Sujet Précédent Sujet Suivant

ARRGH ! Win32/Rootkit.Agent.ODG trojan

Fermé
Jon-Jon Messages postés 89 Date d'inscription lundi 8 juin 2009 Statut Membre Dernière intervention 15 février 2010 - 23 juil. 2009 à 00:28
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 - 30 août 2009 à 17:57
Salut à tous,

J'ai un foutu trojan au joli nom Win32/Rootkit.Agent.ODG trojan qui apparait agit dans la mémoire et l'infecte bien profondément. Je l'ai repéré avec nod 32 qui évidemment ne peut pas le supprimer. J'ai essayé différentes méthodes données sur les forums sans succès et la je suis un peu à court donc je mets mon orgueil de geek de coté pour venir me référer à vous !

Config : XP SP3 sur un vieux laptop tout pourri et rempli de virus que m'a prêté un pote (j'ai désinfecté une grande partie mais le trojan me résiste), nod 32 4, si vous voulez un scan Hijack ou autre dites moi je vous envoie ça dans la seconde.

Merci à vous d'avance !!!
A voir également:

48 réponses

Réponse 1 / 48
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
24 juil. 2009 à 00:04
Salut,


je me permets juste :

Ok ben je pense que tout est clean maintenant :D

-> c'est vite dit ! ... le rapport Combfix est pourtant là pour nous montrer le contraire ...^^




reste encore ceci ( Tibs ) :

2009-07-20 14:20 . 2009-07-20 14:20 310 ----a-w- c:\windows\system32\UACqjuubgguto.dat
2009-07-20 14:19 . 2009-07-20 14:19 70656 ----a-w- c:\windows\system32\UACrdoynowpaw.dll


et

qu'est ce que ce truc > c:\documents and settings\entreprise jung

????

tout ce qui conscerne entreprise jung est plus que suspect car si on regarde bien le rapport , il y a même date / heure de création que l'infection Tibs ( UACxxxxxxxxxx.xxx ) .


2009-07-20 14:24 . 2009-07-20 14:24 77824 ----a-w- c:\documents and settings\entreprise jung\IGRDOR.exe
2009-07-20 14:24 . 2009-07-20 14:24 86016 ----a-w- c:\documents and settings\entreprise jung\TVJDCX.exe
2009-07-20 14:24 . 2009-07-20 14:24 -------- d-----w- c:\documents and settings\entreprise jung\Application Data\vlc
2009-07-20 14:20 . 2009-07-20 14:20 310 ----a-w- c:\windows\system32\UACqjuubgguto.dat
2009-07-20 14:19 . 2009-07-20 14:19 70656 ----a-w- c:\windows\system32\UACrdoynowpaw.dll
2009-07-20 14:18 . 2009-07-20 14:19 401 ----a-w- c:\documents and settings\entreprise jung\XFGNXY.bat
2009-07-20 14:18 . 2009-07-20 14:18 77824 ----a-w- c:\documents and settings\entreprise jung\utgqdg.exe
2009-07-20 14:18 . 2009-07-20 14:18 86016 ----a-w- c:\documents and settings\entreprise jung\ijvqpm.exe



... donc ton PC est bien gavé encore ! ... ^^


Si il y a besoin d'un coup de paluche , il n'y a pas de prb ... ;)


++
3
Trying2 Messages postés 7096 Date d'inscription dimanche 13 juillet 2008 Statut Contributeur sécurité Dernière intervention 15 octobre 2015 234
24 juil. 2009 à 00:25
Hello Ske69,

Merci à toi pour la vigilance.

Comme j'ai dit ici, je n'ai pas analysé le rapport.

Je suis "en soirée". (Mais compulsivement, je rafraîchis la page CCM^^).

De plus comme V_X s'est "absenté" et que je ne suis pas prêt de mettre le nez dans le rapport, c'est avec plaisir que je te passe la main si tu souhaites suivre.


@+ and Thx again.
0
Réponse 2 / 48
Trying2 Messages postés 7096 Date d'inscription dimanche 13 juillet 2008 Statut Contributeur sécurité Dernière intervention 15 octobre 2015 234
23 juil. 2009 à 18:15
Suite aux conseils De V_X je vais te faire utiliser Combo-Fix:

Télécharge le: http://download.bleepingcomputer.com/sUBs/ComboFix.exe (Clic droit/enregistrer la cible du lien sous)

Enregistre le sur le bureau sous le nom de: topic.

Fais le avant que le fichier ne soit enregistré sur le bureau.

Déconnecte toi d'internet et ferme toutes tes applications.

Désactive tes protections (antivirus, pare-feu, garde en temps réel de l'antispyware)


Double-clique sur combofix.exe et suis les instructions.

A la fin, il va produire un rapport C:\ComboFix.txt

Réactive ton parefeu, ton antivirus, la garde de ton antispyware

Copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

Tu as un tutoriel complet ici :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
2
Jon-Jon Messages postés 89 Date d'inscription lundi 8 juin 2009 Statut Membre Dernière intervention 15 février 2010 5
23 juil. 2009 à 18:53
Lol ca a l'air d'être du lourd, bon je mets ma combinaison anti-radiations et je vais lancer le monstre (ComboFix).
Je te poste ça dans 10 minutes. (thanks a lot pour tout en fait hein !)
0
Jon-Jon Messages postés 89 Date d'inscription lundi 8 juin 2009 Statut Membre Dernière intervention 15 février 2010 5
23 juil. 2009 à 19:36
Voila !!! tout a était fait, à noter que durant la période nettoyage au redémarrage il y a eu des erreurs de registre du genre :"pev.exe :fichier endommagé" et une demande de l'utilitaire chkdsk.

le log :

ComboFix 09-07-23.01 - entreprise jung 23/07/2009 19:10.1.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.255.48 [GMT 2:00]
Running from: c:\documents and settings\entreprise jung\Bureau\topic.exe
AV: ESET NOD32 Antivirus 4.0 *On-access scanning disabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
* Resident AV is active


WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\Installer\35772.msi
c:\windows\Installer\3af4f.msp
c:\windows\system32\drivers\geyekrbanrspmn.sys
c:\windows\system32\drivers\geyekrjwxnridm.sys
c:\windows\system32\drivers\geyekrpxotewxd.sys
c:\windows\system32\drivers\geyekrpyyrjcxi.sys
c:\windows\system32\drivers\UACtygmbqjxfq.sys
c:\windows\system32\geyekrntidibci.dll
c:\windows\system32\UACcnlrrqjdbv.dll
c:\windows\system32\UACejqjpwfwjx.dll
c:\windows\system32\uacinit.dll
c:\windows\system32\UACpdwkqfbyex.db
c:\windows\system32\UACrnoauytged.dll
c:\windows\system32\UACtkbeedxuel.dll
c:\windows\system32\UACvtmbcqjrss.dll
c:\windows\system32\UACwxnxdciqxs.dat

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_UACd.sys


((((((((((((((((((((((((( Files Created from 2009-06-23 to 2009-07-23 )))))))))))))))))))))))))))))))
.

2009-07-22 23:04 . 2009-07-22 23:06 -------- d-----w- c:\program files\trend micro
2009-07-22 23:03 . 2009-07-22 23:07 -------- d-----w- C:\rsit
2009-07-22 20:35 . 2009-07-22 21:50 -------- d-----w- C:\UsbFix
2009-07-22 19:46 . 2009-07-13 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-07-22 19:46 . 2009-07-22 19:46 -------- d-----w- c:\docume~1\ALLUSE~1\APPLIC~1\Malwarebytes
2009-07-22 19:46 . 2009-07-13 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-07-22 19:46 . 2009-07-22 19:47 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-07-22 11:37 . 2009-07-22 12:17 -------- d-----w- c:\docume~1\ALLUSE~1\APPLIC~1\NOS
2009-07-22 11:37 . 2009-07-22 12:17 -------- d-----w- c:\program files\NOS
2009-07-21 07:29 . 2009-07-21 07:29 -------- d-sh--w- c:\documents and settings\Administrateur\PrivacIE
2009-07-21 07:29 . 2009-07-21 07:29 -------- d-sh--w- c:\documents and settings\Administrateur\IETldCache
2009-07-21 07:24 . 2009-07-21 07:24 401 ----a-w- c:\documents and settings\entreprise jung\xefmwx.bat
2009-07-21 07:24 . 2009-07-21 07:24 77824 ----a-w- c:\documents and settings\entreprise jung\fepbmp.exe
2009-07-21 07:24 . 2009-07-21 07:24 86016 ----a-w- c:\documents and settings\entreprise jung\rthbyv.exe
2009-07-21 07:01 . 2009-07-21 07:01 401 ----a-w- c:\documents and settings\entreprise jung\TBCJTU.bat
2009-07-21 07:01 . 2009-07-21 07:01 77824 ----a-w- c:\documents and settings\entreprise jung\ihseps.exe
2009-07-21 07:01 . 2009-07-21 07:01 86016 ----a-w- c:\documents and settings\entreprise jung\uwjedy.exe
2009-07-20 23:50 . 2009-07-20 23:50 401 ----a-w- c:\documents and settings\entreprise jung\ouveop.bat
2009-07-20 23:50 . 2009-07-20 23:50 77824 ----a-w- c:\documents and settings\entreprise jung\FEOYMP.exe
2009-07-20 23:50 . 2009-07-20 23:50 86016 ----a-w- c:\documents and settings\entreprise jung\QSGBYV.exe
2009-07-20 23:42 . 2009-07-20 23:42 401 ----a-w- c:\documents and settings\entreprise jung\rwygqr.bat
2009-07-20 23:42 . 2009-07-20 23:42 77824 ----a-w- c:\documents and settings\entreprise jung\vuhreh.exe
2009-07-20 23:42 . 2009-07-20 23:42 86016 ----a-w- c:\documents and settings\entreprise jung\jlwrqn.exe
2009-07-20 20:10 . 2009-07-20 20:10 -------- d-sh--w- c:\documents and settings\LocalService\IETldCache
2009-07-20 19:41 . 2009-07-20 19:41 -------- d-sh--w- c:\documents and settings\entreprise jung\PrivacIE
2009-07-20 19:41 . 2009-07-20 19:41 -------- d-sh--w- c:\documents and settings\entreprise jung\IECompatCache
2009-07-20 19:41 . 2009-07-20 19:41 -------- d-----w- C:\Torrent
2009-07-20 19:41 . 2009-07-20 19:41 -------- d-----w- C:\Dico traduc
2009-07-20 19:37 . 2009-07-20 19:37 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache
2009-07-20 19:37 . 2009-07-20 19:37 -------- d-sh--w- c:\documents and settings\entreprise jung\IETldCache
2009-07-20 18:49 . 2009-06-02 10:12 102912 -c----w- c:\windows\system32\dllcache\iecompat.dll
2009-07-20 18:48 . 2009-07-20 18:49 -------- d-----w- c:\windows\ie8updates
2009-07-20 18:48 . 2009-04-30 21:16 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll
2009-07-20 18:47 . 2009-04-30 21:16 246272 -c----w- c:\windows\system32\dllcache\ieproxy.dll
2009-07-20 18:45 . 2009-07-20 18:47 -------- dc-h--w- c:\windows\ie8
2009-07-20 16:40 . 2009-07-20 16:40 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Application Data\ESET
2009-07-20 16:39 . 2009-07-20 16:39 -------- d-----w- c:\documents and settings\entreprise jung\Local Settings\Application Data\ESET
2009-07-20 15:43 . 2009-07-20 15:43 56 ---ha-w- c:\windows\system32\ezsidmv.dat
2009-07-20 15:42 . 2009-07-21 20:12 -------- d-----w- c:\documents and settings\entreprise jung\Application Data\skypePM
2009-07-20 14:54 . 2009-07-21 20:12 -------- d-----w- c:\documents and settings\entreprise jung\Application Data\Skype
2009-07-20 14:43 . 2009-07-20 14:43 -------- d-----w- c:\program files\Fichiers communs\Skype
2009-07-20 14:43 . 2009-07-20 14:48 -------- d-----r- c:\program files\Skype
2009-07-20 14:40 . 2009-07-20 14:42 -------- d-----w- c:\docume~1\ALLUSE~1\APPLIC~1\Skype
2009-07-20 14:33 . 2009-07-20 14:33 -------- d-----w- c:\program files\ESET
2009-07-20 14:33 . 2009-07-20 14:33 -------- d-----w- c:\docume~1\ALLUSE~1\APPLIC~1\ESET
2009-07-20 14:28 . 2009-07-20 14:28 401 ----a-w- c:\documents and settings\entreprise jung\FKMSEF.bat
2009-07-20 14:28 . 2009-07-20 14:28 77824 ----a-w- c:\documents and settings\entreprise jung\dcnxkn.exe
2009-07-20 14:28 . 2009-07-20 14:28 86016 ----a-w- c:\documents and settings\entreprise jung\prexwt.exe
2009-07-20 14:24 . 2009-07-20 14:24 401 ----a-w- c:\documents and settings\entreprise jung\bgipbb.bat
2009-07-20 14:24 . 2009-07-20 14:24 77824 ----a-w- c:\documents and settings\entreprise jung\IGRDOR.exe
2009-07-20 14:24 . 2009-07-20 14:24 86016 ----a-w- c:\documents and settings\entreprise jung\TVJDCX.exe
2009-07-20 14:24 . 2009-07-20 14:24 -------- d-----w- c:\documents and settings\entreprise jung\Application Data\vlc
2009-07-20 14:20 . 2009-07-20 14:20 310 ----a-w- c:\windows\system32\UACqjuubgguto.dat
2009-07-20 14:19 . 2009-07-20 14:19 70656 ----a-w- c:\windows\system32\UACrdoynowpaw.dll
2009-07-20 14:18 . 2009-07-20 14:19 401 ----a-w- c:\documents and settings\entreprise jung\XFGNXY.bat
2009-07-20 14:18 . 2009-07-20 14:18 77824 ----a-w- c:\documents and settings\entreprise jung\utgqdg.exe
2009-07-20 14:18 . 2009-07-20 14:18 86016 ----a-w- c:\documents and settings\entreprise jung\ijvqpm.exe
2009-07-20 13:56 . 2009-07-20 13:56 -------- d-----w- c:\program files\VideoLAN

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-22 21:52 . 2002-09-25 22:52 56050 ----a-w- c:\windows\system32\perfc00C.dat
2009-07-22 21:52 . 2002-09-25 22:52 428482 ----a-w- c:\windows\system32\perfh00C.dat
2009-07-22 11:43 . 2004-03-20 21:36 -------- d-----w- c:\program files\Fichiers communs\Adobe
2009-07-22 11:40 . 2009-04-20 17:12 -------- d-----w- c:\program files\Spybot - Search & Destroy
2009-07-22 11:40 . 2009-04-20 17:12 -------- d-----w- c:\docume~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
2009-07-22 11:36 . 2009-04-18 11:43 -------- d-----w- c:\program files\CCleaner
2009-07-21 12:45 . 2009-04-23 17:31 -------- d-----w- c:\docume~1\ALLUSE~1\APPLIC~1\Microsoft Help
2009-07-20 23:32 . 2004-03-19 22:35 8224 ----a-w- c:\documents and settings\entreprise jung\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-07-20 19:18 . 2003-04-08 07:32 -------- d-----w- c:\program files\Microsoft Works
2009-06-16 14:40 . 2002-09-25 22:52 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-06-16 14:40 . 2002-09-25 22:51 81920 ----a-w- c:\windows\system32\fontsub.dll
2009-06-03 19:10 . 2005-08-30 08:26 1297408 ----a-w- c:\windows\system32\quartz.dll
2009-05-13 05:04 . 2006-06-23 12:28 915456 ----a-w- c:\windows\system32\wininet.dll
2009-05-07 15:33 . 2002-09-25 22:51 348672 ----a-w- c:\windows\system32\localspl.dll
2009-07-21 20:02 . 2008-11-07 16:33 137208 ----a-w- c:\program files\mozilla firefox\components\brwsrcmp.dll
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2009-02-06 2021400]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"ATIModeChange"="Ati2mdxx.exe" - c:\windows\system32\Ati2mdxx.exe [2001-09-04 28672]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk /r \??\C:\0autocheck autochk *

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^HP Digital Imaging Monitor.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\HP Digital Imaging Monitor.lnk
backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"SpybotSD TeaTimer"=c:\program files\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"ATIPTA"=c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"44197:TCP"= 44197:TCP:Utorrente
"44197:UDP"= 44197:UDP:UtorrentUDP

R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [06/02/2009 14:23 106208]
R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [06/02/2009 14:24 93336]
R2 ekrn;ESET Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [06/02/2009 14:23 727720]
S2 .EsetTrialReset;Eset Trial Reset;c:\windows\system32\regedt32.exe [26/09/2002 00:52 3584]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
.
------- Supplementary Scan -------
.
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~4\Office12\EXCEL.EXE/3000
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
FF - ProfilePath - c:\docume~1\ENTREP~1\APPLIC~1\Mozilla\Firefox\Profiles\mjj7ovbs.default\
FF - prefs.js: browser.startup.homepage - google.fr
FF - prefs.js: network.proxy.type - 4
FF - component: c:\program files\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll

---- FIREFOX POLICIES ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota", 5120);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-23 19:20
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2009-07-23 19:26
ComboFix-quarantined-files.txt 2009-07-23 17:26

Pre-Run: 3 635 081 216 octets libres
Post-Run: 3 610 542 080 octets libres

225 --- E O F --- 2009-07-21 12:48
0
Réponse 3 / 48
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
24 juil. 2009 à 08:59
Salut,


et bien te voilà encore bien infecté !!!


parcontre j'aimerai que tu ne fasses rien d'autre que les manipes qui vont suivre ( pas de scan avec Nod ou quoi que se soit d'autre ! ... merci ... ^^ )



1-Créer un doc texte sur ton bureau :
pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .

* Rends toi sur cette page > https://www.cjoint.com/?hyi7y8iDV5

* copie/colle tout le texte qui s'y trouve ( et rien d'autre!) dans le fichier texte que tu viens de créer :

* Pour sauvegarder, va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valide ... ( sauvegarde le bien sur le bureau )


2-Nettoyage :

!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!

--->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

(Regarde ici : http://img.photobucket.com/albums/v666/sUBs/CFScript.gif )

Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tape 1 puis valide.

Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

!! Ne touches à rien tant que le scan n'est pas terminé !!

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse et attends la suite ...

( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )


2
Jon-Jon
24 juil. 2009 à 14:26
Merci je fais ça ce soir (la je suis overbooké !) ske69
0
Réponse 4 / 48
Trying2 Messages postés 7096 Date d'inscription dimanche 13 juillet 2008 Statut Contributeur sécurité Dernière intervention 15 octobre 2015 234
23 juil. 2009 à 00:50
Hello,



- Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.

- Double-clique sur RSIT.exe afin de lancer le programme.

- Clique sur Continue à l'écran Disclaimer.

-Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

- Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches) dans deux messages différents.
1

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 48
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
1 août 2009 à 09:57
re,


laisse tombé la manipe cité plus haut et fait ce qui suit :


1-Créer un doc texte sur ton bureau :
pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .

* Rends toi sur cette page > https://www.cjoint.com/?ibj5iRQ7Hv

* copie/colle tout le texte qui s'y trouve ( et rien d'autre!) dans le fichier texte que tu viens de créer :

* Pour sauvegarder, va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valide ... ( sauvegarde le bien sur le bureau )


2-Nettoyage :

!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!

--->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

(Regarde ici : http://img.photobucket.com/albums/v666/sUBs/CFScript.gif )

Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tape 1 puis valide.

Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

!! Ne touches à rien tant que le scan n'est pas terminé !!

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse ...

( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )

1
Réponse 6 / 48
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
2 août 2009 à 19:40
bien ...

se serait bien qu'on y mette un bon coup aujourd'hui ... car si tu fais une manipe tous les deux jours et que tu utilises ton PC entre temps, l'infection repart et on risque de tourner en rond un moment ... ^^



la suite :


1-Créer un doc texte sur ton bureau :
pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .

Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :


File::
c:\documents and settings\entreprise jung\ijvqpm.exe
c:\windows\system32\drivers\rdeuwu.sys

Driver::
iwphd


Puis va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valide ...


2-Nettoyage :

!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!

--->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

(Regarde ici : http://img.photobucket.com/albums/v666/sUBs/CFScript.gif )

Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tape 1 puis valide.

Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

!! Ne touches à rien tant que le scan n'est pas terminé !!

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : poste le accompagné d' un nouveau rapport RSIT ( log.txt ) pour analyse ...

( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )



1
Jon-Jon
2 août 2009 à 19:53
Non je n'utilise pas ce pc entre les manips justement, j'ai récupéré mon vrai pc du sav et donc c'est pour ca que je mettais plus de temps à faire les manips sur celui la (le temps de le rallumer, le voir ramer, mettre internet etc :p). Je fais ça tout de suite mais normalement l'infection n'a pas pu repartir car je ne l'ai réelement pas utilisé depuis.
0
Jon-Jon
2 août 2009 à 20:08
Et voila.


ComboFix 09-07-23.01 - entreprise jung 02/08/2009 19:58.3.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.255.126 [GMT 2:00]
Running from: c:\documents and settings\entreprise jung\Bureau\topic.exe
Command switches used :: c:\documents and settings\entreprise jung\Bureau\CFScript.txt
AV: ESET NOD32 Antivirus 4.0 *On-access scanning disabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
- REDUCED FUNCTIONALITY MODE -

FILE ::
"c:\documents and settings\entreprise jung\ijvqpm.exe"
"c:\windows\system32\drivers\rdeuwu.sys"
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\entreprise jung\ijvqpm.exe

.
((((((((((((((((((((((((( Files Created from 2009-07-02 to 2009-08-02 )))))))))))))))))))))))))))))))
.

2009-07-23 18:49 . 2009-07-23 18:49 -------- d-sh--w- C:\found.000
2009-07-23 17:56 . 2009-07-23 17:56 -------- d-----w- c:\documents and settings\entreprise jung\Application Data\Malwarebytes
2009-07-22 23:04 . 2009-07-22 23:06 -------- d-----w- c:\program files\trend micro
2009-07-22 23:03 . 2009-07-22 23:07 -------- d-----w- C:\rsit
2009-07-22 20:35 . 2009-07-22 21:50 -------- d-----w- C:\UsbFix
2009-07-22 19:46 . 2009-07-13 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-07-22 19:46 . 2009-07-22 19:46 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-07-22 19:46 . 2009-07-13 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-07-22 19:46 . 2009-07-22 19:47 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-07-22 11:37 . 2009-07-22 12:17 -------- d-----w- c:\documents and settings\All Users\Application Data\NOS
2009-07-22 11:37 . 2009-07-22 12:17 -------- d-----w- c:\program files\NOS
2009-07-21 07:29 . 2009-07-21 07:29 -------- d-sh--w- c:\documents and settings\Administrateur\PrivacIE
2009-07-21 07:29 . 2009-07-21 07:29 -------- d-sh--w- c:\documents and settings\Administrateur\IETldCache
2009-07-20 20:10 . 2009-07-20 20:10 -------- d-sh--w- c:\documents and settings\LocalService\IETldCache
2009-07-20 19:41 . 2009-07-20 19:41 -------- d-sh--w- c:\documents and settings\entreprise jung\PrivacIE
2009-07-20 19:41 . 2009-07-20 19:41 -------- d-sh--w- c:\documents and settings\entreprise jung\IECompatCache
2009-07-20 19:41 . 2009-07-20 19:41 -------- d-----w- C:\Dico traduc
2009-07-20 19:37 . 2009-07-20 19:37 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache
2009-07-20 19:37 . 2009-07-20 19:37 -------- d-sh--w- c:\documents and settings\entreprise jung\IETldCache
2009-07-20 18:49 . 2009-06-02 10:12 102912 -c----w- c:\windows\system32\dllcache\iecompat.dll
2009-07-20 18:48 . 2009-07-20 18:49 -------- d-----w- c:\windows\ie8updates
2009-07-20 18:48 . 2009-04-30 21:16 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll
2009-07-20 18:47 . 2009-04-30 21:16 246272 -c----w- c:\windows\system32\dllcache\ieproxy.dll
2009-07-20 18:45 . 2009-07-20 18:47 -------- dc-h--w- c:\windows\ie8
2009-07-20 16:40 . 2009-07-20 16:40 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Application Data\ESET
2009-07-20 16:39 . 2009-07-20 16:39 -------- d-----w- c:\documents and settings\entreprise jung\Local Settings\Application Data\ESET
2009-07-20 15:43 . 2009-07-20 15:43 56 ---ha-w- c:\windows\system32\ezsidmv.dat
2009-07-20 15:42 . 2009-07-21 20:12 -------- d-----w- c:\documents and settings\entreprise jung\Application Data\skypePM
2009-07-20 14:54 . 2009-07-21 20:12 -------- d-----w- c:\documents and settings\entreprise jung\Application Data\Skype
2009-07-20 14:43 . 2009-07-20 14:43 -------- d-----w- c:\program files\Fichiers communs\Skype
2009-07-20 14:43 . 2009-07-20 14:48 -------- d-----r- c:\program files\Skype
2009-07-20 14:40 . 2009-07-20 14:42 -------- d-----w- c:\documents and settings\All Users\Application Data\Skype
2009-07-20 14:33 . 2009-07-20 14:33 -------- d-----w- c:\program files\ESET
2009-07-20 14:33 . 2009-07-20 14:33 -------- d-----w- c:\documents and settings\All Users\Application Data\ESET
2009-07-20 14:24 . 2009-07-20 14:24 -------- d-----w- c:\documents and settings\entreprise jung\Application Data\vlc
2009-07-20 13:56 . 2009-07-20 13:56 -------- d-----w- c:\program files\VideoLAN

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-24 07:25 . 2003-11-12 15:04 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-07-24 07:25 . 2005-04-09 22:54 -------- d-----w- c:\program files\Creative
2009-07-24 06:54 . 2009-04-18 11:43 -------- d-----w- c:\program files\CCleaner
2009-07-22 21:52 . 2002-09-25 22:52 56050 ----a-w- c:\windows\system32\perfc00C.dat
2009-07-22 21:52 . 2002-09-25 22:52 428482 ----a-w- c:\windows\system32\perfh00C.dat
2009-07-22 11:43 . 2004-03-20 21:36 -------- d-----w- c:\program files\Fichiers communs\Adobe
2009-07-22 11:40 . 2009-04-20 17:12 -------- d-----w- c:\program files\Spybot - Search & Destroy
2009-07-22 11:40 . 2009-04-20 17:12 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-07-21 12:45 . 2009-04-23 17:31 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2009-07-20 23:32 . 2004-03-19 22:35 8224 ----a-w- c:\documents and settings\entreprise jung\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-07-20 19:18 . 2003-04-08 07:32 -------- d-----w- c:\program files\Microsoft Works
2009-06-16 14:40 . 2002-09-25 22:52 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-06-16 14:40 . 2002-09-25 22:51 81920 ----a-w- c:\windows\system32\fontsub.dll
2009-06-03 19:10 . 2005-08-30 08:26 1297408 ----a-w- c:\windows\system32\quartz.dll
2009-05-13 05:04 . 2006-06-23 12:28 915456 ----a-w- c:\windows\system32\wininet.dll
2009-05-07 15:33 . 2002-09-25 22:51 348672 ----a-w- c:\windows\system32\localspl.dll
2009-07-21 20:02 . 2008-11-07 16:33 137208 ----a-w- c:\program files\mozilla firefox\components\brwsrcmp.dll
.

((((((((((((((((((((((((((((( SnapShot@2009-07-23_17.21.18 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-11-07 16:47 . 2009-07-23 17:38 84661 c:\windows\system32\Macromed\Flash\uninstall_plugin.exe
- 2008-11-07 16:47 . 2009-07-21 12:21 84661 c:\windows\system32\Macromed\Flash\uninstall_plugin.exe
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2009-02-06 2021400]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"ATIModeChange"="Ati2mdxx.exe" - c:\windows\system32\Ati2mdxx.exe [2001-09-04 28672]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^HP Digital Imaging Monitor.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\HP Digital Imaging Monitor.lnk
backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"SpybotSD TeaTimer"=c:\program files\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"ATIPTA"=c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"44197:TCP"= 44197:TCP:Utorrente
"44197:UDP"= 44197:UDP:UtorrentUDP

R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [06/02/2009 14:23 106208]
R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [06/02/2009 14:24 93336]
R2 ekrn;ESET Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [06/02/2009 14:23 727720]
S0 iwphd;iwphd;c:\windows\system32\drivers\rdeuwu.sys --> c:\windows\system32\drivers\rdeuwu.sys [?]
S2 .EsetTrialReset;Eset Trial Reset;c:\windows\system32\regedt32.exe [26/09/2002 00:52 3584]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Contents of the 'Scheduled Tasks' folder

2009-07-23 c:\windows\Tasks\WebReg 20070709230153.job
- c:\program files\Hewlett-Packard\Digital Imaging\bin\hpqwrg.exe [2006-02-19 04:09]
.
.
------- Supplementary Scan -------
.
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~4\Office12\EXCEL.EXE/3000
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
FF - ProfilePath - c:\documents and settings\entreprise jung\Application Data\Mozilla\Firefox\Profiles\mjj7ovbs.default\
FF - prefs.js: browser.startup.homepage - google.fr
FF - prefs.js: network.proxy.type - 4
FF - component: c:\program files\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll

---- FIREFOX POLICIES ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota", 5120);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-02 20:00
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2009-08-02 20:05
ComboFix-quarantined-files.txt 2009-08-02 18:05
ComboFix2.txt 2009-08-01 17:33
ComboFix3.txt 2009-07-23 17:26

Pre-Run: 4 015 890 432 octets libres
Post-Run: 3 983 220 736 octets libres

202 --- E O F --- 2009-07-21 12:48
0
Réponse 7 / 48
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
2 août 2009 à 21:49
bien ...


la suite dans l'ordre :


1- ! Déconnecte toi d'internet et ferme toutes applications en cours !

Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .

# Double clique sur le raccourci UsbFix présent sur ton bureau pour lancer l'outil .

# Cette fois ci , tu choisis l' option 2 ( Suppression ) .

> Ton bureau disparaitra et le pc redémarrera ( c'est normal ).

# Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil et ne touche à rien .

# Une fois terminé, poste le nouveau rapport UsbFix.txt qui apparaitra avec le bureau .


( Le rapport est en outre sauvegardé à la racine du disque maitre > C:\UsbFix.txt ).




==================


2- Créer un doc texte sur ton bureau :
pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .

Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :


Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\iwphd]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\iwphd]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\iwphd]

Driver::
iwphd



Puis va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valide ...


3-Nettoyage :

!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!

--->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

(Regarde ici : http://img.photobucket.com/albums/v666/sUBs/CFScript.gif )

Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tape 1 puis valide.

Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

!! Ne touches à rien tant que le scan n'est pas terminé !!

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : poste le accompagné d' un nouveau rapport RSIT ( log.txt ) pour analyse ...

( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )


1
Jon-Jon
2 août 2009 à 22:38
Voila l'usbfix, et maintenant je m'occupe du combofix (je l'aurais rentabilisé celui la...)
############################## | UsbFix V6.012 |

User : entreprise jung (Administrateurs) # NOM-JFJKK179UWM
Update on 01/08/09 by Chiquitine29 & C_XX
Start at: 22:29:52 | 02/08/2009
Website : http://pagesperso-orange.fr/NosTools/index.html

mobile AMD Athlon(tm) XP 2600+
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : ESET NOD32 Antivirus 4.0 4.0 [ Enabled | Updated ]

C:\ -> Disque fixe local # 37,25 Go (3,72 Go free) [SYSTEM] # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque fixe local # 29,79 Go (29,55 Go free) [EXCHANGE] # FAT32
F:\ -> Disque fixe local # 435,96 Go (200,46 Go free) [LaCie] # NTFS

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Program Files\Belkin\Belkin Wireless Network Utility\WLService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Belkin\Belkin Wireless Network Utility\WLanCfgG.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |

Supprimé ! E:\._autorun.inf
Supprimé ! F:\._autorun.inf

################## | Registre # Clés Run infectieuses |


################## | Registre # Mountpoints2 |


################## | Listing des fichiers présent |

[25/09/2002 16:17|--a------|0] -> C:\AUTOEXEC.BAT
[18/04/2009 14:59|-rahs----|216] -> C:\boot.ini
[30/08/2002 14:00|-rahs----|4952] -> C:\Bootfont.bin
[02/08/2009 20:05|--a------|16160] -> C:\ComboFix.txt
[25/09/2002 16:17|--a------|0] -> C:\CONFIG.SYS
[31/12/2005 15:36|--a------|300] -> C:\hpcmerr.log
[20/04/2005 22:11|--ah-----|525] -> C:\hpothb07.dat
[20/04/2005 22:11|--ah-----|993] -> C:\hpothb07.tif
[20/06/2005 14:01|--a------|1120] -> C:\INSTALL.LOG
[25/09/2002 16:17|-rahs----|0] -> C:\IO.SYS
[20/03/2004 23:39|--ah-----|213] -> C:\IPH.PH
[12/11/2003 17:12|--a------|1716] -> C:\Lang.txt
[12/07/2005 00:39|--a------|5526] -> C:\MACDR001.CST
[12/07/2005 00:34|--a------|14984] -> C:\MACDR055.CST
[25/09/2002 16:17|-rahs----|0] -> C:\MSDOS.SYS
[18/04/2009 14:36|-rahs----|47564] -> C:\NTDETECT.COM
[23/04/2009 15:29|-rahs----|252240] -> C:\ntldr
[?|?|?] -> C:\pagefile.sys
[22/10/2008 19:29|--a------|211] -> C:\Raccourci vers Lecteur CD.lnk
[02/08/2009 21:10|--a------|661] -> C:\resultat OAD rdeuwu.txt
[23/07/2009 14:25|--a------|669] -> C:\resultat OAD.txt
[02/08/2009 21:07|--a------|661] -> C:\resultat.txt
[24/05/2001 12:59|--a------|162304] -> C:\UNWISE.EXE
[02/08/2009 22:31|--a------|3262] -> C:\UsbFix.txt
[24/03/2009 20:21|---------|126976] -> E:\LaCie.exe
[24/03/2009 20:21|---h-----|390] -> E:\LaCie.ini
[24/03/2009 20:22|---hs----|25214] -> E:\.VolumeIcon.ico
[24/03/2009 20:22|---hs----|29640] -> E:\.VolumeIcon.icns
[05/04/2009 02:01|--ah-----|4096] -> E:\._.Trashes
[24/03/2009 21:22|---hs----|29018] -> F:\.VolumeIcon.icns
[24/03/2009 21:22|---hs----|25214] -> F:\.VolumeIcon.ico
[18/05/2007 19:26|--a------|732250112] -> F:\Apocalypto.VOSTFR.DVDRiP.XViD-STS.avi
[25/12/2007 16:16|--a------|3127602354] -> F:\blade runner hddvd 720p xvid french.avi
[11/11/2004 09:45|--a------|730617856] -> F:\blue velvet VO.avi
[04/12/2007 12:21|--a------|732696576] -> F:\Crimes Et D‚lits (Woody Allen) - French Dvdrip Duga.avi
[11/12/2007 00:19|--a------|734410752] -> F:\Harry Dans Tous Ses Etats (Woody Allen) Fr.avi
[24/04/2009 12:14|--ahs----|58368] -> F:\Thumbs.db
[20/04/2009 16:52|--ah-----|162] -> F:\~$ttre de motivation Alliance Fran‡aise.doc

################## | Vaccination |

# C:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.
# E:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.
# F:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.

################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # UsbFix V6.012 ! |
0
Réponse 8 / 48
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
5 août 2009 à 19:18
re,

mets à jours la console Java avant pour voir :


Version Console Java à jour > 6 Update 15

-> désinstalle toutes les versions antérieurs via le panneau de config./"Ajout et suppression de programmes" (pour XP) ou " Programmes et fonctionnalités " (pour Vista) .
-> Puis télécharge et installe la dernière version ici :
https://www.commentcamarche.net/telecharger/developpement/12917-java-runtime-environment/
ou https://www.java.com/fr/

( Autre astuce pour faire cette maj ainsi que la suppression des anciennes versions
avec l'outil Javara : https://www.commentcamarche.net/faq/15645-supprimer-les-anciennes-versions-de-java-avec-javara )

-> Enfin contrôle ceci :
Démarrer > Panneau de configuration > Icône Java > onglet Mise à jour > cocher la case "Automatiser la détection des mises à jour".



====================


Ensuite re-tentes le scan en ligne de Kaspersky stp ...

1
Réponse 9 / 48
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
6 août 2009 à 00:15
re,

J'ai mon vrai pc portable qui devrait normalement être niquel et clean mais j'aimerais faire un scan en profondeur afin de détecter toutes traces possibles d'infections la plus minimes


On vera cela une fois ce 1er PC clean , à jour et sécurisé .... ^^



j'attends donc le résultat de Kas one line ...

1
Jon-Jon
6 août 2009 à 11:26
Bon bug hier soir après une heure et demi de scan (rien de méchant le scan s'est arrété peut être à cause d'une déconnexion ou quelque chose comme ça) ...

Je recommence cette après midi !
0
Jon-Jon
6 août 2009 à 18:16
Apparemment une infection a était détecté mais impossible de savoir laquelle car le scan s'est arrété à 99% après 03:14:01 et rien ne s'affiche quand je clique sur rapport...
0
Réponse 10 / 48
Jon-Jon Messages postés 89 Date d'inscription lundi 8 juin 2009 Statut Membre Dernière intervention 15 février 2010 5
23 juil. 2009 à 01:11
here we go (j'ai mis un peu de temps mais ca rame terriblement cest horrible)

Voici le log :

Logfile of random's system information tool 1.06 (written by random/random)
Run by entreprise jung at 2009-07-23 01:03:29
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 4 GB (9%) free of 38 GB
Total RAM: 255 MB (8% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:07:00, on 23/07/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Program Files\Belkin\Belkin Wireless Network Utility\WLService.exe
C:\Program Files\Belkin\Belkin Wireless Network Utility\WLanCfgG.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Internet Explorer\Iexplore.exe
C:\Program Files\Internet Explorer\Iexplore.exe
C:\Documents and Settings\entreprise jung\Mes documents\Téléchargements\RSIT.exe
C:\Program Files\trend micro\entreprise jung.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Microsoft Money\System\mnyside.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Belkin Wireless USB Network Adapter (Belkin Wireless USB Network Adapter Service) - Unknown owner - C:\Program Files\Belkin\Belkin Wireless Network Utility\WLService.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
0
Réponse 11 / 48
Jon-Jon Messages postés 89 Date d'inscription lundi 8 juin 2009 Statut Membre Dernière intervention 15 février 2010 5
23 juil. 2009 à 01:12
Et voici l'info :

info.txt logfile of random's system information tool 1.06 2009-07-23 01:07:41

======Uninstall list======

-->C:\WINDOWS\IsUn040c.exe -fC:\WINDOWS\orun32.isu
-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{1888DAFD-C634-4BC4-865C-3455E24F6177}\setup.exe" -l0x40c
-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{1888DAFD-C634-4BC4-865C-3455E24F6177}\setup.exe" -l0x40c /remove
-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{5AAFE9B0-B60B-4B12-B22D-6B15507502E5}\setup.exe" -l0x40c
-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{5CDC05F7-83E4-4611-AD3C-A6EB2100332A}\setup.exe" -l0x40c
-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{5CDC05F7-83E4-4611-AD3C-A6EB2100332A}\setup.exe" -l0x40c /remove
-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{5CDDF96A-BC34-4D72-9ABA-E1FFF0C39977}\setup.exe" -l0x40c
-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{67AEFC4C-69E4-11D7-85F4-00E018013273}\setup.exe" -l0x40c
-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{67AEFC4C-69E4-11D7-85F4-00E018013273}\setup.exe" -l0x40c /remove
-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{7A900EAB-DA37-4554-AF19-9C337476D05D}\setup.exe" -l0x40c
-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{7A900EAB-DA37-4554-AF19-9C337476D05D}\setup.exe" -l0x40c /remove
-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{869D88A5-BD6C-4E39-8536-D95259EAD7E8}\setup.exe" -l0x40c
-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{869D88A5-BD6C-4E39-8536-D95259EAD7E8}\setup.exe" -l0x40c /remove
-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{881A74B3-3D17-4842-B9AF-0761C6E6C4B5}\setup.exe" -l0x40c
-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{881A74B3-3D17-4842-B9AF-0761C6E6C4B5}\setup.exe" -l0x40c /remove
-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{B5BAAFAE-3561-463D-8E3F-91761A57ADB8}\setup.exe" -l0x40c
-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{B5BAAFAE-3561-463D-8E3F-91761A57ADB8}\setup.exe" -l0x40c /remove
-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{C6866B7D-ACFD-4C49-B77B-3B2F8CF54B96}\setup.exe" -l0x40c
-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{C6866B7D-ACFD-4C49-B77B-3B2F8CF54B96}\setup.exe" -l0x40c /remove
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
7-Zip 4.65-->"C:\Program Files\7-Zip\Uninstall.exe"
Adobe Acrobat 4.0, 5.0-->C:\WINDOWS\ISUN040C.EXE -f"C:\Program Files\Fichiers communs\Adobe\Acrobat 5.0\NT\Uninst.isu" -c"C:\Program Files\Fichiers communs\Adobe\Acrobat 5.0\NT\Uninst.dll"
Adobe Flash Player 10 ActiveX-->C:\WINDOWS\System32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\WINDOWS\System32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 9.1.2 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A91000000001}
ATI Control Panel-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{0BEDBD4E-2D34-47B5-9973-57E62B29307C}\setup.exe"
ATI Display Driver-->rundll32 C:\WINDOWS\System32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean
Belkin 54g USB Network Adapter-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\Belkin\Belkin Wireless Network Utility\setup.exe" -l0x9
Choice Guard-->MsiExec.exe /I{8FFC5648-FAF8-43A3-BC8F-42BA1E275C4E}
Ciel Compta pour Windows-->C:\WINDOWS\unin040c.exe -fC:\CIEL\WCPTA\DeIsL1.isu
Ciel e-Commerce-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{A7A09545-60C7-11D5-AFA8-00C04F8EC576}\install.exe" UNINSTALL
Ciel gestion Commerciale pour Windows-->C:\WINDOWS\unin040c.exe -fC:\CIEL\WGC\DeIsL1.isu
Complément Microsoft Word pour Microsoft Works Suite-->MsiExec.exe /I{F6B1CD0F-DB2D-4666-A168-C46390AD8C4A}
Correctif pour Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
Creative MediaSource-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{56F3E1FF-54FE-4384-A153-6CCABA097814}\SETUP.EXE" -l0x40c /remove
Extension Système de Microsoft Money-->MsiExec.exe /I{02CA7E66-1AD1-4DE9-BA9E-86A0EEB019C7}
HijackThis 2.0.2-->"C:\Program Files\trend micro\HijackThis.exe" /uninstall
HP Customer Participation Program 7.0-->C:\Program Files\Hewlett-Packard\Digital Imaging\ExtCapUninstall\hpzscr01.exe -datfile hpqhsc01.dat
HP Imaging Device Functions 7.0-->C:\Program Files\Hewlett-Packard\Digital Imaging\DeviceManagement\hpzscr01.exe -datfile hpqbud01.dat
HP Photo and Imaging 2.1 - Scanjet 36X0 Series-->MsiExec.exe /I{49CE65E4-9EE2-4F29-8768-58DD1E45D09C}
HP Photosmart Essential-->MsiExec.exe /X{6994491D-D491-48F1-AE1F-E179C1FFFC2F}
HP Photosmart, Officejet and Deskjet 7.0.A-->C:\Program Files\Hewlett-Packard\Digital Imaging\{BDBE2F3E-42DB-4d4a-8CB1-19BA765DBC6C}\setup\hpzscr01.exe -datfile hposcr11.dat
HP Software Update-->MsiExec.exe /X{BB85ED9C-AFC9-43BD-B8DC-258C3C7DF72E}
HP Solution Center 7.0-->C:\Program Files\Hewlett-Packard\Digital Imaging\eSupport\hpzscr01.exe -datfile hpqbud05.dat
Installation Windows Live-->C:\Program Files\Windows Live\Installer\wlarp.exe
Installation Windows Live-->MsiExec.exe /I{7370DF47-B4F9-4279-BFC3-3F09919F720D}
Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework (French) v1.0.3705-->C:\WINDOWS\Microsoft.NET\Framework\Install.exe /u /p Microsoft .NET Framework Full v1.0.3705 (1036)
Microsoft .NET Framework (French)-->MsiExec.exe /X{6B908BF7-A583-4962-B068-69657D87CD56}
Microsoft .NET Framework 1.0 Hotfix (KB928367)-->"C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\Updates\hotfix.exe" "C:\WINDOWS\Microsoft.NET\Framework\v1.0.3705\Updates\M9283671036\M9283671036Uninstall.msp"
Microsoft AutoRoute 2002-->MsiExec.exe /I{F7F2DC0A-C22E-49AD-AD37-797309A54E7B}
Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe"
Microsoft Money-->MsiExec.exe /I{01A2E33A-8ADA-42D1-9173-8F65149E952F}
Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe"
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {0B36C6D6-F5D8-4EAF-BF94-4376A230AD5B}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-0015-040C-0000-0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-0016-040C-0000-0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-0018-040C-0000-0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-0019-040C-0000-0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001A-040C-0000-0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001B-040C-0000-0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-0044-040C-0000-0000000FF1CE} /uninstall {AE187E0D-EBA5-4EE1-A397-BF1A577CB24C}
Microsoft Office 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-006E-040C-0000-0000000FF1CE} /uninstall {B165D3C2-40AE-4D39-86F7-E5C87C4264C0}
Microsoft Office Access MUI (French) 2007-->MsiExec.exe /X{90120000-0015-040C-0000-0000000FF1CE}
Microsoft Office Excel MUI (French) 2007-->MsiExec.exe /X{90120000-0016-040C-0000-0000000FF1CE}
Microsoft Office InfoPath MUI (French) 2007-->MsiExec.exe /X{90120000-0044-040C-0000-0000000FF1CE}
Microsoft Office Outlook MUI (French) 2007-->MsiExec.exe /X{90120000-001A-040C-0000-0000000FF1CE}
Microsoft Office PowerPoint MUI (French) 2007-->MsiExec.exe /X{90120000-0018-040C-0000-0000000FF1CE}
Microsoft Office Professional Plus 2007-->"C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall PROPLUS /dll OSETUP.DLL
Microsoft Office Professional Plus 2007-->MsiExec.exe /X{90120000-0011-0000-0000-0000000FF1CE}
Microsoft Office Proof (Arabic) 2007-->MsiExec.exe /X{90120000-001F-0401-0000-0000000FF1CE}
Microsoft Office Proof (Dutch) 2007-->MsiExec.exe /X{90120000-001F-0413-0000-0000000FF1CE}
Microsoft Office Proof (English) 2007-->MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
Microsoft Office Proof (French) 2007-->MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}
Microsoft Office Proof (German) 2007-->MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}
Microsoft Office Proof (Spanish) 2007-->MsiExec.exe /X{90120000-001F-0C0A-0000-0000000FF1CE}
Microsoft Office Proofing (French) 2007-->MsiExec.exe /X{90120000-002C-040C-0000-0000000FF1CE}
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-0401-0000-0000000FF1CE} /uninstall {14809F99-C601-4D4A-9391-F1E8FAA964C5}
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-0407-0000-0000000FF1CE} /uninstall {A0516415-ED61-419A-981D-93596DA74165}
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-0409-0000-0000000FF1CE} /uninstall {ABDDE972-355B-4AF1-89A8-DA50B7B5C045}
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-040C-0000-0000000FF1CE} /uninstall {F580DDD5-8D37-4998-968E-EBB76BB86787}
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-0413-0000-0000000FF1CE} /uninstall {D66D5A44-E480-4BA4-B4F2-C554F6B30EBB}
Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)-->msiexec /package {90120000-001F-0C0A-0000-0000000FF1CE} /uninstall {187308AB-5FA7-4F14-9AB9-D290383A10D9}
Microsoft Office Publisher MUI (French) 2007-->MsiExec.exe /X{90120000-0019-040C-0000-0000000FF1CE}
Microsoft Office Shared MUI (French) 2007-->MsiExec.exe /X{90120000-006E-040C-0000-0000000FF1CE}
Microsoft Office Word MUI (French) 2007-->MsiExec.exe /X{90120000-001B-040C-0000-0000000FF1CE}
Microsoft Picture It! Photo 7.0-->MsiExec.exe /I{369B36BE-3D64-4641-9AEA-808D436FE132}
Microsoft Works 7.0-->MsiExec.exe /I{64D114CE-4234-45C2-B60A-2B07D5A48F72}
Mise à jour de sécurité pour Lecteur Windows Media (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Lecteur Windows Media 8 (KB917734)-->"C:\WINDOWS\$NtUninstallKB917734_WMP8$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Step by Step Interactive Training (KB898458)-->"C:\WINDOWS\$NtUninstallKB898458$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Step by Step Interactive Training (KB923723)-->"C:\WINDOWS\$NtUninstallKB923723$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB938127-v2)-->"C:\WINDOWS\ie7updates\KB938127-v2-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB963027)-->"C:\WINDOWS\ie7updates\KB963027-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB969897)-->"C:\WINDOWS\ie7updates\KB969897-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 8 (KB969897)-->"C:\WINDOWS\ie8updates\KB969897-IE8\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB904706)-->"C:\WINDOWS\$NtUninstallKB904706$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB923561)-->"C:\WINDOWS\$NtUninstallKB923561$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB938464-v2)-->"C:\WINDOWS\$NtUninstallKB938464-v2$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB950760)-->"C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB952004)-->"C:\WINDOWS\$NtUninstallKB952004$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB954459)-->"C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956572)-->"C:\WINDOWS\$NtUninstallKB956572$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB958690)-->"C:\WINDOWS\$NtUninstallKB958690$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB959426)-->"C:\WINDOWS\$NtUninstallKB959426$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB960225)-->"C:\WINDOWS\$NtUninstallKB960225$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB960715)-->"C:\WINDOWS\$NtUninstallKB960715$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB960803)-->"C:\WINDOWS\$NtUninstallKB960803$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB961371)-->"C:\WINDOWS\$NtUninstallKB961371$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB961373)-->"C:\WINDOWS\$NtUninstallKB961373$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB961501)-->"C:\WINDOWS\$NtUninstallKB961501$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB963027)-->"C:\WINDOWS\$NtUninstallKB963027$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB968537)-->"C:\WINDOWS\$NtUninstallKB968537$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB970238)-->"C:\WINDOWS\$NtUninstallKB970238$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB971633)-->"C:\WINDOWS\$NtUninstallKB971633$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB973346)-->"C:\WINDOWS\$NtUninstallKB973346$\spuninst\spuninst.exe"
Mise à jour pour Windows Internet Explorer 8 (KB971930)-->"C:\WINDOWS\ie8updates\KB971930-IE8\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB961503)-->"C:\WINDOWS\$NtUninstallKB961503$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB967715)-->"C:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe"
Mozilla Firefox (3.5.1)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MuVo Driver-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{5AAFE9B0-B60B-4B12-B22D-6B15507502E5}\setup.exe" -l0x40c /remove
OCR Software by I.R.I.S 7.0-->C:\Program Files\Hewlett-Packard\Digital Imaging\OCR\hpzscr01.exe -datfile hpqbud11.dat
OpenOffice.org 3.0-->MsiExec.exe /I{6860B340-530D-46B3-91F8-1AE1F70F7C33}
Outil de téléchargement Windows Live-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
Photosmart 140,240,7200,7600,7700,7900 Series-->C:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\setup\hpzscr01.exe -datfile hphscr01.dat
Security Update for 2007 Microsoft Office System (KB969559)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {69F52148-9BF6-4CDC-BF76-103DEAF3DD08}
Security Update for 2007 Microsoft Office System (KB969679)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {C66E4A6C-6E07-4C63-8CCD-2493B5087C73}
Security Update for Microsoft Office Excel 2007 (KB969682)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {C03803BD-745A-46F8-8557-817DED578780}
Security Update for Microsoft Office PowerPoint 2007 (KB957789)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {7559E742-FF9F-4FAE-B279-008ED296CB4D}
Security Update for Microsoft Office Publisher 2007 (KB969693)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {7BE67088-1EB3-4569-8E75-DDAFBF61BC4E}
Security Update for Microsoft Office system 2007 (KB969613)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {5ECEB317-CBE9-4E08-AB10-756CB6F0FB6C}
Security Update for Microsoft Office Word 2007 (KB969604)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {CF3D6499-709C-43D0-8908-BC5652656050}
Segoe UI-->MsiExec.exe /I{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}
Sélecteur d'installation de Microsoft Works Suite 2003-->C:\Program Files\Microsoft Works Suite 2003\Setup\Launcher.exe D:\
Shockwave-->C:\WINDOWS\system32\Macromed\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Macromed\SHOCKW~1\Install.log
Skype web features-->MsiExec.exe /I{F1362843-0E0E-4F74-8662-724CF101ADCE}
Skype™ 4.1-->MsiExec.exe /X{D103C4BA-F905-437A-8049-DB24763BBE36}
Spelling Dictionaries Support For Adobe Reader 9-->MsiExec.exe /I{AC76BA86-7AD7-5464-3428-900000000004}
Update for 2007 Microsoft Office System (KB967642)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {C444285D-5E4F-48A4-91DD-47AAAA68E92D}
Update for Microsoft Office Outlook 2007 (KB969907)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {74F98B24-AFBD-4800-9BD6-87D349B5C462}
Update for Outlook 2007 Junk Email Filter (kb971933)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {53C200F4-3B4B-49A5-8539-2C61F1A88CA2}
UsbFix-->C:\UsbFix\Uninstal.exe
VLC media player 1.0.0-->C:\Program Files\VideoLAN\VLC\uninstall.exe
Winamp-->"C:\Program Files\Winamp\UninstWA.exe"
Windows Internet Explorer 8-->"C:\WINDOWS\ie8\spuninst\spuninst.exe"
Windows Live Call-->MsiExec.exe /I{82C7B308-0BDD-49D8-8EA5-9CD3A3F9DF41}
Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52}
Windows Live Messenger-->MsiExec.exe /X{059C042E-796A-4ACC-A81A-ECC2010BB78C}
Windows Media Format Runtime-->"C:\Program Files\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"

======Hosts File======

127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com

======Security center information======

AV: ESET NOD32 Antivirus 4.0

======System event log======

Computer Name: NOM-JFJKK179UWM
Event Code: 26
Message: Application popup :  : Machine Check: Regs

Record Number: 493950
Source Name: Application Popup
Time Written: 20090421164421.000000+120
Event Type: Informations
User:

Computer Name: NOM-JFJKK179UWM
Event Code: 26
Message: Application popup :  : Machine Check:

Record Number: 493949
Source Name: Application Popup
Time Written: 20090421164421.000000+120
Event Type: Informations
User:

Computer Name: NOM-JFJKK179UWM
Event Code: 26
Message: Application popup :  : Machine Check: Regs

Record Number: 493948
Source Name: Application Popup
Time Written: 20090421164421.000000+120
Event Type: Informations
User:

Computer Name: NOM-JFJKK179UWM
Event Code: 26
Message: Application popup :  : Machine Check:

Record Number: 493947
Source Name: Application Popup
Time Written: 20090421164421.000000+120
Event Type: Informations
User:

Computer Name: NOM-JFJKK179UWM
Event Code: 26
Message: Application popup :  : Machine Check: Regs

Record Number: 493946
Source Name: Application Popup
Time Written: 20090421164421.000000+120
Event Type: Informations
User:

=====Application event log=====

Computer Name: NOM-JFJKK179UWM
Event Code: 105
Message: The service was started.

Record Number: 991
Source Name: Creative Service for CDROM Access
Time Written: 20090130121719.000000+060
Event Type: Informations
User:

Computer Name: NOM-JFJKK179UWM
Event Code: 2002
Message: Le service EAPOL a été arrêté correctement.

Record Number: 990
Source Name: EAPOL
Time Written: 20090129215706.000000+060
Event Type: Informations
User:

Computer Name: NOM-JFJKK179UWM
Event Code: 2003
Message: Le service EAPOL est en cours d'exécution

Record Number: 989
Source Name: EAPOL
Time Written: 20090129215706.000000+060
Event Type: Informations
User:

Computer Name: NOM-JFJKK179UWM
Event Code: 4096
Message:
Record Number: 988
Source Name: Avira AntiVir
Time Written: 20090129215659.000000+060
Event Type: Informations
User: AUTORITE NT\SYSTEM

Computer Name: NOM-JFJKK179UWM
Event Code: 105
Message: The service was started.

Record Number: 987
Source Name: Creative Service for CDROM Access
Time Written: 20090129215652.000000+060
Event Type: Informations
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\ATI Technologies\ATI Control Panel
"windir"=%SystemRoot%
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 10 Stepping 0, AuthenticAMD
"PROCESSOR_REVISION"=0a00
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"FP_NO_HOST_CHECK"=NO

-----------------EOF-----------------
0
Réponse 12 / 48
Trying2 Messages postés 7096 Date d'inscription dimanche 13 juillet 2008 Statut Contributeur sécurité Dernière intervention 15 octobre 2015 234
23 juil. 2009 à 04:14
1/
Pourrais tu me détailler toutes les procédures (outils utilisés) mises en oeuvre pour nettoyer ce pc stp?
Cela me donnera du boulot en moins^^.

Si tu as des rapports divers, merci de me les communiquer.

2/
A ce propos, poste moi stp le rapport de NOD32.

3/
Télécharge RootRepeal
Décompresse-le

Lance RootRepeal.exe
Clique sur l'onglet "File" puis sur "Scan" : vérifie que ta partiton Windows est bien cochée puis clique sur "OK".
Une fois terminé clique sur "Save Report", enregistre le sur ton bureau, ouvre le et colle moi le contenu du rapport créé dans ton prochain message.

4/
Télécharge OAD de !aur3n7
- Enregistre le sur ton bureau

Double clique sur OAD pour le lancer.

- "nom de fichier à rechercher" tape ou fais un copier/coller de : geyekrntidibci
- "Type de recherche" : sélectionne l'option 6 puis valide avec la touche [entrée].

OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il ait terminé.
Le rapport de recherche s'affichera automatiquement dès qu'il aura terminé.

- Fais un copier / coller de ce rapport dans ton prochain post.


@+


Ps: Poste chaque rapport dans un message différent stp.
0
Jon-Jon Messages postés 89 Date d'inscription lundi 8 juin 2009 Statut Membre Dernière intervention 15 février 2010 5
23 juil. 2009 à 11:05
1/ Alors j'ai fais de nombreuses mise à jour installer nod 32 supprimé pas mal de virus avec, j'ai essayé d'installer un antispyware malware (types spybot ou antimalwarsbytes) mais étrangement impossible de les lancer une fois installés.
Pour ce trojan j'ai tenté d'utiliser usbfix sans grand succès (Phase 1 puis 2), j'ai également essayé d'utiliser l'utilitaire chkdsk (car des erreurs de registre s'affichait dans la barre de taches et me demandait de l'utiliser) mais je ne pense avoir réussi à l'exploiter completement car il en restait (justement qd j'ai installé RSIT).

2/ Pour l'ordre des scans je te le donne ici car je sens que cette page va vite devenir illisible !

=> 1. USBfix
=> 2. RootRepeal
=> 3. OAD
=> 4. Nod 32

Je finis tous ces scans et je poste ça.
0
Jon-Jon Messages postés 89 Date d'inscription lundi 8 juin 2009 Statut Membre Dernière intervention 15 février 2010 5 > Jon-Jon Messages postés 89 Date d'inscription lundi 8 juin 2009 Statut Membre Dernière intervention 15 février 2010
23 juil. 2009 à 11:44
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ 1. Rapport USBFix ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
__________________________________________________________



############################## | UsbFix V6.009 |

# User : entreprise jung (Administrateurs) # NOM-JFJKK179UWM
# Update on 20/07/09 by Chiquitine29 & C_XX
# Start at: 22:38:51 | 22/07/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html

# mobile AMD Athlon(tm) XP 2600+
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled
# AV : ESET NOD32 Antivirus 4.0 4.0 [ Enabled | Updated ]

# C:\ # Disque fixe local # 37,25 Go (3,3 Go free) [SYSTEM] # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque fixe local # 29,79 Go (29,55 Go free) [EXCHANGE] # FAT32
# F:\ # Disque fixe local # 435,96 Go (200,46 Go free) [LaCie] # NTFS
# G:\ # Disque amovible # 992,77 Mo (22,66 Mo free) [J¤N-J¤N'S I] # FAT32

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Program Files\Belkin\Belkin Wireless Network Utility\WLService.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Program Files\Belkin\Belkin Wireless Network Utility\WLanCfgG.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\DllHost.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Internet Explorer\Iexplore.exe

################## | Fichiers # Dossiers infectieux |


################## | C:\Documents and Settings\entreprise jung\Temporary Internet Files |


################## | All Drives ... |

Présent ! E:\._autorun.inf
Présent ! E:\autorun.inf
Présent ! F:\._autorun.inf
Présent ! F:\autorun.inf
Présent ! G:\autorun.inf

################## | Registre # Clés Run infectieuses |

Présent ! HKLM\software\microsoft\security center "AntiVirusOverride" ( 0x1 )

################## | Registre # Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\E
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL claIRe.exE

HKCU\..\..\Explorer\MountPoints2\{18ab9409-2c62-11de-bb07-00030d084339}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL cLAIre.EXE

################## | Other |

Suspect ! C:\WINDOWS\system32\geyekrntidibci.dll
Suspect ! C:\WINDOWS\system32\drivers\geyekrbanrspmn.sys
Suspect ! C:\WINDOWS\system32\drivers\geyekrjwxnridm.sys
Suspect ! C:\WINDOWS\system32\drivers\geyekrpxotewxd.sys
Suspect ! C:\WINDOWS\system32\drivers\geyekrpyyrjcxi.sys


################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # UsbFix V6.009 ! |

Le reste arrive à la vitesse du laptop (c'est à dire vraiment psa vite)
0
Jon-Jon Messages postés 89 Date d'inscription lundi 8 juin 2009 Statut Membre Dernière intervention 15 février 2010 5
23 juil. 2009 à 13:39
¤¤¤¤¤¤¤¤¤¤¤¤¤¤ => 2. Rootrepeal <= ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Probleme ! scan impossible (could not read the boot sctor. Try adjusting the disk access level in options dialog)
Et ensuite : DeviceIoControl Error Error ! Code = 0xc0000001...

des suggestions ?
0
Jon-Jon Messages postés 89 Date d'inscription lundi 8 juin 2009 Statut Membre Dernière intervention 15 février 2010 5 > Jon-Jon Messages postés 89 Date d'inscription lundi 8 juin 2009 Statut Membre Dernière intervention 15 février 2010
23 juil. 2009 à 14:08
------------------------------------------------------------------
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ 3. Rapport OAD ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
_________________________________________________________


23/07/2009 ---- 14:06:04,65

----------------------------------
§§§§§§ [geyekrntidibci] §§§§§§
----------------------------------
[X] Registre

-------------- [ ] rapide
-- Fichier --- [ ] disque systeme
------------- [X] complete


********************
[Registre]
********************

Aucune entrée détectée

*******************
[Fichier]
*******************



*********************
[Même date]
*********************

Aucun fichier créé à la même date détecté


Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§
----------------------------------

_________________________________________________________
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Merci beaucoup pour ton aide en fait trying !
0
Réponse 13 / 48
Utilisateur anonyme
23 juil. 2009 à 04:16
Bonjour ,

Tu as utiliser USBFix tu as encore sont rapport de suppression et ou de scan ,

Si oui , peut tu les poster.

merci.

Bonne continuation.
0
Jon-Jon Messages postés 89 Date d'inscription lundi 8 juin 2009 Statut Membre Dernière intervention 15 février 2010 5
23 juil. 2009 à 14:28
Il est un petit peu au dessus

Mais par contre je me rappelle qu'en fait il y avait deux rapports usb fix un avant et un après l'option 2 de suppression je poste donc le deuxième (je pense que c'était l'après mais je n'en suis vraiment pas sur)


############################## | UsbFix V6.009 |

# User : entreprise jung (Administrateurs) # NOM-JFJKK179UWM
# Update on 20/07/09 by Chiquitine29 & C_XX
# Start at: 23:36:10 | 22/07/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html

# mobile AMD Athlon(tm) XP 2600+
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled
# AV : ESET NOD32 Antivirus 4.0 4.0 [ Enabled | Updated ]

# C:\ # Disque fixe local # 37,25 Go (3,32 Go free) [SYSTEM] # NTFS
# D:\ # Disque CD-ROM

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Program Files\Belkin\Belkin Wireless Network Utility\WLService.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Program Files\Belkin\Belkin Wireless Network Utility\WLanCfgG.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Internet Explorer\Iexplore.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\ctfmon.exe

################## | Fichiers # Dossiers infectieux |


################## | C:\Documents and Settings\entreprise jung\Temporary Internet Files |


################## | All Drives ... |


################## | Registre # Clés Run infectieuses |

# HKLM\software\microsoft\security center "AntiVirusOverride" # -> Reset sucessfully !

################## | Registre # Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\E\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{18ab9409-2c62-11de-bb07-00030d084339}\Shell\AutoRun\Command

################## | Listing des fichiers présent |

[25/09/2002 16:17|--a------|0] - C:\AUTOEXEC.BAT
[18/04/2009 14:59|-rahs----|216] - C:\boot.ini
[30/08/2002 14:00|-rahs----|4952] - C:\Bootfont.bin
[25/09/2002 16:17|--a------|0] - C:\CONFIG.SYS
[31/12/2005 15:36|--a------|300] - C:\hpcmerr.log
[20/04/2005 22:11|--ah-----|525] - C:\hpothb07.dat
[20/04/2005 22:11|--ah-----|993] - C:\hpothb07.tif
[20/06/2005 14:01|--a------|1120] - C:\INSTALL.LOG
[25/09/2002 16:17|-rahs----|0] - C:\IO.SYS
[20/03/2004 23:39|--ah-----|213] - C:\IPH.PH
[12/11/2003 17:12|--a------|1716] - C:\Lang.txt
[12/07/2005 00:39|--a------|5526] - C:\MACDR001.CST
[12/07/2005 00:34|--a------|14984] - C:\MACDR055.CST
[25/09/2002 16:17|-rahs----|0] - C:\MSDOS.SYS
[18/04/2009 14:36|-rahs----|47564] - C:\NTDETECT.COM
[23/04/2009 15:29|-rahs----|252240] - C:\ntldr
[?|?|?] - C:\pagefile.sys
[22/10/2008 19:29|--a------|211] - C:\Raccourci vers Lecteur CD.lnk
[24/05/2001 12:59|--a------|162304] - C:\UNWISE.EXE
[22/07/2009 23:42|--a------|3259] - C:\UsbFix.txt

################## | Vaccination |

# C:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.

################## | Etat / Services / Informations |


################## | PEH ... |


################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # UsbFix V6.009 ! |
0
Trying2 Messages postés 7096 Date d'inscription dimanche 13 juillet 2008 Statut Contributeur sécurité Dernière intervention 15 octobre 2015 234 > Jon-Jon Messages postés 89 Date d'inscription lundi 8 juin 2009 Statut Membre Dernière intervention 15 février 2010
23 juil. 2009 à 14:42
T'as bien fait de le poster!

J'étais en train de te rédiger un truc...

Je recommence et repasse.
Tu as testé MBAM en mode sans échec? (unfortunately unsuccessfully, I suppose)
0
Réponse 14 / 48
Trying2 Messages postés 7096 Date d'inscription dimanche 13 juillet 2008 Statut Contributeur sécurité Dernière intervention 15 octobre 2015 234
23 juil. 2009 à 19:54
Ca m'a l'air pas mal :)

Je jetterai un oeil plus attentif à ton rapport plus tard. (Je dois sortir)

En attendant:



Télécharge Malwarebytes' Anti-Malware (MBAM)

* Double clique sur le fichier téléchargé pour lancer le processus d'installation.
* Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
* Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
* Sélectionne "Exécuter un examen rapide"
* Clique sur "Rechercher"
* L'analyse démarre, le scan est relativement long, c'est normal.
* A la fin de l'analyse, un message s'affiche :

"L'examen s'est terminé normalement. "

Clique sur "Afficher les résultats" pour afficher tous les objets trouvés.

Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.

* Ferme tes navigateurs. (Internet Explorer/ Firefox...)
* Si des malwares ont été détectés, clique sur Afficher les résultats.
Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
* MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

@+
0
Jon-Jon Messages postés 89 Date d'inscription lundi 8 juin 2009 Statut Membre Dernière intervention 15 février 2010 5
23 juil. 2009 à 23:22
Ok ben je pense que tout est clean maintenant :D, je te poste un rapport malware demain.
Je te remercie beaucoup tu m'as énormément aidé pour supprimer cette saloperie, et c'est vraiment cool de ta part d'avoir pris du temps sur mon cas. Dis moi est ce que je pourrais te poser quelques questions par Mp (histoire de pas polluer ce topic) ?
0
Trying2 Messages postés 7096 Date d'inscription dimanche 13 juillet 2008 Statut Contributeur sécurité Dernière intervention 15 octobre 2015 234 > Jon-Jon Messages postés 89 Date d'inscription lundi 8 juin 2009 Statut Membre Dernière intervention 15 février 2010
23 juil. 2009 à 23:24
Yep, c'est OK pour le MP.
0
Réponse 15 / 48
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
24 juil. 2009 à 00:34
re,

c'est avec plaisir que je te passe la main si tu souhaites suivre.


-> oki ... ^^


Jon-Jon,

comme je l'ai dis au poste 18 , tu es loin d'être tiré d'affaire ! ...


Ne fais pas de scan avec Malwarebytes pour le moment !



Fais ce qui suit dans un premier temps :


1- Avoir accès aux fichiers cachés :

Va dans Menu Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage
* "Afficher les fichiers et dossiers cachés" ---> coché
* "Masquer les extensions des fichiers dont le type est connu" ---> décoché
* "masquer les fichiers du système" ---> décoché
-> valide la modif ( "appliquer" puis "ok" ).
( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... )



2- Rends toi sur ce site :

https://www.virustotal.com/gui/

Copies ce qui suit et colles le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé ) :
c:\documents and settings\entreprise jung\fepbmp.exe

Clique sur Send File ( = " Envoyer le fichier " ).

Un rapport va s'élaborer ligne à ligne.

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta prochaine réponse ...

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )


Fais de même pour :

c:\documents and settings\entreprise jung\uwjedy.exe
c:\documents and settings\entreprise jung\ouveop.bat
c:\documents and settings\entreprise jung\TVJDCX.exe
c:\documents and settings\entreprise jung\utgqdg.exe


Poste moi donc ces 5 rapports ( surtout le début avec le listing des AV , et en précisant bien au début de chacuns à quel fichier ils correspondent ) et attends la suite ...

0
Réponse 16 / 48
Jon-Jon Messages postés 89 Date d'inscription lundi 8 juin 2009 Statut Membre Dernière intervention 15 février 2010 5
24 juil. 2009 à 01:02
Merci à toi et Ske69 et trying2 profite de ta soirée au lieu de refresh des pages de forums :p.

Bon alors Ske ! Donc en réalité quand j'ai dit que tout est clean j'avoue que c'était un raccourci un peu facile je vais donc te faire un récapitulatif de tout ce qui a suivi ce post afin de continuer le nettoyage.

Premio j'ai vu que tu demandais ce qu'était entreprise Jung c'est un dossier perso crée par le beau père d'un ami (oui on s'en fout mais donc bref c'est le nom d'un dossier perso à la base même si est quasiment sur qu'il était infecté au vu de ses apparitions dans les scans).

Secondo donc je vais te dire tout ca : Suite au combo fix qui avait trouvé 8 endroits infecté (du type windows\system32\UACbeaucouptropdelettresquejaipasenviederecopier), j'ai réalisé un scan malware qui a trouvé deux infections restantes, j'ai donc lancé le nettoyage (redémarrage etc).
J'ai laissé courir et ensuite windows xp a lancé une vérification de l'intégrité du disque et a passé un sacré moment à tout nettoyer puis utilitaire CHKDSK qui lui aussi avait pas mal de boulot.

Suit un redémarrage et revérif de windows qui ne trouve rien et voila. La je suis dans un sacn Nod 32.


Donc sachant tout ça tu ve que je suive tes conseils ou tu as besoin d'un nouveau rapport (pourquoi je parie sur la deuxième option :p ?)

p.s. : Dernières nouvelles NOD32 n'aime pas non plus entreprise jung apparemment :p, il vient de me demander de l'envoyer pour analyses.
0
Réponse 17 / 48
Jon-Jon Messages postés 89 Date d'inscription lundi 8 juin 2009 Statut Membre Dernière intervention 15 février 2010 5
24 juil. 2009 à 02:28
Voici les rapports des cinq fichiers :
(je te mets les trois premiers dans ce post et le reste dans un second)
____________________________________________________
1. ¤¤¤ c:\documents and settings\entreprise jung\fepbmp.exe

Fichier fepbmp.exe reçu le 2009.07.23 23:58:48 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 16/41 (39.03%)

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.24 2009.07.23 Trojan.Win32.VB!IK
AhnLab-V3 5.0.0.2 2009.07.23 -
AntiVir 7.9.0.228 2009.07.23 TR/VB.Downloader.Gen
Antiy-AVL 2.0.3.7 2009.07.23 -
Authentium 5.1.2.4 2009.07.24 -
Avast 4.8.1335.0 2009.07.23 -
AVG 8.5.0.387 2009.07.23 -
BitDefender 7.2 2009.07.24 -
CAT-QuickHeal 10.00 2009.07.23 -
ClamAV 0.94.1 2009.07.23 -
Comodo 1748 2009.07.24 -
DrWeb 5.0.0.12182 2009.07.24 -
eSafe 7.0.17.0 2009.07.23 Win32.TRVB.Downloade
eTrust-Vet 31.6.6635 2009.07.23 -
F-Prot 4.4.4.56 2009.07.23 -
F-Secure 8.0.14470.0 2009.07.23 FraudTool.Win32.SecurityAlert.au
Fortinet 3.120.0.0 2009.07.23 Misc/SecurityAlert
GData 19 2009.07.24 -
Ikarus T3.1.1.64.0 2009.07.23 Trojan.Win32.VB
Jiangmin 11.0.800 2009.07.23 -
K7AntiVirus 7.10.800 2009.07.23 not-a-virus:FraudTool.Win32.SecurityAlert.au
Kaspersky 7.0.0.125 2009.07.24 not-a-virus:FraudTool.Win32.SecurityAlert.au
McAfee 5686 2009.07.23 -
McAfee+Artemis 5686 2009.07.23 Artemis!A5B16D3684D8
McAfee-GW-Edition 6.8.5 2009.07.24 Trojan.VB.Downloader.Gen
Microsoft 1.4903 2009.07.23 -
NOD32 4271 2009.07.23 -
Norman 6.01.09 2009.07.22 W32/Obfuscated.P3!genr
nProtect 2009.1.8.0 2009.07.23 -
Panda 10.0.0.14 2009.07.23 Trj/CI.A
PCTools 4.4.2.0 2009.07.23 -
Prevx 3.0 2009.07.24 Medium Risk Malware
Rising 21.39.34.00 2009.07.23 -
Sophos 4.44.0 2009.07.24 Mal/Generic-A
Sunbelt 3.2.1858.2 2009.07.23 MSAntispyware 2009 (v)
Symantec 1.4.4.12 2009.07.24 -
TheHacker 6.3.4.3.372 2009.07.23 -
TrendMicro 8.950.0.1094 2009.07.23 TROJ_FAKEALE.IU
VBA32 3.12.10.9 2009.07.23 -
ViRobot 2009.7.23.1849 2009.07.23 -
VirusBuster 4.6.5.0 2009.07.23 -
Information additionnelle
File size: 77824 bytes
MD5...: a5b16d3684d8228ac8eddd2352051d94
SHA1..: c25d0bc3d3093e7e6f2a331dfed59a4645c42823
SHA256: faf99c32acbea5475100b6116472f14c34250ddae97b99d1cf696c2292432112
ssdeep: 1536:mmAFM1orImfSj8NSBjK83aQTjT7Gq3GKf7Yx2:+O1QbfSje63aQrNHf7Y
PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
TrID..: File type identification
UPX compressed Win32 Executable (43.8%)
Win32 EXE Yoda's Crypter (38.1%)
Win32 Executable Generic (12.2%)
Generic Win/DOS Executable (2.8%)
DOS Executable Generic (2.8%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x31c70
timedatestamp.....: 0x4a63fbe1 (Mon Jul 20 05:08:49 2009)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x24000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x25000 0xd000 0xd000 7.86 37be2dbdb0d2d547df347d65d81b74f1
.rsrc 0x32000 0x6000 0x5c00 5.01 fe9ff7b0fd6121647e996a4de9d2cdc5

( 2 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> MSVBVM60.DLL: -

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
packers (Kaspersky): PE_Patch.UPX, UPX
packers (F-Prot): UPX
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=48C86A63001D798330E801D500462500CF5C6888' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=48C86A63001D798330E801D500462500CF5C6888</a>






____________________________________________________
____________________________________________________
2. ¤¤¤ c:\documents and settings\entreprise jung\uwjedy.exe


Fichier uwjedy.exe reçu le 2009.07.24 00:22:57 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 18/41 (43.91%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 3.
L'heure estimée de démarrage est entre 60 et 85 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.24 2009.07.23 Trojan.CryptRedol!IK
AhnLab-V3 5.0.0.2 2009.07.23 -
AntiVir 7.9.0.228 2009.07.23 TR/CryptRedol.86016.2.8
Antiy-AVL 2.0.3.7 2009.07.23 -
Authentium 5.1.2.4 2009.07.24 -
Avast 4.8.1335.0 2009.07.23 Win32:Alureon-CE
AVG 8.5.0.387 2009.07.23 -
BitDefender 7.2 2009.07.24 Trojan.CryptRedol.Gen.2
CAT-QuickHeal 10.00 2009.07.23 -
ClamAV 0.94.1 2009.07.23 -
Comodo 1748 2009.07.24 -
DrWeb 5.0.0.12182 2009.07.24 -
eSafe 7.0.17.0 2009.07.23 Win32.VirToolObfusca
eTrust-Vet 31.6.6635 2009.07.23 -
F-Prot 4.4.4.56 2009.07.23 -
F-Secure 8.0.14470.0 2009.07.23 Trojan.Win32.Tdss.akhy
Fortinet 3.120.0.0 2009.07.23 W32/Tdss.AKHY!tr
GData 19 2009.07.24 Trojan.CryptRedol.Gen.2
Ikarus T3.1.1.64.0 2009.07.23 Trojan.CryptRedol
Jiangmin 11.0.800 2009.07.23 -
K7AntiVirus 7.10.800 2009.07.23 -
Kaspersky 7.0.0.125 2009.07.24 Trojan.Win32.Tdss.akhy
McAfee 5686 2009.07.23 -
McAfee+Artemis 5686 2009.07.23 Artemis!59EA20802084
McAfee-GW-Edition 6.8.5 2009.07.24 Heuristic.LooksLike.Trojan.Crypt.ZPACK.B
Microsoft 1.4903 2009.07.23 VirTool:Win32/Obfuscator.ET
NOD32 4271 2009.07.23 a variant of Win32/Kryptik.ZT
Norman 6.01.09 2009.07.22 -
nProtect 2009.1.8.0 2009.07.23 -
Panda 10.0.0.14 2009.07.23 Generic Trojan
PCTools 4.4.2.0 2009.07.23 -
Prevx 3.0 2009.07.24 Medium Risk Malware
Rising 21.39.34.00 2009.07.23 -
Sophos 4.44.0 2009.07.24 -
Sunbelt 3.2.1858.2 2009.07.23 VirTool-Win32/Obfuscator.ET
Symantec 1.4.4.12 2009.07.24 -
TheHacker 6.3.4.3.372 2009.07.23 -
TrendMicro 8.950.0.1094 2009.07.23 TROJ_TDSS.ATZ
VBA32 3.12.10.9 2009.07.23 -
ViRobot 2009.7.23.1849 2009.07.23 -
VirusBuster 4.6.5.0 2009.07.23 -
Information additionnelle
File size: 86016 bytes
MD5...: 59ea2080208490d54c3b13224b711de1
SHA1..: 08308780c881d25c14cc5bfbf220de6a9fc5486b
SHA256: f81c41d2274bc934d258df014cff6ee369bc0c189c7c79416ef23b199eaf221c
ssdeep: 1536:FxgZdS3e1md9yVAyhIFPxRTJIns/lfg4P5bQH6PWN:Fxgqu18yh2PzL/Rya
PWN
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1089
timedatestamp.....: 0x4a5dc56c (Wed Jul 15 12:02:52 2009)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xd18 0xe00 5.94 cdba9bbbd6996374d12b3aedb8a05cf2
.rdata 0x2000 0x585 0x600 4.92 b954f9aaece6446a2ec6c968472ff245
.data 0x3000 0x12bca 0x12c00 7.99 2c429c6cab198564f15e2c57a124cf3d
.rsrc 0x16000 0x83c 0xa00 5.25 7a7a2bc3f8f858159bba04fc3941b018
.reloc 0x17000 0x24 0x200 0.50 d62454560fd194bd4d4eacebe478d0e8

( 4 imports )
> kernel32.dll: GetEnvironmentVariableA, GetModuleHandleA, CallNamedPipeA, GetWindowsDirectoryA, GetProcAddress, GetCurrentProcess, GetLastError, GetComputerNameA, GetFileAttributesExA, GetTempPathA, DosPathToSessionPathA, FindResourceA, ReadFileEx, CreateDirectoryA, HeapCreate, GetVersionExW, GetFileSize, EraseTape
> msvcrt.dll: memcpy, isxdigit, wcsspn, __9type_info@@QBEHABV0@@Z, log, _lfind, __mb_cur_max, _mbscspn, _CIacos, _swab, __lc_codepage, _utime64, _getch, _clearfp
> winmm.dll: mmioClose, auxGetVolume, waveInGetErrorTextW, sndPlaySoundW, auxGetNumDevs, aux32Message, auxOutMessage, midiInStop, mmsystemGetVersion, midiOutReset, mmTaskBlock, midiInAddBuffer, waveOutRestart, mmTaskCreate, waveOutGetID, midiInMessage
> opengl32.dll: glMap2d, glNormal3iv, glFogiv, wglUseFontBitmapsW, glPushClientAttrib, glNormal3f, wglMakeCurrent, glStencilFunc, glViewport, glDisableClientState, GlmfEndGlsBlock, glDepthFunc

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=02D8F3DF00B1688850B001AFFBF9AC00C1AE3D0F' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=02D8F3DF00B1688850B001AFFBF9AC00C1AE3D0F</a>





___________________________________________________
___________________________________________________
¤¤¤ 3. c:\documents and settings\entreprise jung\ouveop.bat

Fichier ouveop.bat reçu le 2009.07.24 00:31:14 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/41 (0%)

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.24 2009.07.23 -
AhnLab-V3 5.0.0.2 2009.07.23 -
AntiVir 7.9.0.228 2009.07.23 -
Antiy-AVL 2.0.3.7 2009.07.23 -
Authentium 5.1.2.4 2009.07.24 -
Avast 4.8.1335.0 2009.07.23 -
AVG 8.5.0.387 2009.07.23 -
BitDefender 7.2 2009.07.24 -
CAT-QuickHeal 10.00 2009.07.23 -
ClamAV 0.94.1 2009.07.23 -
Comodo 1748 2009.07.24 -
DrWeb 5.0.0.12182 2009.07.24 -
eSafe 7.0.17.0 2009.07.23 -
eTrust-Vet 31.6.6635 2009.07.23 -
F-Prot 4.4.4.56 2009.07.23 -
F-Secure 8.0.14470.0 2009.07.23 -
Fortinet 3.120.0.0 2009.07.23 -
GData 19 2009.07.24 -
Ikarus T3.1.1.64.0 2009.07.23 -
Jiangmin 11.0.800 2009.07.23 -
K7AntiVirus 7.10.800 2009.07.23 -
Kaspersky 7.0.0.125 2009.07.24 -
McAfee 5686 2009.07.23 -
McAfee+Artemis 5686 2009.07.23 -
McAfee-GW-Edition 6.8.5 2009.07.24 -
Microsoft 1.4903 2009.07.23 -
NOD32 4271 2009.07.23 -
Norman 6.01.09 2009.07.22 -
nProtect 2009.1.8.0 2009.07.23 -
Panda 10.0.0.14 2009.07.23 -
PCTools 4.4.2.0 2009.07.23 -
Prevx 3.0 2009.07.24 -
Rising 21.39.34.00 2009.07.23 -
Sophos 4.44.0 2009.07.24 -
Sunbelt 3.2.1858.2 2009.07.23 -
Symantec 1.4.4.12 2009.07.24 -
TheHacker 6.3.4.3.372 2009.07.23 -
TrendMicro 8.950.0.1094 2009.07.23 -
VBA32 3.12.10.9 2009.07.23 -
ViRobot 2009.7.23.1849 2009.07.23 -
VirusBuster 4.6.5.0 2009.07.23 -
Information additionnelle
File size: 401 bytes
MD5...: 156c0fb195b92479cd98f5b825aa363e
SHA1..: 484bf8b816e23e0ec21f187b8595fbd9ec763695
SHA256: 53cf4707bf409f881d987bc265aeadb4ec78ddaeaa74dae10c4317edb053927f
ssdeep: 6:3Him8r6AmPE8r6AFi1im8pn9pPE8pn9nlVim8P4vPE8PI6im8jko8vXPE8jkos
y8:XkCPJRms9pPr93zPC6RvP4y9gv
PEiD..: -
TrID..: File type identification
Unknown!
PEInfo: -
PDFiD.: -
RDS...: NSRL Reference Data Set
-
0
Réponse 18 / 48
Jon-Jon Messages postés 89 Date d'inscription lundi 8 juin 2009 Statut Membre Dernière intervention 15 février 2010 5
24 juil. 2009 à 02:53
On continue avec le 4 et le 5

p.s. : Des news de NOD32 après un scan de 3h40 !!! Je te copie les éléments du scan qu'il a supprimé :


C:\Qoobox\Quarantine\C\WINDOWS\system32\UACcnlrrqjdbv.dll.vir - Win32/Olmarik.JQ trojan - cleaned by deleting - quarantined [1]
C:\Qoobox\Quarantine\C\WINDOWS\system32\UACejqjpwfwjx.dll.vir - Win32/Olmarik.HC trojan - cleaned by deleting - quarantined [1]
C:\Qoobox\Quarantine\C\WINDOWS\system32\UACrnoauytged.dll.vir - Win32/Olmarik.HZ trojan - cleaned by deleting - quarantined [1]
C:\Qoobox\Quarantine\C\WINDOWS\system32\UACvtmbcqjrss.dll.vir - Win32/Olmarik.HQ trojan - cleaned by deleting - quarantined [1]
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\UACtygmbqjxfq.sys.vir - Win32/Olmarik.JQ trojan - cleaned by deleting - quarantined [1]

_______________________________
_______________________________
¤¤¤ 4. entreprise jung\tvjdc.exe

Fichier TVJDCX.exe reçu le 2009.07.24 00:48:14 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 18/41 (43.91%)


Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.24 2009.07.23 Trojan.CryptRedol!IK
AhnLab-V3 5.0.0.2 2009.07.23 -
AntiVir 7.9.0.228 2009.07.23 TR/CryptRedol.86016.2.8
Antiy-AVL 2.0.3.7 2009.07.23 -
Authentium 5.1.2.4 2009.07.24 -
Avast 4.8.1335.0 2009.07.23 Win32:Alureon-CE
AVG 8.5.0.387 2009.07.23 -
BitDefender 7.2 2009.07.24 Trojan.CryptRedol.Gen.2
CAT-QuickHeal 10.00 2009.07.23 -
ClamAV 0.94.1 2009.07.23 -
Comodo 1749 2009.07.24 -
DrWeb 5.0.0.12182 2009.07.24 -
eSafe 7.0.17.0 2009.07.23 Win32.VirToolObfusca
eTrust-Vet 31.6.6635 2009.07.23 -
F-Prot 4.4.4.56 2009.07.23 -
F-Secure 8.0.14470.0 2009.07.23 Trojan.Win32.Tdss.akhy
Fortinet 3.120.0.0 2009.07.23 W32/Tdss.AKHY!tr
GData 19 2009.07.24 Trojan.CryptRedol.Gen.2
Ikarus T3.1.1.64.0 2009.07.23 Trojan.CryptRedol
Jiangmin 11.0.800 2009.07.23 -
K7AntiVirus 7.10.800 2009.07.23 -
Kaspersky 7.0.0.125 2009.07.24 Trojan.Win32.Tdss.akhy
McAfee 5686 2009.07.23 -
McAfee+Artemis 5686 2009.07.23 Artemis!59EA20802084
McAfee-GW-Edition 6.8.5 2009.07.24 Heuristic.LooksLike.Trojan.Crypt.ZPACK.B
Microsoft 1.4903 2009.07.23 VirTool:Win32/Obfuscator.ET
NOD32 4271 2009.07.23 a variant of Win32/Kryptik.ZT
Norman 6.01.09 2009.07.22 -
nProtect 2009.1.8.0 2009.07.23 -
Panda 10.0.0.14 2009.07.23 Generic Trojan
PCTools 4.4.2.0 2009.07.23 -
Prevx 3.0 2009.07.24 Medium Risk Malware
Rising 21.39.34.00 2009.07.23 -
Sophos 4.44.0 2009.07.24 -
Sunbelt 3.2.1858.2 2009.07.23 VirTool-Win32/Obfuscator.ET
Symantec 1.4.4.12 2009.07.24 -
TheHacker 6.3.4.3.373 2009.07.24 -
TrendMicro 8.950.0.1094 2009.07.23 TROJ_TDSS.ATZ
VBA32 3.12.10.9 2009.07.23 -
ViRobot 2009.7.23.1849 2009.07.23 -
VirusBuster 4.6.5.0 2009.07.23 -
Information additionnelle
File size: 86016 bytes
MD5...: 59ea2080208490d54c3b13224b711de1
SHA1..: 08308780c881d25c14cc5bfbf220de6a9fc5486b
SHA256: f81c41d2274bc934d258df014cff6ee369bc0c189c7c79416ef23b199eaf221c
ssdeep: 1536:FxgZdS3e1md9yVAyhIFPxRTJIns/lfg4P5bQH6PWN:Fxgqu18yh2PzL/Rya
PWN
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1089
timedatestamp.....: 0x4a5dc56c (Wed Jul 15 12:02:52 2009)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xd18 0xe00 5.94 cdba9bbbd6996374d12b3aedb8a05cf2
.rdata 0x2000 0x585 0x600 4.92 b954f9aaece6446a2ec6c968472ff245
.data 0x3000 0x12bca 0x12c00 7.99 2c429c6cab198564f15e2c57a124cf3d
.rsrc 0x16000 0x83c 0xa00 5.25 7a7a2bc3f8f858159bba04fc3941b018
.reloc 0x17000 0x24 0x200 0.50 d62454560fd194bd4d4eacebe478d0e8

( 4 imports )
> kernel32.dll: GetEnvironmentVariableA, GetModuleHandleA, CallNamedPipeA, GetWindowsDirectoryA, GetProcAddress, GetCurrentProcess, GetLastError, GetComputerNameA, GetFileAttributesExA, GetTempPathA, DosPathToSessionPathA, FindResourceA, ReadFileEx, CreateDirectoryA, HeapCreate, GetVersionExW, GetFileSize, EraseTape
> msvcrt.dll: memcpy, isxdigit, wcsspn, __9type_info@@QBEHABV0@@Z, log, _lfind, __mb_cur_max, _mbscspn, _CIacos, _swab, __lc_codepage, _utime64, _getch, _clearfp
> winmm.dll: mmioClose, auxGetVolume, waveInGetErrorTextW, sndPlaySoundW, auxGetNumDevs, aux32Message, auxOutMessage, midiInStop, mmsystemGetVersion, midiOutReset, mmTaskBlock, midiInAddBuffer, waveOutRestart, mmTaskCreate, waveOutGetID, midiInMessage
> opengl32.dll: glMap2d, glNormal3iv, glFogiv, wglUseFontBitmapsW, glPushClientAttrib, glNormal3f, wglMakeCurrent, glStencilFunc, glViewport, glDisableClientState, GlmfEndGlsBlock, glDepthFunc

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=02D8F3DF00B1688850B001AFFBF9AC00C1AE3D0F' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=02D8F3DF00B1688850B001AFFBF9AC00C1AE3D0F</a>

_______________________________
_______________________________
¤¤¤ 5. c:\documents and settings\entreprise jung\utgqdg.exe

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.24 2009.07.23 Trojan.Win32.VB!IK
AhnLab-V3 5.0.0.2 2009.07.23 -
AntiVir 7.9.0.228 2009.07.23 TR/VB.Downloader.Gen
Antiy-AVL 2.0.3.7 2009.07.23 -
Authentium 5.1.2.4 2009.07.24 -
Avast 4.8.1335.0 2009.07.23 -
AVG 8.5.0.387 2009.07.23 -
BitDefender 7.2 2009.07.24 -
CAT-QuickHeal 10.00 2009.07.23 -
ClamAV 0.94.1 2009.07.23 -
Comodo 1749 2009.07.24 -
DrWeb 5.0.0.12182 2009.07.24 -
eSafe 7.0.17.0 2009.07.23 Win32.TRVB.Downloade
eTrust-Vet 31.6.6635 2009.07.23 -
F-Prot 4.4.4.56 2009.07.23 -
F-Secure 8.0.14470.0 2009.07.23 FraudTool.Win32.SecurityAlert.au
Fortinet 3.120.0.0 2009.07.23 Misc/SecurityAlert
GData 19 2009.07.24 -
Ikarus T3.1.1.64.0 2009.07.23 Trojan.Win32.VB
Jiangmin 11.0.800 2009.07.23 -
K7AntiVirus 7.10.800 2009.07.23 not-a-virus:FraudTool.Win32.SecurityAlert.au
Kaspersky 7.0.0.125 2009.07.24 not-a-virus:FraudTool.Win32.SecurityAlert.au
McAfee 5686 2009.07.23 -
McAfee+Artemis 5686 2009.07.23 Artemis!A5B16D3684D8
McAfee-GW-Edition 6.8.5 2009.07.24 Trojan.VB.Downloader.Gen
Microsoft 1.4903 2009.07.23 -
NOD32 4271 2009.07.23 -
Norman 6.01.09 2009.07.22 W32/Obfuscated.P3!genr
nProtect 2009.1.8.0 2009.07.23 -
Panda 10.0.0.14 2009.07.23 Trj/CI.A
PCTools 4.4.2.0 2009.07.23 -
Prevx 3.0 2009.07.24 Medium Risk Malware
Rising 21.39.34.00 2009.07.23 -
Sophos 4.44.0 2009.07.24 Mal/Generic-A
Sunbelt 3.2.1858.2 2009.07.23 MSAntispyware 2009 (v)
Symantec 1.4.4.12 2009.07.24 -
TheHacker 6.3.4.3.373 2009.07.24 -
TrendMicro 8.950.0.1094 2009.07.23 TROJ_FAKEALE.IU
VBA32 3.12.10.9 2009.07.23 -
ViRobot 2009.7.23.1849 2009.07.23 -
VirusBuster 4.6.5.0 2009.07.23 -
Information additionnelle
File size: 77824 bytes
MD5...: a5b16d3684d8228ac8eddd2352051d94
SHA1..: c25d0bc3d3093e7e6f2a331dfed59a4645c42823
SHA256: faf99c32acbea5475100b6116472f14c34250ddae97b99d1cf696c2292432112
ssdeep: 1536:mmAFM1orImfSj8NSBjK83aQTjT7Gq3GKf7Yx2:+O1QbfSje63aQrNHf7Y
PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
TrID..: File type identification
UPX compressed Win32 Executable (43.8%)
Win32 EXE Yoda's Crypter (38.1%)
Win32 Executable Generic (12.2%)
Generic Win/DOS Executable (2.8%)
DOS Executable Generic (2.8%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x31c70
timedatestamp.....: 0x4a63fbe1 (Mon Jul 20 05:08:49 2009)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x24000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x25000 0xd000 0xd000 7.86 37be2dbdb0d2d547df347d65d81b74f1
.rsrc 0x32000 0x6000 0x5c00 5.01 fe9ff7b0fd6121647e996a4de9d2cdc5

( 2 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> MSVBVM60.DLL: -

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
packers (Kaspersky): PE_Patch.UPX, UPX
packers (F-Prot): UPX
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=48C86A63001D798330E801D500462500CF5C6888' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=48C86A63001D798330E801D500462500CF5C6888</a>










Bonne lecture et merci à vous. (je sens qu'on voient le bout du tunnel la :p)
0
Réponse 19 / 48
Utilisateur anonyme
24 juil. 2009 à 09:08
Bonjour Trying et ske ,

@jon-jon ,

Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'ongletAffichage
-Coche Afficher les fichiers et dossiers cachés
- Décoche Masquer les extensions des fichiers dont le type est connu
- Décoche Masquer les fichiers protégés du système d'exploitation (recommandé)
clique sur Appliquer, puis OK.

N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation en fin de désinfection, c'est important

Je vais te demander d'uploader un ou plusieurs fichier(s)/dossier(s) aux développeurs, ceci dans le but d'améliorer les outils :)

Peux-tu chercher ce(s) fichier(s) :

c:\windows\system32\UACqjuubgguto.dat
c:\windows\system32\UACrdoynowpaw.dll

et envoyer à cette (ces) adresse(s) :

https://www.bleepingcomputer.com/submit-malware.php?channel=4

merci.

+
0
Jon-Jon
24 juil. 2009 à 14:28
Merci V_X, volontiers mais je fais ça avant ou après les manips que viennent de me conseiller ske69 (avec lutilisation de cfscript+combofix) ???
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463 > Jon-Jon
24 juil. 2009 à 14:43
re,

fait la manipe de V_X de suite ... Puis tu enchaines avec la manipe que je t'ai donné ... ;)


j'attends le rapport demandé ...


0
Réponse 20 / 48
Trying2 Messages postés 7096 Date d'inscription dimanche 13 juillet 2008 Statut Contributeur sécurité Dernière intervention 15 octobre 2015 234
31 juil. 2009 à 22:47
Hello,

Petit up par ici.
0
Jon-Jon
1 août 2009 à 02:57
Oui désolé je m'explique :
j'ai reçu mon pc original qui est revenu du SAV, je suis parti à clermont ferrand je suis revenu chez moi et j'ai enchainé directement avec un boulot dans la restauration. Je reprend mon boulot de geek, m'occupe des scans et de tout ce qui est demandé au dessus dès demain soir et vous livre ça pour 22h normalement.

Quand au scan usbfix je ne me souviens plus trop en fait...

p.s. : Je viens de récupérer mon laptop chéri comme je viens de le dire et bien que je n'ai jamais eu de problème et que je l'estime assez bien protégé (nod32 et spyb de temps en temps+ nettoyage régulier registre etc.) quel outil me conseillez vous pour faire un scan très approfondi afin de vérifier qu'il est totalement clean ?

Bonne nuit, bonjour ou bonne après midi !
0

Discussions similaires

C'est quoi "Win32:Trojan-gen {Other}"
Uzumaki -
Utilisateur anonyme -

5 réponses
Comment supprimer le virus Trojan
vitsou -
vitsou -

18 réponses
Problème avec "PUADIManager:Win32/OfferCore
Knaki -
bazfile -

3 réponses
Menaces HackTool:Win32
LeMax5993 -
lisa4777 -

4 réponses
Aide pour un virus
cerise92700 -
MisteryBean -

41 réponses