Sujet Précédent Sujet Suivant

Virus, HELP Chiquitine, chimay, gen...

Résolu/Fermé
Krapsman Messages postés 674 Date d'inscription vendredi 3 juillet 2009 Statut Membre Dernière intervention 29 août 2009 - 16 juil. 2009 à 10:13
Krapsman Messages postés 674 Date d'inscription vendredi 3 juillet 2009 Statut Membre Dernière intervention 29 août 2009 - 21 juil. 2009 à 11:33
Bonjour,

Voilà mon problème, j'ai été infecté par un autorun.inf par clé USB. Je travaille en réseau d'entreprise et toute la boite est maintenant infectée mais je ne sais pas si c'est par les clés ou par le réseau.
J'ai donc utilisé l'outil USBFix qui vaccine bien les clés et les disques de tous les postes mais pas le disque de partage en réseau...
J'ai donc deux questions:
Est-ce que ce virus autorun.inf (ou le virus qui l'utilise) peut se propager par le réseau et pas uniquement par les clés?
Existe t-il un moyen de vacciner le disque de partage en réseau?

Voilà j'attends vos réponses avec impatience!!

P.S: nous utilisons Norton comme antivirus et il est complètement aveugle à cela... P.S 2: on a aussi un virus appelé W32.doneadup.b, j'amais vu cette extension auparavant..

22 réponses

  • 1
  • 2
Réponse 1 / 22
fix200 Messages postés 3243 Date d'inscription dimanche 28 décembre 2008 Statut Contributeur sécurité Dernière intervention 7 février 2011 158
16 juil. 2009 à 10:45
Salut ,

Le temps que chquitaine ou chimay ou G-H viens .

Est-ce que ce virus autorun.inf (ou le virus qui l'utilise) peut se propager par le réseau et pas uniquement par les clés?

=> Oui , par les clés et par le réseau. 

Existe t-il un moyen de vacciner le disque de partage en réseau?

=> Bah logiquement , tu peux . 

P.S 2: on a aussi un virus appelé W32.doneadup.b, j'amais vu cette extension auparavant..

=> T'es mal barré la ...

UsbFix a été fusionné avec findykill , il existe plus.

Essaye findykill option 1 et colle le rapport.

**********************************************************
********************* Option 1 (Recherche) *********************
**********************************************************

Télécharge FindyKill (Merci a Chiquitine29 ,C_XX , et Chimay8)

▶ Lance l'installation avec les paramètres par défaut

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectés (!) sans les ouvrir (!)


▶ Double clic sur le raccourci FindyKill sur ton bureau

▶ Choisis F pour Français puis presse sur Entrée

▶ Au menu principal,choisis l'option 1 (Recherche)

▶ Poste le rapport FindyKill.txt

Note: le rapport FindyKill.txt est sauvegardé a la racine du disque

++
0
Réponse 2 / 22
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
16 juil. 2009 à 11:08
Salut fix200,

Chiquitine écrivait ceci le 15 juillet # 830:
« ...je compte remettre usbfix en circulation ..
Ce qui inclu que fyk sera consacré a bagle et rien d autres ...
Je me rend compte que fyk risque d etre moins performant avec l ajout du changelog usbfix ..
Usbfix necessite beaucoup de maj donc il y a un gros taff a fournir avant qu il soit réellement performant comme fyk ........... »
Bonne chance.
Al.
0
Réponse 3 / 22
fix200 Messages postés 3243 Date d'inscription dimanche 28 décembre 2008 Statut Contributeur sécurité Dernière intervention 7 février 2011 158
16 juil. 2009 à 11:12
Merci afideg :)

Heureusement que j'ai gardé le canned de Usbfix ...



A+
0
Réponse 4 / 22
Krapsman Messages postés 674 Date d'inscription vendredi 3 juillet 2009 Statut Membre Dernière intervention 29 août 2009
16 juil. 2009 à 11:38
Re,
Voilà le rapport de Findykill, le problème c'est que je l'ai déjà passé hier en mode recherche puis suppression puis vaccination mais comme je l'ai dit tout à l'heure Findykill n'analyse pas W:\ qui est le disque de partage en réseau. D'ailleurs dans ce dernier rapport il m'analyse même pas ma clé usb qui était branchée...

J'espère que tu pourras m'aider!!
Et j'ai fais appel à chiquitine en priorité vu que c'est elle qui a concu ce petit outil, normallement efficace pour mon ordinateur perso (mais visiblement pas celui du taf...)


############################## | FindyKill V6.006 |

# User :XXXXXXXXXXXXX
# Update on 14/07/09 by Chiquitine29 & C_XX
# Start at: 11:36:48 | 16/07/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html

# Intel(R) Core(TM)2 Duo CPU T7500 @ 2.20GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 7.0.5730.11
# Windows Firewall Status : Enabled
# AV : Symantec AntiVirus Corporate Edition 10.1.5.5000 [ Enabled | (!) Outdated ]

# A:\ # Disque amovible # 123.01 Mo (117.54 Mo free) # FAT32
# C:\ # Disque fixe local # 29.3 Go (11.84 Go free) [Systeme] # NTFS
# D:\ # Disque fixe local # 68.36 Go (40.08 Go free) [Donnees] # NTFS
# E:\ # Disque fixe local # 14.13 Go (8.02 Go free) [Master] # NTFS
# F:\ # Disque CD-ROM
# R:\ # Connexion réseau # 279.36 Go (225.08 Go free) [Data] # NTFS
# U:\ # Connexion réseau # 279.36 Go (225.08 Go free) [Data] # NTFS
# V:\ # Disque CD-ROM
# W:\ # Connexion réseau # 279.36 Go (225.08 Go free) [Data] # NTFS

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\agrsmsvc.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\hasplms.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Program Files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Intel\AMT\LMS.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\NA_Service.exe
C:\WINDOWS\system32\NA_XWAY.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\OCS Inventory Agent\ocsservice.exe
C:\Program Files\Symantec AntiVirus\SavRoam.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\system32\ThpSrv.exe
C:\Program Files\TOSHIBA\TME3\Tmesrv31.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
C:\WINDOWS\system32\ServerNT.exe
C:\Program Files\Intel\AMT\UNS.exe
C:\WINDOWS\system32\vmnat.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Program Files\VMware\VMware Workstation\vmware-authd.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\TOSHIBA\TME3\TMEEJME.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\00THotkey.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\thpsrv.exe
C:\Program Files\TOSHIBA\TouchED\TouchED.exe
C:\WINDOWS\system32\TFNF5.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\Program Files\TOSHIBA\TME3\TMERzCtl.EXE
C:\WINDOWS\system32\TPSMain.exe
C:\Program Files\TOSHIBA\TOSHIBA Zooming Utility\SmoothView.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Protector Suite QL\psqltray.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Program Files\VMware\VMware Workstation\vmware-tray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Program Files\KirysTech2k\FastNote\kfn.exe
C:\Program Files\Prg Chris\Anti-Autorun.inf\Anti-Autorun.inf.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\ToshibaBTServer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Registre Startup |

R1 - HKCU\..\Main: "Local Page"="C:\\WINDOWS\\system32\\blank.htm"
R1 - HKCU\..\Main: "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
R1 - HKCU\..\Main: "Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
R1 - HKCU\..\Main: "Window Title"=""
F2 - HKLM\..\logon:"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
F2 - HKLM\..\logon:"DefaultUserName"="ddaisne"
F2 - HKLM\..\logon:"AltDefaultUserName"="ddaisne"
F2 - HKLM\..\logon:"LegalNoticeCaption"=""
F2 - HKLM\..\logon:"LegalNoticeText"=""
04 - HKLM\..\Run: SynTPEnh=C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
04 - HKLM\..\Run: WatchDog=C:\Program Files\InterVideo\DVD Check\DVDCheck.exe
04 - HKLM\..\Run: IAAnotif="C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
04 - HKLM\..\Run: SunJavaUpdateSched="C:\Program Files\Java\jre6\bin\jusched.exe"
04 - HKLM\..\Run: 00THotkey=C:\WINDOWS\system32\00THotkey.exe
04 - HKLM\..\Run: 000StTHK=000StTHK.exe
04 - HKLM\..\Run: NvCplDaemon=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
04 - HKLM\..\Run: nwiz=nwiz.exe /installquiet /keeploaded /nodetect
04 - HKLM\..\Run: NVRotateSysTray=rundll32.exe C:\WINDOWS\system32\nvsysrot.dll,Enable
04 - HKLM\..\Run: ThpSrv=C:\WINDOWS\system32\thpsrv /logon
04 - HKLM\..\Run: TouchED=C:\Program Files\TOSHIBA\TouchED\TouchED.exe
04 - HKLM\..\Run: TFNF5=TFNF5.exe
04 - HKLM\..\Run: RTHDCPL=RTHDCPL.EXE
04 - HKLM\..\Run: Alcmtr=ALCMTR.EXE
04 - HKLM\..\Run: Apoint=C:\Program Files\Apoint2K\Apoint.exe
04 - HKLM\..\Run: TFncKy=TFncKy.exe
04 - HKLM\..\Run: TMERzCtl.EXE=C:\Program Files\TOSHIBA\TME3\TMERzCtl.EXE /Service
04 - HKLM\..\Run: TMESRV.EXE=C:\Program Files\TOSHIBA\TME3\TMESRV31.EXE /Logon
04 - HKLM\..\Run: TPSODDCtl=TPSODDCtl.exe
04 - HKLM\..\Run: TPSMain=TPSMain.exe
04 - HKLM\..\Run: SmoothView=C:\Program Files\TOSHIBA\TOSHIBA Zooming Utility\SmoothView.exe
04 - HKLM\..\Run: IgfxTray=C:\WINDOWS\system32\igfxtray.exe
04 - HKLM\..\Run: HotKeysCmds=C:\WINDOWS\system32\hkcmd.exe
04 - HKLM\..\Run: Persistence=C:\WINDOWS\system32\igfxpers.exe
04 - HKLM\..\Run: PDF3 Registry Controller="C:\Program Files\ScanSoft\PDF Professional 3.0\\RegistryController.exe"
04 - HKLM\..\Run: Sony Ericsson PC Suite="C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
04 - HKLM\..\Run: PSQLLauncher="C:\Program Files\Protector Suite QL\launcher.exe" /startup
04 - HKLM\..\Run: ccApp="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
04 - HKLM\..\Run: vptray=C:\PROGRA~1\SYMANT~1\VPTray.exe
04 - HKLM\..\Run: CloneCDTray="C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
04 - HKLM\..\Run: Adobe Reader Speed Launcher="C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
04 - HKLM\..\Run: vmware-tray="C:\Program Files\VMware\VMware Workstation\vmware-tray.exe"
04 - HKLM\..\Run: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
04 - HKCU\..\Run: ctfmon.exe#C:\WINDOWS\system32\ctfmon.exe#
04 - HKCU\..\Run: DAEMON Tools Lite#"C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun#
04 - HKCU\..\Run: swg#C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe#

################## | Fichiers # Dossiers infectieux |


################## | C:\Documents and Settings\ddaisne\Temporary Internet Files |


################## | All Drives ... |


################## | Registre # Clés Run infectieuses |

Présent ! HKLM\software\microsoft\windows nt\currentversion\winlogon "Taskman"

################## | Registre # Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{054b2f6f-dc97-11dd-a801-001f3b4b873b}
Shell\AutoRun\command =H:\LaunchU3.exe -a

################## | Etat / Services / Informations |

# Affichage des fichiers cachés : OK
# Mode sans echec : OK
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# Ip6Fw -> Start = 2 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )

# C:\autorun.inf ( # Not infected ) -> Folder created by FindyKill.
# D:\autorun.inf ( # Not infected ) -> Folder created by FindyKill.
# E:\autorun.inf ( # Not infected ) -> Folder created by FindyKill.
# R:\autorun.inf ( # Not infected ) -> Folder created by FindyKill.
# U:\autorun.inf ( # Not infected ) -> Folder created by FindyKill.

################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # FindyKill V6.006 ! |
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 22
fix200 Messages postés 3243 Date d'inscription dimanche 28 décembre 2008 Statut Contributeur sécurité Dernière intervention 7 février 2011 158
16 juil. 2009 à 11:45
Salut ,

Et j'ai fais appel à chiquitine en priorité vu que c'est elle qui a concu ce petit outil, normallement efficace pour mon ordinateur perso (mais visiblement pas celui du taf...)

chiquitine est un homme pas une femme :)

Tu peux demander a chiki si findykill analyse les disques réseau .

Si non , Pas grave , je vais te trouver une solution ;)


**********************************************************
********************* Option 2 (Nettoyage) *********************
**********************************************************

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectés (!) sans les ouvrir (!)


▶ Double-clique sur le raccourci FindyKill situé sur ton Bureau

▶ Choisis F pour Français puis presse Entrée.

▶ Au menu principal, choisis l'option 2 (Suppression)

▶ Poste le rapport FindyKill.txt

Note : le rapport FindyKill.txt est sauvegardé a la racine du disque

Ensuite :


Télécharge TrendMicro™ HijackThis™ sur ton bureau.


▶ Fais un double-clic sur HJTInstall.exe afin de lancer l'installation

▶ Clique sur Install ensuite sur I Accept

▶ Lance un scan en cliquant sur " do a system scan and save a logfile " .

▶ Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note

Copie-colle son contenu A ta prochaine réponse.


Tutoriel hijackthis


++
0
Réponse 6 / 22
Krapsman Messages postés 674 Date d'inscription vendredi 3 juillet 2009 Statut Membre Dernière intervention 29 août 2009
16 juil. 2009 à 11:47
Juste une petite précision sur mon deuxième problème,
en fait Norton détecte le virus W32.downadup.b puis supprime le fichier qqjsnuiu.ew sans préciser le répertoire du fichier...
Alors on pense que c'est fini mais non!!
Norton détecte ce truc régulièrement, environ une fois tout les deux jours sur chaque poste... J'imagine que c'est le bohneur de travailler en réseau...
En tout cas j'avais jamais vu avant ces extansions .B et .ew donc si quelqu'un peut m'aider, merci beaucoup!!

Mais de toute façon le responsable informatique a décidé de faire bientot venir des réparateurs...
0
Réponse 7 / 22
fix200 Messages postés 3243 Date d'inscription dimanche 28 décembre 2008 Statut Contributeur sécurité Dernière intervention 7 février 2011 158
16 juil. 2009 à 11:51
ARRF !

Tu es vraiment mal barré la ...

Downalup est très dangereux ! :(

Tu peux faire ça : http://www.commentcamarche.net/forum/affich 13381248 virus help chiquitine chimay gen?#5

Regade ça :( : conficker

0
Réponse 8 / 22
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
16 juil. 2009 à 11:56
Salut,

Pour info:

.b = Fichier Photoline\Défaults
- Fichier code source en langage BASIC
- Base program (Modula-3)
- Liste de commandes (Batch list) (Lotus APPLAUSE)
- Données du canal BLEU d'une image (Spaceward Graphics)
.EW = Include file for Euphoria (Windows)
.ews = Fichier E-Way Shop ( catalogue de vente par correspondance E-Way )

Al.
0
Réponse 9 / 22
fix200 Messages postés 3243 Date d'inscription dimanche 28 décembre 2008 Statut Contributeur sécurité Dernière intervention 7 février 2011 158
16 juil. 2009 à 11:58
Oki .

Merci afideg :)
0
Réponse 10 / 22
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
16 juil. 2009 à 12:16
De rien.
Mais lis aussi ceci: http://msmvps.com/blogs/docxp/archive/2008/12/31/1658203.aspx
C'est très intéressant.
Al.
0
Réponse 11 / 22
Krapsman Messages postés 674 Date d'inscription vendredi 3 juillet 2009 Statut Membre Dernière intervention 29 août 2009
16 juil. 2009 à 13:02
OK, merci les gars de m'avoir mis en stress!!!
Bon voici les deux rapports demandés:

############################## | FindyKill V6.006 |

# User : xxxxxxxxx
# Update on 14/07/09 by Chiquitine29 & C_XX
# Start at: 12:10:18 | 16/07/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html

# Intel(R) Core(TM)2 Duo CPU T7500 @ 2.20GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 7.0.5730.11
# Windows Firewall Status : Enabled
# AV : Symantec AntiVirus Corporate Edition 10.1.5.5000 [ Enabled | (!) Outdated ]

# A:\ # Disque amovible # 123.01 Mo (117.23 Mo free) # FAT32
# C:\ # Disque fixe local # 29.3 Go (11.84 Go free) [Systeme] # NTFS
# D:\ # Disque fixe local # 68.36 Go (40.07 Go free) [Donnees] # NTFS
# E:\ # Disque fixe local # 14.13 Go (8.02 Go free) [Master] # NTFS
# F:\ # Disque CD-ROM
# V:\ # Disque CD-ROM
# W:\ # Connexion réseau # 279.36 Go (224.99 Go free) [Data] # NTFS

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\agrsmsvc.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\hasplms.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\WINDOWS\system32\imapi.exe
C:\Program Files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Intel\AMT\LMS.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\NA_Service.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\NA_XWAY.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\OCS Inventory Agent\ocsservice.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Symantec AntiVirus\SavRoam.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\system32\ThpSrv.exe
C:\Program Files\TOSHIBA\TME3\Tmesrv31.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
C:\WINDOWS\system32\ServerNT.exe
C:\Program Files\Intel\AMT\UNS.exe
C:\Program Files\TOSHIBA\TME3\TMEEJME.EXE
C:\WINDOWS\system32\vmnat.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Program Files\VMware\VMware Workstation\vmware-authd.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\WScript.exe
C:\WINDOWS\system32\rundll32.exe

################## | Fichiers # Dossiers infectieux |


################## | C:\Documents and Settings\ddaisne\Temporary Internet Files |


################## | All Drives ... |

################## | Autres ... |


################## | Registre # Clés Run infectieuses |

Supprimé ! HKLM\software\microsoft\windows nt\currentversion\winlogon "Taskman"

################## | Registre # Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{054b2f6f-dc97-11dd-a801-001f3b4b873b}\Shell\AutoRun\Command

################## | Listing des fichiers présent |

[21/06/2009 12:41|--a------|1024] - C:\.rnd
[07/09/2007 21:00|--a------|0] - C:\AUTOEXEC.BAT
[07/09/2007 22:01|--a------|90] - C:\bcmwl5.log
[31/01/2008 23:10|--ahs----|212] - C:\boot.ini
[28/09/2001 14:00|--ah-----|4952] - C:\Bootfont.bin
[11/10/2007 08:40|--a------|718] - C:\Ciam_LogFile.log
[07/09/2007 21:00|--a------|0] - C:\CONFIG.SYS
[16/07/2009 12:37|--a------|3914] - C:\FindyKill.txt
[02/02/2009 13:48|--a------|2730] - C:\htaccess.txt
[07/09/2007 21:00|-rahs----|0] - C:\IO.SYS
[18/03/2009 13:49|--a------|2077] - C:\meta.txt
[07/09/2007 21:00|-rahs----|0] - C:\MSDOS.SYS
[03/08/2004 22:38|-rahs----|47564] - C:\NTDETECT.COM
[03/08/2004 22:59|-rahs----|251712] - C:\ntldr
[?|?|?] - C:\pagefile.sys
[13/02/2009 12:13|--a------|31232] - C:\Serial_Number.doc
[07/09/2007 22:23|--a------|201] - C:\setup.log
[31/07/2008 15:35|--a------|4429] - C:\WT61CF.UWL
[31/07/2008 15:35|--a------|4429] - C:\WT61FR.UWL
[26/03/2009 15:13|--a------|25448] - C:\xerror.log
[03/06/2009 09:58|---------|48640] - R:\2009 exemple feuille horaire somdel.xls
[16/01/2009 16:27|---------|39955632] - R:\20090115-004-i32.exe
[16/01/2009 15:14|---------|60416] - R:\ADRESSES .xls
[02/03/2009 09:36|---------|498866] - R:\Affalage_charge.pdf
[22/04/2009 16:33|---------|5440813] - R:\analyse fonctionnelle.pdf
[25/02/2009 15:46|---------|9102] - R:\API_ZONES_SUD_230108BIS.CTX
[02/09/2008 13:53|---------|3721260] - R:\api_zones_sud_230108bis.stu
[12/06/2009 10:52|---------|48768] - R:\BILL.pdf
[21/04/2009 16:41|---------|18135526] - R:\Capteurs SCHNEIDER.pdf
[25/02/2009 16:36|---------|11338671] - R:\Dossier cablage Ponts 163.164.165.rar
[17/07/2008 00:54|---------|311888] - R:\EDF_CREIL_plan_projet_STRUCTURES_portique_500T.dwf
[19/02/2008 22:18|---------|707072] - R:\Enquˆte ENABLON FEV 2008.xls
[15/09/2008 02:47|---------|207872] - R:\Entete vierge externe.doc
[02/03/2008 17:08|---------|57867] - R:\IFC.dwg
[14/03/2008 19:39|---------|2070528] - R:\LOGO SEI.shs
[16/02/2008 00:59|---------|38480] - R:\MAIL REF.1067-07 DU 11.12.2007_0001.pdf
[27/05/2009 20:38|---------|9782] - R:\NFM Logo.jpg
[05/12/2008 15:00|---------|44674] - R:\ordre mission081208.pdf
[02/02/2009 16:56|---------|116736] - R:\page de garde ‚lectrique.doc
[10/10/2007 16:14|---------|44849] - R:\PR07262.DOP
[16/02/2008 03:56|---------|195733] - R:\PREVISIONS DE CHARGE.pdf
[25/08/2008 19:44|---------|3072054] - R:\Sans titre.bmp
[15/09/2008 02:01|---------|6135646] - R:\situation des fuites portique SOMDEL 13 9 2008.rar
[02/06/2009 15:41|---hs----|23040] - R:\Thumbs.db
[15/03/1998 18:47|---------|96256] - R:\VB5FR.DLL
[29/01/2009 15:03|---------|2050] - U:\Soci‚t‚ EIFFEL-SOMDEL.rtf
[02/04/2009 09:32|---------|20480] - U:\synthese travaux elec.xls

################## | Vaccination |

# C:\autorun.inf ( # Not infected ) -> Folder created by FindyKill.
# D:\autorun.inf ( # Not infected ) -> Folder created by FindyKill.
# E:\autorun.inf ( # Not infected ) -> Folder created by FindyKill.
# R:\autorun.inf ( # Not infected ) -> Folder created by FindyKill.
# U:\autorun.inf ( # Not infected ) -> Folder created by FindyKill.

################## | Etat / Services / Informations |

# Mode sans echec : OK


# Affichage des fichiers cachés : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# Ip6Fw -> Start = 2 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )

################## | PEH ... |


################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # FindyKill V6.006 ! |

Et le rapport Hijack:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:47:29, on 16/07/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\agrsmsvc.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\hasplms.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Program Files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Intel\AMT\LMS.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\NA_Service.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\NA_XWAY.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\OCS Inventory Agent\ocsservice.exe
C:\Program Files\Symantec AntiVirus\SavRoam.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\system32\ThpSrv.exe
C:\Program Files\TOSHIBA\TME3\Tmesrv31.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
C:\WINDOWS\system32\ServerNT.exe
C:\Program Files\Intel\AMT\UNS.exe
C:\Program Files\TOSHIBA\TME3\TMEEJME.EXE
C:\WINDOWS\system32\vmnat.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Program Files\VMware\VMware Workstation\vmware-authd.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Source Engine\OSE.EXE
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\wuauclt.exe
D:\EIFFAGE\EIFFAGE\Bureau\HiJackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://proxy.eiffage.com:8080/eiffage.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.eiffel.fr:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = webmail.eiffel.eiffage.fr;eiffanet.eiffage.fr;intranet.eiffel.fr;lecap*;172*;3.*;10.*;acces*;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [WatchDog] C:\Program Files\InterVideo\DVD Check\DVDCheck.exe
O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\system32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [NVRotateSysTray] rundll32.exe C:\WINDOWS\system32\nvsysrot.dll,Enable
O4 - HKLM\..\Run: [ThpSrv] C:\WINDOWS\system32\thpsrv /logon
O4 - HKLM\..\Run: [TouchED] C:\Program Files\TOSHIBA\TouchED\TouchED.exe
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [TMERzCtl.EXE] C:\Program Files\TOSHIBA\TME3\TMERzCtl.EXE /Service
O4 - HKLM\..\Run: [TMESRV.EXE] C:\Program Files\TOSHIBA\TME3\TMESRV31.EXE /Logon
O4 - HKLM\..\Run: [TPSODDCtl] TPSODDCtl.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [SmoothView] C:\Program Files\TOSHIBA\TOSHIBA Zooming Utility\SmoothView.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [PDF3 Registry Controller] "C:\Program Files\ScanSoft\PDF Professional 3.0\\RegistryController.exe"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [PSQLLauncher] "C:\Program Files\Protector Suite QL\launcher.exe" /startup
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [vmware-tray] "C:\Program Files\VMware\VMware Workstation\vmware-tray.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'Default user')
O4 - Startup: Anti-Autorun-inf.lnk = C:\Program Files\Prg Chris\Anti-Autorun.inf\Anti-Autorun.inf.exe
O4 - Global Startup: Bluetooth Manager.lnk = ?
O4 - Global Startup: DVD Check.lnk = C:\Program Files\InterVideo\DVD Check\DVDCheck.exe
O4 - Global Startup: Démarrer Microsoft Office Outlook.lnk = C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
O4 - Global Startup: Fast Note.lnk = C:\Program Files\KirysTech2k\FastNote\kfn.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir le fichier PDF dans Word (PDF Converter 3.0) - res://C:\Program Files\ScanSoft\PDF Professional 3.0\IEShellExt.dll /300
O8 - Extra context menu item: Translate with &Babylon - res://D:\Mes Documents\DDA_Divers\Portable\Portable_divers\Portable_Babylon_7.0.3.8_M.Lang\Portable Babylon 7.0.3.8 M.Lang\Babylon-Pro\Utils\BabylonIEPI.dll/Translate.htm
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\program files\vmware\vmware workstation\vsocklib.dll
O10 - Unknown file in Winsock LSP: c:\program files\vmware\vmware workstation\vsocklib.dll
O14 - IERESET.INF: START_PAGE_URL=http://eiffanet.eiffage.fr
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = eiffage.loc
O17 - HKLM\Software\..\Telephony: DomainName = eiffage.loc
O17 - HKLM\System\CCS\Services\Tcpip\..\{C625F412-DD89-4F20-BD1D-B161C02FD6E5}: Domain = eiffage.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = eiffage.loc
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = eiffage.loc
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe
O23 - Service: Intel(R) Active Management Technology System Status Service (atchksrv) - Unknown owner - C:\Program Files\Intel\AMT\atchksrv.exe (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HASP License Manager (hasplms) - Aladdin Knowledge Systems Ltd. - C:\WINDOWS\system32\hasplms.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: IviRegMgr - InterVideo - C:\Program Files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Intel(R) Active Management Technology Local Management Service (LMS) - Intel Corporation - C:\Program Files\Intel\AMT\LMS.exe
O23 - Service: NetAccess Service (NA_Service) - Schneider Automation SAS - C:\WINDOWS\system32\NA_Service.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: OCS INVENTORY SERVICE (OCS INVENTORY) - http://ocsinventory.sourceforge.net - C:\Program Files\OCS Inventory Agent\ocsservice.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: stllssvr - Unknown owner - C:\Program Files\Fichiers communs\SureThing Shared\stllssvr.exe (file missing)
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
O23 - Service: TOSHIBA HDD Protection (Thpsrv) - TOSHIBA Corporation - C:\WINDOWS\system32\ThpSrv.exe
O23 - Service: Tmesrv3 (Tmesrv) - TOSHIBA - C:\Program Files\TOSHIBA\TME3\Tmesrv31.exe
O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
O23 - Service: Trace Software Collaborative Server v3.0.9 (TrServer) - Trace Software, SA - C:\WINDOWS\system32\ServerNT.exe
O23 - Service: VMware Agent Service (ufad-ws60) - VMware, Inc. - C:\Program Files\VMware\VMware Workstation\vmware-ufad.exe
O23 - Service: Intel(R) Active Management Technology User Notification Service (UNS) - Intel Corporation - C:\Program Files\Intel\AMT\UNS.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Program Files\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe
O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.8\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.0.51b\bin\mysqld-nt.exe
0
Réponse 12 / 22
fix200 Messages postés 3243 Date d'inscription dimanche 28 décembre 2008 Statut Contributeur sécurité Dernière intervention 7 février 2011 158
16 juil. 2009 à 13:04
Besoin de + d'info :

Télécharge Random's System Information Tool (RSIT) par random/random et sauvegarde-le sur ton Bureau.

▶ Double-clique sur RSIT.exe afin de lancer RSIT.

▶ Clique sur Continue à l'écran " Disclaimer of warranty ".

Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.


▶ Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

=> Poste le contenu de log.txt (qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

Note : Les deux rapports sont également sauvegardés %systemdrive%\rsit ou C:\rsit

A+
0
Réponse 13 / 22
Krapsman Messages postés 674 Date d'inscription vendredi 3 juillet 2009 Statut Membre Dernière intervention 29 août 2009
16 juil. 2009 à 13:38
Voili, voilou:

Logfile of random's system information tool 1.06 (written by random/random)
Run by ddaisne at 2009-07-16 13:38:38
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 12 GB (40%) free of 30 GB
Total RAM: 2015 MB (68% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:38:40, on 16/07/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\agrsmsvc.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\hasplms.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Program Files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Intel\AMT\LMS.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\NA_Service.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\NA_XWAY.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\OCS Inventory Agent\ocsservice.exe
C:\Program Files\Symantec AntiVirus\SavRoam.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\system32\ThpSrv.exe
C:\Program Files\TOSHIBA\TME3\Tmesrv31.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
C:\WINDOWS\system32\ServerNT.exe
C:\Program Files\Intel\AMT\UNS.exe
C:\Program Files\TOSHIBA\TME3\TMEEJME.EXE
C:\WINDOWS\system32\vmnat.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Program Files\VMware\VMware Workstation\vmware-authd.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Fichiers communs\Adobe\Updater6\Adobe_Updater.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Program Files\Prg Chris\Anti-Autorun.inf\Anti-Autorun.inf.exe
C:\Program Files\Mozilla Firefox\firefox.exe
A:\RSIT.exe
D:\EIFFAGE\EIFFAGE\Bureau\HiJackThis\ddaisne.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://proxy.eiffage.com:8080/eiffage.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.eiffel.fr:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = webmail.eiffel.eiffage.fr;eiffanet.eiffage.fr;intranet.eiffel.fr;lecap*;172*;3.*;10.*;acces*;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [WatchDog] C:\Program Files\InterVideo\DVD Check\DVDCheck.exe
O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\system32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [NVRotateSysTray] rundll32.exe C:\WINDOWS\system32\nvsysrot.dll,Enable
O4 - HKLM\..\Run: [ThpSrv] C:\WINDOWS\system32\thpsrv /logon
O4 - HKLM\..\Run: [TouchED] C:\Program Files\TOSHIBA\TouchED\TouchED.exe
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [TMERzCtl.EXE] C:\Program Files\TOSHIBA\TME3\TMERzCtl.EXE /Service
O4 - HKLM\..\Run: [TMESRV.EXE] C:\Program Files\TOSHIBA\TME3\TMESRV31.EXE /Logon
O4 - HKLM\..\Run: [TPSODDCtl] TPSODDCtl.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [SmoothView] C:\Program Files\TOSHIBA\TOSHIBA Zooming Utility\SmoothView.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [PDF3 Registry Controller] "C:\Program Files\ScanSoft\PDF Professional 3.0\\RegistryController.exe"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [PSQLLauncher] "C:\Program Files\Protector Suite QL\launcher.exe" /startup
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [vmware-tray] "C:\Program Files\VMware\VMware Workstation\vmware-tray.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'Default user')
O4 - Startup: Anti-Autorun-inf.lnk = C:\Program Files\Prg Chris\Anti-Autorun.inf\Anti-Autorun.inf.exe
O4 - Global Startup: Bluetooth Manager.lnk = ?
O4 - Global Startup: DVD Check.lnk = C:\Program Files\InterVideo\DVD Check\DVDCheck.exe
O4 - Global Startup: Démarrer Microsoft Office Outlook.lnk = C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
O4 - Global Startup: Fast Note.lnk = C:\Program Files\KirysTech2k\FastNote\kfn.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir le fichier PDF dans Word (PDF Converter 3.0) - res://C:\Program Files\ScanSoft\PDF Professional 3.0\IEShellExt.dll /300
O8 - Extra context menu item: Translate with &Babylon - res://D:\Mes Documents\DDA_Divers\Portable\Portable_divers\Portable_Babylon_7.0.3.8_M.Lang\Portable Babylon 7.0.3.8 M.Lang\Babylon-Pro\Utils\BabylonIEPI.dll/Translate.htm
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\program files\vmware\vmware workstation\vsocklib.dll
O10 - Unknown file in Winsock LSP: c:\program files\vmware\vmware workstation\vsocklib.dll
O14 - IERESET.INF: START_PAGE_URL=http://eiffanet.eiffage.fr
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = eiffage.loc
O17 - HKLM\Software\..\Telephony: DomainName = eiffage.loc
O17 - HKLM\System\CCS\Services\Tcpip\..\{C625F412-DD89-4F20-BD1D-B161C02FD6E5}: Domain = eiffage.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = eiffage.loc
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = eiffage.loc
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe
O23 - Service: Intel(R) Active Management Technology System Status Service (atchksrv) - Unknown owner - C:\Program Files\Intel\AMT\atchksrv.exe (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HASP License Manager (hasplms) - Aladdin Knowledge Systems Ltd. - C:\WINDOWS\system32\hasplms.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: IviRegMgr - InterVideo - C:\Program Files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Intel(R) Active Management Technology Local Management Service (LMS) - Intel Corporation - C:\Program Files\Intel\AMT\LMS.exe
O23 - Service: NetAccess Service (NA_Service) - Schneider Automation SAS - C:\WINDOWS\system32\NA_Service.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: OCS INVENTORY SERVICE (OCS INVENTORY) - http://ocsinventory.sourceforge.net - C:\Program Files\OCS Inventory Agent\ocsservice.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: stllssvr - Unknown owner - C:\Program Files\Fichiers communs\SureThing Shared\stllssvr.exe (file missing)
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
O23 - Service: TOSHIBA HDD Protection (Thpsrv) - TOSHIBA Corporation - C:\WINDOWS\system32\ThpSrv.exe
O23 - Service: Tmesrv3 (Tmesrv) - TOSHIBA - C:\Program Files\TOSHIBA\TME3\Tmesrv31.exe
O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
O23 - Service: Trace Software Collaborative Server v3.0.9 (TrServer) - Trace Software, SA - C:\WINDOWS\system32\ServerNT.exe
O23 - Service: VMware Agent Service (ufad-ws60) - VMware, Inc. - C:\Program Files\VMware\VMware Workstation\vmware-ufad.exe
O23 - Service: Intel(R) Active Management Technology User Notification Service (UNS) - Intel Corporation - C:\Program Files\Intel\AMT\UNS.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Program Files\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe
O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.8\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.0.51b\bin\mysqld-nt.exe
0
Réponse 14 / 22
fix200 Messages postés 3243 Date d'inscription dimanche 28 décembre 2008 Statut Contributeur sécurité Dernière intervention 7 février 2011 158
16 juil. 2009 à 13:46
Salut ,

Je ne vois pas les sentomes pour quelqu'un infecté par conficker ...

Fais moi ça pour vérifier :

Rends toi sur ce site :

http://www.virustotal.com/

Copie ce qui suit et colles le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé ) :

C:\WINDOWS\system32\MP335dat.dll

Clique sur Send File ( = " Envoyer le fichier " ).

Un rapport va s'élaborer ligne à ligne.

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta prochaine réponse ...

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )

Même chose pour : C:\WINDOWS\system32\RC5BE140.DLL

++
0
Réponse 15 / 22
Krapsman Messages postés 674 Date d'inscription vendredi 3 juillet 2009 Statut Membre Dernière intervention 29 août 2009
16 juil. 2009 à 14:06
Srpski | Македонски | ا       | Suomi | ihMdI | | ע ב ר י ת | | Slovenščina | Dansk | Русский | Română | Türkçe
| Nederlands | Ελληνικά | Français | Svenska | Português | Italiano | | | Magyar | Deutsch | Česky |
Polski | Español
Virustotal is a service that analyzes suspicious
files and facilitates the quick detection of
viruses, worms, trojans, and all kinds of malware
detected by antivirus engines. More
information...
File MP335dat.dll received on 2009.07.16 12:04:44 (UTC)
Current status: finished
Result: 0/41 (0%)
Print results
Antivirus Version Last Update Result
a-squared 4.5.0.24 2009.07.16 -
AhnLab-V3 5.0.0.2 2009.07.16 -
AntiVir 7.9.0.215 2009.07.16 -
Antiy-AVL 2.0.3.7 2009.07.16 -
Authentium 5.1.2.4 2009.07.16 -
Avast 4.8.1335.0 2009.07.16 -
AVG 8.5.0.387 2009.07.16 -
BitDefender 7.2 2009.07.16 -
CAT-QuickHeal 10.00 2009.07.16 -
ClamAV 0.94.1 2009.07.16 -
Comodo 1669 2009.07.16 -
DrWeb 5.0.0.12182 2009.07.16 -
eSafe 7.0.17.0 2009.07.15 -
eTrust-Vet 31.6.6617 2009.07.15 -
F-Prot 4.4.4.56 2009.07.16 -
F-Secure 8.0.14470.0 2009.07.16 -
Fortinet 3.120.0.0 2009.07.16 -
GData 19 2009.07.16 -
Ikarus T3.1.1.64.0 2009.07.16 -
Jiangmin 11.0.800 2009.07.16 -
K7AntiVirus 7.10.793 2009.07.15 -
Kaspersky 7.0.0.125 2009.07.16 -
McAfee 5677 2009.07.15 -
McAfee+Artemis 5677 2009.07.15 -
McAfee-GW-Edition 6.8.5 2009.07.16 -
Microsoft 1.4803 2009.07.16 -
Compact
VirusTotal - Free Online Virus and Malware Scan - Result http://www.virustotal.com/analisis/6f434d346d771ad1499cc1dd8d3f3...
1 sur 3 16/07/2009 14:09
NOD32 4249 2009.07.16 -
Norman 6.01.09 2009.07.16 -
nProtect 2009.1.8.0 2009.07.16 -
Panda 10.0.0.14 2009.07.15 -
PCTools 4.4.2.0 2009.07.15 -
Prevx 3.0 2009.07.16 -
Rising 21.38.33.00 2009.07.16 -
Sophos 4.43.0 2009.07.16 -
Sunbelt 3.2.1858.2 2009.07.16 -
Symantec 1.4.4.12 2009.07.16 -
TheHacker 6.3.4.3.368 2009.07.15 -
TrendMicro 8.950.0.1094 2009.07.16 -
VBA32 3.12.10.8 2009.07.15 -
ViRobot 2009.7.16.1839 2009.07.16 -
VirusBuster 4.6.5.0 2009.07.15 -
Additional information
File size: 1294336 bytes
MD5...: 3093369e12bb51db3d502c08be9de259
SHA1..: 634ccf7c1191061204ab2f9063fdc7cf315fbf5e
SHA256: 6f434d346d771ad1499cc1dd8d3f39c8c722e4b20272abfd9b22a5460672cc38
ssdeep: 3072:cERqnTiw6jDT3dhyn3DbJcDEruNadHAB+X9kAB+XUybqVw5DsKkGrGGGGGf
ff/fa:i4c3r0WAEXuAEXrMyNhaXr
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x838e
timedatestamp.....: 0x46e62a1b (Tue Sep 11 05:39:39 2007)
machinetype.......: 0x14c (I386)
( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xbb1c 0xc000 6.47 36897e982f33105c40c2d650771a1149
.rdata 0xd000 0x2ca9 0x3000 5.10 5fc12d7b7c13d8836dcdd59da388a6af
.data 0x10000 0x1c85c 0x1c000 1.12 e19178e01e723714af1970cbc02822ef
.rsrc 0x2d000 0x10cec0 0x10d000 4.16 9ca90af2e8897dd9cb464d7b8bffa229
.reloc 0x13a000 0x25c4 0x3000 3.56 14ae4f6fe5ea615db055dc0ac0335a37
( 3 imports )
> VERSION.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA,
VerQueryValueA
> KERNEL32.dll: SetHandleCount, lstrcatA, lstrcpynA, lstrcpyA, lstrlenA,
lstrcmpA, GlobalFree, GlobalAlloc, WideCharToMultiByte, LoadResource,
FindResourceExA, GetLocaleInfoA, SetLastError, GetLastError,
VirusTotal - Free Online Virus and Malware Scan - Result http://www.virustotal.com/analisis/6f434d346d771ad1499cc1dd8d3f3...
2 sur 3 16/07/2009 14:09
GetModuleFileNameA, FindResourceA, GlobalLock, GlobalReAlloc, GlobalSize,
HeapSize, LCMapStringW, LCMapStringA, ExitProcess, GetCurrentThreadId,
GetCommandLineA, GetVersionExA, QueryPerformanceCounter, GetTickCount,
GetCurrentProcessId, GetSystemTimeAsFileTime, TlsAlloc, TlsFree,
TlsSetValue, TlsGetValue, GetProcAddress, GetModuleHandleA,
TerminateProcess, GetCurrentProcess, HeapFree, HeapAlloc, GetStdHandle,
GetFileType, GetStartupInfoA, DeleteCriticalSection,
FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW,
GetEnvironmentStringsW, HeapDestroy, HeapCreate, VirtualFree,
UnhandledExceptionFilter, WriteFile, LoadLibraryA, RtlUnwind,
InterlockedExchange, VirtualQuery, GetStringTypeA, MultiByteToWideChar,
GetStringTypeW, GetCPInfo, LeaveCriticalSection, EnterCriticalSection,
GetACP, GetOEMCP, VirtualAlloc, HeapReAlloc, InitializeCriticalSection,
VirtualProtect, GetSystemInfo
> USER32.dll: CharUpperA, LoadBitmapA, wsprintfA
( 16 exports )
PatCreateBitmapInfo, PatCreateEmulUniqQueryInfo, PatCreateQueryInfo,
PatDisposeBitmapInfo, PatGetDeviceName, PatGetDllVersion, PatGetPalette,
PatGetPeripheralProfile, PatGetStatusHelpFileName, PatGetStatusString,
PatLoadBitmap, PatLoadDIBitmap, PatPMInfoToPrnInfoEx,
PatPrnInfoExToPrnInfo, PatSetCentroDataTo, PatSetLocale
PDFiD.: -
RDS...: NSRL Reference Data Set
-
ATTENTION: VirusTotal is a free service offered by Hispasec Sistemas. There are no
guarantees about the availability and continuity of this service. Although the detection rate
afforded by the use of multiple antivirus engines is far superior to that offered by just one
product, these results DO NOT guarantee the harmlessness of a file. Currently, there
is not any solution that offers a 100% effectiveness rate for detecting viruses and malware.
VirusTotal © Hispasec Sistemas - Blog - Contact: info@virustotal.com - Terms of Service & Privacy Policy
VirusTotal - Free Online Virus and Malware Scan - Result http://www.virustotal.com/analisis/6f434d346d771ad1499cc1dd8d3f3...
3 sur 3 16/07/2009 14:09


Srpski | Македонски | ا       | Suomi | ihMdI | | ע ב ר י ת | | Slovenščina | Dansk | Русский | Română | Türkçe
| Nederlands | Ελληνικά | Français | Svenska | Português | Italiano | | | Magyar | Deutsch | Česky |
Polski | Español
Virustotal is a service that analyzes suspicious
files and facilitates the quick detection of
viruses, worms, trojans, and all kinds of malware
detected by antivirus engines. More
information...
File RC5BE140.DLL received on 2009.07.16 12:08:43 (UTC)
Current status: finished
Result: 0/41 (0%)
Print results
Antivirus Version Last Update Result
a-squared 4.5.0.24 2009.07.16 -
AhnLab-V3 5.0.0.2 2009.07.16 -
AntiVir 7.9.0.215 2009.07.16 -
Antiy-AVL 2.0.3.7 2009.07.16 -
Authentium 5.1.2.4 2009.07.16 -
Avast 4.8.1335.0 2009.07.16 -
AVG 8.5.0.387 2009.07.16 -
BitDefender 7.2 2009.07.16 -
CAT-QuickHeal 10.00 2009.07.16 -
ClamAV 0.94.1 2009.07.16 -
Comodo 1669 2009.07.16 -
DrWeb 5.0.0.12182 2009.07.16 -
eSafe 7.0.17.0 2009.07.15 -
eTrust-Vet 31.6.6617 2009.07.15 -
F-Prot 4.4.4.56 2009.07.16 -
F-Secure 8.0.14470.0 2009.07.16 -
Fortinet 3.120.0.0 2009.07.16 -
GData 19 2009.07.16 -
Ikarus T3.1.1.64.0 2009.07.16 -
Jiangmin 11.0.800 2009.07.16 -
K7AntiVirus 7.10.793 2009.07.15 -
Kaspersky 7.0.0.125 2009.07.16 -
McAfee 5677 2009.07.15 -
McAfee+Artemis 5677 2009.07.15 -
McAfee-GW-Edition 6.8.5 2009.07.16 -
Microsoft 1.4803 2009.07.16 -
Compact
VirusTotal - Free Online Virus and Malware Scan - Result http://www.virustotal.com/analisis/c0afea8a809d081fbffe3594508465...
1 sur 3 16/07/2009 14:12
NOD32 4249 2009.07.16 -
Norman 6.01.09 2009.07.16 -
nProtect 2009.1.8.0 2009.07.16 -
Panda 10.0.0.14 2009.07.15 -
PCTools 4.4.2.0 2009.07.15 -
Prevx 3.0 2009.07.16 -
Rising 21.38.33.00 2009.07.16 -
Sophos 4.43.0 2009.07.16 -
Sunbelt 3.2.1858.2 2009.07.16 -
Symantec 1.4.4.12 2009.07.16 -
TheHacker 6.3.4.3.368 2009.07.15 -
TrendMicro 8.950.0.1094 2009.07.16 -
VBA32 3.12.10.8 2009.07.15 -
ViRobot 2009.7.16.1839 2009.07.16 -
VirusBuster 4.6.5.0 2009.07.15 -
Additional information
File size: 1275474 bytes
MD5...: 02b2369be83cf4b6fea4ea85f6319044
SHA1..: 595588cf06169f447b2c0685c9147ae4062ae45c
SHA256: c0afea8a809d081fbffe359450846567b6045e9e380331bdd555d3e7a0e1580d
ssdeep: 24576:iNuJg7StEU4LgQNxnNcek8gMIS9mt5uGejbv:iNuJg7StExLgQNHW5uGej
bv
PEiD..: -
TrID..: File type identification
Windows Screen Saver (39.4%)
Win32 Executable Generic (25.6%)
Win32 Dynamic Link Library (generic) (22.8%)
Generic Win/DOS Executable (6.0%)
DOS Executable Generic (6.0%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0xc3fe0
timedatestamp.....: 0x482c203b (Thu May 15 11:36:27 2008)
machinetype.......: 0x14c (I386)
( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x11e1ec 0x11e200 5.25 21975422ad5f4d0a6d3f26adfc08f7b3
.data 0x120000 0x7180 0x7000 4.61 c99edfc8e7daa0f7f37d67a6029dd732
.rsrc 0x128000 0x380 0x400 2.98 afbda833cea8d14b28f2830cf3b36635
.reloc 0x129000 0x95c4 0x9600 5.86 ac60d9958c7294a1136c1faf591641fe
( 7 imports )
> MSVCRT.dll: swprintf, _wcsicmp, _stricmp, strchr, _ltoa, strncmp, atol,
atoi, _itoa, memset, _wtol, wcschr, wcscpy, _itow, wcscmp, wcsncmp,
strcmp, wcslen, memcpy, wcscat, strlen, strcpy, strncpy,
_except_handler3, _strcmpi, wcsncpy, wcsrchr, memcmp, sprintf, _strnicmp,
_wtoi, strcat, _wcsnicmp
> USER32.dll: wsprintfW, LoadStringW, GetDesktopWindow, GetDC, ReleaseDC
VirusTotal - Free Online Virus and Malware Scan - Result http://www.virustotal.com/analisis/c0afea8a809d081fbffe3594508465...
2 sur 3 16/07/2009 14:12
> KERNEL32.dll: InitializeCriticalSection, MultiByteToWideChar,
GlobalAlloc, GlobalFree, WideCharToMultiByte, GetACP, IsDBCSLeadByte,
GetFullPathNameW, GetShortPathNameW, GetLastError, CreateFileW,
CloseHandle, DeleteFileW, CreateDirectoryW, RemoveDirectoryW,
DeleteCriticalSection, LoadLibraryW, GetProcAddress, FreeLibrary,
GetSystemDirectoryW, GetPrivateProfileIntW, GetPrivateProfileStringW,
_lclose, FindClose, MapViewOfFile, CompareFileTime, GlobalReAlloc,
WritePrivateProfileStringW, IsDBCSLeadByteEx, GetFileSize,
CreateFileMappingW, GetTickCount, GetWindowsDirectoryW,
WritePrivateProfileSectionW, GetPrivateProfileSectionW, _llseek, _lopen,
GetLocaleInfoW, GetUserDefaultLCID, GetFileTime, WaitForSingleObject,
SetFileAttributesW, FindFirstFileW, CopyFileW,
GetFileInformationByHandle, _lread, ReadFile, WriteFile,
GetCurrentProcess, GetCurrentThread, lstrcpyW, LocalFree, LocalAlloc,
GetVersionExW, CreateMutexW, InitializeCriticalSectionAndSpinCount,
EnterCriticalSection, LeaveCriticalSection, ReleaseMutex,
VerifyVersionInfoW, SetFilePointer, UnmapViewOfFile,
GetPrivateProfileIntA, GetPrivateProfileStringA
> WINSPOOL.DRV: ClosePrinter, OpenPrinterW, DocumentPropertiesW,
DeviceCapabilitiesW, GetPrinterDataW, GetPrinterW, SetPrinterDataW,
GetPrinterDriverW
> GDI32.dll: EnumFontFamiliesW, TranslateCharsetInfo
> ntdll.dll: VerSetConditionMask, RtlMultiByteToUnicodeN,
RtlUnicodeToMultiByteN
> ADVAPI32.dll: AccessCheck, RegQueryValueExA, RegOpenKeyExA,
RegQueryInfoKeyA, RegEnumKeyExA, RegOpenKeyW, RegQueryValueExW,
RegCloseKey, ImpersonateSelf, AddAccessAllowedAce,
SetSecurityDescriptorGroup, IsValidSecurityDescriptor, RevertToSelf,
GetUserNameW, SetSecurityDescriptorOwner, AllocateAndInitializeSid,
GetLengthSid, FreeSid, OpenProcessToken, OpenThreadToken,
SetSecurityDescriptorDacl, InitializeSecurityDescriptor, InitializeAcl
( 25 exports )
DllMain, ExcFreeExclusive, ExcGetCommandBase, ExcGetCommandChange,
ExcGetCommandValue, ExcGetDriverDevmode, ExcGetExclusive,
ExcGetIniFileName, ExcGetPrinterOption, ExcGetPrinterValue,
ExcGetWaterMarkList, ExcSetCommandBase, ExcUpdateCommand,
RPCSDrvCheckAPIVer, RPCSDrvDisable, RPCSDrvEnable, RPCSDrvGetCaps,
RPCSDrvGetDevmode, RPCSDrvGetDevmodeEx, RPCSDrvGetLastError,
RPCSDrvGetStatus, RPCSDrvInit, RPCSDrvRestoreQualityData,
RPCSDrvSaveQualityData, RPCSDrvSetStatus
PDFiD.: -
RDS...: NSRL Reference Data Set
-
ATTENTION: VirusTotal is a free service offered by Hispasec Sistemas. There are no
guarantees about the availability and continuity of this service. Although the detection rate
afforded by the use of multiple antivirus engines is far superior to that offered by just one
product, these results DO NOT guarantee the harmlessness of a file. Currently, there
is not any solution that offers a 100% effectiveness rate for detecting viruses and malware.
VirusTotal © Hispasec Sistemas - Blog - Contact: info@virustotal.com - Terms of Service & Privacy Policy
VirusTotal - Free Online Virus and Malware Scan - Result http://www.virustotal.com/analisis/c0afea8a809d081fbffe3594508465...
3 sur 3 16/07/2009 14:12
0
Réponse 16 / 22
Krapsman Messages postés 674 Date d'inscription vendredi 3 juillet 2009 Statut Membre Dernière intervention 29 août 2009
16 juil. 2009 à 14:10
Bon apparament il voit rien...
En plus j'ai fait un scan avec downadup cleaner by bitdefender et il me dit que le pc est clean... Normalement c'est un outil concu spécialement pour cette infection!
Pourtant l'alerte Norton vient de se reproduire et dès que j'introduit une clé USB sur le pc ca l'infecte avec un autorun.inf. D'après ce que j'ai lu c'est possible que ce soit le virus downadup qui crée cela...
0
Réponse 17 / 22
fix200 Messages postés 3243 Date d'inscription dimanche 28 décembre 2008 Statut Contributeur sécurité Dernière intervention 7 février 2011 158
16 juil. 2009 à 15:20
Re ,

Bizarre tout cela .


Télécharge Flash Desinfector (de sUBs) sur ton bureau

▶ Désactive ton antivirus car Flash Desinfector est détecté comme une infection a tort

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectés (!) sans les ouvrir (!)


▶ Double clique dessus pour le lancer.

=> Un avertissement (en anglais) va t'être donné, te disant que ton écran va devenir blanc et va disparaître un instant, ne t'inquiète pas, c'est normal.

▶ Quand la désinfection sera terminée, une fenêtre "Done" va apparaître, clique sur Ok. Tu pourras alors débrancher tes périphériques externes, ils sont maintenant vaccinés.


Télécharge MalwareBytes' Anti-Malware


▶ Installe le ,il va se mettre a jour automatiquement

▶ Commence par regarder le Tutoriel Malwarebytes pour bien l'utiliser...

! Déconnecte toi ferme toutes applications en cours !

===>> Lance Malwarebyte's

▶ Sous l'onglet paramètre, et coche la case : "Arrêter internet explorer pendant la suppression"

▶ Clique maintenant sur l'onglet recherche et coche la case : "exécuter un examen complet".

▶ Puis clic sur "rechercher".

▶ Laisse le scanner le PC...

▶ Si des éléments on été trouvés --> clic sur "afficher les résultats", puis sur supprimer la sélection. afin de détruire les éléments infectés.

▶ Si il t'es demandé de redémarrer --> clic sur "YES".

▶ A la fin un rapport va s'ouvrir; sauvegarde le de manière a le retrouver en vu de le poster sur le forum.

Copie et colle le rapport S.T.P.

** Note: les rapport sont aussi rangé dans l'onglet Rapport/Log

Ensuite :

▶ Fais un scan en ligne avec KASPERSKY (avec Internet Explorer uniquement)

▶ En bas à droite, clique sur Démarrer Online-scanner

▶ Dans la nouvelle fenêtre qui s'affiche clique sur J'accepte

Accepte les Contrôles ActiveX

▶ Choisis Poste de travail pour le scan.

A la fin du scan, sauvegarde le rapport (choisis fichier texte) et poste le dans ta prochaine réponse.

▶ Pour t'aider à utiliser le scan en ligne, consulte le Tutoriel Kaspersky online scanner

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.




++
0
Réponse 18 / 22
Krapsman Messages postés 674 Date d'inscription vendredi 3 juillet 2009 Statut Membre Dernière intervention 29 août 2009
16 juil. 2009 à 15:53
Alors,
ca y'est mes clés sont vaccinées.
Malwarebyte's ne me trouve rien et je viens de lancer le scan en ligne, je te tiens au jus!!

@+
0
Réponse 19 / 22
fix200 Messages postés 3243 Date d'inscription dimanche 28 décembre 2008 Statut Contributeur sécurité Dernière intervention 7 février 2011 158
16 juil. 2009 à 15:54
Bien ... continue =)
0
Réponse 20 / 22
Krapsman Messages postés 674 Date d'inscription vendredi 3 juillet 2009 Statut Membre Dernière intervention 29 août 2009
20 juil. 2009 à 08:28
Salut fix200!!
Bon bah mon problème est résolu, il m'a suffit de télécharger le SP3 de windows ainsi que les nouvelles définitions de virus symantec d'un autre pc pour nettoyer un poste.
A partir de la j'ai pu télécharger un outil symantec spécialement concu pour nettoyer downadup.b en réseau.
L'équipe informatique de la boite doit passer cette semaine pour vérifier ce qu'il en est!!
Dès qu'ils passent et qu'ils me confirment que le virus s'en est allé je classe le problème comme RESOLU!!!

Merci pour ton aide et à bientot!!
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Que fait le virus LPI Win32 Pup-Gen
Tristan Chrome -
Tristan Chrome -

2 réponses
Comment supprimer le virus evo-gen
matmat -
matmat -

0 réponse
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses
Comment savoir si j'ai attrapé un virus sur mon téléphone ?
Infolock -
bell -

66 réponses