Bonjour, j'ai désinstallé Panda (version gratuite) qui bloquait ma connexion wifi. j'ai voulu ensuite réinstaller un antivirus, impossible de les lancer, j'ai essayé Antivir et Avast impossible également de lancer spybot qui était déjà sur mon PC impossible d'accéder aux antivirus en ligne (chez Secuser par ex) impossible d'installer ad aware gestionnaire de tâches désactivé plus quelques autres bugs, et des arrêts système récurrents (service RPC terminé de manière inattendue" en cherchant un peu sur le net, je pense que le problème vient certainement de Bagle. j'ai essayé de faire tourner Elibagla mais sans avoir pu changer son nom comme indiqué sur certains topics. je ne sais pas interpréter le résultat. je précise que je ne peux pas rebooter le PC, je n'ai pas les CD d'installation je ne sais pas où j'ai pu choper ce virus, je ne télécharge pas de cracks, enfin à part des jeux pour Nintendo DS, ce que j'ai fait récemment du reste. qui peut m'aider SVP ? merci par avance

salut, on va voir Télécharge FindyKill de Chiquitine29 Fais un clic droit sur le lien, enregistrer sous .....sur le bureau http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe Installe le par défaut dans "Progam files" Entre dans le dossier FindyKill double clique sur "FindyKill.exe" choisis l'option 1 (recherche) un rapport va s'ouvrir, poste le dans ta prochaine réponse s-t-p Note : le rapport FindyKill.txt est sauvegardé à la racine du disque tutorial: https://www.malekal.com/tutorial-findykill/

oui,tu as le ver bagle Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d'avoir été infectées sans les ouvrir réouvre Findykill, choisis cette fois ci l'option 2 (suppression) il y aura 1 redémarrage, laisse travailler l'outils jusqu'a l'apparition du message "nettoyage effectué" un rapport va s'ouvrir, poste le dans ta prochaine réponse s-t-p Note : le rapport FindyKill.txt est sauvegardé à la racine du disque Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valides ensuite - Télécharge TrendMicro™ HijackThis™ de Merijn(prog de diagnostic) sur ton bureau. - Cette version est sans installateur! ( Zip à décompresser ) - Enregistre le sur ton bureau. -A l'installation, ****Place le dans son répertoire par défaut, c'est à dire : C:\program files*** Important : Sous Vista, clic droit sur le fichier Hijackthis.exe ou sur le raccourci, Propriétés, Onglet Compatibilité, cocher : "Exécuter ce programme en tant qu'administrateur" installer hijackthis correctement: https://forums.cnetfrance.fr *** Ferme toute les fenêtres ouvertes , et déconnecte toi du web*** - Double-clique dessus - Génère un rapport en suivant ces indications : - Exécute le et clique sur "Do a scan and save log file". - Le rapport s'ouvre sur le Bloc-Note. - Colle le rapport ici, pour cela : - Menu Edition / Selectionner Tout - Menu Edition / copier - Ici dans un nouveau message : clic droit / coller - ** ne pas fixer de lignes sans notre avis ** Aide : N'hésite pas à consulter l'aide HiJackThis de Malekal_morte En image

ok, reste qq chose de bizarre à vérifier Rends toi sur ce site : https://www.virustotal.com/gui/ Clique sur "parcourir" où "Choisir" et cherche ce fichier : C:\WINDOWS\TEMP\moif.exe Clique sur "Send File" où "Submit" Un rapport va s'élaborer ligne à ligne. Attends la fin. Il doit comprendre la taille du fichier envoyé. Sauvegarde le rapport avec le bloc-note. Copie le dans ta réponse. fais la même chose avec C:\WINDOWS\TEMP\rspt.exe si cela ne fonctionne pas(que tu ne trouves pas les fichiers) fais ceci puis retente Cliquer sur"Démarrer" dans la Barre des tâches Cliquer sur "Panneau de configuration" Cliquer sur "Options des dossiers" Cliquer sur l'onglet "Affichage" **dans fichiers et dossiers cachés: Cocher "Afficher les fichiers et dossiers cachés" Décocher "Masquer les extensions des fichiers dont le type est connu" Décocher "masquer les fichiers protégés du système d'exploitation(recommandé)" **Note**il ne faut pas tenir compte de l'avertissement.==>Cliquer sur OUI Cliquer sur "Appliquer à tous les dossiers" Cliquer sur "Ok"

Ok je lance. pour le moment tjs impossible de lancer spybot (sablier qqs instants puis rien) ou picasa (message d'erreur), pas essayé d'autre en revanche, mon PC semble plus rapide je fais tes manips et je reviens

je fais tes manips et je reviens ok car très probablement que ce n'est pas du tout légitime

Bon, le site virustotal n'arrive pas à se charger

Salut Chimay ;) c est la meme merdasse qu ici .....

c est la meme merdasse qu ici merde c'est la guigne...(merci Cédric) PetitsPetons, fais ceci stp Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau. Double-clique sur RSIT.exe afin de lancer RSIT. Clique "Continue" à l'écran Disclaimer. Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT va le télécharger (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence. Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches). NB : Les rapports sont sauvegardés dans le dossier C:\rsit

bon je confirme: no way, virustotal ne se charge pas...

Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe -> Double clique sur combofix.exe. -> Tape sur la touche 1 (Yes) pour démarrer le scan. -> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse. NOTE : Le rapport se trouve également ici : C:\Combofix.txt Avant d'utiliser ComboFix : -> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours. -> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil. Une fois fait, sur ton bureau double-clic sur Combofix.exe. - Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc. /!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes. - En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire. - Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt) -> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. -> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt

Probable infection par Bagle

Réponse 21 / 29

chimay8 Messages postés 7947 Statut Contributeur sécurité 60

lol limite authoritaire le chiki

non,ta raison...vaut mieux prendre plus de précaution!!
:))

PetitsPetons

heuuu ma réponse a disparu, j'ai du faire une boulette
l'envoi du fichier n'a pas fonctionné

DiagHelp version v1.4 - http://www.malekal.com
excute le 07.06.2009 à 20:38:04.59

System information for \\S:
Uptime: Error reading uptime
Kernel version: Microsoft Windows XP, Multiprocessor Free
Product type: Professional
Product version: 5.1
Service pack: 3
Kernel build number: 2600
Registered organization:
Registered owner: S
Install date: 21.01.2009, 00:01:38
Activation status: Activated
IE version: 7.0000
System root: C:\WINDOWS
Processors: 2
Processor speed: 3.0 GHz
Processor type: Intel(R) Pentium(R) 4 CPU
Physical memory: 1024 MB
Video driver:
Volume Type Format Label Size Free Free
A: Removable 0.0%
C: Fixed NTFS 29.29 GB 12.63 GB 43.1%
D: Fixed NTFS Datas 157.01 GB 125.95 GB 80.2%
E: CD-ROM 0.0%
F: Fixed FAT32 FREECOM HDD 298.02 GB 270.67 GB 90.8%
G: Removable FAT32 SANDRA 3.74 GB 3.29 GB 87.8%

C:\WINDOWS\prefetch\WMIAPSRV.EXE-1E2270A5.pf -->07.06.2009 20:38:46
C:\WINDOWS\prefetch\PSINFO.EXE-0410BAEC.pf -->07.06.2009 20:38:14
C:\WINDOWS\prefetch\CHCP.COM-18156052.pf -->07.06.2009 20:37:53
C:\WINDOWS\prefetch\CMD.EXE-087B4001.pf -->07.06.2009 20:37:52
C:\WINDOWS\prefetch\WINZIP32.EXE-335422C1.pf -->07.06.2009 20:36:43
C:\WINDOWS\prefetch\WINRAR.EXE-39C6DAD9.pf -->07.06.2009 20:36:24
C:\WINDOWS\prefetch\JJPM.EXE-040DDC92.pf -->07.06.2009 20:32:25
C:\WINDOWS\prefetch\FEXPP.EXE-337F9BE6.pf -->07.06.2009 20:32:23
C:\WINDOWS\prefetch\IEXPLORE.EXE-27122324.pf -->07.06.2009 20:31:48
C:\WINDOWS\prefetch\DWWIN.EXE-30875ADC.pf -->07.06.2009 20:31:04

C:\WINDOWS\System32\drivers\srv.sys -->11.12.2008 12:57:09
C:\WINDOWS\System32\drivers\ati2mtag.sys -->02.12.2008 00:13:40
C:\WINDOWS\System32\drivers\ati2erec.dll -->01.12.2008 21:51:10
C:\WINDOWS\System32\drivers\pxhelp20.sys -->20.11.2008 21:19:06
C:\WINDOWS\System32\drivers\mrxsmb.sys -->24.10.2008 13:21:09
C:\WINDOWS\System32\drivers\afd.sys -->14.08.2008 12:04:36
C:\WINDOWS\System32\drivers\cdralw2k.sys -->01.08.2008 00:17:04

C:\WINDOWS\System32\wpa.dbl -->07.06.2009 20:38:43
C:\WINDOWS\System32\PerfStringBackup.INI -->07.06.2009 18:13:02
C:\WINDOWS\System32\perfh00C.dat -->07.06.2009 18:13:02
C:\WINDOWS\System32\perfh009.dat -->07.06.2009 18:13:02
C:\WINDOWS\System32\perfc00C.dat -->07.06.2009 18:13:02
C:\WINDOWS\System32\perfc009.dat -->07.06.2009 18:13:02
C:\WINDOWS\System32\FNTCACHE.DAT -->04.06.2009 00:50:43
C:\WINDOWS\System32\spupdsvc.inf -->04.06.2009 00:41:29
C:\WINDOWS\System32\TEST.log -->29.05.2009 00:18:26
C:\WINDOWS\System32\SENT.log -->29.05.2009 00:17:28
C:\WINDOWS\System32\RECV.log -->29.05.2009 00:17:25
C:\WINDOWS\System32\QuickTime.qtp -->16.05.2009 11:46:07
C:\WINDOWS\System32\MRT.exe -->07.05.2009 09:16:29
C:\WINDOWS\System32\GPhotos.scr -->01.05.2009 20:30:36
C:\WINDOWS\System32\kernel32.dll -->21.03.2009 16:07:58
C:\WINDOWS\System32\ieudinit.exe -->08.03.2009 04:32:52
C:\WINDOWS\System32\pdh.dll -->06.03.2009 16:20:52
C:\WINDOWS\System32\wininet.dll -->03.03.2009 02:13:06
C:\WINDOWS\System32\ieencode.dll -->20.02.2009 19:10:57
C:\WINDOWS\System32\webcheck.dll -->20.02.2009 19:10:56
C:\WINDOWS\System32\urlmon.dll -->20.02.2009 19:10:56
C:\WINDOWS\System32\url.dll -->20.02.2009 19:10:55
C:\WINDOWS\System32\pngfilt.dll -->20.02.2009 19:10:55
C:\WINDOWS\System32\occache.dll -->20.02.2009 19:10:55
C:\WINDOWS\System32\mstime.dll -->20.02.2009 19:10:55

C:\WINDOWS\wiadebug.log -->07.06.2009 20:27:37
C:\WINDOWS\WindowsUpdate.log -->07.06.2009 20:27:35
C:\WINDOWS\wiaservc.log -->07.06.2009 20:27:32
C:\WINDOWS\0.log -->07.06.2009 20:27:26
C:\WINDOWS\bootstat.dat -->07.06.2009 20:27:24
C:\WINDOWS\SchedLgU.Txt -->07.06.2009 20:26:22
C:\WINDOWS\setupapi.log -->07.06.2009 20:10:23
C:\WINDOWS\nsreg.dat -->07.06.2009 20:05:07
C:\WINDOWS\KB963027-IE7.log -->07.06.2009 20:00:42
C:\WINDOWS\updspapi.log -->07.06.2009 20:00:41
C:\WINDOWS\system.ini -->07.06.2009 19:20:17
C:\WINDOWS\setupact.log -->07.06.2009 18:11:41
C:\WINDOWS\setuperr.log -->07.06.2009 18:11:04
C:\WINDOWS\win.ini -->06.06.2009 21:33:02
C:\WINDOWS\PEV.exe -->31.05.2009 11:08:41

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 8851-03A9

Répertoire de C:\WINDOWS

04.06.2009 00:36 <REP> $hf_mig$
21.01.2009 23:10 <REP> $NtServicePackUninstall$
21.01.2009 23:42 <REP> $NtServicePackUninstallIDNMitigationAPIs$
21.01.2009 23:42 <REP> $NtServicePackUninstallNLSDownlevelMapping$
21.01.2009 22:45 <REP> $NtUninstallKB835221WXP$
21.01.2009 22:53 <REP> $NtUninstallKB898461$
09.05.2009 16:36 <REP> $NtUninstallKB923561$
09.05.2009 16:39 <REP> $NtUninstallKB929399$
09.05.2009 16:36 <REP> $NtUninstallKB936782_WMP11$
21.01.2009 23:45 <REP> $NtUninstallKB938464$
09.05.2009 16:39 <REP> $NtUninstallKB939683$
09.05.2009 16:40 <REP> $NtUninstallKB941569$
21.01.2009 23:46 <REP> $NtUninstallKB943729$
21.01.2009 23:45 <REP> $NtUninstallKB946648$
21.01.2009 23:44 <REP> $NtUninstallKB950762$
21.01.2009 23:45 <REP> $NtUninstallKB950974$
21.01.2009 23:45 <REP> $NtUninstallKB951066$
21.01.2009 23:44 <REP> $NtUninstallKB951376-v2$
21.01.2009 23:44 <REP> $NtUninstallKB951698$
21.01.2009 23:45 <REP> $NtUninstallKB951748$
21.01.2009 23:45 <REP> $NtUninstallKB951978$
09.05.2009 16:40 <REP> $NtUninstallKB952004$
21.01.2009 23:47 <REP> $NtUninstallKB952069_WM9$
21.01.2009 23:45 <REP> $NtUninstallKB952287$
21.01.2009 23:45 <REP> $NtUninstallKB952954$
09.05.2009 16:36 <REP> $NtUninstallKB954154_WM11$
21.01.2009 23:46 <REP> $NtUninstallKB954211$
21.01.2009 23:46 <REP> $NtUninstallKB954459$
21.01.2009 23:46 <REP> $NtUninstallKB954600$
21.01.2009 23:46 <REP> $NtUninstallKB955069$
21.01.2009 23:47 <REP> $NtUninstallKB955839$
21.01.2009 23:46 <REP> $NtUninstallKB956391$
09.05.2009 16:40 <REP> $NtUninstallKB956572$
21.01.2009 23:46 <REP> $NtUninstallKB956802$
21.01.2009 23:47 <REP> $NtUninstallKB956803$
21.01.2009 23:46 <REP> $NtUninstallKB956841$
21.01.2009 23:46 <REP> $NtUninstallKB957097$
21.01.2009 23:46 <REP> $NtUninstallKB958644$
21.01.2009 23:47 <REP> $NtUninstallKB958687$
09.05.2009 16:38 <REP> $NtUninstallKB958690$
09.05.2009 16:43 <REP> $NtUninstallKB959426$
09.05.2009 16:38 <REP> $NtUninstallKB959772_WM11$
09.05.2009 16:42 <REP> $NtUninstallKB960225$
09.05.2009 16:39 <REP> $NtUninstallKB960715$
09.05.2009 16:38 <REP> $NtUninstallKB960803$
04.06.2009 13:48 <REP> $NtUninstallKB961118$
09.05.2009 16:43 <REP> $NtUninstallKB961373$
09.05.2009 16:39 <REP> $NtUninstallKB967715$
21.01.2009 23:39 <REP> $NtUninstallMSCompPackV1$
21.01.2009 23:38 <REP> $NtUninstallWMFDist11$
21.01.2009 23:39 <REP> $NtUninstallwmp11$
21.01.2009 23:37 <REP> $NtUninstallWudf01000$
04.06.2009 00:48 <REP> $NtUninstallXPSEPSCLP$
21.01.2009 23:43 <REP> ie7
07.06.2009 20:00 <REP> inf
06.06.2009 20:26 <REP> Installer
28.08.2001 14:00 49'102 winnt.bmp
28.08.2001 14:00 49'102 winnt256.bmp
3 fichier(s) 98'953 octets
56 Rép(s) 13'563'133'952 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 8851-03A9

Répertoire de C:\WINDOWS\system32

07.06.2009 20:00 <REP> dllcache
06.06.2009 23:34 <REP> GroupPolicy
7 fichier(s) 4'721 octets
2 Rép(s) 13'563'117'568 octets libres
winlogon.exe
Verified: Signed
svchost.exe
Verified: Signed
ws2_32.dll
Verified: Signed
user32.dll
Verified: Signed
tcpip.sys
Verified: Signed
ndis.sys
Verified: Signed
null.sys
Verified: Signed
userinit.exe
kernel32.dll

ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
explorer.exe pid: 3688
Command line: C:\WINDOWS\Explorer.EXE

Base Size Version Path
0x77be0000 0x58000 7.00.2600.5512 C:\WINDOWS\system32\msvcrt.dll
0x779e0000 0x97000 5.131.2600.5512 C:\WINDOWS\system32\CRYPT32.dll
0x76610000 0x84000 5.131.2600.5512 C:\WINDOWS\system32\CRYPTUI.dll
0x44080000 0xd0000 7.00.6000.16827 C:\WINDOWS\system32\WININET.dll
0x00400000 0x9000 6.00.5441.0000 C:\WINDOWS\system32\Normaliz.dll
0x43e00000 0x45000 7.00.6000.16825 C:\WINDOWS\system32\iertutil.dll
0x76be0000 0x2e000 5.131.2600.5512 C:\WINDOWS\system32\WINTRUST.dll
0x58b50000 0x9a000 5.82.2900.5512 C:\WINDOWS\system32\comctl32.dll
0x76f80000 0x7f000 2001.12.4414.0700 C:\WINDOWS\system32\CLBCATQ.DLL
0x77000000 0xd4000 2001.12.4414.0700 C:\WINDOWS\system32\COMRes.dll
0x76ac0000 0x11000 3.05.2284.0001 C:\WINDOWS\system32\ATL.DLL
0x44360000 0x5cd000 7.00.6000.16825 C:\WINDOWS\system32\ieframe.dll
0x45180000 0x127000 7.00.6000.16825 C:\WINDOWS\system32\urlmon.dll
0x76010000 0x65000 6.02.3104.0000 C:\WINDOWS\system32\MSVCP60.dll
0x442b0000 0x3c000 7.00.6000.16825 C:\WINDOWS\system32\webcheck.dll
0x164a0000 0x23000 5.02.5721.5145 C:\WINDOWS\system32\WPDShServiceObj.dll
0x109c0000 0x2c000 5.02.5721.5145 C:\WINDOWS\system32\PortableDeviceTypes.dll
0x10930000 0x49000 5.02.5721.5145 C:\WINDOWS\system32\PortableDeviceApi.dll
0x7d200000 0x2bc000 3.01.4001.5512 C:\WINDOWS\system32\msi.dll
0x16200000 0x6000 4.01.0000.0000 C:\Program Files\WinZip\wzshlstb.dll
0x10000000 0x8e000 7.00.0000.1333 C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat Elements\ContextMenu.dll
0x7c140000 0x103000 7.10.3077.0000 C:\WINDOWS\system32\MFC71.DLL
0x7c340000 0x56000 7.10.3052.0004 C:\WINDOWS\system32\MSVCR71.dll
0x7c3a0000 0x7b000 7.10.3077.0000 C:\WINDOWS\system32\MSVCP71.dll
0x5d360000 0xf000 7.10.3077.0000 C:\WINDOWS\system32\MFC71FRA.DLL
0x02380000 0x4e000 7.00.0000.1333 C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat Elements\ContextMenu.fra
0x023d0000 0x2e000 3.80.0000.0000 C:\Program Files\WinRAR\rarext.dll
0x00de0000 0xe000 7.00.0000.1333 C:\Program Files\Adobe\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll
0x02f50000 0x1c000 7.00.0000.0000 C:\Program Files\Adobe\Adobe Acrobat 7.0\ActiveX\PDFShell.dll
0x02fd0000 0xa000 7.00.0000.0000 C:\Program Files\Adobe\Adobe Acrobat 7.0\ActiveX\PDFShell.FRA
0x6bd10000 0x10000 12.00.6413.1000 C:\Program Files\Microsoft Office\Office12\msohevi.dll
0x78130000 0x9b000 8.00.50727.3053 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.3053_x-ww_b80fa8ca\MSVCR80.dll

ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
winlogon.exe pid: 692
Command line: winlogon.exe

Base Size Version Path
0x01000000 0x82000 \??\C:\WINDOWS\system32\winlogon.exe
0x77be0000 0x58000 7.00.2600.5512 C:\WINDOWS\system32\msvcrt.dll
0x779e0000 0x97000 5.131.2600.5512 C:\WINDOWS\system32\CRYPT32.dll
0x76be0000 0x2e000 5.131.2600.5512 C:\WINDOWS\system32\WINTRUST.dll
0x58b50000 0x9a000 5.82.2900.5512 C:\WINDOWS\system32\COMCTL32.dll
0x74730000 0x3d000 3.525.1132.0000 C:\WINDOWS\system32\ODBC32.dll
0x1f840000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
0x10000000 0x25000 6.14.0010.4177 C:\WINDOWS\system32\Ati2evxx.dll
0x01420000 0x42000 1.08.0031.0009 C:\WINDOWS\system32\WgaLogon.dll
0x76f80000 0x7f000 2001.12.4414.0700 C:\WINDOWS\system32\CLBCATQ.DLL
0x77000000 0xd4000 2001.12.4414.0700 C:\WINDOWS\system32\COMRes.dll

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 8851-03A9

Répertoire de C:\WINDOWS\temp

07.06.2009 20:32 11'264 fexpp.exe
07.06.2009 20:32 19'968 jjpm.exe
2 fichier(s) 31'232 octets
0 Rép(s) 13'563'035'648 octets libres

Contenu de Downloaded Program Files
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 8851-03A9

Répertoire de C:\WINDOWS\Downloaded Program Files

24.05.2009 00:35 <REP> .
24.05.2009 00:35 <REP> ..
20.01.2009 23:59 65 desktop.ini
14.10.1997 19:52 697 DirectAnimation Java Classes.osd
29.07.2008 00:50 1'292 erma.inf
04.10.2008 21:16 1'887'080 FP_AX_CAB_INSTALLER.exe
20.01.2000 16:25 1'162 Microsoft XML Parser for Java.osd
04.10.2008 21:08 247 swflash.inf
16.10.2008 15:16 293 wuweb.inf
7 fichier(s) 1'890'836 octets

Total des fichiers listés :
7 fichier(s) 1'890'836 octets
2 Rép(s) 13'563'031'552 octets libres

Recherche de rootkit! (Merci S!Ri)

Recherche d'infections connues

Export des clefs sensibles..

Liste des fichiers en exception sur le pare-feu XP SP2

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"="C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE:*:Enabled:ipsec"
"C:\\Program Files\\Adobe\\Adobe Version Cue CS2\\bin\\VersionCueCS2.exe"="C:\\Program Files\\Adobe\\Adobe Version Cue CS2\\bin\\VersionCueCS2.exe:*:Enabled:Adobe Version Cue CS2"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe:*:Enabled:hpqtra08.exe"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqSTE08.exe:*:Enabled:ipsec"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe:*:Enabled:hposid01.exe"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpiscnapp.exe:*:Enabled:hpiscnapp.exe"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe:*:Enabled:hpqkygrp.exe"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\WINDOWS\\system32\\KB905474\\wgasetup.exe"="C:\\WINDOWS\\system32\\KB905474\\wgasetup.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\HDAudPropShortcut.exe"="C:\\WINDOWS\\system32\\HDAudPropShortcut.exe:*:Enabled:ipsec"
"C:\\Program Files\\Adobe\\Adobe Acrobat 7.0\\Acrobat\\acrobat_sl.exe"="C:\\Program Files\\Adobe\\Adobe Acrobat 7.0\\Acrobat\\acrobat_sl.exe:*:Enabled:ipsec"
"C:\\Program Files\\SAGEM\\SAGEM F@st 3202\\RunHttpCfg.exe"="C:\\Program Files\\SAGEM\\SAGEM F@st 3202\\RunHttpCfg.exe:*:Enabled:ipsec"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqgpc01.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqgpc01.exe:*:Enabled:ipsec"
"C:\\Program Files\\HP\\HP Software Update\\HPWuSchd2.exe"="C:\\Program Files\\HP\\HP Software Update\\HPWuSchd2.exe:*:Enabled:ipsec"
"C:\\Program Files\\Adobe\\Adobe Version Cue CS2\\ControlPanel\\VersionCueCS2Tray.exe"="C:\\Program Files\\Adobe\\Adobe Version Cue CS2\\ControlPanel\\VersionCueCS2Tray.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\UninstWiFi.exe"="C:\\WINDOWS\\UninstWiFi.exe:*:Enabled:ipsec"
"C:\\Program Files\\SAGEM Wi-Fi USB 802.11g\\WLANUTL.exe"="C:\\Program Files\\SAGEM Wi-Fi USB 802.11g\\WLANUTL.exe:*:Enabled:ipsec"
"C:\\Program Files\\Adobe\\Adobe Version Cue CS2\\data\\database\\bin\\mysqladmin.exe"="C:\\Program Files\\Adobe\\Adobe Version Cue CS2\\data\\database\\bin\\mysqladmin.exe:*:Enabled:ipsec"
"C:\\Program Files\\Adobe\\Adobe Version Cue CS2\\data\\database\\bin\\mysqld-nt.exe"="C:\\Program Files\\Adobe\\Adobe Version Cue CS2\\data\\database\\bin\\mysqld-nt.exe:*:Enabled:ipsec"
"C:\\Program Files\\Fichiers communs\\Adobe\\Calibration\\Adobe Gamma Loader.exe"="C:\\Program Files\\Fichiers communs\\Adobe\\Calibration\\Adobe Gamma Loader.exe:*:Enabled:ipsec"
"C:\\Program Files\\Adobe\\Adobe Acrobat 7.0\\Distillr\\Acrotray.exe"="C:\\Program Files\\Adobe\\Adobe Acrobat 7.0\\Distillr\\Acrotray.exe:*:Enabled:ipsec"
"C:\\Program Files\\Microsoft Office\\Office12\\WINWORD.EXE"="C:\\Program Files\\Microsoft Office\\Office12\\WINWORD.EXE:*:Enabled:ipsec"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqSRMon.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqSRMon.exe:*:Enabled:ipsec"
"C:\\Program Files\\Google\\Common\\Google Updater\\GoogleUpdaterService.exe"="C:\\Program Files\\Google\\Common\\Google Updater\\GoogleUpdaterService.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\TEMP\\kerkgs.exe"="C:\\WINDOWS\\TEMP\\kerkgs.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\TEMP\\winxxctgw.exe"="C:\\WINDOWS\\TEMP\\winxxctgw.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\TEMP\\winmhqyc.exe"="C:\\WINDOWS\\TEMP\\winmhqyc.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\TEMP\\fexpp.exe"="C:\\WINDOWS\\TEMP\\fexpp.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\TEMP\\jjpm.exe"="C:\\WINDOWS\\TEMP\\jjpm.exe:*:Enabled:ipsec"

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

Export de la clef SharedTaskScheduler

[SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

exports des policies
REGEDIT4

[system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
"DisableRegistryTools"=dword:00000000
"EnableLUA"=dword:00000000

Export des clefs sensibles..
Rechercher adresses sensibles dans le fichier HOSTS...
127.0.0.1 www.activexupdate.com
127.0.0.1 activexupdate.com
127.0.0.1 www.antispywareupdates.net
127.0.0.1 antispywareupdates.net
127.0.0.1 www.aviupdate.com
127.0.0.1 aviupdate.com
127.0.0.1 www.avpcheckupdate.com
127.0.0.1 avpcheckupdate.com
127.0.0.1 www.bsplupdate.com
127.0.0.1 bsplupdate.com
127.0.0.1 client.exeupdate.com
127.0.0.1 www.eupdatepage.com
127.0.0.1 eupdatepage.com
127.0.0.1 www.exeupdate.com
127.0.0.1 exeupdate.com
127.0.0.1 www.flwupdate.com
127.0.0.1 flwupdate.com
127.0.0.1 www.hotwinupdates.com
127.0.0.1 hotwinupdates.com
127.0.0.1 www.lavasoftupdate.com
127.0.0.1 lavasoftupdate.com
127.0.0.1 www.liveprotectionupdate.cn
127.0.0.1 liveprotectionupdate.cn
127.0.0.1 www.malwarewipeupdate.com
127.0.0.1 malwarewipeupdate.com
127.0.0.1 www.movupdate.com
127.0.0.1 movupdate.com
127.0.0.1 www.mpegupdate.com
127.0.0.1 mpegupdate.com
127.0.0.1 www.msupdate.net
127.0.0.1 msupdate.net
127.0.0.1 www.msupdater.net
127.0.0.1 msupdater.net
127.0.0.1 www.necessaryupdates.com
127.0.0.1 necessaryupdates.com
127.0.0.1 newupdates.lzio.com
127.0.0.1 www.plupdate.com
127.0.0.1 plupdate.com
127.0.0.1 redirect.msupdate.net
127.0.0.1 www.registryupdate.org
127.0.0.1 registryupdate.org
127.0.0.1 search.keyword.exeupdate.com
127.0.0.1 www.securityupdatesite.com
127.0.0.1 securityupdatesite.com
127.0.0.1 settings.updatemysettings.com
127.0.0.1 www.spyaxeupdate.com
127.0.0.1 spyaxeupdate.com
127.0.0.1 www.spyfalconupdate.com
127.0.0.1 spyfalconupdate.com
127.0.0.1 www.systemupdates.net
127.0.0.1 systemupdates.net
127.0.0.1 trial.updates.winsoftware.com
127.0.0.1 update.680180.net
127.0.0.1 update.shareaza.com
127.0.0.1 www.updatemics.com
127.0.0.1 updatemics.com
127.0.0.1 www.updatemysettings.com
127.0.0.1 updatemysettings.com
127.0.0.1 updates.spywarequake.com
127.0.0.1 www.updatesantivirus.com
127.0.0.1 updatesantivirus.com
127.0.0.1 www.urgentsystemupdate.biz
127.0.0.1 urgentsystemupdate.biz
127.0.0.1 www.urgentsystemupdate.com
127.0.0.1 urgentsystemupdate.com
127.0.0.1 windupdates.com
127.0.0.1 www.xp-vista-update.net
127.0.0.1 xp-vista-update.net
127.0.0.1 www.pandaantivirus-2007.com
127.0.0.1 pandaantivirus-2007.com
127.0.0.1 www.pandadownload-now.com
127.0.0.1 pandadownload-now.com
127.0.0.1 www.panda-hq.com
127.0.0.1 panda-hq.com
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-07 20:39:08
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden services: 0
hidden files: 0

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Process list by traversal of KiWaitListHead

4 - System
292 - mdm.exe
380 - svchost.exe
572 - svchost.exe
652 - csrss.exe
692 - winlogon.exe
736 - services.exe
748 - lsass.exe
928 - ati2evxx.exe
940 - wmiprvse.exe
948 - svchost.exe
996 - svchost.exe
1040 - svchost.exe
1088 - svchost.exe
1100 - svchost.exe
1176 - svchost.exe
1288 - svchost.exe
1316 - acrotray.exe
1360 - hpwuSchd2.exe
1436 - HpqSRmon.exe
1464 - mysqld-nt.exe
1500 - WZQKPICK.EXE
1592 - jjpm.exe
1612 - ati2evxx.exe
1720 - spoolsv.exe
1792 - svchost.exe
1832 - VersionCueCS2.e
1856 - CALMAIN.exe
1872 - svchost.exe
1960 - svchost.exe
2060 - ctfmon.exe
2072 - GoogleToolbarNo
2080 - msmsgs.exe
2444 - WLANUTL.exe
2732 - wuauclt.exe
3368 - iexplore.exe
3632 - fexpp.exe
3688 - explorer.exe
3924 - cmd.exe

Total number of processes = 39
NOTE: Under WinXP, this will not show all processes.

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Driver/Module list by traversal of PsLoadedModuleList

804D7000 - \WINDOWS\system32\ntoskrnl.exe
806FF000 - \WINDOWS\system32\hal.dll
F7D2F000 - \WINDOWS\system32\KDCOM.DLL
F7C3F000 - \WINDOWS\system32\BOOTVID.dll
F77DF000 - ACPI.sys
F7D31000 - \WINDOWS\System32\DRIVERS\WMILIB.SYS
F77CE000 - pci.sys
F782F000 - isapnp.sys
F7DF7000 - pciide.sys
F7AAF000 - \WINDOWS\System32\DRIVERS\PCIIDEX.SYS
F783F000 - MountMgr.sys
F77AF000 - ftdisk.sys
F7D33000 - dmload.sys
F7789000 - dmio.sys
F7AB7000 - PartMgr.sys
F784F000 - VolSnap.sys
F7771000 - atapi.sys
F785F000 - disk.sys
F786F000 - \WINDOWS\System32\DRIVERS\CLASSPNP.SYS
F7751000 - fltmgr.sys
F773F000 - sr.sys
F787F000 - PxHelp20.sys
F7728000 - KSecDD.sys
F769B000 - Ntfs.sys
F766E000 - NDIS.sys
F7654000 - Mup.sys
F7A1F000 - \SystemRoot\System32\DRIVERS\intelppm.sys
F70D8000 - \SystemRoot\system32\DRIVERS\ati2mtag.sys
F70C4000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
F709C000 - \SystemRoot\system32\DRIVERS\HDAudBus.sys
F7B7F000 - \SystemRoot\System32\DRIVERS\usbuhci.sys
F7078000 - \SystemRoot\System32\DRIVERS\USBPORT.SYS
F7B87000 - \SystemRoot\System32\DRIVERS\usbehci.sys
F7A2F000 - \SystemRoot\System32\DRIVERS\i8042prt.sys
F7B8F000 - \SystemRoot\System32\DRIVERS\kbdclass.sys
F7B97000 - \SystemRoot\System32\DRIVERS\mouclass.sys
F7067000 - \SystemRoot\System32\DRIVERS\serial.sys
F7D0F000 - \SystemRoot\System32\DRIVERS\serenum.sys
F7B9F000 - \SystemRoot\System32\DRIVERS\irsir.sys
F7D13000 - \SystemRoot\System32\DRIVERS\irenum.sys
F7BA7000 - \SystemRoot\System32\DRIVERS\fdc.sys
F7053000 - \SystemRoot\System32\DRIVERS\parport.sys
F7A3F000 - \SystemRoot\System32\DRIVERS\imapi.sys
F7A4F000 - \SystemRoot\System32\DRIVERS\cdrom.sys
F7A5F000 - \SystemRoot\System32\DRIVERS\redbook.sys
F7030000 - \SystemRoot\System32\DRIVERS\ks.sys
F7E22000 - \SystemRoot\System32\DRIVERS\audstub.sys
F7BAF000 - \SystemRoot\System32\DRIVERS\rasirda.sys
F7BB7000 - \SystemRoot\System32\DRIVERS\TDI.SYS
F7A6F000 - \SystemRoot\System32\DRIVERS\rasl2tp.sys
F7D23000 - \SystemRoot\System32\DRIVERS\ndistapi.sys
F7019000 - \SystemRoot\System32\DRIVERS\ndiswan.sys
F7A7F000 - \SystemRoot\System32\DRIVERS\raspppoe.sys
F7A8F000 - \SystemRoot\System32\DRIVERS\raspptp.sys
F7008000 - \SystemRoot\System32\DRIVERS\psched.sys
F7A9F000 - \SystemRoot\System32\DRIVERS\msgpc.sys
F7BBF000 - \SystemRoot\System32\DRIVERS\ptilink.sys
F7BC7000 - \SystemRoot\System32\DRIVERS\raspti.sys
F6FD8000 - \SystemRoot\System32\DRIVERS\rdpdr.sys
F78CF000 - \SystemRoot\System32\DRIVERS\termdd.sys
F7D5F000 - \SystemRoot\System32\DRIVERS\swenum.sys
F6F52000 - \SystemRoot\System32\DRIVERS\update.sys
F7620000 - \SystemRoot\System32\DRIVERS\mssmbios.sys
F78FF000 - \SystemRoot\System32\Drivers\NDProxy.SYS
EEE3F000 - \SystemRoot\system32\drivers\HdAudio.sys
EEE1B000 - \SystemRoot\system32\drivers\portcls.sys
F790F000 - \SystemRoot\system32\drivers\drmk.sys
F791F000 - \SystemRoot\System32\DRIVERS\usbhub.sys
F7D63000 - \SystemRoot\System32\DRIVERS\USBD.SYS
F7BCF000 - \SystemRoot\System32\DRIVERS\flpydisk.sys
F7D65000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS
F7EC2000 - \SystemRoot\System32\Drivers\Null.SYS
F7D67000 - \SystemRoot\System32\Drivers\Beep.SYS
F7BDF000 - \SystemRoot\System32\drivers\vga.sys
F7D69000 - \SystemRoot\System32\Drivers\mnmdd.SYS
F7D6B000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys
F7BE7000 - \SystemRoot\System32\Drivers\Msfs.SYS
F7BEF000 - \SystemRoot\System32\Drivers\Npfs.SYS
F7CDF000 - \SystemRoot\System32\DRIVERS\rasacd.sys
EEDC0000 - \SystemRoot\System32\DRIVERS\ipsec.sys
EED67000 - \SystemRoot\System32\DRIVERS\tcpip.sys
EED3F000 - \SystemRoot\System32\DRIVERS\netbt.sys
F793F000 - \SystemRoot\System32\DRIVERS\wanarp.sys
EED19000 - \SystemRoot\System32\DRIVERS\ipnat.sys
EECF7000 - \SystemRoot\System32\drivers\afd.sys
F794F000 - \SystemRoot\System32\DRIVERS\netbios.sys
EECA4000 - \SystemRoot\System32\DRIVERS\rdbss.sys
EEC34000 - \SystemRoot\System32\DRIVERS\mrxsmb.sys
F796F000 - \SystemRoot\System32\Drivers\Fips.SYS
F7BFF000 - \SystemRoot\system32\DRIVERS\usbccgp.sys
EEB37000 - \SystemRoot\system32\DRIVERS\WlanUIG.sys
F7C07000 - \SystemRoot\system32\DRIVERS\USBSTOR.SYS
F7CFF000 - \SystemRoot\system32\DRIVERS\usbscan.sys
F7C17000 - \SystemRoot\system32\DRIVERS\usbprint.sys
F7C2F000 - \SystemRoot\system32\DRIVERS\HPZius12.sys
F79FF000 - \SystemRoot\System32\Drivers\Cdfs.SYS
F7A0F000 - \SystemRoot\system32\DRIVERS\HPZid412.sys
F6FC0000 - \SystemRoot\system32\DRIVERS\HPZipr12.sys
EEB1F000 - \SystemRoot\System32\Drivers\dump_atapi.sys
F7D8D000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS
BF800000 - \SystemRoot\System32\win32k.sys
EEE17000 - \SystemRoot\System32\drivers\Dxapi.sys
F7B47000 - \SystemRoot\System32\watchdog.sys
BF000000 - \SystemRoot\System32\drivers\dxg.sys
F7F37000 - \SystemRoot\System32\drivers\dxgthk.sys
BF012000 - \SystemRoot\System32\ati2dvag.dll
BF063000 - \SystemRoot\System32\ati2cqag.dll
BF0F0000 - \SystemRoot\System32\atikvmag.dll
BF163000 - \SystemRoot\System32\atiok3x2.dll
BF1AD000 - \SystemRoot\System32\ati3duag.dll
BF59B000 - \SystemRoot\System32\ativvaxx.dll
EC8D3000 - \SystemRoot\System32\Drivers\Fastfat.SYS
BFFA0000 - \SystemRoot\System32\ATMFD.DLL
EC755000 - \SystemRoot\System32\DRIVERS\irda.sys
EC7CB000 - \SystemRoot\system32\DRIVERS\mdc8021x.sys
EC7C3000 - \SystemRoot\System32\DRIVERS\ndisuio.sys
EC4F8000 - \SystemRoot\System32\DRIVERS\mrxdav.sys
F7D47000 - \SystemRoot\System32\Drivers\ParVdm.SYS
EC575000 - \SystemRoot\system32\drivers\ip6fw.sys
EC358000 - \SystemRoot\system32\drivers\tcpip6.sys
EC23E000 - \SystemRoot\System32\DRIVERS\srv.sys
EC1B6000 - \SystemRoot\System32\DRIVERS\ipfltdrv.sys
F7D7B000 - \??\C:\WINDOWS\system32\drivers\gvnsso.sys
EBDA1000 - \SystemRoot\system32\drivers\wdmaud.sys
EC86B000 - \SystemRoot\system32\drivers\sysaudio.sys
EB9C2000 - \SystemRoot\System32\Drivers\HTTP.sys
EB7AA000 - \??\C:\WINDOWS\system32\PCANDIS5.SYS
F7DE1000 - \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\mbr.sys
F7EF8000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

Total number of drivers = 129

Liste des programmes installes

32 Bit HP CIO Components Installer
Adobe Acrobat 7.0 Professionel
Adobe Bridge 1.0
Adobe Common File Installer
Adobe Creative Suite 2
Adobe Flash Player 10 ActiveX
Adobe GoLive CS2
Adobe Help Center 1.0
Adobe Illustrator CS2
Adobe InDesign CS2
Adobe Photoshop CS2
Adobe Stock Photos 1.0
Adobe SVG Viewer 3.0
Adobe Version Cue CS2
Archiveur WinRAR
ATI Display Driver
BufferChm
C-Media High Definition Audio Driver
Canon Camera Access Library
Canon Camera Support Core Library
Canon G.726 WMP-Decoder
CANON iMAGE GATEWAY Task for ZoomBrowser EX
Canon Internet Library for ZoomBrowser EX
Canon MovieEdit Task for ZoomBrowser EX
Canon RAW Image Task for ZoomBrowser EX
Canon Utilities CameraWindow
Canon Utilities CameraWindow DC
Canon Utilities CameraWindow DC_DV 5 for ZoomBrowser EX
Canon Utilities CameraWindow DC_DV 6 for ZoomBrowser EX
Canon Utilities EOS Utility
Canon Utilities MyCamera
Canon Utilities MyCamera DC
Canon Utilities PhotoStitch
Canon Utilities RemoteCapture DC
Canon Utilities RemoteCapture Task for ZoomBrowser EX
Canon Utilities ZoomBrowser EX
Canon ZoomBrowser EX Memory Card Utility
CCleaner (remove only)
Copy
Correctif pour Lecteur Windows Media 11 (KB939683)
Correctif pour Windows XP (KB952287)
Correctif pour Windows XP (KB961118)
CustomerResearchQFolder
Destination Component
DeviceDiscovery
DeviceManagementQFolder
DJ_AIO_03_F2200_ProductContext
DJ_AIO_03_F2200_Software
DJ_AIO_03_F2200_Software_Min
eSupportQFolder
F2200
F2200_Help
FindyKill
Google Toolbar for Internet Explorer
Google Toolbar for Internet Explorer
GPBaseService
High Definition Audio Driver Package - KB835221
HijackThis 2.0.2
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)
Hotfix for Windows Media Format 11 SDK (KB929399)
Hotfix for Windows XP (KB954550-v5)
HP Customer Participation Program 10.0
HP Deskjet F2200 All-In-One Driver Software 10.0 Rel .3
HP Imaging Device Functions 10.0
HP Photosmart Essential 2.5
HP Photosmart Essential 2.5
HP Smart Web Printing
HP Solution Center 10.0
HP Update
HPProductAssistant
HPSSupply
Lapin Malin Maternelle 2
Lecteur Windows Media 11
Livebox
MarketResearch
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 French Language Pack
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - FRA
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - FRA
Microsoft .NET Framework 3.5 Language Pack SP1 - fra
Microsoft .NET Framework 3.5 SP1
Microsoft .NET Framework 3.5 SP1
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft Office 2007 Service Pack 2 (SP2)
Microsoft Office 2007 Service Pack 2 (SP2)
Microsoft Office 2007 Service Pack 2 (SP2)
Microsoft Office 2007 Service Pack 2 (SP2)
Microsoft Office 2007 Service Pack 2 (SP2)
Microsoft Office 2007 Service Pack 2 (SP2)
Microsoft Office 2007 Service Pack 2 (SP2)
Microsoft Office 2007 Service Pack 2 (SP2)
Microsoft Office 2007 Service Pack 2 (SP2)
Microsoft Office Access MUI (French) 2007
Microsoft Office Excel MUI (French) 2007
Microsoft Office InfoPath MUI (French) 2007
Microsoft Office Outlook MUI (French) 2007
Microsoft Office PowerPoint MUI (French) 2007
Microsoft Office Professional Plus 2007
Microsoft Office Professional Plus 2007
Microsoft Office Proof (Arabic) 2007
Microsoft Office Proof (Dutch) 2007
Microsoft Office Proof (English) 2007
Microsoft Office Proof (French) 2007
Microsoft Office Proof (German) 2007
Microsoft Office Proof (Spanish) 2007
Microsoft Office Proofing (French) 2007
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
Microsoft Office Publisher MUI (French) 2007
Microsoft Office Shared MUI (French) 2007
Microsoft Office Word MUI (French) 2007
Microsoft Software Update for Web Folders (French) 12
Microsoft User-Mode Driver Framework Feature Pack 1.0
Mise à jour critique pour Lecteur Windows Media 11 (KB959772)
Mise à jour de sécurité pour Lecteur Windows Media (KB952069)
Mise à jour de sécurité pour Lecteur Windows Media 11 (KB936782)
Mise à jour de sécurité pour Lecteur Windows Media 11 (KB954154)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB938127-v2)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB956390)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB958215)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB963027)
Mise à jour de sécurité pour Windows XP (KB923561)
Mise à jour de sécurité pour Windows XP (KB923789)
Mise à jour de sécurité pour Windows XP (KB938464)
Mise à jour de sécurité pour Windows XP (KB941569)
Mise à jour de sécurité pour Windows XP (KB946648)
Mise à jour de sécurité pour Windows XP (KB950762)
Mise à jour de sécurité pour Windows XP (KB950974)
Mise à jour de sécurité pour Windows XP (KB951066)
Mise à jour de sécurité pour Windows XP (KB951376-v2)
Mise à jour de sécurité pour Windows XP (KB951698)
Mise à jour de sécurité pour Windows XP (KB951748)
Mise à jour de sécurité pour Windows XP (KB952004)
Mise à jour de sécurité pour Windows XP (KB952954)
Mise à jour de sécurité pour Windows XP (KB954211)
Mise à jour de sécurité pour Windows XP (KB954459)
Mise à jour de sécurité pour Windows XP (KB954600)
Mise à jour de sécurité pour Windows XP (KB955069)
Mise à jour de sécurité pour Windows XP (KB956391)
Mise à jour de sécurité pour Windows XP (KB956572)
Mise à jour de sécurité pour Windows XP (KB956802)
Mise à jour de sécurité pour Windows XP (KB956803)
Mise à jour de sécurité pour Windows XP (KB956841)
Mise à jour de sécurité pour Windows XP (KB957097)
Mise à jour de sécurité pour Windows XP (KB958644)
Mise à jour de sécurité pour Windows XP (KB958687)
Mise à jour de sécurité pour Windows XP (KB958690)
Mise à jour de sécurité pour Windows XP (KB959426)
Mise à jour de sécurité pour Windows XP (KB960225)
Mise à jour de sécurité pour Windows XP (KB960715)
Mise à jour de sécurité pour Windows XP (KB960803)
Mise à jour de sécurité pour Windows XP (KB961373)
Mise à jour pour Windows XP (KB943729)
Mise à jour pour Windows XP (KB951978)
Mise à jour pour Windows XP (KB955839)
Mise à jour pour Windows XP (KB967715)
Module linguistique Microsoft .NET Framework 3.5 SP1- fra
Mozilla Firefox (2.0.0.20)
MSXML 4.0 SP2 (KB954430)
Outil de mise à jour Google
Picasa 3
PSSWCORE
QuickTime
REALTEK Gigabit and Fast Ethernet NIC Driver
Sagem - Utilitaire réseau pour Clé USB Wi-Fi 802.11g
Scan
Security Update for CAPICOM (KB931906)
Security Update for CAPICOM (KB931906)
Security Update for Microsoft Office PowerPoint 2007 (KB957789)
Shop for HP Supplies
Simulateur d'Emprunt
SmartWebPrintingOC
SolutionCenter
Spybot - Search & Destroy
Status
Suite Specific
Toolbox
TrayApp
UnloadSupport
Update for 2007 Microsoft Office System (KB967642)
Update for Outlook 2007 Junk Email Filter (kb968503)
VideoToolkit01
Vilma Registry Explorer
WebFldrs XP
WebReg
Windows Genuine Advantage Notifications (KB905474)
Windows Genuine Advantage Validation Tool (KB892130)
Windows Genuine Advantage Validation Tool (KB892130)
Windows Internet Explorer 7
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Player 11
Windows XP Service Pack 3
WinZip 11.1
XML Paper Specification Shared Components Language Pack 1.0

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 8851-03A9

Répertoire de C:\Program Files

07.06.2009 20:05 <REP> .
07.06.2009 20:05 <REP> ..
23.01.2009 00:49 <REP> Adobe
26.01.2009 00:40 <REP> Canon
06.06.2009 23:49 <REP> CCleaner
20.01.2009 23:57 <REP> ComPlus Applications
07.06.2009 19:19 <REP> Fichiers communs
07.06.2009 00:35 <REP> Google
26.01.2009 01:16 <REP> Hewlett-Packard
26.01.2009 01:20 <REP> HP
21.01.2009 22:42 <REP> Intel
06.06.2009 21:15 <REP> Internet Explorer
21.01.2009 23:45 <REP> Messenger
09.05.2009 16:41 <REP> Microsoft CAPICOM 2.1.0.2
21.01.2009 00:00 <REP> microsoft frontpage
22.01.2009 21:02 <REP> Microsoft Office
22.01.2009 21:02 <REP> Microsoft Visual Studio
22.01.2009 20:53 <REP> Microsoft Visual Studio 8
04.06.2009 00:26 <REP> Microsoft Works
22.01.2009 20:59 <REP> Microsoft.NET
21.01.2009 23:14 <REP> Movie Maker
07.06.2009 20:05 <REP> Mozilla Firefox
04.06.2009 00:41 <REP> MSBuild
20.01.2009 23:57 <REP> MSN
20.01.2009 23:57 <REP> MSN Gaming Zone
09.05.2009 16:36 <REP> MSXML 4.0
21.01.2009 23:12 <REP> NetMeeting
21.01.2009 23:12 <REP> Outlook Express
06.02.2009 01:41 <REP> Panda Software
16.05.2009 11:46 <REP> QuickTime
04.06.2009 00:41 <REP> Reference Assemblies
26.01.2009 00:25 <REP> SAGEM
02.06.2009 21:21 <REP> SAGEM Wi-Fi USB 802.11g
20.01.2009 23:57 <REP> Services en ligne
11.04.2009 19:32 <REP> SimulEmprunt
23.01.2009 02:26 <REP> Spybot - Search & Destroy
07.06.2009 18:17 <REP> Trend Micro
21.01.2009 22:49 <REP> VIA
06.06.2009 23:30 <REP> Vilma
21.01.2009 23:39 <REP> Windows Media Connect 2
21.01.2009 23:39 <REP> Windows Media Player
21.01.2009 23:12 <REP> Windows NT
21.01.2009 22:40 <REP> WinRAR
06.06.2009 20:24 <REP> WinZip
21.01.2009 00:00 <REP> xerox
0 fichier(s) 0 octets
45 Rép(s) 13'549'072'384 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 8851-03A9

Répertoire de C:\Program Files\fichiers communs

07.06.2009 19:19 <REP> .
07.06.2009 19:19 <REP> ..
23.01.2009 00:49 <REP> Adobe
23.01.2009 00:08 <REP> Adobe Systems Shared
26.01.2009 00:37 <REP> Canon
11.04.2009 19:32 <REP> datavers
22.01.2009 21:02 <REP> DESIGNER
26.01.2009 01:16 <REP> Hewlett-Packard
26.01.2009 01:16 <REP> HP
23.01.2009 00:51 <REP> InstallShield
04.06.2009 00:27 <REP> Microsoft Shared
20.01.2009 23:58 <REP> MSSoap
20.01.2009 23:39 <REP> ODBC
06.06.2009 16:01 <REP> Panda Software
20.01.2009 23:58 <REP> Services
20.01.2009 23:39 <REP> SpeechEngines
04.06.2009 00:24 <REP> System
0 fichier(s) 0 octets
17 Rép(s) 13'549'068'288 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 8851-03A9

Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

04.06.2009 00:24 <REP> .
04.06.2009 00:24 <REP> ..
22.01.2009 20:52 <REP> 1036
20.11.2008 23:58 972'632 MSONSEXT.DLL
26.10.2006 21:12 40'256 MSOSV.DLL
03.06.1999 15:09 122'937 MSOWS409.DLL
07.03.2001 10:00 127'033 MSOWS40c.DLL
4 fichier(s) 1'262'858 octets
3 Rép(s) 13'549'068'288 octets libres

c:\Documents and Settings\Administrateur\Bureau\avast_avast_4.8.1335_francais_anglais_11113.exe
c:\Documents and Settings\Administrateur\Bureau\ComboFix.exe
c:\Documents and Settings\Administrateur\Bureau\elibagla.exe
c:\Documents and Settings\Administrateur\Bureau\FindyKill.exe
c:\Documents and Settings\Administrateur\Bureau\HiJackThis.exe
c:\Documents and Settings\Administrateur\Bureau\HJTInstall.exe
c:\Documents and Settings\Administrateur\Bureau\RSIT.exe
c:\Documents and Settings\Administrateur\Bureau\DiagHelp\catchme.exe
c:\Documents and Settings\Administrateur\Bureau\DiagHelp\diff.exe
c:\Documents and Settings\Administrateur\Bureau\DiagHelp\dumphive.exe
c:\Documents and Settings\Administrateur\Bureau\DiagHelp\FilesInfoCmd.exe
c:\Documents and Settings\Administrateur\Bureau\DiagHelp\find2.exe
c:\Documents and Settings\Administrateur\Bureau\DiagHelp\Fport.exe
c:\Documents and Settings\Administrateur\Bureau\DiagHelp\grep.exe
c:\Documents and Settings\Administrateur\Bureau\DiagHelp\gzip.exe
c:\Documents and Settings\Administrateur\Bureau\DiagHelp\KProcCheck.exe
c:\Documents and Settings\Administrateur\Bureau\DiagHelp\LFiles.exe
c:\Documents and Settings\Administrateur\Bureau\DiagHelp\LISTDLLS.exe
c:\Documents and Settings\Administrateur\Bureau\DiagHelp\mbr.exe
c:\Documents and Settings\Administrateur\Bureau\DiagHelp\md5sums.exe
c:\Documents and Settings\Administrateur\Bureau\DiagHelp\Psinfo.exe
c:\Documents and Settings\Administrateur\Bureau\DiagHelp\pslist.exe
c:\Documents and Settings\Administrateur\Bureau\DiagHelp\sigcheck.exe
c:\Documents and Settings\Administrateur\Bureau\DiagHelp\streams.exe
c:\Documents and Settings\Administrateur\Bureau\DiagHelp\swreg.exe
c:\Documents and Settings\Administrateur\Bureau\DiagHelp\tar.exe
c:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\J73V0D2C\Firefox%20Setup%202.0.0.20[1].exe
c:\Documents and Settings\Administrateur\Mes documents\basic\avadmin.exe
c:\Documents and Settings\Administrateur\Mes documents\basic\avcenter.exe
c:\Documents and Settings\Administrateur\Mes documents\basic\avconfig.exe
c:\Documents and Settings\Administrateur\Mes documents\basic\avgnt.exe
c:\Documents and Settings\Administrateur\Mes documents\basic\avguard.exe
c:\Documents and Settings\Administrateur\Mes documents\basic\avnotify.exe
c:\Documents and Settings\Administrateur\Mes documents\basic\avscan.exe
c:\Documents and Settings\Administrateur\Mes documents\basic\avupgsvc.exe
c:\Documents and Settings\Administrateur\Mes documents\basic\avwsc.exe
c:\Documents and Settings\Administrateur\Mes documents\basic\fact.exe
c:\Documents and Settings\Administrateur\Mes documents\basic\guardgui.exe
c:\Documents and Settings\Administrateur\Mes documents\basic\imp64b.exe
c:\Documents and Settings\Administrateur\Mes documents\basic\licmgr.exe
c:\Documents and Settings\Administrateur\Mes documents\basic\presetup.exe
c:\Documents and Settings\Administrateur\Mes documents\basic\sched.exe
c:\Documents and Settings\Administrateur\Mes documents\basic\setup.exe
c:\Documents and Settings\Administrateur\Mes documents\basic\update.exe
c:\Documents and Settings\Administrateur\Mes documents\basic\vcredist_x86.exe
c:\Documents and Settings\Administrateur\Mes documents\basic\wsctool.exe
c:\Documents and Settings\Administrateur\Mes documents\Updater\golive8-fr_FR-RET\Adobe GoLive 8.0.1_fr_FR.exe
c:\Documents and Settings\All Users\Application Data\HP\Digital Imaging\Data\hpqd_cul_s.dll
c:\Documents and Settings\All Users\Application Data\HP\Digital Imaging\Data\Destination\aiopfl.dll
c:\Documents and Settings\LocalService\Application Data\Microsoft\UPnP Device Host\upnphost\udhisapi.dll

****** Fin du rapport DiagHelp
Veuillez svp envoyer le fichier C:\upload_moi_S.tar.gz a l'adresse http://upload.malekal.com

PetitsPetons

up !
je ne sais pas ce qui se passe, mon post n'est passé que 30 mn après
et je ne sais plus si j'ai fait une réponse générale ou répondre à toi, donc je remonte

PetitsPetons

hum bon c'est pire qu'avant du coup
j'ai tenté de réactiver le gestionnaire de tâches comme hier avec la commande ci-dessous, ça ne marche pas, il est DEJA indiqué désactivé
Il faut faire demarrer->Executer->gpedit.msc
Puis dans Configuration utilisateur -> Modèles d'administration -> Système -> Option CTRL + ALT + SUPPR

Et mettre l'option Supprimer le gestionaire de tache à Desactivé

ensuite j'ai tenté cette manip et ça me répond que le heu je sais plus quoi du registre a été désactivé par l'administrateur

Vas à ce chemin dans regedit :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

Le nom de la clef est DisableTaskMgr

La valeur doit-être à 0

c non supprimer les deux option "DisableTaskMgr"

PetitsPetons > PetitsPetons

bon j'ai remis le getsionnaire de tâches et le bidule de registre grâce à Vilma

il se fait tard, j'ai qqs trucs à faire. je repasse plus tard voir si tu as posté, sinon je serai devant mon PC demain soir, pas avant 20h30

bonne nuit si jamais et merci pour tout ce temps

Réponse 22 / 29

chimay8 Messages postés 7947 Statut Contributeur sécurité 60

ok,

tu veux bien essayer la manip
http://www.commentcamarche.net/forum/affich 12773847 probable infection par bagle#19

avec ce lien stp
http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/

PetitsPetons

c'est fait, voilà le rapport. je vais redémarrer

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== REGISTRY ==========
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2c7aff03-537d-11de-9a4f-0060b3c58176}\\ deleted successfully.
========== FILES ==========
File/Folder C:\WINDOWS\TEMP\winxsou.exe not found.
File/Folder C:\WINDOWS\TEMP\xfwqck.exe not found.
File/Folder C:\WINDOWS\TEMP\annsw.exe not found.
File/Folder C:\WINDOWS\TEMP\jfrn.exe not found.
File/Folder C:\WINDOWS\TEMP\windkee.exe not found.
File/Folder C:\WINDOWS\TEMP\winoquwv.exe not found.
File/Folder C:\WINDOWS\TEMP\ykiai.exe not found.
File/Folder C:\WINDOWS\TEMP\winsyqy.exe not found.
File/Folder C:\WINDOWS\TEMP\winfjyg.exe not found.
File/Folder C:\WINDOWS\TEMP\winhnewx.exe not found.
File/Folder C:\WINDOWS\TEMP\winafay.exe not found.
File/Folder C:\WINDOWS\TEMP\winyyykt.exe not found.
File/Folder C:\WINDOWS\TEMP\winbdfts.exe not found.
File/Folder C:\WINDOWS\TEMP\winttoslw.exe not found.
File/Folder C:\WINDOWS\TEMP\winbsqath.exe not found.
File/Folder C:\WINDOWS\TEMP\winvtrxi.exe not found.
File/Folder C:\WINDOWS\TEMP\moif.exe not found.
File/Folder C:\WINDOWS\TEMP\rspt.exe not found.
File/Folder C:\WINDOWS\TEMP\kndwa.exe not found.
File/Folder C:\WINDOWS\system32\drivers\gvnsso.sys not found.
========== COMMANDS ==========
User's Temp folder emptied.
User's Internet Explorer cache folder emptied.
File delete failed. C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.Word\~WRS{09D2F310-633A-4682-BCE4-9274A789BE98}.tmp scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.Word\~WRS{97CF608E-C646-4553-BD77-22F92561F00E}.tmp scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\B94X94PG\;var1=4;var2=2;var3=;var4=;var7=;var8=0;var9=0;var10=0;var11=;var14=;sz=728x90,468x60;ord=520121429709338[1].htm scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\B94X94PG\index[3].htm scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\B5JF8JI5\index[3].htm scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\B5JF8JI5\sendConfirmationReading_frame[1].htm scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\9IU2SR5O\read[1].htm scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\45PDA8FA\read_unread_iframe[1].htm scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat scheduled to be deleted on reboot.
User's Temporary Internet Files folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
Network Service Temp folder emptied.
File delete failed. C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Network Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS\temp\hsperfdata_SYSTEM\1832 scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\fexpp.exe scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\ib2 scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\ib3 scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\ib4 scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\jjpm.exe scheduled to be deleted on reboot.
Windows Temp folder emptied.
File delete failed. C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\jjeiycwp.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\jjeiycwp.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\jjeiycwp.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\jjeiycwp.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
FireFox cache emptied.
Temp folders emptied.

OTM by OldTimer - Version 2.1.0.0 log created on 06072009

PetitsPetons

j'ai redémarré
au rallumage, un rapport s'est affiché mais je n'ai aps eu le temps de le sauver, j'ai eu un arrêt système
et de nouveau mon gestionnaire de tâches est désactivé arf
j'avais réussi à le remettre hier soir en trouvant des instructions sur ce forum

Réponse 23 / 29

chimay8 Messages postés 7947 Statut Contributeur sécurité 60

ça a pas fonctionner comme je le voulais...

Télécharges : - CCleaner (n'installe pas la barre d'outil Yahoo)
https://www.pcastuces.com/logitheque/ccleaner.htm
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corrigé ton registre .Lors de l'installation, avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 première.
Une fois le prg instalé et lancé, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures"( Par la suite, laisse-le avec ses réglages par défaut. C'est tout ).

Un tuto ( aide ):
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm

---> Utilisation:
! déconnectes toi et fermes toutes les applications en cours !
* vas dans "nettoyeur" : fait analyse puis nettoyage
* vas dans "registre" : fait chercher les erreurs et réparer ( plusieurs fois jusqu'à ce qu'il n'y ai plus d'erreur ) .

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )

ensuite

Télécharge Malwarebytes' Anti-Malware et enregistre le sur ton Bureau.
https://www.malwarebytes.com/

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharges le ici : https://www.malekal.com/tutorial-aboutbuster/ )

A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.
Double-clique sur l'icône "Download_mbam-setup.exe" sur ton bureau pour démarrer le programme d'installation.

Pendant l'installation, suis les indications n'apporte aucune modification aux réglages par défaut et en fin d'installation, vérifie que les options "Update Malwarebytes' Anti-Malware" et "Launch Malwarebytes' Anti-Malware" soit cochées.

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue.
La fenêtre principale de MBAM s'affiche :
Dans l'onglet analyse, vérifie que "Exécuter un examen complet" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.
MBAM analyse ton ordinateur.

L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.
Si des malwares sont détectés, leur liste s'affiche.
***EN CLIQUANT SUR SUPPRESSION(?)FAIT LE*** , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)
Ferme MBAM en cliquant sur Quitter.

Poste le rapport dans ta réponse

PetitsPetons

ok mais j'ai deja CCcleaner, et impossible de le désinstaller
je ne sais pas si je l'ai installé de la manière dont tu le souhaites

PetitsPetons

voilà

mais j'ai tjs des erreurs à l'ouverture : un fichier dll manquant, et des applications qui plantent
à mon avis c'est pas fini yoooo...
quel putain de bordel à couilles...

Malwarebytes' Anti-Malware 1.37
Version de la base de données: 2245
Windows 5.1.2600 Service Pack 3

07.06.2009 23:58:42
mbam-log-2009-06-07 (23-58-42).txt

Type de recherche: Examen complet (A:\|C:\|D:\|E:\|F:\|G:\|)
Eléments examinés: 152875
Temps écoulé: 25 minute(s), 42 second(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
C:\WINDOWS\Temp\winktyqar.exe (Trojan.Downloader) -> Unloaded process successfully.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\poof (Rootkit.Agent) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\Temp\winktyqar.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Qoobox\quarantine\C\WINDOWS\system32\~.exe.vir (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\system volume information\_restore{9c4c0b3d-8430-4a7f-b899-d9b8f1e83afd}\RP103\A0019700.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

Réponse 24 / 29

lesane662 Messages postés 1564 Statut Membre 149

Salut !

Pour suivre .

PS: Chimay8 bon courage ! jamais vu un tel merdi.... avec Bagle .

Réponse 25 / 29

PetitsPetons

ah j'oubliais, j'ai eu 2-3 messages d'erreur au début du lancement de MBAM, j'ai fait continuer et le processus s'est poursuivi. les erreurs : exception processing message c0000013 parameters 75 afbf7c4 et 75afbf7c enfin si j'ai bien noté

j'ai pas eu d'info sur COMCTL32.OCX si manquant ou pas

Réponse 26 / 29

PetitsPetons

ah oui sinon j'ai pas trouvé de bouton paramètres par défaut sous options/avancés dans IE. y avait réinitialiser, donc c'est ce que j'ai fait

Réponse 27 / 29

Utilisateur anonyme

refais un scan rsit et post log.txt stp

PetitsPetons

Ok. heu je l'ai fait sur 3 mois et pas 1...

Logfile of random's system information tool 1.06 (written by random/random)
Run by Administrateur at 2009-06-08 20:50:28
Microsoft Windows XP Professionnel Service Pack 3
System drive C: has 13 GB (44%) free of 30 GB
Total RAM: 1023 MB (55% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:50:29, on 08.06.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Adobe\Adobe Version Cue CS2\data\database\bin\mysqld-nt.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\HP\Digital Imaging\bin\hpqSRMon.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\TEMP\bjbj.exe
C:\WINDOWS\TEMP\toew.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\Administrateur\Bureau\RSIT.exe
C:\Program Files\trend micro\Administrateur.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = https://support.microsoft.com/en-US/topic/internet-explorer-downloads-d49e1f0d-571c-9a7b-d97e-be248806ca70
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [hpqSRMon] C:\Program Files\HP\Digital Imaging\bin\hpqSRMon.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [Adobe Version Cue CS2] "C:\Program Files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ?
O4 - Global Startup: Sagem - Utilitaire réseau pour Clé USB Wi-Fi 802.11g.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Sélection intelligente HP - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Version Cue CS2 - Adobe Systems Incorporated - C:\Program Files\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

Réponse 28 / 29

Utilisateur anonyme

Télécharger OAD (Outil d'Aide au Diagnostic) : http://sosvirus.changelog.fr/OAD.exe
→ Enregistre-le sur ton bureau
→ Double clique sur OAD.exe pour le lancer.
→ Saisir la valeur recherchée -> gvnsso.sys ( fait un copier/coller )
→ Type de recherche : sélectionner l'option 6 puis valide [entrée]
→ OAD va maintenant rechercher le fichier.
→ Laisse-le travailler jusqu'à ce qu'il en ait terminé.
→ Suivant la taille des disques durs, cette recherche peut prendre plusieurs minutes.

------------- Patienter. --------------

→ Le rapport de recherche s'affichera automatiquement dès qu'il en aura terminé.
→ Faire un copier/coller de ce rapport dans ton prochain post.

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

>>>>>>>>recommence avec : abp470n5

PetitsPetons

Ayé
je précise juste que dès le lancement il m'a dit "la modification du registre a été désactivée par votre administrateur"
pourtant je lâi remise hier soir arf arf, de même que le gestionnaire de tâches, grâce à Vilma

08.06.2009 ---- 20:59:19.81

----------------------------------
§§§§§§ [gvnsso.sys ] §§§§§§
----------------------------------
[X] Registre

-------------- [ ] rapide
-- Fichier --- [ ] disque systeme
------------- [X] complete

********************
[Registre]
********************

*******************
[Fichier]
*******************

*********************
[Même date]
*********************

Aucun fichier créé à la même date détecté

Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§
----------------------------------

PetitsPetons

ah oups pardon j'avais pas vu la 2ème recherche

voilà

08.06.2009 ---- 21:01:36.75

----------------------------------
§§§§§§ [abp470n5 ] §§§§§§
----------------------------------
[X] Registre

-------------- [ ] rapide
-- Fichier --- [ ] disque systeme
------------- [X] complete

********************
[Registre]
********************

*******************
[Fichier]
*******************

*********************
[Même date]
*********************

Aucun fichier créé à la même date détecté

Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§
----------------------------------

Réponse 29 / 29

Utilisateur anonyme

Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Copie le texte ci-dessous :

Killall::
C:\WINDOWS\TEMP\bjbj.exe
C:\WINDOWS\TEMP\toew.exe

File::
C:\WINDOWS\TEMP\bjbj.exe
C:\WINDOWS\TEMP\toew.exe

Driver::
abp470n5
PCANDIS5
mbr
IntelIde

Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ceci :

Cela va relancer Combofix,

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Après redémarrage, poste le contenu du rapport Combofix.txt

PetitsPetons

hum ça foire
alors :
- j'avais déjà combofix, je l'ai lancé, il m'a proposé une mise à jour, j'ai dit Ok
- ensuite il m'a proposé de télécharger la console de récupération, heu j'ai dit OK, fallait pas ?
- relancé le binz
- j'ai cru voir qu'il avait repéré 2 erreurs, puis de suite ça a provoqué un arrêt système avec redémarrage

j'ai rallumé
- supprimé combofix, re téléchargé
- relancé la manip
- re erreur système avec redémarrage
- re erreur système avec redémarrage, à peine allumé

dans les 2 cas combofix n'est pas allé au bout et bien entendu je n'ai aucun rapport

PetitsPetons

up

je sais plus comment j'ai répondu

PetitsPetons

Hello !
Vous êtes par là ?

Probable infection par Bagle

29 réponses

Votre réponse

Discussions similaires

Newsletters