2009.03.21 -
      ClamAV 0.94.1 2009.03.22 -
      Comodo 1080 2009.03.22 -
      DrWeb 4.44.0.09170 2009.03.22 -
      eSafe 7.0.17.0 2009.03.19 -
      eTrust-Vet 31.6.6409 2009.03.20 -
      F-Prot 4.4.4.56 2009.03.21 -
      F-Secure 8.0.14470.0 2009.03.22 -
      Fortinet 3.117.0.0 2009.03.22 -
      GData 19 2009.03.22 -
      Ikarus T3.1.1.48.0 2009.03.22 -
      K7AntiVirus 7.10.678 2009.03.21 -
      Kaspersky 7.0.0.125 2009.03.22 -
      McAfee 5560 2009.03.21 -
      McAfee+Artemis 5560 2009.03.21 -
      McAfee-GW-Edition 6.7.6 2009.03.21 -
      Microsoft 1.4502 2009.03.22 -
      NOD32 3953 2009.03.21 -
      Norman 6.00.06 2009.03.20 -
      nProtect 2009.1.8.0 2009.03.22 -
      Panda 10.0.0.10 2009.03.22 -
      PCTools 4.4.2.0 2009.03.22 -
      Prevx1 V2 2009.03.22 -
      Rising 21.21.62.00 2009.03.22 -
      Sophos 4.39.0 2009.03.22 -
      Sunbelt 3.2.1858.2 2009.03.21 -
      Symantec 1.4.4.12 2009.03.22 -
      TheHacker 6.3.3.3.287 2009.03.22 -
      TrendMicro 8.700.0.1004 2009.03.22 -
      VBA32 3.12.10.1 2009.03.22 -
      ViRobot 2009.3.20.1658 2009.03.20 -
      VirusBuster 4.6.5.0 2009.03.22 -
      Information additionnelle
      File size: 5 bytes
      MD5...: 49e6d19c4336bdb5f213045bcf25c38d
      SHA1..: e1bc1dae59f116abb43f9dafbb2acc9b141aa6b0
      SHA256: 395c2f5598a1643a205154c6f4c46ce36895b28e6c35660a95e5c6fd5ef9aeab
      SHA512: e71fc0604ed0e90283233e84cdc63a8cd9c10d21e38ed772dd0608984242c5f0
      fa14fa429a108ccc67ef8258021b5d629b0b69463f9d4cd69521883a73cd3cf4
      ssdeep: 3:/ll:X
      PEiD..: -
      TrID..: File type identification
      Unknown!
      PEInfo: -
      0
  21. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    Pour c:\windows\system32\3k560Dh5.exe tu va le passer ici : https://virusscan.jotti.org/

    Le rapport de scan n'étant pas complet ,je voudrais etre sur .
    0
  • 1
  • 2
  • 3