Sujet Précédent Sujet Suivant

Le Virus winfile.jpg

Résolu/Fermé
hassalilo - 1 avril 2009 à 13:12
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 - 5 avril 2009 à 18:33
Bonjour, T.monde
j'ai beaucoup chercher sur le net pour trouver une solution au virus mais sans résultat;
d'abord essayant de décrire la situation:
j'ai un portable HP6820s
SE: Windows XP SP
Antivirus: McAfee Virus scan 8.5.0i à jour 30 mars 2009;
anlysé par McAfee pas de détéction;
puis par Kaspersky Virus Removal Tool du 30 mars 2009 pas de détéction aussi;
Mais McAfee affiche chaque ~=15s Message protection lors de l'accès qu'il a supprimer autorun.inf de mes disques locaux;ansi que winxp.exe de System32 et une clé de registre RUNregediit avec 2i "ii";
et j'ai remarquer la présence d'un fichier winfile.jpg dans tous les disques locaux, quand tu le supprime il revient toute seul;

Merci de me répondre;

19 réponses

Réponse 1 / 19
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
5 avril 2009 à 17:50
ok c'est bon

fais le reste

encore des soucis?
3
Réponse 2 / 19
hassalilo Messages postés 25 Date d'inscription mercredi 1 avril 2009 Statut Membre Dernière intervention 23 octobre 2010 1
1 avril 2009 à 16:21
je croie que le pb est régler avec cet outils
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/
le rapport est le suivant:
ComboFix 09-03-31.03 - commercial 2009-04-01 16:08:59.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.2047.1626 [GMT 2:00]
Lancé depuis: c:\documents and settings\commercial\Mes documents\OMessenger\Received files\ComboFix.exe

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\autorun.inf
D:\Autorun.inf
E:\Autorun.inf

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-03-01 au 2009-04-01 ))))))))))))))))))))))))))))))))))))
.

2009-04-01 15:39 . 2009-04-01 16:01 159,364 -rahs---- C:\winfile.jpg
2009-04-01 15:31 . 2009-04-01 15:31 <REP> d-------- c:\windows\system32\xircom
2009-04-01 15:31 . 2009-04-01 15:31 <REP> d-------- c:\windows\system32\restore
2009-04-01 15:31 . 2009-04-01 15:31 <REP> d-------- c:\windows\system32\oobe
2009-04-01 15:31 . 2009-04-01 15:31 <REP> d-------- c:\windows\srchasst
2009-04-01 15:31 . 2009-04-01 15:31 <REP> d-------- c:\windows\msagent
2009-04-01 15:31 . 2009-04-01 15:31 <REP> d-------- c:\program files\microsoft frontpage
2009-04-01 12:08 . 2007-02-09 10:26 184,320 --a------ c:\windows\system32\delnext.exe
2009-04-01 12:08 . 2004-05-05 09:40 16,384 --a------ c:\windows\system32\restart.exe
2009-03-31 11:26 . 2009-03-31 18:12 32 --ahs---- c:\windows\system32\drivers\fidbox.idx
2009-03-31 11:26 . 2009-03-31 18:12 32 --ahs---- c:\windows\system32\drivers\fidbox.dat
2009-03-29 19:05 . 2009-03-29 19:05 <REP> d-------- c:\program files\EBP
2009-03-28 22:42 . 2009-03-28 22:42 <REP> d-------- C:\Memorex Vault
2009-03-28 22:41 . 2009-04-01 15:59 159,364 -rahs---- c:\windows\system32\winjpg.jpg
2009-03-18 13:35 . 2009-03-18 13:35 49 --a------ c:\windows\NeroDigital.ini
2009-03-15 20:22 . 2009-03-15 20:22 <REP> d-------- c:\documents and settings\commercial\Application Data\Ahead
2009-03-15 20:22 . 2009-03-15 20:22 <REP> d-------- c:\documents and settings\All Users\Application Data\LightScribe
2009-03-15 20:12 . 2009-03-15 20:12 <REP> d-------- c:\program files\Fichiers communs\LightScribe
2009-03-15 20:09 . 2009-03-15 20:09 <REP> d-------- c:\program files\Nero
2009-03-15 20:09 . 2009-03-15 20:10 <REP> d-------- c:\program files\Fichiers communs\Ahead
2009-03-15 20:09 . 2009-03-15 20:09 <REP> d-------- c:\documents and settings\All Users\Application Data\Nero
2009-03-10 16:42 . 2009-03-10 16:42 <REP> d-------- c:\documents and settings\All Users\Application Data\Adobe Systems
2009-03-10 16:41 . 2009-03-10 16:41 <REP> d-------- c:\program files\Fichiers communs\Adobe Systems Shared

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-29 19:12 --------- d-----w c:\documents and settings\commercial\Application Data\Skype
2009-03-29 17:10 --------- d-----w c:\documents and settings\commercial\Application Data\skypePM
2009-03-15 17:58 --------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help
2009-03-10 14:45 --------- d-----w c:\program files\Fichiers communs\Adobe
2009-02-23 09:53 --------- d-----w c:\documents and settings\All Users\Application Data\EPSON
2009-02-19 20:18 --------- d-----w c:\documents and settings\commercial\Application Data\Media Player Classic
2009-02-19 20:18 --------- d-----w c:\documents and settings\commercial\Application Data\DivX
2009-02-12 13:23 --------- d-----w c:\program files\CCleaner
2009-02-12 13:20 --------- d-----w c:\program files\RealVNC
2009-02-02 12:40 --------- d-----w c:\program files\Canon
2009-01-29 16:20 86,016 ----a-w c:\windows\system32\ActMonRe.dll
2009-01-29 16:20 83,136 ----a-w c:\windows\UIActFax.exe
2009-01-29 16:20 69,632 ----a-w c:\windows\UIActFax.dll
2009-01-29 16:20 431,296 ----a-w c:\windows\system32\ActMonNT.dll
2009-01-25 08:01 73,728 ----a-w c:\documents and settings\commercial\SetupNI.dll
2009-01-23 10:37 108,144 ----a-w c:\windows\system32\CmdLineExt.dll
2009-01-22 21:10 410,976 ----a-w c:\windows\system32\deploytk.dll
2009-01-22 20:05 39,859 ----a-w c:\windows\system32\UnIfs.exe
.

------- Sigcheck -------

2008-05-13 02:16 594944 26f18b04421e291b898cb8e3e5890234 c:\windows\system32\user32.dll

2008-05-11 01:25 827392 5a0093f59b505c008ed0cee615563c72 c:\windows\system32\wininet.dll

2008-05-13 02:16 361344 68f06fe0021b01e670af37b8c5964fdf c:\windows\system32\drivers\tcpip.sys

2008-05-13 02:19 2165760 3bbf338db2d43e8e5b2e9fc4a89a982c c:\windows\system32\ntkrnlpa.exe

2008-05-13 02:16 2287104 881377cc96baf0e037a481fd5ac8772f c:\windows\system32\ntoskrnl.exe

2008-05-13 02:15 1411584 e06fa4ad565fb4c83c30dde766ffaf1b c:\windows\explorer.exe

2008-05-13 02:15 25600 0d17d896b613f169f7041e020e09d21c c:\windows\system32\ctfmon.exe
.
((((((((((((((((((((((((((((( SnapShot@2009-04-01_15.26.12.90 )))))))))))))))))))))))))))))))))))))))))
.
- 2009-04-01 07:55:52 54,954 ----a-w c:\windows\system32\perfc009.dat
+ 2009-04-01 14:00:17 54,954 ----a-w c:\windows\system32\perfc009.dat
- 2009-04-01 07:55:52 67,038 ----a-w c:\windows\system32\perfc00C.dat
+ 2009-04-01 14:00:17 67,038 ----a-w c:\windows\system32\perfc00C.dat
- 2009-04-01 07:55:52 382,602 ----a-w c:\windows\system32\perfh009.dat
+ 2009-04-01 14:00:17 382,602 ----a-w c:\windows\system32\perfh009.dat
- 2009-04-01 07:55:52 448,726 ----a-w c:\windows\system32\perfh00C.dat
+ 2009-04-01 14:00:17 448,726 ----a-w c:\windows\system32\perfh00C.dat
+ 2009-04-01 13:56:00 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_554.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"OutlookMessenger"="c:\program files\Outlook Messenger\OutlookMessenger.exe" [2009-01-22 6463488]
"LightScribe Control Panel"="c:\program files\Fichiers communs\LightScribe\LightScribeControlPanel.exe" [2007-04-19 484904]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Vistadrv"="c:\program files\VistaDriveStatus\vsdrv.exe" [2006-07-30 121089]
"ShStatEXE"="c:\program files\McAfee\VirusScan Enterprise\SHSTAT.EXE" [2006-11-29 112216]
"McAfeeUpdaterUI"="c:\program files\McAfee\Common Framework\UdaterUI.exe" [2006-11-17 136768]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2007-01-05 872448]

c:\documents and settings\poste plus\Menu Dmarrer\Programmes\Dmarrage\
Stardock ObjectDock.lnk - c:\program files\Stardock\ObjectDock\ObjectDock.exe [2009-01-22 3444008]

c:\documents and settings\commercial\Menu Dmarrer\Programmes\Dmarrage\
Stardock ObjectDock.lnk - c:\program files\Stardock\ObjectDock\ObjectDock.exe [2009-01-22 3444008]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SynchronousMachineGroupPolicy"= 0 (0x0)
"SynchronousUserGroupPolicy"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 1 (0x1)
"HideRunAsVerb"= 1 (0x1)
"NoNetConnectDisconnect"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)
"ForceClassicControlPanel"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
"NoStrCmpLogical"= 0 (0x0)
"NoWelcomeScreen"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)
"ForceClassicControlPanel"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
"NoStrCmpLogical"= 0 (0x0)
"NoWelcomeScreen"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\keygen.exe]
"Debugger"=StripMyRights.exe /D /L C

[HKLM\~\startupfolder\C:^Documents and Settings^commercial^Menu Démarrer^Programmes^Démarrage^Adobe Gamma.lnk]
path=c:\documents and settings\commercial\Menu Démarrer\Programmes\Démarrage\Adobe Gamma.lnk
backup=c:\windows\pss\Adobe Gamma.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2007-05-04 11:39 149040 c:\program files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Client ActiveFax]
--a------ 2009-01-29 18:20 812224 c:\program files\ActiveFax\Client\ActFaxClient.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
-ra------ 2008-11-18 17:31 21633320 c:\program files\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Taskix]
--a------ 2007-01-25 22:33 65536 c:\program files\Taskix\Taskix32.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VisualTaskTips]
--a------ 2007-09-05 19:20 36352 c:\program files\VisualTaskTips\VisualTaskTips.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

R1 Ext2fs;Ext2fs;c:\windows\system32\drivers\ext2fs.sys [2006-10-23 132736]
R1 IfsDrives;IfsDrives;c:\windows\system32\drivers\IfsDrives.sys [2004-09-25 4608]

[COLOR=RED]NETSVCS REQUIRES REPAIRS - current entries shown/COLOR
AppMgmt
AudioSrv
Browser
CryptSvc
DMServer
DHCP
EventSystem
FastUserSwitchingCompatibility
HidServ
Ias
Iprip
Irmon
LanmanServer
LanmanWorkstation
Netman
Nla
Ntmssvc
NWCWorkstation
Nwsapagent
Rasauto
Rasman
Remoteaccess
Schedule
Seclogon
SENS
Sharedaccess
Tapisrv
Themes
W32Time
WZCSVC
Wmi
WmdmPmSp
winmgmt
xmlprov
napagent
hkmsvc
BITS
ShellHWDetection
WmdmPmSN

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1bf60f70-f2a1-11dd-948c-001f2994e3a3}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL log.exe
\Shell\Ouvrir\command - H:\log.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7267cece-1480-11de-94b5-001f2994e3a3}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Wscript.exe /e:vbs winfile.jpg

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{89890180-f37a-11dd-948d-001f2994e3a3}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL log.exe
\Shell\Ouvrir\command - log.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{aedb34f0-ef95-11dd-9487-001f2994e3a3}]
\Shell\AutoRun\command - H:\Launch.exe /run

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c9acd206-0670-11de-94a4-001f2994e3a3}]
\Shell\AutoRun\command - F:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c9acd207-0670-11de-94a4-001f2994e3a3}]
\Shell\AutoRun\command - H:\jjj.exe
\Shell\explore\Command - H:\jjj.exe
\Shell\open\Command - H:\jjj.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ddd16d2b-ead5-11dd-947d-001f2994e3a3}]
\Shell\AutoRun\command - F:\jjj.exe
\Shell\explore\Command - F:\jjj.exe
\Shell\open\Command - F:\jjj.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"c:\program files\Fichiers communs\LightScribe\LSRunOnce.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8CD3B31D-716D-5F87-05D4-10885C63CAA1}]
c:\windows\system32\winxp.exe
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-HijackThis startup scan - c:\documents and settings\commercial\Bureau\HijackThis.exe


.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
mStart Page = hxxp://www.google.com/
FF - ProfilePath - c:\documents and settings\commercial\Application Data\Mozilla\Firefox\Profiles\14zkx910.default\
FF - component: c:\program files\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
.
.
------- Associations de fichier -------
.
vbefile\shell\edit\command=%SystemRoot%\System32\Notepad.exe %1
vbsfile\shell\edit\command=%SystemRoot%\System32\Notepad.exe %1
jsefile\shell\edit\command=%SystemRoot%\System32\Notepad.exe %1
.

**************************************************************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-01 16:10:23
Windows 5.1.2600 Service Pack 3, v.5512 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(528)
c:\windows\system32\SETUPAPI.dll
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\COMRes.dll

- - - - - - - > 'lsass.exe'(608)
c:\windows\system32\setupapi.dll
c:\windows\system32\scecli.dll
.
Heure de fin: 2009-04-01 16:11:07
ComboFix-quarantined-files.txt 2009-04-01 14:11:05
ComboFix2.txt 2009-04-01 13:26:44

Avant-CF: 35,904,929,792 octets libres
Après-CF: 35,898,589,184 octets libres

246
j'ai utilisé aussi :Zyzoom_HijackThis pour supprimer ou fixer qlq clé registre comme
c:\windows\system32\unrar.exe
autre Wscript.exe /e:vbs winfile.jpg
+++excusa moi de ne pas être claire care je suis épuisé +++
1
Réponse 3 / 19
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
1 avril 2009 à 13:31
slt,



Télécharge RavAntivirus d'Evosla :
http://ww25.evosla.com/compteur.php?soft=rav_antivirus

# Si tu as une clé USB, disque dur externe, etc, branche-les sans les ouvrir avant de lancer ce FIX
# Fais un clic droit sur le fichier .ZIP > Extraire sur > le Bureau
# Doucle-clique sur >> RAV.exe << afin de lancer l'outil.
# Une fois RAV ANTIVIRUS lancé, laisse-le réagir , il scanne automatiquement tout les lecteurs (disques fixes et amovibles)
# Si infection > un log s'établira, sinon le soft affichera (très rapide) ==>Votre Ordinateur est sain .
# Retire tes disques amovibles et redémarrez votre ordinateur.
# Poste le rapport, si infection!

_________________

Télécharge sur le bureau Flash Disinfector (de SUBS) à cette adresse : http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe

Double-clique sur l’icône.
Les icônes vont disparaître. C’est normal.
Si un rapport est généré en cas d'infection, sauvegarde-le sur le bureau, et poste le ensuite
Redémarre ensuite le PC.

_________________

Télécharge ici :

http://images.malwareremoval.com/random/RSIT.exe

random's system information tool (RSIT) par andom/random et sauvegarde-le sur le Bureau.

Double-clique sur RSIT.exe afin de lancer RSIT.

Clique Continue à l'écran Disclaimer.

Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

Poste le contenu de log.txt (<<qui sera affiché)
ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

NB : Les rapports sont sauvegardés dans le dossier C:\rsit
0
hassalilo Messages postés 25 Date d'inscription mercredi 1 avril 2009 Statut Membre Dernière intervention 23 octobre 2010 1
1 avril 2009 à 14:40
Merci de la réponse jlpjlp;
j'ai oublier de dir que j'ai utilisé Rav la tout dérnière version téléchargé aujourd'hui sans aucun résultat!
Le 2éme lien me dit page not found
et je croi que j'ai trouvé la solution , je vous répon après l'essaye:
Merci à ts
0
Réponse 4 / 19
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
1 avril 2009 à 16:19
alors mets RSIT Svp

avec cela je te le virerai sans problème
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 19
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
1 avril 2009 à 16:31
ok mais ilaurait fallu rsit avant .... c'est dommage de faire à l'envers

surtout qu'il est toujours present:



2009-04-01 15:39 . 2009-04-01 16:01 159,364 -rahs---- C:\winfile.jpg


____________________



alors essaie de faire comme je te demande sinon cela reviendra !!!!!

dans l'ordre:

analyse ces deux fichiers sur virus total et colle les rapports: https://www.virustotal.com/gui/
c:\windows\system32\winxp.exe
c:\windows\system32\winjpg.jpg

_______________

scan ton ordi avec malwarebyte et colle le rapport:

https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

________________

METS UN RAPPORT RSIT










je met ceci de coté

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8CD3B31D-716D-5F87-05D4-10885C63CAA1}]
c:\windows\system32\winxp.exe


H:\log.exe
H:\jjj.exe
C:\winfile.jpg
c:\windows\system32\winjpg.jpg

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1bf60f70-f2a1-11dd-948c-001f2994e3a3}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7267cece-1480-11de-94b5-001f2994e3a3}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{89890180-f37a-11dd-948d-001f2994e3a3}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c9acd207-0670-11de-94a4-001f2994e3a3}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ddd16d2b-ead5-11dd-947d-001f2994e3a3}]
0
Réponse 6 / 19
hassalilo Messages postés 25 Date d'inscription mercredi 1 avril 2009 Statut Membre Dernière intervention 23 octobre 2010 1
1 avril 2009 à 17:05
Dacodo mon Amis je veux essayer encore, mais cette fois ci je serai prudent et je suivrai tes conseil
Merci pour ts.
0
Réponse 7 / 19
hassalilo Messages postés 25 Date d'inscription mercredi 1 avril 2009 Statut Membre Dernière intervention 23 octobre 2010 1
1 avril 2009 à 17:27
voila le résultat d'analyse de C:\Windows\System32\winjpg.jpg :
Fichier winjpg.jpg reçu le 2009.04.01 17:09:15 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE


Résultat: 4/38 (10.53%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 2.
L'heure estimée de démarrage est entre 44 et 63 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:


Antivirus Version Dernière mise à jour Résultat
a-squared 4.0.0.101 2009.04.01 VBS.Flesh!IK
AhnLab-V3 5.0.0.2 2009.04.01 -
AntiVir 7.9.0.129 2009.04.01 -
Antiy-AVL 2.0.3.1 2009.04.01 -
Authentium 5.1.2.4 2009.03.31 -
Avast 4.8.1335.0 2009.03.31 -
AVG 8.5.0.285 2009.04.01 -
BitDefender 7.2 2009.04.01 VBS.Flesh.A
CAT-QuickHeal 10.00 2009.04.01 -
ClamAV 0.94.1 2009.04.01 -
Comodo 1093 2009.04.01 -
DrWeb 4.44.0.09170 2009.04.01 -
eSafe 7.0.17.0 2009.04.01 -
eTrust-Vet 31.6.6429 2009.04.01 -
F-Prot 4.4.4.56 2009.03.31 -
F-Secure 8.0.14470.0 2009.04.01 -
Fortinet 3.117.0.0 2009.04.01 -
GData 19 2009.04.01 VBS.Flesh.A
Ikarus T3.1.1.49.0 2009.04.01 VBS.Flesh
K7AntiVirus 7.10.687 2009.03.31 -
Kaspersky 7.0.0.125 2009.04.01 -
McAfee 5570 2009.03.31 -
McAfee+Artemis 5570 2009.03.31 -
McAfee-GW-Edition 6.7.6 2009.04.01 -
Microsoft 1.4502 2009.04.01 -
NOD32 3980 2009.04.01 -
Norman 6.00.06 2009.04.01 -
PCTools 4.4.2.0 2009.04.01 -
Prevx1 V2 2009.04.01 -
Rising 21.23.22.00 2009.04.01 -
Sophos 4.40.0 2009.04.01 -
Sunbelt 3.2.1858.2 2009.04.01 -
Symantec 1.4.4.12 2009.04.01 -
TheHacker 6.3.4.0.298 2009.04.01 -
TrendMicro 8.700.0.1004 2009.04.01 -
VBA32 3.12.10.1 2009.03.31 -
ViRobot 2009.4.1.1671 2009.04.01 -
VirusBuster 4.6.5.0 2009.03.31 -
Information additionnelle
File size: 159364 bytes
MD5...: cdfe8adc8ae35bf9af057b22047541bf
SHA1..: 60e3183886d5c3a247addabca842f06e8ee5ed7f
SHA256: 9fb52ae9a85ef303a7cae5ad061dbe4bb30daf2cf2b5b744ce218cf83f30ada2
SHA512: 4f5ba03664deb66852f81b0b8b030faabba1df6e8d75dd25691a4b41a5472c57
e36a754ace0812b5e0febb6c26f0709ba6ec3228f9d956dccdf3101d95e80caa
ssdeep: 3072:7+amEkjV1YUWk91ek91xkW99Mqr8tTQ6187JFCkTNp8S:a

PEiD..: -
TrID..: File type identification
Text - UTF-16 (LE) encoded (64.4%)
MP3 audio (32.2%)
Lumena CEL bitmap (2.0%)
Corel Photo Paint (1.3%)
PEInfo: -
RDS...: NSRL Reference Data Set
-
packers (F-Prot): Unicode


---
l'Enfance passe, la Jeunesse la remplace,la Vieillesse prend sa place, pour que la Mort les ramasse, seul les Souvenir des bon amis qui restent à leurs place.
***سبحان الله وبحمده سبحان الله العضيم***
0
HASSALILO
1 avril 2009 à 18:29
VOICI LERAPPORT DE Malwarebytes' Anti-Malware 1.35:
Malwarebytes' Anti-Malware 1.35
Version de la base de données: 1929
Windows 5.1.2600 Service Pack 3, v.5512

2009-04-01 18:22:40
mbam-log-2009-04-01 (18-22-40).txt

Type de recherche: Examen complet (C:\|D:\|E:\|)
Eléments examinés: 146500
Temps écoulé: 26 minute(s), 27 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp (Hijack.Help) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\winjpg.jpg (Backdoor.Poison) -> Quarantined and deleted successfully.
Malwarebytes' Anti-Malware 1.35
Version de la base de données: 1929
Windows 5.1.2600 Service Pack 3, v.5512

2009-04-01 18:22:40
mbam-log-2009-04-01 (18-22-40).txt

Type de recherche: Examen complet (C:\|D:\|E:\|)
Eléments examinés: 146500
Temps écoulé: 26 minute(s), 27 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
0
Réponse 8 / 19
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
1 avril 2009 à 18:38
tu as analysé celui ci:
https://www.virustotal.com/gui/


c:\windows\system32\winxp.exe


???
0
Réponse 9 / 19
hassalilo Messages postés 25 Date d'inscription mercredi 1 avril 2009 Statut Membre Dernière intervention 23 octobre 2010 1
1 avril 2009 à 18:39
voici aussi le RSIT :
info.txt logfile of random's system information tool 1.06 2009-04-01 18:31:49

======Uninstall list======

-->C:\Program Files\Nero\Nero 7\nero\uninstall\UNNERO.exe /UNINSTALL
40000 lettres types & correspondance-->"C:\Program Files\Anuman Interactive\40000 lettres types & correspondance\unins000.exe"
7-Zip 4.57-->"C:\Program Files\7-Zip\Uninstall.exe"
ActiveFax-->C:\WINDOWS\UIActFax.exe
Adobe Bridge 1.0-->MsiExec.exe /I{B74D4E10-6884-0000-0000-000000000101}
Adobe Common File Installer-->MsiExec.exe /I{8EDBA74D-0686-4C99-BFDD-F894678E5101}
Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Help Center 1.0-->MsiExec.exe /I{E9787678-119F-4D52-B551-6739B2B22101}
Adobe Photoshop CS2-->msiexec /I {236BB7C4-4419-42FD-0409-1E257A25E34D}
Adobe Shockwave Player 11-->C:\WINDOWS\system32\adobe\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Adobe\SHOCKW~1\Install.log
Adobe Stock Photos 1.0-->MsiExec.exe /I{786C5747-1033-0000-B58E-000000000001}
Adobe SVG Viewer 3.0-->C:\Program Files\Fichiers communs\Adobe\SVG Viewer 3.0\Uninstall\Winstall.exe -u -fC:\Program Files\Fichiers communs\Adobe\SVG Viewer 3.0\Uninstall\Install.log
Agere Systems HDA Modem-->agrsmdel
ATI Display Driver-->rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean
Canon LBP2900-->C:\Program Files\Canon\PrnUninstall\Canon LBP2900\CNAB4UN.EXE
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
Complément Microsoft Enregistrer en tant que PDF ou XPS pour programmes Microsoft Office 2007-->MsiExec.exe /X{90120000-00B2-040C-0000-0000000FF1CE}
EBP Comptes Bancaires 2008-->"C:\Program Files\EBP\Comptes Bancaires\unins000.exe"
Ext2Ifs-->"C:\WINDOWS\System32\UnIfs.exe"
FastStone-->"C:\Program Files\FastStone Capture\Désinstaller.exe"
Foxit Reader-->C:\Program Files\Foxit Software\Foxit Reader\Uninstall.exe
HijackThis 2.0.2-->"C:\Documents and Settings\commercial\Bureau\HijackThis.exe" /uninstall
Java(TM) 6 Update 10-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216010FF}
Java(TM) 6 Update 6-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160060}
K-Lite Codec Pack 4.2.5 (Full)-->"C:\Program Files\K-Lite Codec Pack\unins000.exe"
LClock-->"C:\Program Files\LClock\Désinstaller.exe"
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
McAfee VirusScan Enterprise-->MsiExec.exe /I{35C03C04-3F1F-42C2-A989-A757EE691F65}
Microsoft .NET Framework 2.0 Service Pack 1-->MsiExec.exe /I{B508B3F1-A24A-32C0-B310-85786919EF28}
Microsoft Office Access MUI (French) 2007-->MsiExec.exe /X{90120000-0015-040C-0000-0000000FF1CE}
Microsoft Office Excel MUI (French) 2007-->MsiExec.exe /X{90120000-0016-040C-0000-0000000FF1CE}
Microsoft Office InfoPath MUI (French) 2007-->MsiExec.exe /X{90120000-0044-040C-0000-0000000FF1CE}
Microsoft Office Outlook MUI (French) 2007-->MsiExec.exe /X{90120000-001A-040C-0000-0000000FF1CE}
Microsoft Office PowerPoint MUI (French) 2007-->MsiExec.exe /X{90120000-0018-040C-0000-0000000FF1CE}
Microsoft Office Professional Plus 2007-->"C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall PROPLUS /dll OSETUP.DLL
Microsoft Office Professional Plus 2007-->MsiExec.exe /X{90120000-0011-0000-0000-0000000FF1CE}
Microsoft Office Proof (Arabic) 2007-->MsiExec.exe /X{90120000-001F-0401-0000-0000000FF1CE}
Microsoft Office Proof (Dutch) 2007-->MsiExec.exe /X{90120000-001F-0413-0000-0000000FF1CE}
Microsoft Office Proof (English) 2007-->MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
Microsoft Office Proof (French) 2007-->MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}
Microsoft Office Proof (German) 2007-->MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}
Microsoft Office Proof (Spanish) 2007-->MsiExec.exe /X{90120000-001F-0C0A-0000-0000000FF1CE}
Microsoft Office Proofing (French) 2007-->MsiExec.exe /X{90120000-002C-040C-0000-0000000FF1CE}
Microsoft Office Publisher MUI (French) 2007-->MsiExec.exe /X{90120000-0019-040C-0000-0000000FF1CE}
Microsoft Office Shared MUI (French) 2007-->MsiExec.exe /X{90120000-006E-040C-0000-0000000FF1CE}
Microsoft Office Word MUI (French) 2007-->MsiExec.exe /X{90120000-001B-040C-0000-0000000FF1CE}
Mozilla Firefox (3.0.5)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
Nero 7 Essentials-->MsiExec.exe /X{F61DD673-0030-4BB2-A382-7E57E97F1036}
ObjectDock-->C:\PROGRA~1\Stardock\OBJECT~1\UNWISE.EXE C:\PROGRA~1\Stardock\OBJECT~1\INSTALL.LOG
OutlookMessenger V5.0-->"C:\Program Files\Outlook Messenger\unins000.exe"
QAD Enterprise Applications 2007.1-->C:\Program Files\InstallShield Installation Information\{F6F3DDF3-3F4B-4052-95F4-D062E29EEB64}\setup.exe -runfromtemp -l0x0009 -removeonly
Skype 3.8-->MsiExec.exe /X{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}
SoundMAX-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\10\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F0A37341-D692-11D4-A984-009027EC0A9C}\Setup.exe" -l0x40c -removeonly
Taskix-->"C:\Program Files\Taskix\Désinstaller.exe"
Test Drive Unlimited-->MsiExec.exe /X{C37A0BC1-52EE-4F97-8223-5CA9FC0357B0}
TransBar-->"C:\Program Files\TransBar\Désinstaller.exe"
Unlocker 1.8.7-->C:\Program Files\Unlocker\uninst.exe
USB Vibration Joystick-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\0700\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{57496D70-3C5A-4197-9908-128101444B73}\setup.exe" -l0x9
VistaDriveStatus-->"C:\Program Files\VistaDriveStatus\Désinstaller.exe"
VisualTaskTips-->"C:\Program Files\VisualTaskTips\Désinstaller.exe"
VNC Enterprise Edition E4.4.3-->"C:\Program Files\RealVNC\VNC4\unins000.exe"
VNC Mirror Driver 1.8.0-->"C:\Program Files\RealVNC\VNC4\Mirror Driver\unins000.exe"
Windows Live Messenger-->MsiExec.exe /X{BADF6744-3787-48F6-B8C9-4C4995401D65}
Windows Trust Anti-Pub-->"C:\WINDOWS\System32\Drivers\Etc\UnHosts.exe"
Windows Trust Installer-->"C:\Program Files\WTInstaller\Désinstaller.exe"
WinRAR-->"C:\Program Files\WinRAR\uninstall.exe"
WinRoll-->"C:\Program Files\WinRoll\Désinstaller.exe"

=====HijackThis Backups=====

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-04-01]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF [2009-04-01]
O4 - HKLM\..\Run: [regdiit] C:\WINDOWS\system32\winxp.exe [2009-04-01]
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll [2009-04-01]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF [2009-04-01]
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoris [2009-04-01]
O4 - HKLM\..\Run: [CTFMON] C:\WINDOWS\system32\wscript.exe /E:vbs C:\WINDOWS\system32\winjpg.jpg [2009-04-01]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp [2009-04-01]
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) [2009-04-01]
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\McAfee\VirusScan Enterprise\Scriptcl.dll [2009-04-01]
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll [2009-04-01]
O4 - HKLM\..\Run: [CTFMON] C:\WINDOWS\system32\wscript.exe /E:vbs C:\WINDOWS\system32\winjpg.jpg [2009-04-01]
O16 - DPF: {53D40FAA-4E21-459F-AA87-E4D97FC3245A} (InstallShield Setup Player V12) - http://serveur:8080/qadhome/client/setup.exe [2009-04-01]
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000 [2009-04-01]
O4 - HKLM\..\Run: [regdiit] C:\WINDOWS\system32\winxp.exe [2009-04-01]
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL [2009-04-01]
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe [2009-04-01]
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background [2009-04-01]
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe [2009-04-01]
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe [2009-04-01]
O4 - HKLM\..\Run: [CTFMON] C:\WINDOWS\system32\wscript.exe /E:vbs C:\WINDOWS\system32\winjpg.jpg [2009-04-01]
O4 - HKLM\..\Run: [regdiit] C:\WINDOWS\system32\winxp.exe [2009-04-01]

======Hosts File======

127.0.0.1 localhost
127.0.0.1 mpa.one.microsoft.com
127.0.0.1 rad.msn.com
127.0.0.1 rad.live.com
127.0.0.1 ads1.msn.com
127.0.0.1 adfarm.mediaplex.com
127.0.0.1 101com.com
127.0.0.1 101order.com
127.0.0.1 103bees.com
127.0.0.1 1100i.com

Securitycenter WMI appears to be broken

======System event log======

Computer Name:
Event Code: 11197
Message: Échec lors de la mise à jour et la suppression des enregistrements (RR) des ressources hôte (A) de la carte réseau
ayant les paramètres :


Nom de la carte : {D98996B1-2B76-430E-9FA1-0572EB441799}



La raison pour laquelle la demande de mise à jour a échoué est un problème
système. Pour un code d'erreur spécifique, consultez les données d'enregistrement affichées ci-dessous.

Record Number: 1758
Source Name: DnsApi
Time Written: 20090307144221.000000+060
Event Type: Avertissement
User:

Computer Name:
Event Code: 4202
Message: Le système a détecté que la carte réseau Intel(R) 82562GT 10/100 Network Connection était déconnectée du réseau,
et la configuration réseau de la carte a été abandonnée. Si la carte
réseau n'était pas déconnectée, ceci peut indiquer un disfonctionnement.
Contactez le fabricant pour des pilotes mis à jour.

Record Number: 1757
Source Name: Tcpip
Time Written: 20090307144221.000000+060
Event Type: Informations
User:

Computer Name:
Event Code: 27
Message:
Record Number: 1756
Source Name: e1express
Time Written: 20090307144213.000000+060
Event Type: Avertissement
User:

Computer Name:
Event Code: 20
Message: Le pilote d'imprimante EPSON Stylus CX4300 Series pour Windows NT x86 Version-3 a été ajouté ou mis à jour. Fichiers :- E_FMAICAR.DLL, E_FUICCAR.DLL, E_FVIFCAR.VIF, E_QI111E.CHM, E_FDSPCAR.DLL, E_FJBCCAR.DLL, E_FCONCAR.DLL, E_FPRMCAR.PRM, E_FOKACAR.DLL, E_FAUDCAR.DLL, E_FUIRCAR.DLL, E_FUI1CAR.DLL, E_FUIPCAR.DLL, E_FCF0CAR.CFG, E_FGRCCAR.DLL, E_FPRUCAR.DLL, E_FPRECAR.EXE, E_FPI1CAR.DAT, EPSET32.DLL, E_FHM0CAR.DLL, E_FMW0CAR.DLL, E_FHT0CAR.DLL, E_FSR0CAR.DLL, E_FHBRCAR.DLL, E_FHUTCAR.DLL, E_FHUTCAR.EXE, E_FHSRCAR.DLL, E_FBA6CAR.DLL, E_FBL6CAR.DLL, E_FBIDCAR.LMD, E_FBAPCAR.DLL, EBAPI4.DLL, EBPBIDI.DLL, EPUPDATE.EXE, EPUPDATE.DAT, E_FARNCAR.EXE, E_FASKCAR.DLL, E_FAMTCAR.EXE, E_FAIRCAR.DLL, E_FAPRCAR.DLL, E_FATICAR.EXE, E_FABRCAR.DLL, E_FASRCAR.DLL, E_FBCSCAR.EXE, E_FAIFCAR.DAT, E_FGEPCAR.DLL, E_FASOCAR.DLL, E_S40RP7.EXE, E_QIAL2E.CHM, E_DUPA20.EXE, E_DUPA2E.DLL.

Record Number: 1755
Source Name: Print
Time Written: 20090307143946.000000+060
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

Computer Name:
Event Code: 20
Message: Le pilote d'imprimante EPSON Stylus CX4300 Series pour Windows NT x86 Version-3 a été ajouté ou mis à jour. Fichiers :- E_FMAICAR.DLL, E_FUICCAR.DLL, E_FVIFCAR.VIF, E_QI111E.CHM, E_FDSPCAR.DLL, E_FJBCCAR.DLL, E_FCONCAR.DLL, E_FPRMCAR.PRM, E_FOKACAR.DLL, E_FAUDCAR.DLL, E_FUIRCAR.DLL, E_FUI1CAR.DLL, E_FUIPCAR.DLL, E_FCF0CAR.CFG, E_FGRCCAR.DLL, E_FPRUCAR.DLL, E_FPRECAR.EXE, E_FPI1CAR.DAT, EPSET32.DLL, E_FHM0CAR.DLL, E_FMW0CAR.DLL, E_FHT0CAR.DLL, E_FSR0CAR.DLL, E_FHBRCAR.DLL, E_FHUTCAR.DLL, E_FHUTCAR.EXE, E_FHSRCAR.DLL, E_FBA6CAR.DLL, E_FBL6CAR.DLL, E_FBIDCAR.LMD, E_FBAPCAR.DLL, EBAPI4.DLL, EBPBIDI.DLL, EPUPDATE.EXE, EPUPDATE.DAT, E_FARNCAR.EXE, E_FASKCAR.DLL, E_FAMTCAR.EXE, E_FAIRCAR.DLL, E_FAPRCAR.DLL, E_FATICAR.EXE, E_FABRCAR.DLL, E_FASRCAR.DLL, E_FBCSCAR.EXE, E_FAIFCAR.DAT, E_FGEPCAR.DLL, E_FASOCAR.DLL, E_S40RP7.EXE, E_QIAL2E.CHM, E_DUPA20.EXE, E_DUPA2E.DLL.

Record Number: 1754
Source Name: Print
Time Written: 20090307143747.000000+060
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

=====Application event log=====

Computer Name:
Event Code: 4099
Message: Échec de l'ouverture de services.

Record Number: 2459
Source Name: WmiAdapter
Time Written: 20090326090443.000000+060
Event Type: erreur
User: BUILTIN\Administrateurs

Computer Name:
Event Code: 4099
Message: Échec de l'ouverture de services.

Record Number: 2458
Source Name: WmiAdapter
Time Written: 20090326090440.000000+060
Event Type: erreur
User: BUILTIN\Administrateurs

Computer Name:
Event Code: 8193
Message: Erreur du service de cliché instantané des volumes : erreur lors de l'appel de la routine CoCreateInstance. hr = 0x80040206.

Record Number: 2457
Source Name: VSS
Time Written: 20090326090440.000000+060
Event Type: erreur
User:

Computer Name:
Event Code: 4609
Message: Le système d'événements de COM+ a détecté un code de renvoi erroné lors de son traitement interne. Le HRESULT est 80070422 à partir de la ligne 44 de f:\xpsp3\com\com1x\src\events\tier1\eventsystemobj.cpp. Contactez les services du Support Technique Microsoft pour signaler cette erreur.
Record Number: 2456
Source Name: EventSystem
Time Written: 20090326090440.000000+060
Event Type: erreur
User:

Computer Name:
Event Code: 4
Message: The LightScribe Service started successfully.

Record Number: 2455
Source Name: LightScribeService
Time Written: 20090326090435.000000+060
Event Type: Informations
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%systemroot%\system32;%systemroot%;%systemroot%\system32\wbem;C:\Program Files\Fichiers communs\Adobe\AGL
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 15 Stepping 13, GenuineIntel
"PROCESSOR_REVISION"=0f0d
"NUMBER_OF_PROCESSORS"=2
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"VSEDEFLOGDIR"=C:\Documents and Settings\All Users\Application Data\McAfee\DesktopProtection
"DEFLOGDIR"=C:\Documents and Settings\All Users\Application Data\McAfee\DesktopProtection

-----------------EOF-----------------

Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp (Hijack.Help) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\winjpg.jpg (Backdoor.Poison) -> Quarantined and deleted successfully.
Malwarebytes' Anti-Malware 1.35
Version de la base de données: 1929
Windows 5.1.2600 Service Pack 3, v.5512

2009-04-01 18:22:40
mbam-log-2009-04-01 (18-22-40).txt

Type de recherche: Examen complet (C:\|D:\|E:\|)
Eléments examinés: 146500
Temps écoulé: 26 minute(s), 27 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp (Hijack.Help) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\winjpg.jpg (Backdoor.Poison) -> Quarantined and deleted successfully.
0
Réponse 10 / 19
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
1 avril 2009 à 18:43
vire le backup (sauvegarde d'hijackhtis)



rsit est incomplet

et

Tu as analysé celui ci:
https://www.virustotal.com/gui/


c:\windows\system32\winxp.exe
0
Réponse 11 / 19
hassalilo Messages postés 25 Date d'inscription mercredi 1 avril 2009 Statut Membre Dernière intervention 23 octobre 2010 1
1 avril 2009 à 19:00
je n'est pas trouver winxp.exe il été supprimer je croi;
q c q vous dit du RSIT pour quoi est incompler!
Merci
0
Réponse 12 / 19
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
1 avril 2009 à 19:13
RSIT dois te sortir deux rapport et tu n'en as mis qu'un
0
Réponse 13 / 19
hassalilo Messages postés 25 Date d'inscription mercredi 1 avril 2009 Statut Membre Dernière intervention 23 octobre 2010 1
4 avril 2009 à 17:23
Salut jlpjlp voici le dernier rapport fait aujourd'hui le pb de virus n'existe plus maintenant,mais j'ai besoin de savoir ainsi que les amis 'internautes ' comment se protéger de se genre d'infection;
RSIT:
Logfile of random's system information tool 1.06 (written by random/random)
Run by commercial at 2009-04-04 17:09:14
Microsoft Windows XP Professionnel Service Pack 3, v.5512
System drive C: has 34 GB (68%) free of 50 GB
Total RAM: 2047 MB (65% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:10, on 2009-04-04
Platform: Windows XP SP3, v.5512 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20772)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\McAfee\Common Framework\FrameworkService.exe
C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe
C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe

C:\WINDOWS\Explorer.EXE
C:\Program Files\McAfee\Common Framework\UdaterUI.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Outlook Messenger\OutlookMessenger.exe
C:\Program Files\McAfee\Common Framework\McTray.exe
C:\Program Files\Fichiers communs\LightScribe\LightScribeControlPanel.exe

C:\Program Files\Microsoft Office\Office12\WINWORD.EXE

C:\Program Files\Microsoft Office\Office12\EXCEL.EXE

C:\Documents and Settings\commercial\Bureau\RSIT.exe
C:\Program Files\trend micro\commercial.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
O4 - HKLM\..\Run: [Vistadrv] C:\Program Files\VistaDriveStatus\vsdrv.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKCU\..\Run: [OutlookMessenger] "C:\Program Files\Outlook Messenger\OutlookMessenger.exe" /m
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Fichiers communs\LightScribe\LightScribeControlPanel.exe -hidden
O4 - Startup: Stardock ObjectDock.lnk = C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = l
O17 - HKLM\Software\..\Telephony: DomainName =
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain =
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Program Files\McAfee\Common Framework\FrameworkService.exe
O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe
O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe
0
Réponse 14 / 19
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
4 avril 2009 à 18:16
ok
branche tes disques externes et vire les protections:




Pour fusionner:

http://img.photobucket.com/albums/v666/sUBs/CFScript.gif

_______________

telecharge combofix:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Sauvegarde le sur ton bureau et pas ailleurs !

_________________

Ferme tous tes navigateurs (donc copie ou imprime les instructions avant)

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :





File::

H:\jjj.exe
F:\jjj.exe
H:\log.exe
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1bf60f70-f2a1-11dd-948c-001f2994e3a3}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7267cece-1480-11de-94b5-001f2994e3a3}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{89890180-f37a-11dd-948d-001f2994e3a3}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c9acd207-0670-11de-94a4-001f2994e3a3}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ddd16d2b-ead5-11dd-947d-001f2994e3a3}]



Enregistre ce fichier sous le nom CFscript


Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe

Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.


Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt







____________________




cette infection transite par les clés usb, disques externes, en ayant fais flash disinfector tu as vacciné tes clés et tu ne devrait plus les avoir

sinon pour info regarde ici:
http://forum.malekal.com/ftopic3350.php


______________________




pour virer ce qui a été utilisé:


Télécharge ToolsCleaner sur ton bureau.
--> http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner
# Clique sur Recherche et laisse le scan agir ...
# Clique sur Suppression pour finaliser.
# Tu peux, si tu le souhaites, te servir des Options facultatives.
# Clique sur Quitter pour obtenir le rapport.
# Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).
0
Réponse 15 / 19
hassalilo Messages postés 25 Date d'inscription mercredi 1 avril 2009 Statut Membre Dernière intervention 23 octobre 2010 1
5 avril 2009 à 17:36
SALUT
voici le nouveau rapport:
ComboFix 09-04-04.01 - commercial 2009-04-05 17:27:56.3 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.2047.1435 [GMT 2:00]
Lancé depuis: c:\documents and settings\commercial\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\commercial\Bureau\CFscript.txt
* Resident AV is active


AVERTISSEMENT - LA CONSOLE DE RةCUPةRATION N'EST PAS INSTALLةE SUR CETTE MACHINE !!
.

((((((((((((((((((((((((((((( Fichiers créés du 2009-03-05 au 2009-04-05 ))))))))))))))))))))))))))))))))))))
.

2009-04-04 17:09 . 2009-04-04 17:10 <REP> d-------- c:\program files\trend micro
2009-04-01 18:31 . 2009-04-01 18:31 <REP> d-------- C:\rsit
2009-04-01 17:44 . 2009-04-01 17:44 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-04-01 17:44 . 2009-04-01 17:44 <REP> d-------- c:\documents and settings\commercial\Application Data\Malwarebytes
2009-04-01 17:44 . 2009-04-01 17:44 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-04-01 17:44 . 2009-03-26 16:49 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-01 17:44 . 2009-03-26 16:49 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-04-01 15:31 . 2009-04-01 15:31 <REP> d-------- c:\windows\system32\xircom
2009-04-01 15:31 . 2009-04-01 15:31 <REP> d-------- c:\windows\system32\restore
2009-04-01 15:31 . 2009-04-01 15:31 <REP> d-------- c:\windows\system32\oobe
2009-04-01 15:31 . 2009-04-01 15:31 <REP> d-------- c:\windows\srchasst
2009-04-01 15:31 . 2009-04-01 15:31 <REP> d-------- c:\windows\msagent
2009-04-01 15:31 . 2009-04-01 15:31 <REP> d-------- c:\program files\microsoft frontpage
2009-04-01 12:08 . 2007-02-09 10:26 184,320 --a------ c:\windows\system32\delnext.exe
2009-04-01 12:08 . 2004-05-05 09:40 16,384 --a------ c:\windows\system32\restart.exe
2009-03-31 11:26 . 2009-03-31 18:12 32 --ahs---- c:\windows\system32\drivers\fidbox.idx
2009-03-31 11:26 . 2009-03-31 18:12 32 --ahs---- c:\windows\system32\drivers\fidbox.dat
2009-03-29 19:05 . 2009-03-29 19:05 <REP> d-------- c:\program files\EBP
2009-03-28 22:42 . 2009-03-28 22:42 <REP> d-------- C:\Memorex Vault
2009-03-18 13:35 . 2009-03-18 13:35 49 --a------ c:\windows\NeroDigital.ini
2009-03-15 20:22 . 2009-03-15 20:22 <REP> d-------- c:\documents and settings\commercial\Application Data\Ahead
2009-03-15 20:22 . 2009-03-15 20:22 <REP> d-------- c:\documents and settings\All Users\Application Data\LightScribe
2009-03-15 20:12 . 2009-03-15 20:12 <REP> d-------- c:\program files\Fichiers communs\LightScribe
2009-03-15 20:09 . 2009-03-15 20:09 <REP> d-------- c:\program files\Nero
2009-03-15 20:09 . 2009-03-15 20:10 <REP> d-------- c:\program files\Fichiers communs\Ahead
2009-03-15 20:09 . 2009-03-15 20:09 <REP> d-------- c:\documents and settings\All Users\Application Data\Nero
2009-03-10 16:42 . 2009-03-10 16:42 <REP> d-------- c:\documents and settings\All Users\Application Data\Adobe Systems
2009-03-10 16:41 . 2009-03-10 16:41 <REP> d-------- c:\program files\Fichiers communs\Adobe Systems Shared

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-29 19:12 --------- d-----w c:\documents and settings\commercial\Application Data\Skype
2009-03-29 17:10 --------- d-----w c:\documents and settings\commercial\Application Data\skypePM
2009-03-15 17:58 --------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help
2009-03-10 14:45 --------- d-----w c:\program files\Fichiers communs\Adobe
2009-02-23 09:53 --------- d-----w c:\documents and settings\All Users\Application Data\EPSON
2009-02-19 20:18 --------- d-----w c:\documents and settings\commercial\Application Data\Media Player Classic
2009-02-19 20:18 --------- d-----w c:\documents and settings\commercial\Application Data\DivX
2009-02-12 13:23 --------- d-----w c:\program files\CCleaner
2009-02-12 13:20 --------- d-----w c:\program files\RealVNC
2009-01-29 16:20 86,016 ----a-w c:\windows\system32\ActMonRe.dll
2009-01-29 16:20 83,136 ----a-w c:\windows\UIActFax.exe
2009-01-29 16:20 69,632 ----a-w c:\windows\UIActFax.dll
2009-01-29 16:20 431,296 ----a-w c:\windows\system32\ActMonNT.dll
2009-01-25 08:01 73,728 ----a-w c:\documents and settings\commercial\SetupNI.dll
2009-01-23 10:37 108,144 ----a-w c:\windows\system32\CmdLineExt.dll
2009-01-22 21:10 410,976 ----a-w c:\windows\system32\deploytk.dll
2009-01-22 20:05 39,859 ----a-w c:\windows\system32\UnIfs.exe
.

------- Sigcheck -------

2008-05-13 02:16 594944 26f18b04421e291b898cb8e3e5890234 c:\windows\system32\user32.dll

2008-05-11 01:25 827392 5a0093f59b505c008ed0cee615563c72 c:\windows\system32\wininet.dll

2008-05-13 02:16 361344 68f06fe0021b01e670af37b8c5964fdf c:\windows\system32\drivers\tcpip.sys

2008-05-13 02:19 2165760 3bbf338db2d43e8e5b2e9fc4a89a982c c:\windows\system32\ntkrnlpa.exe

2008-05-13 02:16 2287104 881377cc96baf0e037a481fd5ac8772f c:\windows\system32\ntoskrnl.exe

2008-05-13 02:15 1411584 e06fa4ad565fb4c83c30dde766ffaf1b c:\windows\explorer.exe

2008-05-13 02:15 25600 0d17d896b613f169f7041e020e09d21c c:\windows\system32\ctfmon.exe
.
((((((((((((((((((((((((((((( SnapShot@2009-04-01_15.26.12.90 )))))))))))))))))))))))))))))))))))))))))
.
- 2009-04-01 07:55:52 54,954 ----a-w c:\windows\system32\perfc009.dat
+ 2009-04-05 07:56:50 54,954 ----a-w c:\windows\system32\perfc009.dat
- 2009-04-01 07:55:52 67,038 ----a-w c:\windows\system32\perfc00C.dat
+ 2009-04-05 07:56:50 67,038 ----a-w c:\windows\system32\perfc00C.dat
- 2009-04-01 07:55:52 382,602 ----a-w c:\windows\system32\perfh009.dat
+ 2009-04-05 07:56:50 382,602 ----a-w c:\windows\system32\perfh009.dat
- 2009-04-01 07:55:52 448,726 ----a-w c:\windows\system32\perfh00C.dat
+ 2009-04-05 07:56:50 448,726 ----a-w c:\windows\system32\perfh00C.dat
+ 2009-04-05 07:52:35 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_564.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"OutlookMessenger"="c:\program files\Outlook Messenger\OutlookMessenger.exe" [2009-01-22 6463488]
"LightScribe Control Panel"="c:\program files\Fichiers communs\LightScribe\LightScribeControlPanel.exe" [2007-04-19 484904]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Vistadrv"="c:\program files\VistaDriveStatus\vsdrv.exe" [2006-07-30 121089]
"ShStatEXE"="c:\program files\McAfee\VirusScan Enterprise\SHSTAT.EXE" [2006-11-29 112216]
"McAfeeUpdaterUI"="c:\program files\McAfee\Common Framework\UdaterUI.exe" [2006-11-17 136768]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2007-01-05 872448]

c:\documents and settings\poste plus\Menu D‚marrer\Programmes\D‚marrage\
Stardock ObjectDock.lnk - c:\program files\Stardock\ObjectDock\ObjectDock.exe [2009-01-22 3444008]

c:\documents and settings\commercial\Menu D‚marrer\Programmes\D‚marrage\
Stardock ObjectDock.lnk - c:\program files\Stardock\ObjectDock\ObjectDock.exe [2009-01-22 3444008]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SynchronousMachineGroupPolicy"= 0 (0x0)
"SynchronousUserGroupPolicy"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 1 (0x1)
"HideRunAsVerb"= 1 (0x1)
"NoNetConnectDisconnect"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
"NoStrCmpLogical"= 0 (0x0)
"NoWelcomeScreen"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)
"ForceClassicControlPanel"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
"NoStrCmpLogical"= 0 (0x0)
"NoWelcomeScreen"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\keygen.exe]
"Debugger"=StripMyRights.exe /D /L C

[HKLM\~\startupfolder\C:^Documents and Settings^commercial^Menu Démarrer^Programmes^Démarrage^Adobe Gamma.lnk]
path=c:\documents and settings\commercial\Menu Démarrer\Programmes\Démarrage\Adobe Gamma.lnk
backup=c:\windows\pss\Adobe Gamma.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2007-05-04 11:39 149040 c:\program files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Client ActiveFax]
--a------ 2009-01-29 18:20 812224 c:\program files\ActiveFax\Client\ActFaxClient.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
-ra------ 2008-11-18 17:31 21633320 c:\program files\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Taskix]
--a------ 2007-01-25 22:33 65536 c:\program files\Taskix\Taskix32.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VisualTaskTips]
--a------ 2007-09-05 19:20 36352 c:\program files\VisualTaskTips\VisualTaskTips.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

R1 Ext2fs;Ext2fs;c:\windows\system32\drivers\ext2fs.sys [2006-10-23 132736]
R1 IfsDrives;IfsDrives;c:\windows\system32\drivers\IfsDrives.sys [2004-09-25 4608]

[COLOR=RED]NETSVCS REQUIRES REPAIRS - current entries shown/COLOR
AppMgmt
AudioSrv
Browser
CryptSvc
DMServer
DHCP
EventSystem
FastUserSwitchingCompatibility
HidServ
Ias
Iprip
Irmon
LanmanServer
LanmanWorkstation
Netman
Nla
Ntmssvc
NWCWorkstation
Nwsapagent
Rasauto
Rasman
Remoteaccess
Schedule
Seclogon
SENS
Sharedaccess
Tapisrv
Themes
W32Time
WZCSVC
Wmi
WmdmPmSp
winmgmt
xmlprov
napagent
hkmsvc
BITS
ShellHWDetection
WmdmPmSN

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{aedb34f0-ef95-11dd-9487-001f2994e3a3}]
\Shell\AutoRun\command - H:\Launch.exe /run

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c9acd206-0670-11de-94a4-001f2994e3a3}]
\Shell\AutoRun\command - F:\LaunchU3.exe -a

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"c:\program files\Fichiers communs\LightScribe\LSRunOnce.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8CD3B31D-716D-5F87-05D4-10885C63CAA1}]
c:\windows\system32\winxp.exe
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
mStart Page = hxxp://www.google.com/
FF - ProfilePath - c:\documents and settings\commercial\Application Data\Mozilla\Firefox\Profiles\14zkx910.default\
FF - component: c:\program files\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
.

**************************************************************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-05 17:29:53
Windows 5.1.2600 Service Pack 3, v.5512 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(528)
c:\windows\system32\SETUPAPI.dll
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\COMRes.dll

- - - - - - - > 'lsass.exe'(608)
c:\windows\system32\setupapi.dll
c:\windows\system32\scecli.dll
.
Heure de fin: 2009-04-05 17:30:45
ComboFix-quarantined-files.txt 2009-04-05 15:30:42
ComboFix2.txt 2009-04-01 14:11:08
ComboFix3.txt 2009-04-01 13:26:44

Avant-CF: 35,825,369,088 octets libres
Après-CF: 35,823,607,808 octets libres

221
0
Réponse 16 / 19
hassalilo Messages postés 25 Date d'inscription mercredi 1 avril 2009 Statut Membre Dernière intervention 23 octobre 2010 1
5 avril 2009 à 18:09
d'abord Merci de tous,
et voici en fin le rapport de TCleaner:
[ Rapport ToolsCleaner version 2.3.4 (par A.Rothstein & dj QUIOU) ]

--> Recherche:

C:\Combofix.txt: trouvé !
C:\Ad-Fix.txt: trouvé !
C:\Combofix: trouvé !
C:\Qoobox: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Windows Trust\Registre\HijackThis.lnk: trouvé !
C:\Documents and Settings\commercial\Bureau\ComboFix.exe: trouvé !
C:\Documents and Settings\commercial\Bureau\Rsit.exe: trouvé !
C:\Documents and Settings\commercial\Mes documents\OMessenger\Received files\ComboFix.exe: trouvé !
C:\Program Files\HijackThis: trouvé !
C:\Program Files\HiJackThis\HijackThis.exe: trouvé !
C:\Program Files\trend micro\HijackThis.exe: trouvé !
C:\Program Files\trend micro\hijackthis.log: trouvé !

---------------------------------
--> Suppression:

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Windows Trust\Registre\HijackThis.lnk: supprimé !
C:\Documents and Settings\commercial\Bureau\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\Documents and Settings\commercial\Mes documents\OMessenger\Received files\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\Program Files\HiJackThis\HijackThis.exe: supprimé !
C:\Program Files\trend micro\HijackThis.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\Ad-Fix.txt: supprimé !
C:\Documents and Settings\commercial\Bureau\Rsit.exe: supprimé !
C:\Program Files\trend micro\hijackthis.log: supprimé !
C:\Combofix: supprimé !
C:\Qoobox: supprimé !
C:\Rsit: supprimé !
C:\Program Files\HijackThis: supprimé !
------------------------------------------***-------------------------------------------------------------------
c une petite expérience, merci encore une autre fois;
seulement peuvent tu me conseiller sur des outils de sécurité adéquat type antivirus & autre... pour surfer en toute sécurité sur le net;
0
Réponse 17 / 19
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
5 avril 2009 à 18:13
pour proteger ton ordi : en payant mettre ANTIVIR PREMIUM ou GDATA (si ordi puissant) ou BITDEFENDEr ou KASPERSKY



sinon



pour protéger gratos ton ordi

http://www.commentcamarche.net/telecharger/logiciel 4 securite

mettre un antivirus

ANTIVIR ou AVG8 ou (AVAST )
https://www.malekal.com/avira-free-security-antivirus-gratuit/ (merci Malekal)
https://www.avira.com/fr/free-antivirus-windows
-------------
des anti-espions :
MalwareByte's Anti-Malware + SPYBOT +/- si tea timer non active de spybot:
WINDOWS DEFENDER ou SPYWARE TERMINATOR ou SPYWARE GUARD
+
SPYWAREBLASTER pour immuniser le système contre vundo notamment mais en anglais (mais facile d'utilisation : il suffit de faire "update" pour mettre à jour tous les mois et ensuite" enable all protection" pour immuniser)...

Rq : spybot … sortent de nouvelles versions régulièrement, vérifiez que vous avez la dernière version
--------
un pare feu :
celui de (Windows) ou mieux Online armor ou KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit) ou COMODO

http://www.commentcamarche.net/telecharger/telecharger 34055356 online armor personal firewall
https://www.01net.com/telecharger/windows/Securite/firewall/fiches/39911.html
https://forum.pcastuces.com/sujet.asp?f=25&s=35606
https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html
https://manuelsdaide.com/contact/
http://www.open-files.com/forum/index.php?showtopic=29277
https://www.01net.com/telecharger/windows/Securite/firewall/fiches/18128.html
https://www.zonealarm.com/software/free-firewall

-----------
CCLEANER pour effacer les traces de surf
---------
naviguer avec firefox ou safari ou opera et non internet explorer plus touché par les virus
http://www.mozilla-europe.org/fr/products/firefox/












rq: l'infection que tu avais transite par les clé usb alors il faut faire gaffe ou tu les branche ou passer flash disinfector et ton antivirus avant d'ouvrir pour diminuer le risque
0
Réponse 18 / 19
hassalilo Messages postés 25 Date d'inscription mercredi 1 avril 2009 Statut Membre Dernière intervention 23 octobre 2010 1
5 avril 2009 à 18:32
Merci pour la gamme des conseils, on peut à l'heur clôturer le thème;
Merci encore que dieu soit avec toi;
@+
0
Réponse 19 / 19
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
5 avril 2009 à 18:33
ok

bonne continuation
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses
Comment savoir si j'ai attrapé un virus sur mon téléphone ?
Infolock -
bell -

66 réponses
Virus Altruistic
Mael03250 -
MisteryBean -

11 réponses
Supprimer notifications myavids.com sous Android.
Guy72 -
Liline -

7 réponses