Votre avis sur mon rapport Hijackthis
gringo
-
gringo -
gringo -
Bonjour à tous,
Après quelques soucis lors des démarrages de mon PC (plantage puis message d'erreur sur l'application olhrwef.exe, j'ai fais une analyse Hijackthis (cf ci-dessous).
Je préfère vous demander conseil avant de faire des erreurs !
Merci d'informer sur les problèmes éventuels à régler.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:38:23, on 19/04/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\ASUS\Six Engine\SixEngine.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Pilou\Bureau\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Six Engine] "C:\Program Files\ASUS\Six Engine\SixEngine.exe" -r
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-21-1993962763-448539723-682003330-1004\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Anasth')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} - http://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: getPlus(R) Helper - Unknown owner - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe (file missing)
Après quelques soucis lors des démarrages de mon PC (plantage puis message d'erreur sur l'application olhrwef.exe, j'ai fais une analyse Hijackthis (cf ci-dessous).
Je préfère vous demander conseil avant de faire des erreurs !
Merci d'informer sur les problèmes éventuels à régler.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:38:23, on 19/04/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\ASUS\Six Engine\SixEngine.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Pilou\Bureau\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Six Engine] "C:\Program Files\ASUS\Six Engine\SixEngine.exe" -r
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-21-1993962763-448539723-682003330-1004\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Anasth')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} - http://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: getPlus(R) Helper - Unknown owner - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe (file missing)
A voir également:
- Votre avis sur mon rapport Hijackthis
- Hijackthis - Télécharger - Antivirus & Antimalwares
- Plan rapport de stage - Guide
- Rapport de crash windows - Guide
- Impossible d'afficher le rapport de tableau croisé dynamique sur un rapport existant ✓ - Forum Excel
- Impression rapport de stage ✓ - Forum Word
5 réponses
vire ce qui est dans la quarantaine d antivir.
passe cela et colle les rapports pour chacune des etapes1,2,3,4
--> Télécharge UsbFix (de Chiquitine29) sur ton Bureau.
http://sd-1.archive-host.com/membres/up/127028005715545653/UsbFix.exe
--> Lance l'installation avec les paramètres par défaut.
--> Branche tes sources de données externes à ton PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.
--> Clique droit sur le raccourci UsbFix situé sur ton Bureau et choisis Exécuter en tant qu'administrateur.
--> Choisis l'option 2 (Nettoyage).
--> Le PC va redémarrer.
--> Après redémarrage, poste le rapport UsbFix.txt
Note : le rapport UsbFix.txt est sauvegardé à la racine du disque.
(Si le Bureau ne réapparaît pas, presse Ctrl+Alt+Suppr, Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide)
passe cela et colle les rapports pour chacune des etapes1,2,3,4
--> Télécharge UsbFix (de Chiquitine29) sur ton Bureau.
http://sd-1.archive-host.com/membres/up/127028005715545653/UsbFix.exe
--> Lance l'installation avec les paramètres par défaut.
--> Branche tes sources de données externes à ton PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.
--> Clique droit sur le raccourci UsbFix situé sur ton Bureau et choisis Exécuter en tant qu'administrateur.
--> Choisis l'option 2 (Nettoyage).
--> Le PC va redémarrer.
--> Après redémarrage, poste le rapport UsbFix.txt
Note : le rapport UsbFix.txt est sauvegardé à la racine du disque.
(Si le Bureau ne réapparaît pas, presse Ctrl+Alt+Suppr, Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide)
1)pour voir télécharge combofix (par sUBs) ici :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
et enregistre le sur le bureau.
déconnecte toi d'internet et ferme toutes tes applications.
désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)
double-clique sur combofix.exe et suis les instructions
à la fin, il va produire un rapport C:\ComboFix.txt
réactive ton parefeu, ton antivirus, la garde de ton antispyware
copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.
Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.
Tu as un tutoriel complet ici :
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
2)pas d antivirus et rien en securite cela devait arriver.installe celui la.
http://www.commentcamarche.net/telecharger/telecharger 55 antivir personal
et modifie la configuration de cette manniere avant de lancer un scan.
bien configurer antivir.configuration puis mode expert a cocher puis dans scanner et recherche , cocher tout les fichiers ainsi que analyse de rootkit et priorite de scanner eleve.
colle le rapport que tu obtiens.
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
et enregistre le sur le bureau.
déconnecte toi d'internet et ferme toutes tes applications.
désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)
double-clique sur combofix.exe et suis les instructions
à la fin, il va produire un rapport C:\ComboFix.txt
réactive ton parefeu, ton antivirus, la garde de ton antispyware
copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.
Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.
Tu as un tutoriel complet ici :
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
2)pas d antivirus et rien en securite cela devait arriver.installe celui la.
http://www.commentcamarche.net/telecharger/telecharger 55 antivir personal
et modifie la configuration de cette manniere avant de lancer un scan.
bien configurer antivir.configuration puis mode expert a cocher puis dans scanner et recherche , cocher tout les fichiers ainsi que analyse de rootkit et priorite de scanner eleve.
colle le rapport que tu obtiens.
Ci-joint le rapport Combofix : (veux-ttu le rapport du scan antivir ?)
ComboFix 09-04-19.05 - Pilou 19/04/2009 15:14.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.3327.2864 [GMT 2:00]
Lancé depuis: c:\documents and settings\Pilou\Bureau\ComboFix.exe
* Un nouveau point de restauration a été créé
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\autorun.inf
C:\ej10fkdo.bat
c:\windows\system32\nmdfgds0.dll
c:\windows\system32\nmdfgds1.dll
c:\windows\system32\olhrwef.exe
D:\Autorun.inf
D:\ej10fkdo.bat
D:\i.cmd
.
((((((((((((((((((((((((((((( Fichiers créés du 2009-03-19 au 2009-04-19 ))))))))))))))))))))))))))))))))))))
.
2009-04-19 12:59 . 2009-04-19 12:59 -------- d-s---w c:\documents and settings\Pilou\UserData
2009-04-19 12:11 . 2009-04-19 12:11 -------- d-----w c:\documents and settings\All Users\Application Data\Messenger Plus!
2009-04-19 12:09 . 2009-04-19 12:09 -------- d-----w c:\documents and settings\Anasth
2009-04-19 12:09 . 2009-04-19 02:09 -------- d--h--w c:\documents and settings\Anasth\Voisinage réseau
2009-04-19 12:09 . 2009-04-19 02:09 -------- d--h--w c:\documents and settings\Anasth\Voisinage d'impression
2009-04-19 12:09 . 2009-04-19 02:09 -------- d-----r c:\documents and settings\Anasth\Menu Démarrer
2009-04-19 12:09 . 2009-04-19 01:00 -------- d--h--w c:\documents and settings\Anasth\Modèles
2009-04-19 12:03 . 2009-04-19 12:03 0 ----a-w c:\windows\nsreg.dat
2009-04-19 12:03 . 2009-04-19 12:03 -------- d-----w c:\documents and settings\Pilou\Local Settings\Application Data\Mozilla
2009-04-19 12:02 . 2009-04-19 12:59 -------- d-----w c:\documents and settings\Pilou\Tracing
2009-04-19 11:57 . 2009-04-19 11:57 -------- d-----w c:\windows\system32\drivers\UMDF
2009-04-19 11:57 . 2009-04-19 11:57 -------- d-----w c:\windows\system32\LogFiles
2009-04-19 11:57 . 2006-09-25 15:58 23856 ----a-w c:\windows\system32\spupdsvc.exe
2009-04-19 11:46 . 2009-04-19 11:46 -------- d-----w c:\documents and settings\Pilou\Local Settings\Application Data\Adobe
2009-04-19 11:46 . 2009-04-19 11:48 -------- d-----w c:\documents and settings\All Users\Application Data\NOS
2009-04-19 11:35 . 2009-04-19 11:35 13646 ----a-w c:\windows\system32\wpa.bak
2009-04-19 11:34 . 2008-04-13 09:45 15104 -c--a-w c:\windows\system32\dllcache\usbscan.sys
2009-04-19 11:34 . 2008-04-13 09:45 15104 ----a-w c:\windows\system32\drivers\usbscan.sys
2009-04-19 11:33 . 2009-04-17 05:24 108169 --sh--r C:\husyu8n.exe
2009-04-19 11:29 . 2003-04-07 17:37 75264 ----a-r c:\windows\system32\drivers\snxppalx.sys
2009-04-19 11:28 . 2003-04-02 08:06 20864 ----a-r c:\windows\system32\drivers\snxpcard.sys
2009-04-19 11:19 . 2009-04-19 12:02 12912 ----a-w c:\documents and settings\Pilou\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-04-19 11:19 . 2009-04-19 11:19 -------- d-----w c:\documents and settings\Pilou\Local Settings\Application Data\ATI
2009-04-19 11:19 . 2009-04-19 11:19 -------- d-----w c:\documents and settings\Pilou\Application Data\ATI
2009-04-19 11:19 . 2009-04-19 11:19 -------- d-----w c:\documents and settings\All Users\Application Data\ATI
2009-04-19 11:17 . 2009-04-19 11:17 0 ----a-w c:\windows\ativpsrm.bin
2009-04-19 11:09 . 2008-07-02 19:38 89600 ----a-r c:\windows\system32\drivers\AtiHdmi.sys
2009-04-19 11:08 . 2008-08-20 19:05 593920 ------w c:\windows\system32\ati2sgag.exe
2009-04-19 11:08 . 2008-07-15 14:28 14144 ----a-r c:\windows\atiogl.xml
2009-04-19 11:08 . 2008-08-21 01:50 307200 ----a-r c:\windows\system32\atiiiexx.dll
2009-04-19 11:08 . 2008-08-21 02:19 425984 ----a-r c:\windows\system32\ATIDEMGX.dll
2009-04-19 11:08 . 2007-08-31 13:20 7167 ----a-r c:\windows\system32\atifglpf.xml
2009-04-19 11:08 . 2008-08-21 01:37 887724 ----a-r c:\windows\system32\ativva6x.dat
2009-04-19 11:08 . 2008-08-21 01:37 3107788 ----a-r c:\windows\system32\ativva5x.dat
2009-04-19 11:08 . 2008-08-21 01:37 3107788 ----a-r c:\windows\system32\ativvaxx.dat
2009-04-19 11:08 . 2008-07-17 12:23 174818 ----a-r c:\windows\system32\atiicdxx.dat
2009-04-19 11:00 . 2007-12-17 09:14 12400 ----a-r c:\windows\system32\drivers\AsIO.sys
2009-04-19 11:00 . 2006-01-10 08:50 24576 ----a-r c:\windows\system32\AsIO.dll
2009-04-19 11:00 . 2008-01-04 11:34 11832 ----a-w c:\windows\system32\drivers\AsInsHelp64.sys
2009-04-19 11:00 . 2008-01-04 11:34 10216 ----a-w c:\windows\system32\drivers\AsInsHelp32.sys
2009-04-19 11:00 . 2009-04-19 11:00 670 ----a-w c:\windows\setup.iss
2009-04-19 10:58 . 2008-06-25 16:47 36864 ----a-r c:\windows\system32\drivers\l1e51x86.sys
2009-04-19 10:58 . 2009-04-19 10:58 -------- d-----w c:\windows\system32\Atheros_L1e
2009-04-19 10:57 . 2009-04-19 10:57 940794 ----a-w c:\windows\system32\LoopyMusic.wav
2009-04-19 10:57 . 2009-04-19 10:57 146650 ----a-w c:\windows\system32\BuzzingBee.wav
2009-04-19 10:57 . 2009-04-19 10:57 -------- d-----w c:\windows\system32\Lang
2009-04-19 09:59 . 2009-04-19 09:59 -------- d-----w c:\windows\ASUSInstAll
2009-04-19 09:56 . 2009-04-19 09:56 -------- dc----w c:\windows\system32\DRVSTORE
2009-04-19 09:56 . 2008-06-04 06:55 53248 ----a-r c:\windows\system32\CSVer.dll
2009-04-19 09:55 . 2009-04-19 09:55 -------- d-----w C:\Intel
2009-04-19 09:55 . 2009-04-19 11:00 38464 ----a-w c:\windows\Ascd_log.ini
2009-04-19 09:54 . 2004-08-13 10:56 5810 ----a-r c:\windows\system32\drivers\ASACPI.sys
2009-04-19 09:54 . 2009-04-19 09:54 38073 ----a-w c:\windows\Ascd_tmp.ini
2009-04-19 09:54 . 2007-12-28 15:22 10296 ----a-w c:\windows\system32\drivers\ASUSHWIO.SYS
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-19 12:32 . 2008-04-14 12:00 71248 ----a-w c:\windows\system32\perfc00C.dat
2009-04-19 12:32 . 2008-04-14 12:00 458230 ----a-w c:\windows\system32\perfh00C.dat
2009-04-19 12:10 . 2009-04-19 12:10 12912 ----a-w c:\documents and settings\Anasth\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-04-19 12:10 . 2009-04-19 12:10 -------- d-----w c:\documents and settings\Anasth\Application Data\ATI
2009-04-19 12:07 . 2009-04-19 11:46 -------- d-----w c:\program files\NOS
2009-04-19 12:03 . 2009-04-19 12:03 -------- d-----w c:\program files\Messenger Plus! Live
2009-04-19 12:02 . 2009-04-19 12:02 -------- d-----w c:\program files\Microsoft
2009-04-19 12:02 . 2009-04-19 12:01 -------- d-----w c:\program files\Windows Live
2009-04-19 12:02 . 2009-04-19 12:02 -------- d-----w c:\program files\Windows Live SkyDrive
2009-04-19 11:59 . 2009-04-19 11:59 -------- d-----w c:\program files\Fichiers communs\Windows Live
2009-04-19 11:58 . 2009-04-19 11:58 -------- d-----w c:\program files\Windows Media Connect 2
2009-04-19 11:56 . 2009-04-19 11:56 -------- d-----w c:\program files\CCleaner
2009-04-19 11:51 . 2009-04-19 11:51 -------- d-----w c:\program files\VideoLAN
2009-04-19 11:47 . 2009-04-19 11:47 -------- d-----w c:\program files\Fichiers communs\Adobe
2009-04-19 11:14 . 2009-04-19 11:08 -------- d-----w c:\program files\ATI Technologies
2009-04-19 11:13 . 2009-04-19 10:08 -------- d--h--w c:\program files\InstallShield Installation Information
2009-04-19 11:12 . 2009-04-19 11:12 -------- d-----w c:\program files\Fichiers communs\ATI Technologies
2009-04-19 11:00 . 2009-04-19 11:00 -------- d-----w c:\program files\ASUS
2009-04-19 11:00 . 2009-04-19 10:08 -------- d-----w c:\program files\Fichiers communs\InstallShield
2009-04-19 10:58 . 2009-04-19 10:58 -------- d-----w c:\program files\Marvell
2009-04-19 10:08 . 2009-04-19 10:08 522 ----a-w C:\RHDSetup.log
2009-04-19 10:08 . 2009-04-19 10:08 -------- d-----w c:\program files\Realtek
2009-04-19 10:08 . 2009-04-19 10:08 315392 ----a-w c:\windows\HideWin.exe
2009-04-19 09:56 . 2009-04-19 09:56 -------- d-----w c:\program files\Intel
2009-04-19 01:03 . 2009-04-19 01:03 -------- d-----w c:\program files\microsoft frontpage
2009-04-19 01:03 . 2009-04-19 01:02 86331 ----a-w c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-04-19 01:02 . 2009-04-19 01:02 -------- d-----w c:\program files\Services en ligne
2009-04-19 01:01 . 2009-04-19 01:01 21892 ----a-w c:\windows\system32\emptyregdb.dat
2009-02-06 16:52 . 2009-02-06 16:52 49504 ----a-w c:\windows\system32\sirenacm.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-13 1695232]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-02-06 3885408]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Six Engine"="c:\program files\ASUS\Six Engine\SixEngine.exe" [2008-06-02 5964800]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-08-01 61440]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2008-05-16 16862720]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
R3 getPlus(R) Helper;getPlus(R) Helper; [x]
S0 mv61xx;mv61xx;c:\windows\system32\DRIVERS\mv61xx.sys [2008-06-23 150568]
S3 AtiHdmiService;ATI Function Driver for HDMI Service;c:\windows\system32\drivers\AtiHdmi.sys [2008-07-02 89600]
S3 L1e;Miniport Driver for Atheros AR8121/AR8113/AR8114 PCI-E Ethernet Controller;c:\windows\system32\DRIVERS\l1e51x86.sys [2008-06-25 36864]
S3 SNXPCARD;Sunix PCI Multi I/O Card Driver;c:\windows\system32\DRIVERS\snxpcard.sys [2003-04-02 20864]
S3 SNXPPALX;Sunix PCI Parallel Port Driver;c:\windows\system32\DRIVERS\snxppalx.sys [2003-04-07 75264]
.
- - - - ORPHELINS SUPPRIMES - - - -
HKCU-Run-cdoosoft - c:\windows\system32\olhrwef.exe
SSODL-CDBurn-{fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll
.
------- Examen supplémentaire -------
.
IE: {{FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\program files\Messenger\msmsgs.exe
FF - ProfilePath - c:\documents and settings\Pilou\Application Data\Mozilla\Firefox\Profiles\ybttu4w7.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-19 15:15
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(768)
c:\windows\system32\Ati2evxx.dll
- - - - - - - > 'winlogon.exe'(2416)
c:\windows\system32\Ati2evxx.dll
.
Heure de fin: 2009-04-19 15:15
ComboFix-quarantined-files.txt 2009-04-19 13:15
Avant-CF: 99 789 479 936 octets libres
Après-CF: 99 783 233 536 octets libres
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect
173
ComboFix 09-04-19.05 - Pilou 19/04/2009 15:14.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.3327.2864 [GMT 2:00]
Lancé depuis: c:\documents and settings\Pilou\Bureau\ComboFix.exe
* Un nouveau point de restauration a été créé
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\autorun.inf
C:\ej10fkdo.bat
c:\windows\system32\nmdfgds0.dll
c:\windows\system32\nmdfgds1.dll
c:\windows\system32\olhrwef.exe
D:\Autorun.inf
D:\ej10fkdo.bat
D:\i.cmd
.
((((((((((((((((((((((((((((( Fichiers créés du 2009-03-19 au 2009-04-19 ))))))))))))))))))))))))))))))))))))
.
2009-04-19 12:59 . 2009-04-19 12:59 -------- d-s---w c:\documents and settings\Pilou\UserData
2009-04-19 12:11 . 2009-04-19 12:11 -------- d-----w c:\documents and settings\All Users\Application Data\Messenger Plus!
2009-04-19 12:09 . 2009-04-19 12:09 -------- d-----w c:\documents and settings\Anasth
2009-04-19 12:09 . 2009-04-19 02:09 -------- d--h--w c:\documents and settings\Anasth\Voisinage réseau
2009-04-19 12:09 . 2009-04-19 02:09 -------- d--h--w c:\documents and settings\Anasth\Voisinage d'impression
2009-04-19 12:09 . 2009-04-19 02:09 -------- d-----r c:\documents and settings\Anasth\Menu Démarrer
2009-04-19 12:09 . 2009-04-19 01:00 -------- d--h--w c:\documents and settings\Anasth\Modèles
2009-04-19 12:03 . 2009-04-19 12:03 0 ----a-w c:\windows\nsreg.dat
2009-04-19 12:03 . 2009-04-19 12:03 -------- d-----w c:\documents and settings\Pilou\Local Settings\Application Data\Mozilla
2009-04-19 12:02 . 2009-04-19 12:59 -------- d-----w c:\documents and settings\Pilou\Tracing
2009-04-19 11:57 . 2009-04-19 11:57 -------- d-----w c:\windows\system32\drivers\UMDF
2009-04-19 11:57 . 2009-04-19 11:57 -------- d-----w c:\windows\system32\LogFiles
2009-04-19 11:57 . 2006-09-25 15:58 23856 ----a-w c:\windows\system32\spupdsvc.exe
2009-04-19 11:46 . 2009-04-19 11:46 -------- d-----w c:\documents and settings\Pilou\Local Settings\Application Data\Adobe
2009-04-19 11:46 . 2009-04-19 11:48 -------- d-----w c:\documents and settings\All Users\Application Data\NOS
2009-04-19 11:35 . 2009-04-19 11:35 13646 ----a-w c:\windows\system32\wpa.bak
2009-04-19 11:34 . 2008-04-13 09:45 15104 -c--a-w c:\windows\system32\dllcache\usbscan.sys
2009-04-19 11:34 . 2008-04-13 09:45 15104 ----a-w c:\windows\system32\drivers\usbscan.sys
2009-04-19 11:33 . 2009-04-17 05:24 108169 --sh--r C:\husyu8n.exe
2009-04-19 11:29 . 2003-04-07 17:37 75264 ----a-r c:\windows\system32\drivers\snxppalx.sys
2009-04-19 11:28 . 2003-04-02 08:06 20864 ----a-r c:\windows\system32\drivers\snxpcard.sys
2009-04-19 11:19 . 2009-04-19 12:02 12912 ----a-w c:\documents and settings\Pilou\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-04-19 11:19 . 2009-04-19 11:19 -------- d-----w c:\documents and settings\Pilou\Local Settings\Application Data\ATI
2009-04-19 11:19 . 2009-04-19 11:19 -------- d-----w c:\documents and settings\Pilou\Application Data\ATI
2009-04-19 11:19 . 2009-04-19 11:19 -------- d-----w c:\documents and settings\All Users\Application Data\ATI
2009-04-19 11:17 . 2009-04-19 11:17 0 ----a-w c:\windows\ativpsrm.bin
2009-04-19 11:09 . 2008-07-02 19:38 89600 ----a-r c:\windows\system32\drivers\AtiHdmi.sys
2009-04-19 11:08 . 2008-08-20 19:05 593920 ------w c:\windows\system32\ati2sgag.exe
2009-04-19 11:08 . 2008-07-15 14:28 14144 ----a-r c:\windows\atiogl.xml
2009-04-19 11:08 . 2008-08-21 01:50 307200 ----a-r c:\windows\system32\atiiiexx.dll
2009-04-19 11:08 . 2008-08-21 02:19 425984 ----a-r c:\windows\system32\ATIDEMGX.dll
2009-04-19 11:08 . 2007-08-31 13:20 7167 ----a-r c:\windows\system32\atifglpf.xml
2009-04-19 11:08 . 2008-08-21 01:37 887724 ----a-r c:\windows\system32\ativva6x.dat
2009-04-19 11:08 . 2008-08-21 01:37 3107788 ----a-r c:\windows\system32\ativva5x.dat
2009-04-19 11:08 . 2008-08-21 01:37 3107788 ----a-r c:\windows\system32\ativvaxx.dat
2009-04-19 11:08 . 2008-07-17 12:23 174818 ----a-r c:\windows\system32\atiicdxx.dat
2009-04-19 11:00 . 2007-12-17 09:14 12400 ----a-r c:\windows\system32\drivers\AsIO.sys
2009-04-19 11:00 . 2006-01-10 08:50 24576 ----a-r c:\windows\system32\AsIO.dll
2009-04-19 11:00 . 2008-01-04 11:34 11832 ----a-w c:\windows\system32\drivers\AsInsHelp64.sys
2009-04-19 11:00 . 2008-01-04 11:34 10216 ----a-w c:\windows\system32\drivers\AsInsHelp32.sys
2009-04-19 11:00 . 2009-04-19 11:00 670 ----a-w c:\windows\setup.iss
2009-04-19 10:58 . 2008-06-25 16:47 36864 ----a-r c:\windows\system32\drivers\l1e51x86.sys
2009-04-19 10:58 . 2009-04-19 10:58 -------- d-----w c:\windows\system32\Atheros_L1e
2009-04-19 10:57 . 2009-04-19 10:57 940794 ----a-w c:\windows\system32\LoopyMusic.wav
2009-04-19 10:57 . 2009-04-19 10:57 146650 ----a-w c:\windows\system32\BuzzingBee.wav
2009-04-19 10:57 . 2009-04-19 10:57 -------- d-----w c:\windows\system32\Lang
2009-04-19 09:59 . 2009-04-19 09:59 -------- d-----w c:\windows\ASUSInstAll
2009-04-19 09:56 . 2009-04-19 09:56 -------- dc----w c:\windows\system32\DRVSTORE
2009-04-19 09:56 . 2008-06-04 06:55 53248 ----a-r c:\windows\system32\CSVer.dll
2009-04-19 09:55 . 2009-04-19 09:55 -------- d-----w C:\Intel
2009-04-19 09:55 . 2009-04-19 11:00 38464 ----a-w c:\windows\Ascd_log.ini
2009-04-19 09:54 . 2004-08-13 10:56 5810 ----a-r c:\windows\system32\drivers\ASACPI.sys
2009-04-19 09:54 . 2009-04-19 09:54 38073 ----a-w c:\windows\Ascd_tmp.ini
2009-04-19 09:54 . 2007-12-28 15:22 10296 ----a-w c:\windows\system32\drivers\ASUSHWIO.SYS
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-19 12:32 . 2008-04-14 12:00 71248 ----a-w c:\windows\system32\perfc00C.dat
2009-04-19 12:32 . 2008-04-14 12:00 458230 ----a-w c:\windows\system32\perfh00C.dat
2009-04-19 12:10 . 2009-04-19 12:10 12912 ----a-w c:\documents and settings\Anasth\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-04-19 12:10 . 2009-04-19 12:10 -------- d-----w c:\documents and settings\Anasth\Application Data\ATI
2009-04-19 12:07 . 2009-04-19 11:46 -------- d-----w c:\program files\NOS
2009-04-19 12:03 . 2009-04-19 12:03 -------- d-----w c:\program files\Messenger Plus! Live
2009-04-19 12:02 . 2009-04-19 12:02 -------- d-----w c:\program files\Microsoft
2009-04-19 12:02 . 2009-04-19 12:01 -------- d-----w c:\program files\Windows Live
2009-04-19 12:02 . 2009-04-19 12:02 -------- d-----w c:\program files\Windows Live SkyDrive
2009-04-19 11:59 . 2009-04-19 11:59 -------- d-----w c:\program files\Fichiers communs\Windows Live
2009-04-19 11:58 . 2009-04-19 11:58 -------- d-----w c:\program files\Windows Media Connect 2
2009-04-19 11:56 . 2009-04-19 11:56 -------- d-----w c:\program files\CCleaner
2009-04-19 11:51 . 2009-04-19 11:51 -------- d-----w c:\program files\VideoLAN
2009-04-19 11:47 . 2009-04-19 11:47 -------- d-----w c:\program files\Fichiers communs\Adobe
2009-04-19 11:14 . 2009-04-19 11:08 -------- d-----w c:\program files\ATI Technologies
2009-04-19 11:13 . 2009-04-19 10:08 -------- d--h--w c:\program files\InstallShield Installation Information
2009-04-19 11:12 . 2009-04-19 11:12 -------- d-----w c:\program files\Fichiers communs\ATI Technologies
2009-04-19 11:00 . 2009-04-19 11:00 -------- d-----w c:\program files\ASUS
2009-04-19 11:00 . 2009-04-19 10:08 -------- d-----w c:\program files\Fichiers communs\InstallShield
2009-04-19 10:58 . 2009-04-19 10:58 -------- d-----w c:\program files\Marvell
2009-04-19 10:08 . 2009-04-19 10:08 522 ----a-w C:\RHDSetup.log
2009-04-19 10:08 . 2009-04-19 10:08 -------- d-----w c:\program files\Realtek
2009-04-19 10:08 . 2009-04-19 10:08 315392 ----a-w c:\windows\HideWin.exe
2009-04-19 09:56 . 2009-04-19 09:56 -------- d-----w c:\program files\Intel
2009-04-19 01:03 . 2009-04-19 01:03 -------- d-----w c:\program files\microsoft frontpage
2009-04-19 01:03 . 2009-04-19 01:02 86331 ----a-w c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-04-19 01:02 . 2009-04-19 01:02 -------- d-----w c:\program files\Services en ligne
2009-04-19 01:01 . 2009-04-19 01:01 21892 ----a-w c:\windows\system32\emptyregdb.dat
2009-02-06 16:52 . 2009-02-06 16:52 49504 ----a-w c:\windows\system32\sirenacm.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-13 1695232]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-02-06 3885408]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Six Engine"="c:\program files\ASUS\Six Engine\SixEngine.exe" [2008-06-02 5964800]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-08-01 61440]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2008-05-16 16862720]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
R3 getPlus(R) Helper;getPlus(R) Helper; [x]
S0 mv61xx;mv61xx;c:\windows\system32\DRIVERS\mv61xx.sys [2008-06-23 150568]
S3 AtiHdmiService;ATI Function Driver for HDMI Service;c:\windows\system32\drivers\AtiHdmi.sys [2008-07-02 89600]
S3 L1e;Miniport Driver for Atheros AR8121/AR8113/AR8114 PCI-E Ethernet Controller;c:\windows\system32\DRIVERS\l1e51x86.sys [2008-06-25 36864]
S3 SNXPCARD;Sunix PCI Multi I/O Card Driver;c:\windows\system32\DRIVERS\snxpcard.sys [2003-04-02 20864]
S3 SNXPPALX;Sunix PCI Parallel Port Driver;c:\windows\system32\DRIVERS\snxppalx.sys [2003-04-07 75264]
.
- - - - ORPHELINS SUPPRIMES - - - -
HKCU-Run-cdoosoft - c:\windows\system32\olhrwef.exe
SSODL-CDBurn-{fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll
.
------- Examen supplémentaire -------
.
IE: {{FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\program files\Messenger\msmsgs.exe
FF - ProfilePath - c:\documents and settings\Pilou\Application Data\Mozilla\Firefox\Profiles\ybttu4w7.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-19 15:15
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(768)
c:\windows\system32\Ati2evxx.dll
- - - - - - - > 'winlogon.exe'(2416)
c:\windows\system32\Ati2evxx.dll
.
Heure de fin: 2009-04-19 15:15
ComboFix-quarantined-files.txt 2009-04-19 13:15
Avant-CF: 99 789 479 936 octets libres
Après-CF: 99 783 233 536 octets libres
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect
173
colle le rapport d antivir. merci.fait un scan complet apres mise a jour.configure le comme indique avant de lancer le scan.
Voici le résultat de l'analyse Antivir :
Avira AntiVir Personal
Date de création du fichier de rapport : dimanche 19 avril 2009 15:32
La recherche porte sur 1356201 souches de virus.
Détenteur de la licence :Avira AntiVir PersonalEdition Classic
Numéro de série : 0000149996-ADJIE-0001
Plateforme : Windows XP
Version de Windows :(Service Pack 3) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur :GRINGO
Informations de version :
BUILD.DAT : 8.2.0.52 16931 Bytes 02/12/2008 14:55:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 18/11/2008 07:21:00
AVSCAN.DLL : 8.1.4.1 49921 Bytes 21/07/2008 12:44:27
LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 11:44:16
LUKERES.DLL : 8.1.4.0 13057 Bytes 04/07/2008 06:30:27
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 10:30:36
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11/02/2009 13:21:29
ANTIVIR2.VDF : 7.1.3.63 1588224 Bytes 16/04/2009 13:21:34
ANTIVIR3.VDF : 7.1.3.73 25088 Bytes 18/04/2009 13:21:34
Version du moteur: 8.2.0.148
AEVDF.DLL : 8.1.1.0 106868 Bytes 19/04/2009 13:21:44
AESCRIPT.DLL : 8.1.1.75 373113 Bytes 19/04/2009 13:21:43
AESCN.DLL : 8.1.1.10 127348 Bytes 19/04/2009 13:21:42
AERDL.DLL : 8.1.1.3 438645 Bytes 04/11/2008 12:58:38
AEPACK.DLL : 8.1.3.14 397685 Bytes 19/04/2009 13:21:42
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 19/04/2009 13:21:41
AEHEUR.DLL : 8.1.0.119 1724791 Bytes 19/04/2009 13:21:40
AEHELP.DLL : 8.1.2.2 119158 Bytes 19/04/2009 13:21:37
AEGEN.DLL : 8.1.1.36 340341 Bytes 19/04/2009 13:21:36
AEEMU.DLL : 8.1.0.9 393588 Bytes 14/10/2008 09:05:56
AECORE.DLL : 8.1.6.9 176500 Bytes 19/04/2009 13:21:35
AEBB.DLL : 8.1.0.3 53618 Bytes 14/10/2008 09:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 07:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 08:27:58
AVREP.DLL : 8.0.0.3 155905 Bytes 19/04/2009 13:21:35
AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 10:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 07:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 11:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 16:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 11:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 11:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 04/07/2008 06:23:16
RCTEXT.DLL : 8.0.52.1 86273 Bytes 17/07/2008 09:08:43
Configuration pour la recherche actuelle :
Nom de la tâche..................: Contrôle intégral du système
Fichier de configuration.........: C:\Program Files\Avira\AntiVir PersonalEdition Classic\sysscan.avp
Documentation....................: bas
Action principale................: interactif
Action secondaire................: ignorer
Recherche sur les secteurs d'amorçage maître: marche
Recherche sur les secteurs d'amorçage: marche
Secteurs d'amorçage..............: C:, D:,
Recherche dans les programmes actifs: marche
Recherche en cours sur l'enregistrement: marche
Recherche de Rootkits............: marche
Fichier mode de recherche........: Tous les fichiers
Recherche sur les archives.......: marche
Limiter la profondeur de récursivité: 20
Archive Smart Extensions.........: marche
Heuristique de macrovirus........: marche
Heuristique fichier..............: moyen
Début de la recherche : dimanche 19 avril 2009 15:32
La recherche d'objets cachés commence.
'21701' objets ont été contrôlés, '0' objets cachés ont été trouvés.
La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'notepad.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wscntfy.exe' - '1' module(s) sont contrôlés
Processus de recherche 'CCC.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'MOM.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SixEngine.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RTHDCPL.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ati2evxx.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wscntfy.exe' - '1' module(s) sont contrôlés
Processus de recherche 'CCC.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'MOM.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SixEngine.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RTHDCPL.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ati2evxx.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ati2evxx.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'37' processus ont été contrôlés avec '37' modules
La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !
La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'D:\'
[INFO] Aucun virus trouvé !
La recherche sur les renvois aux fichiers exécutables (registre) commence.
Le registre a été contrôlé ( '47' fichiers).
La recherche sur les fichiers sélectionnés commence :
Recherche débutant dans 'C:\'
C:\husyu8n.exe
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a5e2898.qua' !
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\Qoobox\Quarantine\C\ej10fkdo.bat.vir
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a1c28c7.qua' !
C:\Qoobox\Quarantine\C\WINDOWS\system32\nmdfgds0.dll.vir
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a4f28d2.qua' !
C:\Qoobox\Quarantine\C\WINDOWS\system32\nmdfgds1.dll.vir
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bcbf78b.qua' !
C:\Qoobox\Quarantine\C\WINDOWS\system32\olhrwef.exe.vir
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a5328d1.qua' !
C:\Qoobox\Quarantine\D\ej10fkdo.bat.vir
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a1c28d0.qua' !
C:\Qoobox\Quarantine\D\i.cmd.vir
[RESULTAT] Contient le cheval de Troie TR/Drop.Agent.ahdz
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a4e2894.qua' !
C:\System Volume Information\_restore{9310155D-0B25-4CAC-A740-DF146F0AD5E4}\RP10\A0000356.bat
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a1b289a.qua' !
C:\System Volume Information\_restore{9310155D-0B25-4CAC-A740-DF146F0AD5E4}\RP11\A0000379.bat
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a1b289b.qua' !
C:\System Volume Information\_restore{9310155D-0B25-4CAC-A740-DF146F0AD5E4}\RP12\A0000462.bat
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a1b289c.qua' !
C:\System Volume Information\_restore{9310155D-0B25-4CAC-A740-DF146F0AD5E4}\RP13\A0000557.bat
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a1b289e.qua' !
C:\System Volume Information\_restore{9310155D-0B25-4CAC-A740-DF146F0AD5E4}\RP13\A0001614.dll
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a1b28a6.qua' !
C:\System Volume Information\_restore{9310155D-0B25-4CAC-A740-DF146F0AD5E4}\RP13\A0001615.bat
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b99f8bf.qua' !
C:\System Volume Information\_restore{9310155D-0B25-4CAC-A740-DF146F0AD5E4}\RP13\A0002614.dll
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a1b28a7.qua' !
C:\System Volume Information\_restore{9310155D-0B25-4CAC-A740-DF146F0AD5E4}\RP13\A0003614.dll
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b99f8b0.qua' !
C:\System Volume Information\_restore{9310155D-0B25-4CAC-A740-DF146F0AD5E4}\RP14\A0004632.dll
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a1b28a9.qua' !
C:\System Volume Information\_restore{9310155D-0B25-4CAC-A740-DF146F0AD5E4}\RP14\A0004633.dll
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a1b28a8.qua' !
C:\System Volume Information\_restore{9310155D-0B25-4CAC-A740-DF146F0AD5E4}\RP14\A0004634.exe
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b99f8b1.qua' !
C:\System Volume Information\_restore{9310155D-0B25-4CAC-A740-DF146F0AD5E4}\RP14\A0004638.bat
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a1b28aa.qua' !
C:\System Volume Information\_restore{9310155D-0B25-4CAC-A740-DF146F0AD5E4}\RP15\A0004698.exe
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b99f8b2.qua' !
Recherche débutant dans 'D:\'
D:\0xuc.com
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a602973.qua' !
D:\1ogf.exe
[RESULTAT] Contient le cheval de Troie TR/Drop.Agent.ahdz
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a52296a.qua' !
D:\cqxj.exe
[RESULTAT] Contient le cheval de Troie TR/Drop.Agent.ahdz
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a63296d.qua' !
D:\husyu8n.exe
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a5e2971.qua' !
D:\qwtb.com
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a5f2973.qua' !
D:\System Volume Information\_restore{9310155D-0B25-4CAC-A740-DF146F0AD5E4}\RP10\A0000358.bat
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a1b2b67.qua' !
D:\System Volume Information\_restore{9310155D-0B25-4CAC-A740-DF146F0AD5E4}\RP11\A0000381.bat
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b99fb70.qua' !
D:\System Volume Information\_restore{9310155D-0B25-4CAC-A740-DF146F0AD5E4}\RP12\A0000464.bat
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a1b2b68.qua' !
D:\System Volume Information\_restore{9310155D-0B25-4CAC-A740-DF146F0AD5E4}\RP13\A0000559.bat
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a1b2b69.qua' !
D:\System Volume Information\_restore{9310155D-0B25-4CAC-A740-DF146F0AD5E4}\RP13\A0001617.bat
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b99fb72.qua' !
D:\System Volume Information\_restore{9310155D-0B25-4CAC-A740-DF146F0AD5E4}\RP14\A0004639.bat
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a1b2b6b.qua' !
D:\System Volume Information\_restore{9310155D-0B25-4CAC-A740-DF146F0AD5E4}\RP14\A0004640.cmd
[RESULTAT] Contient le cheval de Troie TR/Drop.Agent.ahdz
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b99fb74.qua' !
D:\System Volume Information\_restore{9310155D-0B25-4CAC-A740-DF146F0AD5E4}\RP15\A0004699.com
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a1b2b6a.qua' !
D:\System Volume Information\_restore{9310155D-0B25-4CAC-A740-DF146F0AD5E4}\RP15\A0004700.exe
[RESULTAT] Contient le cheval de Troie TR/Drop.Agent.ahdz
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b99fb73.qua' !
D:\System Volume Information\_restore{9310155D-0B25-4CAC-A740-DF146F0AD5E4}\RP15\A0004701.exe
[RESULTAT] Contient le cheval de Troie TR/Drop.Agent.ahdz
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a1b2b6c.qua' !
D:\System Volume Information\_restore{9310155D-0B25-4CAC-A740-DF146F0AD5E4}\RP15\A0004702.exe
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b99fb75.qua' !
D:\System Volume Information\_restore{9310155D-0B25-4CAC-A740-DF146F0AD5E4}\RP15\A0004703.com
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a1b2b6d.qua' !
D:\System Volume Information\_restore{9310155D-0B25-4CAC-A740-DF146F0AD5E4}\RP15\A0004704.exe
[RESULTAT] Contient le cheval de Troie TR/Dldr.BZW
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b99fb76.qua' !
D:\System Volume Information\_restore{9310155D-0B25-4CAC-A740-DF146F0AD5E4}\RP15\A0004705.exe
[RESULTAT] Contient le modèle de détection d'un programme de numérotation générant des coûts DIAL/8301.A (dialer)
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a1b2b6f.qua' !
D:\System Volume Information\_restore{9310155D-0B25-4CAC-A740-DF146F0AD5E4}\RP9\A0000351.exe
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a1b2b6e.qua' !
D:\System Volume Information\_restore{9A499201-6344-47F5-8B01-86A79FD96098}\RP1\A0001015.exe
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b99fb77.qua' !
Fin de la recherche : dimanche 19 avril 2009 15:47
Temps nécessaire: 14:08 Minute(s)
La recherche a été effectuée intégralement
3957 Les répertoires ont été contrôlés
168166 Des fichiers ont été contrôlés
45 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
44 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
1 Impossible de contrôler des fichiers
168120 Fichiers non infectés
1996 Les archives ont été contrôlées
1 Avertissements
44 Consignes
21701 Des objets ont été contrôlés lors du Rootkitscan
0 Des objets cachés ont été trouvés
Avira AntiVir Personal
Date de création du fichier de rapport : dimanche 19 avril 2009 15:32
La recherche porte sur 1356201 souches de virus.
Détenteur de la licence :Avira AntiVir PersonalEdition Classic
Numéro de série : 0000149996-ADJIE-0001
Plateforme : Windows XP
Version de Windows :(Service Pack 3) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur :GRINGO
Informations de version :
BUILD.DAT : 8.2.0.52 16931 Bytes 02/12/2008 14:55:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 18/11/2008 07:21:00
AVSCAN.DLL : 8.1.4.1 49921 Bytes 21/07/2008 12:44:27
LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 11:44:16
LUKERES.DLL : 8.1.4.0 13057 Bytes 04/07/2008 06:30:27
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 10:30:36
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11/02/2009 13:21:29
ANTIVIR2.VDF : 7.1.3.63 1588224 Bytes 16/04/2009 13:21:34
ANTIVIR3.VDF : 7.1.3.73 25088 Bytes 18/04/2009 13:21:34
Version du moteur: 8.2.0.148
AEVDF.DLL : 8.1.1.0 106868 Bytes 19/04/2009 13:21:44
AESCRIPT.DLL : 8.1.1.75 373113 Bytes 19/04/2009 13:21:43
AESCN.DLL : 8.1.1.10 127348 Bytes 19/04/2009 13:21:42
AERDL.DLL : 8.1.1.3 438645 Bytes 04/11/2008 12:58:38
AEPACK.DLL : 8.1.3.14 397685 Bytes 19/04/2009 13:21:42
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 19/04/2009 13:21:41
AEHEUR.DLL : 8.1.0.119 1724791 Bytes 19/04/2009 13:21:40
AEHELP.DLL : 8.1.2.2 119158 Bytes 19/04/2009 13:21:37
AEGEN.DLL : 8.1.1.36 340341 Bytes 19/04/2009 13:21:36
AEEMU.DLL : 8.1.0.9 393588 Bytes 14/10/2008 09:05:56
AECORE.DLL : 8.1.6.9 176500 Bytes 19/04/2009 13:21:35
AEBB.DLL : 8.1.0.3 53618 Bytes 14/10/2008 09:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 07:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 08:27:58
AVREP.DLL : 8.0.0.3 155905 Bytes 19/04/2009 13:21:35
AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 10:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 07:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 11:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 16:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 11:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 11:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 04/07/2008 06:23:16
RCTEXT.DLL : 8.0.52.1 86273 Bytes 17/07/2008 09:08:43
Configuration pour la recherche actuelle :
Nom de la tâche..................: Contrôle intégral du système
Fichier de configuration.........: C:\Program Files\Avira\AntiVir PersonalEdition Classic\sysscan.avp
Documentation....................: bas
Action principale................: interactif
Action secondaire................: ignorer
Recherche sur les secteurs d'amorçage maître: marche
Recherche sur les secteurs d'amorçage: marche
Secteurs d'amorçage..............: C:, D:,
Recherche dans les programmes actifs: marche
Recherche en cours sur l'enregistrement: marche
Recherche de Rootkits............: marche
Fichier mode de recherche........: Tous les fichiers
Recherche sur les archives.......: marche
Limiter la profondeur de récursivité: 20
Archive Smart Extensions.........: marche
Heuristique de macrovirus........: marche
Heuristique fichier..............: moyen
Début de la recherche : dimanche 19 avril 2009 15:32
La recherche d'objets cachés commence.
'21701' objets ont été contrôlés, '0' objets cachés ont été trouvés.
La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'notepad.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wscntfy.exe' - '1' module(s) sont contrôlés
Processus de recherche 'CCC.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'MOM.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SixEngine.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RTHDCPL.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ati2evxx.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wscntfy.exe' - '1' module(s) sont contrôlés
Processus de recherche 'CCC.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'MOM.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SixEngine.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RTHDCPL.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ati2evxx.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ati2evxx.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'37' processus ont été contrôlés avec '37' modules
La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !
La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'D:\'
[INFO] Aucun virus trouvé !
La recherche sur les renvois aux fichiers exécutables (registre) commence.
Le registre a été contrôlé ( '47' fichiers).
La recherche sur les fichiers sélectionnés commence :
Recherche débutant dans 'C:\'
C:\husyu8n.exe
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a5e2898.qua' !
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\Qoobox\Quarantine\C\ej10fkdo.bat.vir
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a1c28c7.qua' !
C:\Qoobox\Quarantine\C\WINDOWS\system32\nmdfgds0.dll.vir
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a4f28d2.qua' !
C:\Qoobox\Quarantine\C\WINDOWS\system32\nmdfgds1.dll.vir
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bcbf78b.qua' !
C:\Qoobox\Quarantine\C\WINDOWS\system32\olhrwef.exe.vir
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a5328d1.qua' !
C:\Qoobox\Quarantine\D\ej10fkdo.bat.vir
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a1c28d0.qua' !
C:\Qoobox\Quarantine\D\i.cmd.vir
[RESULTAT] Contient le cheval de Troie TR/Drop.Agent.ahdz
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a4e2894.qua' !
C:\System Volume Information\_restore{9310155D-0B25-4CAC-A740-DF146F0AD5E4}\RP10\A0000356.bat
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a1b289a.qua' !
C:\System Volume Information\_restore{9310155D-0B25-4CAC-A740-DF146F0AD5E4}\RP11\A0000379.bat
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a1b289b.qua' !
C:\System Volume Information\_restore{9310155D-0B25-4CAC-A740-DF146F0AD5E4}\RP12\A0000462.bat
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a1b289c.qua' !
C:\System Volume Information\_restore{9310155D-0B25-4CAC-A740-DF146F0AD5E4}\RP13\A0000557.bat
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a1b289e.qua' !
C:\System Volume Information\_restore{9310155D-0B25-4CAC-A740-DF146F0AD5E4}\RP13\A0001614.dll
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a1b28a6.qua' !
C:\System Volume Information\_restore{9310155D-0B25-4CAC-A740-DF146F0AD5E4}\RP13\A0001615.bat
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b99f8bf.qua' !
C:\System Volume Information\_restore{9310155D-0B25-4CAC-A740-DF146F0AD5E4}\RP13\A0002614.dll
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a1b28a7.qua' !
C:\System Volume Information\_restore{9310155D-0B25-4CAC-A740-DF146F0AD5E4}\RP13\A0003614.dll
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b99f8b0.qua' !
C:\System Volume Information\_restore{9310155D-0B25-4CAC-A740-DF146F0AD5E4}\RP14\A0004632.dll
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a1b28a9.qua' !
C:\System Volume Information\_restore{9310155D-0B25-4CAC-A740-DF146F0AD5E4}\RP14\A0004633.dll
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a1b28a8.qua' !
C:\System Volume Information\_restore{9310155D-0B25-4CAC-A740-DF146F0AD5E4}\RP14\A0004634.exe
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b99f8b1.qua' !
C:\System Volume Information\_restore{9310155D-0B25-4CAC-A740-DF146F0AD5E4}\RP14\A0004638.bat
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a1b28aa.qua' !
C:\System Volume Information\_restore{9310155D-0B25-4CAC-A740-DF146F0AD5E4}\RP15\A0004698.exe
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b99f8b2.qua' !
Recherche débutant dans 'D:\'
D:\0xuc.com
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a602973.qua' !
D:\1ogf.exe
[RESULTAT] Contient le cheval de Troie TR/Drop.Agent.ahdz
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a52296a.qua' !
D:\cqxj.exe
[RESULTAT] Contient le cheval de Troie TR/Drop.Agent.ahdz
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a63296d.qua' !
D:\husyu8n.exe
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a5e2971.qua' !
D:\qwtb.com
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a5f2973.qua' !
D:\System Volume Information\_restore{9310155D-0B25-4CAC-A740-DF146F0AD5E4}\RP10\A0000358.bat
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a1b2b67.qua' !
D:\System Volume Information\_restore{9310155D-0B25-4CAC-A740-DF146F0AD5E4}\RP11\A0000381.bat
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b99fb70.qua' !
D:\System Volume Information\_restore{9310155D-0B25-4CAC-A740-DF146F0AD5E4}\RP12\A0000464.bat
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a1b2b68.qua' !
D:\System Volume Information\_restore{9310155D-0B25-4CAC-A740-DF146F0AD5E4}\RP13\A0000559.bat
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a1b2b69.qua' !
D:\System Volume Information\_restore{9310155D-0B25-4CAC-A740-DF146F0AD5E4}\RP13\A0001617.bat
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b99fb72.qua' !
D:\System Volume Information\_restore{9310155D-0B25-4CAC-A740-DF146F0AD5E4}\RP14\A0004639.bat
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a1b2b6b.qua' !
D:\System Volume Information\_restore{9310155D-0B25-4CAC-A740-DF146F0AD5E4}\RP14\A0004640.cmd
[RESULTAT] Contient le cheval de Troie TR/Drop.Agent.ahdz
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b99fb74.qua' !
D:\System Volume Information\_restore{9310155D-0B25-4CAC-A740-DF146F0AD5E4}\RP15\A0004699.com
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a1b2b6a.qua' !
D:\System Volume Information\_restore{9310155D-0B25-4CAC-A740-DF146F0AD5E4}\RP15\A0004700.exe
[RESULTAT] Contient le cheval de Troie TR/Drop.Agent.ahdz
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b99fb73.qua' !
D:\System Volume Information\_restore{9310155D-0B25-4CAC-A740-DF146F0AD5E4}\RP15\A0004701.exe
[RESULTAT] Contient le cheval de Troie TR/Drop.Agent.ahdz
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a1b2b6c.qua' !
D:\System Volume Information\_restore{9310155D-0B25-4CAC-A740-DF146F0AD5E4}\RP15\A0004702.exe
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b99fb75.qua' !
D:\System Volume Information\_restore{9310155D-0B25-4CAC-A740-DF146F0AD5E4}\RP15\A0004703.com
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a1b2b6d.qua' !
D:\System Volume Information\_restore{9310155D-0B25-4CAC-A740-DF146F0AD5E4}\RP15\A0004704.exe
[RESULTAT] Contient le cheval de Troie TR/Dldr.BZW
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b99fb76.qua' !
D:\System Volume Information\_restore{9310155D-0B25-4CAC-A740-DF146F0AD5E4}\RP15\A0004705.exe
[RESULTAT] Contient le modèle de détection d'un programme de numérotation générant des coûts DIAL/8301.A (dialer)
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a1b2b6f.qua' !
D:\System Volume Information\_restore{9310155D-0B25-4CAC-A740-DF146F0AD5E4}\RP9\A0000351.exe
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a1b2b6e.qua' !
D:\System Volume Information\_restore{9A499201-6344-47F5-8B01-86A79FD96098}\RP1\A0001015.exe
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b99fb77.qua' !
Fin de la recherche : dimanche 19 avril 2009 15:47
Temps nécessaire: 14:08 Minute(s)
La recherche a été effectuée intégralement
3957 Les répertoires ont été contrôlés
168166 Des fichiers ont été contrôlés
45 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
44 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
1 Impossible de contrôler des fichiers
168120 Fichiers non infectés
1996 Les archives ont été contrôlées
1 Avertissements
44 Consignes
21701 Des objets ont été contrôlés lors du Rootkitscan
0 Des objets cachés ont été trouvés
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
cela devrait etre bon.pour verifier passe un scan de cet outil.
et on s occupe d augmenter tes defences et c est bientot fini.
1)refais un rapport hijack et colle le.
2)passe cet antimalware, fait comme indique
Telecharges malwaresbytes antimalwares(MBAM) : egalement tres util sur pb de pub mais pas tous malheureusement
Malwarebytes Anti-Malware: http://www.malwarebytes.org/mbam/program/mbam-setup.exe
Tutoriel Malwarebytes Anti-Malware: https://forum.pcastuces.com/malwarebytes_antimalwares___tutoriel-f31s3.htm
fais comme indique,mise a jour , scan complet en mode sans echec et les rapports.
COLLE LE RAPPORT APRES SUPPRESSION MERCI.
garde le et lance un scan tout les mois comme indique.
si tu as ad aware tu peux desinstalle car il ne reconnait plus grand chose.
3)pour enlever les fichiers temporaires
a passer tout les 15 jours a peu pres.
• Télécharger CCLeaner et l'installer sur le bureau en refusant l'installation de la barre Yahoo.
http://www.commentcamarche.net/telecharger/telecharger 168 ccleaner
• Fermer toutes les applications
• Lancer CCLeaner
S'il n'est pas en Français cliquer sur Options, Setting, Language
et sélectionner Français
• cocher dans le menu Nettoyeur - onglet Windows :
Internet Explorer: Fichiers Internet Temporaires, Cookies
• Système: Vider la Poubelle, Fichiers Temporaires, Presse-papiers
• Avancé: Vieilles données du Prefetch
• Décocher dans le menu Options - sous-menu Avancé :
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures
• Cocher dans le menu Nettoyeur - onglet Applications : Internet: Sun Java
• Cocher , si cela est possible, dans le menu Nettoyeur - onglet Applications :
Firefox/Mozilla: Cache Internet, Cookies
• Click sur Analyse
• Click sur le bouton Lancer le nettoyage dans le menu Nettoyeur.
• Click sur Registre
• Sélectionner tout
• Click sur Chercher des erreurs (En bas)
Une fois le scan terminé sélectionner tout
• Click sur Réparer les erreurs sélectionnées
4)fait ce qui est indique sur ce lien pour mieux securise firefox.
https://www.malekal.com/securiser-le-navigateur-web-firefox-2/
surtout NO SCRIPT(arrete les programmes java et adobe automatiquement,empeche des infections par script
donc il faut autoriser pour certains de tes sites pour pouvoir lire des textes ou des video)
efficace sur des sites inconnu, ou douteux.
et on s occupe d augmenter tes defences et c est bientot fini.
1)refais un rapport hijack et colle le.
2)passe cet antimalware, fait comme indique
Telecharges malwaresbytes antimalwares(MBAM) : egalement tres util sur pb de pub mais pas tous malheureusement
Malwarebytes Anti-Malware: http://www.malwarebytes.org/mbam/program/mbam-setup.exe
Tutoriel Malwarebytes Anti-Malware: https://forum.pcastuces.com/malwarebytes_antimalwares___tutoriel-f31s3.htm
fais comme indique,mise a jour , scan complet en mode sans echec et les rapports.
COLLE LE RAPPORT APRES SUPPRESSION MERCI.
garde le et lance un scan tout les mois comme indique.
si tu as ad aware tu peux desinstalle car il ne reconnait plus grand chose.
3)pour enlever les fichiers temporaires
a passer tout les 15 jours a peu pres.
• Télécharger CCLeaner et l'installer sur le bureau en refusant l'installation de la barre Yahoo.
http://www.commentcamarche.net/telecharger/telecharger 168 ccleaner
• Fermer toutes les applications
• Lancer CCLeaner
S'il n'est pas en Français cliquer sur Options, Setting, Language
et sélectionner Français
• cocher dans le menu Nettoyeur - onglet Windows :
Internet Explorer: Fichiers Internet Temporaires, Cookies
• Système: Vider la Poubelle, Fichiers Temporaires, Presse-papiers
• Avancé: Vieilles données du Prefetch
• Décocher dans le menu Options - sous-menu Avancé :
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures
• Cocher dans le menu Nettoyeur - onglet Applications : Internet: Sun Java
• Cocher , si cela est possible, dans le menu Nettoyeur - onglet Applications :
Firefox/Mozilla: Cache Internet, Cookies
• Click sur Analyse
• Click sur le bouton Lancer le nettoyage dans le menu Nettoyeur.
• Click sur Registre
• Sélectionner tout
• Click sur Chercher des erreurs (En bas)
Une fois le scan terminé sélectionner tout
• Click sur Réparer les erreurs sélectionnées
4)fait ce qui est indique sur ce lien pour mieux securise firefox.
https://www.malekal.com/securiser-le-navigateur-web-firefox-2/
surtout NO SCRIPT(arrete les programmes java et adobe automatiquement,empeche des infections par script
donc il faut autoriser pour certains de tes sites pour pouvoir lire des textes ou des video)
efficace sur des sites inconnu, ou douteux.
Voici le nouveau rapport Hijackthis ainsi que le rapport anti -malware :
Petite question : est-ce que je peux répéter ces étapes (depuis le début) pour un autre ordinateur qui me semble infecté ?
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:59:40, on 19/04/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Documents and Settings\Pilou\Bureau\HiJackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Six Engine] "C:\Program Files\ASUS\Six Engine\SixEngine.exe" -r
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} - http://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: getPlus(R) Helper - Unknown owner - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe (file missing)
Petite question : est-ce que je peux répéter ces étapes (depuis le début) pour un autre ordinateur qui me semble infecté ?
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:59:40, on 19/04/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Documents and Settings\Pilou\Bureau\HiJackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Six Engine] "C:\Program Files\ASUS\Six Engine\SixEngine.exe" -r
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} - http://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: getPlus(R) Helper - Unknown owner - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe (file missing)
Merci
Merci d'avance
############################## [ UsbFix V3.010 ]
# User : Pilou (Administrateurs) # GRINGO
# Update on 19/04/09 by C_XX & Chiquitine29
# Start at: 21:21:58 | 19/04/2009
# Website : http://pagesperso-orange.fr/FindyKill.Ad.Remover/
# Intel(R) Core(TM)2 Quad CPU Q6600 @ 2.40GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 6.0.2900.5512
# Windows Firewall Status : Disabled
# AV : Avira AntiVir PersonalEdition Classic 8.0.1.30 [ Enabled | Updated ]
# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 97,65 Go (92,79 Go free) # NTFS
# D:\ # Disque fixe local # 368,1 Go (127,63 Go free) # NTFS
# E:\ # Disque CD-ROM
# F:\ # Disque fixe local # 48,83 Go (8,36 Go free) [Documents/Jeux/Films] # NTFS
# G:\ # Disque fixe local # 44,33 Go (39,18 Go free) [Séries] # NTFS
# H:\ # Disque amovible # 3,84 Go (1,98 Go free) [PILOU] # FAT32
############################## [ Processus actifs ]
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
################## [ Fichiers # Dossiers infectieux ]
H:\autorun.inf # -> fichier appelé : "H:\husyu8n.exe" ( absent ! )
Deleted ! H:\autorun.inf
################## [ Registre # Clés Run infectieuses ]
# -> Not Found !
################## [ Registre # Startup ]
HKCU_Main: "Local Page"="C:\\WINDOWS\\system32\\blank.htm"
HKCU_Main: "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
HKCU_Main: "Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
HKCU_Main: "Window Title"=""
HKLM_logon: "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
HKLM_logon: "DefaultUserName"=""
HKLM_logon: "AltDefaultUserName"="Pilou"
HKLM_logon: "LegalNoticeCaption"=""
HKLM_logon: "LegalNoticeText"=""
HKLM_Run: RTHDCPL=RTHDCPL.EXE
HKLM_Run: Six Engine="C:\Program Files\ASUS\Six Engine\SixEngine.exe" -r
HKLM_Run: StartCCC="C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
HKLM_Run: Adobe Reader Speed Launcher="C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
HKLM_Run: avgnt="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
HKLM_Run: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
HKCU_Run: CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe
HKCU_Run: MSMSGS="C:\Program Files\Messenger\msmsgs.exe" /background
HKCU_Run: msnmsgr="C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
################## [ Registre # Mountpoints2 ]
# -> Not Found !
################## [ Listing des fichiers présent ]
C:\AUTOEXEC.BAT
C:\NTDETECT.COM
C:\boot.ini
################## [ Vaccination ]
# C:\autorun.inf -> Folder created by UsbFix.
# D:\autorun.inf -> Folder created by UsbFix.
# F:\autorun.inf -> Folder created by UsbFix.
# G:\autorun.inf -> Folder created by UsbFix.
# H:\autorun.inf -> Folder created by UsbFix.
################## [ ! Fin du rapport # UsbFix V3.010 ! ]