Infection Cheval de Troie Win32/Renos.dz
Ymh
-
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité -
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité -
Bonjour,
Voilà depuis peu je suis infecté par ce trojan : Win32/Renos.dz , Avast et Spybot n'y faisant rien je me tourne vers vous. Windows Defender me met un message infection élevé régulièrement j'aimerai bien m'en débarrassé.
Merci par avance de toute aide, détaillé si possible.
Voici le rapport Hijackthis :
Logfile of HijackThis v1.99.1
Scan saved at 10:12:52, on 03/06/2009
Platform: Unknown Windows (WinNT 6.00.1905 SP1)
MSIE: Internet Explorer v7.00 (7.00.6001.18226)
Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\ASUS Security Center\ASUS Security Protect Manager\Bin\AsGHost.exe
C:\Program Files\ASUS\ATK Media\DMedia.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\ASScrPro.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\RocketDock\RocketDock.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Spybot\TeaTimer.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Spybot\SpybotSD.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Microsoft Office\Office12\WINWORD.EXE
C:\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot\SDHelper.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SMSERIAL] C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [ATKMEDIA] C:\Program Files\ASUS\ATK Media\DMEDIA.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ASUS Screen Saver Protector] C:\Windows\ASScrPro.exe
O4 - HKLM\..\Run: [ASUS Camera ScreenSaver] C:\Windows\ASScrProlog.exe
O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\PROGRA~1\ASUSSE~1\ASUSSE~1\Bin\ASTSVCC.dll,RegisterModule
O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [Microsoft] system32.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot\TeaTimer.exe
O8 - Extra context menu item: &Point&&Go - C:\Program Files\Common Files\Expert System\PGPlatform\PGPlatform.htm
O9 - Extra button: ASUS Security Protect Manager e-Wallet - {1009C944-97D5-44A9-9E32-DFF54F498968} - C:\Program Files\ASUS Security Center\ASUS Security Protect Manager\Bin\ASWallet.dll
O9 - Extra 'Tools' menuitem: ASUS Security Protect Manager e-&Wallet - {1009C944-97D5-44A9-9E32-DFF54F498968} - C:\Program Files\ASUS Security Center\ASUS Security Protect Manager\Bin\ASWallet.dll
O9 - Extra button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra 'Tools' menuitem: @C:\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\Spybot\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\Spybot\SDHelper.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nlaapi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\napinsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\bonjour\mdnsnsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxernsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxerdrv.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxerdrv.dll
O11 - Options group: [INTERNATIONAL] International*
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Program Files\ATK Hotkey\ASLDRSrv.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: ATKGFNEX Service (ATKGFNEXSrv) - Unknown owner - C:\Program Files\ATKGFNEX\GFNEXSrv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: @%SystemRoot%\ehome\ehstart.dll,-101 (ehstart) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: @gpapi.dll,-112 (gpsvc) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Roxio UPnP Renderer 9 - Sonic Solutions - C:\Program Files\Roxio\Digital Home 9\RoxioUPnPRenderer9.exe
O23 - Service: Roxio Upnp Server 9 - Sonic Solutions - C:\Program Files\Roxio\Digital Home 9\RoxioUpnpService9.exe
O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot\SDWinSec.exe
O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: spmgr - Unknown owner - C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: Syntek AVStream USB2.0 WebCam Service (StkSSrv) - Syntek America Inc. - C:\Windows\System32\StkCSrv.exe
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)
Voilà depuis peu je suis infecté par ce trojan : Win32/Renos.dz , Avast et Spybot n'y faisant rien je me tourne vers vous. Windows Defender me met un message infection élevé régulièrement j'aimerai bien m'en débarrassé.
Merci par avance de toute aide, détaillé si possible.
Voici le rapport Hijackthis :
Logfile of HijackThis v1.99.1
Scan saved at 10:12:52, on 03/06/2009
Platform: Unknown Windows (WinNT 6.00.1905 SP1)
MSIE: Internet Explorer v7.00 (7.00.6001.18226)
Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\ASUS Security Center\ASUS Security Protect Manager\Bin\AsGHost.exe
C:\Program Files\ASUS\ATK Media\DMedia.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\ASScrPro.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\RocketDock\RocketDock.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Spybot\TeaTimer.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Spybot\SpybotSD.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Microsoft Office\Office12\WINWORD.EXE
C:\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot\SDHelper.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SMSERIAL] C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [ATKMEDIA] C:\Program Files\ASUS\ATK Media\DMEDIA.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ASUS Screen Saver Protector] C:\Windows\ASScrPro.exe
O4 - HKLM\..\Run: [ASUS Camera ScreenSaver] C:\Windows\ASScrProlog.exe
O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\PROGRA~1\ASUSSE~1\ASUSSE~1\Bin\ASTSVCC.dll,RegisterModule
O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [Microsoft] system32.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot\TeaTimer.exe
O8 - Extra context menu item: &Point&&Go - C:\Program Files\Common Files\Expert System\PGPlatform\PGPlatform.htm
O9 - Extra button: ASUS Security Protect Manager e-Wallet - {1009C944-97D5-44A9-9E32-DFF54F498968} - C:\Program Files\ASUS Security Center\ASUS Security Protect Manager\Bin\ASWallet.dll
O9 - Extra 'Tools' menuitem: ASUS Security Protect Manager e-&Wallet - {1009C944-97D5-44A9-9E32-DFF54F498968} - C:\Program Files\ASUS Security Center\ASUS Security Protect Manager\Bin\ASWallet.dll
O9 - Extra button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra 'Tools' menuitem: @C:\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\Spybot\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\Spybot\SDHelper.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nlaapi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\napinsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\bonjour\mdnsnsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxernsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxerdrv.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxerdrv.dll
O11 - Options group: [INTERNATIONAL] International*
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Program Files\ATK Hotkey\ASLDRSrv.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: ATKGFNEX Service (ATKGFNEXSrv) - Unknown owner - C:\Program Files\ATKGFNEX\GFNEXSrv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: @%SystemRoot%\ehome\ehstart.dll,-101 (ehstart) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: @gpapi.dll,-112 (gpsvc) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Roxio UPnP Renderer 9 - Sonic Solutions - C:\Program Files\Roxio\Digital Home 9\RoxioUPnPRenderer9.exe
O23 - Service: Roxio Upnp Server 9 - Sonic Solutions - C:\Program Files\Roxio\Digital Home 9\RoxioUpnpService9.exe
O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot\SDWinSec.exe
O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: spmgr - Unknown owner - C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: Syntek AVStream USB2.0 WebCam Service (StkSSrv) - Syntek America Inc. - C:\Windows\System32\StkCSrv.exe
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)
A voir également:
- Infection Cheval de Troie Win32/Renos.dz
- Comment supprimer cheval de troie gratuitement - Télécharger - Antivirus & Antimalwares
- Ordinateur bloqué cheval de troie - Accueil - Arnaque
- Puabundler win32 candyopen - Forum Virus
- Win32:miscx-gen ✓ - Forum Linux / Unix
- Cheval de troie virus comment le supprimer ✓ - Forum Virus
12 réponses
Bonjour,
pour avoir une idée de l'état des lieux après MBAM, fais ceci :
Télécharge OTL de OLDTimer ici :
http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/
et enregistre le sur ton Bureau.
Double clic sur OTL.exe pour le lancer.
Coche les 2 cases Lop et Purity
Coche la case devant "scan all users"
Clic sur Run Scan.
A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).
Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)
Pour me le transmettre clique sur ce lien :
http://www.cijoint.fr/
Clique sur Parcourir et cherche le fichier ci-dessus.
Clique sur Ouvrir.
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt
est ajouté dans la page.
Copie ce lien dans ta réponse.
pour avoir une idée de l'état des lieux après MBAM, fais ceci :
Télécharge OTL de OLDTimer ici :
http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/
et enregistre le sur ton Bureau.
Double clic sur OTL.exe pour le lancer.
Coche les 2 cases Lop et Purity
Coche la case devant "scan all users"
Clic sur Run Scan.
A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).
Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)
Pour me le transmettre clique sur ce lien :
http://www.cijoint.fr/
Clique sur Parcourir et cherche le fichier ci-dessus.
Clique sur Ouvrir.
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt
est ajouté dans la page.
Copie ce lien dans ta réponse.
Bonjour,
quand je pense qu'il s'est trouvé quelqu'un pour trouver le rapport "nickel" :(
Tu as fait quelque chose contre O4 - HKLM\..\Run: [Microsoft] system32.exe ?
======
Ouvre Spybot search and destroy.
clique sur mode, choisis advanced mode;
dans la colonne de gauche clique sur le + devant tools.
clique sur résident (colonne de gauche)
dans la fenêtre de droite décoche la case devant "resident tea-timer"
Désinstalle Spybot S&D via le panneau de configuration, il va gêner la désinfection.
Tu le réinstalleras à la fin si tu souhaites.
Supprime aussi le répertoire C:\Program Files\Spybot - Search & Destroy
====
On va d'abord bloquer les infections par support amovible.
Télécharge et installe UsbFix de C_XX & Chiquitine29
Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir
# Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisis Exécuter en tant qu'administrateur .
# Choisis l'option 1 ( Recherche )
# Laisse travailler l'outil.
# Ensuite poste le rapport UsbFix.txt qui apparaitra.
# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
# Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
====
On va aussi traiter une partie du reste.
Double clic sur OTL.exe pour le lancer.
Copie la liste qui se trouve en gras ci-dessous,
et colle-la dans la zone sous Customs Scans/Fixes
:OTL
2009/06/02 12:35:08 | 00,000,004 | ---- | C] () -- C:\Windows\System32\gxvxccount
[2009/06/02 18:18:41 | 00,000,000 | ---D | C] -- C:\Program Files\Spybot
@Alternate Data Stream - 119 bytes -> C:\ProgramData\TEMP:05EE1EEF
:commands
[emptytemp]
Clique sur RunFix pour lancer la suppression.
Poste le rapport.
==========
quand je pense qu'il s'est trouvé quelqu'un pour trouver le rapport "nickel" :(
Tu as fait quelque chose contre O4 - HKLM\..\Run: [Microsoft] system32.exe ?
======
Ouvre Spybot search and destroy.
clique sur mode, choisis advanced mode;
dans la colonne de gauche clique sur le + devant tools.
clique sur résident (colonne de gauche)
dans la fenêtre de droite décoche la case devant "resident tea-timer"
Désinstalle Spybot S&D via le panneau de configuration, il va gêner la désinfection.
Tu le réinstalleras à la fin si tu souhaites.
Supprime aussi le répertoire C:\Program Files\Spybot - Search & Destroy
====
On va d'abord bloquer les infections par support amovible.
Télécharge et installe UsbFix de C_XX & Chiquitine29
Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir
# Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisis Exécuter en tant qu'administrateur .
# Choisis l'option 1 ( Recherche )
# Laisse travailler l'outil.
# Ensuite poste le rapport UsbFix.txt qui apparaitra.
# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
# Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
====
On va aussi traiter une partie du reste.
Double clic sur OTL.exe pour le lancer.
Copie la liste qui se trouve en gras ci-dessous,
et colle-la dans la zone sous Customs Scans/Fixes
:OTL
2009/06/02 12:35:08 | 00,000,004 | ---- | C] () -- C:\Windows\System32\gxvxccount
[2009/06/02 18:18:41 | 00,000,000 | ---D | C] -- C:\Program Files\Spybot
@Alternate Data Stream - 119 bytes -> C:\ProgramData\TEMP:05EE1EEF
:commands
[emptytemp]
Clique sur RunFix pour lancer la suppression.
Poste le rapport.
==========
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
slt, ton log est nikel, vu que tu as un probleme, utilise cureit https://www.01net.com/telecharger/windows/Securite/antivirus-antitrojan/fiches/33668.html puis https://www.clubic.com/telecharger-fiche215092-malwarebytes-anti-malware.html et enfin nettoi avec https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html et https://www.01net.com/telecharger/windows/Utilitaire/systeme/fiches/41956.html
Et Voici l'exécution de Malwarbytes en Mode sans échec,
Le rapport :
Malwarebytes' Anti-Malware 1.37
Version de la base de données: 2220
Windows 6.0.6001 Service Pack 1
03/06/2009 11:14:19
mbam-log-2009-06-03 (11-14-13).txt
Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 234765
Temps écoulé: 45 minute(s), 30 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 6
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\IProxyProvider (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\WebMediaPlayer (Rogue.Webmediaplayer) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\ColdWare (Malware.Trace) -> No action taken.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
c:\program files\alcohol soft\alcohol 120\patch_ssc.exe (Trojan.Patch) -> No action taken.
c:\RECYCLER\S-9-9-72-100014066-100005315-100021645-8373.com (Trojan.Agent) -> No action taken.
c:\Windows\System32\clkcnt.txt (Trojan.Vundo) -> No action taken.
c:\Windows\Tasks\{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job (Trojan.FakeAlert) -> No action taken.
c:\Windows\System32\gxvxcfyxeinfckicmycybmfssmsxtyxtyapue.dll (Trojan.Agent) -> No action taken.
c:\Windows\System32\gxvxcypdqqbvgsqcidyutkxsthwvxqawwfewa.dll (Trojan.Agent) -> No action taken.
Le rapport :
Malwarebytes' Anti-Malware 1.37
Version de la base de données: 2220
Windows 6.0.6001 Service Pack 1
03/06/2009 11:14:19
mbam-log-2009-06-03 (11-14-13).txt
Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 234765
Temps écoulé: 45 minute(s), 30 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 6
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\IProxyProvider (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\WebMediaPlayer (Rogue.Webmediaplayer) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\ColdWare (Malware.Trace) -> No action taken.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
c:\program files\alcohol soft\alcohol 120\patch_ssc.exe (Trojan.Patch) -> No action taken.
c:\RECYCLER\S-9-9-72-100014066-100005315-100021645-8373.com (Trojan.Agent) -> No action taken.
c:\Windows\System32\clkcnt.txt (Trojan.Vundo) -> No action taken.
c:\Windows\Tasks\{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job (Trojan.FakeAlert) -> No action taken.
c:\Windows\System32\gxvxcfyxeinfckicmycybmfssmsxtyxtyapue.dll (Trojan.Agent) -> No action taken.
c:\Windows\System32\gxvxcypdqqbvgsqcidyutkxsthwvxqawwfewa.dll (Trojan.Agent) -> No action taken.
ah!bon????
et ça??
O4 - HKLM\..\Run: [Microsoft] system32.exe
cela ne prouve rien (du moins je pense car system32.exe est essentiel au PC )
et ça??
O4 - HKLM\..\Run: [Microsoft] system32.exe
cela ne prouve rien (du moins je pense car system32.exe est essentiel au PC )
Et voilà pour OLT.txt :
http://www.cijoint.fr/cjlink.php?file=cj200906/cijq3UVJbT.txt
Excuse moi d'avoir été long je n'ai pas le net en soirée.
http://www.cijoint.fr/cjlink.php?file=cj200906/cijq3UVJbT.txt
Excuse moi d'avoir été long je n'ai pas le net en soirée.
Re,
Alors oui j'ai fait un truc pour : "O4 - HKLM\..\Run: [Microsoft] system32.exe" j'ai lancer hyjackthis cocher la ligne et fait "fix checked".
Je n'ai pas sur moi tout mes périphériques USB mais j'ai quand même fait ta manipulation et voici le rapport de USbFix :
http://www.cijoint.fr/cjlink.php?file=cj200906/cijhZ49ZUi.txt
et voici le rapport de OTL après avoir lancer "run fix" :
========== OTL ==========
Folder C:\Program Files\Spybot not found.
ADS C:\ProgramData\TEMP:05EE1EEF deleted successfully.
========== COMMANDS ==========
User's Internet Explorer cache folder emptied.
User's Temporary Internet Files folder emptied.
Windows Temp folder emptied.
Temp folders emptied.
OTL by OldTimer - Version 2.1.1.0 log created on 06042009_125553
Alors oui j'ai fait un truc pour : "O4 - HKLM\..\Run: [Microsoft] system32.exe" j'ai lancer hyjackthis cocher la ligne et fait "fix checked".
Je n'ai pas sur moi tout mes périphériques USB mais j'ai quand même fait ta manipulation et voici le rapport de USbFix :
http://www.cijoint.fr/cjlink.php?file=cj200906/cijhZ49ZUi.txt
et voici le rapport de OTL après avoir lancer "run fix" :
========== OTL ==========
Folder C:\Program Files\Spybot not found.
ADS C:\ProgramData\TEMP:05EE1EEF deleted successfully.
========== COMMANDS ==========
User's Internet Explorer cache folder emptied.
User's Temporary Internet Files folder emptied.
Windows Temp folder emptied.
Temp folders emptied.
OTL by OldTimer - Version 2.1.1.0 log created on 06042009_125553
Re,
il faudra probablement refaire USBFix quand tu auras les clés infectées.
On continue quand même.
Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir
# Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisi Exécuter en tant qu'administrateur .
# Choisis l'option 2 ( Suppression )
# Ton bureau disparaitra et le pc redémarrera .
# Au redémarrage, UsbFix scannera ton pc, laisse travailler l'outil.
# Ensuite poste le rapport UsbFix.txt qui apparaitra avec le Bureau .
# Note : Le rapport UsbFix.txt est sauvegardé à la racine du disque.( C:\UsbFix.txt )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
========
Refais tourner OTL et poste le rapport.
il faudra probablement refaire USBFix quand tu auras les clés infectées.
On continue quand même.
Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir
# Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisi Exécuter en tant qu'administrateur .
# Choisis l'option 2 ( Suppression )
# Ton bureau disparaitra et le pc redémarrera .
# Au redémarrage, UsbFix scannera ton pc, laisse travailler l'outil.
# Ensuite poste le rapport UsbFix.txt qui apparaitra avec le Bureau .
# Note : Le rapport UsbFix.txt est sauvegardé à la racine du disque.( C:\UsbFix.txt )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
========
Refais tourner OTL et poste le rapport.
Voici le second rapport de USBfix :
############################## [ UsbFix V3.028 | Cleaning ]
# User : PC (Administrateurs) # FAB
# Update on 02/06/09 by Chiquitine29, C_XX & Chimay8
# WebSite : http://pagesperso-orange.fr/NosTools/usbfix.html
# Start at: 14:19:42 | 04/06/2009
# Intel(R) Core(TM)2 Duo CPU T7250 @ 2.00GHz
# Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6001 32-bit) # Service Pack 1
# Internet Explorer 7.0.6001.18000
# Windows Firewall Status : Disabled
# AV : avast! antivirus 4.7.1098 [VPS 090601-0] 4.7.1098 [ Enabled | Updated ]
# C:\ # Disque fixe local # 89.43 Go (13.2 Go free) [VistaOS] # NTFS
# D:\ # Disque fixe local # 52.78 Go (23.39 Go free) [Jeux] # NTFS
# E:\ # Disque CD-ROM
# F:\ # Disque CD-ROM
# G:\ # Disque amovible # 969.7 Mo (510.56 Mo free) # FAT
############################## [ Processus actifs ]
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\LogonUI.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe
C:\Program Files\ATK Hotkey\ASLDRSrv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\ATKGFNEX\GFNEXSrv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\userinit.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Windows\system32\runonce.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\PnkBstrA.exe
C:\Windows\system32\svchost.exe
C:\Program Files\ASUS Security Center\ASUS Security Protect Manager\Bin\AsGHost.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\ATK Hotkey\Hcontrol.exe
C:\Program Files\ATKOSD2\ATKOSD2.exe
C:\Program Files\Wireless Console 2\wcourier.exe
C:\Program Files\ASUS\Splendid\ACMON.exe
C:\Program Files\P4G\BatteryLife.exe
C:\Windows\system32\taskeng.exe
C:\Windows\System32\ACEngSvr.exe
C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\StkCSrv.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\ATK Hotkey\ATKOSD.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\WUDFHost.exe
C:\Program Files\ATK Hotkey\KBFiltr.exe
C:\Windows\system32\wbem\wmiprvse.exe
################## [ Fichiers # Dossiers infectieux ]
Deleted ! D:\recycler\S-9-9-72-100014066-100005315-100021645-8373.com
Deleted ! G:\xih9.cmd
################## [ Registre # Clés Run infectieuses ]
# HKLM\software\microsoft\security center\\ "UacDisableNotify" # -> Reset sucessfully !
################## [ Registre # Mountpoints2 ]
Deleted ! HKCU\...\Explorer\MountPoints2\F\Shell\AutoRun\Command
Deleted ! HKCU\...\Explorer\MountPoints2\G\Shell\AutoRun\Command
Deleted ! HKCU\...\Explorer\MountPoints2\K\Shell\AutoRun\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{19b8a7fe-ec74-11dd-8d78-001d60a8a645}\Shell\AutoRun\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{6a915a5a-a295-11dd-9803-001d60a8a645}\Shell\AutoRun\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{6a915a63-a295-11dd-9803-001d60a8a645}\Shell\AutoRun\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{a1213b18-2a97-11dd-851b-001d60a8a645}\Shell\Auto\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{a1213b1b-2a97-11dd-851b-001d60a8a645}\Shell\AutoRun\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{a212a8c5-5076-11de-aff7-001d60d2a3d4}\Shell\AutoRun\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{e40a628e-2454-11dd-8858-001d60a8a645}\Shell\AutoRun\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{ea05f7f9-156d-11dd-8e01-001d60a8a645}\Shell\AutoRun\Command
################## [ Listing des fichiers présent ]
[18/09/2006 23:43|--a------|24] - C:\autoexec.bat
[19/01/2008 09:45|-rahs----|333203] - C:\bootmgr
[18/04/2007 11:26|-ra-s----|8192] - C:\BOOTSECT.BAK
[04/04/2007 06:01|--a------|19] - C:\CA12.txt
[14/04/2009 15:28|--a------|0] - C:\COMLOG.txt
[18/09/2006 23:43|--a------|10] - C:\config.sys
[24/10/2007 06:58|--a------|21278] - C:\devlist.txt
[24/01/2009 22:02|--a------|357] - C:\drmHeader.bin
[26/06/2007 05:59|-rah-----|1048576] - C:\F3Sc.BIN
[09/07/2007 15:03|--a------|16] - C:\F3Sc_F3Sv_Vista.20
[09/07/2007 09:37|-rah-----|1048576] - C:\F3Sv.BIN
[24/10/2007 06:54|--a------|9] - C:\Finish.log
[?|?|?] - C:\hiberfil.sys
[03/05/2008 06:13|-rahs----|0] - C:\IO.SYS
[03/05/2008 06:13|-rahs----|0] - C:\MSDOS.SYS
[15/04/2007 01:26|--a------|27] - C:\NERO.LOG
[16/03/2007 01:18|--a------|25] - C:\OFFICE2007_A.TXT
[29/02/2004 17:44|--a------|52576] - C:\orange.bmp
[?|?|?] - C:\pagefile.sys
[23/10/2007 17:34|--a------|105] - C:\Pass.txt
[19/07/2007 01:40|--a------|508] - C:\Patch.LOG
[24/10/2007 06:10|--a------|420] - C:\RHDSetup.log
[24/10/2007 06:32|--a------|86] - C:\setup.log
[21/12/2008 13:16|--ah-----|268] - C:\sqmdata00.sqm
[12/04/2009 19:01|--ah-----|268] - C:\sqmdata01.sqm
[21/12/2008 13:16|--ah-----|244] - C:\sqmnoopt00.sqm
[12/04/2009 19:01|--ah-----|244] - C:\sqmnoopt01.sqm
[16/05/2006 02:22|--a------|5] - C:\Store.LOG
[04/06/2009 14:21|--a------|6268] - C:\UsbFix.txt
[14/09/2007 01:06|--a------|23] - C:\V53.TXT
[21/05/2008 17:52|--a------|135] - C:\VundoFix.txt
[07/12/2008 18:44|--a------|1312] - G:\IEEE.txt
[29/10/2008 09:17|--a------|80896] - G:\Chapitre 1 - Les sources nationales.doc
[29/10/2008 09:16|--a------|133632] - G:\Introduction.doc
[11/12/2008 13:50|--a------|793088] - G:\avimeca2.exe
[26/02/2009 17:13|--a------|26112] - G:\PPP.doc
[27/05/2009 09:19|--a------|201728] - G:\CV ROCHE Fabien.doc
[08/01/2009 14:16|--a------|21504] - G:\Entretien d'embauche.xls
[23/11/2008 19:36|--a------|11996604] - G:\photos identit‚es.tif
[23/11/2008 20:45|--a------|26112] - G:\Demande nov 2008 de stage.doc
[02/03/2009 23:38|--a------|4565725] - G:\crash pjt.wmv
[23/11/2008 11:14|--a------|4067] - G:\MAPS.txt
[06/01/2009 19:37|--a------|47] - G:\amconfig.txt
[07/01/2001 04:41|--a------|62976] - G:\photometrie.xls
[08/01/2009 14:16|--a------|20992] - G:\Entretien d'embauche LM.doc
[02/09/2008 18:50|--a------|1456] - G:\CCleaner.lnk
[12/02/2009 18:52|--a------|46080] - G:\Transfert de charge.doc
[12/03/2009 11:38|--a------|1892] - G:\TP Indus 68HC12.txt
[13/03/2009 11:33|--a------|731] - G:\Nouveau Texte seulement.txt
[06/01/2001 08:17|--a------|36864] - G:\TP Temp‚rature.xls
[18/05/2009 09:10|--a------|288049] - G:\trimestre3.jpg
[27/05/2009 23:23|--a------|183420928] - G:\How.I.Met.Your.Mother.S04E24.FiNAL.VOSTFR.HDTV.XViD_OQS.avi
[04/11/2008 16:00|--a------|29696] - G:\Flexion.xls
[02/09/2008 09:55|--a------|2383872] - G:\Soutenance.ppt
[10/09/2008 13:00|--a------|38912] - G:\inscription_vierge.doc
[14/09/2008 15:54|--a------|67072] - G:\gerzat louer.doc
[03/10/2008 12:38|--a------|13824] - G:\TRIAC Synchrone..xls
[13/10/2008 09:01|--a------|29696] - G:\Classeur1.xls
[20/10/2008 12:13|--a------|1240] - G:\rojojo.txt
################## [ Vaccination ]
# C:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.
# D:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.
# G:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.
################## [ ! Fin du rapport # UsbFix V3.028 ! ]
############################## [ UsbFix V3.028 | Cleaning ]
# User : PC (Administrateurs) # FAB
# Update on 02/06/09 by Chiquitine29, C_XX & Chimay8
# WebSite : http://pagesperso-orange.fr/NosTools/usbfix.html
# Start at: 14:19:42 | 04/06/2009
# Intel(R) Core(TM)2 Duo CPU T7250 @ 2.00GHz
# Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6001 32-bit) # Service Pack 1
# Internet Explorer 7.0.6001.18000
# Windows Firewall Status : Disabled
# AV : avast! antivirus 4.7.1098 [VPS 090601-0] 4.7.1098 [ Enabled | Updated ]
# C:\ # Disque fixe local # 89.43 Go (13.2 Go free) [VistaOS] # NTFS
# D:\ # Disque fixe local # 52.78 Go (23.39 Go free) [Jeux] # NTFS
# E:\ # Disque CD-ROM
# F:\ # Disque CD-ROM
# G:\ # Disque amovible # 969.7 Mo (510.56 Mo free) # FAT
############################## [ Processus actifs ]
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\LogonUI.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe
C:\Program Files\ATK Hotkey\ASLDRSrv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\ATKGFNEX\GFNEXSrv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\userinit.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Windows\system32\runonce.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\PnkBstrA.exe
C:\Windows\system32\svchost.exe
C:\Program Files\ASUS Security Center\ASUS Security Protect Manager\Bin\AsGHost.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\ATK Hotkey\Hcontrol.exe
C:\Program Files\ATKOSD2\ATKOSD2.exe
C:\Program Files\Wireless Console 2\wcourier.exe
C:\Program Files\ASUS\Splendid\ACMON.exe
C:\Program Files\P4G\BatteryLife.exe
C:\Windows\system32\taskeng.exe
C:\Windows\System32\ACEngSvr.exe
C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\StkCSrv.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\ATK Hotkey\ATKOSD.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\WUDFHost.exe
C:\Program Files\ATK Hotkey\KBFiltr.exe
C:\Windows\system32\wbem\wmiprvse.exe
################## [ Fichiers # Dossiers infectieux ]
Deleted ! D:\recycler\S-9-9-72-100014066-100005315-100021645-8373.com
Deleted ! G:\xih9.cmd
################## [ Registre # Clés Run infectieuses ]
# HKLM\software\microsoft\security center\\ "UacDisableNotify" # -> Reset sucessfully !
################## [ Registre # Mountpoints2 ]
Deleted ! HKCU\...\Explorer\MountPoints2\F\Shell\AutoRun\Command
Deleted ! HKCU\...\Explorer\MountPoints2\G\Shell\AutoRun\Command
Deleted ! HKCU\...\Explorer\MountPoints2\K\Shell\AutoRun\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{19b8a7fe-ec74-11dd-8d78-001d60a8a645}\Shell\AutoRun\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{6a915a5a-a295-11dd-9803-001d60a8a645}\Shell\AutoRun\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{6a915a63-a295-11dd-9803-001d60a8a645}\Shell\AutoRun\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{a1213b18-2a97-11dd-851b-001d60a8a645}\Shell\Auto\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{a1213b1b-2a97-11dd-851b-001d60a8a645}\Shell\AutoRun\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{a212a8c5-5076-11de-aff7-001d60d2a3d4}\Shell\AutoRun\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{e40a628e-2454-11dd-8858-001d60a8a645}\Shell\AutoRun\Command
Deleted ! HKCU\...\Explorer\MountPoints2\{ea05f7f9-156d-11dd-8e01-001d60a8a645}\Shell\AutoRun\Command
################## [ Listing des fichiers présent ]
[18/09/2006 23:43|--a------|24] - C:\autoexec.bat
[19/01/2008 09:45|-rahs----|333203] - C:\bootmgr
[18/04/2007 11:26|-ra-s----|8192] - C:\BOOTSECT.BAK
[04/04/2007 06:01|--a------|19] - C:\CA12.txt
[14/04/2009 15:28|--a------|0] - C:\COMLOG.txt
[18/09/2006 23:43|--a------|10] - C:\config.sys
[24/10/2007 06:58|--a------|21278] - C:\devlist.txt
[24/01/2009 22:02|--a------|357] - C:\drmHeader.bin
[26/06/2007 05:59|-rah-----|1048576] - C:\F3Sc.BIN
[09/07/2007 15:03|--a------|16] - C:\F3Sc_F3Sv_Vista.20
[09/07/2007 09:37|-rah-----|1048576] - C:\F3Sv.BIN
[24/10/2007 06:54|--a------|9] - C:\Finish.log
[?|?|?] - C:\hiberfil.sys
[03/05/2008 06:13|-rahs----|0] - C:\IO.SYS
[03/05/2008 06:13|-rahs----|0] - C:\MSDOS.SYS
[15/04/2007 01:26|--a------|27] - C:\NERO.LOG
[16/03/2007 01:18|--a------|25] - C:\OFFICE2007_A.TXT
[29/02/2004 17:44|--a------|52576] - C:\orange.bmp
[?|?|?] - C:\pagefile.sys
[23/10/2007 17:34|--a------|105] - C:\Pass.txt
[19/07/2007 01:40|--a------|508] - C:\Patch.LOG
[24/10/2007 06:10|--a------|420] - C:\RHDSetup.log
[24/10/2007 06:32|--a------|86] - C:\setup.log
[21/12/2008 13:16|--ah-----|268] - C:\sqmdata00.sqm
[12/04/2009 19:01|--ah-----|268] - C:\sqmdata01.sqm
[21/12/2008 13:16|--ah-----|244] - C:\sqmnoopt00.sqm
[12/04/2009 19:01|--ah-----|244] - C:\sqmnoopt01.sqm
[16/05/2006 02:22|--a------|5] - C:\Store.LOG
[04/06/2009 14:21|--a------|6268] - C:\UsbFix.txt
[14/09/2007 01:06|--a------|23] - C:\V53.TXT
[21/05/2008 17:52|--a------|135] - C:\VundoFix.txt
[07/12/2008 18:44|--a------|1312] - G:\IEEE.txt
[29/10/2008 09:17|--a------|80896] - G:\Chapitre 1 - Les sources nationales.doc
[29/10/2008 09:16|--a------|133632] - G:\Introduction.doc
[11/12/2008 13:50|--a------|793088] - G:\avimeca2.exe
[26/02/2009 17:13|--a------|26112] - G:\PPP.doc
[27/05/2009 09:19|--a------|201728] - G:\CV ROCHE Fabien.doc
[08/01/2009 14:16|--a------|21504] - G:\Entretien d'embauche.xls
[23/11/2008 19:36|--a------|11996604] - G:\photos identit‚es.tif
[23/11/2008 20:45|--a------|26112] - G:\Demande nov 2008 de stage.doc
[02/03/2009 23:38|--a------|4565725] - G:\crash pjt.wmv
[23/11/2008 11:14|--a------|4067] - G:\MAPS.txt
[06/01/2009 19:37|--a------|47] - G:\amconfig.txt
[07/01/2001 04:41|--a------|62976] - G:\photometrie.xls
[08/01/2009 14:16|--a------|20992] - G:\Entretien d'embauche LM.doc
[02/09/2008 18:50|--a------|1456] - G:\CCleaner.lnk
[12/02/2009 18:52|--a------|46080] - G:\Transfert de charge.doc
[12/03/2009 11:38|--a------|1892] - G:\TP Indus 68HC12.txt
[13/03/2009 11:33|--a------|731] - G:\Nouveau Texte seulement.txt
[06/01/2001 08:17|--a------|36864] - G:\TP Temp‚rature.xls
[18/05/2009 09:10|--a------|288049] - G:\trimestre3.jpg
[27/05/2009 23:23|--a------|183420928] - G:\How.I.Met.Your.Mother.S04E24.FiNAL.VOSTFR.HDTV.XViD_OQS.avi
[04/11/2008 16:00|--a------|29696] - G:\Flexion.xls
[02/09/2008 09:55|--a------|2383872] - G:\Soutenance.ppt
[10/09/2008 13:00|--a------|38912] - G:\inscription_vierge.doc
[14/09/2008 15:54|--a------|67072] - G:\gerzat louer.doc
[03/10/2008 12:38|--a------|13824] - G:\TRIAC Synchrone..xls
[13/10/2008 09:01|--a------|29696] - G:\Classeur1.xls
[20/10/2008 12:13|--a------|1240] - G:\rojojo.txt
################## [ Vaccination ]
# C:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.
# D:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.
# G:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.
################## [ ! Fin du rapport # UsbFix V3.028 ! ]
