Sujet Précédent Sujet Suivant

Virus you have a security problem

Fermé
angele2388 - 22 mars 2009 à 12:05
 angele2388 - 25 mars 2009 à 16:22
Bonjour,

j'ai un virus "you have a security problem" j'ai deja fait un nettoyage ac malwarebytes hier soir et voila mon rapport Hjackthis
merci de votre aide

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:01:27, on 22/03/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\userinit.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Windows Live\Family Safety\fsssvc.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\AGRSMMSG.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre6\bin\jusched.exe
Q:\iTunesHelper.exe
C:\Program Files\Windows Live\Family Safety\fsui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Fichiers communs\Logitech\khalshared\KHALMNPR.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Mozilla Firefox\firefox.exe
N:\Divers Vrac\Malwarebytes' Anti-Malware\mbam.exe
C:\WINDOWS\system32\3k560Dh5.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Windows Live\Toolbar\wltuser.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.live.com/sphome.aspx
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.live.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://recherche.neuf.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.live.com/sphome.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://login.live.com/ppsecure/sha1auth.srf?lc=1036
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Family Safety Browser Helper - {4f3ed5cd-0726-42a9-87f5-d13f3d2976ac} - C:\Program Files\Windows Live\Family Safety\fssbho.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /F "C:\WINDOWS\system32\config\SYSTEM~1\LOCALS~1\Temp\E_S15B.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [PlatriumWeather] "C:\Program Files\Platrium\bin\1.2.103.0\Weather.exe" -auto
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "Q:\iTunesHelper.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [fssui] "C:\Program Files\Windows Live\Family Safety\fsui.exe" -autorun
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /M "Stylus DX3800" /EF "HKCU"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [DAEMON Tools Lite] "N:\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_01] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\eHome" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_03] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\pchealth" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_04] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\Srchasst" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_05] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\system32\Oobe" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_06] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\Help\Tours" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_07] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\system32\Inetsrv" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_08] cmd.exe /c md "%USERPROFILE%\Local Settings\Temp" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_09] rundll32 advpack.dll,DelNodeRunDLL32 "%SystemRoot%\System32\dllcache" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_10] cmd.exe /c md "%SystemRoot%\System32\dllcache" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_11] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_12] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_13] rundll32 advpack.dll,LaunchINFSection nlite.inf,S (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_01] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\eHome" (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

45 réponses

Réponse 1 / 45
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
24 mars 2009 à 17:45
re,

merci, je ne la vois pas probablement parce que combofix n'examine pas ce répertoire.

====================
1. Télécharge The Avenger par Swandog46 sur le Bureau

http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/

Clique sur Avenger.zip pour ouvrir le fichier
Extraire avenger.exe sur le bureau

2. Copier tout le texte en gras ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C): 

Begin copying here:

Files to move:
c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\userinit.exe | c:\windows\system32\userinit.exe


IMPORTANT : Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

Ferme toutes les applications et ton navigateur

3. Maintenant, lance The Avenger en cliquant sur son icône du bureau.

Vérifie que la case devant "Automatically disable any rootkits found" n'est pas cochée.


Cclique sur l'icone de droite (en rose et bleu). Le texte va se copier dans la fenêtre.

Clique sur Execute

4. The Avenger va automatiquement faire ce qui suit:


Il va Re-démarrer le système.
Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le bureau, ceci est NORMAL.
Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
The Avenger aura également sauvegardé tous les fichiers, etc., que tu lui as demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.

5. Pour finir copier/coller le contenu du ficher c:\avenger.txt dans ta réponse
2
angele2388
25 mars 2009 à 10:17
je crois que sa a tué mon ordinateur, il s'allume et s'eteint sans arret, sans afficher mon buro donc je ne peut rien faire !! et au bout d e15 min il s'eteint sans se rallumer

ya t'il une solution ? ou dois je abandonner l'afaire !

merci de votre aide
0
Réponse 2 / 45
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
25 mars 2009 à 16:11
Re,

si tu es prête à le retrouver dans l'état où il était quand tu l'as acheté,

tu vérifies bien que tu as la clé à 25 caractères, tu mets ton CD dans le lecteur, tu fais redémarrer l'ordi et tu suis les instructions.

Tu mets à jour Windows et Internet explorer.

Tu installes un antivirus. Je te conseille vivement de préférer Antivir à Avast :

https://www.malekal.com/avira-free-security-antivirus-gratuit/

=================

Quand ça s'est fait,

Télécharge ici :

http://images.malwareremoval.com/random/RSIT.exe

random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.

Double-clique sur RSIT.exe afin de lancer RSIT.

Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions).

Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

Poste le contenu de log.txt (<<qui sera affiché)
.

NB : Les rapports sont sauvegardés dans le dossier C:\rsit
2
Réponse 3 / 45
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
22 mars 2009 à 12:08
Bonjour ;

Télécharge Toolbar-S&D (Team IDN) sur ton Bureau.
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2

* Lance l'installation du programme en exécutant le fichier téléchargé.
* Double-clique maintenant sur le raccourci de Toolbar-S&D.
* Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.
* Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche.
* Poste le rapport généré. (C:\TB.txt)

Ensuite :

Télécharges AD-Remover sur ton bureau :


/!\ Déconnectes toi et fermes toutes applications en cours

? Double clique sur le programme d'installation , et installe le dans son emplacement par défaut. ( C:\Program files )
? Double clique sur l'icône Ad-removersituée sur ton bureau
? Au menu principal choisi l'option "A"
? Postes le rapport qui apparait à la fin .

( le rapport est sauvegardé aussi sous C:\Ad-report(date).log )

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Note :

"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
1
Réponse 4 / 45
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
23 mars 2009 à 20:25
Bonjour,

à la demande de jfkpresident.

Ouvre l'explorateur Windows, cherche

c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\userinit.exe

Fais un clic droit dessus et Copier.

Mets le curseur dans un coin vide de la fenêtre de droite et clic droit et Coller.

Un fichier" copie de userinit.exe" a du s'être créé.

===============

Copie ou imprime les instructions avant

Déconnecte toi d'internet et ferme toutes tes applications.

Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes : 


KillAll::

AtJob::
 
FCopy::
c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\userinit.exe | c:\windows\system32\userinit.exe



Enregistre ce fichier sous le nom CFscript


Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe

Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Réactive ton parefeu, ton antivirus, la garde de ton antispyware

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.
1
angele2388
24 mars 2009 à 10:32
voila le rapport (merci de ton aide)

ComboFix 09-03-22.01 - Administrateur 2009-03-24 10:19:12.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.767.487 [GMT 1:00]
Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Administrateur\Bureau\CFscript .txt

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.
[color=purple]Les fichiers ci-dessous ont été désactivés pendant l'exécution:[/color]
c:\program files\SuperCopier2\SC2Hook.dll


(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\Tasks\At1.job
c:\windows\Tasks\At10.job
c:\windows\Tasks\At11.job
c:\windows\Tasks\At12.job
c:\windows\Tasks\At13.job
c:\windows\Tasks\At14.job
c:\windows\Tasks\At15.job
c:\windows\Tasks\At16.job
c:\windows\Tasks\At17.job
c:\windows\Tasks\At18.job
c:\windows\Tasks\At19.job
c:\windows\Tasks\At2.job
c:\windows\Tasks\At20.job
c:\windows\Tasks\At21.job
c:\windows\Tasks\At22.job
c:\windows\Tasks\At23.job
c:\windows\Tasks\At24.job
c:\windows\Tasks\At3.job
c:\windows\Tasks\At4.job
c:\windows\Tasks\At5.job
c:\windows\Tasks\At6.job
c:\windows\Tasks\At7.job
c:\windows\Tasks\At8.job
c:\windows\Tasks\At9.job

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-02-24 au 2009-03-24 ))))))))))))))))))))))))))))))))))))
.

2009-03-23 11:04 . 2009-03-23 11:04 578,048 --a------ c:\windows\system32\DllCache\user32.dll
2009-03-23 11:01 . 2009-03-23 11:01 <REP> d-------- c:\windows\ERUNT
2009-03-22 21:29 . 2009-03-23 11:19 <REP> d-------- C:\SDFix
2009-03-22 14:01 . 2009-03-22 14:01 <REP> d-------- c:\windows\system32\xircom
2009-03-22 14:01 . 2009-03-22 14:01 <REP> d-------- c:\windows\system32\restore
2009-03-22 14:01 . 2009-03-22 14:01 <REP> d-------- c:\windows\srchasst
2009-03-22 14:01 . 2009-03-22 14:01 <REP> d-------- c:\program files\microsoft frontpage
2009-03-22 12:18 . 2009-03-22 12:18 <REP> d-------- c:\program files\Ad-remover
2009-03-22 12:10 . 2009-03-23 10:55 <REP> d-------- C:\ToolBar SD
2009-03-22 11:59 . 2009-03-22 11:59 <REP> d-------- c:\program files\Trend Micro
2009-03-21 19:00 . 2009-03-21 19:00 <REP> dr------- c:\documents and settings\NetworkService\Favoris
2009-03-21 18:22 . 2009-03-21 18:22 76,288 --a------ c:\windows\system32\3k560Dh5.exe
2009-03-13 00:40 . 2009-03-16 12:36 117 --a------ c:\windows\crywmvtoavi.ini
2009-03-12 23:14 . 2009-03-23 10:55 7,168 --ahs---- c:\windows\Thumbs.db
2009-03-12 20:44 . 2009-03-12 20:45 <REP> d-------- C:\My Video
2009-03-12 20:44 . 2009-03-16 12:36 5 --a------ c:\windows\system32\SySwmvtoavi.dat
2009-03-12 20:31 . 2009-03-12 20:31 530,054 --a------ C:\output.avi
2009-03-11 20:35 . 2006-10-07 17:43 502,784 --a------ c:\windows\x2.64.exe
2009-03-11 20:35 . 2005-02-28 13:16 240,128 --a------ c:\windows\system32\x.264.exe
2009-03-11 20:35 . 2006-04-12 09:47 217,073 --a------ c:\windows\meta4.exe
2009-03-11 20:35 . 2004-01-25 00:00 70,656 --a------ c:\windows\system32\yv12vfw.dll
2009-03-11 20:35 . 2004-01-25 00:00 70,656 --a------ c:\windows\system32\i420vfw.dll
2009-03-11 20:35 . 2006-04-05 08:09 66,560 --a------ c:\windows\MOTA113.exe
2009-03-11 20:35 . 2005-07-14 12:31 27,648 --a------ c:\windows\system32\AVSredirect.dll
2009-03-11 20:34 . 2005-02-12 23:00 186,880 -r-hs---- c:\windows\system32\RLOgg.ax
2009-03-11 20:34 . 2005-01-17 23:26 179,200 -r-hs---- c:\windows\system32\DiracSplitter.ax
2009-03-11 20:34 . 2006-08-16 14:53 175,104 -r-hs---- c:\windows\system32\CoreAAC.ax
2009-03-11 20:34 . 2005-02-05 23:00 92,672 -r-hs---- c:\windows\system32\RLVorbisDec.ax
2009-03-11 20:34 . 2005-02-22 16:55 81,920 -r-hs---- c:\windows\system32\aac_parser.ax
2009-03-11 20:34 . 2005-02-12 23:00 67,584 -r-hs---- c:\windows\system32\RLTheoraDec.ax
2009-03-11 20:34 . 2005-02-12 23:00 51,712 -r-hs---- c:\windows\system32\RLSpeexDec.ax

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-24 09:23 --------- d-----w c:\program files\SuperCopier2
2009-02-18 13:21 --------- d-----w c:\program files\Windows Live
2009-02-17 11:58 --------- d-----w c:\program files\Zylom Games
2009-02-15 22:14 --------- d-----w c:\documents and settings\All Users\Application Data\Zylom
2009-02-15 22:14 --------- d-----w c:\documents and settings\Administrateur\Application Data\Zylom
2009-02-11 09:19 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-11 09:19 15,504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-02-06 18:39 308,600 ----a-w c:\windows\WLXPGSS.SCR
2008-03-03 17:37 47,360 ----a-w c:\documents and settings\Administrateur\Application Data\pcouffin.sys
2007-09-30 15:03 1,440 ----a-w c:\documents and settings\Administrateur\Application Data\filterclsid.dat
2007-04-02 13:45 87,608 ----a-w c:\documents and settings\Administrateur\Application Data\ezpinst.exe
2005-12-04 23:12 20,640 ----a-w c:\windows\inf\pxhelp20.sys
.

------- Sigcheck -------

2008-04-13 20:20 361344 93ea8d04ec73a85db02eb8805988f733 c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\tcpip.sys
2006-09-09 14:49 360576 c7be59b07c6eb74bea6fd67c1b164015 c:\windows\system32\drivers\tcpip.sys

2004-08-04 05:54 1227264 e28d16a8d63eca6246921fdf7cbde42a c:\windows\explorer.exe
2004-08-04 05:54 1227264 e28d16a8d63eca6246921fdf7cbde42a c:\windows\icon_TMP\explorer.exe
2008-04-14 03:34 1037824 f2317622d29f9ff0f88aeecd5f60f0dd c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\explorer.exe
2004-08-04 05:54 1036288 4c33e5b9a6197b6ed215f6cfba0a2daa c:\windows\system_backup\explorer.exe

2008-04-14 03:34 26624 e74ddb12188c2ff57a78624dbf7332fc c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\userinit.exe
md5deep: c:\windows\system32\userinit.exe: Permission denied
.
((((((((((((((((((((((((((((( SnapShot@2009-03-22_14.05.08.51 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-08-07 14:27:04 163,328 ----a-w c:\windows\ERUNT\SDFIX\ERDNT.EXE
+ 2009-03-23 10:02:10 6,598,656 ----a-w c:\windows\ERUNT\SDFIX\Users\[u]0[/u]0000001\NTUSER.DAT
+ 2009-03-23 10:02:10 172,032 ----a-w c:\windows\ERUNT\SDFIX\Users\[u]0[/u]0000002\UsrClass.dat
+ 2008-08-07 14:27:04 163,328 ----a-w c:\windows\ERUNT\SDFIX_First_Run\ERDNT.EXE
+ 2009-03-23 10:01:54 6,598,656 ----a-w c:\windows\ERUNT\SDFIX_First_Run\Users\[u]0[/u]0000001\NTUSER.DAT
+ 2009-03-23 10:01:54 172,032 ----a-w c:\windows\ERUNT\SDFIX_First_Run\Users\[u]0[/u]0000002\UsrClass.dat
+ 2009-03-24 09:23:25 16,384 ----atw c:\windows\system32\config\systemprofile\Local Settings\Temp\Perflib_Perfdata_4e0.dat
+ 2009-03-24 09:02:39 16,384 ----atw c:\windows\system32\config\systemprofile\Local Settings\Temp\Perflib_Perfdata_594.dat
+ 2009-03-24 09:23:24 16,384 ----atw c:\windows\system32\config\systemprofile\Local Settings\Temp\Perflib_Perfdata_69c.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"SuperCopier2.exe"="c:\program files\SuperCopier2\SuperCopier2.exe" [2006-07-07 1052672]
"MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2009-02-06 3885408]
"AlcoholAutomount"="c:\program files\Alcohol Soft\Alcohol 120\axcmd.exe" [2008-03-20 217544]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-11-22 344064]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 78008]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-11-30 136600]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-11-04 413696]
"iTunesHelper"="Q:\iTunesHelper.exe" [2008-11-20 290088]
"fssui"="c:\program files\Windows Live\Family Safety\fsui.exe" [2009-02-06 454000]
"SoundMan"="SOUNDMAN.EXE" [2006-06-21 c:\windows\SOUNDMAN.EXE]
"AGRSMMSG"="AGRSMMSG.exe" [2003-05-23 c:\windows\AGRSMMSG.exe]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2006-07-19 c:\windows\KHALMNPR.Exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]
"Picasa Media Detector"="o:\picasa2\PicasaMediaDetector.exe" [2007-10-23 443968]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Logitech SetPoint.lnk - c:\program files\Logitech\SetPoint\SetPoint.exe [2007-03-25 671744]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMConfigurePrograms"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
"StartMenuLogoff"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\FlashFXP\\FlashFXP.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"q:\\iTunes.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"10060:TCP"= 10060:TCP:BitComet 10060 TCP
"10060:UDP"= 10060:UDP:BitComet 10060 UDP
"7995:TCP"= 7995:TCP:BitComet 7995 TCP
"7995:UDP"= 7995:UDP:BitComet 7995 UDP

R0 ATIIDE;ATIIDE;c:\windows\system32\drivers\atiide.sys [2006-09-09 6016]
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-08-24 78416]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2008-08-24 20560]
R2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr_tdi.sys [2008-12-17 55136]
R2 fsssvc;Windows Live Contrôle parental;c:\program files\Windows Live\Family Safety\fsssvc.exe [2009-02-06 533360]
R2 LBeepKE;LBeepKE;c:\windows\system32\drivers\LBeepKE.sys [2007-03-25 3712]
R2 SeaPort;SeaPort;c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe [2009-01-14 226656]
S1 vdrv8000;vdrv8000;c:\windows\system32\DRIVERS\vdrv8000.sys --> c:\windows\system32\DRIVERS\vdrv8000.sys [?]

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - mchInjDrv
.
Contenu du dossier 'Tâches planifiées'

2009-03-18 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
.
------- Examen supplémentaire -------
.
mWindow Title =
uInternet Connection Wizard,ShellNext = https://login.live.com/ppsecure/sha1auth.srf?lc=1036
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\izg03voh.default\
FF - prefs.js: browser.search.selectedEngine - Live Search
FF - prefs.js: browser.startup.homepage - hxxp://go.microsoft.com/fwlink/?LinkId=69157
FF - prefs.js: keyword.URL - hxxp://search.live.com/results.aspx?mkt=fr-FR&FORM=MIMWA5&q=
FF - plugin: c:\documents and settings\All Users\Application Data\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npunagi2.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npzylomgamesplayer.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - plugin: q:\mozilla plugins\npitunes.dll

---- PARAMETRES FIREFOX ----
FF - user.js: yahoo.homepage.dontask - true.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-24 10:23:57
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet013\Services\mchInjDrv]
"ImagePath"="\??\c:\docume~1\ADMINI~1\LOCALS~1\Temp\mc24.tmp"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(496)
c:\windows\system32\Ati2evxx.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\windows\system32\userinit.exe
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
c:\program files\Alwil Software\Avast4\ashMaiSv.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\program files\Alwil Software\Avast4\ashDisp.exe
c:\program files\iPod\bin\iPodService.exe
c:\program files\Fichiers communs\Logitech\khalshared\KHALMNPR.exe
.
**************************************************************************
.
Heure de fin: 2009-03-24 10:29:03 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-03-24 09:28:20
ComboFix2.txt 2009-03-22 13:07:41

Avant-CF: 9 058 566 144 octets libres
Après-CF: 9,068,027,904 octets libres

Current=13 Default=13 Failed=12 LastKnownGood=14 Sets=1,2,3,4,5,6,7,8,9,10,11,12,13,14
234
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 45
Utilisateur anonyme
22 mars 2009 à 12:07
Télécharge SmitfraudFix (de S!Ri) :

Enregistre-le sur le Bureau

Double-clique sur SmitfraudFix.exe et choisis l'option 1 puis Entrée

Un rapport sera généré, poste-le dans ta prochaine réponse stp.

Tutoriel illustré
0
Réponse 6 / 45
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
22 mars 2009 à 12:09
slt


je laisse la main a jfk
0
Réponse 7 / 45
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
22 mars 2009 à 12:11
Trop de monde sur ce topique ....Je vous laisse la place .
0
Réponse 8 / 45
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
22 mars 2009 à 12:13
non va y :)
0
Réponse 9 / 45
angele2388
22 mars 2009 à 12:16
merci pour vo reponses

voila mon rapport avc toobllar


-----------\\ ToolBar S&D 1.2.8 XP/Vista

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
X86-based PC ( Uniprocessor Free : Intel(R) Celeron(R) CPU 2.60GHz )
BIOS : BIOS Date: 10/20/03 15:02:30 Ver: 08.00.09
USER : Administrateur ( Administrator )
BOOT : Normal boot
C:\ (Local Disk) - NTFS - Total:19 Go (Free:7 Go)
D:\ (Local Disk) - NTFS - Total:39 Go (Free:38 Go)
E:\ (USB)
F:\ (USB)
G:\ (CD or DVD)
H:\ (USB)
I:\ (Local Disk) - NTFS - Total:14 Go (Free:13 Go)
J:\ (Local Disk) - NTFS - Total:1 Go (Free:1 Go)
K:\ (CD or DVD)
L:\ (CD or DVD)
M:\ (Local Disk) - NTFS - Total:48 Go (Free:36 Go)
N:\ (Local Disk) - NTFS - Total:48 Go (Free:36 Go)
O:\ (Local Disk) - NTFS - Total:48 Go (Free:48 Go)
P:\ (Local Disk) - NTFS - Total:78 Go (Free:26 Go)
Q:\ (Local Disk) - NTFS - Total:73 Go (Free:55 Go)
S:\ (USB)

"C:\ToolBar SD" ( MAJ : 21-12-2008|20:47 )
Option : [1] ( 22/03/2009|12:11 )

-----------\\ Recherche de Fichiers / Dossiers ...


-----------\\ Extensions

(Administrateur) - {37E4D8EA-8BDA-4831-8EA1-89053939A250} => pdfdownload
(Administrateur) - {635abd67-4fe9-1b23-4f01-e679fa7484c1} => ytoolbar
(Administrateur) - {7b821b0e-b102-4f9b-b6e3-433ede1fe379} => torrentbar
(Administrateur) - {a7c6cf7f-112c-4500-a7ea-39801a327e5f} => fireftp
(Administrateur) - {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} => adblockplus
(Administrateur) - {dd30bf68-268a-4815-ad48-8740b774c764} => redcats_green
(Administrateur) - {EEE6C361-6118-11DC-9C72-001320C79847} => sweetim-toolbar


-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="https://www.msn.com/fr-fr/?ocid=iehp"
"Search Page"="https://www.bing.com/?fdr=lc&toHttps=1&redig=FA6AD360E0BE4C719380F8C470A3D3A8"
"Search Bar"="http://www.bing.com/spresults.aspx"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
"Default_Search_URL"="https://actus.sfr.fr"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Start Page"="http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home"
"Search Bar"="https://www.bing.com/?toHttps=1&redig=8F3F334EA60E4B1CB4D040DCFE393A89{SUB_RFC1766}/srchasst/srchasst.htm"


--------------------\\ Recherche d'autres infections

C:\WINDOWS\Tasks\At1.job
C:\WINDOWS\Tasks\At10.job
C:\WINDOWS\Tasks\At11.job
C:\WINDOWS\Tasks\At12.job
C:\WINDOWS\Tasks\At13.job
C:\WINDOWS\Tasks\At14.job
C:\WINDOWS\Tasks\At15.job
C:\WINDOWS\Tasks\At16.job
C:\WINDOWS\Tasks\At17.job
C:\WINDOWS\Tasks\At18.job
C:\WINDOWS\Tasks\At19.job
C:\WINDOWS\Tasks\At2.job
C:\WINDOWS\Tasks\At20.job
C:\WINDOWS\Tasks\At21.job
C:\WINDOWS\Tasks\At22.job
C:\WINDOWS\Tasks\At23.job
C:\WINDOWS\Tasks\At24.job
C:\WINDOWS\Tasks\At3.job
C:\WINDOWS\Tasks\At4.job
C:\WINDOWS\Tasks\At5.job
C:\WINDOWS\Tasks\At6.job
C:\WINDOWS\Tasks\At7.job
C:\WINDOWS\Tasks\At8.job
C:\WINDOWS\Tasks\At9.job

--------------------\\ ROOTKIT !!

Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet012\Enum\Root\LEGACY_TDSSSERV]
Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet013\Enum\Root\LEGACY_TDSSSERV]
Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet014\Enum\Root\LEGACY_TDSSSERV]
Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDSSSERV]
Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\tdssserv]
Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet006\Services\tdssserv]
Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet007\Services\tdssserv]
Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet008\Services\tdssserv]
Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet009\Services\tdssserv]
Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet010\Services\tdssserv]
Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet011\Services\tdssserv]
Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet012\Services\tdssserv]
Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet013\Services\tdssserv]
Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet014\Services\tdssserv]
Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tdssserv]




1 - "C:\ToolBar SD\TB_1.txt" - 22/03/2009|12:15 - Option : [1]

-----------\\ Fin du rapport a 12:15:40,92
0
Réponse 10 / 45
Utilisateur anonyme
22 mars 2009 à 12:17
ancienneté oblige ;)
je vous regarde :-)
0
Réponse 11 / 45
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
22 mars 2009 à 12:21
Rootkit TDSS ..............arffff !

Angele : colle moi ensuite le rapport de AD-Remover ,please .
0
Réponse 12 / 45
angele2388
22 mars 2009 à 12:40
voila l'autre rapport ! encore merci


------- LOGFILE OF AD-REMOVER 1.1.2.0 | ONLY XP/VISTA -------

Updated by C_XX on 22/03/2009 at 10:00
Contact: AdRemover.contact@gmail.com
Website: http://pagesperso-orange.fr/FindyKill.Ad.Remover/

Start at: 12:20:46, Dim 22/03/2009 | Boot mode: Normal Boot
Option: SCAN | Executed from: C:\Program Files\Ad-remover\Ad-remover.bat
Operating System: Microsoft® Windows XP™ Service Pack 2 (version 5.1.2600)
Computer Name: SWEET-152D494D0
Current User: Administrateur - Administrator
Drive(s):
- C:\ (File System: NTFS)
- D:\ (File System: NTFS)
- I:\ (File System: NTFS)
- J:\ (File System: NTFS)
- M:\ (File System: NTFS)
- N:\ (File System: NTFS)
- O:\ (File System: NTFS)
- P:\ (File System: NTFS)
- Q:\ (File System: NTFS)
System Drive: C:\
Windows Directory: C:\WINDOWS\
System Directory: C:\WINDOWS\System32\

--- Running Processes: 53

+-----------------| Boonty/Boonty Games Elements Found:

Service: Boonty Games
.
HKCR\boontybox
HKCU\Software\Boonty
HKLM\Software\Boonty
HKLM\Software\Classes\boontybox
HKLM\System\CurrentControlSet\Services\Boonty Games
.
C:\Program Files\Fichiers communs\BOONTY Shared
C:\Documents and Settings\All Users\Application Data\BOONTY

+-----------------| Eorezo Elements Found:

.

+-----------------| Infected Poker Softwares Elements Found:

HKCU\Software\Grand Virtual
.

+-----------------| FunWebProducts/MyWay/MyWebSearch Elements Found:

.
.

+-----------------| It's TV Elements Found:

.

+-----------------| Sweetim Elements Found:

HKCU\Software\SweetIM
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35B-6118-11DC-9C72-001320C79847}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35C-6118-11DC-9C72-001320C79847}
HKLM\Software\SweetIM
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{EEE6C35B-6118-11DC-9C72-001320C79847}
HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Components\980289C22F80A7C4BB9323DC61255E4E
HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Components\FA96423FE2B98E248A3B23548D1E22D9
.
C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\izg03voh.default\searchplugins\sweetim.xml
C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\izg03voh.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}
C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\izg03voh.default\SweetIMToolbarData
C:\Documents and Settings\All Users\Application Data\SweetIM

============ Other Adwares Found ============

.
.
C:\Program Files\Conduit
C:\Documents and Settings\Administrateur\Cookies\administrateur@atdmt[1].txt

+-----------------| Added Scan:

---- Mozilla FireFox Version 3.0.7 ----

ProfilePath: izg03voh.default (Administrateur)
.
Prefs.js: Browser.Search.SelectedEngine: "Live Search"
.
.
.
.
.

---- Internet Explorer Version 6.0.2900.2180 ----

+-[HKEY_CURRENT_USER\..\Internet Explorer\Main]

Search bar: hxxp://search.live.com/sphome.aspx
Search Page: hxxp://search.live.com
Start page: hxxp://go.microsoft.com/fwlink/?LinkId=69157

+-[HKEY_USERS\S-1-5-21-789336058-854245398-1417001333-500\..\Internet Explorer\Main]

Search bar: hxxp://search.live.com/sphome.aspx
Search Page: hxxp://search.live.com
Start page: hxxp://go.microsoft.com/fwlink/?LinkId=69157

+-[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]

Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://recherche.neuf.fr/
Search bar: hxxp://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start page: hxxp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home

+-[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]


+---------------------------------------------------------------------------+

4036 Byte(s) - C:\Ad-Report-Scan-22.03.2009.log

0 File(s) - C:\Program Files\Ad-remover\TOOLS\BACKUP
0 File(s) - C:\Program Files\Ad-remover\TOOLS\QUARANTINE

End at: 12:35:50 | 22/03/2009
.
+-----------------| E.O.F - 89 Lines
.
0
Réponse 13 / 45
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
22 mars 2009 à 12:51
On va commencer par supprimer ces adwares :

Relance Toolbar-S&D en double-cliquant sur le raccourci. Tape sur "2" puis valide en appuyant sur "Entrée".
! Ne ferme pas la fenêtre lors de la suppression !
Un rapport sera généré, poste son contenu ici.

========================
! Déconnectes toi et fermes toutes applications en cours !

? Relances "Ad-remover" : au menu principal choisi l'option "B" .

? A l'écran de sélection, choisi le chiffre à gauche de ces lignes en validant par ENTREE à chaque fois :


Suppression Boonty/BoontyGames
Suppression Eorezo
Suppression Everest Poker
Suppression Funwebproduct/MyWay/MyWebsearch
Suppression Messenger Skinner
Suppression Sweetim

? Puis choisi "S" , le programme va travailler,

? Postes le rapport qui apparait à la fin.

( le rapport est sauvegardé aussi sous C:\Ad-report(date).log )

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

/!\ Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides)

=====================
Ensuite on va s'occuper de la plus grosse partie ,ce satané rogue :

Télécharges ComboFix à partir d'un de ces liens :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
https://forospyware.com
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/

Et important, enregistre le sur le bureau.

Avant d'utiliser ComboFix :

? Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

? Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
la protection en temps réel de ton Antivirus et de tes Antispywares,
qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

Renomme combofix en scan.exe .


Une fois fait, sur ton bureau double-clic sur Scan.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt,.
est automatiquement sauvegardé et rangé à C:\Combofix.txt)

? Réactive la protection en temps réel de ton Antivirus et de tes Antispywares,
avant de te reconnecter à internet.

? Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
0
Réponse 14 / 45
angele2388
22 mars 2009 à 13:09
1er rapport tooblar (merci infiniment de ton aide !)
-----------\\ ToolBar S&D 1.2.8 XP/Vista

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
X86-based PC ( Uniprocessor Free : Intel(R) Celeron(R) CPU 2.60GHz )
BIOS : BIOS Date: 10/20/03 15:02:30 Ver: 08.00.09
USER : Administrateur ( Administrator )
BOOT : Normal boot
C:\ (Local Disk) - NTFS - Total:19 Go (Free:7 Go)
D:\ (Local Disk) - NTFS - Total:39 Go (Free:38 Go)
E:\ (USB)
F:\ (USB)
G:\ (CD or DVD)
H:\ (USB)
I:\ (Local Disk) - NTFS - Total:14 Go (Free:13 Go)
J:\ (Local Disk) - NTFS - Total:1 Go (Free:1 Go)
K:\ (CD or DVD)
L:\ (CD or DVD)
M:\ (Local Disk) - NTFS - Total:48 Go (Free:36 Go)
N:\ (Local Disk) - NTFS - Total:48 Go (Free:36 Go)
O:\ (Local Disk) - NTFS - Total:48 Go (Free:48 Go)
P:\ (Local Disk) - NTFS - Total:78 Go (Free:26 Go)
Q:\ (Local Disk) - NTFS - Total:73 Go (Free:55 Go)
S:\ (USB)

"C:\ToolBar SD" ( MAJ : 21-12-2008|20:47 )
Option : [2] ( 22/03/2009|13:04 )

-----------\\ Recherche de Fichiers / Dossiers ...


-----------\\ Extensions

(Administrateur) - {37E4D8EA-8BDA-4831-8EA1-89053939A250} => pdfdownload
(Administrateur) - {635abd67-4fe9-1b23-4f01-e679fa7484c1} => ytoolbar
(Administrateur) - {7b821b0e-b102-4f9b-b6e3-433ede1fe379} => torrentbar
(Administrateur) - {a7c6cf7f-112c-4500-a7ea-39801a327e5f} => fireftp
(Administrateur) - {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} => adblockplus
(Administrateur) - {dd30bf68-268a-4815-ad48-8740b774c764} => redcats_green
(Administrateur) - {EEE6C361-6118-11DC-9C72-001320C79847} => sweetim-toolbar


-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="https://www.msn.com/fr-fr/?ocid=iehp"
"Search Page"="https://www.bing.com/?fdr=lc&toHttps=1&redig=FA6AD360E0BE4C719380F8C470A3D3A8"
"Search Bar"="http://www.bing.com/spresults.aspx"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
"Default_Search_URL"="https://actus.sfr.fr"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Start Page"="https://www.msn.com/fr-fr/"
"Search Bar"="https://www.bing.com/?toHttps=1&redig=8F3F334EA60E4B1CB4D040DCFE393A89{SUB_RFC1766}/srchasst/srchasst.htm"


--------------------\\ Recherche d'autres infections

C:\WINDOWS\Tasks\At1.job
C:\WINDOWS\Tasks\At10.job
C:\WINDOWS\Tasks\At11.job
C:\WINDOWS\Tasks\At12.job
C:\WINDOWS\Tasks\At13.job
C:\WINDOWS\Tasks\At14.job
C:\WINDOWS\Tasks\At15.job
C:\WINDOWS\Tasks\At16.job
C:\WINDOWS\Tasks\At17.job
C:\WINDOWS\Tasks\At18.job
C:\WINDOWS\Tasks\At19.job
C:\WINDOWS\Tasks\At2.job
C:\WINDOWS\Tasks\At20.job
C:\WINDOWS\Tasks\At21.job
C:\WINDOWS\Tasks\At22.job
C:\WINDOWS\Tasks\At23.job
C:\WINDOWS\Tasks\At24.job
C:\WINDOWS\Tasks\At3.job
C:\WINDOWS\Tasks\At4.job
C:\WINDOWS\Tasks\At5.job
C:\WINDOWS\Tasks\At6.job
C:\WINDOWS\Tasks\At7.job
C:\WINDOWS\Tasks\At8.job
C:\WINDOWS\Tasks\At9.job

--------------------\\ ROOTKIT !!

Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet012\Enum\Root\LEGACY_TDSSSERV]
Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet013\Enum\Root\LEGACY_TDSSSERV]
Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet014\Enum\Root\LEGACY_TDSSSERV]
Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDSSSERV]
Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\tdssserv]
Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet006\Services\tdssserv]
Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet007\Services\tdssserv]
Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet008\Services\tdssserv]
Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet009\Services\tdssserv]
Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet010\Services\tdssserv]
Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet011\Services\tdssserv]
Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet012\Services\tdssserv]
Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet013\Services\tdssserv]
Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet014\Services\tdssserv]
Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tdssserv]




1 - "C:\ToolBar SD\TB_1.txt" - 22/03/2009|12:15 - Option : [1]
2 - "C:\ToolBar SD\TB_2.txt" - 22/03/2009|13:07 - Option : [2]

-----------\\ Fin du rapport a 13:07:39,62
0
angele2388
22 mars 2009 à 13:21
second raport (le "you have a security probleme a disparu)
------- LOGFILE OF AD-REMOVER 1.1.2.0 | ONLY XP/VISTA -------

Updated by C_XX on 22/03/2009 at 10:00
Contact: AdRemover.contact@gmail.com
Website: http://pagesperso-orange.fr/FindyKill.Ad.Remover/

**** LIMITED TO ****

Boonty/BoontyGames
Eorezo
Infected Poker Softwares
FunWebProduct/MyWay/MyWebSearch
Sweetim

********************

Start at: 13:13:12, Dim 22/03/2009 | Boot mode: Normal Boot
Option: CLEAN | Executed from: C:\Program Files\Ad-remover\Ad-remover.bat
Operating System: Microsoft® Windows XP™ Service Pack 2 (version 5.1.2600)
Computer Name: SWEET-152D494D0
Current User: Administrateur - Administrator
Drive(s):
- C:\ (File System: NTFS)
- D:\ (File System: NTFS)
- I:\ (File System: NTFS)
- J:\ (File System: NTFS)
- M:\ (File System: NTFS)
- N:\ (File System: NTFS)
- O:\ (File System: NTFS)
- P:\ (File System: NTFS)
- Q:\ (File System: NTFS)
System Drive: C:\
Windows Directory: C:\WINDOWS\
System Directory: C:\WINDOWS\System32\

--- Running Processes: 50

(!) ---- IE start pages/Tabs reset

+-----------------| Boonty/Boonty Games Elements Deleted :

Service: "Boonty Games"
.
HKCR\boontybox
HKCU\Software\Boonty
HKLM\Software\Boonty
.
C:\Program Files\Fichiers communs\BOONTY Shared
C:\Documents and Settings\All Users\Application Data\BOONTY

+-----------------| Eorezo Elements Deleted :

.

+-----------------| Infected Poker Softwares Elements Deleted :

HKCU\Software\Grand Virtual
.

+-----------------| FunWebProducts/MyWay/MyWebSearch Elements Deleted :

.
.

+-----------------| Sweetim Elements Deleted :

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{EEE6C35B-6118-11DC-9C72-001320C79847}
HKCU\Software\SweetIM
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35B-6118-11DC-9C72-001320C79847}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35C-6118-11DC-9C72-001320C79847}
HKLM\Software\SweetIM
HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Components\980289C22F80A7C4BB9323DC61255E4E
HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Components\FA96423FE2B98E248A3B23548D1E22D9
.
C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\izg03voh.default\searchplugins\sweetim.xml
C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\izg03voh.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}
C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\izg03voh.default\SweetIMToolbarData
C:\Documents and Settings\All Users\Application Data\SweetIM

(!) ---- Temp files deleted.
(!) ---- Recycle bin emptied in all drives.


+-----------------| Added Scan :

---- Mozilla FireFox Version 3.0.7 ----

ProfilePath: izg03voh.default (Administrateur)
.
Prefs.js: Browser.Search.SelectedEngine: "Live Search"
.
.
.
.
.

---- Internet Explorer Version 6.0.2900.2180 ----

+-[HKEY_CURRENT_USER\..\Internet Explorer\Main]

Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Search Page: hxxp://search.live.com
Start page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

+-[HKEY_USERS\S-1-5-21-789336058-854245398-1417001333-500\..\Internet Explorer\Main]

Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Search Page: hxxp://search.live.com
Start page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

+-[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]

Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start page: hxxp://fr.msn.com/

+-[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]

Tabs: hxxp://ieframe.dll/tabswelcome.htm

+---------------------------------------------------------------------------+

4382 Byte(s) - C:\Ad-Report-Clean-22.03.2009.log
4276 Byte(s) - C:\Ad-Report-Scan-22.03.2009.log

2 File(s) - C:\Program Files\Ad-remover\TOOLS\BACKUP
1 File(s) - C:\Program Files\Ad-remover\TOOLS\QUARANTINE

End at: 13:18:37 | 22/03/2009
.
+-----------------| E.O.F - 95 Lines
.
0
Réponse 15 / 45
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
22 mars 2009 à 13:49 
(le "you have a security probleme a disparu)


Oui mais ce n'est pas fini ,il reste un gros poisson :))

J'attend le rapport Combofix .
0
Réponse 16 / 45
angele2388
22 mars 2009 à 13:52
je part travailler mais j'ai garder vos instructions et je le ferai ce soir en rentrant du boulot !!

Merci !
0
Réponse 17 / 45
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
22 mars 2009 à 14:06
No soucy ,bon courage pour le boulot -;)
0
Réponse 18 / 45
angele2388
22 mars 2009 à 14:09
j'ai eu le temps d'avoir le compte rendu avant de parti !! il faudra faire autre chose ?
en tous les cas merci bcp !!!

ComboFix 09-03-19.02 - Administrateur 2009-03-22 13:57:27.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.767.396 [GMT 1:00]
Lancé depuis: q:\divers vrac\scan.exe..exe

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Administrateur\Application Data\inst.exe
c:\windows\Downloaded Program Files\UDC6V_0001_D19M0709NetInstaller.exe
c:\windows\system32\_002592_.tmp.dll
c:\windows\system32\_002593_.tmp.dll
c:\windows\system32\_002594_.tmp.dll
c:\windows\system32\_002595_.tmp.dll
c:\windows\system32\_002602_.tmp.dll
c:\windows\system32\_002603_.tmp.dll
c:\windows\system32\_002604_.tmp.dll
c:\windows\system32\_002605_.tmp.dll
c:\windows\system32\_002607_.tmp.dll
c:\windows\system32\_002608_.tmp.dll
c:\windows\system32\_002611_.tmp.dll
c:\windows\system32\_002612_.tmp.dll
c:\windows\system32\_002614_.tmp.dll
c:\windows\system32\_002615_.tmp.dll
c:\windows\system32\_002616_.tmp.dll
c:\windows\system32\_002618_.tmp.dll
c:\windows\system32\_002621_.tmp.dll
c:\windows\system32\_002622_.tmp.dll
c:\windows\system32\_002626_.tmp.dll
c:\windows\system32\_002627_.tmp.dll
c:\windows\system32\_002629_.tmp.dll
c:\windows\system32\_002631_.tmp.dll
c:\windows\system32\_002633_.tmp.dll
c:\windows\system32\_002634_.tmp.dll
c:\windows\system32\_002635_.tmp.dll
c:\windows\system32\_002636_.tmp.dll
c:\windows\system32\_002637_.tmp.dll
c:\windows\system32\_002640_.tmp.dll
c:\windows\system32\_002641_.tmp.dll
c:\windows\system32\_002642_.tmp.dll
c:\windows\system32\_002643_.tmp.dll
c:\windows\system32\_002644_.tmp.dll
c:\windows\system32\_002649_.tmp.dll
c:\windows\system32\_002651_.tmp.dll

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_OREANS32
-------\Legacy_TDSSSERV
-------\Service_oreans32
-------\Service_tdssserv


((((((((((((((((((((((((((((( Fichiers créés du 2009-02-22 au 2009-03-22 ))))))))))))))))))))))))))))))))))))
.

2009-03-22 14:01 . 2009-03-22 14:01 <REP> d-------- c:\windows\system32\xircom
2009-03-22 14:01 . 2009-03-22 14:01 <REP> d-------- c:\windows\system32\restore
2009-03-22 14:01 . 2009-03-22 14:01 <REP> d-------- c:\windows\srchasst
2009-03-22 14:01 . 2009-03-22 14:01 <REP> d-------- c:\program files\microsoft frontpage
2009-03-22 12:18 . 2009-03-22 12:18 <REP> d-------- c:\program files\Ad-remover
2009-03-22 12:10 . 2009-03-22 13:07 <REP> d-------- C:\ToolBar SD
2009-03-22 11:59 . 2009-03-22 11:59 <REP> d-------- c:\program files\Trend Micro
2009-03-21 19:00 . 2009-03-21 19:00 <REP> dr------- c:\documents and settings\NetworkService\Favoris
2009-03-21 18:22 . 2009-03-21 18:22 76,288 --a------ c:\windows\system32\3k560Dh5.exe
2009-03-13 00:40 . 2009-03-16 12:36 117 --a------ c:\windows\crywmvtoavi.ini
2009-03-12 23:14 . 2009-03-17 07:57 7,168 --ahs---- c:\windows\Thumbs.db
2009-03-12 20:44 . 2009-03-12 20:45 <REP> d-------- C:\My Video
2009-03-12 20:44 . 2009-03-16 12:36 5 --a------ c:\windows\system32\SySwmvtoavi.dat
2009-03-12 20:31 . 2009-03-12 20:31 530,054 --a------ C:\output.avi
2009-03-11 20:35 . 2006-10-07 17:43 502,784 --a------ c:\windows\x2.64.exe
2009-03-11 20:35 . 2005-02-28 13:16 240,128 --a------ c:\windows\system32\x.264.exe
2009-03-11 20:35 . 2006-04-12 09:47 217,073 --a------ c:\windows\meta4.exe
2009-03-11 20:35 . 2004-01-25 00:00 70,656 --a------ c:\windows\system32\yv12vfw.dll
2009-03-11 20:35 . 2004-01-25 00:00 70,656 --a------ c:\windows\system32\i420vfw.dll
2009-03-11 20:35 . 2006-04-05 08:09 66,560 --a------ c:\windows\MOTA113.exe
2009-03-11 20:35 . 2005-07-14 12:31 27,648 --a------ c:\windows\system32\AVSredirect.dll
2009-03-11 20:34 . 2005-02-12 23:00 186,880 -r-hs---- c:\windows\system32\RLOgg.ax
2009-03-11 20:34 . 2005-01-17 23:26 179,200 -r-hs---- c:\windows\system32\DiracSplitter.ax
2009-03-11 20:34 . 2006-08-16 14:53 175,104 -r-hs---- c:\windows\system32\CoreAAC.ax
2009-03-11 20:34 . 2005-02-05 23:00 92,672 -r-hs---- c:\windows\system32\RLVorbisDec.ax
2009-03-11 20:34 . 2005-02-22 16:55 81,920 -r-hs---- c:\windows\system32\aac_parser.ax
2009-03-11 20:34 . 2005-02-12 23:00 67,584 -r-hs---- c:\windows\system32\RLTheoraDec.ax
2009-03-11 20:34 . 2005-02-12 23:00 51,712 -r-hs---- c:\windows\system32\RLSpeexDec.ax

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-22 13:01 --------- d-----w c:\program files\SuperCopier2
2009-02-18 13:21 --------- d-----w c:\program files\Windows Live
2009-02-17 11:58 --------- d-----w c:\program files\Zylom Games
2009-02-15 22:14 --------- d-----w c:\documents and settings\All Users\Application Data\Zylom
2009-02-15 22:14 --------- d-----w c:\documents and settings\Administrateur\Application Data\Zylom
2009-02-11 09:19 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-11 09:19 15,504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-02-06 18:39 308,600 ----a-w c:\windows\WLXPGSS.SCR
2008-03-03 17:37 47,360 ----a-w c:\documents and settings\Administrateur\Application Data\pcouffin.sys
2007-09-30 15:03 1,440 ----a-w c:\documents and settings\Administrateur\Application Data\filterclsid.dat
2007-04-02 13:45 87,608 ----a-w c:\documents and settings\Administrateur\Application Data\ezpinst.exe
2005-12-04 23:12 20,640 ----a-w c:\windows\inf\pxhelp20.sys
.

------- Sigcheck -------

2008-04-13 20:20 361344 93ea8d04ec73a85db02eb8805988f733 c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\tcpip.sys
2006-09-09 14:49 360576 c7be59b07c6eb74bea6fd67c1b164015 c:\windows\system32\drivers\tcpip.sys

2004-08-04 05:54 1227264 e28d16a8d63eca6246921fdf7cbde42a c:\windows\explorer.exe
2004-08-04 05:54 1227264 e28d16a8d63eca6246921fdf7cbde42a c:\windows\icon_TMP\explorer.exe
2008-04-14 03:34 1037824 f2317622d29f9ff0f88aeecd5f60f0dd c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\explorer.exe
2004-08-04 05:54 1036288 4c33e5b9a6197b6ed215f6cfba0a2daa c:\windows\system_backup\explorer.exe

2008-04-14 03:34 26624 e74ddb12188c2ff57a78624dbf7332fc c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\userinit.exe
2009-03-21 18:22 47616 2c6f05acf7a8fde4faa83f7f06f21c59 c:\windows\system32\userinit.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"SuperCopier2.exe"="c:\program files\SuperCopier2\SuperCopier2.exe" [2006-07-07 1052672]
"MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2009-02-06 3885408]
"AlcoholAutomount"="c:\program files\Alcohol Soft\Alcohol 120\axcmd.exe" [2008-03-20 217544]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-11-22 344064]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 78008]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-11-30 136600]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-11-04 413696]
"iTunesHelper"="Q:\iTunesHelper.exe" [2008-11-20 290088]
"fssui"="c:\program files\Windows Live\Family Safety\fsui.exe" [2009-02-06 454000]
"SoundMan"="SOUNDMAN.EXE" [2006-06-21 c:\windows\SOUNDMAN.EXE]
"AGRSMMSG"="AGRSMMSG.exe" [2003-05-23 c:\windows\AGRSMMSG.exe]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2006-07-19 c:\windows\KHALMNPR.Exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]
"Picasa Media Detector"="o:\picasa2\PicasaMediaDetector.exe" [2007-10-23 443968]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Logitech SetPoint.lnk - c:\program files\Logitech\SetPoint\SetPoint.exe [2007-03-25 671744]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMConfigurePrograms"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
"StartMenuLogoff"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\FlashFXP\\FlashFXP.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"q:\\iTunes.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"10060:TCP"= 10060:TCP:BitComet 10060 TCP
"10060:UDP"= 10060:UDP:BitComet 10060 UDP
"7995:TCP"= 7995:TCP:BitComet 7995 TCP
"7995:UDP"= 7995:UDP:BitComet 7995 UDP

R0 ATIIDE;ATIIDE;c:\windows\system32\drivers\atiide.sys [2006-09-09 6016]
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-08-24 78416]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2008-08-24 20560]
R2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr_tdi.sys [2008-12-17 55136]
R2 fsssvc;Windows Live Contrôle parental;c:\program files\Windows Live\Family Safety\fsssvc.exe [2009-02-06 533360]
R2 LBeepKE;LBeepKE;c:\windows\system32\drivers\LBeepKE.sys [2007-03-25 3712]
R2 SeaPort;SeaPort;c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe [2009-01-14 226656]
S1 vdrv8000;vdrv8000;c:\windows\system32\DRIVERS\vdrv8000.sys --> c:\windows\system32\DRIVERS\vdrv8000.sys [?]

--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - HELPSVC
*Deregistered* - mchInjDrv
.
Contenu du dossier 'Tâches planifiées'

2009-03-18 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2009-03-21 c:\windows\Tasks\At1.job
- c:\windows\system32\3k560Dh5.exe [2009-03-21 18:22]

2009-03-21 c:\windows\Tasks\At10.job
- c:\windows\system32\3k560Dh5.exe [2009-03-21 18:22]

2009-03-21 c:\windows\Tasks\At11.job
- c:\windows\system32\3k560Dh5.exe [2009-03-21 18:22]

2009-03-21 c:\windows\Tasks\At12.job
- c:\windows\system32\3k560Dh5.exe [2009-03-21 18:22]

2009-03-22 c:\windows\Tasks\At13.job
- c:\windows\system32\3k560Dh5.exe [2009-03-21 18:22]

2009-03-22 c:\windows\Tasks\At14.job
- c:\windows\system32\3k560Dh5.exe [2009-03-21 18:22]

2009-03-21 c:\windows\Tasks\At15.job
- c:\windows\system32\3k560Dh5.exe [2009-03-21 18:22]

2009-03-21 c:\windows\Tasks\At16.job
- c:\windows\system32\3k560Dh5.exe [2009-03-21 18:22]

2009-03-21 c:\windows\Tasks\At17.job
- c:\windows\system32\3k560Dh5.exe [2009-03-21 18:22]

2009-03-21 c:\windows\Tasks\At18.job
- c:\windows\system32\3k560Dh5.exe [2009-03-21 18:22]

2009-03-21 c:\windows\Tasks\At19.job
- c:\windows\system32\3k560Dh5.exe [2009-03-21 18:22]

2009-03-22 c:\windows\Tasks\At2.job
- c:\windows\system32\3k560Dh5.exe [2009-03-21 18:22]

2009-03-21 c:\windows\Tasks\At20.job
- c:\windows\system32\3k560Dh5.exe [2009-03-21 18:22]

2009-03-21 c:\windows\Tasks\At21.job
- c:\windows\system32\3k560Dh5.exe [2009-03-21 18:22]

2009-03-22 c:\windows\Tasks\At22.job
- c:\windows\system32\3k560Dh5.exe [2009-03-21 18:22]

2009-03-21 c:\windows\Tasks\At23.job
- c:\windows\system32\3k560Dh5.exe [2009-03-21 18:22]

2009-03-21 c:\windows\Tasks\At24.job
- c:\windows\system32\3k560Dh5.exe [2009-03-21 18:22]

2009-03-22 c:\windows\Tasks\At3.job
- c:\windows\system32\3k560Dh5.exe [2009-03-21 18:22]

2009-03-21 c:\windows\Tasks\At4.job
- c:\windows\system32\3k560Dh5.exe [2009-03-21 18:22]

2009-03-21 c:\windows\Tasks\At5.job
- c:\windows\system32\3k560Dh5.exe [2009-03-21 18:22]

2009-03-21 c:\windows\Tasks\At6.job
- c:\windows\system32\3k560Dh5.exe [2009-03-21 18:22]

2009-03-21 c:\windows\Tasks\At7.job
- c:\windows\system32\3k560Dh5.exe [2009-03-21 18:22]

2009-03-21 c:\windows\Tasks\At8.job
- c:\windows\system32\3k560Dh5.exe [2009-03-21 18:22]

2009-03-21 c:\windows\Tasks\At9.job
- c:\windows\system32\3k560Dh5.exe [2009-03-21 18:22]
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-EPSON Stylus DX3800 Series - c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE
HKCU-Run-DAEMON Tools Lite - n:\daemon tools lite\daemon.exe
HKLM-Run-EPSON Stylus DX3800 Series - c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE
Notify-dimsntfy - (no file)


.
------- Examen supplémentaire -------
.
mWindow Title =
uInternet Connection Wizard,ShellNext = https://login.live.com/ppsecure/sha1auth.srf?lc=1036
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\izg03voh.default\
FF - prefs.js: browser.search.selectedEngine - Live Search
FF - prefs.js: browser.startup.homepage - hxxp://go.microsoft.com/fwlink/?LinkId=69157
FF - prefs.js: keyword.URL - hxxp://search.live.com/results.aspx?mkt=fr-FR&FORM=MIMWA5&q=
FF - plugin: c:\documents and settings\All Users\Application Data\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npunagi2.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npzylomgamesplayer.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - plugin: q:\mozilla plugins\npitunes.dll

---- PARAMETRES FIREFOX ----
FF - user.js: yahoo.homepage.dontask - true.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-22 14:02:34
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet013\Services\mchInjDrv]
"ImagePath"="\??\c:\docume~1\ADMINI~1\LOCALS~1\Temp\mc24.tmp"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(512)
c:\windows\system32\Ati2evxx.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\windows\system32\userinit.exe
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
c:\program files\Alwil Software\Avast4\ashMaiSv.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\program files\Alwil Software\Avast4\ashDisp.exe
c:\program files\Fichiers communs\Logitech\khalshared\KHALMNPR.exe
c:\program files\iPod\bin\iPodService.exe
.
**************************************************************************
.
Heure de fin: 2009-03-22 14:07:35 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-03-22 13:06:50

Avant-CF: 9 209 155 584 octets libres
Après-CF: 9,154,846,720 octets libres

Current=13 Default=13 Failed=12 LastKnownGood=14 Sets=1,2,3,4,5,6,7,8,9,10,11,12,13,14
287
0
Réponse 19 / 45
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
22 mars 2009 à 16:43
On a envore un peu de boulot ensemble :)

Il va falloir analyser un ou des fichier(s) suspect(s) !

Il se peut qu'il se trouvent dans les " dossiers cachés " du systeme.
Il faut donc les rendre visibles pour le scan.

Pour afficher les dossiers et fichiers cachés:

Panneau de configuration > Options des dossiers > onglet Affichage.

Coche Afficher les fichiers et dossiers cachés,
Décoche Masquer les extensions de fichiers connus
Décoche Masquer les fichiers protégés du Système.
Un message de mise en garde va apparaitre. Clique sur OK pour confirmer ton choix.
Les fichiers et dossiers cachés du système apparaitront alors dans l'explorateur Windows en transparence.

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ces fichiers : c:\windows\system32\3k560Dh5.exe
c:\windows\crywmvtoavi.ini
c:\windows\system32\SySwmvtoavi.dat

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.



0
angele2388
22 mars 2009 à 17:09
Voila tout ce qu'il m'écrit !

c:\windows\system32\3k560Dh5.exe
MD5: c1442f82ee60fd6e7b0599c9ba20a0de
First received: 2009.03.21 22:17:52 (CET)
Date 2009.03.21 22:17:52 (CET) [<1D]
Résultats 1/39
Permalink: analisis/3beb57f49d27335910d7309b75e15f94








Fichier crywmvtoavi.ini reçu le 2009.03.22 16:51:34 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/39 (0%)

Antivirus Version Dernière mise à jour Résultat
a-squared 4.0.0.101 2009.03.22 -
AhnLab-V3 5.0.0.2 2009.03.22 -
AntiVir 7.9.0.120 2009.03.21 -
Authentium 5.1.2.4 2009.03.21 -
Avast 4.8.1335.0 2009.03.21 -
AVG 8.5.0.283 2009.03.21 -
BitDefender 7.2 2009.03.22 -
CAT-QuickHeal 10.00 2009.03.21 -
ClamAV 0.94.1 2009.03.22 -
Comodo 1080 2009.03.22 -
DrWeb 4.44.0.09170 2009.03.22 -
eSafe 7.0.17.0 2009.03.19 -
eTrust-Vet 31.6.6409 2009.03.20 -
F-Prot 4.4.4.56 2009.03.21 -
F-Secure 8.0.14470.0 2009.03.22 -
Fortinet 3.117.0.0 2009.03.22 -
GData 19 2009.03.22 -
Ikarus T3.1.1.48.0 2009.03.22 -
K7AntiVirus 7.10.678 2009.03.21 -
Kaspersky 7.0.0.125 2009.03.22 -
McAfee 5560 2009.03.21 -
McAfee+Artemis 5560 2009.03.21 -
McAfee-GW-Edition 6.7.6 2009.03.21 -
Microsoft 1.4502 2009.03.22 -
NOD32 3953 2009.03.21 -
Norman 6.00.06 2009.03.20 -
nProtect 2009.1.8.0 2009.03.22 -
Panda 10.0.0.10 2009.03.22 -
PCTools 4.4.2.0 2009.03.22 -
Prevx1 V2 2009.03.22 -
Rising 21.21.62.00 2009.03.22 -
Sophos 4.39.0 2009.03.22 -
Sunbelt 3.2.1858.2 2009.03.21 -
Symantec 1.4.4.12 2009.03.22 -
TheHacker 6.3.3.3.287 2009.03.22 -
TrendMicro 8.700.0.1004 2009.03.22 -
VBA32 3.12.10.1 2009.03.22 -
ViRobot 2009.3.20.1658 2009.03.20 -
VirusBuster 4.6.5.0 2009.03.22 -
Information additionnelle
File size: 117 bytes
MD5...: a1502273a359d591f9098aae47bae46e
SHA1..: 06115d68bc4ef2d11a12e872bf76777a5b2dc83e
SHA256: 293c7d5deefbc3086c39626265af4d6116b6c336977f09c4abd355926fa4afcd
SHA512: 5dee935e86ab148b0614576136dced6aaef831395d7a5aa44e7d28b93a635c45
8d2d0da20843aedb98b8f1b0c48c68a586152b05292b39e9fcb82f5c630be5e7
ssdeep: 3:TAKRfUMjXjUxUKX5JwKg2KcCo9CvXslb4JUykVDsn:MKfUMXjzMcR2lr9CvXsl
b4JU3VDsn
PEiD..: -
TrID..: File type identification
Generic INI configuration (100.0%)
PEInfo: -



Fichier SySwmvtoavi.dat reçu le 2009.03.22 17:06:14 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/39 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 1.
L'heure estimée de démarrage est entre 42 et 60 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:

Antivirus Version Dernière mise à jour Résultat
a-squared 4.0.0.101 2009.03.22 -
AhnLab-V3 5.0.0.2 2009.03.22 -
AntiVir 7.9.0.120 2009.03.21 -
Authentium 5.1.2.4 2009.03.21 -
Avast 4.8.1335.0 2009.03.21 -
AVG 8.5.0.283 2009.03.21 -
BitDefender 7.2 2009.03.22 -
CAT-QuickHeal 10.00 2009.03.21 -
ClamAV 0.94.1 2009.03.22 -
Comodo 1080 2009.03.22 -
DrWeb 4.44.0.09170 2009.03.22 -
eSafe 7.0.17.0 2009.03.19 -
eTrust-Vet 31.6.6409 2009.03.20 -
F-Prot 4.4.4.56 2009.03.21 -
F-Secure 8.0.14470.0 2009.03.22 -
Fortinet 3.117.0.0 2009.03.22 -
GData 19 2009.03.22 -
Ikarus T3.1.1.48.0 2009.03.22 -
K7AntiVirus 7.10.678 2009.03.21 -
Kaspersky 7.0.0.125 2009.03.22 -
McAfee 5560 2009.03.21 -
McAfee+Artemis 5560 2009.03.21 -
McAfee-GW-Edition 6.7.6 2009.03.21 -
Microsoft 1.4502 2009.03.22 -
NOD32 3953 2009.03.21 -
Norman 6.00.06 2009.03.20 -
nProtect 2009.1.8.0 2009.03.22 -
Panda 10.0.0.10 2009.03.22 -
PCTools 4.4.2.0 2009.03.22 -
Prevx1 V2 2009.03.22 -
Rising 21.21.62.00 2009.03.22 -
Sophos 4.39.0 2009.03.22 -
Sunbelt 3.2.1858.2 2009.03.21 -
Symantec 1.4.4.12 2009.03.22 -
TheHacker 6.3.3.3.287 2009.03.22 -
TrendMicro 8.700.0.1004 2009.03.22 -
VBA32 3.12.10.1 2009.03.22 -
ViRobot 2009.3.20.1658 2009.03.20 -
VirusBuster 4.6.5.0 2009.03.22 -
Information additionnelle
File size: 5 bytes
MD5...: 49e6d19c4336bdb5f213045bcf25c38d
SHA1..: e1bc1dae59f116abb43f9dafbb2acc9b141aa6b0
SHA256: 395c2f5598a1643a205154c6f4c46ce36895b28e6c35660a95e5c6fd5ef9aeab
SHA512: e71fc0604ed0e90283233e84cdc63a8cd9c10d21e38ed772dd0608984242c5f0
fa14fa429a108ccc67ef8258021b5d629b0b69463f9d4cd69521883a73cd3cf4
ssdeep: 3:/ll:X
PEiD..: -
TrID..: File type identification
Unknown!
PEInfo: -
0
Réponse 20 / 45
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
22 mars 2009 à 18:24
Pour c:\windows\system32\3k560Dh5.exe tu va le passer ici : https://virusscan.jotti.org/

Le rapport de scan n'étant pas complet ,je voudrais etre sur .
0

Discussions similaires

Code de réinitialisation mdp facebook sans le demander
Colonel_El_Moustachat -
Colonel_El_Moustachat -

4 réponses
Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
Analyse de l'appli "AI SECURITY"
cl06 -
CCMBot -

1 réponse
Security boot fail lors du démarrage
Steu -
NBK -

4 réponses