Virus(rootkit) et probleme avec malewarebytes

Résolu
Aoi93 Messages postés 95 Statut Membre -  
plopus Messages postés 49 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour, pour commencer, j'ai deux ordinateurs infectes par des rootkit : j'ai fait une analyse avec avast et le logiciel m'a signaler dans les deux ordinateurs qu'il y a des fichiers uac(aleatoire).dll. A ce moment la, j'ai betement supprimer les fichiers a l'aide d'avast. Mais apres je me suis rendu compte que le virus etait toujours present sur l'un des deux ordinateurs. J'ai donc refait un scan sur les deux ordinateurs ; resultat, celui dont je me suis apercus qu'il etait infecter m'a signaler la presence du rootkit mais l'autre n'a rien trouver (d'ailleurs celui qui me dit qu'il est infecter me sort des pages bizarres quand je vais sur google alors que l'autre n'a aucun probleme). J'ai donc lu l'article "Comment supprimer le rootkit : W32/TDSS" sur commentcamarche.net et intaller sur les deux ordinateurs Malwarebytes'Anti-Malware (j'ai pas intaller combofix car j'ai trouver que l'histoire des envois de rapports etait "chiant") :
- Sur l'ordinateur dont avast a signaler la presence de fichiers uac(aleatoire).dll, le logiciel ne fonctionne pas (je clique sur le fichier mbam.exe mais rien ne se passe U,U" ca tombe bien pour le virus...) ;
- Sur l'autre ordinateur dont avast n'a pas signaler de virus particulier, j'ai reussi a passer le scan, mais malwarebytes n'a trouver aucun virus.

Donc mes questions sont les suivantes :
- Est ce normal que le virus ait disparu sur l'un et pas sur l'autre ?
- Que doit e faire pour que malwarebytes fonctionne sur l'ordinateur infecter ou pour supprimer le rootkit ? (si y a pas le choix, j'installerai combofix...)

22 réponses

  • 1
  • 2
  1. plopus Messages postés 49 Date d'inscription   Statut Contributeur sécurité Dernière intervention   293
     
    salut

    on commence par le PC le + touché donc celui ou tu ne peut rien executer on va l"appeler PC 1

    donc clic droit sur l'url ci dessous et chosit "enregsitré la cible du lien sous" tu RENOMME le fichier en ton prenom ou ce que tu veux et tu choisit l'emplacement du BUREAU et pas ailleurs

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    ensuite tu desactive ton antivirus, tu lance combofix, tu suit les indications, il va te demander d'installer la console de recuperation FAIT LE, une fois installé tu auras un message te demandant de continuer ou non al recherche de nuisible A CE MOMENT la tu debranche le cable d'internet, il faut absolument que tu ne soit pas connecté a internet ensuite CLIC OUI et patiente le temps du scan et poste le rapport
    0
  2. Aoi93 Messages postés 95 Statut Membre
     
    Merci poplus =D voici le rapport

    ComboFix 09-08-26.02 - user 2009/08/27 2:01.1.1 - NTFSx86
    Microsoft Windows XP Home Edition 5.1.2600.3.932.81.1041.18.495.236 [GMT 9:00]
    Running from: c:\documents and settings\user\デスクトップ\user.exe
    AV: avast! antivirus 4.8.1351 [VPS 090825-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
    * Created a new restore point

    WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
    .

    ((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\recycler\S-1-5-21-3712335341-3235864466-2602351325-1003
    c:\recycler\S-1-5-21-57989841-1060284298-854245398-1003
    c:\windows\run.log
    c:\windows\system32\drivers\UACkoepxufxho.sys
    c:\windows\system32\ieuinit.inf
    c:\windows\system32\UACbutxxymttp.dll
    c:\windows\system32\uacinit.dll
    c:\windows\system32\UACsswulqetxw.dll
    c:\windows\system32\UACtlirhaqblo.dll
    c:\windows\system32\UACwdnvsiehru.dat
    c:\windows\system32\UACwkbcetcfmi.db

    .
    ((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Service_UACd.sys
    -------\Legacy_UACd.sys

    ((((((((((((((((((((((((( Files Created from 2009-07-26 to 2009-08-26 )))))))))))))))))))))))))))))))
    .

    2009-08-26 16:55 . 2008-02-10 03:36 5556 ----a-w- c:\windows\system32\ne0kS.dll.wsf
    2009-08-23 20:19 . 2009-08-23 20:19 -------- d-----w- c:\documents and settings\user\Application Data\Apple Computer
    2009-08-23 18:07 . 2009-08-03 04:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2009-08-23 18:06 . 2009-08-23 18:20 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2009-08-23 18:06 . 2009-08-23 18:06 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
    2009-08-23 18:06 . 2009-08-03 04:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
    2009-08-18 19:35 . 2009-08-17 16:03 26944 ----a-w- c:\windows\system32\drivers\aavmker4.sys
    2009-08-18 19:35 . 2009-08-17 16:02 97480 ----a-w- c:\windows\system32\AvastSS.scr
    2009-08-18 19:35 . 2009-08-17 16:06 93392 ----a-w- c:\windows\system32\drivers\aswmon.sys
    2009-08-18 19:35 . 2009-08-17 16:06 94160 ----a-w- c:\windows\system32\drivers\aswmon2.sys
    2009-08-18 19:35 . 2009-08-17 16:05 114768 ----a-w- c:\windows\system32\drivers\aswSP.sys
    2009-08-18 19:35 . 2009-08-17 16:05 20560 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
    2009-08-18 19:34 . 2009-08-17 16:10 1279456 ----a-w- c:\windows\system32\aswBoot.exe
    2009-08-18 19:34 . 2003-03-18 21:20 1060864 ----a-w- c:\windows\system32\MFC71.dll
    2009-08-18 19:34 . 2009-08-18 19:34 -------- d-----w- c:\program files\Alwil Software
    2009-08-18 09:31 . 2009-08-18 09:31 -------- d-----w- c:\program files\7-Zip
    2009-08-16 09:06 . 2008-04-13 22:56 26624 ----a-w- c:\documents and settings\LocalService\Application Data\Microsoft\UPnP Device Host\upnphost\udhisapi.dll
    2009-08-16 09:00 . 2009-08-16 09:00 -------- d-----w- c:\program files\Windows Media Connect 2
    2009-08-16 08:58 . 2009-08-16 08:59 -------- d-----w- c:\windows\system32\drivers\UMDF
    2009-08-16 08:58 . 2009-08-16 08:58 -------- d-----w- c:\windows\system32\LogFiles
    2009-08-15 15:03 . 2009-03-10 05:15 418318 ---ha-w- c:\windows\system32\ne0kS.exe
    2009-08-15 10:02 . 2009-08-15 10:03 -------- d-----w- c:\program files\QuickTime
    2009-08-15 10:02 . 2009-08-15 10:02 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple Computer
    2009-08-15 10:01 . 2009-08-15 10:01 -------- d-----w- c:\documents and settings\user\Local Settings\Application Data\Apple
    2009-08-15 10:01 . 2009-08-15 10:01 -------- d-----w- c:\program files\Apple Software Update
    2009-08-15 10:01 . 2009-08-15 10:01 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple
    2009-08-15 10:01 . 2009-08-15 10:01 -------- d-----w- c:\documents and settings\user\Local Settings\Application Data\Apple Computer
    2009-08-07 11:52 . 2009-08-07 11:52 -------- d-----w- c:\documents and settings\user\Application Data\AdobeUM
    2009-08-07 11:52 . 2009-08-07 11:52 -------- d-----w- c:\documents and settings\user\Local Settings\Application Data\Adobe
    2009-08-07 11:47 . 2009-08-07 11:47 -------- d-----w- c:\program files\Common Files\Adobe
    2009-08-03 14:15 . 2009-08-04 07:47 -------- d-----w- c:\windows\system32\Adobe
    2009-08-01 16:17 . 2001-08-24 03:39 5632 ----a-w- c:\windows\system32\ptpusb.dll
    2009-08-01 16:17 . 2008-04-13 22:56 159232 ----a-w- c:\windows\system32\ptpusd.dll
    2009-08-01 16:17 . 2008-04-13 15:15 15104 -c--a-w- c:\windows\system32\dllcache\usbscan.sys
    2009-08-01 16:17 . 2008-04-13 15:15 15104 ----a-w- c:\windows\system32\drivers\usbscan.sys
    2009-07-30 14:16 . 2009-07-30 14:16 -------- d-----w- c:\program files\Guitar Pro 5
    2009-07-30 12:32 . 2001-08-24 03:10 12160 -c--a-w- c:\windows\system32\dllcache\mouhid.sys
    2009-07-30 12:32 . 2001-08-24 03:10 12160 ----a-w- c:\windows\system32\drivers\mouhid.sys
    2009-07-30 12:32 . 2008-04-13 15:15 10368 -c--a-w- c:\windows\system32\dllcache\hidusb.sys
    2009-07-30 12:32 . 2008-04-13 15:15 10368 ----a-w- c:\windows\system32\drivers\hidusb.sys
    2009-07-30 10:02 . 2009-07-30 10:02 0 ----a-w- c:\windows\nsreg.dat
    2009-07-30 10:02 . 2009-07-30 10:02 -------- d-----w- c:\documents and settings\user\Local Settings\Application Data\Mozilla
    2009-07-30 10:01 . 2009-07-30 10:01 8128584 ----a-w- C:\Firefox Setup 3.5.1.exe

    .
    (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2009-08-18 16:39 . 2009-08-18 16:38 784744 ----a-w- c:\windows\system32\xa.tmp
    2009-07-30 14:20 . 2009-06-02 08:06 21824 ----a-w- c:\documents and settings\user\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
    2009-07-21 06:52 . 2009-07-21 06:52 499712 ----a-w- c:\windows\system32\msvcp71.dll
    2009-07-21 06:52 . 2009-07-21 06:52 348160 ----a-w- c:\windows\system32\msvcr71.dll
    2009-07-15 07:08 . 2009-07-15 07:08 -------- d-----w- c:\documents and settings\user\Application Data\CyberLink
    2009-06-02 08:36 . 2004-03-30 07:59 52962 ----a-w- c:\windows\system32\perfc011.dat
    2009-06-02 08:36 . 2004-03-30 07:59 188540 ----a-w- c:\windows\system32\perfh011.dat
    2009-06-02 07:54 . 2004-03-30 08:34 76487 ----a-w- c:\windows\PCHealth\HelpCtr\OfflineCache\index.dat
    .

    ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* empty entries & legit default entries are not shown
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "TOSCDSPD"="c:\program files\TOSHIBA\TOSCDSPD\toscdspd.exe" [2003-09-04 65536]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2008-04-13 208952]
    "PHIME2002ASync"="c:\windows\System32\IME\TINTLGNT\TINTSETP.EXE" [2003-04-03 455168]
    "PHIME2002A"="c:\windows\System32\IME\TINTLGNT\TINTSETP.EXE" [2003-04-03 455168]
    "IgfxTray"="c:\windows\System32\igfxtray.exe" [2004-01-26 155648]
    "HotKeysCmds"="c:\windows\System32\hkcmd.exe" [2004-01-26 118784]
    "SigmaTel StacMon"="c:\program files\SigmaTel\SigmaTel AC97 オーディオ ドライバ\stacmon.exe" [2003-08-03 07:01 86073]
    "Apoint"="c:\program files\Apoint2K\Apoint.exe" [2003-10-30 192512]
    "00THotkey"="c:\windows\System32\00THotkey.exe" [2004-02-25 258048]
    "TouchED"="c:\program files\TOSHIBA\TouchED\TouchED.Exe" [2003-01-21 126976]
    "PadTouch"="c:\program files\TOSHIBA\PadTouch\PadExe.exe" [2004-02-03 1089589]
    "dla"="c:\windows\system32\dla\tfswctrl.exe" [2004-03-25 118843]
    "SmoothView"="c:\program files\TOSHIBA\TOSHIBA Smooth View\SmoothView.exe" [2004-03-02 135168]
    "MSPY2002"="c:\windows\System32\IME\PINTLGNT\ImScInst.exe" [2003-04-03 59392]
    "IMEKRMIG6.1"="c:\windows\ime\imkr6_1\IMEKRMIG.EXE" [2003-04-03 44032]
    "RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2004-07-14 32768]
    "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-05-26 413696]
    "System12"="c:\windows\system32\ne0kS.exe" [2009-03-10 418318]
    "avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-08-17 81000]
    "LTSMMSG"="LTSMMSG.exe" - c:\windows\ltsmmsg.exe [2003-04-18 32768]
    "000StTHK"="000StTHK.exe" - c:\windows\system32\000StTHK.exe [2001-06-23 24576]
    "TFNF5"="TFNF5.exe" - c:\windows\system32\TFNF5.exe [2003-12-02 73728]
    "TPSMain"="TPSMain.exe" - c:\windows\system32\TPSMain.exe [2004-03-03 278528]
    "NDSTray.exe"="NDSTray.exe" [BU]
    "TFncKy"="TFncKy.exe" [BU]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "ctfmon.exe"="ctfmon.exe" - c:\windows\system32\ctfmon.exe [2008-04-13 15360]

    c:\documents and settings\All Users\スタート メニュー\プログラム\スタートアップ\
    RAMASST.lnk - c:\windows\system32\RAMASST.exe [2004-3-30 155648]

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "%windir%\\system32\\sessmgr.exe"=

    R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2009/08/19 4:35 114768]
    R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2009/08/19 4:35 20560]
    R2 tossmbxp;tossmbxp;c:\windows\system32\drivers\TOSSMBXP.sys [2004/03/30 19:21 19456]
    S3 PhTVTune;TOSHIBA miniPCI WDM TVTuner;c:\windows\system32\drivers\Silicon.sys [2009/02/23 17:33 30528]
    .
    .
    ------- Supplementary Scan -------
    .
    uStart Page = hxxp://www.google.co.jp/
    uInternet Connection Wizard,ShellNext = hxxp://www.gocyberlink.com/registration/registration1.asp?SoftWare=POWERDVD&Version_Num=5.0&Cd_Key=MV39844293845489&Company=Company&FName=user&Lang=Jpn
    FF - ProfilePath - c:\documents and settings\user\Application Data\Mozilla\Firefox\Profiles\0a1t8yc3.default\
    FF - prefs.js: browser.search.selectedEngine - Yahoo! JAPAN
    FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPJava11.dll
    FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPJava12.dll
    FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPJava13.dll
    FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPJava14.dll
    FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPJava32.dll
    FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPJPI142_03.dll
    FF - plugin: c:\program files\Java\j2re1.4.2_03\bin\NPOJI610.dll

    ---- FIREFOX POLICIES ----
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota", 5120);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);
    c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");
    c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history", true);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata", true);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads", true);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies", true);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache", true);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions", true);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history", true);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata", true);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads", true);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies", true);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache", true);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions", true);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json");
    .

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2009-08-27 02:05
    Windows 5.1.2600 Service Pack 3 NTFS

    scanning hidden processes ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully
    hidden files: 0

    **************************************************************************
    .
    --------------------- LOCKED REGISTRY KEYS ---------------------

    [HKEY_USERS\.Default\AppEvents\Schemes\Apps\Avast\",g_j€・・カ0・、0・ソ0・ユ0ァ0・ケ0 *ワ0ソ0・L0シbU0・~0W0_0\.Current]
    @="c:\\Program Files\\Alwil Software\\Avast4\\Japanese\\press.wav"

    [HKEY_USERS\.Default\AppEvents\Schemes\Apps\Avast\",g_j€・・カ0・、0・ソ0・ユ0ァ0・ケ0 *ワ0ソ0・L0シbU0・~0W0_0\.Modified]
    @="c:\\Program Files\\Alwil Software\\Avast4\\Japanese\\press.wav"

    [HKEY_USERS\.Default\AppEvents\Schemes\Apps\Avast\",g_j€・・カ0・、0・ソ0・ユ0ァ0・ケ0 ワ0ソ0・
    Nn0゙0ヲ0ケ0\.Current]
    @="c:\\Program Files\\Alwil Software\\Avast4\\Japanese\\hover.wav"

    [HKEY_USERS\.Default\AppEvents\Schemes\Apps\Avast\",g_j€・・カ0・、0・ソ0・ユ0ァ0・ケ0 ワ0ソ0・
    Nn0゙0ヲ0ケ0\.Modified]
    @="c:\\Program Files\\Alwil Software\\Avast4\\Japanese\\hover.wav"

    [HKEY_USERS\.Default\AppEvents\Schemes\Apps\Avast\黶ユR *V*P*S* *ーe\.Current]
    @="c:\\Program Files\\Alwil Software\\Avast4\\Japanese\\vpsupd.wav"

    [HKEY_USERS\.Default\AppEvents\Schemes\Apps\Avast\黶ユR *V*P*S* *ーe\.Modified]
    @="c:\\Program Files\\Alwil Software\\Avast4\\Japanese\\vpsupd.wav"

    [HKEY_USERS\.Default\AppEvents\Schemes\Apps\Conf\*・^\.Current]
    @="c:\\Program Files\\NetMeeting\\Blip.wav"

    [HKEY_USERS\LocalService\AppEvents\Schemes\Apps\Conf\*・^\.Current]
    @="c:\\Program Files\\NetMeeting\\Blip.wav"

    [HKEY_USERS\S-1-5-20\AppEvents\Schemes\Apps\Conf\*・^\.Current]
    @="c:\\Program Files\\NetMeeting\\Blip.wav"

    [HKEY_USERS\S-1-5-21-3800774674-550577665-2996073943-1006\AppEvents\Schemes\Apps\Avast\",g_j€・・カ0・、0・ソ0・ユ0ァ0・ケ0 *ワ0ソ0・L0シbU0・~0W0_0\.Current]
    @="c:\\Program Files\\Alwil Software\\Avast4\\Japanese\\press.wav"

    [HKEY_USERS\S-1-5-21-3800774674-550577665-2996073943-1006\AppEvents\Schemes\Apps\Avast\",g_j€・・カ0・、0・ソ0・ユ0ァ0・ケ0 *ワ0ソ0・L0シbU0・~0W0_0\.Modified]
    @="c:\\Program Files\\Alwil Software\\Avast4\\Japanese\\press.wav"

    [HKEY_USERS\S-1-5-21-3800774674-550577665-2996073943-1006\AppEvents\Schemes\Apps\Avast\",g_j€・・カ0・、0・ソ0・ユ0ァ0・ケ0 ワ0ソ0・
    Nn0゙0ヲ0ケ0\.Current]
    @="c:\\Program Files\\Alwil Software\\Avast4\\Japanese\\hover.wav"

    [HKEY_USERS\S-1-5-21-3800774674-550577665-2996073943-1006\AppEvents\Schemes\Apps\Avast\",g_j€・・カ0・、0・ソ0・ユ0ァ0・ケ0 ワ0ソ0・
    Nn0゙0ヲ0ケ0\.Modified]
    @="c:\\Program Files\\Alwil Software\\Avast4\\Japanese\\hover.wav"

    [HKEY_USERS\S-1-5-21-3800774674-550577665-2996073943-1006\AppEvents\Schemes\Apps\Avast\黶ユR *V*P*S* *ーe\.Current]
    @="c:\\Program Files\\Alwil Software\\Avast4\\Japanese\\vpsupd.wav"

    [HKEY_USERS\S-1-5-21-3800774674-550577665-2996073943-1006\AppEvents\Schemes\Apps\Avast\黶ユR *V*P*S* *ーe\.Modified]
    @="c:\\Program Files\\Alwil Software\\Avast4\\Japanese\\vpsupd.wav"

    [HKEY_USERS\S-1-5-21-3800774674-550577665-2996073943-1006\AppEvents\Schemes\Apps\Conf\*・^\.Current]
    @="c:\\Program Files\\NetMeeting\\Blip.wav"

    [HKEY_LOCAL_MACHINE\software\Classes\B*D*A*T*u*n*e*r*.*ウ0・ン0・ヘ0・ネ0\CLSID]
    @="{809B6661-94C4-49E6-B6EC-3F0F862215AA}"

    [HKEY_LOCAL_MACHINE\software\Classes\B*D*A*T*u*n*e*r*.*ウ0・ン0・ヘ0・ネ0\CurVer]
    @="BDATuner.コンポーネント.1"

    [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\P*C*:姦eト0・・]
    "SlowInfoCache"=hex:28,02,00,00,01,00,00,00,ff,ff,ff,ff,ff,ff,ff,ff,b0,0d,cb,
    85,3c,16,c4,01,00,00,00,00,43,00,3a,00,5c,00,50,00,72,00,6f,00,67,00,72,00,\
    "Changed"=dword:00000000

    [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\VolumeCaches\「0・、0・ケ0ネ0・・n0ミ0テ0ッ0「0テ0ラ0 *、0・・ク0]
    @="{67cf8cbd-e5c0-44f7-9de5-e1d599d626d8}"
    "Description"="このバージョンの Windows をアンインストールして前のオペレーティング システムに戻る場合は、これらのファイルが必要です。"
    "Display"="前のオペレーティング システムのバックアップ ファイル"
    "IconPath"=expand:"%SystemRoot%\\system32\\osuninst.EXE,0"

    [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\P*C*:姦eト0・・]
    @SACL=
    "UninstallString"="c:\\WINDOWS\\IsUn0411.exe -f\"c:\\Program Files\\TOSHIBA\\PCDiag\\Uninst.isu\""
    "DisplayName"="東芝PC診断ツール"

    [HKEY_LOCAL_MACHINE\software\TOSHIBA\qg揩P*C*:姦eト0・・]
    @SACL=
    "CurrentVersion"="v3.0.2"
    "DisplayName"="東芝PC診断ツール"
    .
    --------------------- DLLs Loaded Under Running Processes ---------------------

    - - - - - - - > 'winlogon.exe'(828)
    c:\windows\IME\IMJP8_1\Dicts\IMJPCD.DIC
    .
    Completion time: 2009-08-26 2:07
    ComboFix-quarantined-files.txt 2009-08-26 17:06

    Pre-Run: 50,297,815,040 バイトの空き領域
    Post-Run: 50,315,952,128 バイトの空き領域

    318
    0
  3. plopus Messages postés 49 Date d'inscription   Statut Contributeur sécurité Dernière intervention   293
     
    bien

    Télécharge Random's System Information Tool (RSIT) de Random/Random, et enregistre le sur ton Bureau.
    http://images.malwareremoval.com/random/RSIT.exe
    • Double clique sur RSIT.exe pour lancer l'outil.
    • Clique sur "Continue" à l'écran Disclaimer.
    • Si l'outil HijackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu s'il te le demande) et tu devras accepter la licence.
    • Une fois le scan terminé, deux rapports vont apparaître : poste les dans deux messages séparés stp
    0
  4. Aoi93 Messages postés 95 Statut Membre
     
    Alors, ca c'est le rapport qui etait dans le fichier "info"

    info.txt logfile of random's system information tool 1.06 2009-08-27 04:27:43

    ======Uninstall list======

    -->C:\WINDOWS\IsUn0411.exe -fC:\WINDOWS\orun32.isu
    -->C:\WINDOWS\System32\\MSIEXEC.EXE /x {1206EF92-2E83-4859-ACCB-2048C3CB7DA6}
    -->C:\WINDOWS\System32\\MSIEXEC.EXE /x {9541FED0-327F-4df0-8B96-EF57EF622F19}
    -->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
    7-Zip 4.65-->"C:\Program Files\7-Zip\Uninstall.exe"
    Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
    Adobe Photoshop Album 2.0 Mini-->MsiExec.exe /I{11B569C2-4BF6-4ED0-9D17-A4273943CB24}
    Adobe Reader 6.0.1 - Japanese-->MsiExec.exe /I{AC76BA86-7AD7-1041-7B44-A00000000001}
    Adobe Shockwave Player 11.5-->"C:\WINDOWS\system32\Adobe\Shockwave 11\uninstaller.exe"
    ALPS Touch Pad Driver-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{9F72EF8B-AEC9-4CA5-B483-143980AFD6FD}\setup.exe" UNINSTALL
    Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
    avast! Antivirus-->C:\Program Files\Alwil Software\Avast4\aswRunDll.exe "C:\Program Files\Alwil Software\Avast4\Setup\setiface.dll",RunSetup
    CD/DVD静音ユーティリティ-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{9FE35071-CAB2-4E79-93E7-BFC6A2DC5C5D}\setup.exe" -l0x11
    CyberSupport for TOSHIBA-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{18B491AA-1524-480D-8D90-C0DCE25052C7}\setup.exe" -l0x11 anything
    DVD-RAMドライバー-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{9D765FA6-F2BC-40AF-8145-50808F9BDF4E}\Setup.exe" DVD-RAM Driver
    Guitar Pro 5.2-->"C:\Program Files\Guitar Pro 5\unins000.exe"
    Intel(R) Extreme Graphics 2 Driver-->RUNDLL32.EXE C:\WINDOWS\System32\ialmrem.dll,UninstallW2KIGfx PCI\VEN_8086&DEV_3582
    Intel(R) PRO Network Adapters and Drivers-->Prounstl.exe
    Java 2 Runtime Environment, SE v1.4.2_03-->MsiExec.exe /I{7148F0A8-6813-11D6-A77B-00B0D0142030}
    Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
    Microsoft .NET Framework 1.1 Japanese Language Pack-->MsiExec.exe /X{AD0DDEC6-4798-4DE5-87DC-4367D694ED06}
    Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
    Microsoft Compression Client Pack 1.0 for Windows XP-->"C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe"
    Microsoft User-Mode Driver Framework Feature Pack 1.0-->"C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe"
    Mozilla Firefox (3.5.2)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
    PadTouch-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{3470FBE6-B743-420F-B5CE-0D27FA749C16}\setup.exe"
    PowerDVD-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}\Setup.exe" -uninstall
    QuickTime-->MsiExec.exe /I{C78EAC6F-7A73-452E-8134-DBB2165C5A68}
    SigmaTel AC97 オーディオ ドライバ-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{7959721D-8268-4565-9E0E-C41A9F4848A9}\Setup.exe" -l0x11 -nodialog -uninstall
    Sonic DLA-->MsiExec.exe /I{1206EF92-2E83-4859-ACCB-2048C3CB7DA6}
    Sonic RecordNow!-->MsiExec.exe /I{9541FED0-327F-4DF0-8B96-EF57EF622F19}
    TOSHIBA ConfigFree-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{BDD83DC9-BEE9-4654-A5DA-CC46C250088D}\Setup.exe" -l0x11 UNINSTALL
    TOSHIBA Controls-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{A6690C0E-B96E-4F0F-A8EB-D5B332454AC6}\Setup.exe" -l0x11 UNINSTALL
    TOSHIBA Hotkey Utility for Display Devices-->RunDll32 advpack.dll,LaunchINFSection C:\WINDOWS\INF\TFNF5Wxp.inf,DefaultUninstall,5
    TOSHIBA Smooth View-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{64212898-097F-4F3F-AECA-6D34A7EF82DF}\setup.exe"
    TOSHIBA Software Modem-->Tosmreg -U
    TOSHIBA Utilities-->tutildel.exe
    Windows Media Format 11 runtime-->"C:\Program Files\Windows Media Player\wmsetsdk.exe" /UninstallAll
    Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
    Windows Media Player 11-->"C:\Program Files\Windows Media Player\Setup_wm.exe" /Uninstall
    Windows Media Player 11-->"C:\WINDOWS\$NtUninstallwmp11$\spuninst\spuninst.exe"
    Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
    できるdynabook-->C:\WINDOWS\IsUn0411.exe -fC:\Tosutils\Uninst_d.isu
    パソコンマニュアル-->C:\WINDOWS\IsUn0411.exe -fC:\Tosutils\Uninst.isu
    東芝PC診断ツール-->C:\WINDOWS\IsUn0411.exe -f"C:\Program Files\TOSHIBA\PCDiag\Uninst.isu"

    ======Security center information======

    AV: avast! antivirus 4.8.1351 [VPS 090825-0] (disabled)

    ======System event log======

    Computer Name: YOUR-CMVZS2LE45
    Event Code: 6009
    Message: Microsoft (R) Windows (R) 5.01. 2600 Service Pack 1 Uniprocessor Free.

    Record Number: 5
    Source Name: EventLog
    Time Written: 20090223172314.000000+540
    Event Type: 情報
    User:

    Computer Name: YOUR-CMVZS2LE45
    Event Code: 6006
    Message: イベント ログ サービスが停止されました。

    Record Number: 4
    Source Name: EventLog
    Time Written: 20090223172243.000000+540
    Event Type: 情報
    User:

    Computer Name: YOUR-CMVZS2LE45
    Event Code: 6005
    Message: イベント ログ サービスが開始されました。

    Record Number: 3
    Source Name: EventLog
    Time Written: 20090223172159.000000+540
    Event Type: 情報
    User:

    Computer Name: YOUR-CMVZS2LE45
    Event Code: 6009
    Message: Microsoft (R) Windows (R) 5.01. 2600 Service Pack 1 Uniprocessor Free.

    Record Number: 2
    Source Name: EventLog
    Time Written: 20090223172159.000000+540
    Event Type: 情報
    User:

    Computer Name: YOUR-CMVZS2LE45
    Event Code: 115
    Message: システムの復元の監視はすべてのドライブで有効になっています。

    Record Number: 1
    Source Name: SRService
    Time Written: 20090223172126.000000+540
    Event Type: 情報
    User:

    =====Application event log=====

    Computer Name: YOUR-CMVZS2LE45
    Event Code: 1000
    Message: WmiApRpl (WmiApRpl) サービスのパフォーマンス カウンタを正しく読み込みました。
    レコード データには、このサービスに割り当てられた新しいインデックス
    値が含まれています。

    Record Number: 5
    Source Name: LoadPerf
    Time Written: 20090223172851.000000+540
    Event Type: 情報
    User:

    Computer Name: YOUR-CMVZS2LE45
    Event Code: 1001
    Message: WmiApRpl (WmiApRpl) サービスのパフォーマンス カウンタを正しく削除しました。
    レコード データには、システムの前回のカウンタと前回のヘルプの
    レジストリ エントリの新しい値が含まれています。

    Record Number: 4
    Source Name: LoadPerf
    Time Written: 20090223172851.000000+540
    Event Type: 情報
    User:

    Computer Name: YOUR-CMVZS2LE45
    Event Code: 62
    Message: 節はあるがサイズが 0 の BLOB データが 1 つあるので、WMI ADAP は .NET CLR Networking パフォーマンス ライブラリを処理することができませんでした。

    Record Number: 3
    Source Name: WinMgmt
    Time Written: 20090223172721.000000+540
    Event Type: 警告
    User:

    Computer Name: YOUR-CMVZS2LE45
    Event Code: 62
    Message: 節はあるがサイズが 0 の BLOB データが 1 つあるので、WMI ADAP は .NET CLR Data パフォーマンス ライブラリを処理することができませんでした。

    Record Number: 2
    Source Name: WinMgmt
    Time Written: 20090223172721.000000+540
    Event Type: 警告
    User:

    Computer Name: YOUR-CMVZS2LE45
    Event Code: 11728
    Message: Product: WebFldrs XP -- Configuration completed successfully.

    Record Number: 1
    Source Name: MsiInstaller
    Time Written: 20090223172216.000000+540
    Event Type: 情報
    User:

    ======Environment variables======

    "ComSpec"=%SystemRoot%\system32\cmd.exe
    "Path"=%systemroot%\system32;%systemroot%;%systemroot%\system32\wbem;C:\Program Files\QuickTime\QTSystem
    "windir"=%SystemRoot%
    "OS"=Windows_NT
    "PROCESSOR_ARCHITECTURE"=x86
    "PROCESSOR_LEVEL"=6
    "PROCESSOR_IDENTIFIER"=x86 Family 6 Model 9 Stepping 5, GenuineIntel
    "PROCESSOR_REVISION"=0905
    "NUMBER_OF_PROCESSORS"=1
    "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
    "TEMP"=%SystemRoot%\TEMP
    "TMP"=%SystemRoot%\TEMP
    "FP_NO_HOST_CHECK"=NO
    "CLASSPATH"=.;C:\Program Files\Java\j2re1.4.2_03\lib\ext\QTJava.zip
    "QTJAVA"=C:\Program Files\Java\j2re1.4.2_03\lib\ext\QTJava.zip

    -----------------EOF-----------------
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Aoi93 Messages postés 95 Statut Membre
     
    Et ca c'est celui du fichier "log"

    Logfile of random's system information tool 1.06 (written by random/random)
    Run by user at 2009-08-27 04:27:10
    Microsoft Windows XP Home Edition Service Pack 3
    System drive C: has 48 GB (86%) free of 56 GB
    Total RAM: 495 MB (45% free)

    HijackThis download failed

    ======Registry dump======

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
    AcroIEHlprObj Class - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll [2003-11-03 54248]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5CA3D70E-1895-11CF-8E15-001234567890}]
    DriveLetterAccess - C:\WINDOWS\system32\dla\tfswshx.dll [2004-03-26 110650]

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    "IMJPMIG8.1"=C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE [2008-04-14 208952]
    "PHIME2002ASync"=C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE [2003-04-03 455168]
    "PHIME2002A"=C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE [2003-04-03 455168]
    "IgfxTray"=C:\WINDOWS\System32\igfxtray.exe [2004-01-26 155648]
    "HotKeysCmds"=C:\WINDOWS\System32\hkcmd.exe [2004-01-26 118784]
    "SigmaTel StacMon"=C:\Program Files\SigmaTel\SigmaTel AC97 オーディオ ドライバ\stacmon.exe [2003-08-03 86073]
    "LTSMMSG"=C:\WINDOWS\LTSMMSG.exe [2003-04-18 32768]
    "Apoint"=C:\Program Files\Apoint2K\Apoint.exe [2003-10-30 192512]
    "00THotkey"=C:\WINDOWS\System32\00THotkey.exe [2004-02-25 258048]
    "000StTHK"=C:\WINDOWS\system32\000StTHK.exe [2001-06-23 24576]
    "TFNF5"=C:\WINDOWS\system32\TFNF5.exe [2003-12-02 73728]
    "TPSMain"=C:\WINDOWS\system32\TPSMain.exe [2004-03-03 278528]
    "TouchED"=C:\Program Files\TOSHIBA\TouchED\TouchED.Exe [2003-01-21 126976]
    "PadTouch"=C:\Program Files\TOSHIBA\PadTouch\PadExe.exe [2004-02-03 1089589]
    "NDSTray.exe"=NDSTray.exe []
    "TFncKy"=TFncKy.exe []
    "dla"=C:\WINDOWS\system32\dla\tfswctrl.exe [2004-03-26 118843]
    "SmoothView"=C:\Program Files\TOSHIBA\TOSHIBA Smooth View\SmoothView.exe [2004-03-02 135168]
    "MSPY2002"=C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe [2003-04-03 59392]
    "IMEKRMIG6.1"=C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE [2003-04-03 44032]
    "RemoteControl"=C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe [2004-07-15 32768]
    "QuickTime Task"=C:\Program Files\QuickTime\QTTask.exe [2009-05-26 413696]
    "System12"=C:\WINDOWS\system32\ne0kS.exe [2009-03-10 418318]
    "avast!"=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe [2009-08-18 81000]

    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    "TOSCDSPD"=C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe [2003-09-05 65536]

    C:\Documents and Settings\All Users\スタート メニュー\プログラム\スタートアップ
    RAMASST.lnk - C:\WINDOWS\system32\RAMASST.exe

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]
    C:\WINDOWS\system32\igfxsrvc.dll [2004-01-26 323584]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
    WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr]

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
    "dontdisplaylastusername"=0
    "legalnoticecaption"=
    "legalnoticetext"=
    "shutdownwithoutlogon"=1
    "undockwithoutlogon"=1

    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
    "NoDriveTypeAutoRun"=323
    "NoDriveAutoRun"=67108863
    "NoDrives"=0

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
    "NoDriveAutoRun"=
    "NoDriveTypeAutoRun"=
    "NoDrives"=

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
    "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
    "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
    "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
    "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{86638e60-7d13-11de-b76f-000e35a9148e}]
    shell\Auto\command - wscript "Le kweke City.jpg.wsf"
    shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript "Le kweke City.jpg.wsf"

    ======List of files/folders created in the last 1 months======

    2009-08-27 04:27:11 ----D---- C:\Program Files\trend micro
    2009-08-27 04:27:10 ----D---- C:\rsit
    2009-08-27 02:07:03 ----A---- C:\ComboFix.txt
    2009-08-27 01:56:22 ----A---- C:\WINDOWS\zip.exe
    2009-08-27 01:56:22 ----A---- C:\WINDOWS\SWXCACLS.exe
    2009-08-27 01:56:22 ----A---- C:\WINDOWS\SWSC.exe
    2009-08-27 01:56:22 ----A---- C:\WINDOWS\SWREG.exe
    2009-08-27 01:56:22 ----A---- C:\WINDOWS\sed.exe
    2009-08-27 01:56:22 ----A---- C:\WINDOWS\PEV.exe
    2009-08-27 01:56:22 ----A---- C:\WINDOWS\NIRCMD.exe
    2009-08-27 01:56:22 ----A---- C:\WINDOWS\grep.exe
    2009-08-27 01:56:12 ----D---- C:\WINDOWS\ERDNT
    2009-08-27 01:56:11 ----SD---- C:\user
    2009-08-27 01:56:01 ----D---- C:\Qoobox
    2009-08-27 01:55:20 ----A---- C:\WINDOWS\system32\ne0kS.dll.wsf
    2009-08-24 05:19:25 ----D---- C:\Documents and Settings\user\Application Data\Apple Computer
    2009-08-24 03:06:59 ----D---- C:\Program Files\Malwarebytes' Anti-Malware
    2009-08-24 03:06:59 ----D---- C:\Documents and Settings\All Users\Application Data\Malwarebytes
    2009-08-19 04:34:44 ----A---- C:\WINDOWS\system32\MFC71.dll
    2009-08-19 04:34:44 ----A---- C:\WINDOWS\system32\aswBoot.exe
    2009-08-19 04:34:38 ----D---- C:\Program Files\Alwil Software
    2009-08-19 01:38:55 ----A---- C:\WINDOWS\system32\xa.tmp
    2009-08-18 18:31:29 ----D---- C:\Program Files\7-Zip
    2009-08-16 18:06:00 ----D---- C:\Documents and Settings\All Users\Application Data\Windows Genuine Advantage
    2009-08-16 18:00:32 ----N---- C:\WINDOWS\system32\spmsg.dll
    2009-08-16 18:00:31 ----HDC---- C:\WINDOWS\$NtUninstallMSCompPackV1$
    2009-08-16 18:00:15 ----D---- C:\Program Files\Windows Media Connect 2
    2009-08-16 18:00:00 ----HDC---- C:\WINDOWS\$NtUninstallwmp11$
    2009-08-16 17:59:11 ----HDC---- C:\WINDOWS\$NtUninstallWMFDist11$
    2009-08-16 17:58:43 ----D---- C:\WINDOWS\system32\LogFiles
    2009-08-16 17:58:37 ----HDC---- C:\WINDOWS\$NtUninstallWudf01000$
    2009-08-16 00:03:54 ----AH---- C:\WINDOWS\system32\ne0kS.exe
    2009-08-15 19:02:25 ----D---- C:\Program Files\QuickTime
    2009-08-15 19:02:24 ----D---- C:\Documents and Settings\All Users\Application Data\Apple Computer
    2009-08-15 19:01:46 ----D---- C:\Program Files\Apple Software Update
    2009-08-15 19:01:46 ----D---- C:\Documents and Settings\All Users\Application Data\Apple
    2009-08-07 20:52:06 ----D---- C:\Documents and Settings\user\Application Data\AdobeUM
    2009-08-07 20:47:42 ----D---- C:\Program Files\Common Files\Adobe
    2009-08-03 23:15:59 ----D---- C:\WINDOWS\system32\Adobe
    2009-08-02 01:17:11 ----A---- C:\WINDOWS\system32\ptpusb.dll
    2009-08-02 01:17:08 ----A---- C:\WINDOWS\system32\ptpusd.dll
    2009-07-30 23:16:54 ----D---- C:\Program Files\Guitar Pro 5
    2009-07-30 21:20:24 ----D---- C:\Documents and Settings\user\Application Data\Macromedia
    2009-07-30 21:20:24 ----D---- C:\Documents and Settings\user\Application Data\Adobe
    2009-07-30 19:02:24 ----D---- C:\Documents and Settings\user\Application Data\Mozilla
    2009-07-30 19:02:16 ----D---- C:\Program Files\Mozilla Firefox
    2009-07-30 19:01:33 ----A---- C:\Firefox Setup 3.5.1.exe
    2009-07-30 18:59:04 ----A---- C:\cle-wep.txt

    ======List of files/folders modified in the last 1 months======

    2009-08-27 04:27:11 ----RD---- C:\Program Files
    2009-08-27 04:24:50 ----D---- C:\WINDOWS\Temp
    2009-08-27 02:10:57 ----A---- C:\WINDOWS\SchedLgU.Txt
    2009-08-27 02:10:56 ----D---- C:\WINDOWS\system32\CatRoot2
    2009-08-27 02:07:09 ----D---- C:\WINDOWS\system32
    2009-08-27 02:05:59 ----RSHDC---- C:\WINDOWS\system32\dllcache
    2009-08-27 02:05:36 ----D---- C:\WINDOWS
    2009-08-27 02:05:36 ----A---- C:\WINDOWS\system.ini
    2009-08-27 02:04:08 ----D---- C:\WINDOWS\system32\drivers
    2009-08-27 02:04:08 ----D---- C:\WINDOWS\AppPatch
    2009-08-27 02:04:00 ----D---- C:\Program Files\Common Files
    2009-08-27 01:59:57 ----D---- C:\WINDOWS\system32\config
    2009-08-27 01:55:40 ----D---- C:\WINDOWS\Prefetch
    2009-08-24 01:48:49 ----D---- C:\VALUEADD
    2009-08-24 01:17:46 ----SD---- C:\Documents and Settings\All Users\Application Data\Microsoft
    2009-08-23 04:15:11 ----HD---- C:\WINDOWS\inf
    2009-08-19 16:58:25 ----SD---- C:\WINDOWS\Tasks
    2009-08-16 18:00:28 ----A---- C:\WINDOWS\imsins.BAK
    2009-08-16 18:00:20 ----A---- C:\WINDOWS\win.ini
    2009-08-16 18:00:14 ----D---- C:\Program Files\Windows Media Player
    2009-08-16 18:00:11 ----D---- C:\WINDOWS\Help
    2009-08-15 19:03:19 ----SHD---- C:\WINDOWS\Installer
    2009-08-04 16:47:12 ----D---- C:\WINDOWS\system32\Macromed
    2009-07-30 23:16:55 ----RSD---- C:\WINDOWS\Fonts
    2009-07-30 19:01:55 ----D---- C:\Documents and Settings\user\Application Data\Microsoft

    ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

    R1 Aavmker4;avast! Asynchronous Virus Monitor; C:\WINDOWS\system32\drivers\Aavmker4.sys [2009-08-18 26944]
    R1 aswSP;avast! Self Protection; C:\WINDOWS\system32\drivers\aswSP.sys [2009-08-18 114768]
    R1 FsVga;FsVga; C:\WINDOWS\System32\DRIVERS\fsvga.sys [2003-04-03 12160]
    R1 intelppm;Intel Processor Driver; C:\WINDOWS\System32\DRIVERS\intelppm.sys [2008-04-14 39552]
    R1 meiudf;meiudf; C:\WINDOWS\System32\Drivers\meiudf.sys [2003-10-24 90416]
    R1 sscdbhk5;sscdbhk5; C:\WINDOWS\system32\drivers\sscdbhk5.sys [2004-01-14 5621]
    R1 ssrtln;ssrtln; C:\WINDOWS\system32\drivers\ssrtln.sys [2004-01-14 23219]
    R2 aswFsBlk;aswFsBlk; C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2009-08-18 20560]
    R2 aswMon2;avast! Standard Shield Support; C:\WINDOWS\system32\drivers\aswMon2.sys [2009-08-18 94160]
    R2 drvnddm;drvnddm; C:\WINDOWS\system32\drivers\drvnddm.sys [2004-01-14 40480]
    R2 Netdevio;TOSHIBA Network Device Usermode I/O Protocol; C:\WINDOWS\System32\DRIVERS\netdevio.sys [2003-01-29 12032]
    R2 tfsnboio;tfsnboio; C:\WINDOWS\system32\dla\tfsnboio.sys [2004-03-26 25691]
    R2 tfsncofs;tfsncofs; C:\WINDOWS\system32\dla\tfsncofs.sys [2004-03-26 34843]
    R2 tfsndrct;tfsndrct; C:\WINDOWS\system32\dla\tfsndrct.sys [2004-03-26 4123]
    R2 tfsndres;tfsndres; C:\WINDOWS\system32\dla\tfsndres.sys [2004-03-26 2239]
    R2 tfsnifs;tfsnifs; C:\WINDOWS\system32\dla\tfsnifs.sys [2004-03-26 85722]
    R2 tfsnopio;tfsnopio; C:\WINDOWS\system32\dla\tfsnopio.sys [2004-03-26 14235]
    R2 tfsnpool;tfsnpool; C:\WINDOWS\system32\dla\tfsnpool.sys [2004-03-26 6363]
    R2 tfsnudf;tfsnudf; C:\WINDOWS\system32\dla\tfsnudf.sys [2004-03-26 98522]
    R2 tfsnudfa;tfsnudfa; C:\WINDOWS\system32\dla\tfsnudfa.sys [2004-03-26 100603]
    R2 tossmbxp;tossmbxp; C:\WINDOWS\system32\drivers\tossmbxp.sys [2003-11-26 19456]
    R3 {6080A529-897E-4629-A488-ABA0C29B635E};Intel(R) Graphics Platform (SoftBIOS) Driver; C:\WINDOWS\system32\drivers\ialmsbw.sys [2004-01-26 122110]
    R3 {D31A0762-0CEB-444e-ACFF-B049A1F6FE91};Intel(R) Graphics Chipset (KCH) Driver; C:\WINDOWS\system32\drivers\ialmkchw.sys [2004-01-26 99002]
    R3 {E2B953A6-195A-44F9-9BA3-3D5F4E32BB55};AIM 3.0 Part 01 Codec Driver CH-7009-A/CH-7011; C:\WINDOWS\system32\drivers\wA301a.sys [2004-01-26 33847]
    R3 ApfiltrService;Alps Pointing-device Filter Driver; C:\WINDOWS\System32\DRIVERS\Apfiltr.sys [2003-12-10 100153]
    R3 Arp1394;1394 ARP Client プロトコル; C:\WINDOWS\System32\DRIVERS\arp1394.sys [2008-04-14 60800]
    R3 CmBatt;Microsoft AC Adapter Driver; C:\WINDOWS\System32\DRIVERS\CmBatt.sys [2008-04-14 13952]
    R3 E100B;Intel(R) PRO Adapter Driver; C:\WINDOWS\System32\DRIVERS\e100b325.sys [2003-12-29 153088]
    R3 HidUsb;Microsoft HID Class Driver; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-14 10368]
    R3 ialm;ialm; C:\WINDOWS\System32\DRIVERS\ialmnt5.sys [2004-01-26 95579]
    R3 mouhid;マウス HID ドライバ; C:\WINDOWS\System32\DRIVERS\mouhid.sys [2001-08-24 12160]
    R3 NIC1394;1394 ネット ドライバ; C:\WINDOWS\System32\DRIVERS\nic1394.sys [2008-04-14 61824]
    R3 STAC97;Audio Driver (WDM) - SigmaTel CODEC; C:\WINDOWS\system32\drivers\stac97.sys [2003-07-17 230416]
    R3 TOSHIBASoftModem;TOSHIBA Software Modem; C:\WINDOWS\System32\DRIVERS\LTSM.sys [2002-09-17 809872]
    R3 usbehci;Microsoft USB 2.0 Enhanced Host Controller Miniport Driver; C:\WINDOWS\System32\DRIVERS\usbehci.sys [2008-04-14 30208]
    R3 usbhub;Microsoft USB Standard Hub Driver; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2008-04-14 59520]
    R3 USBSTOR;USB 大容量記憶装置ドライバ; C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2008-04-14 26368]
    R3 usbuhci;Microsoft USB Universal Host Controller Miniport Driver; C:\WINDOWS\System32\DRIVERS\usbuhci.sys [2008-04-14 20608]
    R3 w22n51;Intel(R) PRO/Wireless 2200 Adapter ドライバ; C:\WINDOWS\system32\DRIVERS\w22n51.sys [2004-01-02 1646720]
    S3 Cap7134;TOSHIBA miniPCI WDM Capture; C:\WINDOWS\System32\DRIVERS\Cap7134.sys [2004-04-06 391808]
    S3 catchme;catchme; \??\C:\DOCUME~1\user\LOCALS~1\Temp\catchme.sys []
    S3 CCDECODE;クローズド キャプション デコーダ; C:\WINDOWS\System32\DRIVERS\CCDECODE.sys [2008-04-14 17024]
    S3 gv3;Intel GV3 Processor Driver; C:\WINDOWS\System32\DRIVERS\gv3.sys [2002-11-20 32896]
    S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink Converter; C:\WINDOWS\system32\drivers\MSTEE.sys [2008-04-14 5504]
    S3 NABTSFEC;NABTS/FEC VBI Codec; C:\WINDOWS\System32\DRIVERS\NABTSFEC.sys [2008-04-14 85248]
    S3 NdisIP;Microsoft TV/ビデオ接続; C:\WINDOWS\System32\DRIVERS\NdisIP.sys [2008-04-14 10880]
    S3 PhTVTune;TOSHIBA miniPCI WDM TVTuner; C:\WINDOWS\System32\DRIVERS\Silicon.sys [2004-05-17 30528]
    S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\System32\DRIVERS\SLIP.sys [2008-04-14 11136]
    S3 streamip;BDA IPSink; C:\WINDOWS\System32\DRIVERS\StreamIP.sys [2008-04-14 15232]
    S3 usbscan;USB スキャナ ドライバ; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-14 15104]
    S3 WSTCODEC;World Standard Teletext Codec; C:\WINDOWS\System32\DRIVERS\WSTCODEC.SYS [2008-04-14 19200]
    S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568]
    S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]

    ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

    R2 aswUpdSv;avast! iAVS4 Control Service; C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe [2009-08-18 18752]
    R2 avast! Antivirus;avast! Antivirus; C:\Program Files\Alwil Software\Avast4\ashServ.exe [2009-08-18 138680]
    R2 CFSvcs;ConfigFree Service; C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe [2004-03-04 28672]
    R2 DVD-RAM_Service;DVD-RAM_Service; C:\WINDOWS\System32\DVDRAMSV.exe [2003-05-23 106496]
    S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe [2003-02-20 32768]
    S3 WMPNetworkSvc;Windows Media Player Network Sharing Service; C:\Program Files\Windows Media Player\WMPNetwk.exe [2007-01-08 902656]
    S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]

    -----------------EOF-----------------
    0
  7. plopus Messages postés 49 Date d'inscription   Statut Contributeur sécurité Dernière intervention   293
     
    salut

    * Telecharge UsbFix de C_XX & Chiquitine29
    http://sd-1.archive-host.com/membres/up/127028005715545653/UsbFix.exe

    * Lance l installation avec les parametres par default
    * Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d'avoir été infectés sans les ouvrir
    * Double clic sur le raccourci UsbFix sur ton bureau
    * Choisi l'option 1 (recherche)
    * Laisse travailler l'outil
    * Ensuite post le rapport UsbFix.txt qui apparaîtra
    * Note : le rapport UsbFix.txt est sauvegardé a la racine du disque

    * Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus
    0
  8. Aoi93 Messages postés 95 Statut Membre
     
    Voila le rapport

    ############################## | UsbFix V6.023 |

    User : user (Administrators) # YOUR-CMVZS2LE45
    Update on 25/08/09 by Chiquitine29
    Start at: 17:44:51 | 2009/08/27
    Website : http://pagesperso-orange.fr/NosTools/index.html

    Intel(R) Celeron(R) M processor 1400MHz
    Microsoft Windows XP Home Edition (5.1.2600 32-bit) # Service Pack 3
    Internet Explorer 6.0.2900.5512
    Windows Firewall Status : Disabled
    AV : avast! antivirus 4.8.1351 [VPS 090825-0] 4.8.1351 [ (!) Disabled | Updated ]

    C:\ -> ローカル固定ディスク # 54.2 Go (46.87 Go free) [S3A1764D001] # NTFS
    D:\ -> CD-ROM ディスク
    E:\ -> リムーバブル ディスク # 983.72 Mo (428.34 Mo free) [UDISK 2.0] # FAT
    F:\ -> リムーバブル ディスク # 124.48 Mo (115.68 Mo free) [MUKYAAAAAAA] # FAT

    ############################## | Processus actifs |

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
    C:\WINDOWS\System32\DVDRAMSV.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\alg.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\igfxtray.exe
    C:\Program Files\SigmaTel\SigmaTel AC97 オーディオ ドライバ\stacmon.exe
    C:\WINDOWS\LTSMMSG.exe
    C:\Program Files\Apoint2K\Apoint.exe
    C:\WINDOWS\System32\00THotkey.exe
    C:\WINDOWS\system32\TFNF5.exe
    C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
    C:\Program Files\TOSHIBA\PadTouch\PadExe.exe
    C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe
    C:\Program Files\TOSHIBA\TOSHIBA Controls\TFncKy.exe
    C:\WINDOWS\system32\dla\tfswctrl.exe
    C:\Program Files\TOSHIBA\TOSHIBA Smooth View\SmoothView.exe
    C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
    C:\WINDOWS\system32\conime.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\Apoint2K\Apntex.exe
    C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
    C:\WINDOWS\system32\TPSBattM.exe
    C:\WINDOWS\system32\RAMASST.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\System32\wbem\wmiprvse.exe

    ################## | Fichiers # Dossiers infectieux |

    Pr駸ent ! C:\WINDOWS\system32\ne0kS.dll.wsf
    Pr駸ent ! C:\WINDOWS\system32\ne0kS.exe
    Pr駸ent ! E:\autorun.inf
    Pr駸ent ! E:\Le kweke City.jpg.wsf
    Pr駸ent ! E:\ne0kS.exe
    Pr駸ent ! E:\start.exe
    Pr駸ent ! F:\autorun.inf
    Pr駸ent ! F:\ne0kS.exe

    ################## | Suspect ! ... | https://www.virustotal.com/gui/ |

    ################## | Registre # Cl駸 Run infectieuses |

    Pr駸ent ! HKLM\Software\Microsoft\Windows\CurrentVersion\Run "System12"

    ################## | Registre # Mountpoints2 |

    HKCU\..\..\Explorer\MountPoints2\{86638e60-7d13-11de-b76f-000e35a9148e}
    Shell\Auto\command =wscript "Le kweke City.jpg.wsf"
    Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript "Le kweke City.jpg.wsf"

    HKCU\..\..\Explorer\MountPoints2\{c55a9b60-8915-11de-b79e-000e35a9148e}
    Shell\Auto\command =wscript "Le kweke City.jpg.wsf"
    Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript "Le kweke City.jpg.wsf"

    ################## | Cracks / Keygens / Serials |

    ################## | ! Fin du rapport # UsbFix V6.023 ! |
    0
  9. plopus Messages postés 49 Date d'inscription   Statut Contributeur sécurité Dernière intervention   293
     
    # Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir
    # Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisi "Exécuter en tant qu'administrateur" .
    # choisi l'option 2 ( Suppression )
    # Ton bureau disparaîtra et le pc redémarrera .
    # Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.
    # Ensuite post le rapport UsbFix.txt qui apparaîtra avec le bureau .
    # Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )
    # ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
    # :!: UsbFix te proposera d'uploader un dossier compressé à cette adresse : https://www.androidworld.fr/
    # Ce dossier a été créé par UsbFix et est enregistré sur ton bureau.
    # Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches.
    # Merci d'avance pour ta contribution !!

    puis

    * Télécharge Malwarebytes
    https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
    * Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
    * Lance une analyse complète en cliquant sur "Exécuter un examen complet"
    * Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"
    * L'analyse peut durer un bon moment.....
    * Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"
    * Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"
    * Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

    * Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée
    0
  10. Aoi93 Messages postés 95 Statut Membre
     
    Voila le rapport de usbFix

    ############################## | UsbFix V6.023 |

    User : user (Administrators) # YOUR-CMVZS2LE45
    Update on 25/08/09 by Chiquitine29
    Start at: 21:04:45 | 2009/08/27
    Website : http://pagesperso-orange.fr/NosTools/index.html

    Intel(R) Celeron(R) M processor 1400MHz
    Microsoft Windows XP Home Edition (5.1.2600 32-bit) # Service Pack 3
    Internet Explorer 6.0.2900.5512
    Windows Firewall Status : Disabled
    AV : avast! antivirus 4.8.1351 [VPS 090825-0] 4.8.1351 [ (!) Disabled | Updated ]

    C:\ -> ローカル固定ディスク # 54.2 Go (46.85 Go free) [S3A1764D001] # NTFS
    D:\ -> CD-ROM ディスク
    E:\ -> リムーバブル ディスク # 983.72 Mo (428.34 Mo free) [UDISK 2.0] # FAT
    F:\ -> リムーバブル ディスク # 124.48 Mo (115.67 Mo free) [MUKYAAAAAAA] # FAT

    ############################## | Processus actifs |

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\logonui.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
    C:\WINDOWS\System32\DVDRAMSV.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\alg.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\system32\userinit.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\conime.exe
    C:\WINDOWS\System32\wbem\wmiprvse.exe

    ################## | Fichiers # Dossiers infectieux |

    Supprim・! C:\WINDOWS\system32\ne0kS.dll.wsf
    Supprim・! C:\WINDOWS\system32\ne0kS.exe
    Supprim・! E:\autorun.inf
    Supprim・! E:\Le kweke City.jpg.wsf
    Supprim・! E:\ne0kS.exe
    Supprim・! E:\start.exe
    Supprim・! F:\autorun.inf
    Supprim・! F:\Le kweke City.jpg.wsf
    Supprim・! F:\ne0kS.exe

    ################## | Autres |

    ################## | Suspect ! ... | https://www.virustotal.com/gui/ |

    ################## | Registre # Cl駸 Run infectieuses |

    Supprim・! HKLM\Software\Microsoft\Windows\CurrentVersion\Run "System12"

    ################## | Registre # Mountpoints2 |

    ################## | Listing des fichiers pr駸ent |

    [2004/03/30 17:35|--a------|0] -> C:\AUTOEXEC.BAT
    [2009/06/02 16:54|-rahs----|211] -> C:\boot.ini
    [2003/04/03 21:00|-rahs----|132398] -> C:\bootfont.bin
    [2009/07/30 18:59|--a------|13] -> C:\cle-wep.txt
    [2009/08/27 02:07|--a------|20332] -> C:\ComboFix.txt
    [2004/03/30 17:35|--a------|0] -> C:\CONFIG.SYS
    [2009/07/30 19:01|--a------|8128584] -> C:\Firefox Setup 3.5.1.exe
    [?|?|?] -> C:\hiberfil.sys
    [2004/03/30 17:35|-rahs----|0] -> C:\IO.SYS
    [2004/03/30 17:35|-rahs----|0] -> C:\MSDOS.SYS
    [2009/06/02 16:46|-rahs----|47564] -> C:\NTDETECT.COM
    [2009/06/02 16:46|-rahs----|260800] -> C:\ntldr
    [?|?|?] -> C:\pagefile.sys
    [2009/08/26 21:16|--a------|781909] -> C:\RSIT.exe
    [2009/08/27 21:06|--a------|3023] -> C:\UsbFix.txt
    [2008/08/13 15:22|--a------|35973] -> E:\licence.txt
    [2004/02/29 16:44|--a------|52576] -> E:\orange.bmp
    [2007/03/21 13:35|--a------|8770894] -> F:\01. Tsubomi.mp3
    [2009/08/21 14:22|--a------|94] -> F:\y.txt
    [2009/08/23 23:57|--a------|13714] -> F:\y.gp5
    [2009/08/27 04:29|--a------|15569] -> F:\log.txt
    [2009/08/27 04:29|--a------|8879] -> F:\info.txt
    [2009/08/27 17:47|--a------|3547] -> F:\UsbFix.txt

    ################## | Cracks / Keygens / Serials |

    ################## | ! Fin du rapport # UsbFix V6.023 ! |
    0
  11. Aoi93 Messages postés 95 Statut Membre
     
    Je viens de finir le scan avec malewarebytes, mais quand le rapport est sorti l'ordi a redemarrer. J'ai essayer de chercher un peu le rapport dans l'ordi, mais je le trouve pas... Je suis en train de refaire le scan (comme ca on peut verifier si l'ordi a ete desinfecter), mais dites moi si je dois faire autre chose svp...
    0
  12. Aoi93 Messages postés 95 Statut Membre
     
    En fait c'est bon j'ai retrouver le rapport ^^"

    Malwarebytes' Anti-Malware 1.40
    Database version: 2551
    Windows 5.1.2600 Service Pack 3

    2009/08/27 21:33:49
    mbam-log-2009-08-27 (21-33-49).txt

    Scan type: Full Scan (C:\|E:\|F:\|)
    Objects scanned: 122582
    Time elapsed: 19 minute(s), 28 second(s)

    Memory Processes Infected: 0
    Memory Modules Infected: 0
    Registry Keys Infected: 0
    Registry Values Infected: 0
    Registry Data Items Infected: 0
    Folders Infected: 0
    Files Infected: 1

    Memory Processes Infected:
    (No malicious items detected)

    Memory Modules Infected:
    (No malicious items detected)

    Registry Keys Infected:
    (No malicious items detected)

    Registry Values Infected:
    (No malicious items detected)

    Registry Data Items Infected:
    (No malicious items detected)

    Folders Infected:
    (No malicious items detected)

    Files Infected:
    C:\System Volume Information\_restore{86F59E73-6704-4BD2-B629-656BAB941CE1}\RP13\A0004520.dll (Rogue.Agent) -> Quarantined and deleted successfully.
    0
  13. plopus Messages postés 49 Date d'inscription   Statut Contributeur sécurité Dernière intervention   293
     
    trés bien

    Fait un scan en ligne ici et copie colle le rapport en ENTIER a la fin
    http://www.bitdefender.com/scan_fr/scan8/ie.html

    puis si rien de special on finit
    0
  14. Aoi93 Messages postés 95 Statut Membre
     
    Gros probleme >< j'arrive pas a me connecter a internet...

    J'ai allumer mon ordi et j'ai essayer de me mettre sur internet mais firefox me dit qu'il ne trouve pas la page, j'ai aussi essayer d'afficher d'autre page mais rien... j'ai verifier l'etat de la connection et je vois que l'emission n'a aucun probleme mais que la reception est quasi-nulle (bien sur l'ordinateur reconnait la connection internet)... J'ai aussi tester internet explorer mais pas de changement... j'ai regarder les connections au network et j'ai trouver 2 connection actives :
    - la premiere, la connection que j'utilise habituellement ;
    - la deuxieme, une connection nommer "1394 connection 2", n'ayant pas de protocole internet TCP/IP. Je suis pas bete au point d'ecrire ce message en ignorant ce que c'etait, j'ai trouver sur internet que l'IEEE 1394 correcpondait au FireWire et qu'il se peut qu'une des personnes avec je partage l'utilisation de cet ordinateur ait inserer une carte de port firewire... Mais comme c'est la premiere fois que je vois ca dans la liste de connection possible, je me suis demander si c'etait pas autre chose que le FireWire (un truc de piratage par exxemple) et je l'ai donc desactiver ;
    Pour verifier j'ai brancher mon cable de connection internet sur un autre ordinateur (je sais c'est parfaitement demoder, mas je fais ca depuis que le routeur est en panne U,U), mais y a aucun probleme a la connection...

    Donc mes questions sont les suivantes :
    Que dois-je faire pour que mon ordinateur puisse se reconnecter a internet ? Est ce a cause du virus ? Et puis-je faire confiance au "1394" et le laisser comme il est ?
    0
  15. plopus Messages postés 49 Date d'inscription   Statut Contributeur sécurité Dernière intervention   293
     
    et si tu redemarre ton PC au bip tapote F8 et choisit mode sans echec avec prise en charge du reseau

    est ce que tu as internet ?

    ensuite en mode normal essaye ceci pour voir :

    demarrer/executer

    tape avec un espace entre les 2

    sfc /scannow

    un scan va ce lancer et verifié les fichiers de windows

    dit moi ce qui te dit
    0
  16. Aoi93 Messages postés 95 Statut Membre
     
    En mode normal, j'ai fait le scan mais il ne me signale pas de probleme, donc apparemment y a pas de probleme.

    Sinon le mode sans echec avec reseau j'arrive pas a le faire, quand j'allume mon ordi, il me sort d'abord le logo de Toshiba dynabook et tout de suite apres le logo de windows, sans le bip comme sur les autres ordinateurs. j'ai quand meme essayer de taper sur F8 a l'affichage du logo de dynabook mais rien ne se passe...

    Que dois-je faire ><
    0
  17. plopus Messages postés 49 Date d'inscription   Statut Contributeur sécurité Dernière intervention   293
     
    ok tu as internet avec le PC que nous avons commencé a desinfecter ?
    0
  18. Aoi93 Messages postés 95 Statut Membre
     
    justement c'est sur cet ordi la, celui sur lequel on a passer tous les scans qui ne veut plus se mettre sur internet >< dsl si j'ai mal expliquer...
    0
  19. plopus Messages postés 49 Date d'inscription   Statut Contributeur sécurité Dernière intervention   293
     
    ok relance combofix qui doit etre renommé en ton prenom et poste moi le rapport qui apparait
    0
  20. Aoi93 Messages postés 95 Statut Membre
     
    En fait, c'est juste une impression, mas je crois que le prob il est autre part :/
    Je vais quand meme poser la question dans le forum reseau ; si j'arrive a regler la connectivite internet, on revient sur le prob des virus...
    0
  21. Aoi93 Messages postés 95 Statut Membre
     
    C'est bon j'ai ma connection, c'etait juste le routeur qui a beuguait :/
    Donc revenons a notre probleme principal : je dois faire mon scan en ligne c'est ca ?
    0
  • 1
  • 2