Sujet Précédent Sujet Suivant

Virus Braviax : Merci de votre aide.

Résolu
knix05 Messages postés 41 Statut Membre -  
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
Bonjour,

J'ai lu beaucoup de posts avant de poster à mon tour essayant de trouver seul la solution.
Voilà mon antivirus a supprimé ci dessus :

11/08/2009 15:38:44 Nom des virus que EXTRA.DAT peut détecter= Aucun

12/08/2009 11:37:09 Statistiques :
12/08/2009 11:37:09 Fichiers analysés : 54878
12/08/2009 11:37:09 Fichiers détectés : 0
12/08/2009 11:37:09 Fichiers nettoyés : 0
12/08/2009 11:37:09 Fichiers supprimés : 0
12/08/2009 11:37:09 Fichiers déplacés : 0
12/08/2009 11:40:54 Version du moteur = 5.3.00
12/08/2009 11:40:54 Version du fichier DAT = 5705
12/08/2009 11:40:54 Nombre de signatures de virus dans EXTRA.DAT= Aucun
12/08/2009 11:40:54 Nom des virus que EXTRA.DAT peut détecter= Aucun
12/08/2009 13:42:59 Supprimé UNIKA\david BN2A.tmp C:\WINDOWS\system32\dllcache\figaro.sys FakeAlert-C.dr (Cheval de Troie)
12/08/2009 13:49:12 Supprimé UNIKA\david braviax.exe C:\Documents and Settings\david\Local Settings\Temporary Internet Files\Content.IE5\N4DLD4XE\Install[1].exe Generic FakeAlert.d!gen (Cheval de Troie)
12/08/2009 13:49:22 Supprimé UNIKA\david braviax.exe C:\Documents and Settings\david\Local Settings\Temporary Internet Files\Content.IE5\DANFK66R\Install[1].exe Generic FakeAlert.d!gen (Cheval de Troie)
12/08/2009 13:49:25 Supprimé UNIKA\david braviax.exe C:\Documents and Settings\david\Local Settings\Temporary Internet Files\Content.IE5\X1PID6GC\Install[1].exe Generic FakeAlert.d!gen (Cheval de Troie)
12/08/2009 13:49:29 Supprimé UNIKA\david braviax.exe C:\Documents and Settings\david\Local Settings\Temporary Internet Files\Content.IE5\N9CUC40Z\Install[1].exe Generic FakeAlert.d!gen (Cheval de Troie)

12/08/2009 13:49:54 Statistiques :
12/08/2009 13:49:54 Fichiers analysés : 5303
12/08/2009 13:49:54 Fichiers détectés : 5
12/08/2009 13:49:54 Fichiers nettoyés : 0
12/08/2009 13:49:54 Fichiers supprimés : 5
12/08/2009 13:49:54 Fichiers déplacés : 0

Mon fils sur l'ordi n'a pu empêcher un redémarrage, bien sur windows n'a pas redémarré normalement. Maintenant je ne peux le démarrer en mode sans échec avec prise en charge du réseau. Je peux me connecter sur internet mais à chaque démarrage braviax.exe apparait.
Avec le gestionnaire de tâche, j'arrête le processus.

D'autres conséquences : mon antivirus ne fonctionne plus l'analyseur à l'accès est désactivé et je ne peux le réactiver.
De même, mon compte David n'est plus accessible je ne peux me connecter qu'avec le compte administrateur.
J'espère que malgré les vacances une bonne âme pourrait m'aider.

Je poste le scan de hi jack comme souvent demandé

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:03:53, on 13/08/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Network Associates\VirusScan\mcconsol.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ycomp/defaults/sb/*http://www.yahoo.com/search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://us.rd.yahoo.com/customize/ycomp/defaults/sp/*https://fr.yahoo.com/?p=us
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CANAL+ CANALSAT A LA DEMANDE] "C:\Program Files\Canal+\CANAL+ CANALSAT A LA DEMANDE\Launcher.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\msconfig.exe /auto
O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKLM\..\RunOnce: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O20 - AppInit_DLLs: cru629.dat
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft - C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ACService.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: CanalPlus.VOD - Canal+ Active - C:\Program Files\Canal+\CANAL+ CANALSAT A LA DEMANDE\VOD\CanalPlus.VOD.exe
O23 - Service: cpuidle - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ETC\CPUIDLE\srvany.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - Unknown owner - C:\WINDOWS\System32\FTRTSVC.exe (file missing)
O23 - Service: Google Update Service (gupdate1c920d9504e2d24) (gupdate1c920d9504e2d24) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
A voir également:

53 réponses

Réponse 1 / 53
Le sioux Messages postés 4907 Statut Contributeur sécurité 496
 
Hello

Conseil matinal ;) :

Attention, il reste plusieurs drivers malsains listés par ComboFix ici

https://forums.commentcamarche.net/forum/affich-13857426-virus-braviax-merci-de-votre-aide?page=2#35

Il serait bon d'installer la console de récupération puis d'envoyer un CFScript pour virer ce qui reste même si le PC se comporte deja mieux .

Salut.
14
knix05 Messages postés 41 Statut Membre
 
Salut Le sioux,

A priori je dois faire un combofix et coller le rapport. Après un CFScript qui dependra de ce qui reste à enlever non ?

Quels seraient les autres drivers pourris ?

à plus
0
Réponse 2 / 53
Le sioux Messages postés 4907 Statut Contributeur sécurité 496
 
Hello jlpjlp

Manip dangereuse ...

Cette infection patche plusieurs fichiers système généralement Beep.sys et ntfs.sys.

Dans rapport ComboFix , je vois :

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

--> Il faut installer la console de récupération et relancer ComboFix !
(une deuxième passe avec CFScript devrait terminer le travail ;) )

Bonne continuation.
11
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Salut le Sioux ... =)

content de te voir ici ...


une question ,

le faite que la console de récup soit installée permet-elle à Combo de réparer lors de son passage les fichiers Beep.sys et ntfs.sys qui sont patché ... ?

0
Le sioux Messages postés 4907 Statut Contributeur sécurité 496 > sKe69 Messages postés 21955 Statut Contributeur sécurité
 
Hello

Yes ;)

Salut.
0
sKe69 Messages postés 21955 Statut Contributeur sécurité 463 > Le sioux Messages postés 4907 Statut Contributeur sécurité
 
Arf ... quel c**

je me suis cassé la tête à le faire manuellement ici > https://forums.commentcamarche.net/forum/affich-13889717-pb-virus-braviax-exe?page=2#38


bonne chasse .... INSTALLEZ LA CONSOLE AVEC COMBO non de non !!! ... :))))


A+
0
Le sioux Messages postés 4907 Statut Contributeur sécurité 496 > sKe69 Messages postés 21955 Statut Contributeur sécurité
 
Re hello sKe69

J'avais vu cela ;)

Sinon, lors de l'utilisation de CF, on se doit de faire installer celle ci : en cas de plantage du PC, cela devient plus difficile de s'en sortir sans celle-ci (et cela aide bien pour certains nettoyages).

Bonne fin de soirée.
0
sKe69 Messages postés 21955 Statut Contributeur sécurité 463 > Le sioux Messages postés 4907 Statut Contributeur sécurité
 
re,

entièrement d'accord ! ... le canned est là pour le signalé ...


mais sur le coup , je n'ai pas fait le rapprochement ... grosse erreur de ma part ... :p


comme quoi , le faite de signaler l'installation de la console dans un canned n'est pas suffisant , il faut s'assurer que cela a été fait ! Et insister surtout si on doit ré-utiliser l'outil ...


Et grosse erreur de se dire : " je lui est pourtant dis de l'installer, bah tant pis pour lui si il ne l'a pas fait " ... avec pour exemple cette nouvelle variante de Braviax ou la console permet donc la réparation des fichiers patchés ...


bonne soirée à tous ...


=)
0
Réponse 3 / 53
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Salut à tous ,

grosse tuile du moment cette dernière variante ,

jlpjlp,

je crois bien que le virus patch aussi :

c:\windows\system32\dllcache\ntfs.sys
c:\windows\system32\drivers\ntfs.sys

regarde les md5 donnée dans le rapport Combo :

------- Sigcheck -------

[-] 2007-02-09 11:23 574976 05AB81909514BFD69CBB1F2C147CF6B9 c:\windows\$hf_mig$\KB930916\SP2QFE\ntfs.sys
[-] 2007-02-09 11:10 574464 19A811EF5F1ED5C926A028CE107FF1AF c:\windows\$NtServicePackUninstall$\ntfs.sys
[7] 2008-04-13 19:15 574976 78A08DD6A8D65E697C18E1DB01C5CDCA c:\windows\ServicePackFiles\i386\ntfs.sys
[-] 2009-08-12 11:42 619584 4DFB45D14330ACE7FD32EE8DBCF50C97 c:\windows\system32\dllcache\ntfs.sys
[-] 2009-08-12 11:42 619584 4DFB45D14330ACE7FD32EE8DBCF50C97 c:\windows\system32\drivers\ntfs.sys

les 3 premiers sont clean , parcontre , les derniers ( 4DFB45D14330ACE7FD32EE8DBCF50C97 ) semblent être pourri ...

je pense qu'une analyse sur VT de ces 2 ntfs.sys serait la bien venu .... ;)

Bonne chance à vous deux ...

=)

A+

3
Réponse 4 / 53
jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 040
 
on va le faire direct:
active bien la console de recupération

puis

Pour fusionner:

http://img.photobucket.com/albums/v666/sUBs/CFScript.gif

_______________

Ferme tous tes navigateurs (donc copie ou imprime les instructions avant)

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

Driver::
43e9
d5512
f7e161
ZDCndis5
File::
c:\windows\system32\43e9.dll
c:\windows\system32\43e9.sys
c:\windows\system32\f7e161.dll
c:\windows\system32\f7e161.sys
c:\windows\system32\d5512.dll
c:\windows\system32\d5512.sys
c:\windows\system32\ZDCndis5.SYS

Enregistre ce fichier sous le nom CFscript

Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe

Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
2
knix05 Messages postés 41 Statut Membre
 
Salut,

petit souci comme je me suis déjà servi de Combofix celui ci lance automatiquement un autoscan sans me laisse la main pour installer la console. Du coup j'ai laissé le rapport que voici :

ComboFix 09-08-10.06 - david 18/08/2009 18:18.9.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1023.597 [GMT 2:00]
Running from: c:\documents and settings\david\Bureau\ComboFix.exe
FW: Outpost Firewall *enabled* {8A20CA2A-9E02-4A64-923B-0A38208EB7FD}

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((( Files Created from 2009-07-18 to 2009-08-18 )))))))))))))))))))))))))))))))
.

2009-08-17 21:00 . 2008-04-13 19:15 574976 ----a-w- c:\windows\system32\drivers\ntfs.sys
2009-08-17 21:00 . 2008-04-13 19:15 574976 ----a-w- c:\windows\system32\dllcache\ntfs.sys
2009-08-17 20:07 . 2009-08-17 20:07 -------- d-----w- c:\program files\Sophos
2009-08-17 16:22 . 2009-08-17 16:22 -------- d-----w- c:\windows\system32\Nouveau dossier
2009-08-16 16:41 . 2009-08-16 16:41 -------- d-----w- c:\program files\Canal+
2009-08-16 15:41 . 2009-08-16 15:41 128352 ----a-w- c:\windows\system32\f7e161.dll
2009-08-15 17:15 . 2009-08-15 17:15 128352 ----a-w- c:\windows\system32\d5512.dll
2009-08-15 15:54 . 2009-04-06 09:37 704384 ----a-w- c:\windows\system32\drivers\SandBox.sys
2009-08-15 15:53 . 2009-02-10 14:15 257432 ----a-w- c:\windows\system32\drivers\afwcore.sys
2009-08-15 15:52 . 2009-02-18 15:30 31128 ----a-w- c:\windows\system32\drivers\afw.sys
2009-08-15 15:52 . 2009-08-15 15:52 -------- d-----w- c:\program files\Agnitum
2009-08-15 15:50 . 2009-08-15 15:50 -------- d-----w- c:\documents and settings\All Users\Application Data\Agnitum
2009-08-15 14:38 . 2009-08-15 14:38 128352 ----a-w- c:\windows\system32\43e9.dll
2009-08-15 14:21 . 2009-08-15 14:21 -------- d-----w- c:\documents and settings\david\Application Data\Canneverbe_Limited
2009-08-15 14:21 . 2009-08-15 14:21 -------- d-----w- c:\program files\CDBurnerXP
2009-08-14 11:01 . 2009-08-14 11:01 -------- d-----w- c:\documents and settings\Administrateur\Application Data\AdobeUM
2009-08-14 10:11 . 2009-08-14 10:11 -------- d-sh--w- c:\documents and settings\Administrateur\PrivacIE
2009-08-14 07:46 . 2009-08-14 07:46 -------- d-----w- c:\program files\Convar
2009-08-14 07:46 . 2002-02-28 07:46 217088 ----a-w- c:\windows\system32\DartSock.dll
2009-08-14 07:46 . 2002-02-21 08:12 118784 ----a-w- c:\windows\system32\DartWeb.dll
2009-08-14 07:46 . 2003-07-18 11:58 516784 ----a-r- c:\windows\system32\XceedCry.dll
2009-08-13 14:14 . 2008-06-19 15:24 28544 ----a-w- c:\windows\system32\drivers\pavboot.sys
2009-08-13 14:12 . 2009-08-13 14:12 -------- d-----w- c:\program files\Panda Security
2009-08-12 18:40 . 2009-08-12 18:40 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Google
2009-08-12 17:33 . 2009-08-14 10:57 -------- d-----w- c:\windows\ERUNT
2009-08-12 17:33 . 2009-08-12 17:33 -------- d-----w- C:\Backups
2009-08-12 15:09 . 2009-08-12 15:09 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Malwarebytes
2009-08-12 15:09 . 2009-08-03 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-12 15:09 . 2009-08-12 15:09 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-08-12 15:09 . 2009-08-03 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-08-12 14:57 . 2009-08-12 14:57 -------- d--h--w- c:\documents and settings\Administrateur\Voisinage réseau
2009-08-12 13:46 . 2009-08-12 13:48 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Adobe
2009-08-12 12:34 . 2009-08-12 19:30 -------- d-----w- c:\windows\BDOSCAN8
2009-08-12 12:24 . 2009-08-12 12:24 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Mozilla
2009-08-12 12:18 . 2009-08-12 12:18 -------- d-sh--w- c:\documents and settings\Administrateur\IETldCache
2009-08-12 12:17 . 2009-08-14 14:36 -------- d-----w- c:\documents and settings\Administrateur\Bureau
2009-08-12 09:43 . 2009-08-12 09:43 -------- d-----w- c:\documents and settings\All Users\Application Data\DAEMON Tools Lite
2009-08-12 09:42 . 2009-08-12 09:42 -------- d-----w- c:\program files\DAEMON Tools Lite
2009-08-12 09:36 . 2009-08-12 09:36 721904 ----a-w- c:\windows\system32\drivers\sptd.sys
2009-08-12 09:36 . 2009-08-12 09:36 -------- d-----w- c:\documents and settings\david\Application Data\DAEMON Tools Lite
2009-08-11 18:58 . 2009-08-12 11:25 -------- d-----w- c:\documents and settings\david\Application Data\Sports Interactive
2009-08-11 18:55 . 2009-08-11 18:55 -------- d-----w- c:\windows\Logs
2009-08-11 18:50 . 2009-08-11 18:57 -------- d-----w- c:\documents and settings\All Users\Application Data\Sports Interactive
2009-08-10 15:37 . 2009-07-20 14:09 282624 ----a-w- c:\documents and settings\david\Application Data\Mozilla\Firefox\Profiles\y19lkwfs.default\extensions\NPDyyno@dyyno.com\Plugins\npDyyno.dll
2009-08-10 14:21 . 2009-05-18 10:23 38208 ----a-w- c:\documents and settings\david\Application Data\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
2009-07-29 13:08 . 2009-07-03 16:57 55296 ------w- c:\windows\system32\dllcache\msfeedsbs.dll
2009-07-29 13:08 . 2009-07-03 16:57 594432 ------w- c:\windows\system32\dllcache\msfeeds.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-14 19:06 . 2008-06-08 13:19 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP
2009-08-14 13:26 . 2009-05-01 18:31 -------- d-----w- c:\program files\Steam
2009-08-14 10:58 . 2008-06-11 12:56 -------- d-----w- c:\program files\Trend Micro
2009-08-14 07:46 . 2002-12-05 01:45 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-08-13 09:37 . 2006-01-25 21:54 -------- d-----w- c:\program files\CCleaner
2009-07-16 18:57 . 2009-07-16 18:57 -------- d-----w- c:\program files\Fichiers communs\Windows Live
2009-07-15 20:04 . 2008-06-04 11:37 -------- d-----w- c:\program files\Messenger Plus! Live
2009-07-03 16:57 . 2004-07-07 16:59 915456 ----a-w- c:\windows\system32\wininet.dll
2009-07-02 15:43 . 2005-09-27 22:35 -------- d-----w- c:\program files\Google
2009-06-23 20:42 . 2006-03-18 14:22 -------- d-----w- c:\documents and settings\david\Application Data\ArcSoft
2009-06-23 20:28 . 2009-06-23 20:27 -------- d-----w- c:\program files\Fichiers communs\ArcSoft
2009-06-23 20:26 . 2006-02-23 19:29 -------- d-----w- c:\program files\ArcSoft
2009-06-23 20:25 . 2009-06-23 20:25 -------- d-----w- c:\documents and settings\david\Application Data\Apple Computer
2009-06-23 20:22 . 2009-06-23 20:22 -------- d-----w- c:\program files\QuickTime
2009-06-23 20:21 . 2009-06-23 20:21 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple Computer
2009-06-23 20:21 . 2009-06-23 20:21 -------- d-----w- c:\program files\Apple Software Update
2009-06-23 20:21 . 2009-06-23 20:21 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple
2009-06-20 16:55 . 2004-11-21 09:56 50832 -c-ha-w- c:\windows\system32\mlfcache.dat
2009-06-20 15:49 . 2009-06-20 15:49 -------- d-----w- c:\documents and settings\All Users\Application Data\CDTEST 3
2009-06-16 14:40 . 1979-12-31 23:00 81920 ----a-w- c:\windows\system32\fontsub.dll
2009-06-16 14:40 . 1979-12-31 23:00 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-06-03 19:10 . 2003-09-05 21:17 1297408 ----a-w- c:\windows\system32\quartz.dll
.

((((((((((((((((((((((((((((( SnapShot@2009-08-16_16.13.50 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-08-18 16:09 . 2009-08-18 16:09 16384 c:\windows\temp\Perflib_Perfdata_114.dat
- 2009-05-16 15:32 . 2009-05-16 15:32 22382 c:\windows\Installer\{04DA096D-6236-4A5D-8FB6-3081E67009BA}\Uninstall_LecteurC_DF40D166425843E5B607E4D878902DB7.exe
+ 2009-08-16 16:42 . 2009-08-16 16:42 22382 c:\windows\Installer\{04DA096D-6236-4A5D-8FB6-3081E67009BA}\Uninstall_LecteurC_DF40D166425843E5B607E4D878902DB7.exe
+ 2009-08-16 16:42 . 2009-08-16 16:42 22382 c:\windows\Installer\{04DA096D-6236-4A5D-8FB6-3081E67009BA}\LauncherMenu_F26D0F23DF31448DA64AC1F2B9632D61.exe
- 2009-05-16 15:32 . 2009-05-16 15:32 22382 c:\windows\Installer\{04DA096D-6236-4A5D-8FB6-3081E67009BA}\LauncherMenu_F26D0F23DF31448DA64AC1F2B9632D61.exe
+ 2009-08-16 16:42 . 2009-08-16 16:42 22382 c:\windows\Installer\{04DA096D-6236-4A5D-8FB6-3081E67009BA}\LaucherDesktop_0D65513CB68342988339A6CF46492654.exe
- 2009-05-16 15:32 . 2009-05-16 15:32 22382 c:\windows\Installer\{04DA096D-6236-4A5D-8FB6-3081E67009BA}\LaucherDesktop_0D65513CB68342988339A6CF46492654.exe
+ 2009-08-16 16:42 . 2009-08-16 16:42 45056 c:\windows\Installer\{04DA096D-6236-4A5D-8FB6-3081E67009BA}\Assistance_901BDB5C704441699E2E36F3687BBFDD.exe
- 2009-05-16 15:32 . 2009-05-16 15:32 45056 c:\windows\Installer\{04DA096D-6236-4A5D-8FB6-3081E67009BA}\Assistance_901BDB5C704441699E2E36F3687BBFDD.exe
+ 2009-08-16 16:42 . 2009-08-16 16:42 22382 c:\windows\Installer\{04DA096D-6236-4A5D-8FB6-3081E67009BA}\ARPPRODUCTICON.exe
- 2009-05-16 15:32 . 2009-05-16 15:32 22382 c:\windows\Installer\{04DA096D-6236-4A5D-8FB6-3081E67009BA}\ARPPRODUCTICON.exe
+ 2009-08-16 16:41 . 2009-08-16 16:41 1444864 c:\windows\Installer\312e3c.msi
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"gStart"="c:\garmin\gStart.exe" [2007-08-23 1891416]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WOOWATCH"="c:\progra~1\Wanadoo\Watch.exe" [2004-08-23 20480]
"McAfeeUpdaterUI"="c:\program files\Network Associates\Common Framework\UpdaterUI.exe" [2004-08-06 139320]
"ShStatEXE"="c:\program files\Network Associates\VirusScan\SHSTAT.EXE" [2004-08-25 94208]
"Network Associates Error Reporting Service"="c:\program files\Fichiers communs\Network Associates\TalkBack\TBMon.exe" [2003-10-07 147514]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-12-05 8523776]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-12-05 81920]
"OutpostMonitor"="c:\progra~1\Agnitum\OUTPOS~1\op_mon.exe" [2009-04-28 2374464]
"OutpostFeedBack"="c:\program files\Agnitum\Outpost Firewall\feedback.exe" [2009-04-28 428032]
"CANAL+ CANALSAT A LA DEMANDE"="c:\program files\Canal+\CANAL+ CANALSAT A LA DEMANDE\Launcher.exe" [2009-04-28 170072]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2007-12-05 1626112]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0SsiEfr.e

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^EPSON Status Monitor 3 Environment Check 2.lnk]
backup=c:\windows\pss\EPSON Status Monitor 3 Environment Check 2.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Exif Launcher.lnk]
backup=c:\windows\pss\Exif Launcher.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WmdmPmSp"=2 (0x2)
"WebClient"=2 (0x2)
"UPS"=3 (0x3)
"Themes"=2 (0x2)
"seclogon"=2 (0x2)
"SCardSvr"=3 (0x3)
"PolicyAgent"=2 (0x2)
"NtmsSvc"=3 (0x3)
"mnmsrvc"=3 (0x3)
"LmHosts"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\Program Files\\Steam\\steamapps\\david.savelli@wanadoo.fr\\day of defeat\\hl.exe"=
"c:\\Program Files\\Steam\\steamapps\\david.savelli@wanadoo.fr\\half-life\\hl.exe"=
"c:\\Documents and Settings\\david\\Local Settings\\Application Data\\Dyyno Receiver\\DPPM.exe"=

R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [13/08/2009 16:14 28544]
R1 NaiAvTdi1;NaiAvTdi1;c:\windows\system32\drivers\mvstdi5x.sys [11/09/2006 23:19 58016]
R1 SandBox;SandBox;c:\windows\system32\drivers\SandBox.sys [15/08/2009 17:54 704384]
R2 acssrv;Agnitum Client Security Service;c:\progra~1\Agnitum\OUTPOS~1\acs.exe [15/08/2009 17:52 1195008]
R2 cpuidle;cpuidle;c:\windows\system32\drivers\etc\CPUIDLE\srvany.exe [29/08/1996 23:00 13312]
R3 afw;Agnitum firewall driver;c:\windows\system32\drivers\afw.sys [15/08/2009 17:52 31128]
R3 afwcore;afwcore;c:\windows\system32\drivers\afwcore.sys [15/08/2009 17:53 257432]
R3 STAC97NA;SigmaTel 3D Environmental Audio;c:\windows\system32\drivers\stac97na.sys [01/01/1980 01:00 296179]
R3 STAC97NH;STAC97NH;c:\windows\system32\drivers\stac97nh.sys [01/01/1980 01:00 231983]
S2 CanalPlus.VOD;CanalPlus.VOD;c:\program files\Canal+\CANAL+ CANALSAT A LA DEMANDE\VOD\CanalPlus.VOD.exe [28/04/2009 17:33 188416]
S2 gupdate1c920d9504e2d24;Google Update Service (gupdate1c920d9504e2d24);c:\program files\Google\Update\GoogleUpdate.exe [27/09/2008 21:43 133104]
S2 PV8630;PV8631 WDM Device Driver;c:\windows\system32\A1236.SYS [17/04/2004 17:14 19096]
S3 43e9;43e9;\??\c:\windows\system32\43e9.sys --> c:\windows\system32\43e9.sys [?]
S3 d5512;d5512;\??\c:\windows\system32\d5512.sys --> c:\windows\system32\d5512.sys [?]
S3 f7e161;f7e161;\??\c:\windows\system32\f7e161.sys --> c:\windows\system32\f7e161.sys [?]
S3 MEMSWEEP2;MEMSWEEP2;\??\c:\windows\system32\1CB.tmp --> c:\windows\system32\1CB.tmp [?]
S3 SIS163u;SiS 163 usb Wireless LAN Adapter Driver;c:\windows\system32\drivers\sis163u.sys [15/09/2006 21:49 167424]
S3 uir1100a;UIR1100A;c:\windows\system32\drivers\uir1100a.sys [06/11/2008 19:41 31048]
S3 V90drv;v90drv;c:\windows\system32\drivers\v90drv.sys [01/01/1980 01:00 1432836]
S3 ZDCndis5;ZDCndis5 Protocol Driver;\??\c:\windows\system32\ZDCndis5.SYS --> c:\windows\system32\ZDCndis5.SYS [?]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Contents of the 'Scheduled Tasks' folder

2009-06-23 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-06-03 11:42]

2009-07-02 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2008-09-27 19:50]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.google.com
mStart Page = hxxp://www.google.com
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Easy-WebPrint Ajouter à la liste d'impressions - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
IE: Easy-WebPrint Impression rapide - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
IE: Easy-WebPrint Imprimer - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
IE: Easy-WebPrint Prévisualiser - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
Trusted Zone: internet
Trusted Zone: mcafee.com
Trusted Zone: mcafeehelp.com
DPF: Microsoft XML Parser for Java
DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
FF - ProfilePath - c:\documents and settings\david\Application Data\Mozilla\Firefox\Profiles\y19lkwfs.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - prefs.js: keyword.URL - hxxp://search.live.com/results.aspx?mkt=fr-FR&FORM=MIMWA2&q=
FF - plugin: c:\documents and settings\david\Application Data\Mozilla\Firefox\Profiles\y19lkwfs.default\extensions\NPDyyno@dyyno.com\plugins\npDyyno.dll
FF - plugin: c:\program files\Canal+\CANAL+ CANALSAT A LA DEMANDE\VOD\npCpVod.dll
FF - plugin: c:\program files\Fichiers communs\mpDRM\NPMPDRM.dll
FF - plugin: c:\program files\Google\Google Earth Plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Picasa3\npPicasa3.dll
FF - plugin: c:\program files\Google\Update\1.2.183.7\npGoogleOneClick8.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npGoogleGadgetPluginFirefoxWin.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\NPMPDRM.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npornap.dll

---- FIREFOX POLICIES ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota", 5120);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-18 18:24
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\MEMSWEEP2]
"ImagePath"="\??\c:\windows\system32\1CB.tmp"
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_USERS\S-1-5-21-790525478-1644491937-725345543-1004\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_USERS\S-1-5-21-790525478-1644491937-725345543-1004\Software\Microsoft\Windows Mobile Disc\W*i*n*d*o*w*s* *M*o*b*i*l*e*"!\CriticalAppInstall\ActiveSync]
"Name"="ActiveSync"
"DisplayName"="Microsoft ActiveSync"
"Param1"="ActiveSync"
"Type"="wellknown"
"Order"=dword:00000001
"State"=dword:00000020

[HKEY_USERS\S-1-5-21-790525478-1644491937-725345543-1004\Software\Microsoft\Windows Mobile Disc\W*i*n*d*o*w*s* *M*o*b*i*l*e*"!\CriticalAppInstall\IESettings]
"Name"="IESettings"
"Type"="IESettings"
"Order"=dword:00000004
"State"=dword:00000003

[HKEY_USERS\S-1-5-21-790525478-1644491937-725345543-1004\Software\Microsoft\Windows Mobile Disc\W*i*n*d*o*w*s* *M*o*b*i*l*e*"!\CriticalAppInstall\MediaFiles]
"Name"="MediaFiles"
"Type"="MediaFiles"
"Order"=dword:00000003
"State"=dword:00000003

[HKEY_USERS\S-1-5-21-790525478-1644491937-725345543-1004\Software\Microsoft\Windows Mobile Disc\W*i*n*d*o*w*s* *M*o*b*i*l*e*"!\CriticalAppInstall\NPW]
"Name"="NPW"
"Param1"="NPW"
"Type"="wellknown"
"Order"=dword:00000002
"State"=dword:00000007

[HKEY_USERS\S-1-5-21-790525478-1644491937-725345543-1004\Software\Microsoft\Windows Mobile Disc\W*i*n*d*o*w*s* *M*o*b*i*l*e*"!\CriticalAppInstall\Outlook]
"Name"="Outlook"
"DisplayName"="Microsoft Outlook"
"Param1"="Outlook"
"Type"="wellknown"
"Order"=dword:00000000
"State"=dword:0000000b

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•9~*]
"C040710900063D11C8EF10054038389C"="C?\\WINDOWS\\System32\\FM20ENU.DLL"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Reinstall\æHôwæ*]
"DisplayName"="\09"
"DeviceDesc"="\09"
"ProviderName"=""
"MFG"="?"
"ReinstallString"="2002, 6.13.10.6166"
"DeviceInstanceIds"=multi:"\00"

[HKEY_LOCAL_MACHINE\software\mpDRM\LicenseStore*]
@DACL=
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(732)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'lsass.exe'(804)
c:\windows\system32\EntApi.dll

- - - - - - - > 'explorer.exe'(2752)
c:\windows\system32\EntApi.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Completion time: 2009-08-18 18:28
ComboFix-quarantined-files.txt 2009-08-18 16:27
ComboFix2.txt 2009-08-16 16:18

Pre-Run: 30 629 142 528 octets libres
Post-Run: 30 690 873 344 octets libres

331 --- E O F --- 2009-08-02 08:59
Upload was successful


Par contre, je dois deisntaller autre chose pour relancer une onstallation propre de CF ? J'ai vu une commande windows CF avec un numero est cela que je dois supprimer ?

Merci
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 53
jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 040
 
Télécharge OTM
http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
http://oldtimer.geekstogo.com/OTMoveIt3.exe (de Old_Timer) sur ton Bureau.

double-clique sur OTM.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTM :Paste instruction for items to be moved.

:processes
explorer.exe
:services
43e9
d5512
f7e161
ZDCndis5
:files
c:\windows\system32\43e9.dll
c:\windows\system32\43e9.sys
c:\windows\system32\f7e161.dll
c:\windows\system32\f7e161.sys
c:\windows\system32\d5512.dll
c:\windows\system32\d5512.sys
c:\windows\system32\ZDCndis5.SYS
:commands
[purity]
[emptytemp]
[start explorer]

clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTM\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.
1
knix05 Messages postés 41 Statut Membre
 
Bonsoir,

c'est fait !

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== SERVICES/DRIVERS ==========

Service\Driver 43e9 deleted successfully.

Service\Driver d5512 deleted successfully.

Service\Driver f7e161 deleted successfully.

Service\Driver ZDCndis5 deleted successfully.
========== FILES ==========
DllUnregisterServer procedure not found in c:\windows\system32\43e9.dll
c:\windows\system32\43e9.dll NOT unregistered.
c:\windows\system32\43e9.dll moved successfully.
File/Folder c:\windows\system32\43e9.sys not found.
DllUnregisterServer procedure not found in c:\windows\system32\f7e161.dll
c:\windows\system32\f7e161.dll NOT unregistered.
c:\windows\system32\f7e161.dll moved successfully.
File/Folder c:\windows\system32\f7e161.sys not found.
DllUnregisterServer procedure not found in c:\windows\system32\d5512.dll
c:\windows\system32\d5512.dll NOT unregistered.
c:\windows\system32\d5512.dll moved successfully.
File/Folder c:\windows\system32\d5512.sys not found.
File/Folder c:\windows\system32\ZDCndis5.SYS not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrateur
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
->FireFox cache emptied: 56033189 bytes

User: All Users

User: david
->Temp folder emptied: 53248 bytes
->Temporary Internet Files folder emptied: 2603199 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 72872863 bytes

User: Default User
->Temporary Internet Files folder emptied: 0 bytes

User: Invité
File delete failed. C:\Documents and Settings\Invité\Local Settings\Temp\hsperfdata_Invité\3880 scheduled to be deleted on reboot.
->Temp folder emptied: 65536 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
File delete failed. C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 32902 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 2219520 bytes
File delete failed. C:\WINDOWS\temp\WFV20.tmp scheduled to be deleted on reboot.
Windows Temp folder emptied: 48661144 bytes
RecycleBin emptied: 113669905 bytes

Total Files Cleaned = 282,49 mb


OTM by OldTimer - Version 3.0.0.6 log created on 08182009_211520

Files moved on Reboot...
File move failed. C:\Documents and Settings\Invité\Local Settings\Temp\hsperfdata_Invité\3880 scheduled to be moved on reboot.
C:\WINDOWS\temp\WFV20.tmp moved successfully.

Registry entries deleted on Reboot...

J'attends de tes nouvelles et encore merci pour ta ténacité !
0
Réponse 6 / 53
jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 040
 
Slt,

scan avec malwarebyte , fais un scan rapide et colle le rapport obtenu et vire ce qui est trouvé:

https://www.malekal.com/tutoriel-malwarebyte-anti-malware/­

______________________

Télécharge ici :

http://images.malwareremoval.com/random/RSIT.exe

random's system information tool (RSIT) par andom/random et sauvegarde-le sur le Bureau.

Double-clique sur RSIT.exe afin de lancer RSIT.

Clique Continue à l'écran Disclaimer.

Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

Poste le contenu de log.txt (<<qui sera affiché)
ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

NB : Les rapports sont sauvegardés dans le dossier C:\rsit
0
Réponse 7 / 53
knix05 Messages postés 41 Statut Membre
 
Merci pour ta réponse.

Voici le scan avec mbam

Malwarebytes' Anti-Malware 1.40
Version de la base de données: 2611
Windows 5.1.2600 Service Pack 3 (Safe Mode)

13/08/2009 10:59:13
mbam-log-2009-08-13 (10-59-13).txt

Type de recherche: Examen rapide
Eléments examinés: 95421
Temps écoulé: 10 minute(s), 21 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 7

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\braviax (Trojan.Downloader) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\wisdstr.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\beep.sys (Trojan.KillAV) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\braviax.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dllcache\beep.sys (Fake.Beep.sys) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dllcache\figaro.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\BN1.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\NetworkService\oashdihasidhasuidhiasdhiashdiuasdhasd (Trace.Pandex) -> Quarantined and deleted successfully.

Je n'ai pas redémarré l'ordi car en même temps j'ai scanné avec antivirus (prend beaucoup de temps) voici le rapport :
12/08/2009 19:23:41 Nom des virus que EXTRA.DAT peut détecter =Aucun
12/08/2009 19:23:33 Analyse démarrée UNIKA\Administrateur Analyse à la demande
13/08/2009 10:08:01 Version du moteur =5300
13/08/2009 10:08:01 Version du fichier DAT =5705
13/08/2009 10:08:01 Nombre de signatures de virus dans EXTRA.DAT =Aucun
13/08/2009 10:08:01 Nom des virus que EXTRA.DAT peut détecter =Aucun
13/08/2009 10:07:53 Analyse démarrée UNIKA\Administrateur Analyser tous les disques fixes
13/08/2009 10:11:00 Supprimé c:\Avenger\_scui.cpl FakeAlert-FH.dll(Cheval de Troie)
13/08/2009 10:31:02 Supprimé c:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\89QROLAV\Install[1].exe Generic FakeAlert.d!gen(Cheval de Troie)
13/08/2009 10:31:02 Supprimé c:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\89QROLAV\Install[2].exe Generic FakeAlert.d!gen(Cheval de Troie)
13/08/2009 11:20:11 Résumé de l'analyse UNIKA\Administrateur Résumé de l'analyse
13/08/2009 11:20:11 Résumé de l'analyse UNIKA\Administrateur Processus analysés : 19
13/08/2009 11:20:11 Résumé de l'analyse UNIKA\Administrateur Processus détectés : 0
13/08/2009 11:20:11 Résumé de l'analyse UNIKA\Administrateur Processus nettoyés : 0
13/08/2009 11:20:11 Résumé de l'analyse UNIKA\Administrateur Secteurs d'amorçage analysés : 1
13/08/2009 11:20:11 Résumé de l'analyse UNIKA\Administrateur Secteurs d'amorçage détectés : 0
13/08/2009 11:20:11 Résumé de l'analyse UNIKA\Administrateur Secteurs d'amorçage nettoyés : 0
13/08/2009 11:20:11 Résumé de l'analyse UNIKA\Administrateur Fichiers analysés : 85872
13/08/2009 11:20:11 Résumé de l'analyse UNIKA\Administrateur Fichiers avec des détections : 3
13/08/2009 11:20:11 Résumé de l'analyse UNIKA\Administrateur Détections de fichiers : 3
13/08/2009 11:20:11 Résumé de l'analyse UNIKA\Administrateur Fichiers nettoyés : 0
13/08/2009 11:20:11 Résumé de l'analyse UNIKA\Administrateur Fichiers déplacés : 0
13/08/2009 11:20:11 Résumé de l'analyse UNIKA\Administrateur Fichiers supprimés : 3
13/08/2009 11:20:11 Résumé de l'analyse UNIKA\Administrateur Fichiers non analysés : 22
13/08/2009 11:20:11 Résumé de l'analyse UNIKA\Administrateur Heure d'exécution : 1:12:18
13/08/2009 11:20:11 Analyse terminée UNIKA\Administrateur Analyser tous les disques fixes

Voici le rapport RSIT

Logfile of random's system information tool 1.06 (written by random/random)
Run by Administrateur at 2009-08-13 11:23:16
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 25 GB (34%) free of 74 GB
Total RAM: 1023 MB (53% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:23:20, on 13/08/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Documents and Settings\Administrateur\Bureau\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\Administrateur.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ycomp/defaults/sb/*http://www.yahoo.com/search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://us.rd.yahoo.com/customize/ycomp/defaults/sp/*https://fr.yahoo.com/?p=us
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CANAL+ CANALSAT A LA DEMANDE] "C:\Program Files\Canal+\CANAL+ CANALSAT A LA DEMANDE\Launcher.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\msconfig.exe /auto
O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKLM\..\RunOnce: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O20 - AppInit_DLLs: cru629.dat
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft - C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ACService.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: CanalPlus.VOD - Canal+ Active - C:\Program Files\Canal+\CANAL+ CANALSAT A LA DEMANDE\VOD\CanalPlus.VOD.exe
O23 - Service: cpuidle - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\ETC\CPUIDLE\srvany.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - Unknown owner - C:\WINDOWS\System32\FTRTSVC.exe (file missing)
O23 - Service: Google Update Service (gupdate1c920d9504e2d24) (gupdate1c920d9504e2d24) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
0
Réponse 8 / 53
jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 040
 
Télécharge et install UsbFix de C_XX & Chiquitine29
http://sd-1.archive-host.com/membres/up/127028005715545653/UsbFix.exe

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

# Double clic sur le raccourci UsbFix présent sur ton bureau .

# Choisis l'option 1 ( Recherche )

# Laisse travailler l'outil.

# Ensuite post le rapport UsbFix.txt qui apparaitra.

# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

# Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
0
Réponse 9 / 53
knix05 Messages postés 41 Statut Membre
 
Voici le rapport demandé !

############################## | UsbFix V6.017 |

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |

################## | Suspect ! ... | https://www.virustotal.com/gui/ |

C:\CB\CB.EXE

################## | Registre # Clés Run infectieuses |

################## | Registre # Mountpoints2 |

################## | Cracks / Keygens / Serials |

################## | ! Fin du rapport # UsbFix V6.017 ! |
0
Réponse 10 / 53
jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 040
 
analyse ces 4 fichiers sur virus total et colle les rapports: https://www.virustotal.com/gui/
C:\WINDOWS\ybytonafy.vbs
C:\WINDOWS\yxosy.bat
C:\WINDOWS\system32\msword98.exe
C:\CB\CB.EXE

je me mets ceci de coté:

2009-08-13 10:59:27 ----A---- C:\WINDOWS\system32\ejeoc.txt
2009-08-12 20:38:48 ----A---- C:\WINDOWS\ybytonafy.vbs
2009-08-12 20:38:48 ----A---- C:\Program Files\Fichiers communs\tonugum.bat
2009-08-12 20:38:48 ----A---- C:\Program Files\Fichiers communs\kosa.dll
2009-08-12 20:38:48 ----A---- C:\Documents and Settings\All Users\Application Data\zypuroril.exe
2009-08-12 14:45:19 ----A---- C:\Program Files\Fichiers communs\cabyd.vbs
2009-08-12 14:45:18 ----A---- C:\WINDOWS\yxosy.bat
2009-08-12 14:45:18 ----A---- C:\Documents and Settings\All Users\Application Data\fyrop.bat
2009-08-12 13:41:42 ----A---- C:\WINDOWS\system32\msword98.exe
0
Réponse 11 / 53
knix05 Messages postés 41 Statut Membre
 
Voici les scans des 4 fichiers mais je continue pour ceux que tu as mis de côté. Bon appétit et encore merci.

Fichier ybytonafy.vbs reçu le 2009.08.13 10:27:53 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/41 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 3.
L'heure estimée de démarrage est entre 60 et 85 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.24 2009.08.13 -
AhnLab-V3 5.0.0.2 2009.08.12 -
AntiVir 7.9.1.1 2009.08.13 -
Antiy-AVL 2.0.3.7 2009.08.13 -
Authentium 5.1.2.4 2009.08.13 -
Avast 4.8.1335.0 2009.08.12 -
AVG 8.5.0.406 2009.08.13 -
BitDefender 7.2 2009.08.13 -
CAT-QuickHeal 10.00 2009.08.13 -
ClamAV 0.94.1 2009.08.13 -
Comodo 1964 2009.08.13 -
DrWeb 5.0.0.12182 2009.08.13 -
eSafe 7.0.17.0 2009.08.11 -
eTrust-Vet 31.6.6675 2009.08.13 -
F-Prot 4.4.4.56 2009.08.12 -
F-Secure 8.0.14470.0 2009.08.13 -
Fortinet 3.120.0.0 2009.08.13 -
GData 19 2009.08.13 -
Ikarus T3.1.1.64.0 2009.08.13 -
Jiangmin 11.0.800 2009.08.13 -
K7AntiVirus 7.10.817 2009.08.12 -
Kaspersky 7.0.0.125 2009.08.13 -
McAfee 5707 2009.08.12 -
McAfee+Artemis 5707 2009.08.12 -
McAfee-GW-Edition 6.8.5 2009.08.13 -
Microsoft 1.4903 2009.08.13 -
NOD32 4331 2009.08.13 -
Norman 6.01.09 2009.08.12 -
nProtect 2009.1.8.0 2009.08.13 -
Panda 10.0.0.14 2009.08.12 -
PCTools 4.4.2.0 2009.08.12 -
Prevx 3.0 2009.08.13 -
Rising 21.42.32.00 2009.08.13 -
Sophos 4.44.0 2009.08.13 -
Sunbelt 3.2.1858.2 2009.08.13 -
Symantec 1.4.4.12 2009.08.13 -
TheHacker 6.3.4.3.383 2009.08.13 -
TrendMicro 8.950.0.1094 2009.08.13 -
VBA32 3.12.10.9 2009.08.13 -
ViRobot 2009.8.13.1883 2009.08.13 -
VirusBuster 4.6.5.0 2009.08.12 -
Information additionnelle
File size: 16258 bytes
MD5...: 05c48d3aa1af5c9717f8af8a51bdbd13
SHA1..: 32f2d8dcdcd3eb0247b3c018f55817191f906e4c
SHA256: c9d05b9200114097c8f2d2a26bd4fb2f0c7ecd14fd987b8e9887a89c8a1e1800
ssdeep: 384:vkSPqPP7SMJFH07r2KqipHoHtDfRAXXIYDMDjCPgwtV3Aa1CMamz:sS2P7N3
U5weMSgwL6i
PEiD..: -
TrID..: File type identification
MPEG Video (100.0%)
PEInfo: -
PDFiD.: -
RDS...: NSRL Reference Data Set

Fichier yxosy.bat reçu le 2009.08.13 10:30:30 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/41 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 4.
L'heure estimée de démarrage est entre 70 et 100 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.24 2009.08.13 -
AhnLab-V3 5.0.0.2 2009.08.12 -
AntiVir 7.9.1.1 2009.08.13 -
Antiy-AVL 2.0.3.7 2009.08.13 -
Authentium 5.1.2.4 2009.08.13 -
Avast 4.8.1335.0 2009.08.12 -
AVG 8.5.0.406 2009.08.13 -
BitDefender 7.2 2009.08.13 -
CAT-QuickHeal 10.00 2009.08.13 -
ClamAV 0.94.1 2009.08.13 -
Comodo 1964 2009.08.13 -
DrWeb 5.0.0.12182 2009.08.13 -
eSafe 7.0.17.0 2009.08.11 -
eTrust-Vet 31.6.6675 2009.08.13 -
F-Prot 4.4.4.56 2009.08.12 -
F-Secure 8.0.14470.0 2009.08.13 -
Fortinet 3.120.0.0 2009.08.13 -
GData 19 2009.08.13 -
Ikarus T3.1.1.64.0 2009.08.13 -
Jiangmin 11.0.800 2009.08.13 -
K7AntiVirus 7.10.817 2009.08.12 -
Kaspersky 7.0.0.125 2009.08.13 -
McAfee 5707 2009.08.12 -
McAfee+Artemis 5707 2009.08.12 -
McAfee-GW-Edition 6.8.5 2009.08.13 -
Microsoft 1.4903 2009.08.13 -
NOD32 4331 2009.08.13 -
Norman 6.01.09 2009.08.12 -
nProtect 2009.1.8.0 2009.08.13 -
Panda 10.0.0.14 2009.08.12 -
PCTools 4.4.2.0 2009.08.12 -
Prevx 3.0 2009.08.13 -
Rising 21.42.32.00 2009.08.13 -
Sophos 4.44.0 2009.08.13 -
Sunbelt 3.2.1858.2 2009.08.13 -
Symantec 1.4.4.12 2009.08.13 -
TheHacker 6.3.4.3.383 2009.08.13 -
TrendMicro 8.950.0.1094 2009.08.13 -
VBA32 3.12.10.9 2009.08.13 -
ViRobot 2009.8.13.1883 2009.08.13 -
VirusBuster 4.6.5.0 2009.08.12 -
Information additionnelle
File size: 15088 bytes
MD5...: aa65f68cc86b9a0708118c56dad411b7
SHA1..: 7538296f58e768db7431851a5bf0eb52772b8fff
SHA256: 974d726b5dd6b6381ddda1f5dd233812e99c165764103707ad9802793b7de3a3
ssdeep: 384:TW5mpjkLKOa9TNjGyhyF0GdoMf9B/CCGd:TWm/bFpREF/TFB6Ce
PEiD..: -
TrID..: File type identification
Unknown!
PEInfo: -
PDFiD.: -
RDS...: NSRL Reference Data Set
-
packers (F-Prot): ARJ

Fichier msword98.exe.boese reçu le 2009.08.13 08:08:54 (UTC)
Situation actuelle: terminé
Résultat: 8/41 (19.51%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.24 2009.08.13 -
AhnLab-V3 5.0.0.2 2009.08.12 -
AntiVir 7.9.1.1 2009.08.13 -
Antiy-AVL 2.0.3.7 2009.08.13 -
Authentium 5.1.2.4 2009.08.13 -
Avast 4.8.1335.0 2009.08.12 -
AVG 8.5.0.406 2009.08.12 -
BitDefender 7.2 2009.08.13 -
CAT-QuickHeal 10.00 2009.08.13 -
ClamAV 0.94.1 2009.08.13 -
Comodo 1962 2009.08.13 TrojWare.Win32.Trojan.Injecter.~E
DrWeb 5.0.0.12182 2009.08.13 Trojan.DownLoad.41506
eSafe 7.0.17.0 2009.08.11 -
eTrust-Vet 31.6.6673 2009.08.12 -
F-Prot 4.4.4.56 2009.08.12 -
F-Secure 8.0.14470.0 2009.08.13 -
Fortinet 3.120.0.0 2009.08.13 -
GData 19 2009.08.13 -
Ikarus T3.1.1.64.0 2009.08.13 -
Jiangmin 11.0.800 2009.08.13 -
K7AntiVirus 7.10.817 2009.08.12 -
Kaspersky 7.0.0.125 2009.08.13 Trojan-Downloader.Win32.Mutant.edz
McAfee 5707 2009.08.12 -
McAfee+Artemis 5707 2009.08.12 Artemis!8E485A44934C
McAfee-GW-Edition 6.8.5 2009.08.13 -
Microsoft 1.4903 2009.08.13 -
NOD32 4330 2009.08.12 a variant of Win32/Wigon.LW
Norman 6.01.09 2009.08.12 -
nProtect 2009.1.8.0 2009.08.13 -
Panda 10.0.0.14 2009.08.12 Suspicious file
PCTools 4.4.2.0 2009.08.12 -
Prevx 3.0 2009.08.13 High Risk Cloaked Malware
Rising 21.42.31.00 2009.08.13 -
Sophos 4.44.0 2009.08.13 -
Sunbelt 3.2.1858.2 2009.08.13 -
Symantec 1.4.4.12 2009.08.13 -
TheHacker 6.3.4.3.383 2009.08.13 -
TrendMicro 8.950.0.1094 2009.08.13 -
VBA32 3.12.10.9 2009.08.13 -
ViRobot 2009.8.13.1883 2009.08.13 Trojan.Win32.Downloader.26686.L
VirusBuster 4.6.5.0 2009.08.12 -
Information additionnelle
File size: 26686 bytes
MD5 : 8e485a44934c8f964ad3361c9c40eb62
SHA1 : 938b297de5c8497541f0219347d40b62ce00acd5
SHA256: 0737793e15c5161ae2c9c420172f6f98a9a49f3f273367ae021534713184b55f
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x346
timedatestamp.....: 0x4A76D7A6 (Mon Aug 3 14:27:18 2009)
machinetype.......: 0x14C (Intel I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x300 0x106 0x200 3.48 3b3ab53d190d27e105d3671121f00a12
.rdata 0x500 0x94 0x100 2.41 745b981e015d0fa0960d5deda9a2b87e
.data 0x600 0x15 0x100 0.39 adf093358e185b99ae981802989fb79c
.rsrc 0x700 0x3A0 0x400 2.47 9142ef7a19ad1e3396481a55dcdea6e9
.aaaa 0xB00 0x5E00 0x5E00 7.70 80514aa4a0b8c4673ce3f6c83882ad0a

( 1 imports )

> kernel32.dll: ExitProcess, GetModuleHandleA, VirtualAlloc

( 0 exports )
TrID : File type identification
-
ssdeep: 768:ZcTrSdBhTH27tDn079tiNtF1xl8uhYB0q7z0cOD:lB1HW073qtF1z8uhW0qvs
Prevx Info: http://info.prevx.com/aboutprogramtext.asp?PX5=34574DC73E2234B868FA00876748AC00A466A8AB
PEiD : -
RDS : NSRL Reference Data Set

Fichier CB.EXE reçu le 2009.08.13 10:40:44 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/41 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 3.
L'heure estimée de démarrage est entre 60 et 85 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.24 2009.08.13 -
AhnLab-V3 5.0.0.2 2009.08.12 -
AntiVir 7.9.1.1 2009.08.13 -
Antiy-AVL 2.0.3.7 2009.08.13 -
Authentium 5.1.2.4 2009.08.13 -
Avast 4.8.1335.0 2009.08.12 -
AVG 8.5.0.406 2009.08.13 -
BitDefender 7.2 2009.08.13 -
CAT-QuickHeal 10.00 2009.08.13 -
ClamAV 0.94.1 2009.08.13 -
Comodo 1964 2009.08.13 -
DrWeb 5.0.0.12182 2009.08.13 -
eSafe 7.0.17.0 2009.08.11 -
eTrust-Vet 31.6.6675 2009.08.13 -
F-Prot 4.4.4.56 2009.08.12 -
F-Secure 8.0.14470.0 2009.08.13 -
Fortinet 3.120.0.0 2009.08.13 -
GData 19 2009.08.13 -
Ikarus T3.1.1.64.0 2009.08.13 -
Jiangmin 11.0.800 2009.08.13 -
K7AntiVirus 7.10.817 2009.08.12 -
Kaspersky 7.0.0.125 2009.08.13 -
McAfee 5707 2009.08.12 -
McAfee+Artemis 5707 2009.08.12 -
McAfee-GW-Edition 6.8.5 2009.08.13 -
Microsoft 1.4903 2009.08.13 -
NOD32 4331 2009.08.13 -
Norman 6.01.09 2009.08.12 -
nProtect 2009.1.8.0 2009.08.13 -
Panda 10.0.0.14 2009.08.12 -
PCTools 4.4.2.0 2009.08.12 -
Prevx 3.0 2009.08.13 -
Rising 21.42.32.00 2009.08.13 -
Sophos 4.44.0 2009.08.13 -
Sunbelt 3.2.1858.2 2009.08.13 -
Symantec 1.4.4.12 2009.08.13 -
TheHacker 6.3.4.3.383 2009.08.13 -
TrendMicro 8.950.0.1094 2009.08.13 -
VBA32 3.12.10.9 2009.08.13 -
ViRobot 2009.8.13.1883 2009.08.13 -
VirusBuster 4.6.5.0 2009.08.12 -
Information additionnelle
File size: 1060608 bytes
MD5...: 01811df2bf8284e1e065fff834bfb59d
SHA1..: ff9c97371dfd6a29e4c2385f49c72b52d3fc29d0
SHA256: b90f7823f4832f56a9e2c6ad868330243cb08cbd0d6d800e8c89fd1edafda53c
ssdeep: 24576:zg+0/PsBG3AUG92iVfLoTLvmAozw1HKmy:8eLoTLvmAozw1HKmy
PEiD..: -
TrID..: File type identification
DOS Executable Borland Pascal 7.0x (33.7%)
Generic Win/DOS Executable (33.1%)
DOS Executable Generic (33.1%)
PEInfo: -
PDFiD.: -
RDS...: NSRL Reference Data Set
-
0
Réponse 12 / 53
knix05 Messages postés 41 Statut Membre
 
Voici les suivants que tu as mis de côté

Pour l'instant il n'y a que msword98.exe qui soit détecté comme virus potentiel.

Merci pour ton aide.

Fichier ejeoc.txt reçu le 2009.08.13 10:57:21 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/41 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: ___.
L'heure estimée de démarrage est entre ___ et ___ .
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Fichier ybytonafy.vbs reçu le 2009.08.13 10:27:53 (UTC)
Situation actuelle: terminé
Résultat: 0/41 (0.00%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.24 2009.08.13 -
AhnLab-V3 5.0.0.2 2009.08.12 -
AntiVir 7.9.1.1 2009.08.13 -
Antiy-AVL 2.0.3.7 2009.08.13 -
Authentium 5.1.2.4 2009.08.13 -
Avast 4.8.1335.0 2009.08.12 -
AVG 8.5.0.406 2009.08.13 -
BitDefender 7.2 2009.08.13 -
CAT-QuickHeal 10.00 2009.08.13 -
ClamAV 0.94.1 2009.08.13 -
Comodo 1964 2009.08.13 -
DrWeb 5.0.0.12182 2009.08.13 -
eSafe 7.0.17.0 2009.08.11 -
eTrust-Vet 31.6.6675 2009.08.13 -
F-Prot 4.4.4.56 2009.08.12 -
F-Secure 8.0.14470.0 2009.08.13 -
Fortinet 3.120.0.0 2009.08.13 -
GData 19 2009.08.13 -
Ikarus T3.1.1.64.0 2009.08.13 -
Jiangmin 11.0.800 2009.08.13 -
K7AntiVirus 7.10.817 2009.08.12 -
Kaspersky 7.0.0.125 2009.08.13 -
McAfee 5707 2009.08.12 -
McAfee+Artemis 5707 2009.08.12 -
McAfee-GW-Edition 6.8.5 2009.08.13 -
Microsoft 1.4903 2009.08.13 -
NOD32 4331 2009.08.13 -
Norman 6.01.09 2009.08.12 -
nProtect 2009.1.8.0 2009.08.13 -
Panda 10.0.0.14 2009.08.12 -
PCTools 4.4.2.0 2009.08.12 -
Prevx 3.0 2009.08.13 -
Rising 21.42.32.00 2009.08.13 -
Sophos 4.44.0 2009.08.13 -
Sunbelt 3.2.1858.2 2009.08.13 -
Symantec 1.4.4.12 2009.08.13 -
TheHacker 6.3.4.3.383 2009.08.13 -
TrendMicro 8.950.0.1094 2009.08.13 -
VBA32 3.12.10.9 2009.08.13 -
ViRobot 2009.8.13.1883 2009.08.13 -
VirusBuster 4.6.5.0 2009.08.12 -
Information additionnelle
File size: 16258 bytes
MD5 : 05c48d3aa1af5c9717f8af8a51bdbd13
SHA1 : 32f2d8dcdcd3eb0247b3c018f55817191f906e4c
SHA256: c9d05b9200114097c8f2d2a26bd4fb2f0c7ecd14fd987b8e9887a89c8a1e1800
TrID : File type identification
MPEG Video (100.0%)
ssdeep: 384:vkSPqPP7SMJFH07r2KqipHoHtDfRAXXIYDMDjCPgwtV3Aa1CMamz:sS2P7N3U5weMSgwL6i
PEiD : -
RDS : NSRL Reference Data Set
-
Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.24 2009.08.13 -
AhnLab-V3 5.0.0.2 2009.08.12 -
AntiVir 7.9.1.1 2009.08.13 -
Antiy-AVL 2.0.3.7 2009.08.13 -
Authentium 5.1.2.4 2009.08.13 -
Avast 4.8.1335.0 2009.08.12 -
AVG 8.5.0.406 2009.08.13 -
BitDefender 7.2 2009.08.13 -
CAT-QuickHeal 10.00 2009.08.13 -
ClamAV 0.94.1 2009.08.13 -
Comodo 1964 2009.08.13 -
DrWeb 5.0.0.12182 2009.08.13 -
eSafe 7.0.17.0 2009.08.11 -
eTrust-Vet 31.6.6675 2009.08.13 -
F-Prot 4.4.4.56 2009.08.12 -
F-Secure 8.0.14470.0 2009.08.13 -
Fortinet 3.120.0.0 2009.08.13 -
GData 19 2009.08.13 -
Ikarus T3.1.1.64.0 2009.08.13 -
Jiangmin 11.0.800 2009.08.13 -
K7AntiVirus 7.10.817 2009.08.12 -
Kaspersky 7.0.0.125 2009.08.13 -
McAfee 5707 2009.08.12 -
McAfee+Artemis 5707 2009.08.12 -
McAfee-GW-Edition 6.8.5 2009.08.13 -
Microsoft 1.4903 2009.08.13 -
NOD32 4331 2009.08.13 -
Norman 6.01.09 2009.08.12 -
nProtect 2009.1.8.0 2009.08.13 -
Panda 10.0.0.14 2009.08.12 -
PCTools 4.4.2.0 2009.08.12 -
Prevx 3.0 2009.08.13 -
Rising 21.42.32.00 2009.08.13 -
Sophos 4.44.0 2009.08.13 -
Sunbelt 3.2.1858.2 2009.08.13 -
Symantec 1.4.4.12 2009.08.13 -
TheHacker 6.3.4.3.383 2009.08.13 -
TrendMicro 8.950.0.1094 2009.08.13 -
VBA32 3.12.10.9 2009.08.13 -
ViRobot 2009.8.13.1883 2009.08.13 -
VirusBuster 4.6.5.0 2009.08.12 -
Information additionnelle
File size: 1192 bytes
MD5...: 8b7d305044576c322f4380d4c53b4933
SHA1..: 04acac8638e7a5d2aab5ace2d1a005c2e91f1b2f
SHA256: 1df689f7ae5b403f3e28b6f6243cb084191dfd0c02485667790afcdfdd12f77a
ssdeep: 24:m7ef7ef4EpefIefIefueSXdSHLBef7ef4EpefIefIefueSXdSHLG:EE8pXXBJ
aNE8pXXBJaa
PEiD..: -
TrID..: File type identification
Lumena CEL bitmap (60.5%)
Corel Photo Paint (39.4%)
PEInfo: -
PDFiD.: -
RDS...: NSRL Reference Data Set

Fichier tonugum.bat reçu le 2009.08.13 11:04:42 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/40 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 3.
L'heure estimée de démarrage est entre 60 et 85 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 5.0.0.2 2009.08.12 -
AntiVir 7.9.1.1 2009.08.13 -
Antiy-AVL 2.0.3.7 2009.08.13 -
Authentium 5.1.2.4 2009.08.13 -
Avast 4.8.1335.0 2009.08.12 -
AVG 8.5.0.406 2009.08.13 -
BitDefender 7.2 2009.08.13 -
CAT-QuickHeal 10.00 2009.08.13 -
ClamAV 0.94.1 2009.08.13 -
Comodo 1964 2009.08.13 -
DrWeb 5.0.0.12182 2009.08.13 -
eSafe 7.0.17.0 2009.08.11 -
eTrust-Vet 31.6.6675 2009.08.13 -
F-Prot 4.4.4.56 2009.08.12 -
F-Secure 8.0.14470.0 2009.08.13 -
Fortinet 3.120.0.0 2009.08.13 -
GData 19 2009.08.13 -
Ikarus T3.1.1.64.0 2009.08.13 -
Jiangmin 11.0.800 2009.08.13 -
K7AntiVirus 7.10.817 2009.08.12 -
Kaspersky 7.0.0.125 2009.08.13 -
McAfee 5707 2009.08.12 -
McAfee+Artemis 5707 2009.08.12 -
McAfee-GW-Edition 6.8.5 2009.08.13 -
Microsoft 1.4903 2009.08.13 -
NOD32 4331 2009.08.13 -
Norman 6.01.09 2009.08.12 -
nProtect 2009.1.8.0 2009.08.13 -
Panda 10.0.0.14 2009.08.12 -
PCTools 4.4.2.0 2009.08.12 -
Prevx 3.0 2009.08.13 -
Rising 21.42.32.00 2009.08.13 -
Sophos 4.44.0 2009.08.13 -
Sunbelt 3.2.1858.2 2009.08.13 -
Symantec 1.4.4.12 2009.08.13 -
TheHacker 6.3.4.3.383 2009.08.13 -
TrendMicro 8.950.0.1094 2009.08.13 -
VBA32 3.12.10.9 2009.08.13 -
ViRobot 2009.8.13.1883 2009.08.13 -
VirusBuster 4.6.5.0 2009.08.12 -
Information additionnelle
File size: 10347 bytes
MD5...: 6375d11fe39b0287c9131c30fdd17b20
SHA1..: 086893e2738d472c1ebef507fe87992722097b1f
SHA256: b2ebfca78cb78ad072644be08af57f5938fd9ddad0a4c5a3a677b36b00a86d14
ssdeep: 192:OzUP+KddBhjixSJAoMy0yVzoXFCaTHz/N3YVrFVv2+I/xQ4XjWlwU1Qg:OzU
vzXIsApoVgw2HFYVr6+I/S0jWj1H
PEiD..: -
TrID..: File type identification
MPEG Video (100.0%)
PEInfo: -
PDFiD.: -
RDS...: NSRL Reference Data Set
-

Fichier kosa.dll reçu le 2009.08.13 11:25:46 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/41 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 3.
L'heure estimée de démarrage est entre 60 et 85 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.24 2009.08.13 -
AhnLab-V3 5.0.0.2 2009.08.12 -
AntiVir 7.9.1.1 2009.08.13 -
Antiy-AVL 2.0.3.7 2009.08.13 -
Authentium 5.1.2.4 2009.08.13 -
Avast 4.8.1335.0 2009.08.12 -
AVG 8.5.0.406 2009.08.13 -
BitDefender 7.2 2009.08.13 -
CAT-QuickHeal 10.00 2009.08.13 -
ClamAV 0.94.1 2009.08.13 -
Comodo 1964 2009.08.13 -
DrWeb 5.0.0.12182 2009.08.13 -
eSafe 7.0.17.0 2009.08.11 -
eTrust-Vet 31.6.6675 2009.08.13 -
F-Prot 4.4.4.56 2009.08.12 -
F-Secure 8.0.14470.0 2009.08.13 -
Fortinet 3.120.0.0 2009.08.13 -
GData 19 2009.08.13 -
Ikarus T3.1.1.64.0 2009.08.13 -
Jiangmin 11.0.800 2009.08.13 -
K7AntiVirus 7.10.817 2009.08.12 -
Kaspersky 7.0.0.125 2009.08.13 -
McAfee 5707 2009.08.12 -
McAfee+Artemis 5707 2009.08.12 -
McAfee-GW-Edition 6.8.5 2009.08.13 -
Microsoft 1.4903 2009.08.13 -
NOD32 4331 2009.08.13 -
Norman 6.01.09 2009.08.12 -
nProtect 2009.1.8.0 2009.08.13 -
Panda 10.0.0.14 2009.08.12 -
PCTools 4.4.2.0 2009.08.12 -
Prevx 3.0 2009.08.13 -
Rising 21.42.32.00 2009.08.13 -
Sophos 4.44.0 2009.08.13 -
Sunbelt 3.2.1858.2 2009.08.13 -
Symantec 1.4.4.12 2009.08.13 -
TheHacker 6.3.4.3.383 2009.08.13 -
TrendMicro 8.950.0.1094 2009.08.13 -
VBA32 3.12.10.9 2009.08.13 -
ViRobot 2009.8.13.1883 2009.08.13 -
VirusBuster 4.6.5.0 2009.08.12 -
Information additionnelle
File size: 15488 bytes
MD5...: 99c05d338821505ca2f8736c3578620f
SHA1..: 6972cadad5a6d977d5a2d50ff4ed05404c5f2f0b
SHA256: cc4e57de115bb57fa349ae89bde21d401082cfd2118a9a673f167f125220b770
ssdeep: 192:vobU00q//phasVS8ADEuxMesmfx9OsXCvsfVD8Ei/n4z+N+Myk3ISCLunGRR
LTFU:AbUQRFA4uxppAeCoVfA3GbFgr
PEiD..: -
0
Réponse 13 / 53
jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 040
 
pas besoin de faire les autres car les fichiers ont été mis au même moment donc si 1 non infecté c'est bon!

Pour fusionner:

http://img.photobucket.com/albums/v666/sUBs/CFScript.gif

_______________

telecharge combofix:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Sauvegarde le sur ton bureau et pas ailleurs !

_________________

Ferme tous tes navigateurs (donc copie ou imprime les instructions avant)

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

File::
C:\WINDOWS\system32\msword98.exe

Enregistre ce fichier sous le nom CFscript

Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe

Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
0
Réponse 14 / 53
knix05 Messages postés 41 Statut Membre
 
J'ai suivi tes instructions mais je n'ai pas eu les étapes à savoir choisir 1

voici le rapport

ComboFix 09-08-10.06 - Administrateur 13/08/2009 14:57.2.1 - NTFSx86 NETWORK
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1023.704 [GMT 2:00]
Running from: c:\documents and settings\Administrateur\Bureau\ComboFix.exe
Command switches used :: c:\documents and settings\Administrateur\Bureau\CFscript.txt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::
"c:\windows\system32\msword98.exe"
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\NetworkService\oashdihasidhasuidhiasdhiashdiuasdhasd
c:\windows\system32\braviax.exe
c:\windows\system32\dllcache\figaro.sys
c:\windows\system32\msword98.exe
c:\windows\system32\wisdstr.exe

c:\windows\system32\drivers\beep.sys . . . is infected!!

.
((((((((((((((((((((((((( Files Created from 2009-07-13 to 2009-08-13 )))))))))))))))))))))))))))))))
.

2009-08-13 12:01 . 2009-08-13 12:01 28160 ----a-w- c:\windows\system32\dllcache\beep.sys
2009-08-13 10:00 . 2009-08-13 10:02 -------- d-----w- C:\UsbFix
2009-08-13 09:23 . 2009-08-13 09:23 -------- d-----w- C:\rsit
2009-08-12 18:40 . 2009-08-12 18:40 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Google
2009-08-12 18:38 . 2009-08-12 18:38 18464 ----a-w- c:\documents and settings\NetworkService\Local Settings\Application Data\ilazer.sys
2009-08-12 18:38 . 2009-08-12 18:38 16258 ----a-w- c:\windows\ybytonafy.vbs
2009-08-12 18:38 . 2009-08-12 18:38 15851 ----a-w- c:\documents and settings\NetworkService\Local Settings\Application Data\ylumi.vbs
2009-08-12 18:38 . 2009-08-12 18:38 15488 ----a-w- c:\program files\Fichiers communs\kosa.dll
2009-08-12 18:38 . 2009-08-12 18:38 12719 ----a-w- c:\documents and settings\All Users\Application Data\zypuroril.exe
2009-08-12 18:38 . 2009-08-12 18:38 11985 ----a-w- c:\documents and settings\NetworkService\Application Data\idemecigec.scr
2009-08-12 18:38 . 2009-08-12 18:38 10347 ----a-w- c:\program files\Fichiers communs\tonugum.bat
2009-08-12 17:33 . 2009-08-12 17:34 -------- d-----w- c:\windows\ERUNT
2009-08-12 17:32 . 2009-08-12 17:34 -------- d-----w- C:\SDFix
2009-08-12 15:09 . 2009-08-12 15:09 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Malwarebytes
2009-08-12 15:09 . 2009-08-03 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-12 15:09 . 2009-08-12 15:09 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-08-12 15:09 . 2009-08-03 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-08-12 14:57 . 2009-08-12 14:57 -------- d--h--w- c:\documents and settings\Administrateur\Voisinage réseau
2009-08-12 13:46 . 2009-08-12 13:48 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Adobe
2009-08-12 12:45 . 2009-08-12 12:45 18377 ----a-w- c:\program files\Fichiers communs\cabyd.vbs
2009-08-12 12:45 . 2009-08-12 12:45 15179 ----a-w- c:\windows\xugekil.pif
2009-08-12 12:45 . 2009-08-12 12:45 19978 ----a-w- c:\documents and settings\All Users\Application Data\fyrop.bat
2009-08-12 12:45 . 2009-08-12 12:45 17890 ----a-w- c:\documents and settings\NetworkService\Application Data\tasazifaq.exe
2009-08-12 12:45 . 2009-08-12 12:45 16631 ----a-w- c:\windows\selytecu.pif
2009-08-12 12:45 . 2009-08-12 12:45 15088 ----a-w- c:\windows\yxosy.bat
2009-08-12 12:45 . 2009-08-12 12:45 13096 ----a-w- c:\windows\umetecyd.reg
2009-08-12 12:45 . 2009-08-12 12:45 11264 ----a-w- c:\windows\pizawo.bin
2009-08-12 12:45 . 2009-08-12 12:45 11228 ----a-w- c:\documents and settings\NetworkService\Application Data\fuweqivefu.sys
2009-08-12 12:41 . 2008-12-11 06:38 159600 ----a-w- c:\windows\system32\drivers\pctgntdi.sys
2009-08-12 12:41 . 2009-04-03 08:18 130936 ----a-w- c:\windows\system32\drivers\PCTCore.sys
2009-08-12 12:41 . 2008-12-18 09:16 73840 ----a-w- c:\windows\system32\drivers\PCTAppEvent.sys
2009-08-12 12:41 . 2009-08-12 12:42 -------- d-----w- c:\program files\Fichiers communs\PC Tools
2009-08-12 12:41 . 2008-12-10 09:36 64392 ----a-w- c:\windows\system32\drivers\pctplsg.sys
2009-08-12 12:41 . 2009-08-12 12:48 -------- d-----w- c:\program files\Spyware Doctor
2009-08-12 12:41 . 2009-08-12 12:41 -------- d-----w- c:\documents and settings\All Users\Application Data\PC Tools
2009-08-12 12:41 . 2009-08-12 12:41 -------- d-----w- c:\documents and settings\Administrateur\Application Data\PC Tools
2009-08-12 12:34 . 2009-08-12 19:30 -------- d-----w- c:\windows\BDOSCAN8
2009-08-12 12:34 . 2009-08-12 12:34 -------- d-----w- c:\windows\LastGood
2009-08-12 12:24 . 2009-08-12 12:24 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Mozilla
2009-08-12 12:18 . 2009-08-12 12:18 -------- d-sh--w- c:\documents and settings\Administrateur\IETldCache
2009-08-12 12:17 . 2009-08-13 12:57 -------- d-----w- c:\documents and settings\Administrateur\Bureau
2009-08-12 11:42 . 2009-08-12 11:42 619584 ----a-w- c:\windows\system32\dllcache\ntfs.sys
2009-08-12 09:43 . 2009-08-12 09:43 -------- d-----w- c:\documents and settings\All Users\Application Data\DAEMON Tools Lite
2009-08-12 09:42 . 2009-08-12 09:42 -------- d-----w- c:\program files\DAEMON Tools Toolbar
2009-08-12 09:42 . 2009-08-12 09:42 -------- d-----w- c:\program files\DAEMON Tools Lite
2009-08-12 09:36 . 2009-08-12 09:36 721904 ----a-w- c:\windows\system32\drivers\sptd.sys
2009-08-11 18:55 . 2009-08-11 18:55 -------- d-----w- c:\windows\Logs
2009-08-11 18:50 . 2009-08-11 18:57 -------- d-----w- c:\documents and settings\All Users\Application Data\Sports Interactive
2009-07-29 13:08 . 2009-07-03 16:57 55296 ------w- c:\windows\system32\dllcache\msfeedsbs.dll
2009-07-29 13:08 . 2009-07-03 16:57 594432 ------w- c:\windows\system32\dllcache\msfeeds.dll
2009-07-16 18:57 . 2009-07-16 18:57 -------- d-----w- c:\program files\Fichiers communs\Windows Live

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-13 09:37 . 2006-01-25 21:54 -------- d-----w- c:\program files\CCleaner
2009-08-12 18:38 . 2009-08-12 18:38 15999 ----a-w- c:\program files\Fichiers communs\lopogip.inf
2009-08-12 18:38 . 2009-08-12 18:38 12092 ----a-w- c:\documents and settings\All Users\Application Data\hutaxah.reg
2009-08-12 18:38 . 2009-08-12 18:38 11040 ----a-w- c:\program files\Fichiers communs\ajokazazes.db
2009-08-12 14:50 . 2008-06-08 13:19 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP
2009-08-12 12:45 . 2009-08-12 12:45 12643 ----a-w- c:\program files\Fichiers communs\dutydud.db
2009-08-12 11:42 . 1979-12-31 23:00 619584 ----a-w- c:\windows\system32\drivers\ntfs.sys
2009-07-22 12:05 . 2009-05-01 18:31 -------- d-----w- c:\program files\Steam
2009-07-15 20:04 . 2008-06-04 11:37 -------- d-----w- c:\program files\Messenger Plus! Live
2009-07-03 16:57 . 2004-07-07 16:59 915456 ----a-w- c:\windows\system32\wininet.dll
2009-07-02 15:43 . 2005-09-27 22:35 -------- d-----w- c:\program files\Google
2009-06-24 08:06 . 2009-05-03 09:31 -------- d-----w- c:\program files\GRETECH
2009-06-23 20:28 . 2009-06-23 20:27 -------- d-----w- c:\program files\Fichiers communs\ArcSoft
2009-06-23 20:26 . 2006-02-23 19:29 -------- d-----w- c:\program files\ArcSoft
2009-06-23 20:26 . 2002-12-05 01:45 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-06-23 20:22 . 2009-06-23 20:22 -------- d-----w- c:\program files\QuickTime
2009-06-23 20:21 . 2009-06-23 20:21 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple Computer
2009-06-23 20:21 . 2009-06-23 20:21 -------- d-----w- c:\program files\Apple Software Update
2009-06-23 20:21 . 2009-06-23 20:21 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple
2009-06-20 16:55 . 2004-11-21 09:56 50832 -c-ha-w- c:\windows\system32\mlfcache.dat
2009-06-20 15:49 . 2009-06-20 15:49 -------- d-----w- c:\documents and settings\All Users\Application Data\CDTEST 3
2009-06-16 14:40 . 1979-12-31 23:00 81920 ----a-w- c:\windows\system32\fontsub.dll
2009-06-16 14:40 . 1979-12-31 23:00 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-06-03 19:10 . 2003-09-05 21:17 1297408 ----a-w- c:\windows\system32\quartz.dll
.

------- Sigcheck -------

[-] 2009-08-13 12:01 28160 88894AD22A4911EDF9B73FD35D5E165C c:\windows\system32\dllcache\beep.sys

[-] 2007-02-09 11:23 574976 05AB81909514BFD69CBB1F2C147CF6B9 c:\windows\$hf_mig$\KB930916\SP2QFE\ntfs.sys
[-] 2007-02-09 11:10 574464 !HASH: COULD NOT OPEN FILE !!!!! c:\windows\$NtServicePackUninstall$\ntfs.sys
[7] 2008-04-13 19:15 574976 78A08DD6A8D65E697C18E1DB01C5CDCA c:\windows\ServicePackFiles\i386\ntfs.sys
[-] 2009-08-12 11:42 619584 4DFB45D14330ACE7FD32EE8DBCF50C97 c:\windows\system32\dllcache\ntfs.sys
[-] 2009-08-12 11:42 619584 4DFB45D14330ACE7FD32EE8DBCF50C97 c:\windows\system32\drivers\ntfs.sys

c:\windows\system32\appmgmts.dll ... is missing !!
c:\windows\system32\drivers\beep.sys ... is missing !!
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WOOWATCH"="c:\progra~1\Wanadoo\Watch.exe" [2004-08-23 20480]
"McAfeeUpdaterUI"="c:\program files\Network Associates\Common Framework\UpdaterUI.exe" [2004-08-06 139320]
"ShStatEXE"="c:\program files\Network Associates\VirusScan\SHSTAT.EXE" [2004-08-25 94208]
"Network Associates Error Reporting Service"="c:\program files\Fichiers communs\Network Associates\TalkBack\TBMon.exe" [2003-10-07 147514]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-12-05 8523776]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-12-05 81920]
"CANAL+ CANALSAT A LA DEMANDE"="c:\program files\Canal+\CANAL+ CANALSAT A LA DEMANDE\Launcher.exe" [2009-04-28 170072]
"MSConfig"="c:\windows\msconfig.exe" [2004-04-18 147968]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2007-12-05 1626112]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0SsiEfr.e

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]
@=""

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^EPSON Status Monitor 3 Environment Check 2.lnk]
backup=c:\windows\pss\EPSON Status Monitor 3 Environment Check 2.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Exif Launcher.lnk]
backup=c:\windows\pss\Exif Launcher.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WmdmPmSp"=2 (0x2)
"WebClient"=2 (0x2)
"UPS"=3 (0x3)
"Themes"=2 (0x2)
"seclogon"=2 (0x2)
"SCardSvr"=3 (0x3)
"PolicyAgent"=2 (0x2)
"NtmsSvc"=3 (0x3)
"mnmsrvc"=3 (0x3)
"LmHosts"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\Program Files\\Steam\\steamapps\\david.savelli@wanadoo.fr\\day of defeat\\hl.exe"=
"c:\\Program Files\\Steam\\steamapps\\david.savelli@wanadoo.fr\\half-life\\hl.exe"=

R0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [12/08/2009 14:41 130936]
R1 NaiAvTdi1;NaiAvTdi1;c:\windows\system32\drivers\mvstdi5x.sys [11/09/2006 23:19 58016]
S2 CanalPlus.VOD;CanalPlus.VOD;c:\program files\Canal+\CANAL+ CANALSAT A LA DEMANDE\VOD\CanalPlus.VOD.exe [28/04/2009 17:33 188416]
S2 cpuidle;cpuidle;c:\windows\system32\drivers\etc\CPUIDLE\srvany.exe [29/08/1996 23:00 13312]
S2 gupdate1c920d9504e2d24;Google Update Service (gupdate1c920d9504e2d24);c:\program files\Google\Update\GoogleUpdate.exe [27/09/2008 21:43 133104]
S2 PV8630;PV8631 WDM Device Driver;c:\windows\system32\A1236.SYS [17/04/2004 17:14 19096]
S2 SVKP;SVKP; [x]
S3 cusbohcn;cusbohcn; [x]
S3 Kbdhltevcsia;Kbdhltevcsia; [x]
S3 sdAuxService;PC Tools Auxiliary Service;c:\program files\Spyware Doctor\pctsAuxs.exe [12/08/2009 14:41 348752]
S3 SIS163u;SiS 163 usb Wireless LAN Adapter Driver;c:\windows\system32\drivers\sis163u.sys [15/09/2006 21:49 167424]
S3 STAC97NA;SigmaTel 3D Environmental Audio;c:\windows\system32\drivers\stac97na.sys [01/01/1980 01:00 296179]
S3 STAC97NH;STAC97NH;c:\windows\system32\drivers\stac97nh.sys [01/01/1980 01:00 231983]
S3 uir1100a;UIR1100A;c:\windows\system32\drivers\uir1100a.sys [06/11/2008 19:41 31048]
S3 V90drv;v90drv;c:\windows\system32\drivers\v90drv.sys [01/01/1980 01:00 1432836]
S3 ZDCndis5;ZDCndis5 Protocol Driver;\??\c:\windows\system32\ZDCndis5.SYS --> c:\windows\system32\ZDCndis5.SYS [?]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Contents of the 'Scheduled Tasks' folder

2009-06-23 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-06-03 11:42]

2009-07-02 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2008-09-27 19:50]
.
.
------- Supplementary Scan -------
.
mStart Page = hxxp://www.google.com
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
DPF: Microsoft XML Parser for Java
DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\nmm1df47.default\
FF - plugin: c:\program files\Canal+\CANAL+ CANALSAT A LA DEMANDE\VOD\npCpVod.dll
FF - plugin: c:\program files\Fichiers communs\mpDRM\NPMPDRM.dll
FF - plugin: c:\program files\Google\Google Earth Plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Picasa3\npPicasa3.dll
FF - plugin: c:\program files\Google\Update\1.2.183.7\npGoogleOneClick8.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npGoogleGadgetPluginFirefoxWin.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\NPMPDRM.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npornap.dll

---- FIREFOX POLICIES ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota", 5120);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-13 15:03
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_USERS\S-1-5-21-790525478-1644491937-725345543-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,14,c7,84,a2,e2,62,38,4c,8f,7d,e8,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,14,c7,84,a2,e2,62,38,4c,8f,7d,e8,\

[HKEY_USERS\S-1-5-21-790525478-1644491937-725345543-500\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•9~*]
"C040710900063D11C8EF10054038389C"="C?\\WINDOWS\\System32\\FM20ENU.DLL"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Reinstall\æHôwæ*]
"DisplayName"="\09"
"DeviceDesc"="\09"
"ProviderName"=""
"MFG"="?"
"ReinstallString"="2002, 6.13.10.6166"
"DeviceInstanceIds"=multi:"\00"

[HKEY_LOCAL_MACHINE\software\mpDRM\LicenseStore*]
@DACL=
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(376)
c:\windows\system32\Ati2evxx.dll
.
Completion time: 2009-08-13 15:05
ComboFix-quarantined-files.txt 2009-08-13 13:05
ComboFix2.txt 2009-08-13 12:03

Pre-Run: 26 355 576 832 octets libres
Post-Run: 26 336 141 312 octets libres

294 --- E O F --- 2009-08-02 08:59

Si j'ai mal fait l'opération merci de me l'indiquer je refais immédiatement. Je crois que je vais craquer ...
0
Réponse 15 / 53
jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 040
 
repare windows:
https://www.commentcamarche.net/informatique/windows/25-verifier-et-reparer-des-fichiers-systeme-avec-windows-10/

______________

colle le rapport d'un scan en ligne
avec un des suivants:

Panda en ligne :
http://pandasoftware.fr

Kaspersky en ligne
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
0
Réponse 16 / 53
knix05 Messages postés 41 Statut Membre
 
malheureusement sfc /scannow ne marche et je n'ai jamais le CD windows seulement préinstallé.
On est arrivé au bout du bout ?
Autre solution pour remplacer les fichiers corrompus ou manquants ?

J'ai un CD de restauration du système de mon portable avec XP SP2 cela pourrait-il marcher ?
0
Réponse 17 / 53
jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 040
 
tu dois pouvoir créer un cd de restauration : regarde ton manuel et fais en un c'est important en cas de plantage du pc

le cd xp de ton autre ordi devrait marcher si c'est la même version (pro ou perso)
0
knix05 Messages postés 41 Statut Membre
 
Désolé je me suis absenté !
Demain je devrais avoir un CD XP mais je vais essayer ce soir avec le mien ....
Voici le scan de panda

;***********************************************************************************************************************************************************************************
ANALYSIS: 2009-08-13 20:46:45
PROTECTIONS: 1
MALWARE: 9
SUSPECTS: 7
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================================================
McAfee VirusScan Enterprise 8.0.0.912 No Yes
;===================================================================================================================================================================================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================================================
00040610 VBS/Solow.CN Virus No 0 Yes No C:\Documents and Settings\david\Local Settings\Application Data\Downloaded Installations\{A4366A17-E432-4380-A0E4-9BFFA4B054A4}\CANAL+ CANALSAT A LA DEMANDE.msi[unk_0085]
00040610 VBS/Solow.CN Virus No 0 Yes No C:\WINDOWS\Installer\1b46df6.msi[unk_0114]
00199231 HackTool/EvID HackTools No 0 No No C:\Documents and Settings\david\Bureau\applis\eChanblard.exe[EvID4226Patch.exe]
00484705 Application/IEDefender HackTools No 0 Yes No C:\Program Files\Mozilla Firefox\SmitfraudFix\IEDFix.C.exe
00484705 Application/IEDefender HackTools No 0 Yes No C:\Qoobox\Quarantine\C\WINDOWS\system32\IEDFix.C.exe.vir
00590315 Rootkit/Agent.LNB HackTools No 0 Yes No C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\axla.sys.vir
00921467 Generic Malware Virus/Trojan No 0 Yes Yes C:\Qoobox\Quarantine\C\WINDOWS\system32\404Fix.exe.vir
00921467 Generic Malware Virus/Trojan No 0 Yes Yes C:\Program Files\Mozilla Firefox\SmitfraudFix\404Fix.exe
02461078 Adware/UltimateDefender Adware No 0 Yes No C:\WINDOWS\system32\dllcache\beep.sys
02461078 Adware/UltimateDefender Adware No 0 Yes No C:\Qoobox\Quarantine\C\WINDOWS\system32\dllcache\figaro.sys.vir
02461078 Adware/UltimateDefender Adware No 0 Yes No C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\beep.sys.vir
02885963 Rootkit/Booto.C Virus/Worm No 0 Yes Yes C:\System Volume Information\_restore{59F21D55-E169-4490-BAEE-023C831C851A}\RP0\A0000004.sys
03074964 Trj/CI.A Virus/Trojan No 0 Yes Yes C:\Qoobox\Quarantine\C\WINDOWS\system32\wisdstr.exe.vir
03899006 Generic Malware Virus/Trojan No 0 Yes Yes C:\WINDOWS\UbiSoft\SetupUbi.exe
;===================================================================================================================================================================================
SUSPECTS
Sent Location }

;===================================================================================================================================================================================
No C:\WINDOWS\system32\Drivers\ntfs.sys }

No C:\Documents and Settings\Administrateur\Mes documents\Téléchargements\SmitfraudFix.exe }

No C:\Documents and Settings\david\Local Settings\Temp\BN2A.tmp }

No C:\Documents and Settings\david\msword98.exe }

No C:\Qoobox\Quarantine\C\WINDOWS\system32\braviax.exe.vir }

No C:\Qoobox\Quarantine\C\WINDOWS\system32\msword98.exe.vir }

No C:\WINDOWS\system32\dllcache\ntfs.sys }

;===================================================================================================================================================================================
VULNERABILITIES
Id Severity Description }

;===================================================================================================================================================================================
;===================================================================================================================================================================================

Bonne soirée !
0
knix05 Messages postés 41 Statut Membre > knix05 Messages postés 41 Statut Membre
 
Bonjour,

je crains que si j'ai de nouveau accès à mon compte le virus se réactive car je n'ai toujours pas nettoyer les deux fichiers suivants

No C:\Documents and Settings\david\Local Settings\Temp\BN2A.tmp }

No C:\Documents and Settings\david\msword98.exe }

Qu'en penses tu ?

De même, mon antivirus n'est pas activé en contrôle d'accès. Il ne fonctionne que quand je le lance pour scanner le disque dur.

Dernière question : est ce que c'est parce certains fichiers XP ont disparu que je ne peux plus accéder à mon compte ?

Voilà quelques wuestions j'hésite à me lancer dans la réparation XP avec mon CD préférant avoir un exemplaire XP ?
0
Réponse 18 / 53
jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 040
 
Télécharge OTM
http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
http://oldtimer.geekstogo.com/OTMoveIt3.exe (de Old_Timer) sur ton Bureau.

double-clique sur OTM.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTM :Paste instruction for items to be moved.
(attention bien mettre :files)

:processes
explorer.exe
:files
C:\Documents and Settings\david\Local Settings\Application Data\Downloaded Installations\{A4366A17-E432-4380-A0E4-9BFFA4B054A4}\CANAL+ CANALSAT A LA DEMANDE.msi
C:\Documents and Settings\david\Local Settings\Application Data\Downloaded Installations\{A4366A17-E432-4380-A0E4-9BFFA4B054A4}\CANAL+ CANALSAT A LA DEMANDE.msi[unk_0085]
C:\WINDOWS\Installer\1b46df6.msi
C:\WINDOWS\Installer\1b46df6.msi[unk_0114]
C:\Documents and Settings\david\Bureau\applis\eChanblard.exe
C:\Program Files\Mozilla Firefox\SmitfraudFix\IEDFix.C.exe
C:\Program Files\Mozilla Firefox\SmitfraudFix\404Fix.exe
C:\WINDOWS\system32\dllcache\beep.sys
C:\WINDOWS\UbiSoft\SetupUbi.exe
C:\Documents and Settings\Administrateur\Mes documents\Téléchargements\SmitfraudFix.exe
C:\Documents and Settings\david\Local Settings\Temp\BN2A.tmp
C:\Documents and Settings\david\msword98.exe
:commands
[purity]
[emptytemp]
[start explorer]

clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTM\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.
___________________________

lance tool cleaner et vire tout
https://www.commentcamarche.net/telecharger/securite/22061-toolscleaner/

_____________________________
répare windows;
https://www.commentcamarche.net/informatique/windows/25-verifier-et-reparer-des-fichiers-systeme-avec-windows-10/

______________________
encore des soucis??
refais panda et colle le rapport pour voir
0
knix05 Messages postés 41 Statut Membre
 
Voici le rapport mais après le redémarrage braviax.exe est revenu 30 secondes dans le gestionnaire de tâches.

All processes killed
========== PROCESSES ==========
Process explorer.exe killed successfully!
========== FILES ==========
File/Folder C:\Documents and Settings\david\Local Settings\Application Data\Downloaded Installations\{A4366A17-E432-4380-A0E4-9BFFA4B054A4}\CANAL+ CANALSAT A LA DEMANDE.msi not found.
File/Folder C:\Documents and Settings\david\Local Settings\Application Data\Downloaded Installations\{A4366A17-E432-4380-A0E4-9BFFA4B054A4}\CANAL+ CANALSAT A LA DEMANDE.msi[unk_0085] not found.
C:\WINDOWS\Installer\1b46df6.msi moved successfully.
File/Folder C:\WINDOWS\Installer\1b46df6.msi[unk_0114] not found.
File/Folder C:\Documents and Settings\david\Bureau\applis\eChanblard.exe not found.
C:\Program Files\Mozilla Firefox\SmitfraudFix\IEDFix.C.exe moved successfully.
File/Folder C:\Program Files\Mozilla Firefox\SmitfraudFix\404Fix.exe not found.
File/Folder C:\WINDOWS\system32\dllcache\beep.sys not found.
File/Folder C:\WINDOWS\UbiSoft\SetupUbi.exe not found.
File/Folder C:\Documents and Settings\Administrateur\Mes documents\Téléchargements\SmitfraudFix.exe not found.
File/Folder C:\Documents and Settings\david\Local Settings\Temp\BN2A.tmp not found.
File/Folder C:\Documents and Settings\david\msword98.exe not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrateur
->Temp folder emptied: 27891 bytes
->Temporary Internet Files folder emptied: 33269 bytes
->FireFox cache emptied: 84646712 bytes

User: All Users

User: david

User: Default User
->Temporary Internet Files folder emptied: 33170 bytes

User: Invité
File delete failed. C:\Documents and Settings\Invité\Local Settings\Temp\hsperfdata_Invité\3880 scheduled to be deleted on reboot.
->Temp folder emptied: 65536 bytes
->Temporary Internet Files folder emptied: 67 bytes
->Java cache emptied: 4779867 bytes
->FireFox cache emptied: 70128202 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 601994 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

%systemdrive% .tmp files removed: 1073741824 bytes
C:\WINDOWS\4DCA27399D164B55808CE72CD70A5BD3.TMP folder deleted successfully.
C:\WINDOWS\msdownld.tmp folder deleted successfully.
C:\WINDOWS\NV27442504.TMP folder deleted successfully.
%systemroot% .tmp files removed: 425090 bytes
%systemroot%\System32 .tmp files removed: 3710976 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 1885088 bytes

Total Files Cleaned = 1182,63 mb


OTM by OldTimer - Version 3.0.0.6 log created on 08142009_111411


Je fais tool cleaner.

Est ce que je vais être obligé de tout refaire ?
0
Réponse 19 / 53
knix05 Messages postés 41 Statut Membre
 
braviax.exe est de retour à chaque redémarrage !

C'est insupportable !

Je refais toutes les manips que tu m'as proposées !

Ou sinon je reste en mode sans échec toute ma vie !

J'attends de tes nouvelles.

Encore merci
0
knix05 Messages postés 41 Statut Membre
 
voici le rapport Avenger qui se crée chaque fois que je suis infecté je crois !

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:


Error: file "C:\WINDOWS\system32\drivers\beep.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\beep.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\KSZUUEES\Install[1].exe" not found!
Deletion of file "C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\KSZUUEES\Install[1].exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\braviax.exe" not found!
Deletion of file "C:\WINDOWS\system32\braviax.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\dllcache\beep.sys" not found!
Deletion of file "C:\WINDOWS\system32\dllcache\beep.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\dllcache\figaro.sys" not found!
Deletion of file "C:\WINDOWS\system32\dllcache\figaro.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\wisdstr.exe" not found!
Deletion of file "C:\WINDOWS\system32\wisdstr.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\temp\BN1.tmp" not found!
Deletion of file "C:\WINDOWS\temp\BN1.tmp" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\Documents and Settings\NetworkService\oashdihasidhasuidhiasdhiashdiuasdhasd" not found!
Deletion of file "C:\Documents and Settings\NetworkService\oashdihasidhasuidhiasdhiashdiuasdhasd" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\drivers\beep.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\beep.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\KSZUUEES\Install[1].exe" not found!
Deletion of file "C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\KSZUUEES\Install[1].exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\braviax.exe" not found!
Deletion of file "C:\WINDOWS\system32\braviax.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\dllcache\beep.sys" not found!
Deletion of file "C:\WINDOWS\system32\dllcache\beep.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\dllcache\figaro.sys" not found!
Deletion of file "C:\WINDOWS\system32\dllcache\figaro.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\wisdstr.exe" not found!
Deletion of file "C:\WINDOWS\system32\wisdstr.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\temp\BN1.tmp" not found!
Deletion of file "C:\WINDOWS\temp\BN1.tmp" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\Documents and Settings\NetworkService\oashdihasidhasuidhiasdhiashdiuasdhasd" not found!
Deletion of file "C:\Documents and Settings\NetworkService\oashdihasidhasuidhiasdhiashdiuasdhasd" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.

J'ai lancé stinger voici le rapport :

McAfee® Stinger Version 10.0.1.624 built on Jul 6 2009

Copyright © 2009 McAfee, Inc. All Rights Reserved.

Virus data file v1000 created on Jul 6 2009.

Ready to scan for 897 viruses, trojans and variants.



Scan initiated on Fri Aug 14 11:59:51 2009

C:\WINDOWS\system32\dllcache\beep.sys

Found the FakeAlert-C.dr trojan !!!

C:\WINDOWS\system32\dllcache\beep.sys has been deleted.

C:\WINDOWS\system32\dllcache\figaro.sys

Found the FakeAlert-C.dr trojan !!!

C:\WINDOWS\system32\dllcache\figaro.sys has been deleted.

C:\WINDOWS\system32\drivers\beep.sys

Found the FakeAlert-C.dr trojan !!!

C:\WINDOWS\system32\drivers\beep.sys has been deleted.

Number of clean files: 305678

Number of Trojans: 3

Number of files deleted: 3
0
Réponse 20 / 53
jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 040
 
ok fais le reste

braviax de retour a chaque demarrage? que veux tu dire? quel fichier est infecté?
0
knix05 Messages postés 41 Statut Membre
 
Braviax.exe dans le gestionnaire des tâches. Les fichiers infectés sont les mêmes à chaque fois. stinger les a effacés mais à chaque redémarrage il revient ...

Tools cleaner a supprimé des fichiers, c'est fait.
Et maintenant ?
0

Discussions similaires

Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
Désinstaller Softonic
Diguimette -
lilidurhone -

5 réponses
virus Artemis!
mabiche37 -
Malekal_morte- -

14 réponses
Message Apple virus !!
Souclik67 -
MPMP10 -

3 réponses