Aidez-moi SVP à détecter keylogger et autres

Question

Bonjour,

Il y a deux ans mon conjoint a installé un programme sur notre ordinateur afin de surveiller TOUT ce que je faisais : cela se présentait sous forme de capture d'écran, ainsi mes comptes bancaires, mails, etc , tout était vu!
Il avait également installé un keylogger afin de lire tout ce que j'écrivais...

Bref, aujourd'hui deux ans après, je voudrais vérifier s'il n'a pas recommencé ses conneries. Il a pris mon ordinateur professionnel hier en prétextant travailler ce qui me semble très louche. Je voudrais en avoir le coeur net et m'assurer n'avoir aucun programme caché sur cet ordinateur.

Après avoir cherché de nombreuses infos sur ce forum, j'ai fait la procédure expliquée par l'un d'entre vous.
J'ai en ma possession le rapport HijackThis, mais je ne sais pas l'interpréter.

Est-ce un moyen 100% fiable de vérifier les logiciels bien cachés sur l'ordinateur?
Quelqu'un peut-il m'aider avec ce rapport?

MERCI INFINIMENT de votre aide

kevin05 · Answer

salut

essaie un scan avec ceci 

http://www.commentcamarche.net/telecharger/telecharger 34055294 superantispyware

et met le à jour

Miss_crystal_24 · Answer

Merci pour ta réponse!
Le scan est en cours et les résultats n'ont pas l'air brillants, déjà 25 risques de dommages détectés. 
Je ne sais pas s'il est utile de le préciser, mais j'utilise quotidiennement Ccleaner. J'ai nettoyé avec Spybot et Adaware, mais il reste tjs des choses sur ad-aware! Mais ce qui m'inquiète c'est uniquement de savoir si des logiciels ont volontairement été installé su mon ordinateur afin de surveiller mes faits et gestes.
Que dois-je faire une fois le scan terminé?

D'autres opinions sur le sujet?

Merci bcp

Miss_crystal_24 · Answer

Suite au scan que tu m'as fait faire,
résultat : 27 fichiers détectés, risques de dommages!

Adware : tracking cookie (24)
Adware : Vundovariant Ms-Fake (2)
Trojan : Dropper (1)

qu'est ce donc?

kevin05 · Answer

Re, poste le rapport stp

Miss_crystal_24 · Answer

Logfile of HijackThis v1.99.1
Scan saved at 14:08:47, on 01/04/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Program Files\Eset
od32krn.exe
C:\Program Files\Intel\Wireless\Bin\OProtSvc.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe
C:\acer\epm\epm-dm.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Eset
od32kui.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\Microsoft Outlook\OFFICE11\OUTLOOK.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\Program Files\Lavasoft\Ad-Aware\Ad-Aware.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Répertoire temporaire 2 pour hijackthis_199[1].zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.unibad.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://companyweb
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [IntelWireless] C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [EOUApp] C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset
od32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ?
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Send To &Bluetooth - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI05E6~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://companyweb
O16 - DPF: {485D813E-EE26-4DF8-9FAF-DEDF2885306E} (NSHelp Class) - http://serveur/connectcomputer/nshelp.dll
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5F738800-9D2F-48CE-999B-B3D66C7E8D24} (eWebEditProLibCtl5.eWEPLoader) - http://www.unibad.com/ewebeditpro5/ewebeditpro5.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {E6ACF817-0A85-4EBE-9F0A-096C6488CFEA} (NTR ActiveX 1.1.8) - http://eu.ntrsupport.com/inquiero/mod/setup/ntractivex118_24.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = UNIBAD.local
O17 - HKLM\Software\..\Telephony: DomainName = UNIBAD.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = UNIBAD.local
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O20 - Winlogon Notify: IntelWireless - C:\Program Files\Intel\Wireless\Bin\LgNotify.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Program Files\Eset
od32krn.exe
O23 - Service: OwnershipProtocol - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\OProtSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

kevin05 · Answer

&#x25B6; Télécharge Combofix de sUBs 


&#x25B6; et enregistre le sur le Bureau. 

  
&#x25B6; désactive tes protections et ferme toutes tes applications(antivirus, parefeu, garde en temps réel de l'antispyware) 
         

Voici le tutoriel officiel de Bleeping Computer pour savoir l utiliser :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix


&#x25B6; Je te conseille d'installer la console de récupération !!
 

ensuite envois le rapport et refais un nouveau rapport hijackthis stp

miss_crystal_24 · Answer

Bon j'espère que tu es sur de ce que tu me fais faire, il s'agit de mon ordinateur professionnel relié à un serveur et donc bien d'autres ordi derrière..

J'aimerais quand même savoir ce que tu as trouvé sur le rapport? Ai-je des virus ? Ou ai-je ce que je craignais, des logiciels de type keylogger ou autre?

Je vais me lancer dans ta procédure. Redonne moi le lien vers hijackthis stp (je l'ai supprimé de l'ordi hier)

Ca fait un peu peur le lien que tu as mis:
Vous ne devez pas utiliser ComboFix sans qu'un assistant vous demande expressément de le faire. De plus, en raison de la puissance de cet outil, il vous est fortement conseillé de ne pas essayer de traiter les informations affichées par ComboFix sans l'aide de quelqu'un qui a suivi une formation adéquate. Si vous le faites quand même, seul, sachez qu'une mauvaise utilisation du programme pourrait entraîner des problèmes dans le fonctionnement normal de votre ordinateur.

Bon allez je me lance, je croise les doigts ! j'attends ensuite ton lien vers hijackthis pour te mettre le rapport, puis je compte sur toi pour me dire ce que tu vois!

merci

miss_crystal_24 · Answer

ComboFix 09-04-01.01 - chebre 2009-04-02 14:37:51.1 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.510.226 [GMT 2:00] Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe AV: ESET NOD32 antivirus system 2.70 *On-access scanning enabled* (Updated) * Un nouveau point de restauration a été créé * Resident AV is active . ((((((((((((((((((((((((((((( Fichiers créés du 2009-03-02 au 2009-04-02 )))))))))))))))))))))))))))))))))))) . 2009-04-01 15:29 . 2009-04-01 15:29 d-------- c:\documents and settings\All Users\Application Data\SUPERAntiSpyware.com 2009-04-01 15:28 . 2009-04-01 15:28 d-------- c:\program files\SUPERAntiSpyware 2009-04-01 15:28 . 2009-04-01 15:28 d-------- c:\documents and settings\Administrateur\Application Data\SUPERAntiSpyware.com 2009-04-01 15:27 . 2009-04-01 15:27 d-------- c:\program files\Fichiers communs\Wise Installation Wizard 2009-04-01 14:43 . 2009-04-01 13:56 15,688 --a------ c:\windows\system32\lsdelete.exe 2009-04-01 14:04 . 2009-04-01 14:04 d-------- c:\documents and settings\LocalService\Bureau 2009-04-01 13:56 . 2009-04-01 13:56 64,160 --a------ c:\windows\system32\drivers\Lbd.sys 2009-04-01 13:52 . 2009-04-01 13:52 d-------- c:\program files\Lavasoft 2009-04-01 11:31 . 2009-04-01 13:52 d--h-c--- c:\documents and settings\All Users\Application Data\{83C91755-2546-441D-AC40-9A6B4B860800} 2009-04-01 11:17 . 2009-04-01 11:18 8,192 --ahs---- c:\windows\Thumbs.db 2009-04-01 11:17 . 2009-04-01 11:17 5,120 --ahs---- C:\Thumbs.db 2009-03-12 17:25 . 2009-03-12 17:25 d-------- c:\program files\APLI-AGIPA 2009-03-12 17:25 . 2009-03-13 16:46 d-------- c:\documents and settings\Administrateur\Application Data\AgipaMaster . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2009-04-02 12:30 --------- d-----w c:\program files\Eset 2009-04-02 11:02 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy 2009-04-01 11:52 --------- d-----w c:\documents and settings\All Users\Application Data\Lavasoft 2009-04-01 08:59 --------- d-----w c:\program files\IKEA HomePlanner 2009-04-01 08:50 --------- d-----w c:\program files\Spybot - Search & Destroy 2009-03-04 09:40 --------- d-----w c:\program files\Google 2009-02-27 10:32 --------- d-----w c:\program files\MSN Messenger 2009-02-09 14:05 1,846,912 ----a-w c:\windows\system32\win32k.sys 2008-09-15 13:03 3,398 ----a-w c:\documents and settings\Administrateur\Application Data\wklnhst.dat 2007-03-22 16:08 340 ----a-w c:\documents and settings\benjamin\Application Data\wklnhst.dat . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-03-30 68856] "SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480] "SUPERAntiSpyware"="c:\program files\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-03-23 1830128] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IntelWireless"="c:\program files\Intel\Wireless\Bin\ifrmewrk.exe" [2004-10-15 385024] "EOUApp"="c:\program files\Intel\Wireless\Bin\EOUWiz.exe" [2004-10-15 356352] "EPM-DM"="c:\acer\epm\epm-dm.exe" [2005-01-25 180224] "ePowerManagement"="c:\acer\ePM\ePM.exe" [2005-01-21 2889216] "SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2004-10-08 98394] "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2004-10-08 688218] "Acrobat Assistant 7.0"="c:\program files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2008-04-23 483328] "SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784] "nod32kui"="c:\program files\Eset\nod32kui.exe" [2007-06-04 949376] "Synchronization Manager"="c:\windows\system32\mobsync.exe" [2008-04-14 143872] "Ad-Watch"="c:\program files\Lavasoft\Ad-Aware\AAWTray.exe" [2009-04-01 515416] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\documents and settings\benjamin\Menu D‚marrer\Programmes\D‚marrage\ HotSync Manager.lnk - c:\program files\Palm\HOTSYNC.EXE [2003-07-29 299008] PowerReg Scheduler.exe [2007-03-22 233472] c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696] BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2004-05-25 565309] Lancement rapide d'Adobe Acrobat.lnk - c:\windows\Installer\{AC76BA86-1033-F400-BA7E-000000000002}\SC_Acrobat.exe [2005-11-09 25214] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "NoWelcomeScreen"= 1 (0x1) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "DisablePersonalDirChange"= 1 (0x1) [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program files\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon] 2008-12-22 12:05 356352 c:\program files\SUPERAntiSpyware\SASWINLO.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless] 2004-10-15 11:27 110592 c:\program files\Intel\Wireless\Bin\LgNotify.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2514157380-2779297895-289844358-1137\Scripts\Logon\[u]0/u\[u]0/u] "Script"=c:\datas\Lecteur.bat [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2514157380-2779297895-289844358-1138\Scripts\Logon\[u]0/u\[u]0/u] "Script"=c:\datas\Lecteur.bat [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service] @="Service" [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "c:\WINDOWS\system32\fxsclnt.exe"= "c:\Program Files\Palm\HOTSYNC.EXE"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "c:\Program Files\MSN Messenger\msnmsgr.exe"= "c:\Program Files\MSN Messenger\livecall.exe"= R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [2009-04-01 64160] R1 nod32drv;nod32drv;c:\windows\system32\drivers\nod32drv.sys [2007-05-10 15424] R1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\sasdifsv.sys [2009-03-23 9968] R1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [2009-03-23 72944] R2 EpmPsd;Acer EPM Power Scheme Driver;c:\windows\system32\drivers\epm-psd.sys [2005-09-22 4096] R2 EpmShd;Acer EPM System Hardware Driver;c:\windows\system32\drivers\epm-shd.sys [2005-09-22 78208] R3 SASENUM;SASENUM;c:\program files\SUPERAntiSpyware\SASENUM.SYS [2009-03-23 7408] S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [2009-01-18 951632] --- Autres Services/Pilotes en mémoire --- *NewlyCreated* - RSVP . Contenu du dossier 'Tâches planifiées' 2009-04-01 c:\windows\Tasks\Ad-Aware Update (Weekly).job - c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-04-01 13:55] . . ------- Examen supplémentaire ------- . uStart Page = hxxp://www.unibad.com/ uSearch Page = hxxp://www.google.com uSearch Bar = hxxp://www.google.com/ie uSearchURL,(Default) = hxxp://www.google.com/search?q=%s IE: Convertir en Adobe PDF - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: Convertir en un fichier PDF existant - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html IE: Convertir la cible du lien en Adobe PDF - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: Convertir la cible du lien en un fichier PDF existant - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html IE: Convertir la sélection en Adobe PDF - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: Convertir la sélection en un fichier PDF existant - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html IE: Convertir les liens sélectionnés en fichier Adobe PDF - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html IE: Convertir les liens sélectionnés en un fichier PDF existant - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 IE: Send To &Bluetooth - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm DPF: {5F738800-9D2F-48CE-999B-B3D66C7E8D24} - hxxp://www.unibad.com/ewebeditpro5/ewebeditpro5.cab . ************************************************************************** catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-04-02 14:39:31 Windows 5.1.2600 Service Pack 3 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** . --------------------- DLLs chargées dans les processus actifs --------------------- - - - - - - - > 'winlogon.exe'(1000) c:\windows\system32\imon.dll c:\program files\Eset\pr_imon.dll c:\program files\SUPERAntiSpyware\SASWINLO.dll c:\windows\system32\Ati2evxx.dll c:\program files\Intel\Wireless\Bin\LgNotify.dll - - - - - - - > 'lsass.exe'(1056) c:\windows\system32\imon.dll c:\program files\Eset\pr_imon.dll . Heure de fin: 2009-04-02 14:41:01 ComboFix-quarantined-files.txt 2009-04-02 12:40:59 Avant-CF: 51 128 864 768 octets libres Après-CF: 51,271,487,488 octets libres WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect 158 --- E O F --- 2009-03-16 08:01:36

kevin05 · Answer

? Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

? Copie/colle ceci à gauche (en gras) de " parcourir " : 

c:\windows\system32\lsdelete.exe 




? Clique sur Send File. 

? Un rapport va s'élaborer ligne à ligne. 

? Attends la fin. Il doit comprendre la taille du fichier envoyé. 

? Sauvegarde le rapport avec le bloc-note. 

? Copie le dans ta réponse. 

(!) Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyser le fichier maintenant

Miss_crystal_24 · Answer

Antivirus Version Dernière mise à jour Résultat 
a-squared 4.0.0.101 2009.04.06 - 
AhnLab-V3 5.0.0.2 2009.04.06 - 
AntiVir 7.9.0.138 2009.04.06 - 
Antiy-AVL 2.0.3.1 2009.04.06 - 
Authentium 5.1.2.4 2009.04.05 - 
Avast 4.8.1335.0 2009.04.05 - 
AVG 8.5.0.285 2009.04.06 - 
BitDefender 7.2 2009.04.06 - 
CAT-QuickHeal 10.00 2009.04.06 - 
ClamAV 0.94.1 2009.04.05 - 
Comodo 1100 2009.04.05 - 
DrWeb 4.44.0.09170 2009.04.06 - 
eSafe 7.0.17.0 2009.04.05 - 
eTrust-Vet 31.6.6435 2009.04.03 - 
F-Prot 4.4.4.56 2009.04.05 - 
F-Secure 8.0.14470.0 2009.04.06 - 
Fortinet 3.117.0.0 2009.04.06 - 
GData 19 2009.04.06 - 
Ikarus T3.1.1.49.0 2009.04.06 - 
K7AntiVirus 7.10.692 2009.04.03 - 
Kaspersky 7.0.0.125 2009.04.06 - 
McAfee 5575 2009.04.05 - 
McAfee+Artemis 5575 2009.04.05 - 
McAfee-GW-Edition 6.7.6 2009.04.06 - 
Microsoft 1.4502 2009.04.06 - 
NOD32 3989 2009.04.06 - 
Norman 6.00.06 2009.04.03 - 
nProtect 2009.1.8.0 2009.04.06 - 
Panda 10.0.0.14 2009.04.05 - 
PCTools 4.4.2.0 2009.04.05 - 
Prevx1 V2 2009.04.06 - 
Rising 21.23.41.00 2009.04.03 - 
Sophos 4.40.0 2009.04.06 - 
Sunbelt 3.2.1858.2 2009.04.04 - 
Symantec 1.4.4.12 2009.04.06 - 
TheHacker 6.3.4.0.302 2009.04.06 - 
TrendMicro 8.700.0.1004 2009.04.06 - 
VBA32 3.12.10.2 2009.04.06 - 
ViRobot 2009.4.6.1680 2009.04.06 - 
VirusBuster 4.6.5.0 2009.04.05 - 
Information additionnelle 
File size: 15688 bytes 
MD5...: b0c8711052421c2bc2974a962c2f2e1a 
SHA1..: 29c3e45b6e86641c704b1039d7447abbc24c54c7 
SHA256: 8f371875a2c717ad2f1b7ce09f800d18ebb9cbdd2644bebc9d1cdd132238045a 
SHA512: 1268c0afa4bab3761d1c332e9f74fc08a553ce240baab978952edb029b89a4f4
9514d62bdfb3f98e3ce96bf11e03360af9e02d5053143bbef97b4de2c01a7629 
ssdeep: 192:p2O1JIzcmFGZ4ujHnBaoHmei1Q9sJwF930LyowJL/aMjGwP7PM20e+ebM8JM
u74A:pOc5nnBjHVMQ9sJwFiLYJLWwXbHd
 
PEiD..: - 
TrID..: File type identification
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x22f0
timedatestamp.....: 0x496f34ab (Thu Jan 15 13:05:47 2009)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1362 0x1400 5.78 e700c1b5c2353a10b2db729b156207e1
.rdata 0x3000 0x3ac 0x400 4.63 2d47414238d9b93e57a78a157c9d3919
.data 0x4000 0x998 0xa00 3.05 fa1b42f5935800f3f30682d2b1422656
.rsrc 0x5000 0x1b4 0x200 5.09 af5e12250c526d183544eef9776736bc

( 1 imports ) 
> ntdll.dll: RtlCreateHeap, NtTerminateProcess, RtlFreeHeap, RtlInitUnicodeString, RtlDestroyHeap, NtDisplayString, ZwClose, ZwDelayExecution, memcpy, wcscat, ZwReadFile, wcslen, ZwSetInformationFile, memset, RtlAllocateHeap, ZwDeleteFile, ZwOpenFile, ZwQueryInformationFile, wcscpy, NtQuerySystemTime, _snwprintf, strlen, strcpy, RtlUnicodeStringToAnsiString, ZwCreateFile, RtlTimeToTimeFields, ZwWriteFile, strcat

( 0 exports ) 
 
RDS...: NSRL Reference Data Set

kevin05 · Answer

*  Télécharge Malwarebytes anti malware
    * Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
    * Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
    * Lance une analyse complète en cliquant sur "Exécuter un examen complet"
    * Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"
    * L'analyse peut durer un bon moment.....
    * Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"
    * Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"
    * Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum


* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée

miss_crystal_24 · Answer

Bonjour Kevin,

Ca fait X fois que tu me fais faire une tonne de manip sans me dire pourquoi, ni ce que tu constates sur les rapports. Depuis que j'ai commencé à faire tout ce que tu m'as dit j'ai un tas de programmes qui me pourrisent la vie. Mon ordi est 3 fois plus lent et plante sans cesse . Peux tu enfin me dire ce qu'il se passe ?

MERCI

kevin05 · Answer

C'est la fin ce coup ci normalement.

kevin05 · Answer

Mon ordi est 3 fois plus lent et plante sans cesse 

Ca vient pas des outils utilisé.C'est bien que t'as une merde dans ton pc

Aidez-moi SVP à détecter keylogger et autres

14 réponses

Votre réponse

Discussions similaires

Newsletters