Cheval de troie help me

BdBase_06 Messages postés 51 Statut Membre -  
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité -
Bonjour,
J'ai un pc infecté de cheval(s) ou chevaux de troie, antivir avira que je viens d'isntaller trouve sur ce pc, TR/Crypt.XDR.gen, TR/Dropper.Gen et le pire TR/Rabbit.EG.
Impossible de les supprimer ou de les mettre en quarantaine ils reviennents constament. Je vous remercie d'avance de bien vouloir m'aider à nettoayer tout ça, voici le rapport de Hijackthis, j'ai cru comprendre en lisant les autres topics qu'il est nécessaire ....merci à tous;
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:41:49, on 07/06/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Lexmark 4300 Series\lxcemon.exe
C:\Program Files\Lexmark 4300 Series\ezprint.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\documents and settings\administrateur.titanium\local settings\application data\mwsiu.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\msmacro32.exe
C:\WINDOWS\system32\svchost.exe
C:\Documents and Settings\Administrateur.TITANIUM\Administrateur.exe
C:\Documents and Settings\Administrateur.TITANIUM\Administrateur.exe
C:\WINDOWS\system\msdct.exe
C:\WINDOWS\system\msdct.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\lxcecoms.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Avira\AntiVir Desktop\GUARDGUI.EXE
C:\Program Files\Avira\AntiVir Desktop\GUARDGUI.EXE
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Avira\AntiVir Desktop\GUARDGUI.EXE
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ustart.org
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [lxcemon.exe] "C:\Program Files\Lexmark 4300 Series\lxcemon.exe"
O4 - HKLM\..\Run: [EzPrint] "C:\Program Files\Lexmark 4300 Series\ezprint.exe"
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [LXCECATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCEtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msmacro32] C:\WINDOWS\msmacro32.exe
O4 - HKCU\..\Run: [Administrateur] C:\Documents and Settings\Administrateur.TITANIUM\Administrateur.exe /i
O4 - HKCU\..\Run: [mwsiu] "c:\documents and settings\administrateur.titanium\local settings\application data\mwsiu.exe" mwsiu
O4 - HKCU\..\Run: [] C:\Documents and Settings\LocalService.AUTORITE NT\.exe /i
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: lxce_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxcecoms.exe
O23 - Service: WM System Decode Application - Unknown owner - C:\WINDOWS\system\msdct.exe
A voir également:

87 réponses

Réponse 1 / 87
Ced_King Messages postés 3519 Date d'inscription   Statut Contributeur Dernière intervention   572
 
Salut,

Doublon
0
Réponse 2 / 87
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Bonjour,

Relance Hijackthis.

Choisis Open the misc tools section.

Choisis Open Process manager.

Clique sur C:\WINDOWS\msmacro32.exe pour le mettre en surbrillance.

Clique sur Kill process.

Ferme Hijackthis.

===
Relance HijackThis.

Choisis Do a scan only

Coche la case devant les lignes suivantes

O4 - HKCU\..\Run: [msmacro32] C:\WINDOWS\msmacro32.exe

Ferme toutes les fenêtres (hormis HijackThis), y compris ton navigateur.

Clique sur fix checked.

Ferme Hijackthis

============
Clique sur ce lien :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
pour télécharger navilog1.exe.

Choisis Enregistrer

et enregistre-le sur ton bureau.

Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

Au menu principal, choisis 4 et valide.

Le fix va te demander de saisir le nom de fichier.
Saisis ce qui est en gras ci-dessous et rien d'autre puis valide:

mwsiu

Le fix va te demander de le resaisir, fais-le et valide.

Le fix va t'informer qu'il va alors redémarrer ton PC
Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
Appuie sur une touche comme demandé.
(si ton Pc ne redémarre pas automatiquement, fais-le toi-même)
Au redémarrage de ton PC, choisis ta session habituelle si nécessaire.
Patiente jusqu'au message :
*** Nettoyage Termine le ..... ***
Le blocnote va s'ouvrir.
Sauvegarde le rapport de manière à le retrouver
Referme le blocnote. Ton bureau va réapparaître


Poste le rapport (cleannavi..txt)

S:Si ton bureau ne réapparaît pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
Tape explorer et valide. Cela te fera apparaître ton bureau

============

Télécharge OTL de OLDTimer ici :

http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/

et enregistre le sur ton Bureau.

Double clic sur OTL.exe pour le lancer.

Coche les 2 cases Lop et Purity

Coche la case devant "scan all users"

Clic sur Run Scan.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)


Pour me le transmettre clique sur ce lien :

http://www.cijoint.fr/

Clique sur Parcourir et cherche le fichier ci-dessus.

Clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

0
Réponse 3 / 87
BdBase_06 Messages postés 51 Statut Membre
 
excusez moi c un doublon mais j'ai cru que mon topic d'hier n'avait pas focntionné.

pouvez-vous m'aider?
0
Réponse 4 / 87
Ced_King Messages postés 3519 Date d'inscription   Statut Contributeur Dernière intervention   572
 
Si Lyonnais veut bien, continues avec lui, je te l'ai juste signalé à toi ( le doublon) au cas ou...
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 87
BdBase_06 Messages postés 51 Statut Membre
 
bjr,
ok Ced_King bien compris.

Je poursuit la procédure et poste donc le cleannavi.txt:

Clean Navipromo version 3.7.7 commencé le 08/06/2009 à 11:46:04,51

Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "Administrateur"

Mise à jour le 12.05.2009 à 18h00 par IL-MAFIOSO

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
X86-based PC ( Uniprocessor Free : AMD Athlon(tm) XP 2600+ )
BIOS : Phoenix - AwardBIOS v6.00PG
USER : Administrateur ( Administrator )
BOOT : Normal boot

Antivirus : AntiVir Desktop 9.0.1.26 (Activated)


A:\ (USB)
C:\ (Local Disk) - NTFS - Total:76 Go (Free:70 Go)
D:\ (CD or DVD)
E:\ (CD or DVD)
J:\ (USB)



Mode suppression par méthode manuelle

Nom du fichier saisi : mwsiu

Nettoyage exécuté au redémarrage de l'ordinateur

*** Recherche, création sauvegardes et suppression ***

* Suppression dans "C:\WINDOWS\system32" *


* Suppression dans "C:\Documents and Settings\Administrateur.TITANIUM\locals~1\applic~1" *


mwsiu.exe trouvé !
Copie mwsiu.exe réalisée avec succès !
mwsiu.exe supprimé !

mwsiu.dat trouvé !
Copie mwsiu.dat réalisée avec succès !
mwsiu.dat supprimé !

mwsiu_nav.dat trouvé !
Copie mwsiu_nav.dat réalisée avec succès !
mwsiu_nav.dat supprimé !

mwsiu_navps.dat trouvé !
Copie mwsiu_navps.dat réalisée avec succès !
mwsiu_navps.dat supprimé !


*** Suppression dossiers dans "C:\WINDOWS" ***


*** Suppression dossiers dans "C:\Program Files" ***


*** Suppression dossiers dans "C:\Documents and Settings\All Users.WINDOWS\menudm~1\progra~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\All Users.WINDOWS\menudm~1" ***


*** Suppression dossiers dans "c:\docume~1\alluse~1.win\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\Administrateur.TITANIUM\applic~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\Boomscud\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\Administrateur.TITANIUM\locals~1\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\Administrateur.TITANIUM\menudm~1\progra~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\Boomscud\menudm~1\progra~1" ***



*** Suppression fichiers ***

C:\WINDOWS\system32\nvs2.inf supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Administrateur.TITANIUM\locals~1\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans "C:\WINDOWS\system32" *



* Dans "C:\Documents and Settings\Administrateur.TITANIUM\locals~1\applic~1" *



*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup supprimé !
Certificat Electronic-Group supprimé !
Certificat Montorgueil absent !
Certificat OOO-Favorit supprimé !
Certificat Sunny-Day-Design-Ltdt absent !

*** Recherche autres dossiers et fichiers connus ***



*** Nettoyage terminé le 08/06/2009 à 11:53:44,15 ***

merci @+
0
Réponse 6 / 87
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

OK, le rapport OTL en suivant.
0
Réponse 7 / 87
BdBase_06 Messages postés 51 Statut Membre
 
Re,
voila j'ai suivi à la lettre la procédure et voici donc le lien:
http://www.cijoint.fr/cjlink.php?file=cj200906/cijMZcZc2X.txt

Pendant le scan avec OTL antivir a détecté encore d'autre cheval(s) de troie pour laisser le scan se terminer j'ai donc demandé à antivir d'ignorer ces fichiers.
J'attends la suite du traitement ...merci docteur
@++
0
Réponse 8 / 87
chimay8 Messages postés 7947 Statut Contributeur sécurité 60
 
Salut,

heureusement que tu es tombé sur Lyonnais92 pour t'aider car ton PC est vachement bien pourri

voici un beau topic à suivre(pour apprendre!!)

++
0
Réponse 9 / 87
BdBase_06 Messages postés 51 Statut Membre
 
Oui Slt,
C'est pour ça que je suis venu ici parce que j'avais bien l'impression en voyant le nombre de processus actif et la mémoire de l'UC si haute que j'ai compris qu'a mon niveau j'suis vraiment dépassé....heureusement je tombe sur vous c cool......
0
Réponse 10 / 87
chimay8 Messages postés 7947 Statut Contributeur sécurité 60
 
je tombe sur vous

t'es surtout tombé sur Lyonnais92...
ça,c'est cool...
:))
0
Réponse 11 / 87
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

on va "dégrossir" le problème.

On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix


* Vérifie que tu as fermé/désactivé tous les programmes anti-virus, anti-malware ou anti-spyware afin qu'ils n'interfèrent pas avec le travail de ComboFix.

* Installe la console de nrécupération quand on va te le proposer.

Envoie le contenu de C:\ComboFix.txt dans ta prochaine réponse afin que je l'examine.

=========

J'ai besoin de certaines informations afin de te faire faire les meilleures manipulations, au moindre risque.


- il s'agit d'un ordi personnel ou professionnel ?

- tu as un CD (ou DVD) d'installation ou seulement de restauration en l'état à l'achat ?

- tu as une sauvegarde de tes données personnelles (sur un support externe) ?

0
Réponse 12 / 87
BdBase_06 Messages postés 51 Statut Membre
 
Lol ;) tiens mieux alors...mais je me pose la question à savoir si il a bien reçu le fichier OTL?
En plus je viens de m'apercevoir que, dans le dossier où je stock mes programmes télécharger, OTL à créer deux autres fichiers *.txt...
Lyonnais92 as-tu besoin de ses deux autres fichiers (se nomment: n°1= OTL.txt; n°2= Extrats.txt)
a++
0
Réponse 13 / 87
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

J'ai reçu OTL.txt.

Pour Extras, je n'en ai pas usage pour le moment.

On verra après Combofix.
0
Réponse 14 / 87
BdBase_06 Messages postés 51 Statut Membre
 
Re, sur le lien je ne trouver pas combofix à téléchager (le boulet) je n'ai qu'un panneau publicitaire...
sinon pour répondre à tes questions, c'est bien un pc perso (à ma belle mère précisément) je ne sais pas si elle a un cd d'installation (windows pro titanium??bizarre ça aussi?!!) et non il n'y a pas de sauvegarde des données personnelles et entre nous elle ne se sert du pc que pour jouer (solitaire, etc...)
tu peux m'éguiller pour combofix? merci
0
Réponse 15 / 87
chimay8 Messages postés 7947 Statut Contributeur sécurité 60
 
voili,
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
0
Réponse 16 / 87
BdBase_06 Messages postés 51 Statut Membre
 
Merci chimay8 voici le rapport de combofix:
ComboFix 09-06-07.05 - Administrateur 08/06/2009 14:13.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.255.96 [GMT 2:00]
Lancé depuis: c:\documents and settings\Administrateur.TITANIUM\Mes documents\Programme\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
* Un nouveau point de restauration a été créé
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Administrateur.TITANIUM\Administrateur.exe
c:\documents and settings\All Users.WINDOWS\Application Data\Starware370
c:\documents and settings\All Users.WINDOWS\Application Data\Starware370\buttons\563_button_1b_def.bmp
c:\documents and settings\All Users.WINDOWS\Application Data\Starware370\buttons\563_button_1b_over.bmp
c:\documents and settings\All Users.WINDOWS\Application Data\Starware370\buttons\572_button_1b_def.bmp
c:\documents and settings\All Users.WINDOWS\Application Data\Starware370\buttons\572_button_1b_over.bmp
c:\documents and settings\All Users.WINDOWS\Application Data\Starware370\buttons\573_button_1b_def.bmp
c:\documents and settings\All Users.WINDOWS\Application Data\Starware370\buttons\573_button_1b_over.bmp
c:\documents and settings\All Users.WINDOWS\Application Data\Starware370\buttons\FindIt.bmp
c:\documents and settings\All Users.WINDOWS\Application Data\Starware370\buttons\FindItHot.bmp
c:\documents and settings\All Users.WINDOWS\Application Data\Starware370\buttons\findithotxp.png
c:\documents and settings\All Users.WINDOWS\Application Data\Starware370\buttons\finditxp.png
c:\documents and settings\All Users.WINDOWS\Application Data\Starware370\buttons\logo.bmp
c:\documents and settings\All Users.WINDOWS\Application Data\Starware370\buttons\logoxp.bmp
c:\documents and settings\All Users.WINDOWS\Application Data\Starware370\contexts\error.xml
c:\documents and settings\All Users.WINDOWS\Application Data\Starware370\contexts\related.xml
c:\documents and settings\All Users.WINDOWS\Application Data\Starware370\contexts\travel.xml
c:\install\install.exe
c:\program files\Starware370
c:\program files\Starware370\icons\star_16.ico
c:\program files\Starware370\Starware370Config.xml
c:\program files\video activex object
c:\windows\msmacro32.exe
c:\windows\system32\drivers\i386si.sys
c:\windows\system32\drivers\sysdrv32.sys
c:\windows\system32\i
c:\windows\system32\UpMedia

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_ACPI32
-------\Legacy_ATI64SI
-------\Legacy_FIPS32CUP
-------\Legacy_I386SI
-------\Legacy_KSI32SK
-------\Legacy_NETSIK
-------\Legacy_NICSK32
-------\Legacy_PORT135SIK
-------\Legacy_SECURENTM
-------\Legacy_SYSDRV32
-------\Legacy_SYSTEMNTMI
-------\Legacy_WS2_32SIK
-------\Service_acpi32
-------\Service_ati64si
-------\Service_fips32cup
-------\Service_i386si
-------\Service_ksi32sk
-------\Service_netsik
-------\Service_nicsk32
-------\Service_port135sik
-------\Service_securentm
-------\Service_sysdrv32
-------\Service_systemntmi
-------\Service_ws2_32sik


((((((((((((((((((((((((((((( Fichiers créés du 2009-05-08 au 2009-06-08 ))))))))))))))))))))))))))))))))))))
.

2009-06-08 09:43 . 2009-06-08 09:53 -------- d-----w- c:\program files\Navilog1
2009-06-07 19:34 . 2009-06-07 19:34 -------- d-----w- c:\program files\Trend Micro
2009-06-07 19:16 . 2009-06-07 19:38 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\Spybot - Search & Destroy
2009-06-07 19:16 . 2009-06-07 19:25 -------- d-----w- c:\program files\Spybot - Search & Destroy
2009-06-06 16:56 . 2009-06-06 17:03 -------- d-----w- c:\windows\SxsCaPendDel
2009-06-06 11:42 . 2009-06-06 11:42 113152 ----a-w- c:\windows\system32\33.scr
2009-06-06 10:57 . 2009-06-06 10:57 20705 ----a-w- c:\windows\system32\iyfvkngs.exe
2009-06-06 08:04 . 2009-06-06 08:04 20705 ----a-w- c:\windows\system32\azrvbtg.exe
2009-06-06 07:24 . 2009-06-06 07:24 20705 ----a-w- c:\windows\system32\xmlcgeu.exe
2009-06-06 07:14 . 2009-06-06 07:14 20705 ----a-w- c:\windows\system32\wetbux.exe
2009-06-05 23:15 . 2009-06-05 23:15 20705 ----a-w- c:\windows\system32\ledb.exe
2009-06-05 17:57 . 2009-06-05 17:57 20705 ----a-w- c:\windows\system32\fwqrlql.exe
2009-06-05 17:17 . 2009-06-05 17:17 20705 ----a-w- c:\windows\system32\mwxznf.exe
2009-06-05 13:39 . 2009-06-05 13:39 20705 ----a-w- c:\windows\system32\nolldtn.exe
2009-06-05 12:03 . 2009-06-05 12:03 20705 ----a-w- c:\windows\system32\inlgn.exe
2009-06-05 08:18 . 2009-06-05 08:18 20705 ----a-w- c:\windows\system32\nidzzm.exe
2009-06-04 12:50 . 2009-03-30 08:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-06-04 12:50 . 2009-06-04 12:50 -------- d-----w- c:\program files\Avira
2009-06-04 12:50 . 2009-06-04 12:50 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\Avira
2009-06-04 12:27 . 2009-06-04 12:27 -------- d-----w- c:\documents and settings\Administrateur.TITANIUM\Local Settings\Application Data\CutePDF Writer
2009-06-04 11:14 . 2009-06-07 21:14 -------- d-----w- c:\program files\Everest Poker
2009-06-04 09:11 . 2009-06-04 09:11 20703 ---h--w- c:\documents and settings\LocalService.AUTORITE NT\.exe
2009-06-03 18:45 . 2009-06-03 18:45 15256 ----a-w- c:\documents and settings\Administrateur.TITANIUM\Application Data\Microsoft\IdentityCRL\PROD\ppcrlconfig.dll
2009-06-03 14:43 . 2009-06-03 14:43 1052672 ----a-w- c:\windows\system32\75.scr
2009-06-03 12:17 . 2009-06-03 12:17 1052672 --sh--r- c:\windows\system\msdct.exe
2009-06-03 12:17 . 2009-06-08 12:18 -------- d---a-w- c:\documents and settings\All Users.WINDOWS\Application Data\TEMP
2009-06-03 12:17 . 2009-06-03 12:17 1052672 ----a-w- c:\windows\system32\65.scr
2009-06-03 08:07 . 2009-06-03 08:07 -------- d-----w- c:\program files\GPLGS
2009-06-03 08:07 . 2007-07-12 20:33 87552 ----a-w- c:\windows\system32\cpwmon2k.dll
2009-06-03 08:07 . 2009-06-03 08:07 -------- d-----w- c:\program files\Acro Software
2009-06-01 21:04 . 2009-06-01 21:04 113152 ----a-w- c:\windows\system32\10.scr
2009-06-01 20:34 . 2009-06-01 20:34 -------- d--h--w- c:\windows\system32\GroupPolicy
2009-06-01 19:26 . 2009-03-24 14:07 55640 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-06-01 14:58 . 2009-06-01 20:49 -------- d-----w- c:\program files\PokerStars

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-03 14:40 . 2007-08-19 07:53 -------- d-----w- c:\program files\DivX
2009-06-03 13:51 . 2007-07-09 15:40 -------- d-----w- c:\program files\VstPlugins
2009-05-06 14:47 . 2006-05-07 13:28 -------- d-----w- c:\program files\Lx_cats
2009-03-29 11:20 . 2001-08-24 14:00 48616 -c--a-w- c:\windows\system32\perfc00C.dat
2009-03-29 11:20 . 2001-08-24 14:00 367658 -c--a-w- c:\windows\system32\perfh00C.dat
.

------- Sigcheck -------

[-] 2004-08-18 09:22 359040 27A5959C94EE173A063CA06BD14F021A c:\windows\system32\drivers\tcpip.sys

[-] 2004-08-22 22:35 1036288 998F3F568F6074A35AB08CD3395A9DC2 c:\windows\explorer.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"lxcemon.exe"="c:\program files\Lexmark 4300 Series\lxcemon.exe" [2005-08-02 192512]
"EzPrint"="c:\program files\Lexmark 4300 Series\ezprint.exe" [2005-07-26 94208]
"FaxCenterServer"="c:\program files\Lexmark Fax Solutions\fm3032.exe" [2005-07-12 299008]
"LXCECATS"="c:\windows\System32\spool\DRIVERS\W32X86\3\LXCEtime.dll" [2005-07-20 73728]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2003-09-23 57344]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WM System Decode Application]
@="Service"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"c:\\Program Files\\MSN Messenger\\livecall.exe"=
"c:\\WINDOWS\\System32\\10.scr"=
"c:\\WINDOWS\\system\\msdct.exe"=
"c:\\WINDOWS\\System32\\75.scr"=
"c:\\WINDOWS\\System32\\33.scr"=
"c:\\Program Files\\Everest Poker\\Everest Poker.exe"=
"c:\\Program Files\\Avira\\AntiVir Desktop\\GUARDGUI.EXE"=
"c:\\Program Files\\Avira\\AntiVir Desktop\\avgnt.exe"=
"c:\\Program Files\\Lexmark Fax Solutions\\fm3032.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [04/06/2009 14:50 108289]
R2 WM System Decode Application;WM System Decode Application;c:\windows\system\msdct.exe [03/06/2009 14:17 1052672]
S2 amd64si;amd64si;\??\c:\windows\system32\drivers\amd64si.sys --> c:\windows\system32\drivers\amd64si.sys [?]

--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - SYSDRV32
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-Administrateur - c:\documents and settings\Administrateur.TITANIUM\Administrateur.exe
SafeBoot-procexp90.Sys
SafeBoot-lsass


.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
.
.
------- Associations de fichier -------
.
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-08 14:19
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
LXCECATS = rundll32 c:\windows\System32\spool\DRIVERS\W32X86\3\LXCEtime.dll,_RunDLLEntry@16???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\windows\system32\lxcecoms.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2009-06-08 14:21 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-06-08 12:21

Avant-CF: 75 459 817 472 octets libres
Après-CF: 75 685 556 224 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

192
0
Réponse 17 / 87
BdBase_06 Messages postés 51 Statut Membre
 
Je devrais partir vers 15h10 pour traiter le virus de mon fils (celui la bien connu: VARICELLE) je serais de retour en fin d'après midi. J'imagine qu'au vue de la longeur des rapports on va encore y passer pas mal de temps alors à très vite ;)
0
Réponse 18 / 87
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

il en reste.

=======
Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : c:\windows\explorer.exe

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant ===========

même chose avec :

c:\windows\system\msdct.exe

Copie ou imprime les instructions avant

Déconnecte toi d'internet et ferme toutes tes applications.

Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes : 

Driver::
amd64si

Rootkit::
c:\windows\system32\33.scr
c:\windows\system32\iyfvkngs.exe
c:\windows\system32\azrvbtg.exe
c:\windows\system32\xmlcgeu.exe
c:\windows\system32\wetbux.exe
c:\windows\system32\ledb.exe
c:\windows\system32\fwqrlql.exe
c:\windows\system32\mwxznf.exe
c:\windows\system32\nolldtn.exe
c:\windows\system32\inlgn.exe
c:\windows\system32\nidzzm.exe
c:\documents and settings\LocalService.AUTORITE NT\.exe
c:\windows\system32\75.scr
c:\windows\system32\65.scr
c:\windows\system32\10.scr
c:\windows\system32\perfc00C.dat 
c:\windows\system32\perfh00C.dat
c:\windows\system32\drivers\amd64si.sys

DirLook::
c:\program files\GPLGS

Folder::
c:\program files\Everest Poker
 
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\System32\\10.scr"=-
"c:\\WINDOWS\\system\\msdct.exe"=-
"c:\\WINDOWS\\System32\\75.scr"=-
"c:\\WINDOWS\\System32\\33.scr"=-
"c:\\Program Files\\Everest Poker\\Everest Poker.exe"=- 
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"LXCECATS" =" rundll32 c:\windows\System32\spool\DRIVERS\W32X86\3\LXCEtime.dll,_RunDLLEntry@16"



Enregistre ce fichier sous le nom CFscript


Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe

Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Réactive ton parefeu, ton antivirus, la garde de ton antispyware

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Remets aussi un rapport Hijackthis


Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.


===========
0
Réponse 19 / 87
BdBase_06 Messages postés 51 Statut Membre
 
Re, voici le rapport de virustotal sur le fichier c/windows/explorer.exe:
Fichier explorer.exe reçu le 2009.06.08 19:42:04 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE


Résultat: 0/40 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 2.
L'heure estimée de démarrage est entre 52 et 75 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:


Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.18 2009.06.08 -
AhnLab-V3 5.0.0.2 2009.06.08 -
AntiVir 7.9.0.180 2009.06.08 -
Antiy-AVL 2.0.3.1 2009.06.08 -
Authentium 5.1.2.4 2009.06.08 -
Avast 4.8.1335.0 2009.06.07 -
AVG 8.5.0.339 2009.06.08 -
BitDefender 7.2 2009.06.08 -
CAT-QuickHeal 10.00 2009.06.08 -
ClamAV 0.94.1 2009.06.08 -
Comodo 1286 2009.06.08 -
DrWeb 5.0.0.12182 2009.06.08 -
eSafe 7.0.17.0 2009.06.07 -
eTrust-Vet 31.6.6547 2009.06.08 -
F-Prot 4.4.4.56 2009.06.08 -
F-Secure 8.0.14470.0 2009.06.08 -
Fortinet 3.117.0.0 2009.06.08 -
GData 19 2009.06.08 -
Ikarus T3.1.1.59.0 2009.06.08 -
K7AntiVirus 7.10.757 2009.06.08 -
Kaspersky 7.0.0.125 2009.06.08 -
McAfee 5640 2009.06.08 -
McAfee+Artemis 5640 2009.06.08 -
McAfee-GW-Edition 6.7.6 2009.06.08 -
Microsoft 1.4701 2009.06.08 -
NOD32 4139 2009.06.08 -
Norman 6.01.09 2009.06.08 -
nProtect 2009.1.8.0 2009.06.08 -
Panda 10.0.0.14 2009.06.08 -
PCTools 4.4.2.0 2009.06.06 -
Prevx 3.0 2009.06.08 -
Rising 21.33.03.00 2009.06.08 -
Sophos 4.42.0 2009.06.08 -
Sunbelt 3.2.1858.2 2009.06.08 -
Symantec 1.4.4.12 2009.06.08 -
TheHacker 6.3.4.3.342 2009.06.08 -
TrendMicro 8.950.0.1092 2009.06.08 -
VBA32 3.12.10.6 2009.06.08 -
ViRobot 2009.6.8.1773 2009.06.08 -
VirusBuster 4.6.5.0 2009.06.08 -
Information additionnelle
File size: 1036288 bytes
MD5...: 998f3f568f6074a35ab08cd3395a9dc2
SHA1..: 811ec14572134054bbe985c1588dc476fe3720fd
SHA256: bde54fa15cf877ecd74307d4100f6274a0604b751feaf7f9a35824c793f2ff40
ssdeep: -

PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1e24e
timedatestamp.....: 0x41107ece (Wed Aug 04 06:14:38 2004)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x44689 0x44800 6.38 e8525a1e82d869aed3a0bff0a4e35056
.data 0x46000 0x1d90 0x1800 1.29 d0b87d8ce5a34731be197efb73b5d7bf
.rsrc 0x48000 0xb3280 0xb3400 6.63 fbb3bdba0f093cb0d06f33bd8b78d0a1
.reloc 0xfc000 0x36dc 0x3800 6.75 ee49ce3a409d6d28c1d63eabd34499b3

( 13 imports )
> msvcrt.dll: _itow, free, memmove, realloc, _except_handler3, malloc, _ftol, _vsnwprintf
> ADVAPI32.dll: RegSetValueW, RegEnumKeyExW, GetUserNameW, RegNotifyChangeKeyValue, RegEnumValueW, RegQueryValueExA, RegOpenKeyExA, RegEnumKeyW, RegCloseKey, RegCreateKeyW, RegQueryInfoKeyW, RegOpenKeyExW, RegQueryValueExW, RegCreateKeyExW, RegSetValueExW, RegDeleteValueW, RegQueryValueW
> KERNEL32.dll: GetSystemDirectoryW, CreateThread, CreateJobObjectW, ExitProcess, SetProcessShutdownParameters, ReleaseMutex, CreateMutexW, SetPriorityClass, GetCurrentProcess, GetStartupInfoW, GetCommandLineW, SetErrorMode, LeaveCriticalSection, EnterCriticalSection, ResetEvent, LoadLibraryExA, CompareFileTime, GetSystemTimeAsFileTime, SetThreadPriority, GetCurrentThreadId, GetThreadPriority, GetCurrentThread, GetUserDefaultLangID, Sleep, GetBinaryTypeW, GetModuleHandleExW, SystemTimeToFileTime, GetLocalTime, GetCurrentProcessId, GetEnvironmentVariableW, UnregisterWait, GlobalGetAtomNameW, GetFileAttributesW, MoveFileW, lstrcmpW, LoadLibraryExW, FindClose, FindNextFileW, FindFirstFileW, lstrcmpiA, SetEvent, AssignProcessToJobObject, GetDateFormatW, GetTimeFormatW, FlushInstructionCache, lstrcpynW, GetSystemWindowsDirectoryW, SetLastError, GetProcessHeap, HeapFree, HeapReAlloc, HeapSize, HeapAlloc, GetUserDefaultLCID, ReadProcessMemory, OpenProcess, InterlockedCompareExchange, LoadLibraryA, QueryPerformanceCounter, UnhandledExceptionFilter, SetUnhandledExceptionFilter, VirtualFree, VirtualAlloc, ResumeThread, TerminateProcess, TerminateThread, GetSystemDefaultLCID, GetLocaleInfoW, CreateEventW, GetLastError, RegisterWaitForSingleObject, OpenEventW, WaitForSingleObject, GetTickCount, ExpandEnvironmentStringsW, GetModuleFileNameW, GetPrivateProfileStringW, lstrcmpiW, CreateProcessW, FreeLibrary, GetWindowsDirectoryW, LocalAlloc, CreateFileW, DeviceIoControl, LocalFree, GetQueuedCompletionStatus, CreateIoCompletionPort, SetInformationJobObject, CloseHandle, LoadLibraryW, GetModuleHandleW, ActivateActCtx, DeactivateActCtx, DelayLoadFailureHook, GetProcAddress, DeleteCriticalSection, CreateEventA, HeapDestroy, InitializeCriticalSection, GetFileAttributesExW, MulDiv, lstrlenW, InterlockedDecrement, InterlockedIncrement, GlobalAlloc, InterlockedExchange, GetModuleHandleA, GetVersionExA, GlobalFree, GetProcessTimes, lstrcpyW, GetLongPathNameW, InitializeCriticalSectionAndSpinCount
> GDI32.dll: GetStockObject, CreatePatternBrush, OffsetViewportOrgEx, GetLayout, CombineRgn, CreateDIBSection, GetTextExtentPoint32W, StretchBlt, SetTextColor, CreateRectRgn, GetClipRgn, IntersectClipRect, GetViewportOrgEx, SetViewportOrgEx, SelectClipRgn, PatBlt, GetBkColor, CreateCompatibleDC, CreateCompatibleBitmap, OffsetWindowOrgEx, DeleteDC, SetBkColor, BitBlt, ExtTextOutW, GetTextExtentPointW, GetClipBox, GetObjectW, CreateRectRgnIndirect, SetBkMode, CreateFontIndirectW, DeleteObject, GetTextMetricsW, SelectObject, GetDeviceCaps, TranslateCharsetInfo, SetStretchBltMode
> USER32.dll: TileWindows, GetDoubleClickTime, GetSystemMetrics, GetSysColorBrush, AllowSetForegroundWindow, LoadMenuW, GetSubMenu, RemoveMenu, SetParent, GetMessagePos, CheckDlgButton, EnableWindow, GetDlgItemInt, SetDlgItemInt, CopyIcon, AdjustWindowRectEx, DrawFocusRect, DrawEdge, ExitWindowsEx, WindowFromPoint, SetRect, AppendMenuW, LoadAcceleratorsW, LoadBitmapW, SendNotifyMessageW, SetWindowPlacement, CheckMenuItem, EndDialog, SendDlgItemMessageW, MessageBeep, GetActiveWindow, PostQuitMessage, MoveWindow, GetDlgItem, RemovePropW, GetClassNameW, GetDCEx, SetCursorPos, ChildWindowFromPoint, ChangeDisplaySettingsW, RegisterHotKey, UnregisterHotKey, SetCursor, SendMessageTimeoutW, GetWindowPlacement, LoadImageW, SetWindowRgn, IntersectRect, OffsetRect, EnumDisplayMonitors, RedrawWindow, SubtractRect, TranslateAcceleratorW, WaitMessage, InflateRect, CallWindowProcW, GetDlgCtrlID, SetCapture, LockSetForegroundWindow, CopyRect, SystemParametersInfoW, FindWindowW, CreatePopupMenu, GetMenuDefaultItem, DestroyMenu, GetShellWindow, EnumChildWindows, GetWindowLongW, SendMessageW, RegisterWindowMessageW, GetKeyState, MonitorFromRect, MonitorFromPoint, RegisterClassW, SetPropW, GetWindowLongA, SetWindowLongW, FillRect, GetCursorPos, PtInRect, MessageBoxW, LoadStringW, ReleaseDC, GetDC, EnumDisplaySettingsExW, EnumDisplayDevicesW, PostMessageW, DispatchMessageW, TranslateMessage, GetMessageW, PeekMessageW, BeginPaint, EndPaint, SetWindowTextW, GetAsyncKeyState, InvalidateRect, GetWindow, ShowWindowAsync, TrackPopupMenuEx, UpdateWindow, DestroyIcon, IsRectEmpty, SetActiveWindow, GetSysColor, DrawTextW, IsHungAppWindow, SetTimer, GetMenuItemID, TrackPopupMenu, EndTask, SendMessageCallbackW, GetClassLongW, LoadIconW, OpenInputDesktop, CloseDesktop, SetScrollPos, ShowWindow, BringWindowToTop, GetDesktopWindow, CascadeWindows, CharUpperBuffW, SwitchToThisWindow, InternalGetWindowText, GetScrollInfo, GetMenuItemCount, ModifyMenuW, CreateWindowExW, DialogBoxParamW, MsgWaitForMultipleObjects, CharNextA, RegisterClipboardFormatW, EndDeferWindowPos, DeferWindowPos, BeginDeferWindowPos, PrintWindow, SetClassLongW, GetPropW, GetNextDlgGroupItem, GetNextDlgTabItem, ChildWindowFromPointEx, IsChild, NotifyWinEvent, TrackMouseEvent, GetCapture, GetAncestor, CharUpperW, SetWindowLongA, DrawCaption, InsertMenuW, IsWindowEnabled, GetMenuState, LoadCursorW, GetParent, IsDlgButtonChecked, DestroyWindow, EnumWindows, IsWindowVisible, GetClientRect, UnionRect, EqualRect, GetWindowThreadProcessId, GetForegroundWindow, KillTimer, GetClassInfoExW, DefWindowProcW, RegisterClassExW, GetIconInfo, SetScrollInfo, GetLastActivePopup, SetForegroundWindow, IsWindow, GetSystemMenu, IsIconic, IsZoomed, EnableMenuItem, SetMenuDefaultItem, MonitorFromWindow, GetMonitorInfoW, GetWindowInfo, GetFocus, SetFocus, MapWindowPoints, ScreenToClient, ClientToScreen, GetWindowRect, SetWindowPos, DeleteMenu, GetMenuItemInfoW, SetMenuItemInfoW, CharNextW
> ntdll.dll: RtlNtStatusToDosError, NtQueryInformationProcess
> SHLWAPI.dll: StrCpyNW, -, -, -, -, StrRetToBufW, StrRetToStrW, -, -, -, -, SHQueryValueExW, PathIsNetworkPathW, -, AssocCreate, -, -, -, -, -, StrCatW, StrCpyW, -, -, -, -, -, -, -, SHGetValueW, -, StrCmpNIW, PathRemoveBlanksW, PathRemoveArgsW, PathFindFileNameW, StrStrIW, PathGetArgsW, -, StrToIntW, SHRegGetBoolUSValueW, SHRegWriteUSValueW, SHRegCloseUSKey, SHRegCreateUSKeyW, SHRegGetUSValueW, SHSetValueW, -, PathAppendW, PathUnquoteSpacesW, -, -, PathQuoteSpacesW, -, SHSetThreadRef, SHCreateThreadRef, -, -, -, PathCombineW, -, -, -, SHStrDupW, PathIsPrefixW, PathParseIconLocationW, AssocQueryKeyW, -, AssocQueryStringW, StrCmpW, -, -, -, -, -, -, -, -, SHRegQueryUSValueW, SHRegOpenUSKeyW, SHRegSetUSValueW, PathIsDirectoryW, PathFileExistsW, PathGetDriveNumberW, -, StrChrW, PathFindExtensionW, -, -, PathRemoveFileSpecW, PathStripToRootW, -, -, -, SHOpenRegStream2W, -, -, -, StrDupW, SHDeleteValueW, StrCatBuffW, SHDeleteKeyW, StrCmpIW, -, -, wnsprintfW, -, StrCmpNW, -, -
> SHELL32.dll: -, SHGetFolderPathW, -, -, -, -, -, ExtractIconExW, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, ShellExecuteExW, -, -, -, -, -, -, -, SHBindToParent, -, -, -, SHParseDisplayName, -, -, -, -, -, -, SHGetSpecialFolderLocation, -, -, -, -, SHGetSpecialFolderPathW, -, -, -, -, -, SHChangeNotify, SHGetDesktopFolder, SHAddToRecentDocs, -, -, -, DuplicateIcon, -, -, -, -, -, -, -, -, SHUpdateRecycleBinIcon, SHGetFolderLocation, SHGetPathFromIDListA, -, -, -, -, -, -, -, SHGetPathFromIDListW, -, -, -
> ole32.dll: CoFreeUnusedLibraries, RegisterDragDrop, CreateBindCtx, RevokeDragDrop, CoInitializeEx, CoUninitialize, OleInitialize, CoRevokeClassObject, CoRegisterClassObject, CoMarshalInterThreadInterfaceInStream, CoCreateInstance, OleUninitialize, DoDragDrop
> OLEAUT32.dll: -, -
> BROWSEUI.dll: -, -, -, -
> SHDOCVW.dll: -, -, -
> UxTheme.dll: GetThemeBackgroundContentRect, GetThemeBool, GetThemePartSize, DrawThemeParentBackground, OpenThemeData, DrawThemeBackground, GetThemeTextExtent, DrawThemeText, CloseThemeData, SetWindowTheme, GetThemeBackgroundRegion, -, GetThemeMargins, GetThemeColor, GetThemeFont, GetThemeRect, IsAppThemed

( 0 exports )

PDFiD.: -
RDS...: NSRL Reference Data Set

Je lance l'analyse de l'autre fichier @++
0
Réponse 20 / 87
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

je m'y attendais mais je préfère les certitudes.

C'est une bonne nouvelle.
0

Discussions similaires

expressions francaises
bifaka -
lanonyme -

4 réponses
Cheval de troie comment le supprimer?
sonia -
^^Marie^^ -

28 réponses
virus: comment supprimer ccxprocess (virus cheval de troie)
grrlesang -
bazfile -

1 réponse
cheval dans oblivion
sernaldo53 -
sernaldo53 -

12 réponses
comment se debarasser d un cheval de troie
jennyfer1 -
MrMaDGaME -

66 réponses