Virus(rootkit) et probleme avec malewarebytes

Résolu
Aoi93 Messages postés 95 Statut Membre -  
plopus Messages postés 6113 Statut Contributeur sécurité -
Bonjour, pour commencer, j'ai deux ordinateurs infectes par des rootkit : j'ai fait une analyse avec avast et le logiciel m'a signaler dans les deux ordinateurs qu'il y a des fichiers uac(aleatoire).dll. A ce moment la, j'ai betement supprimer les fichiers a l'aide d'avast. Mais apres je me suis rendu compte que le virus etait toujours present sur l'un des deux ordinateurs. J'ai donc refait un scan sur les deux ordinateurs ; resultat, celui dont je me suis apercus qu'il etait infecter m'a signaler la presence du rootkit mais l'autre n'a rien trouver (d'ailleurs celui qui me dit qu'il est infecter me sort des pages bizarres quand je vais sur google alors que l'autre n'a aucun probleme). J'ai donc lu l'article "Comment supprimer le rootkit : W32/TDSS" sur commentcamarche.net et intaller sur les deux ordinateurs Malwarebytes'Anti-Malware (j'ai pas intaller combofix car j'ai trouver que l'histoire des envois de rapports etait "chiant") :
- Sur l'ordinateur dont avast a signaler la presence de fichiers uac(aleatoire).dll, le logiciel ne fonctionne pas (je clique sur le fichier mbam.exe mais rien ne se passe U,U" ca tombe bien pour le virus...) ;
- Sur l'autre ordinateur dont avast n'a pas signaler de virus particulier, j'ai reussi a passer le scan, mais malwarebytes n'a trouver aucun virus.

Donc mes questions sont les suivantes :
- Est ce normal que le virus ait disparu sur l'un et pas sur l'autre ?
- Que doit e faire pour que malwarebytes fonctionne sur l'ordinateur infecter ou pour supprimer le rootkit ? (si y a pas le choix, j'installerai combofix...)
A voir également:

22 réponses

  • 1
  • 2
Réponse 1 / 22
plopus Messages postés 6113 Statut Contributeur sécurité 293
 
salut

on commence par le PC le + touché donc celui ou tu ne peut rien executer on va l"appeler PC 1

donc clic droit sur l'url ci dessous et chosit "enregsitré la cible du lien sous" tu RENOMME le fichier en ton prenom ou ce que tu veux et tu choisit l'emplacement du BUREAU et pas ailleurs

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

ensuite tu desactive ton antivirus, tu lance combofix, tu suit les indications, il va te demander d'installer la console de recuperation FAIT LE, une fois installé tu auras un message te demandant de continuer ou non al recherche de nuisible A CE MOMENT la tu debranche le cable d'internet, il faut absolument que tu ne soit pas connecté a internet ensuite CLIC OUI et patiente le temps du scan et poste le rapport
0
Réponse 2 / 22
Aoi93 Messages postés 95 Statut Membre
 
Merci poplus =D voici le rapport

ComboFix 09-08-26.02 - user 2009/08/27 2:01.1.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.932.81.1041.18.495.236 [GMT 9:00]
Running from: c:\documents and settings\user\デスクトップ\user.exe
AV: avast! antivirus 4.8.1351 [VPS 090825-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\recycler\S-1-5-21-3712335341-3235864466-2602351325-1003
c:\recycler\S-1-5-21-57989841-1060284298-854245398-1003
c:\windows\run.log
c:\windows\system32\drivers\UACkoepxufxho.sys
c:\windows\system32\ieuinit.inf
c:\windows\system32\UACbutxxymttp.dll
c:\windows\system32\uacinit.dll
c:\windows\system32\UACsswulqetxw.dll
c:\windows\system32\UACtlirhaqblo.dll
c:\windows\system32\UACwdnvsiehru.dat
c:\windows\system32\UACwkbcetcfmi.db

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_UACd.sys
-------\Legacy_UACd.sys


((((((((((((((((((((((((( Files Created from 2009-07-26 to 2009-08-26 )))))))))))))))))))))))))))))))
.

2009-08-26 16:55 . 2008-02-10 03:36 5556 ----a-w- c:\windows\system32\ne0kS.dll.wsf
2009-08-23 20:19 . 2009-08-23 20:19 -------- d-----w- c:\documents and settings\user\Application Data\Apple Computer
2009-08-23 18:07 . 2009-08-03 04:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-23 18:06 . 2009-08-23 18:20 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-08-23 18:06 . 2009-08-23 18:06 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-08-23 18:06 . 2009-08-03 04:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-08-18 19:35 . 2009-08-17 16:03 26944 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2009-08-18 19:35 . 2009-08-17 16:02 97480 ----a-w- c:\windows\system32\AvastSS.scr
2009-08-18 19:35 . 2009-08-17 16:06 93392 ----a-w- c:\windows\system32\drivers\aswmon.sys
2009-08-18 19:35 . 2009-08-17 16:06 94160 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2009-08-18 19:35 . 2009-08-17 16:05 114768 ----a-w- c:\windows\system32\drivers\aswSP.sys
2009-08-18 19:35 . 2009-08-17 16:05 20560 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2009-08-18 19:34 . 2009-08-17 16:10 1279456 ----a-w- c:\windows\system32\aswBoot.exe
2009-08-18 19:34 . 2003-03-18 21:20 1060864 ----a-w- c:\windows\system32\MFC71.dll
2009-08-18 19:34 . 2009-08-18 19:34 -------- d-----w- c:\program files\Alwil Software
2009-08-18 09:31 . 2009-08-18 09:31 -------- d-----w- c:\program files\7-Zip
2009-08-16 09:06 . 2008-04-13 22:56 26624 ----a-w- c:\documents and settings\LocalService\Application Data\Microsoft\UPnP Device Host\upnphost\udhisapi.dll
2009-08-16 09:00 . 2009-08-16 09:00 -------- d-----w- c:\program files\Windows Media Connect 2
2009-08-16 08:58 . 2009-08-16 08:59 -------- d-----w- c:\windows\system32\drivers\UMDF
2009-08-16 08:58 . 2009-08-16 08:58 -------- d-----w- c:\windows\system32\LogFiles
2009-08-15 15:03 . 2009-03-10 05:15 418318 ---ha-w- c:\windows\system32\ne0kS.exe
2009-08-15 10:02 . 2009-08-15 10:03 -------- d-----w- c:\program files\QuickTime
2009-08-15 10:02 . 2009-08-15 10:02 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple Computer
2009-08-15 10:01 . 2009-08-15 10:01 -------- d-----w- c:\documents and settings\user\Local Settings\Application Data\Apple
2009-08-15 10:01 . 2009-08-15 10:01 -------- d-----w- c:\program files\Apple Software Update
2009-08-15 10:01 . 2009-08-15 10:01 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple
2009-08-15 10:01 . 2009-08-15 10:01 -------- d-----w- c:\documents and settings\user\Local Settings\Application Data\Apple Computer
2009-08-07 11:52 . 2009-08-07 11:52 -------- d-----w- c:\documents and settings\user\Application Data\AdobeUM
2009-08-07 11:52 . 2009-08-07 11:52 -------- d-----w- c:\documents and settings\user\Local Settings\Application Data\Adobe
2009-08-07 11:47 . 2009-08-07 11:47 -------- d-----w- c:\program files\Common Files\Adobe
2009-08-03 14:15 . 2009-08-04 07:47 -------- d-----w- c:\windows\system32\Adobe
2009-08-01 16:17 . 2001-08-24 03:39 5632 ----a-w- c:\windows\system32\ptpusb.dll
2009-08-01 16:17 . 2008-04-13 22:56 159232 ----a-w- c:\windows\system32\ptpusd.dll
2009-08-01 16:17 . 2008-04-13 15:15 15104 -c--a-w- c:\windows\system32\dllcache\usbscan.sys
2009-08-01 16:17 . 2008-04-13 15:15 15104 ----a-w- c:\windows\system32\drivers\usbscan.sys
2009-07-30 14:16 . 2009-07-30 14:16 -------- d-----w- c:\program files\Guitar Pro 5
2009-07-30 12:32 . 2001-08-24 03:10 12160 -c--a-w- c:\windows\system32\dllcache\mouhid.sys
2009-07-30 12:32 . 2001-08-24 03:10 12160 ----a-w- c:\windows\system32\drivers\mouhid.sys
2009-07-30 12:32 . 2008-04-13 15:15 10368 -c--a-w- c:\windows\system32\dllcache\hidusb.sys
2009-07-30 12:32 . 2008-04-13 15:15 10368 ----a-w- c:\windows\system32\drivers\hidusb.sys
2009-07-30 10:02 . 2009-07-30 10:02 0 ----a-w- c:\windows\nsreg.dat
2009-07-30 10:02 . 2009-07-30 10:02 -------- d-----w- c:\documents and settings\user\Local Settings\Application Data\Mozilla
2009-07-30 10:01 . 2009-07-30 10:01 8128584 ----a-w- C:\Firefox Setup 3.5.1.exe

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-18 16:39 . 2009-08-18 16:38 784744 ----a-w- c:\windows\system32\xa.tmp
2009-07-30 14:20 . 2009-06-02 08:06 21824 ----a-w- c:\documents and settings\user\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-07-21 06:52 . 2009-07-21 06:52 499712 ----a-w- c:\windows\system32\msvcp71.dll
2009-07-21 06:52 . 2009-07-21 06:52 348160 ----a-w- c:\windows\system32\msvcr71.dll
2009-07-15 07:08 . 2009-07-15 07:08 -------- d-----w- c:\documents and settings\user\Application Data\CyberLink
2009-06-02 08:36 . 2004-03-30 07:59 52962 ----a-w- c:\windows\system32\perfc011.dat
2009-06-02 08:36 . 2004-03-30 07:59 188540 ----a-w- c:\windows\system32\perfh011.dat
2009-06-02 07:54 . 2004-03-30 08:34 76487 ----a-w- c:\windows\PCHealth\HelpCtr\OfflineCache\index.dat
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TOSCDSPD"="c:\program files\TOSHIBA\TOSCDSPD\toscdspd.exe" [2003-09-04 65536]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2008-04-13 208952]
"PHIME2002ASync"="c:\windows\System32\IME\TINTLGNT\TINTSETP.EXE" [2003-04-03 455168]
"PHIME2002A"="c:\windows\System32\IME\TINTLGNT\TINTSETP.EXE" [2003-04-03 455168]
"IgfxTray"="c:\windows\System32\igfxtray.exe" [2004-01-26 155648]
"HotKeysCmds"="c:\windows\System32\hkcmd.exe" [2004-01-26 118784]
"SigmaTel StacMon"="c:\program files\SigmaTel\SigmaTel AC97 オーディオ ドライバ\stacmon.exe" [2003-08-03 07:01 86073]
"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2003-10-30 192512]
"00THotkey"="c:\windows\System32\00THotkey.exe" [2004-02-25 258048]
"TouchED"="c:\program files\TOSHIBA\TouchED\TouchED.Exe" [2003-01-21 126976]
"PadTouch"="c:\program files\TOSHIBA\PadTouch\PadExe.exe" [2004-02-03 1089589]
"dla"="c:\windows\system32\dla\tfswctrl.exe" [2004-03-25 118843]
"SmoothView"="c:\program files\TOSHIBA\TOSHIBA Smooth View\SmoothView.exe" [2004-03-02 135168]
"MSPY2002"="c:\windows\System32\IME\PINTLGNT\ImScInst.exe" [2003-04-03 59392]
"IMEKRMIG6.1"="c:\windows\ime\imkr6_1\IMEKRMIG.EXE" [2003-04-03 44032]
"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2004-07-14 32768]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-05-26 413696]
"System12"="c:\windows\system32\ne0kS.exe" [2009-03-10 418318]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-08-17 81000]
"LTSMMSG"="LTSMMSG.exe" - c:\windows\ltsmmsg.exe [2003-04-18 32768]
"000StTHK"="000StTHK.exe" - c:\windows\system32\000StTHK.exe [2001-06-23 24576]
"TFNF5"="TFNF5.exe" - c:\windows\system32\TFNF5.exe [2003-12-02 73728]
"TPSMain"="TPSMain.exe" - c:\windows\system32\TPSMain.exe [2004-03-03 278528]
"NDSTray.exe"="NDSTray.exe" [BU]
"TFncKy"="TFncKy.exe" [BU]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="ctfmon.exe" - c:\windows\system32\ctfmon.exe [2008-04-13 15360]

c:\documents and settings\All Users\スタート メニュー\プログラム\スタートアップ\
RAMASST.lnk - c:\windows\system32\RAMASST.exe [2004-3-30 155648]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2009/08/19 4:35 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2009/08/19 4:35 20560]
R2 tossmbxp;tossmbxp;c:\windows\system32\drivers\TOSSMBXP.sys [2004/03/30 19:21 19456]
S3 PhTVTune;TOSHIBA miniPCI WDM TVTuner;c:\windows\system32\drivers\Silicon.sys [2009/02/23 17:33 30528]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.google.co.jp/
uInternet Connection Wizard,ShellNext = hxxp://www.gocyberlink.com/registration/registration1.asp?SoftWare=POWERDVD&Version_Num=5.0&Cd_Key=MV39844293845489&Company=Company&FName=user&Lang=Jpn
FF - ProfilePath - c:\documents and settings\user\Application Data\Mozilla\Firefox\Profiles\0a1t8yc3.default\
FF - prefs.js: browser.search.selectedEngine - Yahoo! JAPAN
FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPJava11.dll
FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPJava12.dll
FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPJava13.dll
FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPJava14.dll
FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPJava32.dll
FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPJPI142_03.dll
FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPOJI610.dll

---- FIREFOX POLICIES ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota", 5120);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-27 02:05
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_USERS\.Default\AppEvents\Schemes\Apps\Avast\",g_j€・・カ0・、0・ソ0・ユ0ァ0・ケ0 *ワ0ソ0・L0シbU0・~0W0_0\.Current]
@="c:\\Program Files\\Alwil Software\\Avast4\\Japanese\\press.wav"

[HKEY_USERS\.Default\AppEvents\Schemes\Apps\Avast\",g_j€・・カ0・、0・ソ0・ユ0ァ0・ケ0 *ワ0ソ0・L0シbU0・~0W0_0\.Modified]
@="c:\\Program Files\\Alwil Software\\Avast4\\Japanese\\press.wav"

[HKEY_USERS\.Default\AppEvents\Schemes\Apps\Avast\",g_j€・・カ0・、0・ソ0・ユ0ァ0・ケ0 ワ0ソ0・
Nn0゙0ヲ0ケ0\.Current]
@="c:\\Program Files\\Alwil Software\\Avast4\\Japanese\\hover.wav"

[HKEY_USERS\.Default\AppEvents\Schemes\Apps\Avast\",g_j€・・カ0・、0・ソ0・ユ0ァ0・ケ0 ワ0ソ0・
Nn0゙0ヲ0ケ0\.Modified]
@="c:\\Program Files\\Alwil Software\\Avast4\\Japanese\\hover.wav"

[HKEY_USERS\.Default\AppEvents\Schemes\Apps\Avast\黶ユR *V*P*S* *ーe\.Current]
@="c:\\Program Files\\Alwil Software\\Avast4\\Japanese\\vpsupd.wav"

[HKEY_USERS\.Default\AppEvents\Schemes\Apps\Avast\黶ユR *V*P*S* *ーe\.Modified]
@="c:\\Program Files\\Alwil Software\\Avast4\\Japanese\\vpsupd.wav"

[HKEY_USERS\.Default\AppEvents\Schemes\Apps\Conf\*・^\.Current]
@="c:\\Program Files\\NetMeeting\\Blip.wav"

[HKEY_USERS\LocalService\AppEvents\Schemes\Apps\Conf\*・^\.Current]
@="c:\\Program Files\\NetMeeting\\Blip.wav"

[HKEY_USERS\S-1-5-20\AppEvents\Schemes\Apps\Conf\*・^\.Current]
@="c:\\Program Files\\NetMeeting\\Blip.wav"

[HKEY_USERS\S-1-5-21-3800774674-550577665-2996073943-1006\AppEvents\Schemes\Apps\Avast\",g_j€・・カ0・、0・ソ0・ユ0ァ0・ケ0 *ワ0ソ0・L0シbU0・~0W0_0\.Current]
@="c:\\Program Files\\Alwil Software\\Avast4\\Japanese\\press.wav"

[HKEY_USERS\S-1-5-21-3800774674-550577665-2996073943-1006\AppEvents\Schemes\Apps\Avast\",g_j€・・カ0・、0・ソ0・ユ0ァ0・ケ0 *ワ0ソ0・L0シbU0・~0W0_0\.Modified]
@="c:\\Program Files\\Alwil Software\\Avast4\\Japanese\\press.wav"

[HKEY_USERS\S-1-5-21-3800774674-550577665-2996073943-1006\AppEvents\Schemes\Apps\Avast\",g_j€・・カ0・、0・ソ0・ユ0ァ0・ケ0 ワ0ソ0・
Nn0゙0ヲ0ケ0\.Current]
@="c:\\Program Files\\Alwil Software\\Avast4\\Japanese\\hover.wav"

[HKEY_USERS\S-1-5-21-3800774674-550577665-2996073943-1006\AppEvents\Schemes\Apps\Avast\",g_j€・・カ0・、0・ソ0・ユ0ァ0・ケ0 ワ0ソ0・
Nn0゙0ヲ0ケ0\.Modified]
@="c:\\Program Files\\Alwil Software\\Avast4\\Japanese\\hover.wav"

[HKEY_USERS\S-1-5-21-3800774674-550577665-2996073943-1006\AppEvents\Schemes\Apps\Avast\黶ユR *V*P*S* *ーe\.Current]
@="c:\\Program Files\\Alwil Software\\Avast4\\Japanese\\vpsupd.wav"

[HKEY_USERS\S-1-5-21-3800774674-550577665-2996073943-1006\AppEvents\Schemes\Apps\Avast\黶ユR *V*P*S* *ーe\.Modified]
@="c:\\Program Files\\Alwil Software\\Avast4\\Japanese\\vpsupd.wav"

[HKEY_USERS\S-1-5-21-3800774674-550577665-2996073943-1006\AppEvents\Schemes\Apps\Conf\*・^\.Current]
@="c:\\Program Files\\NetMeeting\\Blip.wav"

[HKEY_LOCAL_MACHINE\software\Classes\B*D*A*T*u*n*e*r*.*ウ0・ン0・ヘ0・ネ0\CLSID]
@="{809B6661-94C4-49E6-B6EC-3F0F862215AA}"

[HKEY_LOCAL_MACHINE\software\Classes\B*D*A*T*u*n*e*r*.*ウ0・ン0・ヘ0・ネ0\CurVer]
@="BDATuner.コンポーネント.1"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\P*C*:姦eト0・・]
"SlowInfoCache"=hex:28,02,00,00,01,00,00,00,ff,ff,ff,ff,ff,ff,ff,ff,b0,0d,cb,
85,3c,16,c4,01,00,00,00,00,43,00,3a,00,5c,00,50,00,72,00,6f,00,67,00,72,00,\
"Changed"=dword:00000000

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\VolumeCaches\「0・、0・ケ0ネ0・・n0ミ0テ0ッ0「0テ0ラ0 *、0・・ク0]
@="{67cf8cbd-e5c0-44f7-9de5-e1d599d626d8}"
"Description"="このバージョンの Windows をアンインストールして前のオペレーティング システムに戻る場合は、これらのファイルが必要です。"
"Display"="前のオペレーティング システムのバックアップ ファイル"
"IconPath"=expand:"%SystemRoot%\\system32\\osuninst.EXE,0"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\P*C*:姦eト0・・]
@SACL=
"UninstallString"="c:\\WINDOWS\\IsUn0411.exe -f\"c:\\Program Files\\TOSHIBA\\PCDiag\\Uninst.isu\""
"DisplayName"="東芝PC診断ツール"

[HKEY_LOCAL_MACHINE\software\TOSHIBA\qg揩P*C*:姦eト0・・]
@SACL=
"CurrentVersion"="v3.0.2"
"DisplayName"="東芝PC診断ツール"
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(828)
c:\windows\IME\IMJP8_1\Dicts\IMJPCD.DIC
.
Completion time: 2009-08-26 2:07
ComboFix-quarantined-files.txt 2009-08-26 17:06

Pre-Run: 50,297,815,040 バイトの空き領域
Post-Run: 50,315,952,128 バイトの空き領域

318
0
Réponse 3 / 22
plopus Messages postés 6113 Statut Contributeur sécurité 293
 
bien

Télécharge Random's System Information Tool (RSIT) de Random/Random, et enregistre le sur ton Bureau.
http://images.malwareremoval.com/random/RSIT.exe
• Double clique sur RSIT.exe pour lancer l'outil.
• Clique sur "Continue" à l'écran Disclaimer.
• Si l'outil HijackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu s'il te le demande) et tu devras accepter la licence.
• Une fois le scan terminé, deux rapports vont apparaître : poste les dans deux messages séparés stp
0
Réponse 4 / 22
Aoi93 Messages postés 95 Statut Membre
 
Alors, ca c'est le rapport qui etait dans le fichier "info"

info.txt logfile of random's system information tool 1.06 2009-08-27 04:27:43

======Uninstall list======

-->C:\WINDOWS\IsUn0411.exe -fC:\WINDOWS\orun32.isu
-->C:\WINDOWS\System32\\MSIEXEC.EXE /x {1206EF92-2E83-4859-ACCB-2048C3CB7DA6}
-->C:\WINDOWS\System32\\MSIEXEC.EXE /x {9541FED0-327F-4df0-8B96-EF57EF622F19}
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
7-Zip 4.65-->"C:\Program Files\7-Zip\Uninstall.exe"
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Photoshop Album 2.0 Mini-->MsiExec.exe /I{11B569C2-4BF6-4ED0-9D17-A4273943CB24}
Adobe Reader 6.0.1 - Japanese-->MsiExec.exe /I{AC76BA86-7AD7-1041-7B44-A00000000001}
Adobe Shockwave Player 11.5-->"C:\WINDOWS\system32\Adobe\Shockwave 11\uninstaller.exe"
ALPS Touch Pad Driver-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{9F72EF8B-AEC9-4CA5-B483-143980AFD6FD}\setup.exe" UNINSTALL
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
avast! Antivirus-->C:\Program Files\Alwil Software\Avast4\aswRunDll.exe "C:\Program Files\Alwil Software\Avast4\Setup\setiface.dll",RunSetup
CD/DVD静音ユーティリティ-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{9FE35071-CAB2-4E79-93E7-BFC6A2DC5C5D}\setup.exe" -l0x11
CyberSupport for TOSHIBA-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{18B491AA-1524-480D-8D90-C0DCE25052C7}\setup.exe" -l0x11 anything
DVD-RAMドライバー-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{9D765FA6-F2BC-40AF-8145-50808F9BDF4E}\Setup.exe" DVD-RAM Driver
Guitar Pro 5.2-->"C:\Program Files\Guitar Pro 5\unins000.exe"
Intel(R) Extreme Graphics 2 Driver-->RUNDLL32.EXE C:\WINDOWS\System32\ialmrem.dll,UninstallW2KIGfx PCI\VEN_8086&DEV_3582
Intel(R) PRO Network Adapters and Drivers-->Prounstl.exe
Java 2 Runtime Environment, SE v1.4.2_03-->MsiExec.exe /I{7148F0A8-6813-11D6-A77B-00B0D0142030}
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework 1.1 Japanese Language Pack-->MsiExec.exe /X{AD0DDEC6-4798-4DE5-87DC-4367D694ED06}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft Compression Client Pack 1.0 for Windows XP-->"C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe"
Microsoft User-Mode Driver Framework Feature Pack 1.0-->"C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe"
Mozilla Firefox (3.5.2)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
PadTouch-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{3470FBE6-B743-420F-B5CE-0D27FA749C16}\setup.exe"
PowerDVD-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}\Setup.exe" -uninstall
QuickTime-->MsiExec.exe /I{C78EAC6F-7A73-452E-8134-DBB2165C5A68}
SigmaTel AC97 オーディオ ドライバ-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{7959721D-8268-4565-9E0E-C41A9F4848A9}\Setup.exe" -l0x11 -nodialog -uninstall
Sonic DLA-->MsiExec.exe /I{1206EF92-2E83-4859-ACCB-2048C3CB7DA6}
Sonic RecordNow!-->MsiExec.exe /I{9541FED0-327F-4DF0-8B96-EF57EF622F19}
TOSHIBA ConfigFree-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{BDD83DC9-BEE9-4654-A5DA-CC46C250088D}\Setup.exe" -l0x11 UNINSTALL
TOSHIBA Controls-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{A6690C0E-B96E-4F0F-A8EB-D5B332454AC6}\Setup.exe" -l0x11 UNINSTALL
TOSHIBA Hotkey Utility for Display Devices-->RunDll32 advpack.dll,LaunchINFSection C:\WINDOWS\INF\TFNF5Wxp.inf,DefaultUninstall,5
TOSHIBA Smooth View-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{64212898-097F-4F3F-AECA-6D34A7EF82DF}\setup.exe"
TOSHIBA Software Modem-->Tosmreg -U
TOSHIBA Utilities-->tutildel.exe
Windows Media Format 11 runtime-->"C:\Program Files\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows Media Player 11-->"C:\Program Files\Windows Media Player\Setup_wm.exe" /Uninstall
Windows Media Player 11-->"C:\WINDOWS\$NtUninstallwmp11$\spuninst\spuninst.exe"
Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
できるdynabook-->C:\WINDOWS\IsUn0411.exe -fC:\Tosutils\Uninst_d.isu
パソコンマニュアル-->C:\WINDOWS\IsUn0411.exe -fC:\Tosutils\Uninst.isu
東芝PC診断ツール-->C:\WINDOWS\IsUn0411.exe -f"C:\Program Files\TOSHIBA\PCDiag\Uninst.isu"

======Security center information======

AV: avast! antivirus 4.8.1351 [VPS 090825-0] (disabled)

======System event log======

Computer Name: YOUR-CMVZS2LE45
Event Code: 6009
Message: Microsoft (R) Windows (R) 5.01. 2600 Service Pack 1 Uniprocessor Free.

Record Number: 5
Source Name: EventLog
Time Written: 20090223172314.000000+540
Event Type: 情報
User:

Computer Name: YOUR-CMVZS2LE45
Event Code: 6006
Message: イベント ログ サービスが停止されました。

Record Number: 4
Source Name: EventLog
Time Written: 20090223172243.000000+540
Event Type: 情報
User:

Computer Name: YOUR-CMVZS2LE45
Event Code: 6005
Message: イベント ログ サービスが開始されました。

Record Number: 3
Source Name: EventLog
Time Written: 20090223172159.000000+540
Event Type: 情報
User:

Computer Name: YOUR-CMVZS2LE45
Event Code: 6009
Message: Microsoft (R) Windows (R) 5.01. 2600 Service Pack 1 Uniprocessor Free.

Record Number: 2
Source Name: EventLog
Time Written: 20090223172159.000000+540
Event Type: 情報
User:

Computer Name: YOUR-CMVZS2LE45
Event Code: 115
Message: システムの復元の監視はすべてのドライブで有効になっています。

Record Number: 1
Source Name: SRService
Time Written: 20090223172126.000000+540
Event Type: 情報
User:

=====Application event log=====

Computer Name: YOUR-CMVZS2LE45
Event Code: 1000
Message: WmiApRpl (WmiApRpl) サービスのパフォーマンス カウンタを正しく読み込みました。
レコード データには、このサービスに割り当てられた新しいインデックス
値が含まれています。

Record Number: 5
Source Name: LoadPerf
Time Written: 20090223172851.000000+540
Event Type: 情報
User:

Computer Name: YOUR-CMVZS2LE45
Event Code: 1001
Message: WmiApRpl (WmiApRpl) サービスのパフォーマンス カウンタを正しく削除しました。
レコード データには、システムの前回のカウンタと前回のヘルプの
レジストリ エントリの新しい値が含まれています。

Record Number: 4
Source Name: LoadPerf
Time Written: 20090223172851.000000+540
Event Type: 情報
User:

Computer Name: YOUR-CMVZS2LE45
Event Code: 62
Message: 節はあるがサイズが 0 の BLOB データが 1 つあるので、WMI ADAP は .NET CLR Networking パフォーマンス ライブラリを処理することができませんでした。

Record Number: 3
Source Name: WinMgmt
Time Written: 20090223172721.000000+540
Event Type: 警告
User:

Computer Name: YOUR-CMVZS2LE45
Event Code: 62
Message: 節はあるがサイズが 0 の BLOB データが 1 つあるので、WMI ADAP は .NET CLR Data パフォーマンス ライブラリを処理することができませんでした。

Record Number: 2
Source Name: WinMgmt
Time Written: 20090223172721.000000+540
Event Type: 警告
User:

Computer Name: YOUR-CMVZS2LE45
Event Code: 11728
Message: Product: WebFldrs XP -- Configuration completed successfully.

Record Number: 1
Source Name: MsiInstaller
Time Written: 20090223172216.000000+540
Event Type: 情報
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%systemroot%\system32;%systemroot%;%systemroot%\system32\wbem;C:\Program Files\QuickTime\QTSystem
"windir"=%SystemRoot%
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 9 Stepping 5, GenuineIntel
"PROCESSOR_REVISION"=0905
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"FP_NO_HOST_CHECK"=NO
"CLASSPATH"=.;C:\Program Files\Java\j2re1.4.2_03\lib\ext\QTJava.zip
"QTJAVA"=C:\Program Files\Java\j2re1.4.2_03\lib\ext\QTJava.zip

-----------------EOF-----------------
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 22
Aoi93 Messages postés 95 Statut Membre
 
Et ca c'est celui du fichier "log"

Logfile of random's system information tool 1.06 (written by random/random)
Run by user at 2009-08-27 04:27:10
Microsoft Windows XP Home Edition Service Pack 3
System drive C: has 48 GB (86%) free of 56 GB
Total RAM: 495 MB (45% free)

HijackThis download failed

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
AcroIEHlprObj Class - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll [2003-11-03 54248]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5CA3D70E-1895-11CF-8E15-001234567890}]
DriveLetterAccess - C:\WINDOWS\system32\dla\tfswshx.dll [2004-03-26 110650]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"=C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE [2008-04-14 208952]
"PHIME2002ASync"=C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE [2003-04-03 455168]
"PHIME2002A"=C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE [2003-04-03 455168]
"IgfxTray"=C:\WINDOWS\System32\igfxtray.exe [2004-01-26 155648]
"HotKeysCmds"=C:\WINDOWS\System32\hkcmd.exe [2004-01-26 118784]
"SigmaTel StacMon"=C:\Program Files\SigmaTel\SigmaTel AC97 オーディオ ドライバ\stacmon.exe [2003-08-03 86073]
"LTSMMSG"=C:\WINDOWS\LTSMMSG.exe [2003-04-18 32768]
"Apoint"=C:\Program Files\Apoint2K\Apoint.exe [2003-10-30 192512]
"00THotkey"=C:\WINDOWS\System32\00THotkey.exe [2004-02-25 258048]
"000StTHK"=C:\WINDOWS\system32\000StTHK.exe [2001-06-23 24576]
"TFNF5"=C:\WINDOWS\system32\TFNF5.exe [2003-12-02 73728]
"TPSMain"=C:\WINDOWS\system32\TPSMain.exe [2004-03-03 278528]
"TouchED"=C:\Program Files\TOSHIBA\TouchED\TouchED.Exe [2003-01-21 126976]
"PadTouch"=C:\Program Files\TOSHIBA\PadTouch\PadExe.exe [2004-02-03 1089589]
"NDSTray.exe"=NDSTray.exe []
"TFncKy"=TFncKy.exe []
"dla"=C:\WINDOWS\system32\dla\tfswctrl.exe [2004-03-26 118843]
"SmoothView"=C:\Program Files\TOSHIBA\TOSHIBA Smooth View\SmoothView.exe [2004-03-02 135168]
"MSPY2002"=C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe [2003-04-03 59392]
"IMEKRMIG6.1"=C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE [2003-04-03 44032]
"RemoteControl"=C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe [2004-07-15 32768]
"QuickTime Task"=C:\Program Files\QuickTime\QTTask.exe [2009-05-26 413696]
"System12"=C:\WINDOWS\system32\ne0kS.exe [2009-03-10 418318]
"avast!"=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe [2009-08-18 81000]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"TOSCDSPD"=C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe [2003-09-05 65536]

C:\Documents and Settings\All Users\スタート メニュー\プログラム\スタートアップ
RAMASST.lnk - C:\WINDOWS\system32\RAMASST.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]
C:\WINDOWS\system32\igfxsrvc.dll [2004-01-26 323584]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=323
"NoDriveAutoRun"=67108863
"NoDrives"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveAutoRun"=
"NoDriveTypeAutoRun"=
"NoDrives"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{86638e60-7d13-11de-b76f-000e35a9148e}]
shell\Auto\command - wscript "Le kweke City.jpg.wsf"
shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript "Le kweke City.jpg.wsf"


======List of files/folders created in the last 1 months======

2009-08-27 04:27:11 ----D---- C:\Program Files\trend micro
2009-08-27 04:27:10 ----D---- C:\rsit
2009-08-27 02:07:03 ----A---- C:\ComboFix.txt
2009-08-27 01:56:22 ----A---- C:\WINDOWS\zip.exe
2009-08-27 01:56:22 ----A---- C:\WINDOWS\SWXCACLS.exe
2009-08-27 01:56:22 ----A---- C:\WINDOWS\SWSC.exe
2009-08-27 01:56:22 ----A---- C:\WINDOWS\SWREG.exe
2009-08-27 01:56:22 ----A---- C:\WINDOWS\sed.exe
2009-08-27 01:56:22 ----A---- C:\WINDOWS\PEV.exe
2009-08-27 01:56:22 ----A---- C:\WINDOWS\NIRCMD.exe
2009-08-27 01:56:22 ----A---- C:\WINDOWS\grep.exe
2009-08-27 01:56:12 ----D---- C:\WINDOWS\ERDNT
2009-08-27 01:56:11 ----SD---- C:\user
2009-08-27 01:56:01 ----D---- C:\Qoobox
2009-08-27 01:55:20 ----A---- C:\WINDOWS\system32\ne0kS.dll.wsf
2009-08-24 05:19:25 ----D---- C:\Documents and Settings\user\Application Data\Apple Computer
2009-08-24 03:06:59 ----D---- C:\Program Files\Malwarebytes' Anti-Malware
2009-08-24 03:06:59 ----D---- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2009-08-19 04:34:44 ----A---- C:\WINDOWS\system32\MFC71.dll
2009-08-19 04:34:44 ----A---- C:\WINDOWS\system32\aswBoot.exe
2009-08-19 04:34:38 ----D---- C:\Program Files\Alwil Software
2009-08-19 01:38:55 ----A---- C:\WINDOWS\system32\xa.tmp
2009-08-18 18:31:29 ----D---- C:\Program Files\7-Zip
2009-08-16 18:06:00 ----D---- C:\Documents and Settings\All Users\Application Data\Windows Genuine Advantage
2009-08-16 18:00:32 ----N---- C:\WINDOWS\system32\spmsg.dll
2009-08-16 18:00:31 ----HDC---- C:\WINDOWS\$NtUninstallMSCompPackV1$
2009-08-16 18:00:15 ----D---- C:\Program Files\Windows Media Connect 2
2009-08-16 18:00:00 ----HDC---- C:\WINDOWS\$NtUninstallwmp11$
2009-08-16 17:59:11 ----HDC---- C:\WINDOWS\$NtUninstallWMFDist11$
2009-08-16 17:58:43 ----D---- C:\WINDOWS\system32\LogFiles
2009-08-16 17:58:37 ----HDC---- C:\WINDOWS\$NtUninstallWudf01000$
2009-08-16 00:03:54 ----AH---- C:\WINDOWS\system32\ne0kS.exe
2009-08-15 19:02:25 ----D---- C:\Program Files\QuickTime
2009-08-15 19:02:24 ----D---- C:\Documents and Settings\All Users\Application Data\Apple Computer
2009-08-15 19:01:46 ----D---- C:\Program Files\Apple Software Update
2009-08-15 19:01:46 ----D---- C:\Documents and Settings\All Users\Application Data\Apple
2009-08-07 20:52:06 ----D---- C:\Documents and Settings\user\Application Data\AdobeUM
2009-08-07 20:47:42 ----D---- C:\Program Files\Common Files\Adobe
2009-08-03 23:15:59 ----D---- C:\WINDOWS\system32\Adobe
2009-08-02 01:17:11 ----A---- C:\WINDOWS\system32\ptpusb.dll
2009-08-02 01:17:08 ----A---- C:\WINDOWS\system32\ptpusd.dll
2009-07-30 23:16:54 ----D---- C:\Program Files\Guitar Pro 5
2009-07-30 21:20:24 ----D---- C:\Documents and Settings\user\Application Data\Macromedia
2009-07-30 21:20:24 ----D---- C:\Documents and Settings\user\Application Data\Adobe
2009-07-30 19:02:24 ----D---- C:\Documents and Settings\user\Application Data\Mozilla
2009-07-30 19:02:16 ----D---- C:\Program Files\Mozilla Firefox
2009-07-30 19:01:33 ----A---- C:\Firefox Setup 3.5.1.exe
2009-07-30 18:59:04 ----A---- C:\cle-wep.txt

======List of files/folders modified in the last 1 months======

2009-08-27 04:27:11 ----RD---- C:\Program Files
2009-08-27 04:24:50 ----D---- C:\WINDOWS\Temp
2009-08-27 02:10:57 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-08-27 02:10:56 ----D---- C:\WINDOWS\system32\CatRoot2
2009-08-27 02:07:09 ----D---- C:\WINDOWS\system32
2009-08-27 02:05:59 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-08-27 02:05:36 ----D---- C:\WINDOWS
2009-08-27 02:05:36 ----A---- C:\WINDOWS\system.ini
2009-08-27 02:04:08 ----D---- C:\WINDOWS\system32\drivers
2009-08-27 02:04:08 ----D---- C:\WINDOWS\AppPatch
2009-08-27 02:04:00 ----D---- C:\Program Files\Common Files
2009-08-27 01:59:57 ----D---- C:\WINDOWS\system32\config
2009-08-27 01:55:40 ----D---- C:\WINDOWS\Prefetch
2009-08-24 01:48:49 ----D---- C:\VALUEADD
2009-08-24 01:17:46 ----SD---- C:\Documents and Settings\All Users\Application Data\Microsoft
2009-08-23 04:15:11 ----HD---- C:\WINDOWS\inf
2009-08-19 16:58:25 ----SD---- C:\WINDOWS\Tasks
2009-08-16 18:00:28 ----A---- C:\WINDOWS\imsins.BAK
2009-08-16 18:00:20 ----A---- C:\WINDOWS\win.ini
2009-08-16 18:00:14 ----D---- C:\Program Files\Windows Media Player
2009-08-16 18:00:11 ----D---- C:\WINDOWS\Help
2009-08-15 19:03:19 ----SHD---- C:\WINDOWS\Installer
2009-08-04 16:47:12 ----D---- C:\WINDOWS\system32\Macromed
2009-07-30 23:16:55 ----RSD---- C:\WINDOWS\Fonts
2009-07-30 19:01:55 ----D---- C:\Documents and Settings\user\Application Data\Microsoft

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 Aavmker4;avast! Asynchronous Virus Monitor; C:\WINDOWS\system32\drivers\Aavmker4.sys [2009-08-18 26944]
R1 aswSP;avast! Self Protection; C:\WINDOWS\system32\drivers\aswSP.sys [2009-08-18 114768]
R1 FsVga;FsVga; C:\WINDOWS\System32\DRIVERS\fsvga.sys [2003-04-03 12160]
R1 intelppm;Intel Processor Driver; C:\WINDOWS\System32\DRIVERS\intelppm.sys [2008-04-14 39552]
R1 meiudf;meiudf; C:\WINDOWS\System32\Drivers\meiudf.sys [2003-10-24 90416]
R1 sscdbhk5;sscdbhk5; C:\WINDOWS\system32\drivers\sscdbhk5.sys [2004-01-14 5621]
R1 ssrtln;ssrtln; C:\WINDOWS\system32\drivers\ssrtln.sys [2004-01-14 23219]
R2 aswFsBlk;aswFsBlk; C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2009-08-18 20560]
R2 aswMon2;avast! Standard Shield Support; C:\WINDOWS\system32\drivers\aswMon2.sys [2009-08-18 94160]
R2 drvnddm;drvnddm; C:\WINDOWS\system32\drivers\drvnddm.sys [2004-01-14 40480]
R2 Netdevio;TOSHIBA Network Device Usermode I/O Protocol; C:\WINDOWS\System32\DRIVERS\netdevio.sys [2003-01-29 12032]
R2 tfsnboio;tfsnboio; C:\WINDOWS\system32\dla\tfsnboio.sys [2004-03-26 25691]
R2 tfsncofs;tfsncofs; C:\WINDOWS\system32\dla\tfsncofs.sys [2004-03-26 34843]
R2 tfsndrct;tfsndrct; C:\WINDOWS\system32\dla\tfsndrct.sys [2004-03-26 4123]
R2 tfsndres;tfsndres; C:\WINDOWS\system32\dla\tfsndres.sys [2004-03-26 2239]
R2 tfsnifs;tfsnifs; C:\WINDOWS\system32\dla\tfsnifs.sys [2004-03-26 85722]
R2 tfsnopio;tfsnopio; C:\WINDOWS\system32\dla\tfsnopio.sys [2004-03-26 14235]
R2 tfsnpool;tfsnpool; C:\WINDOWS\system32\dla\tfsnpool.sys [2004-03-26 6363]
R2 tfsnudf;tfsnudf; C:\WINDOWS\system32\dla\tfsnudf.sys [2004-03-26 98522]
R2 tfsnudfa;tfsnudfa; C:\WINDOWS\system32\dla\tfsnudfa.sys [2004-03-26 100603]
R2 tossmbxp;tossmbxp; C:\WINDOWS\system32\drivers\tossmbxp.sys [2003-11-26 19456]
R3 {6080A529-897E-4629-A488-ABA0C29B635E};Intel(R) Graphics Platform (SoftBIOS) Driver; C:\WINDOWS\system32\drivers\ialmsbw.sys [2004-01-26 122110]
R3 {D31A0762-0CEB-444e-ACFF-B049A1F6FE91};Intel(R) Graphics Chipset (KCH) Driver; C:\WINDOWS\system32\drivers\ialmkchw.sys [2004-01-26 99002]
R3 {E2B953A6-195A-44F9-9BA3-3D5F4E32BB55};AIM 3.0 Part 01 Codec Driver CH-7009-A/CH-7011; C:\WINDOWS\system32\drivers\wA301a.sys [2004-01-26 33847]
R3 ApfiltrService;Alps Pointing-device Filter Driver; C:\WINDOWS\System32\DRIVERS\Apfiltr.sys [2003-12-10 100153]
R3 Arp1394;1394 ARP Client プロトコル; C:\WINDOWS\System32\DRIVERS\arp1394.sys [2008-04-14 60800]
R3 CmBatt;Microsoft AC Adapter Driver; C:\WINDOWS\System32\DRIVERS\CmBatt.sys [2008-04-14 13952]
R3 E100B;Intel(R) PRO Adapter Driver; C:\WINDOWS\System32\DRIVERS\e100b325.sys [2003-12-29 153088]
R3 HidUsb;Microsoft HID Class Driver; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-14 10368]
R3 ialm;ialm; C:\WINDOWS\System32\DRIVERS\ialmnt5.sys [2004-01-26 95579]
R3 mouhid;マウス HID ドライバ; C:\WINDOWS\System32\DRIVERS\mouhid.sys [2001-08-24 12160]
R3 NIC1394;1394 ネット ドライバ; C:\WINDOWS\System32\DRIVERS\nic1394.sys [2008-04-14 61824]
R3 STAC97;Audio Driver (WDM) - SigmaTel CODEC; C:\WINDOWS\system32\drivers\stac97.sys [2003-07-17 230416]
R3 TOSHIBASoftModem;TOSHIBA Software Modem; C:\WINDOWS\System32\DRIVERS\LTSM.sys [2002-09-17 809872]
R3 usbehci;Microsoft USB 2.0 Enhanced Host Controller Miniport Driver; C:\WINDOWS\System32\DRIVERS\usbehci.sys [2008-04-14 30208]
R3 usbhub;Microsoft USB Standard Hub Driver; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2008-04-14 59520]
R3 USBSTOR;USB 大容量記憶装置ドライバ; C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2008-04-14 26368]
R3 usbuhci;Microsoft USB Universal Host Controller Miniport Driver; C:\WINDOWS\System32\DRIVERS\usbuhci.sys [2008-04-14 20608]
R3 w22n51;Intel(R) PRO/Wireless 2200 Adapter ドライバ; C:\WINDOWS\system32\DRIVERS\w22n51.sys [2004-01-02 1646720]
S3 Cap7134;TOSHIBA miniPCI WDM Capture; C:\WINDOWS\System32\DRIVERS\Cap7134.sys [2004-04-06 391808]
S3 catchme;catchme; \??\C:\DOCUME~1\user\LOCALS~1\Temp\catchme.sys []
S3 CCDECODE;クローズド キャプション デコーダ; C:\WINDOWS\System32\DRIVERS\CCDECODE.sys [2008-04-14 17024]
S3 gv3;Intel GV3 Processor Driver; C:\WINDOWS\System32\DRIVERS\gv3.sys [2002-11-20 32896]
S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink Converter; C:\WINDOWS\system32\drivers\MSTEE.sys [2008-04-14 5504]
S3 NABTSFEC;NABTS/FEC VBI Codec; C:\WINDOWS\System32\DRIVERS\NABTSFEC.sys [2008-04-14 85248]
S3 NdisIP;Microsoft TV/ビデオ接続; C:\WINDOWS\System32\DRIVERS\NdisIP.sys [2008-04-14 10880]
S3 PhTVTune;TOSHIBA miniPCI WDM TVTuner; C:\WINDOWS\System32\DRIVERS\Silicon.sys [2004-05-17 30528]
S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\System32\DRIVERS\SLIP.sys [2008-04-14 11136]
S3 streamip;BDA IPSink; C:\WINDOWS\System32\DRIVERS\StreamIP.sys [2008-04-14 15232]
S3 usbscan;USB スキャナ ドライバ; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-14 15104]
S3 WSTCODEC;World Standard Teletext Codec; C:\WINDOWS\System32\DRIVERS\WSTCODEC.SYS [2008-04-14 19200]
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 aswUpdSv;avast! iAVS4 Control Service; C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe [2009-08-18 18752]
R2 avast! Antivirus;avast! Antivirus; C:\Program Files\Alwil Software\Avast4\ashServ.exe [2009-08-18 138680]
R2 CFSvcs;ConfigFree Service; C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe [2004-03-04 28672]
R2 DVD-RAM_Service;DVD-RAM_Service; C:\WINDOWS\System32\DVDRAMSV.exe [2003-05-23 106496]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe [2003-02-20 32768]
S3 WMPNetworkSvc;Windows Media Player Network Sharing Service; C:\Program Files\Windows Media Player\WMPNetwk.exe [2007-01-08 902656]
S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]

-----------------EOF-----------------
0
Réponse 6 / 22
plopus Messages postés 6113 Statut Contributeur sécurité 293
 
salut

* Telecharge UsbFix de C_XX & Chiquitine29
http://sd-1.archive-host.com/membres/up/127028005715545653/UsbFix.exe

* Lance l installation avec les parametres par default
* Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d'avoir été infectés sans les ouvrir
* Double clic sur le raccourci UsbFix sur ton bureau
* Choisi l'option 1 (recherche)
* Laisse travailler l'outil
* Ensuite post le rapport UsbFix.txt qui apparaîtra
* Note : le rapport UsbFix.txt est sauvegardé a la racine du disque

* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus
0
Réponse 7 / 22
Aoi93 Messages postés 95 Statut Membre
 
Voila le rapport


############################## | UsbFix V6.023 |

User : user (Administrators) # YOUR-CMVZS2LE45
Update on 25/08/09 by Chiquitine29
Start at: 17:44:51 | 2009/08/27
Website : http://pagesperso-orange.fr/NosTools/index.html

Intel(R) Celeron(R) M processor 1400MHz
Microsoft Windows XP Home Edition (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 6.0.2900.5512
Windows Firewall Status : Disabled
AV : avast! antivirus 4.8.1351 [VPS 090825-0] 4.8.1351 [ (!) Disabled | Updated ]

C:\ -> ローカル固定ディスク # 54.2 Go (46.87 Go free) [S3A1764D001] # NTFS
D:\ -> CD-ROM ディスク
E:\ -> リムーバブル ディスク # 983.72 Mo (428.34 Mo free) [UDISK 2.0] # FAT
F:\ -> リムーバブル ディスク # 124.48 Mo (115.68 Mo free) [MUKYAAAAAAA] # FAT

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\System32\DVDRAMSV.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\Program Files\SigmaTel\SigmaTel AC97 オーディオ ドライバ\stacmon.exe
C:\WINDOWS\LTSMMSG.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\WINDOWS\System32\00THotkey.exe
C:\WINDOWS\system32\TFNF5.exe
C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
C:\Program Files\TOSHIBA\PadTouch\PadExe.exe
C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe
C:\Program Files\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Program Files\TOSHIBA\TOSHIBA Smooth View\SmoothView.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\conime.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\WINDOWS\system32\RAMASST.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |

Pr駸ent ! C:\WINDOWS\system32\ne0kS.dll.wsf
Pr駸ent ! C:\WINDOWS\system32\ne0kS.exe
Pr駸ent ! E:\autorun.inf
Pr駸ent ! E:\Le kweke City.jpg.wsf
Pr駸ent ! E:\ne0kS.exe
Pr駸ent ! E:\start.exe
Pr駸ent ! F:\autorun.inf
Pr駸ent ! F:\ne0kS.exe

################## | Suspect ! ... | https://www.virustotal.com/gui/ |


################## | Registre # Cl駸 Run infectieuses |

Pr駸ent ! HKLM\Software\Microsoft\Windows\CurrentVersion\Run "System12"

################## | Registre # Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{86638e60-7d13-11de-b76f-000e35a9148e}
Shell\Auto\command =wscript "Le kweke City.jpg.wsf"
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript "Le kweke City.jpg.wsf"

HKCU\..\..\Explorer\MountPoints2\{c55a9b60-8915-11de-b79e-000e35a9148e}
Shell\Auto\command =wscript "Le kweke City.jpg.wsf"
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript "Le kweke City.jpg.wsf"

################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # UsbFix V6.023 ! |
0
Réponse 8 / 22
plopus Messages postés 6113 Statut Contributeur sécurité 293
 
# Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir
# Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisi "Exécuter en tant qu'administrateur" .
# choisi l'option 2 ( Suppression )
# Ton bureau disparaîtra et le pc redémarrera .
# Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.
# Ensuite post le rapport UsbFix.txt qui apparaîtra avec le bureau .
# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )
# ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
# :!: UsbFix te proposera d'uploader un dossier compressé à cette adresse : https://www.androidworld.fr/
# Ce dossier a été créé par UsbFix et est enregistré sur ton bureau.
# Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches.
# Merci d'avance pour ta contribution !!

puis

* Télécharge Malwarebytes
https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
* Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
* Lance une analyse complète en cliquant sur "Exécuter un examen complet"
* Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"
* L'analyse peut durer un bon moment.....
* Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"
* Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"
* Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée
0
Réponse 9 / 22
Aoi93 Messages postés 95 Statut Membre
 
Voila le rapport de usbFix


############################## | UsbFix V6.023 |

User : user (Administrators) # YOUR-CMVZS2LE45
Update on 25/08/09 by Chiquitine29
Start at: 21:04:45 | 2009/08/27
Website : http://pagesperso-orange.fr/NosTools/index.html

Intel(R) Celeron(R) M processor 1400MHz
Microsoft Windows XP Home Edition (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 6.0.2900.5512
Windows Firewall Status : Disabled
AV : avast! antivirus 4.8.1351 [VPS 090825-0] 4.8.1351 [ (!) Disabled | Updated ]

C:\ -> ローカル固定ディスク # 54.2 Go (46.85 Go free) [S3A1764D001] # NTFS
D:\ -> CD-ROM ディスク
E:\ -> リムーバブル ディスク # 983.72 Mo (428.34 Mo free) [UDISK 2.0] # FAT
F:\ -> リムーバブル ディスク # 124.48 Mo (115.67 Mo free) [MUKYAAAAAAA] # FAT

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\System32\DVDRAMSV.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\conime.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |

Supprim・! C:\WINDOWS\system32\ne0kS.dll.wsf
Supprim・! C:\WINDOWS\system32\ne0kS.exe
Supprim・! E:\autorun.inf
Supprim・! E:\Le kweke City.jpg.wsf
Supprim・! E:\ne0kS.exe
Supprim・! E:\start.exe
Supprim・! F:\autorun.inf
Supprim・! F:\Le kweke City.jpg.wsf
Supprim・! F:\ne0kS.exe

################## | Autres |


################## | Suspect ! ... | https://www.virustotal.com/gui/ |


################## | Registre # Cl駸 Run infectieuses |

Supprim・! HKLM\Software\Microsoft\Windows\CurrentVersion\Run "System12"

################## | Registre # Mountpoints2 |


################## | Listing des fichiers pr駸ent |

[2004/03/30 17:35|--a------|0] -> C:\AUTOEXEC.BAT
[2009/06/02 16:54|-rahs----|211] -> C:\boot.ini
[2003/04/03 21:00|-rahs----|132398] -> C:\bootfont.bin
[2009/07/30 18:59|--a------|13] -> C:\cle-wep.txt
[2009/08/27 02:07|--a------|20332] -> C:\ComboFix.txt
[2004/03/30 17:35|--a------|0] -> C:\CONFIG.SYS
[2009/07/30 19:01|--a------|8128584] -> C:\Firefox Setup 3.5.1.exe
[?|?|?] -> C:\hiberfil.sys
[2004/03/30 17:35|-rahs----|0] -> C:\IO.SYS
[2004/03/30 17:35|-rahs----|0] -> C:\MSDOS.SYS
[2009/06/02 16:46|-rahs----|47564] -> C:\NTDETECT.COM
[2009/06/02 16:46|-rahs----|260800] -> C:\ntldr
[?|?|?] -> C:\pagefile.sys
[2009/08/26 21:16|--a------|781909] -> C:\RSIT.exe
[2009/08/27 21:06|--a------|3023] -> C:\UsbFix.txt
[2008/08/13 15:22|--a------|35973] -> E:\licence.txt
[2004/02/29 16:44|--a------|52576] -> E:\orange.bmp
[2007/03/21 13:35|--a------|8770894] -> F:\01. Tsubomi.mp3
[2009/08/21 14:22|--a------|94] -> F:\y.txt
[2009/08/23 23:57|--a------|13714] -> F:\y.gp5
[2009/08/27 04:29|--a------|15569] -> F:\log.txt
[2009/08/27 04:29|--a------|8879] -> F:\info.txt
[2009/08/27 17:47|--a------|3547] -> F:\UsbFix.txt

################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # UsbFix V6.023 ! |
0
Réponse 10 / 22
Aoi93 Messages postés 95 Statut Membre
 
Je viens de finir le scan avec malewarebytes, mais quand le rapport est sorti l'ordi a redemarrer. J'ai essayer de chercher un peu le rapport dans l'ordi, mais je le trouve pas... Je suis en train de refaire le scan (comme ca on peut verifier si l'ordi a ete desinfecter), mais dites moi si je dois faire autre chose svp...
0
Réponse 11 / 22
Aoi93 Messages postés 95 Statut Membre
 
En fait c'est bon j'ai retrouver le rapport ^^"

Malwarebytes' Anti-Malware 1.40
Database version: 2551
Windows 5.1.2600 Service Pack 3

2009/08/27 21:33:49
mbam-log-2009-08-27 (21-33-49).txt

Scan type: Full Scan (C:\|E:\|F:\|)
Objects scanned: 122582
Time elapsed: 19 minute(s), 28 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 1

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
C:\System Volume Information\_restore{86F59E73-6704-4BD2-B629-656BAB941CE1}\RP13\A0004520.dll (Rogue.Agent) -> Quarantined and deleted successfully.
0
Réponse 12 / 22
plopus Messages postés 6113 Statut Contributeur sécurité 293
 
trés bien

Fait un scan en ligne ici et copie colle le rapport en ENTIER a la fin
http://www.bitdefender.com/scan_fr/scan8/ie.html

puis si rien de special on finit
0
Réponse 13 / 22
Aoi93 Messages postés 95 Statut Membre
 
Gros probleme >< j'arrive pas a me connecter a internet...

J'ai allumer mon ordi et j'ai essayer de me mettre sur internet mais firefox me dit qu'il ne trouve pas la page, j'ai aussi essayer d'afficher d'autre page mais rien... j'ai verifier l'etat de la connection et je vois que l'emission n'a aucun probleme mais que la reception est quasi-nulle (bien sur l'ordinateur reconnait la connection internet)... J'ai aussi tester internet explorer mais pas de changement... j'ai regarder les connections au network et j'ai trouver 2 connection actives :
- la premiere, la connection que j'utilise habituellement ;
- la deuxieme, une connection nommer "1394 connection 2", n'ayant pas de protocole internet TCP/IP. Je suis pas bete au point d'ecrire ce message en ignorant ce que c'etait, j'ai trouver sur internet que l'IEEE 1394 correcpondait au FireWire et qu'il se peut qu'une des personnes avec je partage l'utilisation de cet ordinateur ait inserer une carte de port firewire... Mais comme c'est la premiere fois que je vois ca dans la liste de connection possible, je me suis demander si c'etait pas autre chose que le FireWire (un truc de piratage par exxemple) et je l'ai donc desactiver ;
Pour verifier j'ai brancher mon cable de connection internet sur un autre ordinateur (je sais c'est parfaitement demoder, mas je fais ca depuis que le routeur est en panne U,U), mais y a aucun probleme a la connection...

Donc mes questions sont les suivantes :
Que dois-je faire pour que mon ordinateur puisse se reconnecter a internet ? Est ce a cause du virus ? Et puis-je faire confiance au "1394" et le laisser comme il est ?
0
Réponse 14 / 22
plopus Messages postés 6113 Statut Contributeur sécurité 293
 
et si tu redemarre ton PC au bip tapote F8 et choisit mode sans echec avec prise en charge du reseau

est ce que tu as internet ?

ensuite en mode normal essaye ceci pour voir :

demarrer/executer

tape avec un espace entre les 2

sfc /scannow

un scan va ce lancer et verifié les fichiers de windows

dit moi ce qui te dit
0
Réponse 15 / 22
Aoi93 Messages postés 95 Statut Membre
 
En mode normal, j'ai fait le scan mais il ne me signale pas de probleme, donc apparemment y a pas de probleme.

Sinon le mode sans echec avec reseau j'arrive pas a le faire, quand j'allume mon ordi, il me sort d'abord le logo de Toshiba dynabook et tout de suite apres le logo de windows, sans le bip comme sur les autres ordinateurs. j'ai quand meme essayer de taper sur F8 a l'affichage du logo de dynabook mais rien ne se passe...

Que dois-je faire ><
0
Réponse 16 / 22
plopus Messages postés 6113 Statut Contributeur sécurité 293
 
ok tu as internet avec le PC que nous avons commencé a desinfecter ?
0
Réponse 17 / 22
Aoi93 Messages postés 95 Statut Membre
 
justement c'est sur cet ordi la, celui sur lequel on a passer tous les scans qui ne veut plus se mettre sur internet >< dsl si j'ai mal expliquer...
0
Réponse 18 / 22
plopus Messages postés 6113 Statut Contributeur sécurité 293
 
ok relance combofix qui doit etre renommé en ton prenom et poste moi le rapport qui apparait
0
Réponse 19 / 22
Aoi93 Messages postés 95 Statut Membre
 
En fait, c'est juste une impression, mas je crois que le prob il est autre part :/
Je vais quand meme poser la question dans le forum reseau ; si j'arrive a regler la connectivite internet, on revient sur le prob des virus...
0
Réponse 20 / 22
Aoi93 Messages postés 95 Statut Membre
 
C'est bon j'ai ma connection, c'etait juste le routeur qui a beuguait :/
Donc revenons a notre probleme principal : je dois faire mon scan en ligne c'est ca ?
0

Discussions similaires

Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
Désinstaller Softonic
Diguimette -
lilidurhone -

5 réponses
virus Artemis!
mabiche37 -
Malekal_morte- -

14 réponses
Message Apple virus !!
Souclik67 -
MPMP10 -

3 réponses