Sujet Précédent Sujet Suivant

Probable infection

Yabon -  
 Yabon -
Bonjour a tous,

je cherche une bonne ame pouvant m'aider a verifier si mon laptop est infecte et eventuellement me guider lors des etapes de desinfection. Je vis en Chine (raison de plus) et je constate depuis ces derniers temps des bugs de plus en plus prononces (curseur de souris saccade, son et video idem, bug lors de l'ouverture de IE), J'ai deja telecharge Hitjackthis et voici mon rapport, par avance merci pour votre aide :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 1:54:41 AM, on 8/18/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\S24EvMon.exe
C:\WINDOWS\System32\setrysvc.exe
C:\WINDOWS\System32\semwltry.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\RegSrvc.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\1XConfig.exe
C:\Program Files\Apoint\Apoint.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\semwltray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Apoint\Apntex.exe
C:\WINDOWS\system32\conime.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\PROGRA~1\FREEDO~1\fdm.exe
C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Program Files\Internet Explorer\iexplore.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdm2.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [ZCfgSvc.exe] C:\WINDOWS\system32\ZCfgSvc.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Sony Ericsson Wireless Manager UI] C:\WINDOWS\system32\semwltray
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [VoipBuster] "C:\Program Files\VoipBuster.com\VoipBuster\VoipBuster.exe" -nosplash -minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = %SystemRoot%\Installer\{AC76BA86-1033-F400-7760-000000000002}\SC_Acrobat.exe
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download video with Free Download Manager - file://C:\Program Files\Free Download Manager\dlfvideo.htm
O8 - Extra context menu item: Download with Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - ESC Trusted Zone: http://*.update.microsoft.com
O16 - DPF: {02CF1781-EA91-4FA5-A200-646E8241987C} (VaioInfo.CMClass) - https://www.sony.com/electronics/support
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase1140.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = kungao.com
O17 - HKLM\Software\..\Telephony: DomainName = kungao.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = kungao.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = kungao.com
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\system32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\system32\S24EvMon.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Sony Ericsson Wireless LAN Tray Service (setrysvc) - Unknown owner - C:\WINDOWS\System32\setrysvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

28 réponses

  • 1
  • 2
Réponse 1 / 28
jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
 
Hello ;

Je voudrais que tu vérifie 2 fichiers (il appartiennent certainement a Ericsson mais je n'en suis pas sur ).

Il va falloir analyser un ou des fichier(s) suspect(s) !

Il se peut qu'il se trouvent dans les " dossiers cachés " du systeme.
Il faut donc les rendre visibles pour le scan.

Pour afficher les dossiers et fichiers cachés:

Panneau de configuration > Options des dossiers > onglet Affichage.

Coche Afficher les fichiers et dossiers cachés,
Décoche Masquer les extensions de fichiers connus
Décoche Masquer les fichiers protégés du Système.
Un message de mise en garde va apparaitre. Clique sur OK pour confirmer ton choix.
Les fichiers et dossiers cachés du système apparaitront alors dans l'explorateur Windows en transparence.

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ces fichiers : C:\WINDOWS\System32\setrysvc.exe
C:\WINDOWS\System32\semwltry.exe
Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.
0
Réponse 2 / 28
Yabon
 
Un grand merci pour la reponse ultra-rapide, ci dessous les 2 rapports pour les 2 fichiers demandes :

Rapport pour setrysvc.exe :

File c300eb1c008f8ed7003001365b9a9800813f4b70.EXE received on 2009.04.26 10:15:51 (UTC)
Current status: finished

Result: 1/39 (2.56%)
Compact Print results
Antivirus Version Last Update Result
AhnLab-V3 5.0.0.2 2009.04.24 -
AntiVir 7.9.0.156 2009.04.25 -
Antiy-AVL 2.0.3.1 2009.04.24 Virus/Win32.Downloader
Authentium 5.1.2.4 2009.04.25 -
Avast 4.8.1335.0 2009.04.25 -
AVG 8.5.0.287 2009.04.25 -
BitDefender 7.2 2009.04.26 -
CAT-QuickHeal 10.00 2009.04.25 -
ClamAV 0.94.1 2009.04.26 -
Comodo 1130 2009.04.25 -
DrWeb 4.44.0.09170 2009.04.26 -
eSafe 7.0.17.0 2009.04.23 -
eTrust-Vet 31.6.6475 2009.04.24 -
F-Prot 4.4.4.56 2009.04.25 -
F-Secure 8.0.14470.0 2009.04.25 -
Fortinet 3.117.0.0 2009.04.26 -
GData 19 2009.04.26 -
Ikarus T3.1.1.49.0 2009.04.26 -
K7AntiVirus 7.10.716 2009.04.25 -
Kaspersky 7.0.0.125 2009.04.26 -
McAfee 5596 2009.04.25 -
McAfee+Artemis 5596 2009.04.25 -
McAfee-GW-Edition 6.7.6 2009.04.26 -
Microsoft 1.4602 2009.04.26 -
NOD32 4035 2009.04.25 -
Norman 2009.04.24 -
nProtect 2009.1.8.0 2009.04.26 -
Panda 10.0.0.14 2009.04.25 -
PCTools 4.4.2.0 2009.04.25 -
Prevx1 3.0 2009.04.26 -
Rising 21.26.62.00 2009.04.26 -
Sophos 4.41.0 2009.04.26 -
Sunbelt 3.2.1858.2 2009.04.24 -
Symantec 1.4.4.12 2009.04.26 -
TheHacker 6.3.4.1.314 2009.04.26 -
TrendMicro 8.700.0.1004 2009.04.25 -
VBA32 3.12.10.3 2009.04.25 -
ViRobot 2009.4.24.1708 2009.04.24 -
VirusBuster 4.6.5.0 2009.04.25 -
Additional information
File size: 65536 bytes
MD5 : 394d407883e5f1f6f5f87d0d0e796309
SHA1 : 33028db20052eb9a5beb40ea54b394cbe2530522
SHA256: 051c833ce327f2af66220eb957a5122b0b0f8ee6d31dfdbc02161ec44722007a
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x3EE2
timedatestamp.....: 0x41D9E153 (Tue Jan 4 01:20:35 2005)
machinetype.......: 0x14C (Intel I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x8175 0x9000 6.20 2de0ea1bd7a499686aabb0eceb0263c6
.rdata 0xA000 0x112A 0x2000 3.50 0f448faa77b3c69af62972fab1c61e3d
.data 0xC000 0x43E4 0x3000 1.44 207e53adc3f22a3e3aa321043b760653
.rsrc 0x11000 0xC8 0x1000 0.15 930d1941662de857c8bf5b8285ef7817

( 4 imports )

> advapi32.dll: DeleteService, RegCreateKeyExA, OpenThreadToken, OpenProcessToken, LookupPrivilegeValueA, AdjustTokenPrivileges, RegDeleteKeyA, CopySid, GetLengthSid, IsValidSid, LookupAccountNameA, GetUserNameA, StartServiceCtrlDispatcherA, ChangeServiceConfig2A, CloseServiceHandle, CreateServiceA, OpenSCManagerA, RegCloseKey, RegSetValueExA, RegCreateKeyA, QueryServiceStatus, ControlService, OpenServiceA, RegDeleteValueA, StartServiceA, RegisterServiceCtrlHandlerA, SetServiceStatus, DeregisterEventSource, ReportEventA, RegisterEventSourceA, RegQueryValueExA, RegOpenKeyExA
> kernel32.dll: GetACP, GetOEMCP, LoadLibraryA, GetStringTypeA, GetStringTypeW, WaitForSingleObject, GetCPInfo, IsBadCodePtr, IsBadReadPtr, SetUnhandledExceptionFilter, GetVersionExA, GetModuleFileNameA, Sleep, GetProcAddress, GetModuleHandleA, SetConsoleCtrlHandler, GetLastError, LocalFree, FormatMessageA, GlobalFree, GlobalAlloc, GetStdHandle, AllocConsole, OutputDebugStringA, CloseHandle, WaitForMultipleObjects, CreateEventA, SetEvent, CreateProcessA, SetErrorMode, GetCurrentProcessId, lstrcpyA, Process32Next, OpenProcess, ProcessIdToSessionId, Process32First, CreateToolhelp32Snapshot, TerminateProcess, GetCurrentProcess, GetCurrentThread, SetStdHandle, GetFileType, HeapFree, HeapAlloc, RtlUnwind, GetCommandLineA, GetVersion, ExitProcess, SetHandleCount, GetStartupInfoA, GetEnvironmentVariableA, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, HeapReAlloc, IsBadWritePtr, UnhandledExceptionFilter, FreeEnvironmentStringsA, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStrings, GetEnvironmentStringsW, WriteFile, FlushFileBuffers, SetFilePointer, MultiByteToWideChar, LCMapStringA, LCMapStringW
> user32.dll: BroadcastSystemMessageA, DefWindowProcA, CreateWindowExA, RegisterWindowMessageA, DestroyWindow, RegisterClassA
> wtsapi32.dll: WTSEnumerateSessionsA, WTSFreeMemory

( 0 exports )

TrID : File type identification
60.8% (.EXE) Win32 Executable MS Visual C++ (generic) (31206/45/13)
16.6% (.EXE) Win32 Executable Generic (8527/13/3)
14.7% (.DLL) Win32 Dynamic Link Library (generic) (7583/30/2)
3.9% (.EXE) Generic Win/DOS Executable (2002/3)
3.8% (.EXE) DOS Executable Generic (2000/1)
ssdeep: 768:p4WU8+3tbUXokjDLywk0YkXJR3b0SyQsAkPRGkHdiWVcux:fUtUXpz5/RyQaPRHVcux
PEiD : Armadillo v1.71
RDS : NSRL Reference Data Set

Rapport semwltry.exe :

File semwltry.exe received on 2009.04.25 17:11:26 (UTC)
Current status: finished

Result: 0/40 (0.00%)
Compact Print results
Antivirus Version Last Update Result
a-squared 4.0.0.101 2009.04.25 -
AhnLab-V3 5.0.0.2 2009.04.24 -
AntiVir 7.9.0.156 2009.04.25 -
Antiy-AVL 2.0.3.1 2009.04.24 -
Authentium 5.1.2.4 2009.04.25 -
Avast 4.8.1335.0 2009.04.25 -
AVG 8.5.0.287 2009.04.25 -
BitDefender 7.2 2009.04.25 -
CAT-QuickHeal 10.00 2009.04.25 -
ClamAV 0.94.1 2009.04.25 -
Comodo 1135 2009.04.25 -
DrWeb 4.44.0.09170 2009.04.25 -
eSafe 7.0.17.0 2009.04.23 -
eTrust-Vet 31.6.6475 2009.04.24 -
F-Prot 4.4.4.56 2009.04.25 -
F-Secure 8.0.14470.0 2009.04.25 -
Fortinet 3.117.0.0 2009.04.25 -
GData 19 2009.04.25 -
Ikarus T3.1.1.49.0 2009.04.25 -
K7AntiVirus 7.10.716 2009.04.25 -
Kaspersky 7.0.0.125 2009.04.25 -
McAfee 5596 2009.04.25 -
McAfee+Artemis 5596 2009.04.25 -
McAfee-GW-Edition 6.7.6 2009.04.25 -
Microsoft 1.4602 2009.04.25 -
NOD32 4035 2009.04.25 -
Norman 6.00.06 2009.04.24 -
nProtect 2009.1.8.0 2009.04.25 -
Panda 10.0.0.14 2009.04.25 -
PCTools 4.4.2.0 2009.04.25 -
Prevx1 3.0 2009.04.25 -
Rising 21.26.52.00 2009.04.25 -
Sophos 4.41.0 2009.04.25 -
Sunbelt 3.2.1858.2 2009.04.24 -
Symantec 1.4.4.12 2009.04.25 -
TheHacker 6.3.4.1.314 2009.04.25 -
TrendMicro 8.700.0.1004 2009.04.25 -
VBA32 3.12.10.3 2009.04.25 -
ViRobot 2009.4.24.1708 2009.04.24 -
VirusBuster 4.6.5.0 2009.04.25 -
Additional information
File size: 802920 bytes
MD5 : 790de63fbe7c44a4cedfa4770486b441
SHA1 : 660880300a0e5d7c8d9b7cb58d654fa2d879e0b9
SHA256: 33e9a41b3d16b64d10d5672e949a1e784400c824f6c814afb27779d4b521c8a0
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x3068C
timedatestamp.....: 0x41B8D182 (Thu Dec 9 23:28:18 2004)
machinetype.......: 0x14C (Intel I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x347A2 0x35000 6.24 0a18ef412e5068be25e28bdd2f7b00d9
.rdata 0x36000 0xB4F8 0xC000 4.54 a01ba6f343cdba435306171b2ba96717
.data 0x42000 0x7CC8 0x8000 5.22 33e3fefdd0026565c736f6050821c6dc
.rsrc 0x4A000 0x799A0 0x7A000 4.67 7488efd87ee536ffacd7e34e3482f471

( 16 imports )

> advapi32.dll: RegSetValueExA, CryptHashData, CryptDeriveKey, OpenServiceA, StartServiceA, CreateServiceA, OpenSCManagerA, CloseServiceHandle, RegEnumKeyExA, RegNotifyChangeKeyValue, RegEnumValueA, RegDeleteValueA, RegDeleteKeyA, RegQueryValueExA, CryptEncrypt, CryptDecrypt, CryptDestroyHash, CryptAcquireContextA, CryptGetUserKey, CryptGenKey, CryptReleaseContext, CryptDestroyKey, GetUserNameA, CryptCreateHash, RegOpenKeyExA, RegCreateKeyExA, RegCloseKey
> cfgmgr32.dll: CM_Get_Device_IDA, CM_Get_DevNode_Status, CM_Locate_DevNodeA
> crypt32.dll: CertFindExtension, CertGetNameStringA, CryptDecodeObject, CertGetCertificateContextProperty, CertOpenSystemStoreA, CertFindCertificateInStore, CertCloseStore, CertFreeCertificateContext, CertDuplicateCertificateContext, CertOpenStore
> iphlpapi.dll: GetIfEntry, GetAdaptersInfo
> kernel32.dll: SetEvent, GetFileAttributesA, DeleteFileA, GetComputerNameA, EnterCriticalSection, DeleteCriticalSection, LeaveCriticalSection, GetSystemInfo, FreeLibrary, InitializeCriticalSection, WaitForSingleObject, GetExitCodeProcess, CreateProcessA, GetProcAddress, LoadLibraryA, CloseHandle, GetVersionExA, GetWindowsDirectoryA, GetModuleFileNameA, GetLastError, EnumResourceNamesA, ExpandEnvironmentStringsA, FindResourceExA, LoadLibraryW, LoadResource, GetModuleHandleA, lstrcpyA, GetUserDefaultLangID, LockResource, FindResourceA, CreateEventA, GetFileSize, CreateFileA, ReadFile, CreateMutexA, lstrcmpA, SetUnhandledExceptionFilter, Sleep, lstrcmpiA, SizeofResource, TlsAlloc, TlsSetValue, GetLocaleInfoA, WinExec, OpenProcess, TlsGetValue, Process32First, CreateToolhelp32Snapshot, Process32Next, HeapAlloc, GetProcessHeap, HeapFree, UnmapViewOfFile, MapViewOfFile, GetCurrentProcess, LocalFree, CopyFileA, CreateFileMappingA, GetOverlappedResult, DeviceIoControl, GetFileAttributesExA, GetStartupInfoA, SetLastError, ResetEvent, GetTempPathA
> mfc42.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
> msvcp60.dll: __1_Lockit@std@@QAE@XZ, __0_Lockit@std@@QAE@XZ, ___D_$basic_ofstream@DU_$char_traits@D@std@@@std@@QAEXXZ, __1_$basic_ostream@DU_$char_traits@D@std@@@std@@UAE@XZ, __1_$basic_ios@DU_$char_traits@D@std@@@std@@UAE@XZ, __1ios_base@std@@UAE@XZ, __1_$basic_filebuf@DU_$char_traits@D@std@@@std@@UAE@XZ, _clear@ios_base@std@@QAEXH_N@Z, _write@_$basic_ostream@DU_$char_traits@D@std@@@std@@QAEAAV12@PBDH@Z, _setstate@_$basic_ios@DU_$char_traits@D@std@@@std@@QAEXH_N@Z, __Initcvt@_$basic_filebuf@DU_$char_traits@D@std@@@std@@IAEXXZ, __Init@_$basic_filebuf@DU_$char_traits@D@std@@@std@@IAEXPAU_iobuf@@W4_Initfl@12@@Z, ___Fiopen@std@@YAPAU_iobuf@@PBDH@Z, ___7_$basic_ofstream@DU_$char_traits@D@std@@@std@@6B@, __0_$basic_filebuf@DU_$char_traits@D@std@@@std@@QAE@PAU_iobuf@@@Z, _init@_$basic_ios@DU_$char_traits@D@std@@@std@@IAEXPAV_$basic_streambuf@DU_$char_traits@D@std@@@2@_N@Z, ___7_$basic_ostream@DU_$char_traits@D@std@@@std@@6B@, ___7_$basic_ios@DU_$char_traits@D@std@@@std@@6B@, __0ios_base@std@@IAE@XZ, ___8_$basic_ofstream@DU_$char_traits@D@std@@@std@@7B@, __0logic_error@std@@QAE@ABV01@@Z, __0out_of_range@std@@QAE@ABV01@@Z, __1out_of_range@std@@UAE@XZ, __1_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAE@XZ, ___7out_of_range@std@@6B@, __0logic_error@std@@QAE@ABV_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@1@@Z, _assign@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAEAAV12@PBDI@Z, __Tidy@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@AAEX_N@Z, __0out_of_range@std@@QAE@ABV_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@1@@Z
> msvcrt.dll: sprintf, atol, clock, printf, isspace, isxdigit, fclose, wcsncpy, _strdup, free, _ftol, time, _CxxThrowException, _except_handler3, __0exception@@QAE@ABV0@@Z, _itoa, _snprintf, memset, fprintf, strcat, strcpy, memcpy, strstr, strrchr, __dllonexit, _onexit, __1type_info@@UAE@XZ, _exit, _XcptFilter, exit, _acmdln, __getmainargs, _initterm, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, __set_app_type, _iob, malloc, strncpy, _mbstok, strtoul, srand, rand, fgetws, _controlfp, atoi, _strcmpi, _mbsicmp, _access, _mbscmp, __CxxFrameHandler, _purecall, _setmbcp
> ole32.dll: ProgIDFromCLSID, StringFromCLSID, CoCreateGuid, CoTaskMemFree
> oleaut32.dll: -, -, -, -, -, -
> powrprof.dll: GetCurrentPowerPolicies
> semwle5.dll: @AcContextConfigTLSCredentialsA@28, @AcBindSCardA@12, @AcSCardGetInfoA@8, @AcAdapterAuthenticateStop@4, @AcContextRelease@4, @AcGlobalConfigLoginCallback@8, @AcGlobalOpenContextA@4, @AcContextConfigMd5CredentialsA@12, @AcContextConfigTTLSCredentialsA@40, @AcAdapterCfgSpecial@12, @AcContextConfigPeapCredentialsA@40, @AcContextConfigFASTCredentialsA@36, @AcStatusNumber@4, @AcContextType@4, @AcContextFASTGetAID@12, @AcGlobalConfigCertStores@20, @AcContextConfigWpa@8, @AcStatusFormatA@12, @AcAdapterQuery@8, @AcAdapterAuthenticate@8, @AcContextConfigResumption@8, @AcCredentialsNumber@4, @AcAdapterGetSessionKeys@8, @AcIterateAdaptersNext@4, @AcAdapterGetNameA@12, @AcIterateSCardsNext@4, @AcIterateSCards@4, @AcAdapterGetMacAddress@8, @AcIterateAdapters@4, @AcContextFASTGetPACData@12, @AcGetLogErrorA@20, @AcStatusRelatedContext@4
> shell32.dll: ShellExecuteA
> user32.dll: TranslateMessage, PostQuitMessage, UnregisterDeviceNotification, DispatchMessageA, SetDlgItemTextA, SetMenuItemInfoA, EnableWindow, RegisterDeviceNotificationA, InvalidateRect, GetDesktopWindow, BroadcastSystemMessage, PeekMessageA, PostMessageA, IsWindow, GetWindow, LoadStringA, RegisterWindowMessageA, SetTimer, SetProcessWindowStation, CloseWindowStation, CloseDesktop, RemovePropA, GetClassInfoA, SendMessageA, UpdateWindow, MessageBoxA, KillTimer, GetPropA, EnumThreadWindows, GetWindowThreadProcessId, SetWindowLongA
> version.dll: GetFileVersionInfoA, VerQueryValueA, GetFileVersionInfoSizeA
> wininet.dll: HttpQueryInfoA, InternetQueryOptionA, InternetErrorDlg, HttpSendRequestExA, InternetWriteFile, InternetConnectA, HttpEndRequestA, InternetReadFile, HttpOpenRequestA, InternetCloseHandle, InternetOpenA, InternetSetOptionA, HttpSendRequestA, InternetCanonicalizeUrlA

( 1 exports )

> ir_adapter_list, ir_bind, ir_exit, ir_init, ir_queryinformation, ir_setinformation, ir_unbind, ir_wmibind
TrID : File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
ssdeep: 6144:UolDO7Ttd7ozaclve3E5BVgJr+6DTAnzl2pnk+v2PwVmfNPoB:jDO7Tt7UFgJpAnzl2v2Pw7
PEiD : Armadillo v1.71
RDS : NSRL Reference Data Set
0
Réponse 3 / 28
jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
 
RAS pour ces deux fichiers ....

Maintenant fait ceci :

Télécharge ici :

http://images.malwareremoval.com/random/RSIT.exe

random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.

Double-clique sur RSIT.exe afin de lancer RSIT.

Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions).

Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

Poste le contenu de log.txt (<<qui sera affiché)
ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

NB : Les rapports sont sauvegardés dans le dossier C:\rsit

Aide en images si besoin
0
Réponse 4 / 28
Yabon
 
Ci dessous les 2 rapports :

Logfile of random's system information tool 1.06 (written by random/random)
Run by YD at 2009-08-18 06:16:54
Microsoft Windows XP Professional Service Pack 2
System drive C: has 7 GB (28%) free of 25 GB
Total RAM: 1018 MB (36% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 6:17:06 AM, on 8/18/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\S24EvMon.exe
C:\WINDOWS\System32\setrysvc.exe
C:\WINDOWS\System32\semwltry.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\RegSrvc.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\1XConfig.exe
C:\Program Files\Apoint\Apoint.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\semwltray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Apoint\Apntex.exe
C:\WINDOWS\system32\conime.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\PROGRA~1\FREEDO~1\fdm.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Documents and Settings\yannick dervault\Desktop\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\Yannick DERVAULT.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdm2.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [ZCfgSvc.exe] C:\WINDOWS\system32\ZCfgSvc.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Sony Ericsson Wireless Manager UI] C:\WINDOWS\system32\semwltray
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [VoipBuster] "C:\Program Files\VoipBuster.com\VoipBuster\VoipBuster.exe" -nosplash -minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = %SystemRoot%\Installer\{AC76BA86-1033-F400-7760-000000000002}\SC_Acrobat.exe
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download video with Free Download Manager - file://C:\Program Files\Free Download Manager\dlfvideo.htm
O8 - Extra context menu item: Download with Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - ESC Trusted Zone: http://*.update.microsoft.com
O16 - DPF: {02CF1781-EA91-4FA5-A200-646E8241987C} (VaioInfo.CMClass) - https://www.sony.com/electronics/support
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase1140.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = kungao.com
O17 - HKLM\Software\..\Telephony: DomainName = kungao.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = kungao.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = kungao.com
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\system32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\system32\S24EvMon.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Sony Ericsson Wireless LAN Tray Service (setrysvc) - Unknown owner - C:\WINDOWS\System32\setrysvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 28
jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
 
• Télécharge et install UsbFix par Chiquitine29

(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

• Double clic sur le raccourci UsbFix présent sur ton bureau .

• Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

• Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]

• Laisse travailler l'outil.

• Ensuite post le rapport UsbFix.txt qui apparaitra.

• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

• Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

• Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html
0
Réponse 6 / 28
Yabon
 
Petite precision qui peut etre importante : je rencontre les problemes sans que mes periheriques usb soient connectes, peut qu'il est inutile de faire cette procedure ? Sinon je suis tes conseils et j'y vais.
0
Réponse 7 / 28
Yabon
 
Aie le lien que tu m'as donne pour telecharger usbfix ne marche pas depuis chez moi (la Chine..)..est-ce que je peux le trouver ailleurs ?
0
Réponse 8 / 28
jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
 
Je viens d'essayer le lien et il fonctionne tres bien ?!
0
Réponse 9 / 28
Yabon
 
Depuis la France oui, en Chine nous avons un firewall et beaucoup de sites sont inaccessibles (exemple : facebook..)..Vois ti une autre soution pour que je puisse telacherger ce soft ?
Merci
0
Réponse 10 / 28
Yabon
 
J'ai finalement reussi a le telecharger via un proxy et je posterai le rapport prochainement (il faut que je recupere tous mes peripheriques usb). A tres vite.
0
Réponse 11 / 28
jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
 
J'était un peu occupé mais je suis présent .....

@ te lire .
0
Réponse 12 / 28
Yabon
 
Salut,

Pas de probleme;) ci dessous rapport usbfix, petite remarque je n'ai pas branche mon Nokia qui peut lui aussi s'apparenter a disque dur externe, je le ferai si necessaire plus tard :

############################## | UsbFix V6.018 |

User : () # YANNICK
Update on 16/08/09 by Chiquitine29 & C_XX
Start at: 6:49:40 AM | 8/19/2009
Website : http://pagesperso-orange.fr/NosTools/index.html

Intel(R) Pentium(R) M processor 1000MHz
Microsoft Windows XP Professional (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 7.0.5730.13
Windows Firewall Status : Disabled
AV : avast! antivirus 4.8.1335 [VPS 090818-0] 4.8.1335 [ Enabled | Updated ]

C:\ -> Local Fixed Disk # 24.42 Go (6.76 Go free) # NTFS
D:\ -> Local Fixed Disk # 12.82 Go (3.26 Go free) # NTFS
E:\ -> Removable Disk
F:\ -> CD-ROM Disc
G:\ -> Local Fixed Disk # 232.88 Go (180.63 Go free) [OneTouch 4] # NTFS
H:\ -> CD-ROM Disc # 3.79 Mo (0 Mo free) [U3 System] # CDFS
I:\ -> Removable Disk # 927.45 Mo (821.14 Mo free) [Intuix key] # FAT
Z:\ -> Network Connection # 78.13 Go (11.64 Go free) [3-3] # NTFS

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\setrysvc.exe
C:\WINDOWS\System32\semwltry.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\RegSrvc.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\1XConfig.exe
C:\Program Files\Apoint\Apoint.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\semwltray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Apoint\Apntex.exe
C:\WINDOWS\system32\conime.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\PROGRA~1\FREEDO~1\fdm.exe
C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
D:\Netgmt 4.3.7.1\bin\iwInstall.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Documents and Settings\yannick dervault\Application Data\U3\0CE1EA60A26128D1\LaunchPad.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |

Pr閟ent ! G:\autorun.inf
Pr閟ent ! H:\autorun.inf

################## | Suspect ! ... | https://www.virustotal.com/gui/ |

################## | Registre # Cl閟 Run infectieuses |

Pr閟ent ! HKLM\software\microsoft\security center "AntiVirusDisableNotify" ( 0x1 )
Pr閟ent ! HKLM\software\microsoft\security center "FirewallDisableNotify" ( 0x1 )
Pr閟ent ! HKLM\software\microsoft\security center "UpdatesDisableNotify" ( 0x1 )

################## | Registre # Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{0e0254f8-4dc3-11de-8e08-000423899e95}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe pagefile.sys.vbs

################## | Cracks / Keygens / Serials |

################## | ! Fin du rapport # UsbFix V6.018 ! |
0
Réponse 13 / 28
jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
 
(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

• Double clic sur le raccourci UsbFix présent sur ton bureau

• Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

• Au second menu Choisis l'option " 2 " ( Suppression ) et tape sur [entrée]

• Ton bureau disparaitra et le pc redémarrera .

• Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.

• Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
0
Réponse 14 / 28
Yabon
 
Ci-joint le rapport apres suppression UsbFix :

############################## | UsbFix V6.018 |

User : () # YANNICK
Update on 16/08/09 by Chiquitine29 & C_XX
Start at: 2:31:43 PM | 8/19/2009
Website : http://pagesperso-orange.fr/NosTools/index.html

Intel(R) Pentium(R) M processor 1000MHz
Microsoft Windows XP Professional (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 7.0.5730.13
Windows Firewall Status : Disabled
AV : avast! antivirus 4.8.1335 [VPS 090818-0] 4.8.1335 [ Enabled | Updated ]

C:\ -> Local Fixed Disk # 24.42 Go (6.67 Go free) # NTFS
D:\ -> Local Fixed Disk # 12.82 Go (3.25 Go free) # NTFS
E:\ -> Removable Disk
F:\ -> CD-ROM Disc
G:\ -> Local Fixed Disk # 232.88 Go (180.63 Go free) [OneTouch 4] # NTFS
H:\ -> CD-ROM Disc # 3.79 Mo (0 Mo free) [U3 System] # CDFS
I:\ -> Removable Disk # 927.45 Mo (821.14 Mo free) [Intuix key] # FAT
Z:\ -> Network Connection # 78.13 Go (11.68 Go free) [3-3] # NTFS

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\setrysvc.exe
C:\WINDOWS\System32\semwltry.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\RegSrvc.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\1XConfig.exe
C:\WINDOWS\system32\conime.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |

Supprim?! G:\autorun.inf
Non supprim?! H:\autorun.inf

################## | Autres |

################## | Suspect ! ... | https://www.virustotal.com/gui/ |

################## | Registre # Cl閟 Run infectieuses |

# HKLM\software\microsoft\security center "AntiVirusDisableNotify" # -> Reset sucessfully !
# HKLM\software\microsoft\security center "FirewallDisableNotify" # -> Reset sucessfully !
# HKLM\software\microsoft\security center "UpdatesDisableNotify" # -> Reset sucessfully !

################## | Registre # Mountpoints2 |

Supprim?! HKCU\...\Explorer\MountPoints2\{0e0254f8-4dc3-11de-8e08-000423899e95}\Shell\AutoRun\Command

################## | Listing des fichiers pr閟ent |

[09/11/2008 12:20 PM|---------|0] -> C:\AUTOEXEC.BAT
[07/16/2009 01:19 PM|---hs----|211] -> C:\boot.ini
[09/11/2008 12:20 PM|---------|0] -> C:\CONFIG.SYS
[09/11/2008 12:20 PM|-rahs----|0] -> C:\IO.SYS
[09/11/2008 12:20 PM|-rahs----|0] -> C:\MSDOS.SYS
[08/04/2004 08:00 PM|-rahs----|47564] -> C:\NTDETECT.COM
[08/04/2004 08:00 PM|-rahs----|250032] -> C:\ntldr
[?|?|?] -> C:\pagefile.sys
[06/22/2009 09:49 AM|--a------|190] -> C:\rapport_clean.txt
[06/22/2009 09:48 AM|--a------|200] -> C:\resultat_clean.txt
[06/22/2009 09:47 AM|--a------|17597739] -> C:\upload_moi_KUNGAO.tar.gz
[08/19/2009 02:38 PM|--a------|3486] -> C:\UsbFix.txt
[03/15/2005 10:09 AM|---h-----|2251] -> D:\Def-CSD.csv
[12/15/2005 07:25 AM|---h-----|6324] -> D:\Def-GPRS.csv
[02/28/2005 04:41 PM|---h-----|502235] -> D:\GC89Help.chm
[03/10/2005 10:20 AM|---h-----|1256655] -> D:\GC89UG.pdf
[03/12/2005 10:41 AM|---h-----|811113] -> D:\GCXXManager.exe
[03/12/2005 10:45 AM|---h-----|245864] -> D:\GCXX_RC.dll
[03/22/2005 10:52 AM|---h-----|2170] -> D:\Modems.ini
[12/21/2004 12:20 PM|---h-----|401462] -> D:\MSVCP60.DLL
[12/21/2004 12:20 PM|---h-----|38130] -> D:\notify.wav
[07/27/2007 04:37 PM|--ah-----|138791336] -> D:\Office2003SP3-KB923618-FullFile-FRA.exe
[03/14/2005 08:56 AM|---h-----|8185] -> D:\readme.txt
[02/03/2005 12:47 PM|---h-----|953341] -> D:\semwlhlp.chm
[04/07/2009 09:25 AM|--a------|338] -> D:\Shortcut to YAN.lnk
[05/16/2007 12:08 AM|--a------|370414] -> G:\mxoicon5.ico
[02/14/2006 03:08 AM|-r-------|145] -> H:\autorun.inf
[02/21/2006 07:34 PM|-r-------|2998778] -> H:\LaunchPad.zip
[02/14/2006 03:09 AM|-r-------|921600] -> H:\LaunchU3.exe
[07/22/2008 08:45 AM|--a------|2802] -> I:\BOOTEX.LOG
[11/07/2008 01:42 PM|--a------|48128] -> I:\Quotation for AL. door and window.xls
[12/07/2008 03:44 PM|--a------|4450304] -> I:\LOLA Shop Concept Price list 07.12.2008.xls
[12/09/2008 11:53 AM|--a------|22528] -> I:\Table_Guide_FR.doc
[05/31/2009 05:14 PM|--a------|7543] -> I:\HM-F-03.JPG
[12/17/2008 11:34 AM|--ah-----|4096] -> I:\._.Trashes
[05/31/2009 05:13 PM|--a------|15868] -> I:\HM-C-37 Elena.JPG
[06/01/2009 04:48 PM|--a------|24358] -> I:\EuropCar- RESERVATION CONFIRMATION.pdf
[06/01/2009 04:02 PM|--a------|296] -> I:\WMPInfo.xml
[02/13/2006 09:09 PM|-ra------|921600] -> I:\LaunchU3.exe
[07/02/2008 05:25 PM|---------|184320] -> Z:\FICHE FOURNISSEUR Kungao (to be modified).doc
[05/18/2009 08:54 AM|---------|28868320] -> Z:\FileFormatConverters.exe
[08/17/2009 09:33 AM|--a------|48640] -> Z:\Finance Reimbursement财务报销.xls
[08/10/2009 10:59 AM|---------|26] -> Z:\log.txt
[01/14/2009 01:49 PM|---------|17649152] -> Z:\lola RS9 MasterFile to change.xls
[05/13/2009 05:01 PM|---------|4552368] -> Z:\mx_2.5.1.4751cn.exe
[07/18/2007 03:43 PM|---------|171008] -> Z:\NEW TFT.xls
[07/02/2008 12:32 PM|---------|55296] -> Z:\organization chart.doc
[08/18/2009 05:07 PM|--a------|84480] -> Z:\Packing List New Template.xls
[02/24/2009 10:04 AM|---------|79360] -> Z:\packing list template.xls
[06/26/2009 09:27 AM|---------|94208] -> Z:\payment application form & Chinese付款申请表.xls
[05/25/2007 07:05 PM|---------|23552] -> Z:\Pricing Board Template.xls
[01/21/2009 05:55 PM|---------|29696] -> Z:\Production- Collection Plan.xls
[06/29/2009 05:36 PM|---------|55808] -> Z:\PROJECT NETGARMENT (2).doc
[11/07/2008 01:42 PM|---------|48128] -> Z:\Quotation for AL. door and window.xls
[08/11/2009 05:06 PM|---------|25088] -> Z:\Reach update.xls
[02/20/2009 01:33 PM|---------|25600] -> Z:\SHIPPING SHEET.xls
[05/26/2009 10:45 AM|---hs----|225280] -> Z:\Thumbs.db
[08/14/2009 03:16 PM|---------|27] -> Z:\upgradeserver.cfg
[03/02/2009 11:58 AM|---h-----|162] -> Z:\~$整理.doc
[07/31/2009 05:56 PM|--a------|202240] -> Z:\各厂家联系表.xls
[09/09/2008 03:58 PM|---------|26624] -> Z:\增值税发票信息 Kungao VAT.doc
[06/15/2009 01:56 PM|---------|7616000] -> Z:\整理.doc

################## | Cracks / Keygens / Serials |
0
Réponse 15 / 28
Yabon
 
Je ne sais pas si c'est lie mais je trouve deja beaucoup plus de fluidite dans mes navigations de base (cursuer souris, saisie clavier..) :)))
0
Réponse 16 / 28
jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
 
Ok ,on continu :

Télécharges ComboFix à partir d'un de ces liens :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
https://forospyware.com
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/

Et important, enregistre le sur le bureau.

Avant d'utiliser ComboFix :

? Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

? Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
la protection en temps réel de ton Antivirus et de tes Antispywares,
qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt,.
est automatiquement sauvegardé et rangé à C:\Combofix.txt)

? Réactive la protection en temps réel de ton Antivirus et de tes Antispywares,
avant de te reconnecter à internet.

? Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
0
Réponse 17 / 28
Yabon
 
Et voila le rapport ComboFix :

ComboFix 09-08-10.06 - Yannick 9/2009 Wed 16:40.1.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.936.86.1033.18.1018.660 [GMT 8:00]
执行位置: c:\documents and settings\yannick \Desktop\ComboFix.exe
AV: avast! antivirus 4.8.1335 [VPS 090818-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

注意 - 这台电脑没有安装恢复控制台 !!
.
- 降低功能模式 -
.

((((((((((((((((((((((((( 2009-07-19 至 2009-08-19 的新的档案 )))))))))))))))))))))))))))))))
.

2009-08-18 22:48 . 2009-08-19 06:38 -------- d-----w- C:\UsbFix
2009-08-17 22:16 . 2009-08-17 22:17 -------- d-----w- C:\rsit
2009-08-17 06:34 . 2009-08-17 06:34 -------- d-----w- c:\program files\Trend Micro
2009-08-14 08:22 . 2009-08-14 08:22 -------- d-----w- c:\windows\ServicePackFiles

.
(((((((((((((((((((((((((((((((((((((((( 在三个月内被修改的档案 ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-19 08:36 . 2008-10-10 04:18 -------- d-----w- c:\documents and settings\yannick \Application Data\Skype
2009-08-19 08:34 . 2009-02-22 05:16 -------- d-----w- c:\documents and settings\yannick \Application Data\Free Download Manager
2009-08-18 22:43 . 2008-10-24 01:13 -------- d-----w- c:\documents and settings\yannick \Application Data\U3
2009-08-05 09:11 . 2004-08-04 12:00 204800 ----a-w- c:\windows\system32\mswebdvd.dll
2009-07-21 03:28 . 2008-09-11 12:19 -------- d-----w- c:\program files\Google
2009-07-17 18:55 . 2004-08-04 12:00 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-17 03:40 . 2008-10-07 13:02 30832 ----a-w- c:\documents and settings\yannick \Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-07-16 05:17 . 2008-11-28 08:08 -------- d-----w- c:\program files\FlashFXP
2009-07-16 05:17 . 2008-11-16 05:00 -------- d-----w- c:\documents and settings\yannick \Application Data\Azureus
2009-07-14 07:01 . 2008-11-16 04:59 -------- d-----w- c:\program files\Vuze
2009-07-14 06:57 . 2008-09-11 04:30 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-07-12 18:18 . 2004-08-04 12:00 233472 ----a-w- c:\windows\system32\wmpdxm.dll
2009-06-30 06:33 . 2009-06-30 06:27 -------- d-----w- c:\program files\Spybot - Search & Destroy
2009-06-30 06:33 . 2009-06-30 06:27 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-06-29 16:12 . 2004-08-04 12:00 827392 ----a-w- c:\windows\system32\wininet.dll
2009-06-29 16:12 . 2004-08-04 12:00 78336 ----a-w- c:\windows\system32\ieencode.dll
2009-06-29 16:12 . 2004-08-04 12:00 17408 ------w- c:\windows\system32\corpol.dll
2009-06-28 06:37 . 2009-06-27 10:28 -------- d-----w- c:\documents and settings\yannick \Application Data\VoipBuster
2009-06-27 10:26 . 2009-06-27 10:26 -------- d-----w- c:\program files\VoipBuster.com
2009-06-27 05:35 . 2009-05-22 10:31 -------- d-----w- c:\documents and settings\yannick \Application Data\Nokia
2009-06-25 18:36 . 2004-08-04 12:00 95744 ----a-w- c:\windows\system32\mqsec.dll
2009-06-25 18:36 . 2004-08-04 12:00 661504 ----a-w- c:\windows\system32\mqqm.dll
2009-06-25 18:36 . 2004-08-04 12:00 517120 ----a-w- c:\windows\system32\mqsnap.dll
2009-06-25 18:36 . 2004-08-04 12:00 48640 ----a-w- c:\windows\system32\mqupgrd.dll
2009-06-25 18:36 . 2004-08-04 12:00 471552 ----a-w- c:\windows\system32\mqutil.dll
2009-06-25 18:36 . 2004-08-04 12:00 47104 ----a-w- c:\windows\system32\mqdscli.dll
2009-06-25 18:36 . 2004-08-04 12:00 225280 ----a-w- c:\windows\system32\mqoa.dll
2009-06-25 18:36 . 2004-08-04 12:00 186880 ----a-w- c:\windows\system32\mqtrig.dll
2009-06-25 18:36 . 2004-08-04 12:00 177152 ----a-w- c:\windows\system32\mqrt.dll
2009-06-25 18:36 . 2004-08-04 12:00 16896 ----a-w- c:\windows\system32\mqise.dll
2009-06-25 18:36 . 2004-08-04 12:00 138240 ----a-w- c:\windows\system32\mqad.dll
2009-06-25 18:36 . 2004-08-04 12:00 123392 ----a-w- c:\windows\system32\mqrtdep.dll
2009-06-25 08:44 . 2004-08-04 12:00 724480 ----a-w- c:\windows\system32\lsasrv.dll
2009-06-25 08:44 . 2004-08-04 12:00 59392 ----a-w- c:\windows\system32\wdigest.dll
2009-06-25 08:44 . 2004-08-04 12:00 56320 ----a-w- c:\windows\system32\secur32.dll
2009-06-25 08:44 . 2004-08-04 12:00 298496 ----a-w- c:\windows\system32\kerberos.dll
2009-06-25 08:44 . 2004-08-04 12:00 168448 ----a-w- c:\windows\system32\schannel.dll
2009-06-25 08:44 . 2004-08-04 12:00 133632 ----a-w- c:\windows\system32\msv1_0.dll
2009-06-23 08:41 . 2008-10-10 04:17 -------- d-----r- c:\program files\Skype
2009-06-23 08:41 . 2008-10-10 04:17 -------- d-----w- c:\documents and settings\All Users\Application Data\Skype
2009-06-23 08:41 . 2009-06-23 08:41 -------- d-----w- c:\program files\Common Files\Skype
2009-06-23 04:55 . 2009-06-23 04:55 -------- d-----w- c:\program files\Common Files\PCSuite
2009-06-23 04:55 . 2009-05-22 10:29 -------- d-----w- c:\program files\Common Files\Nokia
2009-06-23 04:55 . 2009-05-22 10:28 -------- d-----w- c:\program files\Nokia
2009-06-23 04:53 . 2009-05-22 10:29 -------- d-----w- c:\program files\DIFX
2009-06-23 04:53 . 2009-06-23 04:53 -------- d-----w- c:\program files\PC Connectivity Solution
2009-06-23 04:50 . 2009-06-23 04:50 95232 ----a-w- c:\documents and settings\All Users\Application Data\Installations\{55495E65-7C5B-48E4-BC7D-DE54F3DE5ED6}\Installer\CommonCustomActions\pcswpcsi.exe
2009-06-23 04:50 . 2009-06-23 04:50 8192 ----a-w- c:\documents and settings\All Users\Application Data\Installations\{55495E65-7C5B-48E4-BC7D-DE54F3DE5ED6}\Installer\CommonCustomActions\UninstCCD.exe
2009-06-23 04:50 . 2009-06-23 04:50 61440 ----a-w- c:\documents and settings\All Users\Application Data\Installations\{55495E65-7C5B-48E4-BC7D-DE54F3DE5ED6}\Installer\CommonCustomActions\UninstPCSFEMsi.exe
2009-06-23 04:50 . 2009-06-23 04:50 10240 ----a-w- c:\documents and settings\All Users\Application Data\Installations\{55495E65-7C5B-48E4-BC7D-DE54F3DE5ED6}\Installer\CommonCustomActions\UninstPCS.exe
2009-06-23 04:50 . 2009-05-22 10:25 -------- d-----w- c:\documents and settings\All Users\Application Data\Installations
2009-06-23 04:49 . 2009-06-23 04:51 33775224 ----a-w- c:\documents and settings\All Users\Application Data\Installations\{55495E65-7C5B-48E4-BC7D-DE54F3DE5ED6}\Nokia_PC_Suite_7_1_30_8_eng.exe
2009-06-22 11:49 . 2004-08-04 12:00 19968 ----a-w- c:\windows\system32\mqbkup.exe
2009-06-22 11:49 . 2004-08-04 12:00 117248 ----a-w- c:\windows\system32\mqtgsvc.exe
2009-06-22 11:49 . 2004-08-04 12:00 4608 ----a-w- c:\windows\system32\mqsvc.exe
2009-06-22 11:48 . 2004-08-04 12:00 91776 ----a-w- c:\windows\system32\drivers\mqac.sys
2009-06-22 11:34 . 2004-08-04 12:00 92544 ----a-w- c:\windows\system32\drivers\ksecdd.sys
2009-06-16 14:55 . 2004-08-04 12:00 82432 ----a-w- c:\windows\system32\fontsub.dll
2009-06-16 14:55 . 2004-08-04 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-06-12 11:50 . 2004-08-04 12:00 80896 ----a-w- c:\windows\system32\tlntsess.exe
2009-06-12 11:50 . 2004-08-04 12:00 76288 ----a-w- c:\windows\system32\telnet.exe
2009-06-12 05:03 . 2009-06-12 05:03 152576 ----a-w- c:\documents and settings\yannick \Application Data\Sun\Java\jre1.6.0_14\lzma.dll
2009-06-10 14:21 . 2004-08-04 12:00 84992 ----a-w- c:\windows\system32\avifil32.dll
2009-06-10 06:32 . 2004-08-04 12:00 132096 ----a-w- c:\windows\system32\wkssvc.dll
2009-06-05 07:42 . 2008-09-11 04:13 655872 ----a-w- c:\windows\system32\mstscax.dll
2009-06-03 19:27 . 2004-08-04 12:00 1290752 ----a-w- c:\windows\system32\quartz.dll
2009-05-22 10:55 . 2009-05-22 10:55 3351812 ------w- c:\documents and settings\All Users\Application Data\Installations\{9F59C3AE-81B0-4EF6-9762-D674BB079705}\Installer\CommonCustomActions\msxml6Exec.exe
2009-05-22 10:55 . 2009-05-22 10:55 36864 ------w- c:\documents and settings\All Users\Application Data\Installations\{9F59C3AE-81B0-4EF6-9762-D674BB079705}\Installer\CommonCustomActions\Sleep.exe
2009-05-22 10:55 . 2009-05-22 10:55 3181612 ------w- c:\documents and settings\All Users\Application Data\Installations\{9F59C3AE-81B0-4EF6-9762-D674BB079705}\Installer\CommonCustomActions\vcredistExec.exe
2009-05-22 10:27 . 2009-05-22 10:56 24376008 ------w- c:\documents and settings\All Users\Application Data\Installations\{9F59C3AE-81B0-4EF6-9762-D674BB079705}\NokiaSoftwareUpdaterSetup_en.exe
2009-05-22 10:26 . 2009-05-22 10:26 8192 ------w- c:\documents and settings\All Users\Application Data\Installations\{7694EC32-CB0E-4B35-9088-7B320CB1F4FE}\Installer\CommonCustomActions\UninstCCD.exe
2009-05-22 10:26 . 2009-05-22 10:26 61440 ------w- c:\documents and settings\All Users\Application Data\Installations\{7694EC32-CB0E-4B35-9088-7B320CB1F4FE}\Installer\CommonCustomActions\UninstPCSFEMsi.exe
2009-05-22 10:26 . 2009-05-22 10:26 10240 ------w- c:\documents and settings\All Users\Application Data\Installations\{7694EC32-CB0E-4B35-9088-7B320CB1F4FE}\Installer\CommonCustomActions\UninstPCS.exe
2009-05-22 10:24 . 2009-05-22 10:26 34396584 ------w- c:\documents and settings\All Users\Application Data\Installations\{7694EC32-CB0E-4B35-9088-7B320CB1F4FE}\Nokia_PC_Suite_7_1_26_0_eng_web.exe
.

((((((((((((((((((((((((((((((((((((( 重要登入点 ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*注意* 空白与合法缺省登录将不会被显示
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-07-21 39408]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2004-10-13 1694208]
"PC Suite Tray"="c:\program files\Nokia\Nokia PC Suite 7\PCSuite.exe" [2009-06-12 1414144]
"VoipBuster"="c:\program files\VoipBuster.com\VoipBuster\VoipBuster.exe" [2008-11-10 9017648]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sony Ericsson Wireless Manager UI"="c:\windows\system32\semwltray" [X]
"Apoint"="c:\program files\Apoint\Apoint.exe" [2003-11-07 114688]
"ZCfgSvc.exe"="c:\windows\system32\ZCfgSvc.exe" [2006-08-02 639040]
"PRONoMgr.exe"="c:\program files\Intel\NCS\PROSet\PRONoMgr.exe" [2005-07-06 135168]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2007-04-02 94208]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2007-04-02 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2007-04-02 118784]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]
"Acrobat Assistant 7.0"="c:\program files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2004-12-13 483328]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-08 148888]

c:\documents and settings\All Users\Start Menu\Programs\Startup\
Adobe Acrobat Speed Launcher.lnk - c:\windows\Installer\{AC76BA86-1033-F400-7760-000000000002}\SC_Acrobat.exe [2008-10-8 25214]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Sebring]
2006-08-02 19:20 188482 ----a-w- c:\windows\system32\LgNotify.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\FlashFXP\\FlashFXP.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Nokia\\Nokia Software Updater\\nsu_ui_client.exe"=
"c:\\Program Files\\Common Files\\Nokia\\Service Layer\\A\\nsl_host_process.exe"=
"c:\\Program Files\\VoipBuster.com\\VoipBuster\\VoipBuster.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [9/11/2008 8:12 PM 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [9/11/2008 8:12 PM 20560]
R2 setrysvc;Sony Ericsson Wireless LAN Tray Service;c:\windows\System32\setrysvc.exe c:\windows\System32\semwltry.exe --> c:\windows\System32\setrysvc.exe c:\windows\System32\semwltry.exe [?]
R3 DVccUSBSony1;Sony Visual Communication Camera VCC-U01;c:\windows\system32\drivers\SonyVcc.sys [9/11/2008 12:38 PM 424143]
R3 SPI;Sony Programmable I/O Control Device;c:\windows\system32\drivers\SonyPI.sys [9/11/2008 8:05 PM 71961]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [6/23/2009 12:52 PM 136704]
S3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers\nmwcdnsuc.sys [6/23/2009 12:52 PM 8320]
S3 s115bus;Sony Ericsson Device 115 driver (WDM);c:\windows\system32\drivers\s115bus.sys [4/6/2009 1:01 PM 83208]
S3 s115mdfl;Sony Ericsson Device 115 USB WMC Modem Filter;c:\windows\system32\drivers\s115mdfl.sys [4/6/2009 1:02 PM 15112]
S3 s115mdm;Sony Ericsson Device 115 USB WMC Modem Driver;c:\windows\system32\drivers\s115mdm.sys [4/6/2009 1:02 PM 108680]
S3 s115mgmt;Sony Ericsson Device 115 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s115mgmt.sys [4/6/2009 1:02 PM 100488]
S3 s115obex;Sony Ericsson Device 115 USB WMC OBEX Interface;c:\windows\system32\drivers\s115obex.sys [4/6/2009 1:02 PM 98568]
S3 SEMWModem;Sony Ericsson SEMWModem;c:\windows\system32\drivers\GCXX.sys [9/11/2008 3:44 PM 114944]
S3 SEMWWNIC;Sony Ericsson SEMWWNIC;c:\windows\system32\drivers\GCXXNet.sys [9/11/2008 3:44 PM 53248]
.
.
------- 而外的扫描 -------
.
uStart Page = hxxp://www.google.com/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Convert link target to Adobe PDF - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert link target to existing PDF - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert selected links to Adobe PDF - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Convert selected links to existing PDF - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Convert selection to Adobe PDF - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert selection to existing PDF - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert to Adobe PDF - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert to existing PDF - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Download all with Free Download Manager - file://c:\program files\Free Download Manager\dlall.htm
IE: Download selected with Free Download Manager - file://c:\program files\Free Download Manager\dlselected.htm
IE: Download video with Free Download Manager - file://c:\program files\Free Download Manager\dlfvideo.htm
IE: Download with Free Download Manager - file://c:\program files\Free Download Manager\dllink.htm
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-19 16:42
Windows 5.1.2600 Service Pack 2 NTFS

扫描被隐藏的进程 。。。

扫描被隐藏的启动组 。。。

扫描被隐藏的文件 。。。

扫描完成
被隐藏的档案: 0

**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]
@Denied: (A 2) (Everyone)
@="IFlashBroker3"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- 运行进程下的动态链接库 ---------------------

- - - - - - - > 'winlogon.exe'(864)
c:\windows\system32\LgNotify.dll

- - - - - - - > 'explorer.exe'(692)
c:\windows\system32\WININET.dll
c:\windows\system32\browselc.dll
c:\windows\system32\ieframe.dll
.
完成时间: 2009-08-19 16:46
ComboFix-quarantined-files.txt 2009-08-19 08:45

Pre-Run: 7,266,729,984 bytes free
Post-Run: 7,349,088,256 bytes free

207 --- E O F --- 2009-08-14 08:30
0
Réponse 18 / 28
jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
 
Ouvre ce lien et télécharge ZHPDiag :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Une fois le téléchargement achevé, dézippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

Double-clique sur l'icône pour lancer le programme.

Clique sur Tous pour cocher toutes les cases des options.

Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Ouvre le fichier sauvegardé (ZHPDiag.txt)avec le Bloc-Notes et copie son contenu dans ta réponse.

Postes le en deux fois s'il le faut (le log est assez long).
0
Réponse 19 / 28
Yabon
 
Hello,

bon j'ai suivi tes instructions et plusieurs remarques :

1) Le fichier Zhpdiag.exe que j'ai telecharge n'etait pas zippe et a necessite une procedure d'installation
2) Lorsque je lance l'analyse j'ai un message d'erreur qui apparait au biout de quelques secondes "Erreur d'insertion de la ligne RichEdit", je reste sur sablier et l'analyse ne semble pas se terminer correctement, ci dessous le bout de rapport neamoins obtenu :

Rapport de ZHPDiag v1.24.06 par Nicolas Coolman
Run by Yannick at 8/20/2009 6:49:50 AM
Web site : http://www.premiumorange.com/zeb-help-process/zhpdiag.html
Platform : Microsoft Windows XP (5.1.2600) Service Pack 2
MSIE: Internet Explorer v7.0.5730.13

Total RAM: 1018.4 Mb (54 % free)
System drive C: 24 Go (7 Go free)

---\\ Processus lanc閟
C:\Program Files\Apoint\Apoint.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\Program Files\VoipBuster.com\VoipBuster\VoipBuster.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\services.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\RegSrvc.exe
C:\WINDOWS\system32\S24EvMon.exe
C:\WINDOWS\System32\setrysvc.exe C:\WINDOWS\System32\semwltry.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\spoolsv.exe

---\\ Modification d'une valeur Ini (Changed inifile value, mapped to Registry) (F2)
F2 - REG:system.ini: Shell=explorer.exe

---\\ Pages de d閙arrage d'Internet Explorer (R0)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.com/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr

---\\ Pages de recherche d'Internet Explorer (R1)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://www.bing.com/?toHttps=1&redig=8F3F334EA60E4B1CB4D040DCFE393A89{SUB_RFC1766}/srchasst/srchasst.htm

---\\ Internet Explorer URLSearchHook (R3)
R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

---\\ Browser Helper Objects de navigateur (O2)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdm2.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

---\\ Internet Explorer Toolbars (O3)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll

---\\ Applications d閙arr閑s automatiquement par le registre (O4)
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [ZCfgSvc.exe] C:\WINDOWS\system32\ZCfgSvc.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Sony Ericsson Wireless Manager UI] C:\WINDOWS\system32\semwltray
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre6\bin\jusched.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [PC Suite Tray] C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [VoipBuster] C:\Program Files\VoipBuster.com\VoipBuster\VoipBuster.exe" -nosplash -minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKLM\..\policies\Explorer: [HonorAutoRunSetting] Data=1
O4 - HKLM\..\policies\Explorer: [NoDriveAutoRun] Data=67108863
O4 - HKLM\..\policies\Explorer: [NoDriveTypeAutoRun] Data=323
O4 - HKLM\..\policies\Explorer: [NoDrives] Data=0

---\\ Lignes suppl閙entaires dans le menu contextuel d'Internet Explorer (O8)
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download video with Free Download Manager - file://C:\Program Files\Free Download Manager\dlfvideo.htm
O8 - Extra context menu item: Download with Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

---\\ Boutons situ閟 sur la barre d'outils principale d'Internet Explorer (O9)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFBARH.ICO
O9 - Extra button: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe,302

---\\ Objets ActiveX (Downloaded Program Files)(O16)
O16 - DPF: {02CF1781-EA91-4FA5-A200-646E8241987C} (VaioInfo.CMClass) - https://www.sony.com/electronics/support
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase1140.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

---\\ Protocole additionnel et piratage de protocole (O18)
O18 - Handler: cdl - {3dd53d40-7b8b-11D0-b013-00aa0059ce02} - C:\WINDOWS\system32\urlmon.dll
O18 - Handler: dvd - {12D51199-0DB5-46FE-A120-47A3D7D937CC} - C:\WINDOWS\system32\msvidctl.dll
O18 - Handler: gopher - {79eac9e4-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Handler: mhtml - {05300401-BCBC-11d0-85E3-00C04FD85AB4} - C:\Windows\system32\inetcomm.dll
O18 - Handler: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
O18 - Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Handler: sysimage - {76E67A63-06E9-11D2-A840-006008059382} - C:\Windows\system32\mshtml.dll
O18 - Handler: tv - {CBD30858-AF45-11D2-B6D6-00C04FBBDE6E} - C:\WINDOWS\system32\msvidctl.dll
O18 - Handler: wia - {13F3EA8B-91D7-4F0A-AD76-D2853AC8BECE} - C:\WINDOWS\system32\wiascr.dll
O18 - Filter: Class Install Handler - {32B533BB-EDAE-11d0-BD5A-00AA00B92AF1} - C:\WINDOWS\system32\urlmon.dll
O18 - Filter: text/webviewhtml - {733AC4CB-F1A4-11d0-B951-00A0C90312E1} - C:\Windows\system32\SHELL32.dll
O18 - Filter: text/xml - {807553E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Common Files\Microsoft Shared\OFFICE11\MSOXMLMF.DLL

---\\ Valeur de Registre AppInit_DLLs et sous-cl閟 Winlogon Notify (autorun) (O20)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\System32\igfxdev.dll
O20 - Winlogon Notify: Sebring - C:\WINDOWS\system32\LgNotify.dll

---\\ Cl?de Registre autorun ShellServiceObjectDelayLoad (SSODL) (O21)
0
Réponse 20 / 28
jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
 
On va faire une petite vérif (ensuite tu me dira comment va le pc ):

Fais un scan en ligne Kaspersky avec Internet Explorer.
- Clique sur Démarrer Online-Scanner

- Clique maintenant sur J'accepte.
- Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
- Patiente pendant l'installation des Mises à jour.
- Choisis par la suite l'analyse du Poste de travail.
- Sauvegarde puis colle le rapport généré en fin d'analyse.

AIDE : Configurer le contrôle des ActiveX

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.
0
Yabon
 
IL semble que j'ai trouve une solution en faisant ca :

Now Kaspersky Online Scanner 7.0 cant uninstall via add/remove programs.

The program files and database are saved in the system's current temporary directory.
Default path:(Windows XP) \Documents and Settings\your current-username\Local Settings\Temp\jkos-your current-username

You can use some temporary file removers for example:CCleaner or Revo Uninstaller et al. to remove it.
PS:Before removing process,you must close the browser which is executing Kaspersky Online Scanner 7.0 Java plug-in.

Le telechargement des maj du online semble fonctionner a nouveau, je le ferai calmement ce soir et en esperant pouvoir te poster le rapport d'analyse. Wait and see.
0

Discussions similaires

Probable virus
jpoluxe -
bazfile -

12 réponses
DDOS et probablement infection R.A.T
Kuja41 -
Malekal_morte- -

10 réponses
Les combinaisons probable
Dkk -
Utilisateur anonyme -

38 réponses
infection
gladiator1952 -
gladiator1952 -

6 réponses
Infection pc
Nanie24 -
Nanie24 -

22 réponses