Sujet Précédent Sujet Suivant

Virus Hacktool Rootkit

fannette281 Messages postés 27 Statut Membre -  
fannette281 Messages postés 27 Statut Membre -
Bonjour à tous,

je viens d'installer internet explorer 8 et depuis je n'arrête pas d'avoir des messages d'alerte de Norton en me signalant que le virus Racktool rootkit menaçait mon ordi. J'ai essayé de supprimer les fichiers mais aucun moyen, rien à faire il ne veux pas les supprimer. Il s'agit de fichiers types .dll dans WINDOWS, system 32. J'ai bien évidemment regarder toutes les réponses de votre forum mais je n'ai rien compris du tout. Je suis une brelle en informatique et visiblement ce n'est pas très simple de réparer tout ça.

De plus mon ordi rame, il s'éteint alors que je ne lui ai rien demandé.

Est-ce que quelqu'un pourrait m'aider?

Merci d'avance

Fannette
A voir également:

48 réponses

Précédent
Réponse 21 / 48
fannette281 Messages postés 27 Statut Membre
 
Voici le rapport du premier:

a-squared 4.0.0.101 2009.04.18 -
AhnLab-V3 5.0.0.2 2009.04.17 -
AntiVir 7.9.0.143 2009.04.17 -
Antiy-AVL 2.0.3.1 2009.04.17 -
Authentium 5.1.2.4 2009.04.18 -
Avast 4.8.1335.0 2009.04.17 -
AVG 8.5.0.287 2009.04.18 -
BitDefender 7.2 2009.04.18 -
CAT-QuickHeal 10.00 2009.04.18 -
ClamAV 0.94.1 2009.04.18 -
Comodo 1120 2009.04.18 -
DrWeb 4.44.0.09170 2009.04.18 -
eSafe 7.0.17.0 2009.04.13 -
eTrust-Vet 31.6.6455 2009.04.14 -
F-Prot 4.4.4.56 2009.04.17 -
F-Secure 8.0.14470.0 2009.04.18 -
Fortinet 3.117.0.0 2009.04.18 -
GData 19 2009.04.18 -
Ikarus T3.1.1.49.0 2009.04.18 -
K7AntiVirus 7.10.707 2009.04.17 -
Kaspersky 7.0.0.125 2009.04.18 -
McAfee 5587 2009.04.17 -
McAfee+Artemis 5587 2009.04.17 -
McAfee-GW-Edition 6.7.6 2009.04.18 -
Microsoft 1.4502 2009.04.18 -
NOD32 4018 2009.04.18 -
Norman 6.00.06 2009.04.17 -
nProtect 2009.1.8.0 2009.04.18 -
Panda 10.0.0.14 2009.04.18 -
PCTools 4.4.2.0 2009.04.17 -
Prevx1 V2 2009.04.18 -
Rising 21.25.52.00 2009.04.18 -
Sophos 4.40.0 2009.04.18 -
Sunbelt 3.2.1858.2 2009.04.18 -
Symantec 1.4.4.12 2009.04.18 -
TheHacker 6.3.4.0.309 2009.04.16 -
TrendMicro 8.700.0.1004 2009.04.17 -
VBA32 3.12.10.2 2009.04.12 -
ViRobot 2009.4.18.1685 2009.04.18 -
VirusBuster 4.6.5.0 2009.04.18 -
Information additionnelle
File size: 229376 bytes
MD5...: 2a241d936acca2209431688cf69b14b5
SHA1..: 5abfdef172a066c7133c9f2456dd4808857735f6
SHA256: 03d05439d4e5a8a7d29416c074e73f93c8d822c78b5f214875463dd4732e2f80
SHA512: 4d52d6c967229a384e78b31ffcd00786b0c736c317224e68603531c87d54d888
ede2071764c389cdf104a8cfa0f5b4d60ff1117454fd167a4908bb9686166616
ssdeep: 3072:yV8bSMpxeuCfuS25K7BiVZ0GVRIWC2OAg0Fuy6RgbQfptgW:r5Fo25gi88i
AORBUW

PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1036a
timedatestamp.....: 0x49b8ed77 (Thu Mar 12 11:09:43 2009)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x22fbb 0x23000 6.75 b39451b7a7d0c3a22dcf583caa7d1274
.rdata 0x24000 0xb5c1 0xc000 5.58 93a26f0f4292fb57aa1d7518ef0bf5aa
.data 0x30000 0x45dc 0x3000 4.00 34128be823181bb5a662c68a4b438f3a
.rsrc 0x35000 0x4f8 0x1000 4.30 4869b9f625e9cab2f497c87b6257f8e5
.reloc 0x36000 0x387a 0x4000 4.60 10d52849d07ef18344d037efcc63b08a

( 9 imports )
> KERNEL32.dll: GetModuleHandleW, DisableThreadLibraryCalls, GetProcAddress, InterlockedCompareExchange, GetVersionExA, GetLocaleInfoA, GetACP, InterlockedExchange, InterlockedIncrement, LoadLibraryExW, FindResourceW, LoadResource, SizeofResource, FreeLibrary, SetLastError, SetEnvironmentVariableA, CompareStringW, CompareStringA, CreateFileA, WriteConsoleW, GetCurrentThreadId, WriteConsoleA, SetStdHandle, GetStringTypeW, GetStringTypeA, GetConsoleMode, GetConsoleCP, LCMapStringA, GetTimeZoneInformation, GetDateFormatA, GetTimeFormatA, GetCurrentProcessId, GetTickCount, GetModuleFileNameW, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, GetStartupInfoA, GetFileType, SetHandleCount, Sleep, MulDiv, lstrcmpW, GetCurrentProcess, FlushInstructionCache, OutputDebugStringW, DebugBreak, lstrlenA, GlobalAlloc, GlobalLock, GetConsoleOutputCP, GlobalUnlock, MultiByteToWideChar, InterlockedDecrement, lstrcmpiW, GetLastError, DeleteCriticalSection, InitializeCriticalSection, WideCharToMultiByte, LeaveCriticalSection, EnterCriticalSection, RaiseException, TlsFree, TlsSetValue, TlsAlloc, TlsGetValue, IsValidCodePage, GetOEMCP, GetCPInfo, GetModuleFileNameA, GetStdHandle, ExitProcess, GetModuleHandleA, HeapCreate, IsDebuggerPresent, SetUnhandledExceptionFilter, UnhandledExceptionFilter, TerminateProcess, LCMapStringW, GetFullPathNameW, GetVolumeInformationW, FindFirstFileW, FindClose, lstrcpyW, GetSystemTimeAsFileTime, GetCommandLineA, RtlUnwind, HeapSize, HeapReAlloc, DuplicateHandle, lstrlenW, QueryPerformanceCounter, HeapDestroy, VirtualAlloc, VirtualFree, IsProcessorFeaturePresent, LoadLibraryA, HeapAlloc, GetProcessHeap, GetFileTime, GetFileAttributesW, GetThreadLocale, LockResource, FindResourceExW, CloseHandle, WriteFile, FlushFileBuffers, CreateFileW, GetVersionExW, lstrcpynW, ReadFile, SetFilePointer, LockFile, UnlockFile, SetEndOfFile, GetFileSize, FileTimeToSystemTime, FileTimeToLocalFileTime, HeapFree
> USER32.dll: LoadStringW, GetWindowLongW, SetWindowLongW, CharNextW, SetWindowTextW, DefWindowProcW, GetWindowTextW, GetWindowTextLengthW, RegisterClassExW, LoadCursorW, GetClassInfoExW, RegisterWindowMessageW, UnregisterClassA, CharUpperW, GetSysColor, MoveWindow, SetWindowPos, GetClientRect, ClientToScreen, ScreenToClient, GetDC, CreateAcceleratorTableW, CreateWindowExW, IsWindow, SendMessageW, GetFocus, GetWindow, SetFocus, DestroyAcceleratorTable, GetDesktopWindow, BeginPaint, EndPaint, CallWindowProcW, DestroyWindow, FillRect, ReleaseCapture, GetClassNameW, GetDlgItem, GetParent, IsChild, SetCapture, RedrawWindow, InvalidateRgn, InvalidateRect, ReleaseDC
> GDI32.dll: GetObjectW, CreateSolidBrush, GetDeviceCaps, BitBlt, CreateCompatibleDC, CreateCompatibleBitmap, SelectObject, DeleteObject, DeleteDC, GetStockObject
> ADVAPI32.dll: RegQueryInfoKeyW, RegDeleteKeyW, RegQueryValueExW, RegEnumKeyExW, RegSetValueExW, RegOpenKeyExW, RegCreateKeyExW, RegCloseKey, RegDeleteValueW
> ole32.dll: OleLockRunning, CoGetClassObject, CLSIDFromProgID, OleUninitialize, CoInitialize, CoFreeLibrary, CoLoadLibrary, CreateStreamOnHGlobal, OleInitialize, StringFromGUID2, CoCreateInstance, CoUninitialize, CoTaskMemFree, CoTaskMemRealloc, CLSIDFromString, CoTaskMemAlloc
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -
> SHLWAPI.dll: PathStripToRootW, PathIsUNCW, PathFindFileNameW
> COMCTL32.dll: InitCommonControlsEx
> comdlg32.dll: GetFileTitleW

( 4 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer

RDS...: NSRL Reference Data Set
0
Réponse 22 / 48
fannette281 Messages postés 27 Statut Membre
 
Et le deuxième impossible de l'analyser, une fenêtre s'ouvre en m'indiquant ceci:

0 bytes size received / Se ha recibido un archivo vacio
0
Réponse 23 / 48
Ced_King Messages postés 3519 Date d'inscription   Statut Contributeur Dernière intervention   572
 
*Telecharges OTMoveIt3 de Oldtimer et enregistres le sur le bureau

- Desactives la garde de ton antivirus

- Fermes toutes les applications en cours et double cliques sur OTMoveIT

- Assures toi que la case " Unregister Dll's and ocx's " soit bien cochée et copie ( ctrl+ C) ce qui est ci dessous en gras " :

:processes
explorer.exe

:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{74EB420F-7B78-48AF-A5FD-902B85868337}]

:file
C:\WINDOWS\system32\bat.dll

:commands
[purity]
[emptytemp]
[reboot]
[start explorer]

Colle (Ctrl+V) le texte précédemment copié dans le cadre " Paste Instructions for Items to be Moved "
Clique maintenant sur le bouton MoveIt! puis ferme OTMoveIt3.

---> Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.

Postes le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
---> Le nom du rapport correspond au moment de sa création : date_heure.log

0
Réponse 24 / 48
fannette281 Messages postés 27 Statut Membre
 
Bonjour,

voici le rapport de Otmoveit:

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== REGISTRY ==========
Error: Unable to interpret <:file > in the current context!
Error: Unable to interpret <C:\WINDOWS\system32\bat.dll > in the current context!
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\Fannette\LOCALS~1\Temp\memhofym.dat scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\Fannette\LOCALS~1\Temp\~DFD5D2.tmp scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\Fannette\LOCALS~1\Temp\~DFD5E8.tmp scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\Fannette\LOCALS~1\Temp\~DFD6C5.tmp scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\Fannette\LOCALS~1\Temp\~DFD706.tmp scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\Fannette\LOCALS~1\Temp\~DFD817.tmp scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\Fannette\LOCALS~1\Temp\~DFD841.tmp scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Internet Explorer cache folder emptied.
File delete failed. C:\Documents and Settings\Fannette\Local Settings\Temporary Internet Files\Content.IE5\VNEAOWK7\01[2].htm scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Fannette\Local Settings\Temporary Internet Files\Content.IE5\VNEAOWK7\signin[1].htm scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Fannette\Local Settings\Temporary Internet Files\Content.IE5\SLRCNXMR\MsgrConfig[1].asmx scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Fannette\Local Settings\Temporary Internet Files\Content.IE5\IE2PURJ2\default[3].htm scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Fannette\Local Settings\Temporary Internet Files\Content.IE5\IE2PURJ2\im[2].htm scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Fannette\Local Settings\Temporary Internet Files\Content.IE5\CKPBS2K2\InboxLight[6].htm scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Fannette\Local Settings\Temporary Internet Files\Content.IE5\CKPBS2K2\ToastFull[3].htm scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Fannette\Local Settings\Temporary Internet Files\Content.IE5\CKPBS2K2\ToastMini[4].htm scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Fannette\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Fannette\Local Settings\Temporary Internet Files\AntiPhishing\2CEDBFBC-DBA8-43AA-B1FD-CC8E6316E3E2.dat scheduled to be deleted on reboot.
User's Temporary Internet Files folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
Network Service Temp folder emptied.
File delete failed. C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Network Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_5d0.dat scheduled to be deleted on reboot.
Windows Temp folder emptied.
Java cache emptied.
Temp folders emptied.
Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.11.0 log created on 04192009_112748

Files moved on Reboot...
File C:\DOCUME~1\Fannette\LOCALS~1\Temp\memhofym.dat not found!
File C:\DOCUME~1\Fannette\LOCALS~1\Temp\~DFD5D2.tmp not found!
File C:\DOCUME~1\Fannette\LOCALS~1\Temp\~DFD5E8.tmp not found!
File C:\DOCUME~1\Fannette\LOCALS~1\Temp\~DFD6C5.tmp not found!
File C:\DOCUME~1\Fannette\LOCALS~1\Temp\~DFD706.tmp not found!
File C:\DOCUME~1\Fannette\LOCALS~1\Temp\~DFD817.tmp not found!
File C:\DOCUME~1\Fannette\LOCALS~1\Temp\~DFD841.tmp not found!
C:\Documents and Settings\Fannette\Local Settings\Temporary Internet Files\Content.IE5\VNEAOWK7\01[2].htm moved successfully.
C:\Documents and Settings\Fannette\Local Settings\Temporary Internet Files\Content.IE5\VNEAOWK7\signin[1].htm moved successfully.
C:\Documents and Settings\Fannette\Local Settings\Temporary Internet Files\Content.IE5\SLRCNXMR\MsgrConfig[1].asmx moved successfully.
C:\Documents and Settings\Fannette\Local Settings\Temporary Internet Files\Content.IE5\IE2PURJ2\default[3].htm moved successfully.
C:\Documents and Settings\Fannette\Local Settings\Temporary Internet Files\Content.IE5\IE2PURJ2\im[2].htm moved successfully.
C:\Documents and Settings\Fannette\Local Settings\Temporary Internet Files\Content.IE5\CKPBS2K2\InboxLight[6].htm moved successfully.
C:\Documents and Settings\Fannette\Local Settings\Temporary Internet Files\Content.IE5\CKPBS2K2\ToastFull[3].htm moved successfully.
C:\Documents and Settings\Fannette\Local Settings\Temporary Internet Files\Content.IE5\CKPBS2K2\ToastMini[4].htm moved successfully.
C:\Documents and Settings\Fannette\Local Settings\Temporary Internet Files\AntiPhishing\2CEDBFBC-DBA8-43AA-B1FD-CC8E6316E3E2.dat moved successfully.
File move failed. C:\WINDOWS\temp\Perflib_Perfdata_5d0.dat scheduled to be moved on reboot.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 48
Ced_King Messages postés 3519 Date d'inscription   Statut Contributeur Dernière intervention   572
 
Ok, cela n'a pas fonctionné

- Ouvres Ccleaner et cliques sur " Nettoyeur " --> analyse et nettoyage

- Cliques sur " registre" --> chercher des erreurs --> supprimer les erreurs ( recommence l'opération jusqu'à 0 erreur)

- Puis,

- Fais un scan en ligne ici https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr (Avec Internet Explorer)

- En bas à droite, clique sur Démarrer Online-scanner

- Dans la nouvelle fenêtre qui s'affiche, clique sur J'accepte

- Accepte les Contrôles ActiveX

- Choisis Poste de travail pour le scan.

- Celui-ci terminé, sauvegarde (Choisis fichier texte) et poste le rapport

- Pour t'aider à utiliser le scan en ligne :
https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId291566

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte-toi sur le site de Kaspersky pour retenter le scan en ligne.
---------------------
0
Réponse 26 / 48
fannette281 Messages postés 27 Statut Membre
 
Voici le rapport Kaspersky:

Paramètres d'analyse
Analyser avec la base antivirus suivante standard
Analyser les archives vrai
Analyser les bases de messagerie vrai

Cible de l'analyse Poste de travail
C:\
D:\

Statistiques de l'analyse
Total d'objets analysés 51731
Nombre de virus trouvés 2
Nombre d'objets infectés 4 / 0
Nombre d'objets suspects 0
Durée de l'analyse 01:07:52

Nom de l'objet infecté Nom du virus Dernière action
C:\Documents and Settings\Fannette\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Fannette\IETldCache\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Fannette\Local Settings\Application Data\Microsoft\Feeds\{5588ACFD-6436-411B-A5CE-666AE6A92D3D}~\WebSlices~\Galerie de composants Web Slice~.feed-ms L'objet est verrouillé ignoré

C:\Documents and Settings\Fannette\Local Settings\Application Data\Microsoft\Feeds\{5588ACFD-6436-411B-A5CE-666AE6A92D3D}~\WebSlices~\Sites suggérés~.feed-ms L'objet est verrouillé ignoré

C:\Documents and Settings\Fannette\Local Settings\Application Data\Microsoft\Feeds Cache\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Fannette\Local Settings\Application Data\Microsoft\Internet Explorer\Recovery\Active\RecoveryStore.{A443913F-2CCF-11DE-B739-0002E347623E}.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Fannette\Local Settings\Application Data\Microsoft\Internet Explorer\Recovery\Active\{3C4CD896-2CE2-11DE-B739-0002E347623E}.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Fannette\Local Settings\Application Data\Microsoft\Internet Explorer\Recovery\Active\{A4439140-2CCF-11DE-B739-0002E347623E}.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Fannette\Local Settings\Application Data\Microsoft\Internet Explorer\Recovery\Active\{DAFF5F36-2CE2-11DE-B739-0002E347623E}.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Fannette\Local Settings\Application Data\Microsoft\Search Enhancement Pack\Search Box Extension\history.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Fannette\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Fannette\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\Fannette\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Fannette\Local Settings\Temp\~DF3122.tmp L'objet est verrouillé ignoré

C:\Documents and Settings\Fannette\Local Settings\Temp\~DF4B0A.tmp L'objet est verrouillé ignoré

C:\Documents and Settings\Fannette\Local Settings\Temp\~DF4B93.tmp L'objet est verrouillé ignoré

C:\Documents and Settings\Fannette\Local Settings\Temp\~DF4C2E.tmp L'objet est verrouillé ignoré

C:\Documents and Settings\Fannette\Local Settings\Temp\~DF4D11.tmp L'objet est verrouillé ignoré

C:\Documents and Settings\Fannette\Local Settings\Temp\~DF4E4A.tmp L'objet est verrouillé ignoré

C:\Documents and Settings\Fannette\Local Settings\Temp\~DF4EBA.tmp L'objet est verrouillé ignoré

C:\Documents and Settings\Fannette\Local Settings\Temp\~DFD92D.tmp L'objet est verrouillé ignoré

C:\Documents and Settings\Fannette\Local Settings\Temporary Internet Files\AntiPhishing\2CEDBFBC-DBA8-43AA-B1FD-CC8E6316E3E2.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Fannette\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Fannette\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\Fannette\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\Fannette\PrivacIE\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

C:\System Volume Information\_restore{420D145E-4CA6-4472-84D8-79857C15E798}\RP11\A0005963.dll Infecté : Rootkit.Win32.Podnuha.cbn ignoré

C:\System Volume Information\_restore{420D145E-4CA6-4472-84D8-79857C15E798}\RP13\change.log L'objet est verrouillé ignoré

C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré

C:\WINDOWS\SoftwareDistribution\Download\284fbcf1e8e0b40c0953d6b85a551eae\SP3GDR\wmiprvse.exe Infecté : Backdoor.Win32.Agent.afqs ignoré

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\Internet.evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\dllcache\wmiprvse.exe Infecté : Backdoor.Win32.Agent.afqs ignoré

C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\wmiprvse.exe Infecté : Backdoor.Win32.Agent.afqs ignoré

C:\WINDOWS\temp\Perflib_Perfdata_5d0.dat L'objet est verrouillé ignoré

C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré

Analyse terminée.
0
Réponse 27 / 48
Ced_King Messages postés 3519 Date d'inscription   Statut Contributeur Dernière intervention   572
 
Avec Otmoveit :

Desactives la garde de ton antivirus et celle de ton antispyware ( si tu en as..)

- Fermes toutes les applications en cours et double cliques sur OTMoveIT

- Assures toi que la case " Unregister Dll's and ocx's " soit bien cochée et copie ( ctrl+ C) ce qui est ci dessous en gras " :

:processes
explorer.exe

:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{74EB420F-7B78-48AF-A5FD-902B85868337}]

:files
C:\WINDOWS\system32\bat.dll
C:\WINDOWS\SoftwareDistribution\Download\284fbcf1e8e0b40c095­3d6b85a551eae
\SP3GDR\wmiprvse.exe
C:\System Volume Information\_restore{420D145E-4CA6-4472-84D8-79857C15E798}
\R­P11\A0005963.dll
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\dllcache\wmiprvse.exe

:commands
[purity]
[emptytemp]
[start explorer]
[reboot]

Colles (Ctrl+V) le texte précédemment copié dans le cadre " Paste Instructions for Items to be Moved "
Clique maintenant sur le bouton MoveIt! puis ferme OTMoveIt3.

---> Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.

Postes le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
---> Le nom du rapport correspond au moment de sa création : date_heure.log

0
Réponse 28 / 48
fannette281 Messages postés 27 Statut Membre
 
Et voici le nouveau rapport moveit:

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== REGISTRY ==========
========== FILES ==========
LoadLibrary failed for C:\WINDOWS\system32\bat.dll
C:\WINDOWS\system32\bat.dll NOT unregistered.
File move failed. C:\WINDOWS\system32\bat.dll scheduled to be moved on reboot.
File/Folder C:\WINDOWS\SoftwareDistribution\Download\284fbcf1e8e0b40c095­3d6b85a551eae not found.
File/Folder \SP3GDR\wmiprvse.exe not found.
File/Folder C:\System Volume Information\_restore{420D145E-4CA6-4472-84D8-79857C15E798} not found.
File/Folder \R­P11\A0005963.dll not found.
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\Fannette\LOCALS~1\Temp\memhofym.dat scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\Fannette\LOCALS~1\Temp\~DF647D.tmp scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\Fannette\LOCALS~1\Temp\~DF6502.tmp scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\Fannette\LOCALS~1\Temp\~DF6599.tmp scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\Fannette\LOCALS~1\Temp\~DF65C3.tmp scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\Fannette\LOCALS~1\Temp\~DF66AA.tmp scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\Fannette\LOCALS~1\Temp\~DF66BC.tmp scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Internet Explorer cache folder emptied.
File delete failed. C:\Documents and Settings\Fannette\Local Settings\Temporary Internet Files\Content.IE5\RVTRT41C\default[1].htm scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Fannette\Local Settings\Temporary Internet Files\Content.IE5\RVTRT41C\InboxLight[2].htm scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Fannette\Local Settings\Temporary Internet Files\Content.IE5\RVTRT41C\signin[1].htm scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Fannette\Local Settings\Temporary Internet Files\Content.IE5\RVTRT41C\ToastFull[1].htm scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Fannette\Local Settings\Temporary Internet Files\Content.IE5\RVTRT41C\ToastMini[1].htm scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Fannette\Local Settings\Temporary Internet Files\Content.IE5\NCX3UVWD\im[1].htm scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Fannette\Local Settings\Temporary Internet Files\Content.IE5\NCX3UVWD\MsgrConfig[1].asmx scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Fannette\Local Settings\Temporary Internet Files\Content.IE5\3YTN61ZC\01[1].htm scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Fannette\Local Settings\Temporary Internet Files\Content.IE5\0L973MPA\01[1].htm scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Fannette\Local Settings\Temporary Internet Files\Content.IE5\0L973MPA\ADSAdClient31[1].txt scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Fannette\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Fannette\Local Settings\Temporary Internet Files\AntiPhishing\2CEDBFBC-DBA8-43AA-B1FD-CC8E6316E3E2.dat scheduled to be deleted on reboot.
User's Temporary Internet Files folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
Network Service Temp folder emptied.
File delete failed. C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Network Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_5d0.dat scheduled to be deleted on reboot.
Windows Temp folder emptied.
Java cache emptied.
Temp folders emptied.
Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.11.0 log created on 04192009_212851

Files moved on Reboot...
LoadLibrary failed for C:\WINDOWS\system32\bat.dll
C:\WINDOWS\system32\bat.dll NOT unregistered.
File move failed. C:\WINDOWS\system32\bat.dll scheduled to be moved on reboot.
File C:\DOCUME~1\Fannette\LOCALS~1\Temp\memhofym.dat not found!
File C:\DOCUME~1\Fannette\LOCALS~1\Temp\~DF647D.tmp not found!
File C:\DOCUME~1\Fannette\LOCALS~1\Temp\~DF6502.tmp not found!
File C:\DOCUME~1\Fannette\LOCALS~1\Temp\~DF6599.tmp not found!
File C:\DOCUME~1\Fannette\LOCALS~1\Temp\~DF65C3.tmp not found!
File C:\DOCUME~1\Fannette\LOCALS~1\Temp\~DF66AA.tmp not found!
File C:\DOCUME~1\Fannette\LOCALS~1\Temp\~DF66BC.tmp not found!
C:\Documents and Settings\Fannette\Local Settings\Temporary Internet Files\Content.IE5\RVTRT41C\default[1].htm moved successfully.
C:\Documents and Settings\Fannette\Local Settings\Temporary Internet Files\Content.IE5\RVTRT41C\InboxLight[2].htm moved successfully.
C:\Documents and Settings\Fannette\Local Settings\Temporary Internet Files\Content.IE5\RVTRT41C\signin[1].htm moved successfully.
C:\Documents and Settings\Fannette\Local Settings\Temporary Internet Files\Content.IE5\RVTRT41C\ToastFull[1].htm moved successfully.
C:\Documents and Settings\Fannette\Local Settings\Temporary Internet Files\Content.IE5\RVTRT41C\ToastMini[1].htm moved successfully.
C:\Documents and Settings\Fannette\Local Settings\Temporary Internet Files\Content.IE5\NCX3UVWD\im[1].htm moved successfully.
C:\Documents and Settings\Fannette\Local Settings\Temporary Internet Files\Content.IE5\NCX3UVWD\MsgrConfig[1].asmx moved successfully.
C:\Documents and Settings\Fannette\Local Settings\Temporary Internet Files\Content.IE5\3YTN61ZC\01[1].htm moved successfully.
File C:\Documents and Settings\Fannette\Local Settings\Temporary Internet Files\Content.IE5\0L973MPA\01[1].htm not found!
File C:\Documents and Settings\Fannette\Local Settings\Temporary Internet Files\Content.IE5\0L973MPA\ADSAdClient31[1].txt not found!
C:\Documents and Settings\Fannette\Local Settings\Temporary Internet Files\AntiPhishing\2CEDBFBC-DBA8-43AA-B1FD-CC8E6316E3E2.dat moved successfully.
File C:\WINDOWS\temp\Perflib_Perfdata_5d0.dat not found!
0
Réponse 29 / 48
Ced_King Messages postés 3519 Date d'inscription   Statut Contributeur Dernière intervention   572
 
Peux tu recommencer, j'avais rajouter des oublis ?
0
Réponse 30 / 48
Ced_King Messages postés 3519 Date d'inscription   Statut Contributeur Dernière intervention   572
 
Attends une minute, je verifies et te refais le script !
0
Réponse 31 / 48
Ced_King Messages postés 3519 Date d'inscription   Statut Contributeur Dernière intervention   572
 
Avec Otmoveit :

Desactives la garde de ton antivirus et celle de ton antispyware ( si tu en as..)

- Fermes toutes les applications en cours et double cliques sur OTMoveIT

- Assures toi que la case " Unregister Dll's and ocx's " soit bien cochée et copie ( ctrl+ C) ce qui est ci dessous en gras " :

:processes
explorer.exe

:files
C:\WINDOWS\SoftwareDistribution\Download\284fbcf1e8e0b40c095­3d6b85a551eae\SP3GDR\wmiprvse.exe
C:\WINDOWS\system32\dllcache\wmiprvse.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\System Volume Information\_restore{420D145E-4CA6-4472-84D8-79857C15E798}\R­P11\A0005963.dll

:commands
[purity]
[emptytemp]
[start explorer]
[reboot]

Colles (Ctrl+V) le texte précédemment copié dans le cadre " Paste Instructions for Items to be Moved "
Clique maintenant sur le bouton MoveIt! puis ferme OTMoveIt3.

---> Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.

Postes le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
---> Le nom du rapport correspond au moment de sa création : date_heure.log

0
Réponse 32 / 48
fannette281 Messages postés 27 Statut Membre
 
Le nouveau rapport moveit:

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== FILES ==========
File/Folder C:\WINDOWS\SoftwareDistribution\Download\284fbcf1e8e0b40c095­3d6b85a551eae\SP3GDR\wmiprvse.exe not found.
C:\WINDOWS\system32\dllcache\wmiprvse.exe moved successfully.
C:\WINDOWS\system32\wbem\wmiprvse.exe moved successfully.
File/Folder C:\System Volume Information\_restore{420D145E-4CA6-4472-84D8-79857C15E798}\R­P11\A0005963.dll not found.
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\Fannette\LOCALS~1\Temp\memhofym.dat scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\Fannette\LOCALS~1\Temp\~DF534F.tmp scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\Fannette\LOCALS~1\Temp\~DF677E.tmp scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Internet Explorer cache folder emptied.
File delete failed. C:\Documents and Settings\Fannette\Local Settings\Temporary Internet Files\Content.IE5\ZQ6AUG20\InboxLight[1].htm scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Fannette\Local Settings\Temporary Internet Files\Content.IE5\M5LNV5Y0\MsgrConfig[1].asmx scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Fannette\Local Settings\Temporary Internet Files\Content.IE5\CNP1IU8P\01[1].htm scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Fannette\Local Settings\Temporary Internet Files\Content.IE5\CNP1IU8P\im[1].htm scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Fannette\Local Settings\Temporary Internet Files\Content.IE5\CNP1IU8P\signin[1].htm scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Fannette\Local Settings\Temporary Internet Files\Content.IE5\2EOMW7I0\default[1].htm scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Fannette\Local Settings\Temporary Internet Files\Content.IE5\2EOMW7I0\ToastFull[1].htm scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Fannette\Local Settings\Temporary Internet Files\Content.IE5\2EOMW7I0\ToastMini[1].htm scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Fannette\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Fannette\Local Settings\Temporary Internet Files\AntiPhishing\2CEDBFBC-DBA8-43AA-B1FD-CC8E6316E3E2.dat scheduled to be deleted on reboot.
User's Temporary Internet Files folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
Network Service Temp folder emptied.
File delete failed. C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Network Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_5dc.dat scheduled to be deleted on reboot.
Windows Temp folder emptied.
Java cache emptied.
Temp folders emptied.
Explorer started successfully
0
Réponse 33 / 48
fannette281 Messages postés 27 Statut Membre
 
Bonjour,

avez-vous eu mon rapport?

Est-ce que vous pensez que ceci est réparable?

Merci

Fannette
0
Réponse 34 / 48
Ced_King Messages postés 3519 Date d'inscription   Statut Contributeur Dernière intervention   572
 
Salut,

- postes un nouveau rapport RSIt stp !
0
Réponse 35 / 48
fannette281 Messages postés 27 Statut Membre
 
Voici le rapport rsit:

Logfile of random's system information tool 1.06 (written by random/random)
Run by Fannette at 2009-04-21 12:57:33
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 65 GB (85%) free of 76 GB
Total RAM: 382 MB (20% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:57:49, on 21/04/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\OSD.exe
C:\Program Files\Launch Manager\OSDCtrl.exe
C:\Program Files\Launch Manager\Wbutton.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Documents and Settings\Fannette\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Windows Live\Toolbar\wltuser.exe
C:\DOCUME~1\Fannette\LOCALS~1\Temp\Google Toolbar\gtb8.tmp.exe
C:\Documents and Settings\Fannette\Bureau\VIRUS\RSIT.exe
C:\Program Files\trend micro\Fannette.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
O2 - BHO: (no name) - {74EB420F-7B78-48AF-A5FD-902B85868337} - C:\WINDOWS\system32\bat.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: LTIEHelper Class - {905502AB-1987-46cd-9EC5-42B1E087D319} - C:\Program Files\EasyPrediction\2.0\ltie.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Program Files\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [LMgrVolOSD] C:\Program Files\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Program Files\Launch Manager\OSDCtrl.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Notification de cadeaux MSN.lnk = C:\Documents and Settings\Fannette\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Planificateur LiveUpdate automatique - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
0
Réponse 36 / 48
Ced_King Messages postés 3519 Date d'inscription   Statut Contributeur Dernière intervention   572
 
Va dans le gestionnaire de périphériques (clic droit sur démarrer, explorer, clic droit sur poste de travail, propriétés, matériel-gestionnaire de périphériques)

puis affichage- afficher les périphériques cachés

Tu cherches mailKmd, tu double-cliques dessus et tu choisis en bas : (ne pas utiliser ce périphérique(désactivé))

Tu redémarres l'ordi en mode normal.

Tu supprimes, via l'explorateur Windows C:\WINDOWS\system32\drivers\mailKmd.sys

*Ensuite, lances Hijackthis et cliques sur " Do a scan only " puis coches la case devant la ligne :

O2 - BHO: (no name) - {74EB420F-7B78-48AF-A5FD-902B85868337} - C:\WINDOWS\system32\bat.dll

- Et cliques sur Fix checked, puis refermes hijackthis

-:Puis supprime le fichier C:\WINDOWS\system32\bat.dll

- postes un nouveau rapport RSIT pour control !

0
Réponse 37 / 48
fannette281 Messages postés 27 Statut Membre
 
Bonsoir,

je ne trouve pas mailkmd dans mon gestionnaire de périphériques même en affichant les périphériques cachés.

Que faire?

Merci
0
Réponse 38 / 48
fannette281 Messages postés 27 Statut Membre
 
Bonjour,

je vous recontacte car je ne trouve pas mailKmd dans mon gestionnaire de périphériques.

Je ne sais pas quoi faire??

Merci

Fannette
0
Réponse 39 / 48
Ced_King Messages postés 3519 Date d'inscription   Statut Contributeur Dernière intervention   572
 
Salut Fanette,

- Mets à jour Malwarebytes et lances un scan rapide stp !
0
Réponse 40 / 48
fannette281 Messages postés 27 Statut Membre
 
Bonsoir, voici le rapport:

Malwarebytes' Anti-Malware 1.36
Version de la base de données: 2026
Windows 5.1.2600 Service Pack 3

22/04/2009 21:30:26
mbam-log-2009-04-22 (21-30-20).txt

Type de recherche: Examen rapide
Eléments examinés: 65767
Temps écoulé: 15 minute(s), 7 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 4
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{74eb420f-7b78-48af-a5fd-902b85868337} (Trojan.BHO.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{74eb420f-7b78-48af-a5fd-902b85868337} (Trojan.BHO.H) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{74eb420f-7b78-48af-a5fd-902b85868337} (Spyware.Bzub) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bf (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bk (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\iu (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\mu (Trojan.Agent) -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\bat.dll (Trojan.BHO.H) -> No action taken.
C:\Documents and Settings\Fannette\Local Settings\Temp\memhofym.dat (Rootkit.Agent) -> No action taken.
0

Discussions similaires

Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
Désinstaller Softonic
Diguimette -
lilidurhone -

5 réponses
virus Artemis!
mabiche37 -
Malekal_morte- -

14 réponses
Message Apple virus !!
Souclik67 -
MPMP10 -

3 réponses