Trojan TR/Drop.agent.gna.2

wallacebarth -  
 wallacebarth -
Bonjour tous le monde,

Je viens de faire une mise a jur manuelle d'avira antivir et "oh surprise" la présence du trjan TR/Drop.agent.gna.2 a été detecté. Je pesne que c'est lui qui m'empeche de faire les mises a jours automatique de antivir.

Le souci etant que la bestiole tente de se connecter a chaque lancement d un exe...
et elle se multiplie plus bien.

Donc si quelqu'un à un logiciel effice dédié à cette bestiole se sera avec plaisir. Au pire, je poste un hijack en 2eme message, pour les courageux !
Configuration: Windows XP Internet Explorer 7.0

10 réponses

  1. wallacebarth
     
    Logfile of HijackThis v1.99.0
    Scan saved at 18:27:26, on 06/07/2009
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.5730.0013)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir Desktop\sched.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
    C:\WINDOWS\system32\ctfmon.exe
    c:\program files\a-squared\a2service.exe
    C:\Program Files\Fichiers communs\Maxtor\Schedule2\schedul2.exe
    C:\Program Files\Avira\AntiVir Desktop\avguard.exe
    C:\Program Files\Digidesign\Drivers\MMERefresh.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Azureus\Azureus.exe
    C:\Program Files\MSN Messenger\usnsvc.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Documents and Settings\Quequete tueuse\Mes documents\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    O4 - HKLM\..\Run: [servises] C:\WINDOWS\system32\servises.exe
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [servises] C:\WINDOWS\system32\servises.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O11 - Options group: [INTERNATIONAL] International*
    O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
    O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} (asusTek_sysctrl Class) - http://support.asus.com/common/asusTek_sys_ctrl.cab
    O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - http://picasaweb.google.fr/s/v/19.11/uploader2.cab
    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O23 - Service: a-squared Free Service - Emsi Software GmbH - c:\program files\a-squared\a2service.exe
    O23 - Service: Acronis Scheduler2 Service - Acronis - C:\Program Files\Fichiers communs\Maxtor\Schedule2\schedul2.exe
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: Avira AntiVir Planificateur - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
    O23 - Service: Avira AntiVir Guard - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: Digidesign MME Refresh Service - Digidesign, A Division of Avid Technology, Inc. - C:\Program Files\Digidesign\Drivers\MMERefresh.exe
    O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
    O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
    O23 - Service: Google Updater Service - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: InstallDriver Table Manager - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
    O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
    O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
    O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe
    O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
    O23 - Service: Telnet - Unknown - C:\WINDOWS\System32\tlntsvr.exe
    O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
    O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
    0
  2. Ced_King Messages postés 3519 Date d'inscription   Statut Contributeur Dernière intervention   667
     
    Salut,

    - En envoyant le rapport hijackthis, tu as répondu à ton 1er post, donc les " helpers " du forum pensaient que quelqu'un t'avait pris en charge...

    - Pourquoi SP3 n'est pas installé ?

    - La version Hijackthis date de Mathusalem, elle est obsolète !

    Tout d'abord,

    Rends toi sur le site Virustotal

    - Clique sur parcourir et cherche ce fichier : :C:\WINDOWS\system32\servises.exe

    - Puis clique sur " envoyer le fichier " pour démarrer le scan

    - A la fin de l'analyse, un rapport va s'élaborer ligne à ligne.

    - Attends la fin. Il doit comprendre la taille du fichier envoyé.

    Sauvegarde le rapport avec le bloc-note et copie le dans ta réponse.

    Tuto scanner un fichier sur virustotal

    ---------------------
    puis,

    Télécharge et installe ccleaner

    - Durant l'installation, décoche la case proposant la barre d'outils yahoo et celle: " ajouter l'option des mises à jour"

    - Une fois installé, fermes toutes les applications en cours et lance ccleaner

    - clic sur -->" option " --> " avancé " et décoche " effacer les fichiers etc... plus vieux que 48h

    - Sélectionne " nettoyeur " --> clic sur " Analyse " et ensuite sur " nettoyage" , puis referme le programme...

    ---------------------------
    Télécharge RSIT " Random's System Information Tool " sur ton bureau

    - Ferme toutes les applications en cours et double clic sur RSIT.exe

    - Clique sur " Continue " à l'écran --> RSIT va analyser le pc et vérifier si l'outil hijackthis ( version à jour) est présent sur le pc, comme ce n'est pas le cas, RSIT le téléchargera --> il faudra alors accepter la licence

    - Une fois l'analyse terminée, 2 rapports.txt s'ouvrent :
    --> log.txt à l'écran et info.txt dans la barre des taches

    - Poste le contenu des 2 rapports
    0
    1. wallacebarth
       
      info .txt



      info.txt logfile of random's system information tool 1.06 2009-07-06 23:10:48

      ======Uninstall list======

      -->MsiExec /X{E2BE1618-AF5F-4F7D-8484-42E080EDF609}
      -->MsiExec.exe /I{26792CA7-D87A-4DBE-896B-C2F66B344511}
      -->MsiExec.exe /I{7FD9FD10-9F7F-4DDF-B9F0-911209FF0CEA}
      -->MsiExec.exe /I{EB748B9B-F872-4E95-98E8-5CA7E5425DAF}
      -->MsiExec.exe /X{1359D6D8-B1F0-4335-AE79-49CD2AF8EA26}
      -->MsiExec.exe /X{69495273-FCDC-4A86-BCB7-49B504D3FB0E}
      -->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{6FD3298D-5A7E-4498-8CB2-9D8749D7420D}\Setup.exe" -l0x9
      -->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
      3D Custom Girl-->"C:\Documents and Settings\All Users\Application Data\{F3D79B30-A394-4389-B080-D198DF1E6244}\3DCGSetup.exe.exe" REMOVE=TRUE MODIFY=FALSE
      Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
      Adobe Flash Player Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
      Adobe Illustrator CS-->RunDll32 "C:\Program Files\Fichiers communs\InstallShield\Professional\RunTime\0701\Intel32\ctor.dll",LaunchSetup "C:\Program Files\InstallShield Installation Information\{91A4AD99-69CE-4745-97B7-0E0DFBECFDE5}\setup.exe"
      Adobe InDesign CS-->RunDll32 "C:\Program Files\Fichiers communs\InstallShield\Professional\RunTime\0701\Intel32\ctor.dll",LaunchSetup "C:\Program Files\InstallShield Installation Information\{416DFEDD-9F1B-4EFC-AF70-FCA891AE0251}\zidxp.exe"
      Adobe Photoshop CS-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{EFB21DE7-8C19-4A88-BB28-A766E16493BC}\setup.exe" -l0x40c
      Adobe Premiere Pro CS3-->C:\Program Files\Fichiers communs\Adobe\Installers\32fdd767b4383606e8168e834af5d90\Setup.exe
      Adobe Reader 7.0.9 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A70900000002}
      Adobe Setup-->MsiExec.exe /I{BB81360F-041C-4CF7-B15E-71380D154244}
      AGEIA PhysX v7.01.12-->MsiExec.exe /X{E2BE1618-AF5F-4F7D-8484-42E080EDF609}
      Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
      ATI - Utilitaire de désinstallation du logiciel-->C:\Program Files\ATI Technologies\UninstallAll\AtiCimUn.exe
      ATI Catalyst Control Center-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{055EE59D-217B-43A7-ABFF-507B966405D8}\setup.exe" -l0x0
      ATI Display Driver-->rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean
      Audacity 1.2.6-->"C:\Program Files\Audacity\unins000.exe"
      Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir Desktop\setup.exe /REMOVE
      Azureus-->C:\Program Files\Azureus\Uninstall.exe
      Binary News Reaper 0.14.7 Beta-->"C:\Program Files\Binary News Reaper\unins000.exe"
      Call of Duty(R) 4 - Modern Warfare(TM)-->C:\Program Files\InstallShield Installation Information\{E48469CC-635E-4FD5-A122-1497C286D217}\setup.exe -runfromtemp -l0x040c
      Canon Digital Camera USB WIA Driver-->C:\WINDOWS\IsUn0411.exe -f"C:\Program Files\Canon\DC USB WIA\Uninst.isu" -c"C:\Program Files\Canon\DC USB WIA\SetupWia.dll"
      Catalyst Control Center - Branding-->MsiExec.exe /I{4893A35F-0A23-48EC-8E74-24969244D6F2}
      CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
      CloneDVD2-->"C:\Program Files\CloneDVD2\CloneDVD2-uninst.exe" /D="C:\Program Files\CloneDVD2"
      Dawn Of War - Winter Assault-->MsiExec.exe /X{DD8408E9-9421-484F-979D-DB6361E3E828}
      DawnOfWar-->C:\PROGRA~1\FICHIE~1\INSTAL~1\Driver\10\INTEL3~1\IDriver.exe /M{362D5167-9716-44BE-89FD-BF9EB6EF814B}
      EasyRecovery Professional-->C:\PROGRA~1\FICHIE~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{268723B7-A994-4286-9F85-B974D5CAFC7B} /l1036
      eMule-->"C:\Program Files\eMule\Uninstall.exe"
      EVEREST Ultimate Edition v4.50-->"C:\Program Files\EVEREST Ultimate Edition\unins000.exe"
      Far Cry 2-->"C:\Program Files\InstallShield Installation Information\{F2835483-37F2-4123-B4FE-0E77D58447F2}\setup.exe" -runfromtemp -l0x040c -removeonly
      FileZilla (remove only)-->"C:\Program Files\FileZilla\uninstall.exe"
      Gigabyte Raid Configurer-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{3A1B5D40-41E9-43FA-8C7B-A8667F5586EF}\SETUP.EXE" -l0x40c -removeonly
      Google Earth-->MsiExec.exe /I{1D14373E-7970-4F2F-A467-ACA4F0EA21E3}
      High Definition Audio Driver Package - KB888111-->"C:\WINDOWS\$NtUninstallKB888111WXPSP2$\spuninst\spuninst.exe"
      HijackThis 2.0.2-->"C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
      Hotfix for Windows XP (KB915865)-->"C:\WINDOWS\$NtUninstallKB915865$\spuninst\spuninst.exe"
      hp deskjet 3500-->msiexec /x{C7EC0699-D82C-4451-B701-C98C330D43AF}
      J2SE Runtime Environment 5.0 Update 5-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150050}
      K-Lite Codec Pack 4.1.4 (Full)-->"C:\Program Files\K-Lite Codec Pack\unins000.exe"
      Lecteur Windows Media 10-->"C:\Program Files\Windows Media Player\Setup_wm.exe" /Uninstall
      Macromedia Dreamweaver MX 2004-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{05BB2EC5-6BEF-4DDC-9E75-BEE7B161157A}\Setup.exe" -l0x40c mmUninstall
      Macromedia Extension Manager-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{A5BA14E0-7384-11D4-BAE7-00409631A2C8}\Setup.exe" -l0x40c mmUninstall
      Macromedia Fireworks 8-->MsiExec.exe /I{4C24A8C1-7CFA-4650-AF15-732F5BD7B46D}
      Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
      Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
      Microsoft .NET Framework 2.0-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.exe
      Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe"
      Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe"
      Microsoft Office Professional Edition 2003-->MsiExec.exe /I{9011040C-6000-11D3-8CFE-0150048383C9}
      Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
      Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7}
      Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
      Mise à jour de sécurité pour Windows XP (KB921883)-->"C:\WINDOWS\$NtUninstallKB921883$\spuninst\spuninst.exe"
      Mise à jour de sécurité pour Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
      Mozilla Firefox (3.0.11)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
      Mozilla Thunderbird (1.5)-->C:\Program Files\Mozilla Thunderbird\uninstall\uninstall.exe /ua "1.5 (fr)"
      Nero Lite 7.8.5.0-->"C:\Program Files\Nero\unins000.exe"
      Oblivion - Horse Armor Pack-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{3ABEBD00-299D-4DCA-967F-B912163AB5EA}\setup.exe" -l0x9 -removeonly
      Oblivion-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{35CB6715-41F8-4F99-8881-6FC75BF054B0}\setup.exe" -l0x40c -removeonly
      Package de pilotes Windows - Sony PSP Type B (11/20/2005 20051120)-->C:\PROGRA~1\DIFX\7B44739871F4D539FA473F57A832EA4B6A59EF06\DPInst.exe /u C:\WINDOWS\System32\DRVSTORE\psp_87D46C3F73EF6B7F5CD27D922EEE14783E1AD3BF\psp.inf
      PDFCreator-->"C:\Program Files\PDFCreator\unins000.exe"
      Picasa 2-->"C:\Program Files\Picasa\Uninstall.exe"
      PowerQuest PartitionMagic 7.0 Demo-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{1E5007FA-DA5E-4EDD-BDE5-14D128D66887}\Setup.exe"
      QuickTime Alternative 1.81-->"C:\Program Files\QT Alter\unins000.exe"
      RaPiZ PSP Software-->"C:\Program Files\RaPiZ PSP Software\uninstall.exe"
      Real Alternative 1.23-->"C:\Program Files\Real Alternative\unins000.exe"
      REALTEK GbE & FE Ethernet PCI-E NIC Driver-->C:\Program Files\InstallShield Installation Information\{C9BED750-1211-4480-B1A5-718A3BE15525}\SETUP.EXE -runfromtemp -l0x040c -removeonly
      Realtek High Definition Audio Driver-->RtlUpd.exe -r -m
      SpeedFan (remove only)-->"C:\Program Files\SpeedFan\uninstall.exe"
      Spybot - Search & Destroy-->"C:\Program Files\Spybot - Search & Destroy\unins001.exe"
      UseNeXT-->"C:\Program Files\UseNeXT\unins000.exe"
      VideoLAN VLC media player 0.8.6d-->C:\Program Files\VideoLAN\VLC\uninstall.exe
      Winamp (remove only)-->"C:\Program Files\Winamp\UninstWA.exe"
      Windows Installer 3.1 (KB893803)-->"C:\WINDOWS\$MSI31Uninstall_KB893803$\spuninst\spuninst.exe"
      Windows Installer 3.1 (KB893803)-->"C:\WINDOWS\$MSI31Uninstall_KB893803v2$\spuninst\spuninst.exe"
      Windows Internet Explorer 7-->"C:\WINDOWS\ie7\spuninst\spuninst.exe"
      Windows Live Messenger-->MsiExec.exe /I{F6326B60-1B1D-4ABF-BFCD-7B7404F44411}
      Windows Media Format Runtime-->"C:\Program Files\Windows Media Player\wmsetsdk.exe" /UninstallAll
      Windows Media Player Firefox Plugin-->MsiExec.exe /I{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}
      Windows XP Service Pack 2-->C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe
      Winmail Opener 1.2-->C:\Program Files\Winmail Opener\uninst.exe
      WinRAR archiver-->C:\Program Files\WinRAR\uninstall.exe
      WordBiz version 1.8-->"C:\Program Files\WordBiz\unins000.exe"

      ======Hosts File======

      127.0.0.1 localhost
      127.0.0.1 rad.msn.com
      127.0.0.1 rad.live.com
      127.0.0.1 www.007guard.com
      127.0.0.1 007guard.com
      127.0.0.1 008i.com
      127.0.0.1 www.008k.com
      127.0.0.1 008k.com
      127.0.0.1 www.00hq.com
      127.0.0.1 00hq.com

      ======Security center information======

      AV: AntiVir Desktop (outdated)

      ======System event log======

      Computer Name: ULTIMA
      Event Code: 7036
      Message: Le service Service de découvertes SSDP est entré dans l'état : en cours d'exécution.

      Record Number: 40036
      Source Name: Service Control Manager
      Time Written: 20090527100313.000000+120
      Event Type: Informations
      User:

      Computer Name: ULTIMA
      Event Code: 7035
      Message: Un contrôle Démarrer a correctement été envoyé au service Service de découvertes SSDP.

      Record Number: 40035
      Source Name: Service Control Manager
      Time Written: 20090527100313.000000+120
      Event Type: Informations
      User: AUTORITE NT\SYSTEM

      Computer Name: ULTIMA
      Event Code: 7036
      Message: Le service Gestionnaire de connexions d'accès distant est entré dans l'état : en cours d'exécution.

      Record Number: 40034
      Source Name: Service Control Manager
      Time Written: 20090527100313.000000+120
      Event Type: Informations
      User:

      Computer Name: ULTIMA
      Event Code: 7035
      Message: Un contrôle Démarrer a correctement été envoyé au service Gestionnaire de connexions d'accès distant.

      Record Number: 40033
      Source Name: Service Control Manager
      Time Written: 20090527100313.000000+120
      Event Type: Informations
      User: ULTIMA\Quequete tueuse

      Computer Name: ULTIMA
      Event Code: 7036
      Message: Le service Téléphonie est entré dans l'état : en cours d'exécution.

      Record Number: 40032
      Source Name: Service Control Manager
      Time Written: 20090527100313.000000+120
      Event Type: Informations
      User:

      =====Application event log=====

      Computer Name: ULTIMA
      Event Code: 1001
      Message: Les compteurs de performances pour le service WmiApRpl (WmiApRpl) ont été supprimés.
      Les données d'enregistrement contiennent les nouvelles valeurs du dernier compteur système
      et les dernières entrées du registre d'aide.

      Record Number: 11955
      Source Name: LoadPerf
      Time Written: 20081225105115.000000+060
      Event Type: Informations
      User:

      Computer Name: ULTIMA
      Event Code: 866
      Message: L'accès à C:\Program Files\Avira\AntiVir PersonalEdition Classic\avnotify.exe a été restreint par votre administrateur par l'emplacement avec une règle de stratégie {9eddbc3a-91d1-42ea-b8d6-7bd85e64f4bc} placée sur le chemin d'accès C:\Program Files\Avira\AntiVir PersonalEdition Classic\avnotify.exe

      Record Number: 11954
      Source Name: Software Restriction Policies
      Time Written: 20081225104908.000000+060
      Event Type: Avertissement
      User:

      Computer Name: ULTIMA
      Event Code: 1800
      Message: Le service Centre de sécurité Windows a démarré.

      Record Number: 11953
      Source Name: SecurityCenter
      Time Written: 20081225104707.000000+060
      Event Type: Informations
      User:

      Computer Name: ULTIMA
      Event Code: 4096
      Message: Le service AntiVir a bien démarré!

      Record Number: 11952
      Source Name: Avira AntiVir
      Time Written: 20081225104652.000000+060
      Event Type: Informations
      User: AUTORITE NT\SYSTEM

      Computer Name: ULTIMA
      Event Code: 1000
      Message: Les compteurs de performances pour le service WmiApRpl (WmiApRpl) ont été chargés.
      Les données d'enregistrement contiennent les nouvelles valeurs d'index
      assignées à ce service.

      Record Number: 11951
      Source Name: LoadPerf
      Time Written: 20081224181304.000000+060
      Event Type: Informations
      User:

      ======Environment variables======

      "ComSpec"=%SystemRoot%\system32\cmd.exe
      "Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\Liquid.6\QTPlugIns;C:\Program Files\Samsung\Samsung PC Studio 3\;C:\Program Files\Sonic\MyDVD;C:\PROGRA~1\DISKEE~1\DISKEE~1\;C:\Program Files\Fichiers communs\Avid;C:\Program Files\ATI Technologies\ATI.ACE\Core-Static;C:\Program Files\Sonic\MyDVD;;C:\Program Files\Sonic\MyDVD
      "windir"=%SystemRoot%
      "OS"=Windows_NT
      "PROCESSOR_ARCHITECTURE"=x86
      "PROCESSOR_LEVEL"=6
      "PROCESSOR_IDENTIFIER"=x86 Family 6 Model 15 Stepping 11, GenuineIntel
      "PROCESSOR_REVISION"=0f0b
      "NUMBER_OF_PROCESSORS"=2
      "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
      "TEMP"=%SystemRoot%\TEMP
      "TMP"=%SystemRoot%\TEMP
      "FP_NO_HOST_CHECK"=NO
      "VERSION"=2.1.5
      "SESSIONID"=1191376412273g1u0358c.austin.hp.com73c01385:116b21ff008:195b
      "COLLECTIONID"=COL7299
      "ITEMID"=oj-21918-1
      "UPDATEDIR"=C:\DOCUME~1\QUEQUE~1\LOCALS~1\Temp\rad13AB4.tmp
      "TOOLPATH"=/C:\Program%20Files\Hewlett-Packard\HP%20Software%20Update\install.htm
      "HMSERVER"=https://vausnzisprob.austin.hp.com/wuss/servlet/WUSSServlet
      "SWUTVER"=1.0.18.30716
      "OSVER"=winXPP
      "LANG"=1036
      "TIMEOUT"=0
      "RoxioCentral"=C:\Program Files\Fichiers communs\Roxio Shared\Roxio Central\

      -----------------EOF-----------------
      0
    2. wallacebarth
       
      heu ... j'ai dit ou fait un truc qu'il fallait pas ??
      0
  3. wallacebarth
     
    alors pour virustotal

    Fichier services.exe reçu le 2009.05.14 20:25:10 (UTC)Antivirus Version Dernière mise à jour Résultat
    a-squared 4.0.0.101 2009.05.14 -
    AhnLab-V3 5.0.0.2 2009.05.14 -
    AntiVir 7.9.0.166 2009.05.14 -
    Antiy-AVL 2.0.3.1 2009.05.14 -
    Authentium 5.1.2.4 2009.05.14 -
    Avast 4.8.1335.0 2009.05.13 -
    AVG 8.5.0.327 2009.05.14 -
    BitDefender 7.2 2009.05.14 -
    CAT-QuickHeal 10.00 2009.05.14 -
    ClamAV 0.94.1 2009.05.14 -
    Comodo 1157 2009.05.08 -
    DrWeb 5.0.0.12182 2009.05.14 -
    eSafe 7.0.17.0 2009.05.14 -
    eTrust-Vet 31.6.6505 2009.05.14 -
    F-Prot 4.4.4.56 2009.05.14 -
    F-Secure 8.0.14470.0 2009.05.14 -
    Fortinet 3.117.0.0 2009.05.14 -
    GData 19 2009.05.14 -
    Ikarus T3.1.1.49.0 2009.05.14 -
    K7AntiVirus 7.10.735 2009.05.14 -
    Kaspersky 7.0.0.125 2009.05.14 -
    McAfee 5615 2009.05.14 -
    McAfee+Artemis 5615 2009.05.14 -
    McAfee-GW-Edition 6.7.6 2009.05.14 -
    Microsoft 1.4602 2009.05.14 -
    NOD32 4076 2009.05.14 -
    Norman 6.01.05 2009.05.14 -
    nProtect 2009.1.8.0 2009.05.14 -
    Panda 10.0.0.14 2009.05.14 -
    PCTools 4.4.2.0 2009.05.13 -
    Prevx 3.0 2009.05.14 -
    Rising 21.29.34.00 2009.05.14 -
    Sophos 4.41.0 2009.05.14 -
    Sunbelt 3.2.1858.2 2009.05.14 -
    Symantec 1.4.4.12 2009.05.14 -
    TheHacker 6.3.4.1.326 2009.05.14 -
    TrendMicro 8.950.0.1092 2009.05.14 -
    VBA32 3.12.10.5 2009.05.14 -
    ViRobot 2009.5.14.1735 2009.05.14 -

    Information additionnelle
    File size: 108544 bytes
    MD5   : 63dcde1a0d86eeb8924d6738ff616ead
    SHA1  : 59fa407a9f18cfa84e220f450e2a08ecf64cbe42
    SHA256: 349eed6ba2e6d89e95be681c001360fe6307e310959deb878a44ac3b928943df
    PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0xB5CC<BR>timedatestamp.....: 0x41107EB3 (Wed Aug 4 08:14:11 2004)<BR>machinetype.......: 0x14C (Intel I386)<BR><BR>( 3 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x1000 0x18F55 0x19000 6.27 8ff2bbf546e1ef8832de2fa905a7a4e4<BR>.data 0x1A000 0xA14 0xA00 2.05 fd6fc84823efda2858a97fe8e6dd8f76<BR>.rsrc 0x1B000 0x8B8 0xA00 3.79 a42d45f05d2e70211c3682cefccbc0e1<BR><BR>( 10 imports )<BR><BR>> advapi32.dll: RegOpenKeyW, ConvertSidToStringSidW, LogonUserExW, LsaStorePrivateData, LsaLookupNames, LsaQueryInformationPolicy, OpenThreadToken, RegNotifyChangeKeyValue, InitializeSecurityDescriptor, StartServiceCtrlDispatcherW, RegisterServiceCtrlHandlerW, SetServiceStatus, SystemFunction029, SystemFunction005, CheckTokenMembership, FreeSid, AllocateAndInitializeSid, SetSecurityDescriptorOwner, GetSecurityDescriptorDacl, GetLengthSid, CopySid, InitializeAcl, AddAce, SetSecurityDescriptorDacl, LsaOpenPolicy, LsaLookupSids, LsaFreeMemory, LsaClose, ImpersonateLoggedOnUser, CreateProcessAsUserW, GetTokenInformation, RegCloseKey, RegQueryValueExW, RegOpenKeyExW, InitiateSystemShutdownW, RevertToSelf<BR>> kernel32.dll: TerminateProcess, SetProcessShutdownParameters, lstrcmpiW, FormatMessageW, ExitThread, ReleaseMutex, DelayLoadFailureHook, RaiseException, GetExitCodeThread, SetErrorMode, SetUnhandledExceptionFilter, LoadLibraryA, QueryPerformanceCounter, GetCurrentThreadId, GetCurrentProcess, UnhandledExceptionFilter, GetModuleHandleA, CreateMutexW, LocalAlloc, LocalFree, Sleep, LeaveCriticalSection, EnterCriticalSection, SetLastError, CloseHandle, CreateThread, GetLastError, CreateProcessW, ExpandEnvironmentStringsW, InitializeCriticalSection, HeapAlloc, HeapFree, SetConsoleCtrlHandler, WaitForSingleObject, HeapCreate, FreeLibrary, GetProcAddress, GetModuleHandleExW, InterlockedCompareExchange, CreateNamedPipeW, ReadFile, CancelIo, GetOverlappedResult, WaitForMultipleObjects, ConnectNamedPipe, TransactNamedPipe, WriteFile, GetTickCount, GetSystemTimeAsFileTime, GetModuleHandleW, GetComputerNameW, CreateEventW, SetEvent, ResetEvent, DeviceIoControl, CreateFileW, ResumeThread, GetCurrentProcessId, LoadLibraryW, GetDriveTypeW, OpenEventW, GetCurrentThread<BR>> msvcrt.dll: wcsrchr, time, _except_handler3, memmove, wcschr, _c_exit, _exit, _XcptFilter, _cexit, _wcsicmp, exit, __initenv, __getmainargs, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, __set_app_type, _controlfp, wcslen, wcsncmp, _wtol, wcscpy, _itow, _wcsnicmp, wcscat, _initterm, wcsncpy, wcscspn, _ultow<BR>> ncobjapi.dll: WmiSetAndCommitObject, WmiEventSourceConnect, WmiCreateObjectWithFormat<BR>> ntdll.dll: RtlCreateAcl, NtCreateKey, NtQueryValueKey, NtSetValueKey, NtDeleteValueKey, NtEnumerateKey, NtQuerySecurityObject, RtlFreeHeap, NtOpenKey, NtDeleteKey, RtlSetControlSecurityDescriptor, RtlValidSecurityDescriptor, RtlLengthSecurityDescriptor, NtPrivilegeObjectAuditAlarm, NtPrivilegeCheck, NtOpenThreadToken, NtAccessCheckAndAuditAlarm, NtSetInformationThread, NtAdjustPrivilegesToken, NtDuplicateToken, NtOpenProcessToken, NtQueryInformationToken, RtlQuerySecurityObject, RtlAddAccessAllowedAce, RtlValidRelativeSecurityDescriptor, RtlMapGenericMask, RtlCopyUnicodeString, NtSetInformationFile, NtQueryInformationFile, RtlAppendUnicodeStringToString, RtlAppendUnicodeToString, NtWaitForSingleObject, NtQueryDirectoryFile, NtDeleteFile, NtSetInformationProcess, RtlUnhandledExceptionFilter, NtSetEvent, RtlGetAce, RtlQueryInformationAcl, RtlGetDaclSecurityDescriptor, RtlAllocateHeap, RtlCreateSecurityDescriptor, RtlSetDaclSecurityDescriptor, RtlConvertSharedToExclusive, RtlConvertExclusiveToShared, RtlRegisterWait, RtlGetNtProductType, RtlEqualUnicodeString, RtlLengthSid, RtlCopySid, RtlUnicodeStringToAnsiString, RtlInitAnsiString, RtlAnsiStringToUnicodeString, RtlNewSecurityObject, RtlAddAce, RtlSetOwnerSecurityDescriptor, RtlSetGroupSecurityDescriptor, RtlSetSaclSecurityDescriptor, RtlSubAuthorityCountSid, NtOpenDirectoryObject, NtQueryDirectoryObject, RtlCompareUnicodeString, NtLoadDriver, NtUnloadDriver, RtlExpandEnvironmentStrings_U, RtlAdjustPrivilege, NtFlushKey, NtOpenFile, RtlDosPathNameToNtPathName_U, NtOpenSymbolicLinkObject, NtQuerySymbolicLinkObject, RtlFreeUnicodeString, RtlAreAllAccessesGranted, NtDeleteObjectAuditAlarm, NtCloseObjectAuditAlarm, RtlQueueWorkItem, RtlCopyLuid, RtlDeregisterWait, RtlReleaseResource, RtlAcquireResourceExclusive, RtlAcquireResourceShared, RtlInitializeResource, RtlDeleteSecurityObject, RtlLockBootStatusData, RtlGetSetBootStatusData, RtlUnlockBootStatusData, NtInitializeRegistry, NtQueryKey, NtClose, RtlInitUnicodeString, NtSetSystemEnvironmentValue, RtlNtStatusToDosError, NtShutdownSystem, RtlSetSecurityObject, RtlMakeSelfRelativeSD, RtlInitializeSid, RtlLengthRequiredSid, RtlSubAuthoritySid, NtSetSecurityObject<BR>> rpcrt4.dll: RpcServerRegisterAuthInfoW, RpcBindingFree, RpcEpResolveBinding, RpcBindingFromStringBindingW, RpcStringBindingComposeW, NdrClientCall2, RpcAsyncCompleteCall, RpcAsyncInitializeHandle, NdrAsyncServerCall, NdrAsyncClientCall, RpcMgmtStopServerListening, RpcMgmtWaitServerListen, NdrServerCall2, I_RpcBindingIsClientLocal, RpcRevertToSelf, I_RpcMapWin32Status, RpcImpersonateClient, RpcStringBindingParseW, RpcStringFreeW, RpcBindingToStringBindingW, RpcServerRegisterIfEx, RpcServerUseProtseqEpW, RpcServerRegisterIf, RpcServerListen, RpcServerUnregisterIf<BR>> scesrv.dll: ScesrvInitializeServer, ScesrvTerminateServer<BR>> umpnpmgr.dll: RegisterScmCallback, PNP_SetActiveService, PNP_GetDeviceRegProp, PNP_GetDeviceListSize, PNP_GetDeviceList, PNP_HwProfFlags, RegisterServiceNotification, DeleteServicePlugPlayRegKeys<BR>> user32.dll: wsprintfW, BroadcastSystemMessageW, MessageBoxW, LoadStringW, RegisterServicesProcess<BR>> userenv.dll: UnloadUserProfile, CreateEnvironmentBlock, LoadUserProfileW, DestroyEnvironmentBlock<BR><BR>( 0 exports )<BR>
    TrID  : File type identification<BR>Win32 Executable Generic (42.3%)<BR>Win32 Dynamic Link Library (generic) (37.6%)<BR>Generic Win/DOS Executable (9.9%)<BR>DOS Executable Generic (9.9%)<BR>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
    ssdeep: 1536:2TEFQwemxUxDQOYxKO9IYpRbyMkP+roEacrcdISq/Oj/iyxqOxMmO:2q/xUxDQOYxKCIEoSoEUISq/OEOxMmO
    PEiD  : -
    CWSandbox: <A href="http://research.sunbelt-software.com/..." target=_blank>http://research.sunbelt-software.com/...
    RDS   : NSRL Reference Data Set<BR>-
    0
  4. wallacebarth
     
    log .txt

    Logfile of random's system information tool 1.06 (written by random/random)
    Run by Quequete tueuse at 2009-07-06 23:10:40
    Microsoft Windows XP Professionnel Service Pack 2
    System drive C: has 10 GB (18%) free of 56 GB
    Total RAM: 2046 MB (76% free)

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 23:10:47, on 06/07/2009
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.5730.0013)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir Desktop\sched.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
    C:\WINDOWS\system32\ctfmon.exe
    c:\program files\a-squared\a2service.exe
    C:\Program Files\Fichiers communs\Maxtor\Schedule2\schedul2.exe
    C:\Program Files\Avira\AntiVir Desktop\avguard.exe
    C:\Program Files\Digidesign\Drivers\MMERefresh.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\MSN Messenger\usnsvc.exe
    C:\Documents and Settings\Quequete tueuse\Bureau\RSIT.exe
    C:\Program Files\trend micro\Quequete tueuse.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    O4 - HKLM\..\Run: [servises] C:\WINDOWS\system32\servises.exe
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [servises] C:\WINDOWS\system32\servises.exe
    O4 - HKLM\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe
    O4 - HKCU\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
    O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} (asusTek_sysctrl Class) - http://support.asus.com/common/asusTek_sys_ctrl.cab
    O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - http://picasaweb.google.fr/s/v/19.11/uploader2.cab
    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
    O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - c:\program files\a-squared\a2service.exe
    O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Maxtor\Schedule2\schedul2.exe
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
    O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: Digidesign MME Refresh Service (DigiRefresh) - Digidesign, A Division of Avid Technology, Inc. - C:\Program Files\Digidesign\Drivers\MMERefresh.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. wallacebarth
     
    info.txt logfile of random's system information tool 1.06 2009-07-06 23:10:48

    ======Uninstall list======

    -->MsiExec /X{E2BE1618-AF5F-4F7D-8484-42E080EDF609}
    -->MsiExec.exe /I{26792CA7-D87A-4DBE-896B-C2F66B344511}
    -->MsiExec.exe /I{7FD9FD10-9F7F-4DDF-B9F0-911209FF0CEA}
    -->MsiExec.exe /I{EB748B9B-F872-4E95-98E8-5CA7E5425DAF}
    -->MsiExec.exe /X{1359D6D8-B1F0-4335-AE79-49CD2AF8EA26}
    -->MsiExec.exe /X{69495273-FCDC-4A86-BCB7-49B504D3FB0E}
    -->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{6FD3298D-5A7E-4498-8CB2-9D8749D7420D}\Setup.exe" -l0x9
    -->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
    3D Custom Girl-->"C:\Documents and Settings\All Users\Application Data\{F3D79B30-A394-4389-B080-D198DF1E6244}\3DCGSetup.exe.exe" REMOVE=TRUE MODIFY=FALSE
    Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
    Adobe Flash Player Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
    Adobe Illustrator CS-->RunDll32 "C:\Program Files\Fichiers communs\InstallShield\Professional\RunTime\0701\Intel32\ctor.dll",LaunchSetup "C:\Program Files\InstallShield Installation Information\{91A4AD99-69CE-4745-97B7-0E0DFBECFDE5}\setup.exe"
    Adobe InDesign CS-->RunDll32 "C:\Program Files\Fichiers communs\InstallShield\Professional\RunTime\0701\Intel32\ctor.dll",LaunchSetup "C:\Program Files\InstallShield Installation Information\{416DFEDD-9F1B-4EFC-AF70-FCA891AE0251}\zidxp.exe"
    Adobe Photoshop CS-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{EFB21DE7-8C19-4A88-BB28-A766E16493BC}\setup.exe" -l0x40c
    Adobe Premiere Pro CS3-->C:\Program Files\Fichiers communs\Adobe\Installers\32fdd767b4383606e8168e834af5d90\Setup.exe
    Adobe Reader 7.0.9 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A70900000002}
    Adobe Setup-->MsiExec.exe /I{BB81360F-041C-4CF7-B15E-71380D154244}
    AGEIA PhysX v7.01.12-->MsiExec.exe /X{E2BE1618-AF5F-4F7D-8484-42E080EDF609}
    Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
    ATI - Utilitaire de désinstallation du logiciel-->C:\Program Files\ATI Technologies\UninstallAll\AtiCimUn.exe
    ATI Catalyst Control Center-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{055EE59D-217B-43A7-ABFF-507B966405D8}\setup.exe" -l0x0
    ATI Display Driver-->rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean
    Audacity 1.2.6-->"C:\Program Files\Audacity\unins000.exe"
    Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir Desktop\setup.exe /REMOVE
    Azureus-->C:\Program Files\Azureus\Uninstall.exe
    Binary News Reaper 0.14.7 Beta-->"C:\Program Files\Binary News Reaper\unins000.exe"
    Call of Duty(R) 4 - Modern Warfare(TM)-->C:\Program Files\InstallShield Installation Information\{E48469CC-635E-4FD5-A122-1497C286D217}\setup.exe -runfromtemp -l0x040c
    Canon Digital Camera USB WIA Driver-->C:\WINDOWS\IsUn0411.exe -f"C:\Program Files\Canon\DC USB WIA\Uninst.isu" -c"C:\Program Files\Canon\DC USB WIA\SetupWia.dll"
    Catalyst Control Center - Branding-->MsiExec.exe /I{4893A35F-0A23-48EC-8E74-24969244D6F2}
    CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
    CloneDVD2-->"C:\Program Files\CloneDVD2\CloneDVD2-uninst.exe" /D="C:\Program Files\CloneDVD2"
    Dawn Of War - Winter Assault-->MsiExec.exe /X{DD8408E9-9421-484F-979D-DB6361E3E828}
    DawnOfWar-->C:\PROGRA~1\FICHIE~1\INSTAL~1\Driver\10\INTEL3~1\IDriver.exe /M{362D5167-9716-44BE-89FD-BF9EB6EF814B}
    EasyRecovery Professional-->C:\PROGRA~1\FICHIE~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{268723B7-A994-4286-9F85-B974D5CAFC7B} /l1036
    eMule-->"C:\Program Files\eMule\Uninstall.exe"
    EVEREST Ultimate Edition v4.50-->"C:\Program Files\EVEREST Ultimate Edition\unins000.exe"
    Far Cry 2-->"C:\Program Files\InstallShield Installation Information\{F2835483-37F2-4123-B4FE-0E77D58447F2}\setup.exe" -runfromtemp -l0x040c -removeonly
    FileZilla (remove only)-->"C:\Program Files\FileZilla\uninstall.exe"
    Gigabyte Raid Configurer-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{3A1B5D40-41E9-43FA-8C7B-A8667F5586EF}\SETUP.EXE" -l0x40c -removeonly
    Google Earth-->MsiExec.exe /I{1D14373E-7970-4F2F-A467-ACA4F0EA21E3}
    High Definition Audio Driver Package - KB888111-->"C:\WINDOWS\$NtUninstallKB888111WXPSP2$\spuninst\spuninst.exe"
    HijackThis 2.0.2-->"C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
    Hotfix for Windows XP (KB915865)-->"C:\WINDOWS\$NtUninstallKB915865$\spuninst\spuninst.exe"
    hp deskjet 3500-->msiexec /x{C7EC0699-D82C-4451-B701-C98C330D43AF}
    J2SE Runtime Environment 5.0 Update 5-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150050}
    K-Lite Codec Pack 4.1.4 (Full)-->"C:\Program Files\K-Lite Codec Pack\unins000.exe"
    Lecteur Windows Media 10-->"C:\Program Files\Windows Media Player\Setup_wm.exe" /Uninstall
    Macromedia Dreamweaver MX 2004-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{05BB2EC5-6BEF-4DDC-9E75-BEE7B161157A}\Setup.exe" -l0x40c mmUninstall
    Macromedia Extension Manager-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{A5BA14E0-7384-11D4-BAE7-00409631A2C8}\Setup.exe" -l0x40c mmUninstall
    Macromedia Fireworks 8-->MsiExec.exe /I{4C24A8C1-7CFA-4650-AF15-732F5BD7B46D}
    Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
    Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
    Microsoft .NET Framework 2.0-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.exe
    Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe"
    Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe"
    Microsoft Office Professional Edition 2003-->MsiExec.exe /I{9011040C-6000-11D3-8CFE-0150048383C9}
    Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
    Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7}
    Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
    Mise à jour de sécurité pour Windows XP (KB921883)-->"C:\WINDOWS\$NtUninstallKB921883$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
    Mozilla Firefox (3.0.11)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
    Mozilla Thunderbird (1.5)-->C:\Program Files\Mozilla Thunderbird\uninstall\uninstall.exe /ua "1.5 (fr)"
    Nero Lite 7.8.5.0-->"C:\Program Files\Nero\unins000.exe"
    Oblivion - Horse Armor Pack-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{3ABEBD00-299D-4DCA-967F-B912163AB5EA}\setup.exe" -l0x9 -removeonly
    Oblivion-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{35CB6715-41F8-4F99-8881-6FC75BF054B0}\setup.exe" -l0x40c -removeonly
    Package de pilotes Windows - Sony PSP Type B (11/20/2005 20051120)-->C:\PROGRA~1\DIFX\7B44739871F4D539FA473F57A832EA4B6A59EF06\DPInst.exe /u C:\WINDOWS\System32\DRVSTORE\psp_87D46C3F73EF6B7F5CD27D922EEE14783E1AD3BF\psp.inf
    PDFCreator-->"C:\Program Files\PDFCreator\unins000.exe"
    Picasa 2-->"C:\Program Files\Picasa\Uninstall.exe"
    PowerQuest PartitionMagic 7.0 Demo-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{1E5007FA-DA5E-4EDD-BDE5-14D128D66887}\Setup.exe"
    QuickTime Alternative 1.81-->"C:\Program Files\QT Alter\unins000.exe"
    RaPiZ PSP Software-->"C:\Program Files\RaPiZ PSP Software\uninstall.exe"
    Real Alternative 1.23-->"C:\Program Files\Real Alternative\unins000.exe"
    REALTEK GbE & FE Ethernet PCI-E NIC Driver-->C:\Program Files\InstallShield Installation Information\{C9BED750-1211-4480-B1A5-718A3BE15525}\SETUP.EXE -runfromtemp -l0x040c -removeonly
    Realtek High Definition Audio Driver-->RtlUpd.exe -r -m
    SpeedFan (remove only)-->"C:\Program Files\SpeedFan\uninstall.exe"
    Spybot - Search & Destroy-->"C:\Program Files\Spybot - Search & Destroy\unins001.exe"
    UseNeXT-->"C:\Program Files\UseNeXT\unins000.exe"
    VideoLAN VLC media player 0.8.6d-->C:\Program Files\VideoLAN\VLC\uninstall.exe
    Winamp (remove only)-->"C:\Program Files\Winamp\UninstWA.exe"
    Windows Installer 3.1 (KB893803)-->"C:\WINDOWS\$MSI31Uninstall_KB893803$\spuninst\spuninst.exe"
    Windows Installer 3.1 (KB893803)-->"C:\WINDOWS\$MSI31Uninstall_KB893803v2$\spuninst\spuninst.exe"
    Windows Internet Explorer 7-->"C:\WINDOWS\ie7\spuninst\spuninst.exe"
    Windows Live Messenger-->MsiExec.exe /I{F6326B60-1B1D-4ABF-BFCD-7B7404F44411}
    Windows Media Format Runtime-->"C:\Program Files\Windows Media Player\wmsetsdk.exe" /UninstallAll
    Windows Media Player Firefox Plugin-->MsiExec.exe /I{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}
    Windows XP Service Pack 2-->C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe
    Winmail Opener 1.2-->C:\Program Files\Winmail Opener\uninst.exe
    WinRAR archiver-->C:\Program Files\WinRAR\uninstall.exe
    WordBiz version 1.8-->"C:\Program Files\WordBiz\unins000.exe"

    ======Hosts File======

    127.0.0.1 localhost
    127.0.0.1 rad.msn.com
    127.0.0.1 rad.live.com
    127.0.0.1 www.007guard.com
    127.0.0.1 007guard.com
    127.0.0.1 008i.com
    127.0.0.1 www.008k.com
    127.0.0.1 008k.com
    127.0.0.1 www.00hq.com
    127.0.0.1 00hq.com

    ======Security center information======

    AV: AntiVir Desktop (outdated)

    ======System event log======

    Computer Name: ULTIMA
    Event Code: 7036
    Message: Le service Service de découvertes SSDP est entré dans l'état : en cours d'exécution.

    Record Number: 40036
    Source Name: Service Control Manager
    Time Written: 20090527100313.000000+120
    Event Type: Informations
    User:

    Computer Name: ULTIMA
    Event Code: 7035
    Message: Un contrôle Démarrer a correctement été envoyé au service Service de découvertes SSDP.

    Record Number: 40035
    Source Name: Service Control Manager
    Time Written: 20090527100313.000000+120
    Event Type: Informations
    User: AUTORITE NT\SYSTEM

    Computer Name: ULTIMA
    Event Code: 7036
    Message: Le service Gestionnaire de connexions d'accès distant est entré dans l'état : en cours d'exécution.

    Record Number: 40034
    Source Name: Service Control Manager
    Time Written: 20090527100313.000000+120
    Event Type: Informations
    User:

    Computer Name: ULTIMA
    Event Code: 7035
    Message: Un contrôle Démarrer a correctement été envoyé au service Gestionnaire de connexions d'accès distant.

    Record Number: 40033
    Source Name: Service Control Manager
    Time Written: 20090527100313.000000+120
    Event Type: Informations
    User: ULTIMA\Quequete tueuse

    Computer Name: ULTIMA
    Event Code: 7036
    Message: Le service Téléphonie est entré dans l'état : en cours d'exécution.

    Record Number: 40032
    Source Name: Service Control Manager
    Time Written: 20090527100313.000000+120
    Event Type: Informations
    User:

    =====Application event log=====

    Computer Name: ULTIMA
    Event Code: 1001
    Message: Les compteurs de performances pour le service WmiApRpl (WmiApRpl) ont été supprimés.
    Les données d'enregistrement contiennent les nouvelles valeurs du dernier compteur système
    et les dernières entrées du registre d'aide.

    Record Number: 11955
    Source Name: LoadPerf
    Time Written: 20081225105115.000000+060
    Event Type: Informations
    User:

    Computer Name: ULTIMA
    Event Code: 866
    Message: L'accès à C:\Program Files\Avira\AntiVir PersonalEdition Classic\avnotify.exe a été restreint par votre administrateur par l'emplacement avec une règle de stratégie {9eddbc3a-91d1-42ea-b8d6-7bd85e64f4bc} placée sur le chemin d'accès C:\Program Files\Avira\AntiVir PersonalEdition Classic\avnotify.exe

    Record Number: 11954
    Source Name: Software Restriction Policies
    Time Written: 20081225104908.000000+060
    Event Type: Avertissement
    User:

    Computer Name: ULTIMA
    Event Code: 1800
    Message: Le service Centre de sécurité Windows a démarré.

    Record Number: 11953
    Source Name: SecurityCenter
    Time Written: 20081225104707.000000+060
    Event Type: Informations
    User:

    Computer Name: ULTIMA
    Event Code: 4096
    Message: Le service AntiVir a bien démarré!

    Record Number: 11952
    Source Name: Avira AntiVir
    Time Written: 20081225104652.000000+060
    Event Type: Informations
    User: AUTORITE NT\SYSTEM

    Computer Name: ULTIMA
    Event Code: 1000
    Message: Les compteurs de performances pour le service WmiApRpl (WmiApRpl) ont été chargés.
    Les données d'enregistrement contiennent les nouvelles valeurs d'index
    assignées à ce service.

    Record Number: 11951
    Source Name: LoadPerf
    Time Written: 20081224181304.000000+060
    Event Type: Informations
    User:

    ======Environment variables======

    "ComSpec"=%SystemRoot%\system32\cmd.exe
    "Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\Liquid.6\QTPlugIns;C:\Program Files\Samsung\Samsung PC Studio 3\;C:\Program Files\Sonic\MyDVD;C:\PROGRA~1\DISKEE~1\DISKEE~1\;C:\Program Files\Fichiers communs\Avid;C:\Program Files\ATI Technologies\ATI.ACE\Core-Static;C:\Program Files\Sonic\MyDVD;;C:\Program Files\Sonic\MyDVD
    "windir"=%SystemRoot%
    "OS"=Windows_NT
    "PROCESSOR_ARCHITECTURE"=x86
    "PROCESSOR_LEVEL"=6
    "PROCESSOR_IDENTIFIER"=x86 Family 6 Model 15 Stepping 11, GenuineIntel
    "PROCESSOR_REVISION"=0f0b
    "NUMBER_OF_PROCESSORS"=2
    "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
    "TEMP"=%SystemRoot%\TEMP
    "TMP"=%SystemRoot%\TEMP
    "FP_NO_HOST_CHECK"=NO
    "VERSION"=2.1.5
    "SESSIONID"=1191376412273g1u0358c.austin.hp.com73c01385:116b21ff008:195b
    "COLLECTIONID"=COL7299
    "ITEMID"=oj-21918-1
    "UPDATEDIR"=C:\DOCUME~1\QUEQUE~1\LOCALS~1\Temp\rad13AB4.tmp
    "TOOLPATH"=/C:\Program%20Files\Hewlett-Packard\HP%20Software%20Update\install.htm
    "HMSERVER"=https://vausnzisprob.austin.hp.com/wuss/servlet/WUSSServlet
    "SWUTVER"=1.0.18.30716
    "OSVER"=winXPP
    "LANG"=1036
    "TIMEOUT"=0
    "RoxioCentral"=C:\Program Files\Fichiers communs\Roxio Shared\Roxio Central\

    -----------------EOF-----------------
    0
  7. Ced_King Messages postés 3519 Date d'inscription   Statut Contributeur Dernière intervention   667
     
    Bonjour,

    Pour l'analyse Virustotal, il y a une erreur de ta part :

    --> Il ne s'agit pas du fichier services.exe qu'il fallait faire analyser mais de servises.exe
    C'est " ses " à la fin et non pas " ces "

    * Télécharge OTM (OldTimer) sur ton Bureau.
    * Double-clique sur OTM.exe afin de le lancer.
    * Copie (Ctrl+C) le texte suivant ci-dessous :

    :processes
    explorer.exe

    :files
    C:\WINDOWS\system32\servises.exe
    C:\WINDOWS\tasks\At1.job
    C:\WINDOWS\tasks\At10.job
    C:\WINDOWS\tasks\At100.job
    C:\WINDOWS\tasks\At101.job
    C:\WINDOWS\tasks\At102.job
    C:\WINDOWS\tasks\At103.job
    C:\WINDOWS\tasks\At104.job
    C:\WINDOWS\tasks\At105.job
    C:\WINDOWS\tasks\At106.job
    C:\WINDOWS\tasks\At107.job
    C:\WINDOWS\tasks\At108.job
    C:\WINDOWS\tasks\At109.job
    C:\WINDOWS\tasks\At11.job
    C:\WINDOWS\tasks\At110.job
    C:\WINDOWS\tasks\At111.job
    C:\WINDOWS\tasks\At112.job
    C:\WINDOWS\tasks\At113.job
    C:\WINDOWS\tasks\At114.job
    C:\WINDOWS\tasks\At115.job
    C:\WINDOWS\tasks\At116.job
    C:\WINDOWS\tasks\At117.job
    C:\WINDOWS\tasks\At118.job
    C:\WINDOWS\tasks\At119.job
    C:\WINDOWS\tasks\At12.job
    C:\WINDOWS\tasks\At120.job
    C:\WINDOWS\tasks\At121.job
    C:\WINDOWS\tasks\At122.job
    C:\WINDOWS\tasks\At123.job
    C:\WINDOWS\tasks\At124.job
    C:\WINDOWS\tasks\At125.job
    C:\WINDOWS\tasks\At126.job
    C:\WINDOWS\tasks\At127.job
    C:\WINDOWS\tasks\At128.job
    C:\WINDOWS\tasks\At129.job
    C:\WINDOWS\tasks\At13.job
    C:\WINDOWS\tasks\At130.job
    C:\WINDOWS\tasks\At131.job
    C:\WINDOWS\tasks\At132.job
    C:\WINDOWS\tasks\At133.job
    C:\WINDOWS\tasks\At134.job
    C:\WINDOWS\tasks\At135.job
    C:\WINDOWS\tasks\At136.job
    C:\WINDOWS\tasks\At137.job
    C:\WINDOWS\tasks\At138.job
    C:\WINDOWS\tasks\At139.job
    C:\WINDOWS\tasks\At14.job
    C:\WINDOWS\tasks\At140.job
    C:\WINDOWS\tasks\At141.job
    C:\WINDOWS\tasks\At142.job
    C:\WINDOWS\tasks\At143.job
    C:\WINDOWS\tasks\At144.job
    C:\WINDOWS\tasks\At15.job
    C:\WINDOWS\tasks\At16.job
    C:\WINDOWS\tasks\At17.job
    C:\WINDOWS\tasks\At18.job
    C:\WINDOWS\tasks\At19.job
    C:\WINDOWS\tasks\At2.job
    C:\WINDOWS\tasks\At20.job
    C:\WINDOWS\tasks\At21.job
    C:\WINDOWS\tasks\At22.job
    C:\WINDOWS\tasks\At23.job
    C:\WINDOWS\tasks\At24.job
    C:\WINDOWS\tasks\At3.job
    C:\WINDOWS\tasks\At4.job
    C:\WINDOWS\tasks\At5.job
    C:\WINDOWS\tasks\At6.job
    C:\WINDOWS\tasks\At7.job
    C:\WINDOWS\tasks\At8.job
    C:\WINDOWS\tasks\At9.job
    C:\WINDOWS\tasks\At97.job
    C:\WINDOWS\tasks\At98.job
    C:\WINDOWS\tasks\At99.job

    :reg
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    "servises"=-
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    "servises"=-
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    "servises"=-
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    "servises"=-

    :commands
    [purity]
    [emptytemp]
    [reboot]


    * Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.
    * Clique maintenant sur le bouton MoveIt! puis ferme OTM.

    ---> Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
    Accepte en cliquant sur YES.

    * Poste le rapport situé dans ce dossier : C:\_OTM\MovedFiles\

    ---> Le nom du rapport correspond au moment de sa création : date_heure.log

    ---------------------

    0
    1. wallacebarth
       
      Alors je ne trouve pas de fichier servises.exe dans system32 meme en affichant les fichier cachés ...

      je te poste le rapport OTM :


      All processes killed
      ========== PROCESSES ==========
      No active process named explorer.exe was found!
      ========== FILES ==========
      File/Folder C:\WINDOWS\system32\servises.exe not found.
      C:\WINDOWS\tasks\At1.job moved successfully.
      C:\WINDOWS\tasks\At10.job moved successfully.
      C:\WINDOWS\tasks\At100.job moved successfully.
      C:\WINDOWS\tasks\At101.job moved successfully.
      C:\WINDOWS\tasks\At102.job moved successfully.
      C:\WINDOWS\tasks\At103.job moved successfully.
      C:\WINDOWS\tasks\At104.job moved successfully.
      C:\WINDOWS\tasks\At105.job moved successfully.
      C:\WINDOWS\tasks\At106.job moved successfully.
      C:\WINDOWS\tasks\At107.job moved successfully.
      C:\WINDOWS\tasks\At108.job moved successfully.
      C:\WINDOWS\tasks\At109.job moved successfully.
      C:\WINDOWS\tasks\At11.job moved successfully.
      C:\WINDOWS\tasks\At110.job moved successfully.
      C:\WINDOWS\tasks\At111.job moved successfully.
      C:\WINDOWS\tasks\At112.job moved successfully.
      C:\WINDOWS\tasks\At113.job moved successfully.
      C:\WINDOWS\tasks\At114.job moved successfully.
      C:\WINDOWS\tasks\At115.job moved successfully.
      C:\WINDOWS\tasks\At116.job moved successfully.
      C:\WINDOWS\tasks\At117.job moved successfully.
      C:\WINDOWS\tasks\At118.job moved successfully.
      C:\WINDOWS\tasks\At119.job moved successfully.
      C:\WINDOWS\tasks\At12.job moved successfully.
      C:\WINDOWS\tasks\At120.job moved successfully.
      C:\WINDOWS\tasks\At121.job moved successfully.
      C:\WINDOWS\tasks\At122.job moved successfully.
      C:\WINDOWS\tasks\At123.job moved successfully.
      C:\WINDOWS\tasks\At124.job moved successfully.
      C:\WINDOWS\tasks\At125.job moved successfully.
      C:\WINDOWS\tasks\At126.job moved successfully.
      C:\WINDOWS\tasks\At127.job moved successfully.
      C:\WINDOWS\tasks\At128.job moved successfully.
      C:\WINDOWS\tasks\At129.job moved successfully.
      C:\WINDOWS\tasks\At13.job moved successfully.
      C:\WINDOWS\tasks\At130.job moved successfully.
      C:\WINDOWS\tasks\At131.job moved successfully.
      C:\WINDOWS\tasks\At132.job moved successfully.
      C:\WINDOWS\tasks\At133.job moved successfully.
      C:\WINDOWS\tasks\At134.job moved successfully.
      C:\WINDOWS\tasks\At135.job moved successfully.
      C:\WINDOWS\tasks\At136.job moved successfully.
      C:\WINDOWS\tasks\At137.job moved successfully.
      C:\WINDOWS\tasks\At138.job moved successfully.
      C:\WINDOWS\tasks\At139.job moved successfully.
      C:\WINDOWS\tasks\At14.job moved successfully.
      C:\WINDOWS\tasks\At140.job moved successfully.
      C:\WINDOWS\tasks\At141.job moved successfully.
      C:\WINDOWS\tasks\At142.job moved successfully.
      C:\WINDOWS\tasks\At143.job moved successfully.
      C:\WINDOWS\tasks\At144.job moved successfully.
      C:\WINDOWS\tasks\At15.job moved successfully.
      C:\WINDOWS\tasks\At16.job moved successfully.
      C:\WINDOWS\tasks\At17.job moved successfully.
      C:\WINDOWS\tasks\At18.job moved successfully.
      C:\WINDOWS\tasks\At19.job moved successfully.
      C:\WINDOWS\tasks\At2.job moved successfully.
      C:\WINDOWS\tasks\At20.job moved successfully.
      C:\WINDOWS\tasks\At21.job moved successfully.
      C:\WINDOWS\tasks\At22.job moved successfully.
      C:\WINDOWS\tasks\At23.job moved successfully.
      C:\WINDOWS\tasks\At24.job moved successfully.
      C:\WINDOWS\tasks\At3.job moved successfully.
      C:\WINDOWS\tasks\At4.job moved successfully.
      C:\WINDOWS\tasks\At5.job moved successfully.
      C:\WINDOWS\tasks\At6.job moved successfully.
      C:\WINDOWS\tasks\At7.job moved successfully.
      C:\WINDOWS\tasks\At8.job moved successfully.
      C:\WINDOWS\tasks\At9.job moved successfully.
      C:\WINDOWS\tasks\At97.job moved successfully.
      C:\WINDOWS\tasks\At98.job moved successfully.
      C:\WINDOWS\tasks\At99.job moved successfully.
      ========== REGISTRY ==========
      Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\servises deleted successfully.
      Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\\servises deleted successfully.
      Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\servises deleted successfully.
      Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\\servises deleted successfully.
      ========== COMMANDS ==========

      [EMPTYTEMP]

      User: Administrateur
      ->Temp folder emptied: 0 bytes
      ->Temporary Internet Files folder emptied: 54998 bytes

      User: All Users

      User: Default User
      ->Temp folder emptied: 0 bytes
      ->Temporary Internet Files folder emptied: 33170 bytes

      User: Invité
      ->Temp folder emptied: 5700 bytes
      ->Temporary Internet Files folder emptied: 944979 bytes

      User: LocalService
      ->Temp folder emptied: 73220 bytes
      ->Temporary Internet Files folder emptied: 129576 bytes

      User: NetworkService
      ->Temp folder emptied: 66988 bytes
      File delete failed. C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
      ->Temporary Internet Files folder emptied: 33170 bytes

      User: Quequete tueuse
      ->Temp folder emptied: 38163520 bytes
      ->Temporary Internet Files folder emptied: 11882384 bytes
      ->Java cache emptied: 0 bytes
      ->FireFox cache emptied: 20215512 bytes
      ->Apple Safari cache emptied: 2465989 bytes

      %systemdrive% .tmp files removed: 0 bytes
      C:\WINDOWS\NV23362340.TMP folder deleted successfully.
      C:\WINDOWS\NV33003540.TMP folder deleted successfully.
      %systemroot% .tmp files removed: 28101921 bytes
      %systemroot%\System32 .tmp files removed: 6105088 bytes
      Windows Temp folder emptied: 108 bytes
      RecycleBin emptied: 0 bytes

      Total Files Cleaned = 103,26 mb


      OTM by OldTimer - Version 3.0.0.4 log created on 07082009_181519
      All processes killed

      OTM by OldTimer - Version 3.0.0.4 log created on 07082009_181519

      Files moved on Reboot...

      Registry entries deleted on Reboot...





      voilou
      0
  8. Ced_King Messages postés 3519 Date d'inscription   Statut Contributeur Dernière intervention   667
     
    Bonsoir,

    Alors je ne trouve pas de fichier servises.exe dans system32 meme en affichant les fichier cachés ...

    --> Pas de soucis, il s'agissait de clés de registre infectées, OTM a fait du bon boulot

    Comment se comporte le pc ?

    -----------------------
    - Télécharge Malwarebytes' Anti-Malware

    - Installe le > double-clic sur Mbam-setup.exe, à la fin de l'installation, il se mettra automatiquement à jour

    - Une fois installé, fermes toutes les applications en cours et lances Malwarebytes

    - Executes un examen rapide du pc ( tu n'auras pas accès à internet pendant l'analyse)

    - A la fin du scan clic sur " Afficher les résultats ", si Malwarebytes a trouvé des infections >> clic sur " Supprimer la sélection "

    - Si il a besoin de redémarrer le pc pour finir la désinfection, acceptes

    - Un rapport s'établira, postes son contenu.

    Tutoriel Malwarebytes'Antimalware
    0
    1. wallacebarth
       
      bizarrement chaque foix que je termine un outil de suppression j'ai une alerte antivir qui me dit que le trojan tente de se conecter ....



      rapport MBAM

      Malwarebytes' Anti-Malware 1.38
      Version de la base de données: 2396
      Windows 5.1.2600 Service Pack 2

      09/07/2009 00:52:57
      mbam-log-2009-07-09 (00-52-57).txt

      Type de recherche: Examen complet (C:\|D:\|G:\|H:\|I:\|J:\|X:\|Y:\|)
      Eléments examinés: 267979
      Temps écoulé: 49 minute(s), 49 second(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 0
      Valeur(s) du Registre infectée(s): 1
      Elément(s) de données du Registre infecté(s): 7
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 4

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Valeur(s) du Registre infectée(s):
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Services\del (Malware.Trace) -> Quarantined and deleted successfully.

      Elément(s) de données du Registre infecté(s):
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux2 (Trojan.JSRedir.H) -> Bad: (C:\DOCUME~1\QUEQUE~1\LOCALS~1\Temp\..\hcni.twa) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      C:\Documents and Settings\Quequete tueuse\Local Settings\hcni.twa (Trojan.JSRedir.H) -> Quarantined and deleted successfully.
      c:\WINDOWS\system32\MSINET.oca (Rogue.Trace) -> Quarantined and deleted successfully.
      C:\WINDOWS\toolbar.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
      C:\WINDOWS\Sysvxd.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
      0
  9. Ced_King Messages postés 3519 Date d'inscription   Statut Contributeur Dernière intervention   667
     
    Bonjour,

    - Supprime la quarantaine de Malwarebytes --> clique sur l'onglet Quarantaine et supprime tout ce qui s'y trouve

    ---------------------

    - Windows est-il officiel ou est-ce une version piratée ?
    --> Si tu ne peux pas installer SP3, ton pc se réinfectera automatiquement à cause des failles de sécurité :

    Le danger des failles de sécurité


    ----------------------------
    Télécharge Combofix et enregistre le sur ton bureau

    /!\ Désactive la garde de ton antivirus et celle de ton antispyware ( si tu en as un) /!\

    - Déconnecte toi et fermes toutes les applications en cours

    - Double clic sur Combofix.exe >> un message apparait > réponds " oui "
    ( Il est conseillé d'installer la console de récuperations)

    - Sélectionne la langue et presse la touche 1 ( yes) pour lancer le scan

    /!\ Ne touche ni à la souris, ni au clavier durant le scan, cela pourrait figer l'ordi /!\

    - A la fin du scan, Combofix aura besoin de redémarrer pour finir la désinfection, laisses le faire

    - Une fois terminé, un rapport s'affiche, poste son contenu que tu peux aussi trouver à c:\combofix.txt
    0
    1. wallacebarth
       
      Concernant le service pack 3, franchement pour moi il s'agit d'une usine a gaz qui n'apporte rien de notable, si ce n'est pour les failles bien evidement mais sa fait un gros patch juste pour des faille du coup, au dela de cela je ne suis pas vraiment chaud pour modifier une configuration qui marche. J'essayerai donc de trouver uniquement les fix.


      je mets le rapport combofix ci-dessous :




      ComboFix 09-07-09.07 - Quequete tueuse 10/07/2009 11:16.1.2 - NTFSx86
      Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.2046.1633 [GMT 2:00]
      Lancé depuis: c:\documents and settings\Quequete tueuse\Bureau\ComboFix.exe
      AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

      AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
      .

      (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
      .

      c:\documents and settings\Quequete tueuse\Application Data\inst.exe
      c:\recycler\S-1-5-21-1078081533-1682526488-725345543-1003
      C:\svcipa.exe
      c:\temp\1cb
      c:\temp\1cb\syscheck.log
      c:\windows\Installer\11a4a9d.msi
      c:\windows\Installer\4fb35.msi
      c:\windows\Installer\5fb433.msi
      c:\windows\Installer\6b420.msi
      c:\windows\Installer\87b2ee.msi
      c:\windows\Installer\8bdd56.msi
      c:\windows\Installer\903c89.msi
      c:\windows\Installer\988727.msi
      c:\windows\Installer\b6cb59.msi
      c:\windows\Installer\bcbabb.msi
      c:\windows\msettings.ini
      c:\windows\OPTIONS\CABS\_desktop.ini
      c:\windows\patch.exe
      c:\windows\system32\_id.dat
      c:\windows\system32\ert
      c:\windows\system32\open.ico

      .
      ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
      .

      -------\Legacy_OREANS32
      -------\Service_oreans32


      ((((((((((((((((((((((((((((( Fichiers créés du 2009-06-10 au 2009-07-10 ))))))))))))))))))))))))))))))))))))
      .

      2009-07-08 21:53 . 2009-07-08 21:53 3561743 ----a-w- c:\documents and settings\All Users\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
      2009-07-08 16:15 . 2009-07-08 16:15 -------- d-----w- C:\_OTM
      2009-07-06 21:10 . 2009-07-06 21:10 -------- d-----w- C:\rsit
      2009-06-23 10:45 . 2009-03-30 08:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
      2009-06-23 10:45 . 2009-03-24 14:07 55640 ----a-w- c:\windows\system32\drivers\avgntflt.sys
      2009-06-23 10:45 . 2009-02-13 10:28 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
      2009-06-23 10:45 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
      2009-06-23 10:45 . 2009-06-23 10:45 -------- d-----w- c:\program files\Avira
      2009-06-23 10:45 . 2009-06-23 10:45 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
      2009-06-19 20:44 . 2009-06-19 20:44 -------- d-----w- c:\documents and settings\Quequete tueuse\Local Settings\Application Data\vdownloader

      .
      (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2009-07-10 08:35 . 2001-08-28 12:00 75506 ----a-w- c:\windows\system32\perfc00C.dat
      2009-07-10 08:35 . 2001-08-28 12:00 468490 ----a-w- c:\windows\system32\perfh00C.dat
      2009-07-09 21:12 . 2005-10-31 09:27 -------- d-----w- c:\documents and settings\Quequete tueuse\Application Data\Azureus
      2009-07-08 21:56 . 2008-10-31 14:50 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
      2009-07-06 21:17 . 2006-10-16 17:39 -------- d-----w- c:\program files\Trend Micro
      2009-07-06 21:03 . 2007-09-13 08:41 -------- d-----w- c:\program files\CCleaner
      2009-06-24 20:26 . 2005-10-31 09:10 -------- d-----w- c:\program files\eMule
      2009-06-17 09:27 . 2008-10-31 14:50 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
      2009-06-17 09:27 . 2008-10-31 14:50 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
      2009-05-05 19:54 . 2009-05-05 19:54 55572 ---ha-w- c:\windows\system32\mlfcache.dat
      2009-04-26 13:42 . 2009-04-26 13:42 15360 ----a-r- c:\documents and settings\Quequete tueuse\Application Data\Microsoft\Installer\{DD8408E9-9421-484F-979D-DB6361E3E828}\IconDD8408E910.exe
      2009-04-26 13:42 . 2009-04-26 13:42 11264 ----a-r- c:\documents and settings\Quequete tueuse\Application Data\Microsoft\Installer\{DD8408E9-9421-484F-979D-DB6361E3E828}\IconDD8408E96.exe
      2007-09-10 20:30 . 2007-09-10 20:30 278528 ----a-w- c:\program files\Fichiers communs\FDEUnInstaller.exe
      .

      ------- Sigcheck -------

      [7] 2002-08-29 00:58 332928 244A2F9816BC9B593957281EF577D976 c:\windows\$NtServicePackUninstall$\tcpip.sys
      [-] 2007-04-30 15:16 359040 27A5959C94EE173A063CA06BD14F021A c:\windows\system32\drivers\TCPIP.SYS
      .
      ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
      REGEDIT4

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-19 15360]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

      [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-19 15360]
      "Picasa Media Detector"="c:\program files\Picasa\PicasaMediaDetector.exe" [2008-02-26 443968]

      c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
      Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-10-31 110592]

      [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
      BootExecute REG_MULTI_SZ autocheck autochk *\0autocheck lsdelete

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
      "%windir%\\system32\\sessmgr.exe"=
      "c:\\Program Files\\Messenger\\msmsgs.exe"=
      "c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
      "c:\\Program Files\\MSN Messenger\\livecall.exe"=
      "c:\\Program Files\\Azureus\\Azureus.exe"=
      "c:\\WINDOWS\\system32\\mshta.exe"=
      "c:\\Program Files\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
      "x:\\Stranglehold.PC-Rip.Full.Game.English.Skullptura\\Stranglehold\\Binaries\\Retail-Stranglehold.exe"=
      "c:\\Program Files\\eMule\\emule.exe"=
      "c:\\Program Files\\Macromedia\\Dreamweaver MX 2004\\Dreamweaver.exe"=
      "c:\\Program Files\\MUTE\\fileSharingMUTE.exe"=
      "c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
      "c:\\Program Files\\UbiSoft\\Far Cry 2\\bin\\FarCry2.exe"=
      "c:\\Program Files\\UbiSoft\\Far Cry 2\\bin\\FC2Launcher.exe"=
      "c:\\Program Files\\UbiSoft\\Far Cry 2\\bin\\FC2Editor.exe"=
      "c:\\Program Files\\Dawn of War\\W40kWA.exe"=

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
      "AllowInboundEchoRequest"= 1 (0x1)

      R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [23/06/2009 12:45 108289]
      R2 DigiNet;Digidesign Ethernet Support;c:\windows\system32\drivers\diginet.sys [09/12/2008 23:24 11776]
      S2 ousbehci;NEC PCI to USB Enhanced Host Controller;c:\windows\system32\drivers\ousbehci.sys [13/01/2006 20:55 36096]
      S3 A3AB;D-Link AirPro 802.11a/b Wireless Adapter Service(A3AB);c:\windows\system32\drivers\A3AB.sys [20/02/2008 19:43 472832]
      S3 HexTunnelDevice;Hexago Multi-Virtual Tunnel Adapter;c:\windows\system32\drivers\hextun.sys [20/12/2007 05:02 22176]
      S3 ousb2hub;OrangeWare USB 2.0 Hub Support;c:\windows\system32\drivers\ousb2hub.sys [13/01/2006 20:55 53248]
      S3 ST330;ST330;c:\windows\system32\drivers\st330.sys [27/01/2007 18:04 30464]
      S3 STBUS;STBUS;c:\windows\system32\drivers\stbus.sys [27/01/2007 18:04 12672]
      S3 stppp;Speedtouch PPP Adapter Adapter;c:\windows\system32\drivers\stppp.sys [27/01/2007 18:04 32000]
      S3 wsvad_driver;WS Audio Device;c:\windows\system32\drivers\VirtualAudio.sys [12/12/2008 17:47 16896]
      S4 msagent;FireDaemon Service: msagent;c:\windows\security\FireDaemon.exe -s --> c:\windows\security\FireDaemon.exe -s [?]
      S4 netclient;FireDaemon Service: netclient;c:\windows\security\FireDaemon.exe -s --> c:\windows\security\FireDaemon.exe -s [?]
      .
      .
      ------- Examen supplémentaire -------
      .
      uStart Page = hxxp://www.google.fr/
      uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
      DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
      DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.fr/scan8/oscan8.cab
      FF - ProfilePath - c:\documents and settings\Quequete tueuse\Application Data\Mozilla\Firefox\Profiles\ukb6cykk.default\
      FF - prefs.js: browser.search.selectedEngine - Google
      FF - plugin: c:\program files\Java\jre1.5.0_05\bin\NPJava11.dll
      FF - plugin: c:\program files\Java\jre1.5.0_05\bin\NPJava12.dll
      FF - plugin: c:\program files\Java\jre1.5.0_05\bin\NPJava13.dll
      FF - plugin: c:\program files\Java\jre1.5.0_05\bin\NPJava14.dll
      FF - plugin: c:\program files\Java\jre1.5.0_05\bin\NPJava32.dll
      FF - plugin: c:\program files\Java\jre1.5.0_05\bin\NPJPI150_05.dll
      FF - plugin: c:\program files\Java\jre1.5.0_05\bin\NPOJI610.dll
      FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
      .

      **************************************************************************

      catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2009-07-10 11:21
      Windows 5.1.2600 Service Pack 2 NTFS

      Recherche de processus cachés ...

      Recherche d'éléments en démarrage automatique cachés ...

      Recherche de fichiers cachés ...

      Scan terminé avec succès
      Fichiers cachés: 0

      **************************************************************************
      .
      --------------------- CLES DE REGISTRE BLOQUEES ---------------------

      [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32*]
      "ThreadingModel"="Apartment"
      @="c:\\WINDOWS\\System32\\OLE32.DLL"
      "cd042efbbd7f7af1647644e76e06692b"=hex:e2,63,26,f1,3f,c8,ff,68,1c,9a,75,69,2d,
      67,b9,ba,e2,63,26,f1,3f,c8,ff,68,8f,34,63,fb,ca,1e,1c,5b,e2,63,26,f1,3f,c8,\

      [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32*]
      "ThreadingModel"="Apartment"
      @="c:\\WINDOWS\\System32\\OLE32.DLL"
      "bca643cdc5c2726b20d2ecedcc62c59b"=hex:6a,9c,d6,61,af,45,84,18,b0,95,40,29,6c,
      a2,2c,61,6a,9c,d6,61,af,45,84,18,d4,d7,4c,4d,9b,61,17,8d,6a,9c,d6,61,af,45,\

      [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32*]
      "ThreadingModel"="Apartment"
      @="c:\\WINDOWS\\System32\\OLE32.DLL"
      "2c81e34222e8052573023a60d06dd016"=hex:ff,7c,85,e0,43,d4,0e,fe,d2,af,3f,3d,3f,
      20,7c,a2,ff,7c,85,e0,43,d4,0e,fe,f1,e3,bc,d2,ea,4d,ba,b2,ff,7c,85,e0,43,d4,\

      [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32*]
      "ThreadingModel"="Apartment"
      @="c:\\WINDOWS\\System32\\OLE32.DLL"
      "2582ae41fb52324423be06337561aa48"=hex:86,8c,21,01,be,91,eb,e7,e5,c3,1a,69,31,
      56,65,3c,86,8c,21,01,be,91,eb,e7,1f,b8,f5,fa,a4,eb,41,c1,86,8c,21,01,be,91,\

      [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32*]
      "ThreadingModel"="Apartment"
      @="c:\\WINDOWS\\System32\\OLE32.DLL"
      "caaeda5fd7a9ed7697d9686d4b818472"=hex:cd,44,cd,b9,a6,33,6c,cd,4d,8e,39,3c,7e,
      43,78,dd,f5,1d,4d,73,a8,13,5c,05,5a,23,2e,ff,71,66,09,ef,f5,1d,4d,73,a8,13,\

      [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32*]
      "ThreadingModel"="Apartment"
      @="c:\\WINDOWS\\System32\\OLE32.DLL"
      "a4a1bcf2cc2b8bc3716b74b2b4522f5d"=hex:df,20,58,62,78,6b,cf,c8,ce,04,9e,d2,92,
      cf,48,61,df,20,58,62,78,6b,cf,c8,53,65,ea,11,0d,51,97,60,df,20,58,62,78,6b,\

      [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32*]
      "ThreadingModel"="Apartment"
      @="c:\\WINDOWS\\System32\\OLE32.DLL"
      "4d370831d2c43cd13623e232fed27b7b"=hex:fb,a7,78,e6,12,2f,9a,ea,81,aa,84,07,3c,
      2c,ce,ac,fb,a7,78,e6,12,2f,9a,ea,00,92,e7,8b,7c,25,7d,65,fb,a7,78,e6,12,2f,\

      [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32*]
      "ThreadingModel"="Apartment"
      @="c:\\WINDOWS\\System32\\OLE32.DLL"
      "1d68fe701cdea33e477eb204b76f993d"=hex:01,3a,48,fc,e8,04,4a,f1,2e,3c,1c,9b,09,
      58,49,a0,01,3a,48,fc,e8,04,4a,f1,61,7c,5a,bd,29,f8,a2,ee,01,3a,48,fc,e8,04,\

      [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32*]
      "ThreadingModel"="Apartment"
      @="c:\\WINDOWS\\System32\\OLE32.DLL"
      "1fac81b91d8e3c5aa4b0a51804d844a3"=hex:f6,0f,4e,58,98,5b,89,c9,ee,89,05,87,ac,
      f1,22,e2,f6,0f,4e,58,98,5b,89,c9,1e,2f,36,14,e5,c8,20,07,f6,0f,4e,58,98,5b,\

      [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32*]
      "ThreadingModel"="Apartment"
      @="c:\\WINDOWS\\System32\\OLE32.DLL"
      "f5f62a6129303efb32fbe080bb27835b"=hex:3d,ce,ea,26,2d,45,aa,78,61,9f,50,e3,e2,
      dc,1b,ec,3d,ce,ea,26,2d,45,aa,78,74,75,22,7d,4b,7f,3f,01,3d,ce,ea,26,2d,45,\

      [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32*]
      "ThreadingModel"="Apartment"
      @="c:\\WINDOWS\\System32\\OLE32.DLL"
      "fd4e2e1a3940b94dceb5a6a021f2e3c6"=hex:e3,0e,66,d5,eb,bc,2f,6b,e7,2a,41,aa,4e,
      5b,cb,a2,2a,b7,cc,b5,b9,7f,41,e7,83,8d,61,0d,d5,68,d5,36,2a,b7,cc,b5,b9,7f,\

      [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32*]
      "ThreadingModel"="Apartment"
      @="c:\\WINDOWS\\System32\\OLE32.DLL"
      "8a8aec57dd6508a385616fbc86791ec2"=hex:fa,ea,66,7f,d4,3b,6b,70,b9,1e,d5,8a,47,
      c5,60,87,6c,43,2d,1e,aa,22,2f,9c,c3,e4,d5,cd,f2,10,8a,81,6c,43,2d,1e,aa,22,\

      [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
      "OODEFRAG08.00.00.01WORKSTATION"="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"
      .
      --------------------- DLLs chargées dans les processus actifs ---------------------

      - - - - - - - > 'winlogon.exe'(704)
      c:\windows\system32\Ati2evxx.dll

      - - - - - - - > 'explorer.exe'(4064)
      c:\windows\system32\msi.dll
      .
      ------------------------ Autres processus actifs ------------------------
      .
      c:\windows\system32\ati2evxx.exe
      c:\windows\system32\ati2evxx.exe
      c:\windows\system32\scardsvr.exe
      c:\program files\a-squared\a2service.exe
      c:\program files\Fichiers communs\Maxtor\Schedule2\schedul2.exe
      c:\program files\Avira\AntiVir Desktop\avguard.exe
      c:\program files\Digidesign\Drivers\MMERefresh.exe
      c:\windows\system32\wdfmgr.exe
      c:\windows\system32\wscntfy.exe
      .
      **************************************************************************
      .
      Heure de fin: 2009-07-10 11:24 - La machine a redémarré
      ComboFix-quarantined-files.txt 2009-07-10 09:24

      Avant-CF: 9 943 887 872 octets libres
      Après-CF: 9 875 189 760 octets libres

      Current=1 Default=1 Failed=0 LastKnownGood=6 Sets=1,2,3,4,5,6
      233
      0
  10. Ced_King Messages postés 3519 Date d'inscription   Statut Contributeur Dernière intervention   667
     
    Salut,

    Concernant le service pack 3, franchement pour moi il s'agit d'une usine a gaz qui n'apporte rien de notable

    --> Si tu ne l'installes pas, le pc sera de nouveau infecté

    au dela de cela je ne suis pas vraiment chaud pour modifier une configuration qui marche. J'essayerai donc de trouver uniquement les fix

    --> Franchement j'ai du mal a comprendre :
    une configuration qui marche --> ça n'a pas l'air de marcher si bien que ça, la preuve est que tu es là et vu l'état de ton pc...!

    trouver uniquement les fix --> Quand les fix sont encore utilisables, car il y des infections ( Virut, Sality etc...) ou meme l'utilisation de fix ne pourra rien contre ces m****s et ces fix sont des outils qui peuvent parfois s'avérer dangereux si ils sont utilisés n'importe comment...

    Pour éviter les problèmes, il faut que Windows soit à jour mais aussi les applications telles que Java, Adobe, flash etc...
    - Que tes logicels installés le soient aussi, tu peux le vérifier en faisant un scan de vulnérabilité
    - avoir un antivirus à jour et un bon pare-feu ( autre que celui de windows)

    ------------------------

    - Si tu n'arrives toujours pas a activer les mises à jour automatique de ton antivirus :

    Clique sur -->Démarrer -->Exécuter --> Tapes Services.msc

    vérifie que le service est sur Démarrer et sur Automatique comme sur ce lien :

    http://nsa07.casimages.com/img/2009/05/29/09052909300427209.png

    Puis,

    * Une fois ton antivirus à jour, lance un scan en mode sans échec de ta machine :

    ---> Pour redémarrer en mode sans échec :
    - Redémarre ton PC.
    - Au démarrage, tapote sur F8 (F5 sur certains PC) juste après l'affichage du BIOS et juste avant le chargement de Windows.
    - Dans le menu d'options avancées, choisis Mode sans échec.

    Une fois en mode sans echec :

    * Double-clique sur l'icône d'Antivir (Parapluie) dans la barre des tâches.
    * Dans Antivir, choisis Outils puis Configuration.
    * Coche Mode Expert et coche Rech. Rootkit au dém. de la recherche à droite dans Autres réglages.
    * Fais un scan complet et poste le rapport.

    Tutoriel Avira antivir
    0
    1. wallacebarth
       
      Bonsoir,

      Concernant les mise a jour, pas de probleme elles se font toute seule sans souci là.
      J'ai fait un scan complet antivir qui ne trouve pas grand chose, pourtant j ai regulierement le parefeu qui me signale le trojan ... mais moins qu au debut quand meme (a peu pres une fois par jour, contre une foix tte les 5 mn au début).

      rapport antivir





      Avira AntiVir Personal
      Date de création du fichier de rapport : dimanche 12 juillet 2009 22:05

      La recherche porte sur 1516702 souches de virus.

      Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
      Numéro de série : 0000149996-ADJIE-0000001
      Plateforme : Windows XP
      Version de Windows : (Service Pack 2) [5.1.2600]
      Mode Boot : Mode sans échec
      Identifiant : Quequete tueuse
      Nom de l'ordinateur : ULTIMA

      Informations de version :
      BUILD.DAT : 9.0.0.65 17959 Bytes 22/04/2009 12:06:00
      AVSCAN.EXE : 9.0.3.6 466689 Bytes 21/04/2009 12:20:54
      AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02
      LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11
      LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31
      ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 10:29:38
      ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24/06/2009 08:20:48
      ANTIVIR2.VDF : 7.1.4.221 1273856 Bytes 12/07/2009 19:58:34
      ANTIVIR3.VDF : 7.1.4.222 2048 Bytes 12/07/2009 19:58:35
      Version du moteur : 8.2.0.204
      AEVDF.DLL : 8.1.1.1 106868 Bytes 30/04/2009 13:33:10
      AESCRIPT.DLL : 8.1.2.13 426362 Bytes 09/07/2009 18:52:32
      AESCN.DLL : 8.1.2.3 127347 Bytes 15/05/2009 14:20:36
      AERDL.DLL : 8.1.2.2 438642 Bytes 09/07/2009 18:52:32
      AEPACK.DLL : 8.1.3.18 401783 Bytes 27/05/2009 16:10:34
      AEOFFICE.DLL : 8.1.0.38 196987 Bytes 17/06/2009 13:32:46
      AEHEUR.DLL : 8.1.0.137 1823095 Bytes 26/06/2009 15:57:02
      AEHELP.DLL : 8.1.3.6 205174 Bytes 11/06/2009 11:44:16
      AEGEN.DLL : 8.1.1.48 348532 Bytes 09/07/2009 18:52:31
      AEEMU.DLL : 8.1.0.9 393588 Bytes 15/10/2008 09:49:36
      AECORE.DLL : 8.1.6.12 180599 Bytes 27/05/2009 16:10:34
      AEBB.DLL : 8.1.0.3 53618 Bytes 15/10/2008 09:49:34
      AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30
      AVPREF.DLL : 9.0.0.1 43777 Bytes 03/12/2008 10:39:26
      AVREP.DLL : 8.0.0.3 155905 Bytes 20/01/2009 13:34:28
      AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42
      AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22
      AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37
      SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49
      SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57
      NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59
      RCIMAGE.DLL : 9.0.0.21 2438401 Bytes 17/02/2009 12:49:32
      RCTEXT.DLL : 9.0.37.0 88321 Bytes 15/04/2009 09:07:05

      Configuration pour la recherche actuelle :
      Nom de la tâche...............................: Contrôle intégral du système
      Fichier de configuration......................: C:\Program Files\Avira\AntiVir Desktop\sysscan.avp
      Documentation.................................: bas
      Action principale.............................: interactif
      Action secondaire.............................: ignorer
      Recherche sur les secteurs d'amorçage maître..: arrêt
      Recherche sur les secteurs d'amorçage.........: marche
      Secteurs d'amorçage...........................: C:, D:, G:, H:, I:, J:, X:, Y:,
      Recherche dans les programmes actifs..........: marche
      Recherche en cours sur l'enregistrement.......: marche
      Recherche de Rootkits.........................: marche
      Contrôle d'intégrité de fichiers système......: arrêt
      Fichier mode de recherche.....................: Tous les fichiers
      Recherche sur les archives....................: marche
      Limiter la profondeur de récursivité..........: 20
      Archive Smart Extensions......................: marche
      Heuristique de macrovirus.....................: marche
      Heuristique fichier...........................: moyen

      Début de la recherche : dimanche 12 juillet 2009 22:05

      La recherche d'objets cachés commence.
      Impossible d'initialiser le pilote.

      La recherche sur les processus démarrés commence :
      Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
      '11' processus ont été contrôlés avec '11' modules

      La recherche sur les secteurs d'amorçage commence :
      Secteur d'amorçage 'C:\'
      [INFO] Aucun virus trouvé !
      Secteur d'amorçage 'D:\'
      [INFO] Aucun virus trouvé !
      Secteur d'amorçage 'G:\'
      [INFO] Aucun virus trouvé !
      Secteur d'amorçage 'H:\'
      [INFO] Aucun virus trouvé !
      Secteur d'amorçage 'I:\'
      [INFO] Aucun virus trouvé !
      Secteur d'amorçage 'J:\'
      [INFO] Aucun virus trouvé !
      Secteur d'amorçage 'X:\'
      [INFO] Aucun virus trouvé !
      Secteur d'amorçage 'Y:\'
      [INFO] Aucun virus trouvé !

      La recherche sur les renvois aux fichiers exécutables (registre) commence :
      Le registre a été contrôlé ( '51' fichiers).


      La recherche sur les fichiers sélectionnés commence :

      Recherche débutant dans 'C:\' <Eva>
      C:\pagefile.sys
      [AVERTISSEMENT] Impossible d'ouvrir le fichier !
      [REMARQUE] Ce fichier est un fichier système Windows.
      [REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
      C:\Documents and Settings\Quequete tueuse\Bureau\ComboFix.exe
      [0] Type d'archive: RAR SFX (self extracting)
      --> 32788R22FWJFW\n.pif
      [RESULTAT] Le fichier contient un programme exécutable. Cependant, celui-ci se dissimule sous une extension de fichier inoffensive (HIDDENEXT/Crypted)
      C:\Documents and Settings\Quequete tueuse\Bureau\Job\Modèle utile vie quotidienne\Facture_Modele_Pro_Install.exe
      [0] Type d'archive: NSIS
      --> ProgramFilesDir/libapr-1.dll
      [AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
      [AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
      C:\Program Files\Avira\AntiVir Desktop\avnotify.exe
      [AVERTISSEMENT] Impossible d'ouvrir le fichier !
      C:\WINDOWS\system32\drivers\dtscsi.sys
      [AVERTISSEMENT] Impossible d'ouvrir le fichier !
      C:\WINDOWS\system32\drivers\sptd.sys
      [AVERTISSEMENT] Impossible d'ouvrir le fichier !
      Recherche débutant dans 'D:\' <CLEA>
      Recherche débutant dans 'G:\' <Chloé>
      Recherche débutant dans 'H:\' <CECILE>
      H:\download recent\Windows_XP_SP1_Activation_Crack.zip
      [0] Type d'archive: ZIP
      --> WindowsXP Product Key Viewer.exe
      [RESULTAT] Contient le cheval de Troie TR/Agent.12800.V
      H:\download recent\changer clé XP\WindowsXP Product Key Viewer.exe
      [RESULTAT] Contient le cheval de Troie TR/Agent.12800.V
      Recherche débutant dans 'I:\' <Lilou>
      Recherche débutant dans 'J:\' <Ephémére>
      Recherche débutant dans 'X:\' <Crystal>
      Recherche débutant dans 'Y:\' <Saphir>

      Début de la désinfection :
      C:\Documents and Settings\Quequete tueuse\Bureau\ComboFix.exe
      [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4ac760b7.qua' !
      H:\download recent\Windows_XP_SP1_Activation_Crack.zip
      [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4ac860b2.qua' !
      H:\download recent\changer clé XP\WindowsXP Product Key Viewer.exe
      [RESULTAT] Contient le cheval de Troie TR/Agent.12800.V
      [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b4a65b3.qua' !


      Fin de la recherche : lundi 13 juillet 2009 00:14
      Temps nécessaire: 2:07:00 Heure(s)

      La recherche a été effectuée intégralement

      12692 Les répertoires ont été contrôlés
      538910 Des fichiers ont été contrôlés
      3 Des virus ou programmes indésirables ont été trouvés
      0 Des fichiers ont été classés comme suspects
      0 Des fichiers ont été supprimés
      0 Des virus ou programmes indésirables ont été réparés
      3 Les fichiers ont été déplacés dans la quarantaine
      0 Les fichiers ont été renommés
      4 Impossible de contrôler des fichiers
      538903 Fichiers non infectés
      3813 Les archives ont été contrôlées
      6 Avertissements
      4 Consignes
      0
    2. wallacebarth
       
      nouveau scan eet nouvelles detection 5 mn apres la précédentes :




      Avira AntiVir Personal
      Date de création du fichier de rapport : lundi 13 juillet 2009 00:18

      La recherche porte sur 1516702 souches de virus.

      Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
      Numéro de série : 0000149996-ADJIE-0000001
      Plateforme : Windows XP
      Version de Windows : (Service Pack 2) [5.1.2600]
      Mode Boot : Démarré normalement
      Identifiant : SYSTEM
      Nom de l'ordinateur : ULTIMA

      Informations de version :
      BUILD.DAT : 9.0.0.65 17959 Bytes 22/04/2009 12:06:00
      AVSCAN.EXE : 9.0.3.6 466689 Bytes 21/04/2009 12:20:54
      AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02
      LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11
      LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31
      ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 10:29:38
      ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24/06/2009 08:20:48
      ANTIVIR2.VDF : 7.1.4.221 1273856 Bytes 12/07/2009 19:58:34
      ANTIVIR3.VDF : 7.1.4.222 2048 Bytes 12/07/2009 19:58:35
      Version du moteur : 8.2.0.204
      AEVDF.DLL : 8.1.1.1 106868 Bytes 30/04/2009 13:33:10
      AESCRIPT.DLL : 8.1.2.13 426362 Bytes 09/07/2009 18:52:32
      AESCN.DLL : 8.1.2.3 127347 Bytes 15/05/2009 14:20:36
      AERDL.DLL : 8.1.2.2 438642 Bytes 09/07/2009 18:52:32
      AEPACK.DLL : 8.1.3.18 401783 Bytes 27/05/2009 16:10:34
      AEOFFICE.DLL : 8.1.0.38 196987 Bytes 17/06/2009 13:32:46
      AEHEUR.DLL : 8.1.0.137 1823095 Bytes 26/06/2009 15:57:02
      AEHELP.DLL : 8.1.3.6 205174 Bytes 11/06/2009 11:44:16
      AEGEN.DLL : 8.1.1.48 348532 Bytes 09/07/2009 18:52:31
      AEEMU.DLL : 8.1.0.9 393588 Bytes 15/10/2008 09:49:36
      AECORE.DLL : 8.1.6.12 180599 Bytes 27/05/2009 16:10:34
      AEBB.DLL : 8.1.0.3 53618 Bytes 15/10/2008 09:49:34
      AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30
      AVPREF.DLL : 9.0.0.1 43777 Bytes 03/12/2008 10:39:26
      AVREP.DLL : 8.0.0.3 155905 Bytes 20/01/2009 13:34:28
      AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42
      AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22
      AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37
      SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49
      SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57
      NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59
      RCIMAGE.DLL : 9.0.0.21 2438401 Bytes 17/02/2009 12:49:32
      RCTEXT.DLL : 9.0.37.0 88321 Bytes 15/04/2009 09:07:05

      Configuration pour la recherche actuelle :
      Nom de la tâche...............................: Contrôle intégral du système
      Fichier de configuration......................: C:\Program Files\Avira\AntiVir Desktop\sysscan.avp
      Documentation.................................: bas
      Action principale.............................: interactif
      Action secondaire.............................: ignorer
      Recherche sur les secteurs d'amorçage maître..: arrêt
      Recherche sur les secteurs d'amorçage.........: marche
      Secteurs d'amorçage...........................: C:, D:, G:, H:, I:, J:, X:, Y:,
      Recherche dans les programmes actifs..........: marche
      Recherche en cours sur l'enregistrement.......: marche
      Recherche de Rootkits.........................: marche
      Contrôle d'intégrité de fichiers système......: arrêt
      Fichier mode de recherche.....................: Tous les fichiers
      Recherche sur les archives....................: marche
      Limiter la profondeur de récursivité..........: 20
      Archive Smart Extensions......................: marche
      Heuristique de macrovirus.....................: marche
      Heuristique fichier...........................: moyen

      Début de la recherche : lundi 13 juillet 2009 00:18

      La recherche d'objets cachés commence.
      Une instance de la bibliothèque ARK fonctionne déjà.

      La recherche sur les processus démarrés commence :
      Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'usnsvc.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'notepad.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'wmiprvse.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'msnmsgr.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'wdfmgr.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'MMERefresh.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'schedul2.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'a2service.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'scardsvr.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'ati2evxx.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'ati2evxx.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
      '33' processus ont été contrôlés avec '33' modules

      La recherche sur les secteurs d'amorçage commence :
      Secteur d'amorçage 'C:\'
      [INFO] Aucun virus trouvé !
      Secteur d'amorçage 'D:\'
      [INFO] Aucun virus trouvé !
      Secteur d'amorçage 'G:\'
      [INFO] Aucun virus trouvé !
      Secteur d'amorçage 'H:\'
      [INFO] Aucun virus trouvé !
      Secteur d'amorçage 'I:\'
      [INFO] Aucun virus trouvé !
      Secteur d'amorçage 'J:\'
      [INFO] Aucun virus trouvé !
      Secteur d'amorçage 'X:\'
      [INFO] Aucun virus trouvé !
      Secteur d'amorçage 'Y:\'
      [INFO] Aucun virus trouvé !

      La recherche sur les renvois aux fichiers exécutables (registre) commence :
      Le registre a été contrôlé ( '52' fichiers).


      La recherche sur les fichiers sélectionnés commence :

      Recherche débutant dans 'C:\' <Eva>
      C:\pagefile.sys
      [AVERTISSEMENT] Impossible d'ouvrir le fichier !
      [REMARQUE] Ce fichier est un fichier système Windows.
      [REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
      C:\Documents and Settings\Quequete tueuse\Bureau\Job\Modèle utile vie quotidienne\Facture_Modele_Pro_Install.exe
      [0] Type d'archive: NSIS
      --> ProgramFilesDir/libapr-1.dll
      [AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
      [AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
      C:\Program Files\Avira\AntiVir Desktop\avnotify.exe
      [AVERTISSEMENT] Impossible d'ouvrir le fichier !
      C:\System Volume Information\_restore{451CFD3F-7E8D-4F5A-A2F4-6635D0C1BAC2}\RP1275\A0258828.pif
      [RESULTAT] Le fichier contient un programme exécutable. Cependant, celui-ci se dissimule sous une extension de fichier inoffensive (HIDDENEXT/Crypted)
      C:\System Volume Information\_restore{451CFD3F-7E8D-4F5A-A2F4-6635D0C1BAC2}\RP1277\A0258944.exe
      [0] Type d'archive: RAR SFX (self extracting)
      --> 32788R22FWJFW\n.pif
      [RESULTAT] Le fichier contient un programme exécutable. Cependant, celui-ci se dissimule sous une extension de fichier inoffensive (HIDDENEXT/Crypted)
      C:\WINDOWS\system32\drivers\dtscsi.sys
      [AVERTISSEMENT] Impossible d'ouvrir le fichier !
      C:\WINDOWS\system32\drivers\sptd.sys
      [AVERTISSEMENT] Impossible d'ouvrir le fichier !
      Recherche débutant dans 'D:\' <CLEA>

      Début de la désinfection :
      C:\System Volume Information\_restore{451CFD3F-7E8D-4F5A-A2F4-6635D0C1BAC2}\RP1275\A0258828.pif
      [RESULTAT] Le fichier contient un programme exécutable. Cependant, celui-ci se dissimule sous une extension de fichier inoffensive (HIDDENEXT/Crypted)
      [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a8c6e49.qua' !
      C:\System Volume Information\_restore{451CFD3F-7E8D-4F5A-A2F4-6635D0C1BAC2}\RP1277\A0258944.exe
      [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4be4624a.qua' !


      Fin de la recherche : lundi 13 juillet 2009 01:13
      Temps nécessaire: 54:35 Minute(s)

      La recherche a été interrompue !

      9689 Les répertoires ont été contrôlés
      315487 Des fichiers ont été contrôlés
      2 Des virus ou programmes indésirables ont été trouvés
      0 Des fichiers ont été classés comme suspects
      0 Des fichiers ont été supprimés
      0 Des virus ou programmes indésirables ont été réparés
      2 Les fichiers ont été déplacés dans la quarantaine
      0 Les fichiers ont été renommés
      4 Impossible de contrôler des fichiers
      315481 Fichiers non infectés
      2171 Les archives ont été contrôlées
      6 Avertissements
      3 Consignes
      0