H:\WINDOWS\SYSTEM32\nmdfgds0.dll

Résolu
Taffy -  
sKe69 Messages postés 21955 Statut Contributeur sécurité -
Bonjour à tous,
Voila j'ai deux problème , le premier est le démarrage de mon PC je m'explique lorsque je redémarre mon ordinateur l'écran Windows prend environ 2minutes peut être plus pour disparaitre, puis j'ai un écran noir durant environ 30 second et après un message d'erreur apparait a l'écran de sélection de session; le second vient du fait que je suis infecter par un rootkit "H:\WINDOWS\SYSTEM32\nmdfgds0.dll' que je n'arrive pas a supprimer.

Voila, j'espère avoir été asse compréhensible dans ma description, si quelqu'un pourrais m'aider s'il vous plait car cela dur depuis plus de deux semaine.

Merci d'avance pour votre patience.
Configuration: Windows XP
Firefox 3.0.11

71 réponses

  • 1
  • 2
  • 3
  • 4
Résumé de la discussion

Plusieurs éléments indiquent un démarrage long et un écran noir suivi d'une erreur de session, associés à une possible infection par un rootkit situé dans WINDOWS\SYSTEM32, sur Windows XP. Des procédures courantes préconisent des outils de désinfection comme OTM, MalwareBytes ou ComboFix, accompagnés de mesures strictes de déconnexion, de redémarrage et de suivi des rapports pour clore l'infection. Pour l'assistance, plusieurs intervenants recommandent d'exécuter des scans approfondis et de poster les rapports RSIT ou moved files après l'usage d'OTM ou d'autres outils fiables. D'autres précisent que ces procédures doivent être suivies méticuleusement, car les outils de réparation nécessitent des redémarrages et peuvent provoquer des erreurs système, et qu'un nettoyage complet peut impliquer des rapports détaillés.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    re,

    très infecté ! .... ya du boulot ... ^^

    n'entreprends rien avec le PC sans mon autorisation et suis à la lettre les consignes de désinfection ! ....

    commence par ceci :

    Télécharge "MSNFix.zip"(de !aur3n7) sur ton bureau :
    http://sosvirus.changelog.fr/MSNFix.zip

    !! Déconnecte toi, ferme toutes tes applications et désactives tes défenses ( anti-virus ,anti-spyware,...) le temps de la manipe !!

    Décompresse-le (=clique droit / Extraire ici) . Déplace ensuite le dossier que tu viens d'extraire directement sous ton disque dure , c'est à dire ici > C:\MSNFix .
    ( c'est très important pour le bon fonctionnement de l'outil ! ).

    Ouvre ce dossier et double-clique sur le fichier MSNFix.bat .
    -> Exécutez l'option R ( recherche ).

    --> Si l'infection est détectée, un message l'indiquera et il suffira de presser une touche pour lancer le nettoyage .

    Note :
    Si une erreur de suppression est détectée, un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations de nettoyage : dans ce cas, redémarre l'ordinateur pour que l'outil finisse son travail ...

    -> Le rapport sera enregistré dans le même dossier que MSNFix sous forme d'un fichier " date_heure.txt " et ici C:\WINDOWS\msnfix.txt

    Poste le contenu de ce rapport ainsi qu'un nouveau rapport RSIT ( log.txt ) pour analyse ...

    Tuto d'utilisation ici : http://sosvirus.changelog.fr/ .

    2
  2. Utilisateur anonyme
     
    Joli taf ske ;)

    +
    1
    1. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
       
      merki ...

      mais rien d'exeptionnel pour le moment ... La procédure habituelle quoi ... :))))



      parcontre , chapeau sur la réactivité d'UsbFix face au nouvelles variantes ... ( en ce moment ça y va ^^ )


      ++


      0
  3. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    bon ...

    un coup d'épée dans l'eau avec SDFix ...

    on va faire autrement ... dans l'ordre :

    1- Télécharge OTM (de Old_Timer) sur ton Bureau.

    http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/

    * Double clique sur "OTM.exe" pour ouvrir le prg .

    * Ensuite rend toi sur cette page > https://www.cjoint.com/?gsb7zRq8qa

    * Puis copie tout le texte qui s' y trouve et colle le dans le cadre de gauche de OTM :
    Paste Instructions for items to be moved.
    (ne touche à rien d'autre !)

    ! Déconnecte toi et ferme toutes tes applications en cours ( navigateur compris ) !

    -> clique sur MoveIt! pour lancer la suppression.
    -> laisse travailler l'outil ...

    -> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " .

    Ton PC va redémarrer de lui même pour finir la suppression ...

    Lors du redémarrage , si on te demande d'autoriser l'exécution d' OTM , accepte ( pour que l'outil finisse son boulot ... ).

    -->Poste le contenu du rapport qui se trouve dans le dossier "C:\_OTM\MovedFiles"
    ( " xxxx2009_xxxxxx.log " où les "x" correspondent au jour et à l'heure de l'utilisation ).

    =====================

    2- Télécharge MalwareByte's :
    ici http://www.commentcamarche.net/telecharger/telecharger 34055379 malwarebytes anti malware
    ou ici : http://www.malwarebytes.org/mbam.php

    * Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'instale ) et mets le à jour .

    (NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/ )

    * Potasse le tuto pour te familiariser avec le prg :
    https://forum.pcastuces.com/sujet.asp?f=31&s=3
    ( cela dis, il est très simple d'utilisation ).

    ! Déconnecte toi et ferme toutes applications en cours !

    * Lance Malwarebyte's .

    Fais un examen dit "RAPIDE" .

    --> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    --> à la fin tu cliques sur "résultat" .
    --> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date),
    accompagné d'un nouveau rapport RSIT pour analyse ...

    1
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    de rien ... ;)

    Tchouss ... !

    1
  6. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    Salut,

    fais ceci pour commencer :

    1- Télécharge et installe le logiciel HijackThis :

    ici http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis
    ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
    ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html

    -->Clique sur le setup pour lancer l'installe : laisse toi guider et ne modifie pas les paramètres d'installation .
    A la fin de l'installe , le prg se lance automatiquement : ferme le en cliquant sur la croix rouge .
    Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
    "C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

    ( ne lance pas ce prg pour l'instant et fais la suite ... )

    2- Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau.

    -> http://images.malwareremoval.com/random/RSIT.exe

    ! Déconnecte toi et ferme toutes tes applications en cours !

    Double-clique sur " RSIT.exe " pour le lancer .

    -> Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " .

    * Devant l'option "List files/folders created ..." , tu choisis : 2 months

    * clique ensuite sur " Continue " pour lancer l'analyse ...

    -> laisse faire le scan et ne touche pas au PC ...

    Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note).

    Poste le contenu de " log.txt " (c'est celui qui apparait à l'écran), ainsi que de " info.txt " (que tu verras dans la barre des tâches), pour analyse et attends la suite ...

    Important : poste un rapport, puis l'autre dans la réponse suivante ...
    Si tu essaies de poster les deux en même temps, cela risque d'être trop long pour le forum ...
    ( Et si "log.txt" seul, ne passe pas non plus , fais le en 2 fois ... merci ... )

    ( Note : les rapports seront en outre sauvegardés dans ce dossier -> C:\rsit )
    0
  7. Taffy
     
    Merci de ton aide, voila le document "log.txt"

    Logfile of random's system information tool 1.06 (written by random/random)
    Run by TAF at 2009-06-17 08:13:11
    Microsoft Windows XP Édition familiale Service Pack 2
    System drive H: has 106 GB (44%) free of 238 GB
    Total RAM: 2046 MB (79% free)

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 08:13:24, on 17/06/2009
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16850)
    Boot mode: Normal

    Running processes:
    H:\WINDOWS\System32\smss.exe
    H:\WINDOWS\system32\csrss.exe
    H:\WINDOWS\system32\winlogon.exe
    H:\WINDOWS\system32\services.exe
    H:\WINDOWS\system32\lsass.exe
    H:\WINDOWS\system32\svchost.exe
    H:\WINDOWS\system32\svchost.exe
    H:\WINDOWS\System32\svchost.exe
    H:\WINDOWS\system32\svchost.exe
    H:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    H:\Program Files\Alwil Software\Avast4\ashServ.exe
    H:\PROGRAM FILES\A-SQUARED FREE\a2service.exe
    H:\WINDOWS\system32\npkcmsvc.exe
    H:\WINDOWS\system32\svchost.exe
    H:\WINDOWS\Explorer.EXE
    H:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    H:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    H:\WINDOWS\System32\alg.exe
    H:\WINDOWS\RTHDCPL.EXE
    H:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    H:\Program Files\SuperCopier2\SuperCopier2.exe
    H:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
    H:\WINDOWS\system32\ctfmon.exe
    H:\WINDOWS\system32\wuauclt.exe
    H:\Documents and Settings\TAF\Bureau\RSIT.exe
    H:\WINDOWS\system32\wbem\wmiprvse.exe
    H:\Program Files\Trend Micro\HijackThis\TAF.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.01net.com/telecharger/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - H:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - H:\Program Files\FlashGet\jccatch.dll
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - H:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - H:\Program Files\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - H:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - H:\Program Files\FlashGet\getflash.dll
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [avast!] H:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "H:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    O4 - HKCU\..\Run: [SuperCopier2.exe] H:\Program Files\SuperCopier2\SuperCopier2.exe
    O4 - HKCU\..\Run: [MsnMsgr] "H:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [uTorrent] "H:\Program Files\uTorrent\uTorrent.exe"
    O4 - HKCU\..\Run: [ctfmon.exe] H:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [cdoosoft] H:\WINDOWS\system32\olhrwef.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O8 - Extra context menu item: &Tout télécharger avec FlashGet - H:\Program Files\FlashGet\jc_all.htm
    O8 - Extra context menu item: &Télécharger avec FlashGet - H:\Program Files\FlashGet\jc_link.htm
    O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - H:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
    O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - H:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
    O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - H:\Program Files\FlashGet\FlashGet.exe
    O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - H:\Program Files\FlashGet\FlashGet.exe
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab
    O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://www.ma-config.com/activex/MaConfig_3_1_2_1.cab
    O16 - DPF: {D6FCA8ED-4715-43DE-9BD2-2789778A5B09} (NPKCX Control) - http://update.nprotect.net/keycrypt/cabal/npkcx_inca.cab
    O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
    O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - H:\PROGRAM FILES\A-SQUARED FREE\a2service.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - H:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: ATI Smart - Unknown owner - H:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: avast! Antivirus - ALWIL Software - H:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - H:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - H:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - H:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - H:\Program Files\ma-config.com\maconfservice.exe
    O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - H:\WINDOWS\system32\GameMon.des.exe (file missing)
    O23 - Service: npkcmsvc - INCA Internet Co., Ltd. - H:\WINDOWS\system32\npkcmsvc.exe
    O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - H:\WINDOWS\System32\TuneUpDefragService.exe
    0
  8. Utilisateur anonyme
     
    Bonjours vous 2 ;) ,

    Pour suivre la discussion merci :)

    Bonne suite .
    0
    1. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
       
      hello chiqui ...

      pas besoin de te faire de feedback donc ... ^^


      t'as tout sous les yeux ... ;)


      ++
      0
  9. Taffy
     
    Re, voila le rapport de "msn Fix"

    MSNFix 1.760

    H:\MSNFix
    Fix exécuté le 17/06/2009 - 10:13:18,35 By TAF
    mode normal

    ************************ Recherche les fichiers présents

    ... H:\autorun.inf
    ... H:\Autorun.inf

    ************************ Recherche les dossiers présents

    ... H:\Program Files\skmw\
    ... H:\Program Files\skmw\sec\
    ... H:\Program Files\skmw\WinRds\
    ... H:\Program Files\Microsoft Studio Files\

    ************************ Suppression des fichiers

    .. OK ... H:\WINDOWS\system32\avgvrark.exe
    .. OK ... H:\DOCUME~1\TAF\LOCALS~1\Temp\winlogon.exe
    .. OK ... H:\DOCUME~1\TAF\LOCALS~1\Temp\services.exe
    .. OK ... H:\WINDOWS\system32\cftmon.exe
    .. OK ... H:\autorun.inf
    .. OK ... H:\Autorun.inf

    ************************ Suppression des dossiers

    /!\ ... H:\Program Files\skmw\
    /!\ ... H:\Program Files\skmw\sec\
    /!\ ... H:\Program Files\skmw\WinRds\
    /!\ ... H:\Program Files\Microsoft Studio Files\

    ************************ Nettoyage du registre

    ************************ Hostsclean

    Cleanhosts v 0.1.0.7 By Laurent

    -- Backup : H:\WINDOWS\system32\drivers\etc\hosts-20090617101411
    -- original size 285.3 Kb / 10107 lines
    -- Start cleaning Hosts file ....

    /!\... antivirus.com ..... Found and removed
    /!\... avast.com ..... Found and removed
    /!\... ca.com ..... Found and removed
    /!\... mcafee.com ..... Found and removed
    /!\... spybot.info ..... Found and removed
    /!\... spywareinfo.com ..... Found and removed

    -- final size 283.82 Kb / 10061 lines
    -- entry Found : 6 / Entry check : 310

    End .............................. 17.35 Secondes

    Les fichiers encore présents seront supprimés au prochain redémarrage

    Aucun Fichier trouvé

    ************************ Hostsclean

    Cleanhosts v 0.1.0.7 By Laurent

    -- Backup : H:\WINDOWS\system32\drivers\etc\hosts-20090617101753
    -- original size 283.82 Kb / 10061 lines
    -- Start cleaning Hosts file ....

    -- final size 283.82 Kb / 10061 lines
    -- entry Found : 0 / Entry check : 310

    End .............................. 24.72 Secondes
    0
  10. Taffy
     
    et le rapport de "RSTI"

    Logfile of random's system information tool 1.06 (written by random/random)
    Run by TAF at 2009-06-17 10:21:47
    Microsoft Windows XP Édition familiale Service Pack 2
    System drive H: has 106 GB (44%) free of 238 GB
    Total RAM: 2046 MB (79% free)

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 10:22:03, on 17/06/2009
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16850)
    Boot mode: Normal

    Running processes:
    H:\WINDOWS\System32\smss.exe
    H:\WINDOWS\system32\csrss.exe
    H:\WINDOWS\system32\winlogon.exe
    H:\WINDOWS\system32\services.exe
    H:\WINDOWS\system32\lsass.exe
    H:\WINDOWS\system32\svchost.exe
    H:\WINDOWS\system32\svchost.exe
    H:\WINDOWS\System32\svchost.exe
    H:\WINDOWS\system32\svchost.exe
    H:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    H:\Program Files\Alwil Software\Avast4\ashServ.exe
    H:\PROGRAM FILES\A-SQUARED FREE\a2service.exe
    H:\WINDOWS\system32\npkcmsvc.exe
    H:\WINDOWS\system32\svchost.exe
    H:\WINDOWS\Explorer.EXE
    H:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    H:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    H:\WINDOWS\System32\alg.exe
    H:\WINDOWS\system32\wuauclt.exe
    H:\WINDOWS\RTHDCPL.EXE
    H:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    H:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
    H:\Program Files\SuperCopier2\SuperCopier2.exe
    H:\Program Files\uTorrent\uTorrent.exe
    H:\WINDOWS\system32\ctfmon.exe
    H:\WINDOWS\system32\wuauclt.exe
    H:\Program Files\Windows Live\Messenger\msnmsgr.exe
    H:\Documents and Settings\TAF\Bureau\RSIT.exe
    H:\WINDOWS\system32\wbem\wmiprvse.exe
    H:\Program Files\Trend Micro\HijackThis\TAF.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.01net.com/telecharger/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - H:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - H:\Program Files\FlashGet\jccatch.dll
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - H:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - H:\Program Files\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - H:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - H:\Program Files\FlashGet\getflash.dll
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [avast!] H:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "H:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    O4 - HKCU\..\Run: [SuperCopier2.exe] H:\Program Files\SuperCopier2\SuperCopier2.exe
    O4 - HKCU\..\Run: [MsnMsgr] "H:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [uTorrent] "H:\Program Files\uTorrent\uTorrent.exe"
    O4 - HKCU\..\Run: [ctfmon.exe] H:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [cdoosoft] H:\WINDOWS\system32\olhrwef.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O8 - Extra context menu item: &Tout télécharger avec FlashGet - H:\Program Files\FlashGet\jc_all.htm
    O8 - Extra context menu item: &Télécharger avec FlashGet - H:\Program Files\FlashGet\jc_link.htm
    O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - H:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
    O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - H:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
    O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - H:\Program Files\FlashGet\FlashGet.exe
    O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - H:\Program Files\FlashGet\FlashGet.exe
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab
    O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://www.ma-config.com/activex/MaConfig_3_1_2_1.cab
    O16 - DPF: {D6FCA8ED-4715-43DE-9BD2-2789778A5B09} (NPKCX Control) - http://update.nprotect.net/keycrypt/cabal/npkcx_inca.cab
    O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
    O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - H:\PROGRAM FILES\A-SQUARED FREE\a2service.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - H:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: ATI Smart - Unknown owner - H:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: avast! Antivirus - ALWIL Software - H:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - H:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - H:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - H:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - H:\Program Files\ma-config.com\maconfservice.exe
    O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - H:\WINDOWS\system32\GameMon.des.exe (file missing)
    O23 - Service: npkcmsvc - INCA Internet Co., Ltd. - H:\WINDOWS\system32\npkcmsvc.exe
    O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - H:\WINDOWS\System32\TuneUpDefragService.exe
    0
  11. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    bien ....

    la suite dans l'ordre :

    1- Télécharge CCleaner :
    http://www.commentcamarche.net/telecharger/telecharger 168 ccleaner
    ou https://www.pcastuces.com/logitheque/ccleaner.htm
    Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre .
    Lors de l'installation:
    -choisis bien "français" en langue .
    -avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières.

    Un tuto ( aide ):
    http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm

    ---> Utilisation:
    *Décocher dans le menu Options - sous-menu Avancé :
    Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .

    ! déconnecte toi et ferme toutes applications en cours !

    * va dans "nettoyeur" : fais -analyse- puis -nettoyage-
    * va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs-
    ( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

    ( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )

    =============================

    2- Télécharge UsbFix ( de C_XX, Chimay8 & Chiquitine29 ) sur ton bureau :

    > http://sd-1.archive-host.com/membres/up/127028005715545653/UsbFix.exe

    ! Déconnecte toi d'internet et ferme toutes applications en cours !

    --> Double-clique sur l' .exe pour lancer l'installation de l'outil ( ne touche pas aux paramètres d'installe ) .

    Impératif :
    Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .

    # Double clique sur le raccourci UsbFix présent sur ton bureau pour lancer l'outil.

    # Choisis l' option 1 ( Recherche )

    # Laisse travailler l'outil et ne touche à rien pendant le scan .

    # Une fois terminé, poste le rapport UsbFix.txt qui apparaitra.

    Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\UsbFix.txt ).

    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    Note :
    "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

    Site de l'auteur > http://pagesperso-orange.fr/NosTools/usbfix.html

    0
  12. Taffy
     
    Re, dsl pour le temps que j'ais pris. Voila le rapport de "USB Fix"

    ############################## [ UsbFix V3.032 ]

    # User : TAF (Administrateurs) # TAF
    # Update on 15/06/09 by Chiquitine29
    # Start at: 16:16:21 | 17/06/2009
    # Website : http://pagesperso-orange.fr/NosTools/usbfix.html

    # AMD Athlon(tm) 64 X2 Dual Core Processor 4600+
    # Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 2
    # Internet Explorer 7.0.5730.13
    # Windows Firewall Status : Enabled
    # AV : avast! antivirus 4.8.1335 [VPS 090617-0] 4.8.1335 [ Enabled | Updated ]

    # C:\ # Disque amovible
    # D:\ # Disque amovible # 3,75 Go (923,19 Mo free) # FAT32
    # E:\ # Disque amovible
    # F:\ # Disque amovible
    # G:\ # Disque amovible
    # H:\ # Disque fixe local # 232,88 Go (104,28 Go free) # NTFS
    # I:\ # Disque CD-ROM
    # J:\ # Disque amovible # 21,22 Mo (18,54 Mo free) [PHONE] # FAT
    # K:\ # Disque amovible # 1,85 Go (1,19 Go free) [PHONE CARD] # FAT
    # L:\ # Disque amovible # 982,05 Mo (200,4 Mo free) [TAF-IN-BLEU] # FAT32
    # M:\ # Disque fixe local # 298,02 Go (75,52 Go free) [APOLLO 13] # FAT32

    ############################## [ Processus actifs ]

    H:\WINDOWS\System32\smss.exe
    H:\WINDOWS\system32\csrss.exe
    H:\WINDOWS\system32\winlogon.exe
    H:\WINDOWS\system32\services.exe
    H:\WINDOWS\system32\lsass.exe
    H:\WINDOWS\system32\svchost.exe
    H:\WINDOWS\system32\svchost.exe
    H:\WINDOWS\System32\svchost.exe
    H:\WINDOWS\system32\svchost.exe
    H:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    H:\Program Files\Alwil Software\Avast4\ashServ.exe
    H:\PROGRAM FILES\A-SQUARED FREE\a2service.exe
    H:\WINDOWS\system32\npkcmsvc.exe
    H:\WINDOWS\system32\svchost.exe
    H:\WINDOWS\Explorer.EXE
    H:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    H:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    H:\WINDOWS\RTHDCPL.EXE
    H:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    H:\Program Files\SuperCopier2\SuperCopier2.exe
    H:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
    H:\Program Files\uTorrent\uTorrent.exe
    H:\WINDOWS\system32\ctfmon.exe
    H:\WINDOWS\System32\alg.exe
    H:\WINDOWS\system32\wuauclt.exe
    H:\WINDOWS\system32\wbem\wmiprvse.exe

    ################## [ Registre Startup ]

    HKCU_Main: "Local Page"="H:\\WINDOWS\\system32\\blank.htm"
    HKCU_Main: "Search Page"=""
    HKCU_Main: "Start Page"="https://www.google.fr/?gws_rd=ssl"
    HKLM_logon: "Userinit"="H:\\WINDOWS\\system32\\userinit.exe,"
    HKLM_logon: "DefaultUserName"="TAF"
    HKLM_logon: "AltDefaultUserName"="TAF"
    HKLM_logon: "LegalNoticeCaption"=""
    HKLM_logon: "LegalNoticeText"=""

    HKLM_Run: RTHDCPL=RTHDCPL.EXE
    HKLM_Run: Alcmtr=ALCMTR.EXE
    HKLM_Run: avast!=H:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    HKLM_Run: Adobe Reader Speed Launcher="H:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    HKLM_Run: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
    HKCU_Run: SuperCopier2.exe=H:\Program Files\SuperCopier2\SuperCopier2.exe
    HKCU_Run: MsnMsgr="H:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
    HKCU_Run: uTorrent="H:\Program Files\uTorrent\uTorrent.exe"
    HKCU_Run: ctfmon.exe=H:\WINDOWS\system32\ctfmon.exe

    HKLM_expl: "HonorAutoRunSetting"=dword:00000001

    ################## [ Fichiers # Dossiers infectieux ]

    Présent ! H:\WINDOWS\system32\nmdfgds1.dll
    Présent ! "H:\Documents and Settings\TAF\RavMonLog"
    Présent ! D:\RavMonLog
    Présent ! D:\adober.exe
    Présent ! D:\msvcr71.dll
    Présent ! "D:\ravmonlog"
    H:\autorun.inf # -> fichier appelé : "H:\gpcdt.cmd" ( Absent ! )
    Présent ! H:\sv8c2bjw.bat
    Présent ! H:\xdglur.bat
    Présent ! H:\autorun.inf
    Présent ! J:\msvcr71.dll
    Présent ! K:\msvcr71.dll
    Présent ! L:\em8tqm.cmd
    Présent ! L:\q9.cmd
    Présent ! "L:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013"
    Présent ! L:\recycler\S-1-5-21-1482476501-1644491937-682003330-1013\sdcvhost.exe
    M:\autorun.inf # -> fichier appelé : "M:\gpcdt.cmd" ( Présent ! )
    Présent ! M:\fsaht.cmd
    Présent ! M:\gpcdt.cmd
    Présent ! M:\sv8c2bjw.bat
    Présent ! M:\xdglur.bat
    Présent ! M:\x.cmd
    Présent ! M:\autorun.inf

    ################## [ Registre # Clés Run infectieuses ]

    Présent ! HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe

    ################## [ Registre # Mountpoints2 ]

    HKCU\...\Explorer\MountPoints2\K\Shell\AutoRun\Command
    HKCU\...\Explorer\MountPoints2\K\Shell\open\Command
    HKCU\...\Explorer\MountPoints2\{044814bb-33fa-11dd-a5ff-001d92006b5e}\Shell\AutoRun\Command
    HKCU\...\Explorer\MountPoints2\{04bb76e2-33e4-11dd-823b-806d6172696f}\Shell\AutoRun\Command
    HKCU\...\Explorer\MountPoints2\{04bb76e2-33e4-11dd-823b-806d6172696f}\Shell\open\Command
    HKCU\...\Explorer\MountPoints2\{0786dce1-43b3-11dd-a634-001d92006b5e}\Shell\Auto\Command
    HKCU\...\Explorer\MountPoints2\{0786dce1-43b3-11dd-a634-001d92006b5e}\Shell\AutoRun\Command
    HKCU\...\Explorer\MountPoints2\{22306c24-3405-11dd-a601-001d92006b5e}\Shell\AutoRun\Command
    HKCU\...\Explorer\MountPoints2\{22306c24-3405-11dd-a601-001d92006b5e}\Shell\explore\Command
    HKCU\...\Explorer\MountPoints2\{22306c24-3405-11dd-a601-001d92006b5e}\Shell\open\Command
    HKCU\...\Explorer\MountPoints2\{22306c25-3405-11dd-a601-001d92006b5e}\Shell\AutoRun\Command
    HKCU\...\Explorer\MountPoints2\{22306c25-3405-11dd-a601-001d92006b5e}\Shell\explore\Command
    HKCU\...\Explorer\MountPoints2\{22306c25-3405-11dd-a601-001d92006b5e}\Shell\open\Command
    HKCU\...\Explorer\MountPoints2\{24e53324-4461-11dd-a636-001d92006b5e}\Shell\Auto\Command
    HKCU\...\Explorer\MountPoints2\{24e53324-4461-11dd-a636-001d92006b5e}\Shell\AutoRun\Command
    HKCU\...\Explorer\MountPoints2\{5027e682-e686-11dd-a748-001d92006b5e}\Shell\AutoRun\Command
    HKCU\...\Explorer\MountPoints2\{5027e682-e686-11dd-a748-001d92006b5e}\Shell\open\Command
    HKCU\...\Explorer\MountPoints2\{6e9fb86e-3804-11dd-a615-001d92006b5e}\Shell\Auto\Command
    HKCU\...\Explorer\MountPoints2\{6e9fb86e-3804-11dd-a615-001d92006b5e}\Shell\AutoRun\Command
    HKCU\...\Explorer\MountPoints2\{77759692-3620-11dd-a60c-001d92006b5e}\Shell\AutoRun\Command
    HKCU\...\Explorer\MountPoints2\{7a732dfa-a060-11dd-a6f3-001d92006b5e}\Shell\Auto\Command
    HKCU\...\Explorer\MountPoints2\{7a732dfa-a060-11dd-a6f3-001d92006b5e}\Shell\AutoRun\Command
    HKCU\...\Explorer\MountPoints2\{7d472c7e-421f-11dd-a62e-001d92006b5e}\Shell\Auto\Command
    HKCU\...\Explorer\MountPoints2\{7d472c7e-421f-11dd-a62e-001d92006b5e}\Shell\AutoRun\Command
    HKCU\...\Explorer\MountPoints2\{a0be3cc4-34b4-11dd-a604-001d92006b5e}\Shell\AutoRun\Command
    HKCU\...\Explorer\MountPoints2\{aedf47ea-1899-11de-a7a0-001d92006b5e}\Shell\AutoRun\Command
    HKCU\...\Explorer\MountPoints2\{c4d8eae7-af63-11dd-a704-001d92006b5e}\Shell\AutoRun\Command
    HKCU\...\Explorer\MountPoints2\{c4d8eae7-af63-11dd-a704-001d92006b5e}\Shell\open\Command
    HKCU\...\Explorer\MountPoints2\{d9d04799-2129-11de-a7a4-001d92006b5e}\Shell\AutoRun\Command
    HKCU\...\Explorer\MountPoints2\{d9d04799-2129-11de-a7a4-001d92006b5e}\Shell\open\Command

    ################## [ ! Fin du rapport # UsbFix V3.032 ! ]
    0
  13. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    bien ...

    la suite dans l'ordre :

    1- ! Déconnecte toi d'internet et ferme toutes applications en cours !

    IMPERATIF :
    Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .

    # Double clique sur le raccourci UsbFix présent sur ton bureau pour lancer l'outil .

    # Cette fois ci , tu choisis l' option 2 ( Suppression ) .

    > Ton bureau disparaitra et le pc redémarrera ( c'est normal ).

    # Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil et ne touche à rien .

    # Une fois terminé, poste le nouveau rapport UsbFix.txt qui apparaitra avec le bureau .

    ( Le rapport est en outre sauvegardé à la racine du disque maitre > C:\UsbFix.txt ).

    ========================

    2- refais un scan RSIT, poste le nouveau rapport "log.txt" obtenu pour analyse et attends la suite ...

    0
  14. Taffy
     
    Re, voila le rapport de "USB Fix" ( mais a la fin du redémarrage de mon PC il y a eu une coupure de courant )

    ############################## [ UsbFix V3.032 ]

    # User : TAF (Administrateurs) # TAF
    # Update on 15/06/09 by Chiquitine29
    # Start at: 16:40:55 | 17/06/2009
    # Website : http://pagesperso-orange.fr/NosTools/usbfix.html

    # AMD Athlon(tm) 64 X2 Dual Core Processor 4600+
    # Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 2
    # Internet Explorer 7.0.5730.13
    # Windows Firewall Status : Enabled
    # AV : avast! antivirus 4.8.1335 [VPS 090617-0] 4.8.1335 [ Enabled | Updated ]

    # C:\ # Disque amovible
    # D:\ # Disque amovible # 3,75 Go (923,19 Mo free) # FAT32
    # E:\ # Disque amovible
    # F:\ # Disque amovible
    # G:\ # Disque amovible
    # H:\ # Disque fixe local # 232,88 Go (104,25 Go free) # NTFS
    # I:\ # Disque CD-ROM
    # J:\ # Disque amovible # 21,22 Mo (18,54 Mo free) [PHONE] # FAT
    # K:\ # Disque amovible # 1,85 Go (1,19 Go free) [PHONE CARD] # FAT
    # L:\ # Disque amovible # 982,05 Mo (200,4 Mo free) [TAF-IN-BLEU] # FAT32
    # M:\ # Disque fixe local # 298,02 Go (75,52 Go free) [APOLLO 13] # FAT32

    ############################## [ Processus actifs ]

    H:\WINDOWS\System32\smss.exe
    H:\WINDOWS\system32\csrss.exe
    H:\WINDOWS\system32\winlogon.exe
    H:\WINDOWS\system32\services.exe
    H:\WINDOWS\system32\lsass.exe
    H:\WINDOWS\system32\svchost.exe
    H:\WINDOWS\system32\logonui.exe
    H:\WINDOWS\system32\svchost.exe
    H:\WINDOWS\System32\svchost.exe
    H:\WINDOWS\system32\svchost.exe
    H:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    H:\Program Files\Alwil Software\Avast4\ashServ.exe
    H:\PROGRAM FILES\A-SQUARED FREE\a2service.exe
    H:\WINDOWS\system32\npkcmsvc.exe
    H:\WINDOWS\system32\svchost.exe
    H:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    H:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    H:\WINDOWS\System32\alg.exe
    H:\WINDOWS\Explorer.EXE
    H:\WINDOWS\system32\wbem\wmiprvse.exe
    H:\WINDOWS\system32\wuauclt.exe

    ################## [ Fichiers # Dossiers infectieux ]

    Supprimé ! "H:\Documents and Settings\TAF\RavMonLog"
    Supprimé ! D:\RavMonLog
    Supprimé ! D:\adober.exe
    Supprimé ! D:\msvcr71.dll
    H:\autorun.inf # -> fichier appelé : "H:\gpcdt.cmd" ( absent ! )
    Supprimé ! H:\sv8c2bjw.bat
    Supprimé ! H:\xdglur.bat
    Supprimé ! H:\autorun.inf
    Supprimé ! J:\msvcr71.dll
    Supprimé ! K:\msvcr71.dll
    Supprimé ! L:\em8tqm.cmd
    Supprimé ! L:\q9.cmd
    Supprimé ! L:\recycler\S-1-5-21-1482476501-1644491937-682003330-1013\sdcvhost.exe
    Supprimé ! "L:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013"
    M:\autorun.inf # -> fichier appelé : "M:\gpcdt.cmd" ( présent ! )
    Deleted ! -> M:\gpcdt.cmd
    Supprimé ! M:\fsaht.cmd
    Supprimé ! M:\sv8c2bjw.bat
    Supprimé ! M:\xdglur.bat
    Supprimé ! M:\x.cmd
    Supprimé ! M:\autorun.inf

    ################## [ Registre # Clés Run infectieuses ]

    Supprimé ! HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe

    ################## [ Registre # Mountpoints2 ]

    Supprimé ! HKCU\...\Explorer\MountPoints2\K\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{044814bb-33fa-11dd-a5ff-001d92006b5e}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{0786dce1-43b3-11dd-a634-001d92006b5e}\Shell\Auto\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{22306c24-3405-11dd-a601-001d92006b5e}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{22306c25-3405-11dd-a601-001d92006b5e}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{24e53324-4461-11dd-a636-001d92006b5e}\Shell\Auto\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{6e9fb86e-3804-11dd-a615-001d92006b5e}\Shell\Auto\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{77759692-3620-11dd-a60c-001d92006b5e}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{7a732dfa-a060-11dd-a6f3-001d92006b5e}\Shell\Auto\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{7d472c7e-421f-11dd-a62e-001d92006b5e}\Shell\Auto\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{a0be3cc4-34b4-11dd-a604-001d92006b5e}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{aedf47ea-1899-11de-a7a0-001d92006b5e}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{c4d8eae7-af63-11dd-a704-001d92006b5e}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{d9d04799-2129-11de-a7a4-001d92006b5e}\Shell\AutoRun\Command

    ################## [ Listing des fichiers présent ]

    [15/04/2005 08:58|--a------|13900225] - D:\150.PBP
    [19/04/2007 08:07|--a------|22048501] - D:\340.PBP
    [03/01/2006 09:37|--a------|23647653] - D:\371.PBP
    [08/01/2008 21:42|--a------|241664] - D:\msipl.bin
    [18/03/2008 04:59|--a------|25652613] - D:\393.PBP
    [02/12/2008 19:30|--ah-----|296] - D:\WMPInfo.xml
    [17/06/2009 10:13|--a------|57] - H:\autorun.MSNFix
    [11/06/2009 05:28|-r-hs----|230] - H:\boot.ini
    [05/08/2004 08:00|-rahs----|4952] - H:\Bootfont.bin
    [25/03/2002 09:52|--a------|644976] - H:\BootVis.exe
    [08/03/2009 20:16|--a------|258] - H:\MSNCleaner.txt
    [05/08/2004 08:00|-rahs----|47564] - H:\NTDETECT.COM
    [05/08/2004 08:00|-rahs----|251712] - H:\ntldr
    [?|?|?] - H:\pagefile.sys
    [30/07/2008 14:11|--ah-----|268] - H:\sqmdata00.sqm
    [31/07/2008 19:55|--ah-----|268] - H:\sqmdata01.sqm
    [01/08/2008 15:07|--ah-----|268] - H:\sqmdata02.sqm
    [01/08/2008 17:56|--ah-----|268] - H:\sqmdata03.sqm
    [30/08/2008 21:40|--ah-----|232] - H:\sqmdata04.sqm
    [28/09/2008 18:39|--ah-----|268] - H:\sqmdata05.sqm
    [29/09/2008 05:15|--ah-----|268] - H:\sqmdata06.sqm
    [29/09/2008 20:39|--ah-----|268] - H:\sqmdata07.sqm
    [01/10/2008 17:55|--ah-----|268] - H:\sqmdata08.sqm
    [02/10/2008 19:01|--ah-----|268] - H:\sqmdata09.sqm
    [03/10/2008 18:34|--ah-----|232] - H:\sqmdata10.sqm
    [18/10/2008 06:52|--ah-----|232] - H:\sqmdata11.sqm
    [26/01/2009 09:08|--ah-----|232] - H:\sqmdata12.sqm
    [09/02/2009 22:52|--ah-----|268] - H:\sqmdata13.sqm
    [12/04/2009 09:20|--ah-----|268] - H:\sqmdata14.sqm
    [30/07/2008 14:11|--ah-----|244] - H:\sqmnoopt00.sqm
    [31/07/2008 19:55|--ah-----|244] - H:\sqmnoopt01.sqm
    [01/08/2008 15:07|--ah-----|244] - H:\sqmnoopt02.sqm
    [01/08/2008 17:56|--ah-----|244] - H:\sqmnoopt03.sqm
    [30/08/2008 21:40|--ah-----|244] - H:\sqmnoopt04.sqm
    [28/09/2008 18:39|--ah-----|244] - H:\sqmnoopt05.sqm
    [29/09/2008 05:15|--ah-----|244] - H:\sqmnoopt06.sqm
    [29/09/2008 20:39|--ah-----|244] - H:\sqmnoopt07.sqm
    [01/10/2008 17:55|--ah-----|244] - H:\sqmnoopt08.sqm
    [02/10/2008 19:01|--ah-----|244] - H:\sqmnoopt09.sqm
    [03/10/2008 18:34|--ah-----|244] - H:\sqmnoopt10.sqm
    [18/10/2008 06:52|--ah-----|244] - H:\sqmnoopt11.sqm
    [26/01/2009 09:08|--ah-----|244] - H:\sqmnoopt12.sqm
    [09/02/2009 22:52|--ah-----|244] - H:\sqmnoopt13.sqm
    [12/04/2009 09:20|--ah-----|244] - H:\sqmnoopt14.sqm
    [17/06/2009 16:43|--a------|6776] - H:\UsbFix.txt
    [01/01/1980 00:00|-r-h-----|0] - K:\MEMSTICK.IND
    [01/01/1980 00:00|-r-h-----|0] - K:\MSTK_PRO.IND
    [02/06/2009 04:09|--a------|10391040] - L:\Dossier Bac V3 .2
    [02/06/2009 04:11|--a------|10391040] - L:\Dossier Bac V3 .2.doc
    [02/06/2009 04:12|--a------|10209202] - L:\Dossier Bac V3 .2.odt
    [02/06/2009 08:17|--a------|5888000] - L:\dossier brujaille.doc
    [04/06/2009 18:38|--a------|3425280] - L:\diapo 01.ppt

    ################## [ Vaccination ]

    # D:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.
    # H:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.
    # J:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.
    # K:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.
    # L:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.
    # M:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.

    ################## [ ! Fin du rapport # UsbFix V3.032 ! ]
    0
  15. Taffy
     
    et voila le rapport de "RSIT"

    Logfile of random's system information tool 1.06 (written by random/random)
    Run by TAF at 2009-06-17 16:55:39
    Microsoft Windows XP Édition familiale Service Pack 2
    System drive H: has 107 GB (45%) free of 238 GB
    Total RAM: 2046 MB (77% free)

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 16:55:55, on 17/06/2009
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16850)
    Boot mode: Normal

    Running processes:
    H:\WINDOWS\System32\smss.exe
    H:\WINDOWS\system32\csrss.exe
    H:\WINDOWS\system32\winlogon.exe
    H:\WINDOWS\system32\services.exe
    H:\WINDOWS\system32\lsass.exe
    H:\WINDOWS\system32\svchost.exe
    H:\WINDOWS\system32\svchost.exe
    H:\WINDOWS\System32\svchost.exe
    H:\WINDOWS\system32\svchost.exe
    H:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    H:\Program Files\Alwil Software\Avast4\ashServ.exe
    H:\WINDOWS\Explorer.EXE
    H:\PROGRAM FILES\A-SQUARED FREE\a2service.exe
    H:\WINDOWS\system32\npkcmsvc.exe
    H:\WINDOWS\RTHDCPL.EXE
    H:\WINDOWS\system32\svchost.exe
    H:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    H:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
    H:\Program Files\SuperCopier2\SuperCopier2.exe
    H:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
    H:\Program Files\uTorrent\uTorrent.exe
    H:\WINDOWS\system32\ctfmon.exe
    H:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    H:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    H:\WINDOWS\System32\alg.exe
    H:\WINDOWS\system32\wbem\wmiprvse.exe
    H:\WINDOWS\system32\wuauclt.exe
    H:\Documents and Settings\TAF\Bureau\RSIT.exe
    H:\Program Files\Trend Micro\HijackThis\TAF.exe
    H:\WINDOWS\system32\wuauclt.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.01net.com/telecharger/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - H:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - H:\Program Files\FlashGet\jccatch.dll
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - H:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - H:\Program Files\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - H:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - H:\Program Files\FlashGet\getflash.dll
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [avast!] H:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "H:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    O4 - HKCU\..\Run: [SuperCopier2.exe] H:\Program Files\SuperCopier2\SuperCopier2.exe
    O4 - HKCU\..\Run: [MsnMsgr] "H:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [uTorrent] "H:\Program Files\uTorrent\uTorrent.exe"
    O4 - HKCU\..\Run: [ctfmon.exe] H:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O8 - Extra context menu item: &Tout télécharger avec FlashGet - H:\Program Files\FlashGet\jc_all.htm
    O8 - Extra context menu item: &Télécharger avec FlashGet - H:\Program Files\FlashGet\jc_link.htm
    O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - H:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
    O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - H:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
    O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - H:\Program Files\FlashGet\FlashGet.exe
    O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - H:\Program Files\FlashGet\FlashGet.exe
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab
    O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://www.ma-config.com/activex/MaConfig_3_1_2_1.cab
    O16 - DPF: {D6FCA8ED-4715-43DE-9BD2-2789778A5B09} (NPKCX Control) - http://update.nprotect.net/keycrypt/cabal/npkcx_inca.cab
    O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
    O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - H:\PROGRAM FILES\A-SQUARED FREE\a2service.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - H:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: ATI Smart - Unknown owner - H:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: avast! Antivirus - ALWIL Software - H:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - H:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - H:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - H:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - H:\Program Files\ma-config.com\maconfservice.exe
    O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - H:\WINDOWS\system32\GameMon.des.exe (file missing)
    O23 - Service: npkcmsvc - INCA Internet Co., Ltd. - H:\WINDOWS\system32\npkcmsvc.exe
    O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - H:\WINDOWS\System32\TuneUpDefragService.exe
    0
  16. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    bien ....

    la suite dans l'ordre :

    A -Avoir accès aux fichiers cachés :

    Va dans Menu Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage
    * "Afficher les fichiers et dossiers cachés" ---> coché
    * "Masquer les extensions des fichiers dont le type est connu" ---> décoché
    * "masquer les fichiers du système" ---> décoché
    -> valide la modif ( "appliquer" puis "ok" ).
    ( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... )

    B- Toujours tes unités externes branchées au PC !

    Rends toi sur ce site :

    https://www.virustotal.com/gui/

    Copies ce qui suit et colles le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé ) :
    D:\msipl.bin

    Clique sur Send File ( = " Envoyer le fichier " ).

    Un rapport va s'élaborer ligne à ligne.

    Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

    Sauvegarde le rapport avec le bloc-note.

    Copie le dans ta prochaine réponse ...

    ( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )

    Fais de même pour :
    D:\WMPInfo.xml
    H:\WINDOWS\system32\SETB.tmp


    Poste moi donc ces 3 rapports ( surtout le début avec le listing des AV , et en précisant bien au début de chacuns à quel fichier ils correspondent ) et fais la suite ...

    =========================

    C -Télécharge SDFix sur ton bureau :
    ici http://downloads.andymanchesta.com/RemovalTools/SDFix.exe.
    ou ici http://download.bleepingcomputer.com/andymanchesta/SDFix.exe
    ou ici http://sdfix.net/SDFix.exe

    --> Double-clique sur SDFix.exe et choisis "Install" .

    ( tuto ici : https://www.malekal.com/slenfbot-still-an-other-irc-bot/ )

    Puis une fois l'installe faite ,

    Impératif : Démarrer en mode sans echec .

    /!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\

    Comment aller en Mode sans échec :
    1) Redémarre ton ordi .
    2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" .
    3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage .
    4) Choisis la première option : Sans Échec , et valide en tapant sur [Entrée] .
    5) Choisis ton compte habituel ( et pas Administrateur ).
    attention : pas de connexion possible en mode sans échec , donc copie ou imprime bien la manipe pour éviter les erreurs ...

    Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double-clique sur RunThis.bat pour lancer l'outil .
    -->Tapes Y pour lancer le script ...
    Le Fix supprime les services du virus et nettoie le registre, de ce fait un redémarrage est nécessaire , donc :
    presses une touche pour redémarrer quand il te le sera demandé .

    Le PC va mettre du temps avant de démarrer ( c'est normale ), après le chargement du Bureau presses une touche lorsque "Finished" s'affiche .

    Le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier
    C:\SDFix sous le nom "Report.txt".

    Poste ce dernier dans ta prochaine réponse accompagné d'un nouveau rapport RSIT pour analyse ...

    0
  17. Taffy
     
    voila les résultats, je vais les poster dans 3 messages différents

    "msipl.bin"

    Antivirus Version Dernière mise à jour Résultat
    a-squared 4.5.0.18 2009.06.17 -
    AhnLab-V3 5.0.0.2 2009.06.17 -
    AntiVir 7.9.0.187 2009.06.17 -
    Antiy-AVL 2.0.3.1 2009.06.17 -
    Authentium 5.1.2.4 2009.06.17 -
    Avast 4.8.1335.0 2009.06.17 -
    AVG 8.5.0.339 2009.06.17 -
    BitDefender 7.2 2009.06.17 -
    CAT-QuickHeal 10.00 2009.06.17 -
    ClamAV 0.94.1 2009.06.17 -
    Comodo 1356 2009.06.17 -
    DrWeb 5.0.0.12182 2009.06.17 -
    eSafe 7.0.17.0 2009.06.17 -
    eTrust-Vet 31.6.6566 2009.06.17 -
    F-Prot 4.4.4.56 2009.06.17 -
    F-Secure 8.0.14470.0 2009.06.17 -
    Fortinet 3.117.0.0 2009.06.17 -
    GData 19 2009.06.17 -
    Ikarus T3.1.1.59.0 2009.06.17 -
    Jiangmin 11.0.706 2009.06.17 -
    K7AntiVirus 7.10.766 2009.06.17 -
    Kaspersky 7.0.0.125 2009.06.17 -
    McAfee 5649 2009.06.17 -
    McAfee+Artemis 5649 2009.06.17 -
    McAfee-GW-Edition 6.7.6 2009.06.17 -
    Microsoft 1.4701 2009.06.17 -
    NOD32 4164 2009.06.17 -
    Norman 6.01.09 2009.06.17 -
    nProtect 2009.1.8.0 2009.06.17 -
    Panda 10.0.0.14 2009.06.17 -
    PCTools 4.4.2.0 2009.06.17 -
    Prevx 3.0 2009.06.17 -
    Rising 21.34.24.00 2009.06.17 -
    Sophos 4.42.0 2009.06.17 -
    Sunbelt 3.2.1858.2 2009.06.17 -
    Symantec 1.4.4.12 2009.06.17 -
    TheHacker 6.3.4.3.348 2009.06.17 -
    TrendMicro 8.950.0.1094 2009.06.17 -
    VBA32 3.12.10.7 2009.06.17 -
    ViRobot 2009.6.17.1792 2009.06.17 -
    VirusBuster 4.6.5.0 2009.06.17 -
    Information additionnelle
    File size: 241664 bytes
    MD5...: 142cc4e18edd07f2544793a1cbb43920
    SHA1..: 13489d70adad5b5e3114921462f01d75f57967e0
    SHA256: 4fb18691ccabd3a87f1bdb5c75a437eab924dbc61873bf5a47750aecaa9e82f9
    ssdeep: 6144:xkFUqfe7QVPvYuJAMl22jgxMk+87vF0t92:x4dUQpQufjVk97t
    PEiD..: -
    TrID..: File type identification
    OpenGL object (56.8%)
    Adobe PhotoShop Brush (14.2%)
    MacBinary 2 header (14.2%)
    BONK lossless/lossy audio compressor (14.2%)
    Sybase iAnywhere database files (0.2%)
    PEInfo: -
    PDFiD.: -
    RDS...: NSRL Reference Data Set
    -
    0
  18. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    vu ... les autres donc ... ^^

    0
  19. Taffy
     
    Pour:
    "WMPInfo.xml"

    Antivirus Version Dernière mise à jour Résultat
    a-squared 4.5.0.18 2009.06.17 -
    AhnLab-V3 5.0.0.2 2009.06.17 -
    AntiVir 7.9.0.187 2009.06.17 -
    Antiy-AVL 2.0.3.1 2009.06.17 -
    Authentium 5.1.2.4 2009.06.17 -
    Avast 4.8.1335.0 2009.06.17 -
    AVG 8.5.0.339 2009.06.17 -
    BitDefender 7.2 2009.06.17 -
    CAT-QuickHeal 10.00 2009.06.17 -
    ClamAV 0.94.1 2009.06.17 -
    Comodo 1356 2009.06.17 -
    DrWeb 5.0.0.12182 2009.06.17 -
    eSafe 7.0.17.0 2009.06.17 -
    eTrust-Vet 31.6.6566 2009.06.17 -
    F-Prot 4.4.4.56 2009.06.17 -
    F-Secure 8.0.14470.0 2009.06.17 -
    Fortinet 3.117.0.0 2009.06.17 -
    GData 19 2009.06.17 -
    Ikarus T3.1.1.59.0 2009.06.17 -
    Jiangmin 11.0.706 2009.06.17 -
    K7AntiVirus 7.10.766 2009.06.17 -
    Kaspersky 7.0.0.125 2009.06.17 -
    McAfee 5649 2009.06.17 -
    McAfee+Artemis 5649 2009.06.17 -
    McAfee-GW-Edition 6.7.6 2009.06.17 -
    Microsoft 1.4701 2009.06.17 -
    NOD32 4164 2009.06.17 -
    Norman 6.01.09 2009.06.17 -
    nProtect 2009.1.8.0 2009.06.17 -
    Panda 10.0.0.14 2009.06.17 -
    PCTools 4.4.2.0 2009.06.17 -
    Prevx 3.0 2009.06.17 -
    Rising 21.34.24.00 2009.06.17 -
    Sophos 4.42.0 2009.06.17 -
    Sunbelt 3.2.1858.2 2009.06.17 -
    Symantec 1.4.4.12 2009.06.17 -
    TheHacker 6.3.4.3.348 2009.06.17 -
    TrendMicro 8.950.0.1094 2009.06.17 -
    VBA32 3.12.10.7 2009.06.17 -
    ViRobot 2009.6.17.1792 2009.06.17 -
    VirusBuster 4.6.5.0 2009.06.17 -
    Information additionnelle
    File size: 296 bytes
    MD5...: ce04ecbd1d55a4c3311f4d68aa6f2072
    SHA1..: 383ae84977d998df97fd4b139f90dec8b5e62e69
    SHA256: 575baabdbfbccd172e7d6e9ada4cd968b1c1550207a4c510a317f4cf8bc12cae
    ssdeep: 6:QfAlvZ2xC9QlcCOKyOUYlteQQ1UO6lctT02GtnO6l8tgFKKulzgZn:Q4AQ9QLO
    fOBlDNGt42lO8mFKHza
    PEiD..: -
    TrID..: File type identification
    Text - UTF-16 (LE) encoded (65.2%)
    MP3 audio (32.6%)
    Lumena CEL bitmap (2.0%)
    PEInfo: -
    PDFiD.: -
    RDS...: NSRL Reference Data Set
    -
    packers (F-Prot): Unicode
    0
  20. Taffy
     
    Et pour:
    "SETB.tmp"

    Antivirus Version Dernière mise à jour Résultat
    a-squared 4.5.0.18 2009.06.17 -
    AhnLab-V3 5.0.0.2 2009.06.17 -
    AntiVir 7.9.0.187 2009.06.17 -
    Antiy-AVL 2.0.3.1 2009.06.17 -
    Authentium 5.1.2.4 2009.06.17 -
    Avast 4.8.1335.0 2009.06.17 -
    AVG 8.5.0.339 2009.06.17 -
    BitDefender 7.2 2009.06.17 -
    CAT-QuickHeal 10.00 2009.06.17 -
    ClamAV 0.94.1 2009.06.17 -
    Comodo 1356 2009.06.17 -
    DrWeb 5.0.0.12182 2009.06.17 -
    eSafe 7.0.17.0 2009.06.17 -
    eTrust-Vet 31.6.6566 2009.06.17 -
    F-Prot 4.4.4.56 2009.06.17 -
    F-Secure 8.0.14470.0 2009.06.17 -
    Fortinet 3.117.0.0 2009.06.17 -
    GData 19 2009.06.17 -
    Ikarus T3.1.1.59.0 2009.06.17 -
    Jiangmin 11.0.706 2009.06.17 -
    K7AntiVirus 7.10.766 2009.06.17 -
    Kaspersky 7.0.0.125 2009.06.17 -
    McAfee 5649 2009.06.17 -
    McAfee+Artemis 5649 2009.06.17 -
    McAfee-GW-Edition 6.7.6 2009.06.17 -
    Microsoft 1.4701 2009.06.17 -
    NOD32 4164 2009.06.17 -
    Norman 6.01.09 2009.06.17 -
    nProtect 2009.1.8.0 2009.06.17 -
    Panda 10.0.0.14 2009.06.17 -
    PCTools 4.4.2.0 2009.06.17 -
    Prevx 3.0 2009.06.17 -
    Rising 21.34.24.00 2009.06.17 -
    Sophos 4.42.0 2009.06.17 -
    Sunbelt 3.2.1858.2 2009.06.17 -
    Symantec 1.4.4.12 2009.06.17 -
    TheHacker 6.3.4.3.348 2009.06.17 -
    TrendMicro 8.950.0.1094 2009.06.17 -
    VBA32 3.12.10.7 2009.06.17 -
    ViRobot 2009.6.17.1792 2009.06.17 -
    VirusBuster 4.6.5.0 2009.06.17 -
    Information additionnelle
    File size: 294912 bytes
    MD5...: cfa3d84f9fb775a478447e8b9f7f441b
    SHA1..: 16217ae7a92aba91a003f1769e19c3fb586e1d66
    SHA256: 2807e6b6f206f3ab257799bc4bc619cfebfac7e234bfb410396c8d90a8967485
    ssdeep: 6144:6op2HD2csI783G8ybGsi70fWMTwUO7At3lE:6CcsSG7SXTZO7A7
    PEiD..: -
    TrID..: File type identification
    DirectShow filter (90.9%)
    Win32 Executable Generic (3.8%)
    Win32 Dynamic Link Library (generic) (3.4%)
    Generic Win/DOS Executable (0.9%)
    DOS Executable Generic (0.9%)
    PEInfo: PE Structure information

    ( base data )
    entrypointaddress.: 0x13a5
    timedatestamp.....: 0x47c3ff5f (Tue Feb 26 12:00:31 2008)
    machinetype.......: 0x14c (I386)

    ( 4 sections )
    name viradd virsiz rawdsiz ntrpy md5
    .text 0x1000 0x40c2e 0x40e00 6.55 c385b4608d804ab72e8196db1a4cd543
    .data 0x42000 0x13dc 0xc00 1.95 7f21133f7a1045d14ae087760f433a30
    .rsrc 0x44000 0x35f4 0x3600 4.36 9205a6eb28e28710313af17cd44a1801
    .reloc 0x48000 0x2b68 0x2c00 6.71 3d9c9b1ad88190f33291d8605b732f2c

    ( 6 imports )
    > ADVAPI32.dll: CheckTokenMembership, AllocateAndInitializeSid, FreeSid, RegEnumValueA, RegQueryValueA, RegOpenKeyA, RegDeleteValueW, RegDeleteValueA, GetUserNameA, OpenProcessToken, GetTokenInformation, ConvertSidToStringSidA, RegQueryInfoKeyA, RegSetValueExW, RegEnumKeyExA, RegSetValueExA, RegCreateKeyExA, RegDeleteKeyA, RegQueryValueExW, RegOpenKeyExA, RegQueryValueExA, RegCloseKey
    > GDI32.dll: CreateCompatibleBitmap, SetBkColor, ExtTextOutA, PatBlt, CreateFontIndirectA, GetTextMetricsA, GetTextCharsetInfo, TranslateCharsetInfo, GetBitmapBits, DeleteDC, GetObjectA, CreateBitmap, CreateDIBSection, SelectObject, DeleteObject, CreateDCA, CreateCompatibleDC, BitBlt, SetTextColor, GetStockObject
    > KERNEL32.dll: MultiByteToWideChar, LocalFree, GetCurrentProcess, AddAtomA, FindAtomA, DeleteAtom, OpenMutexA, GetSystemDefaultLCID, GetThreadLocale, GetTickCount, WaitForSingleObject, CreateEventA, OpenEventA, SetEvent, OpenProcess, OpenFileMappingA, IsBadReadPtr, GlobalUnlock, GlobalLock, lstrcpynA, GetSystemDirectoryA, TlsFree, GlobalFree, GlobalAlloc, VirtualAlloc, VirtualFree, HeapDestroy, HeapFree, HeapReAlloc, HeapAlloc, HeapCreate, FlushViewOfFile, GetLocaleInfoW, LoadLibraryA, LoadLibraryW, lstrlenW, QueryPerformanceCounter, GetSystemTimeAsFileTime, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, EnumResourceLanguagesA, GetSystemDefaultLangID, CreateProcessA, TlsAlloc, CreateFileMappingA, GetLastError, GetVersionExA, DeleteCriticalSection, InitializeCriticalSectionAndSpinCount, MapViewOfFile, UnmapViewOfFile, ReleaseMutex, CloseHandle, CreateMutexA, GetModuleFileNameA, GetFullPathNameA, lstrcpyA, GetProcAddress, FreeLibrary, lstrlenA, TlsSetValue, GetCurrentProcessId, EnterCriticalSection, FindResourceA, LoadResource, GetLocaleInfoA, GetACP, WideCharToMultiByte, GetCurrentThreadId, lstrcmpA, TlsGetValue, LeaveCriticalSection, InterlockedIncrement, InterlockedDecrement, lstrcmpiA, IsValidCodePage, GetWindowsDirectoryA, LocalReAlloc, LocalAlloc, GetModuleHandleA, LoadLibraryExA, GetSystemWindowsDirectoryA
    > msvcrt.dll: strncmp, wcscmp, memmove, _except_handler3, _vsnprintf, _adjust_fdiv, malloc, _initterm, free, wcscpy, wcsncpy, _vsnwprintf, wcslen
    > ntdll.dll: LdrLockLoaderLock, LdrUnlockLoaderLock, RtlUnhandledExceptionFilter
    > USER32.dll: CallNextHookEx, SetWindowsHookExA, GetActiveWindow, SetWindowsHookExW, RegisterWindowMessageA, SystemParametersInfoA, PostMessageA, GetUserObjectInformationA, GetThreadDesktop, GetKeyboardState, FindWindowA, SetForegroundWindow, wsprintfA, WaitForInputIdle, GetGUIThreadInfo, MsgWaitForMultipleObjects, DispatchMessageA, SendNotifyMessageA, SetWindowLongA, DestroyIcon, FillRect, GetIconInfo, CopyIcon, CreateIconIndirect, CopyImage, GetDC, DestroyMenu, TrackPopupMenuEx, InsertMenuA, CreatePopupMenu, LoadImageA, CheckMenuItem, InsertMenuItemA, GetMessageA, PeekMessageW, GetMessageW, LoadKeyboardLayoutA, GetKeyboardLayoutList, DrawTextA, GetSysColor, GetCursorPos, WindowFromPoint, GetKeyState, SetTimer, EnumThreadWindows, GetWindow, InSendMessageEx, ActivateKeyboardLayout, GetSystemMetrics, GetFocus, GetForegroundWindow, IsIconic, KillTimer, UnhookWindowsHookEx, GetKeyboardLayout, IsWindow, DestroyWindow, PeekMessageA, PostQuitMessage, GetQueueStatus, GetParent, GetWindowThreadProcessId, FindWindowExA, EnumChildWindows, RegisterClassExA, DefWindowProcA, BeginPaint, LoadIconA, DrawIconEx, ReleaseDC, EndPaint, GetWindowRect, CreateWindowExA, MoveWindow, SendMessageA, EnableWindow, ShowWindow, GetClassNameA, GetClassLongA, GetWindowLongA, IsWindowInDestroy, IsWindowVisible, GetWindowTextA, PostThreadMessageA, LoadCursorA

    ( 39 exports )
    DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer, SetInputScope, SetInputScopeXML, SetInputScopes, TF_CUASAppFix, TF_CheckThreadInputIdle, TF_ClearLangBarAddIns, TF_CreateCategoryMgr, TF_CreateCicLoadMutex, TF_CreateDisplayAttributeMgr, TF_CreateInputProcessorProfiles, TF_CreateLangBarItemMgr, TF_CreateLangBarMgr, TF_CreateThreadMgr, TF_DllDetachInOther, TF_GetGlobalCompartment, TF_GetInputScope, TF_GetLangIcon, TF_GetMlngHKL, TF_GetMlngIconIndex, TF_GetThreadFlags, TF_GetThreadMgr, TF_InatExtractIcon, TF_InitMlngInfo, TF_InitSystem, TF_InvalidAssemblyListCache, TF_InvalidAssemblyListCacheIfExist, TF_IsCtfmonRunning, TF_IsFullScreenWindowAcitvated, TF_IsInMarshaling, TF_MlngInfoCount, TF_PostAllThreadMsg, TF_RegisterLangBarAddIn, TF_RunInputCPL, TF_UninitSystem, TF_UnregisterLangBarAddIn
    PDFiD.: -
    RDS...: NSRL Reference Data Set
    -
    ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=cfa3d84f9fb775a478447e8b9f7f441b' target='_blank'>https://www.symantec.com?md5=cfa3d84f9fb775a478447e8b9f7f441b</a>
    0
  • 1
  • 2
  • 3
  • 4