Infection VBS.SOLOW

Résolu
afpa.sc Messages postés 18 Statut Membre -  
afpa.sc Messages postés 18 Statut Membre -
Bonjour,

je suis stagiaire à l'afpa, nous sommes 14 dans la pièce avec donc 14 PC et des clefs qui passent d'un PC à l'autre tous les jours.les PC sont infestés de virus, trojan et autres saletés.
depuis hier mon antivirus PC TOOLS me détacte un trojan nommé VBS SOLOW.j'ai été infectée par une clef USB.
quand j'exécute un scan avec l'antivirus il me dit que le trojan a été supprimé, malwarebytes me dit la même chose .
je sais que les scan ne sont pas suffisant pour éliminer un trojan et mon PC continue de planter : les programmes se bloquent, ils ne répondent plus. je ne peux pas les arréter par le gestionnaire des tâches et je ne peux même plus éteindre l'ordi.
j'ai trouvé certaines manip sur le forum mais je ne suis pas assez calée pour me lancer seule et en plus en étant stagiaire à l'afpa mon champ d'action est limité. j'ai besoin de votre aide pour désinfecter. j'espère que quelqu'un pourra me répondre rapidement je suis en période d'exam et j'ai peur de planter en plein écrit!!!
je vous poste un rapport d'analyse PC TOOLS et un rapport Malwarebytes.
l'afpa ferme à midi le vendredi, je n'aurai plus accès au PC jusqu'à lundi matin, pas d'étonnement si je ne répond pas durant le W.E.
merci d'avance à la personne qui voudra bien m'aider.
A plus

PC Tools AntiVirus Rapport d'activité
Créé le : 27/08/2009 08:42:15

Informations sur le scan :

Nom de l'objet Etat Action Infection Date et heure

C:\SYSTEM VOLUME INFORMATION\_RESTORE{BA74406B-3EBB-4D01-8BFA-AF7263E47B29}\RP899\A0089629.VBS Infecté Supprimés Trojan.VBS.Solow 27/08/2009 11:33:30

C:\SYSTEM VOLUME INFORMATION\_RESTORE{BA74406B-3EBB-4D01-8BFA-AF7263E47B29}\RP899\A0089630.VBS Infecté Supprimés Trojan.VBS.Solow 27/08/2009 11:33:30

C:\SYSTEM VOLUME INFORMATION\_RESTORE{BA74406B-3EBB-4D01-8BFA-AF7263E47B29}\RP899\A0091813.VBS Infecté Supprimés Trojan.VBS.Solow 27/08/2009 11:37:15

C:\SYSTEM VOLUME INFORMATION\_RESTORE{BA74406B-3EBB-4D01-8BFA-AF7263E47B29}\RP899\A0091814.VBS Infecté Supprimés Trojan.VBS.Solow 27/08/2009 11:37:18

C:\SYSTEM VOLUME INFORMATION\_RESTORE{BA74406B-3EBB-4D01-8BFA-AF7263E47B29}\RP899\A0092840.VBS Infecté Supprimés Trojan.VBS.Solow 27/08/2009 11:37:21

Malwarebytes' Anti-Malware 1.40
Version de la base de données: 2697
Windows 5.1.2600 Service Pack 3

27/08/2009 12:59:40
mbam-log-2009-08-27 (12-59-40).txt

Type de recherche: Examen complet (A:\|C:\|D:\|F:\|)
Eléments examinés: 217924
Temps écoulé: 3 hour(s), 52 minute(s), 45 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MS32DLL (VBS.Godzilla) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Window Title (Hijacked.WindowTitle) -> Bad: (Hacked by Godzilla) Good: (Internet Explorer) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Configuration: Windows XP Internet Explorer 7.0

27 réponses

  • 1
  • 2
  1. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    bonjour,

    Merci pour les rapports. C'est utile.

    Télécharge et installe UsbFix par Chiquitine29

    (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir

    • Double clic sur le raccourci UsbFix présent sur ton bureau .
    • Au menu principal choisis l'option " F " pour français et tape sur [entrée] .
    • Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]
    • Laisse travailler l'outil.
    • Ensuite post le rapport UsbFix.txt qui apparaitra.

    Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )


    Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html

    A+
    0
  2. afpa.sc Messages postés 18 Statut Membre
     
    merci beaucoup pour la réponse et pour la rapidité.
    Malheuresement mon PC a planté 2 fois, je n'ai pas encore pu faire les manip
    je dois libérer la salle dans 10 min et je n'ai plus le temps
    je m'y colle lundi matin à la première heure et je te tiens au courant

    merci encore
    a lundi
    0
  3. afpa.sc Messages postés 18 Statut Membre
     
    Bonjour,
    je viens d'effectuer un scan avec UsbFix comme tu me l'as conseillé. Je te poste le rapport :

    ############################## | UsbFix V6.023 |

    User : aurore (Administrateurs) # SC4
    Update on 25/08/09 by Chiquitine29
    Start at: 09:18:37 | 31/08/2009
    Website : http://pagesperso-orange.fr/NosTools/index.html

    Intel(R) Pentium(R) 4 CPU 2.80GHz
    Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
    Internet Explorer 8.0.6001.18702
    Windows Firewall Status : Enabled
    AV : PC Tools AntiVirus 6.0.0.19 6.0.0.19 [ Enabled | (!) Outdated ]

    A:\ -> Lecteur de disquettes 3 ½ pouces
    C:\ -> Disque fixe local # 37,27 Go (25,83 Go free) # NTFS
    D:\ -> Disque CD-ROM
    E:\ -> Disque amovible # 982,72 Mo (955,25 Mo free) # FAT
    F:\ -> Disque amovible

    ############################## | Processus actifs |

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\brsvc01a.exe
    C:\WINDOWS\system32\brss01a.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\System32\keyhook.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    C:\Program Files\PC Tools AntiVirus\PCTAV.exe
    C:\Program Files\Brother\ControlCenter3\brccMCtl.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\system32\sistray.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
    C:\WINDOWS\system32\E_S00RP2.EXE
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTBCM\Binn\sqlservr.exe
    C:\Program Files\PC Tools AntiVirus\PCTAVSvc.exe
    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\system32\SAgent4.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\wdfmgr.exe
    C:\WINDOWS\System32\alg.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe

    ################## | Fichiers # Dossiers infectieux |

    ################## | Suspect ! ... | https://www.virustotal.com/gui/ |

    ################## | Registre # Clés Run infectieuses |

    Présent ! HKLM\software\microsoft\security center "AntiVirusOverride" ( 0x1 )
    Présent ! HKLM\software\microsoft\security center "FirewallOverride" ( 0x1 )

    ################## | Registre # Mountpoints2 |

    HKCU\..\..\Explorer\MountPoints2\{07bcb492-ec71-11dd-98a6-00112f1e6c72}
    Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MS32DLL.dll.vbs

    HKCU\..\..\Explorer\MountPoints2\{2b427484-f745-11dd-98b4-00112f1e6c72}
    Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe
    Shell\Open(&0)\command =E:\Recycled\ctfmon.exe

    HKCU\..\..\Explorer\MountPoints2\{37cc4a28-aa2e-11dc-b3ed-00112f1e6c72}
    Shell\AutoRun\command =E:\LaunchU3.exe

    HKCU\..\..\Explorer\MountPoints2\{37cc4a29-aa2e-11dc-b3ed-00112f1e6c72}
    Shell\AutoRun\command =RavMon.exe
    Shell\explore\Command =RavMon.exe -e
    Shell\open\Command =RavMon.exe

    HKCU\..\..\Explorer\MountPoints2\{4862106e-eeab-11dd-98a8-00112f1e6c72}
    Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe
    Shell\Open(&0)\command =E:\Recycled\ctfmon.exe

    HKCU\..\..\Explorer\MountPoints2\{547f8a5c-1dca-11de-98e2-00112f1e6c72}
    Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MS32DLL.dll.vbs

    HKCU\..\..\Explorer\MountPoints2\{7e399562-03d6-11de-98c6-00112f1e6c72}
    Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MS32DLL.dll.vbs

    HKCU\..\..\Explorer\MountPoints2\{8e59b974-5a41-11de-9922-00112f1e6c72}
    Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MS32DLL.dll.vbs

    HKCU\..\..\Explorer\MountPoints2\{9a0aefe8-103f-11dd-b452-00112f1e6c72}
    Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe
    Shell\Open(&0)\command =E:\Recycled\ctfmon.exe

    HKCU\..\..\Explorer\MountPoints2\{9dc67ae6-ff43-11d9-b1a7-00112f1e6c72}
    Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MS32DLL.dll.vbs

    HKCU\..\..\Explorer\MountPoints2\{b0dc1907-0fb5-11da-b1ad-00112f1e6c72}
    Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe
    Shell\Open(&0)\command =E:\Recycled\ctfmon.exe

    HKCU\..\..\Explorer\MountPoints2\{b738b9d6-53c5-11dd-b48e-00112f1e6c72}
    Shell\1\Command =E:\.\RECYCLER\RECYCLER\autorun.exe
    Shell\2\Command =E:\.\RECYCLER\RECYCLER\autorun.exe
    Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL .\RECYCLER\RECYCLER\autorun.exe

    HKCU\..\..\Explorer\MountPoints2\{b7588fb2-c75b-11dd-9882-00112f1e6c72}
    Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe
    Shell\Open(&0)\command =E:\Recycled\ctfmon.exe

    HKCU\..\..\Explorer\MountPoints2\{e4e6ffd5-fe6c-11dd-98be-00112f1e6c72}
    Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MS32DLL.dll.vbs

    HKCU\..\..\Explorer\MountPoints2\{e5a5eb1e-920c-11de-9963-00112f1e6c72}
    Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MS32DLL.dll.vbs

    ################## | Cracks / Keygens / Serials |

    ################## | ! Fin du rapport # UsbFix V6.023 ! |

    j'attends la suite.

    merci d'avance et à plus
    0
  4. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Bonjour,

    Repasse USBFix avec l'option 2.

    A+
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. afpa.sc Messages postés 18 Statut Membre
     
    ok je fais ça dessuite et je poste le rapport
    merci
    0
  7. afpa.sc Messages postés 18 Statut Membre
     
    voici le rapport après suppression :

    ############################## | UsbFix V6.023 |

    User : aurore (Administrateurs) # SC4
    Update on 25/08/09 by Chiquitine29
    Start at: 09:45:37 | 31/08/2009
    Website : http://pagesperso-orange.fr/NosTools/index.html

    Intel(R) Pentium(R) 4 CPU 2.80GHz
    Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
    Internet Explorer 8.0.6001.18702
    Windows Firewall Status : Enabled
    AV : PC Tools AntiVirus 6.0.0.19 6.0.0.19 [ Enabled | (!) Outdated ]

    A:\ -> Lecteur de disquettes 3 ½ pouces
    C:\ -> Disque fixe local # 37,27 Go (25,79 Go free) # NTFS
    D:\ -> Disque CD-ROM
    E:\ -> Disque amovible # 982,72 Mo (955,25 Mo free) # FAT
    F:\ -> Disque amovible

    ############################## | Processus actifs |

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\logonui.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\userinit.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\brsvc01a.exe
    C:\WINDOWS\system32\brss01a.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
    C:\WINDOWS\system32\E_S00RP2.EXE
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTBCM\Binn\sqlservr.exe
    C:\Program Files\PC Tools AntiVirus\PCTAVSvc.exe
    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\system32\SAgent4.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\wdfmgr.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe
    C:\WINDOWS\System32\alg.exe

    ################## | Fichiers # Dossiers infectieux |

    ################## | Autres |

    ################## | Suspect ! ... | https://www.virustotal.com/gui/ |

    ################## | Registre # Clés Run infectieuses |

    # HKLM\software\microsoft\security center "AntiVirusOverride" # -> Reset sucessfully !
    # HKLM\software\microsoft\security center "FirewallOverride" # -> Reset sucessfully !

    ################## | Registre # Mountpoints2 |

    Supprimé ! HKCU\...\Explorer\MountPoints2\{07bcb492-ec71-11dd-98a6-00112f1e6c72}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{2b427484-f745-11dd-98b4-00112f1e6c72}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{37cc4a28-aa2e-11dc-b3ed-00112f1e6c72}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{37cc4a29-aa2e-11dc-b3ed-00112f1e6c72}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{4862106e-eeab-11dd-98a8-00112f1e6c72}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{547f8a5c-1dca-11de-98e2-00112f1e6c72}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{7e399562-03d6-11de-98c6-00112f1e6c72}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{8e59b974-5a41-11de-9922-00112f1e6c72}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{9a0aefe8-103f-11dd-b452-00112f1e6c72}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{9dc67ae6-ff43-11d9-b1a7-00112f1e6c72}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{b0dc1907-0fb5-11da-b1ad-00112f1e6c72}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{b738b9d6-53c5-11dd-b48e-00112f1e6c72}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{b7588fb2-c75b-11dd-9882-00112f1e6c72}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{e4e6ffd5-fe6c-11dd-98be-00112f1e6c72}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{e5a5eb1e-920c-11de-9963-00112f1e6c72}\Shell\AutoRun\Command

    ################## | Listing des fichiers présent |

    [21/10/2004 09:51|--a------|0] -> C:\AUTOEXEC.BAT
    [21/10/2004 12:15|-rahs----|212] -> C:\boot.ini
    [24/04/2003 14:00|-rahs----|4952] -> C:\Bootfont.bin
    [21/10/2004 09:51|--a------|0] -> C:\CONFIG.SYS
    [21/10/2004 09:51|-rahs----|0] -> C:\IO.SYS
    [06/11/2007 12:52|--a------|20992] -> C:\modele 1.dot
    [06/11/2007 12:41|--a------|20992] -> C:\modele.dot
    [21/10/2004 09:51|-rahs----|0] -> C:\MSDOS.SYS
    [21/10/2004 10:25|-rahs----|47564] -> C:\NTDETECT.COM
    [20/11/2008 15:27|-rahs----|252240] -> C:\ntldr
    [?|?|?] -> C:\pagefile.sys
    [06/10/2006 09:30|--a------|64] -> C:\playout.txt
    [31/05/2006 08:19|--a------|45] -> C:\TEST.XML
    [04/02/2009 10:40|--a------|510] -> C:\updatedatfix.log
    [31/08/2009 09:55|--a------|4702] -> C:\UsbFix.txt
    [19/10/2007 10:35|--a------|150] -> C:\YServer.txt
    [28/08/2009 11:40|--a------|588398] -> E:\SC DSPP format 97.doc
    [28/07/2009 15:02|--a------|27648] -> E:\PROCEDURE DE TRAITEMENT DES VENTES.doc
    [11/06/2009 16:26|--a------|16384] -> E:\liste des tƒches DOSSIER 1.xls
    [12/06/2009 11:00|--a------|16384] -> E:\liste des tƒches DOSSIER 2.xls

    ################## | Cracks / Keygens / Serials |

    ################## | ! Fin du rapport # UsbFix V6.023 ! |
    0
  8. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Vu que tu es dans une salle avec plusieurs PC, il faudrait passer USBFix sur tous les postes pour les nettoyer en branchant les clés USB des différents stagiaires pour les nettoyer et les vacciner.

    Y-a-t-il un responsable informatique que tu pourrais contacter ?

    A+
    0
  9. afpa.sc Messages postés 18 Statut Membre
     
    merci beaucoup pour ton aide
    je vais transmettre l'info aux personnes responsables
    0
  10. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Télécharge Random's System Information Tool (RSIT) de random/random et enregistre le sur ton Bureau.
    http://images.malwareremoval.com/random/RSIT.exe

    # Double-clique sur " RSIT.exe " pour le lancer .
    # dans la fenêtre qui va s’ouvrir choisis 1 month pour l'option "List files/folders created ...".
    # clique ensuite sur " Continue " pour lancer l'analyse ...

    Si la dernière version de HijackThis n'est pas trouvée sur ton PC, RSIT la téléchargera et te demandera d'accepter la licence.

    Attends jusqu’à la fin de l’analyse. deux rapports vont être crées.

    # Poste en deux messages le contenu de " log.txt ", et de " info.txt " ( dans la barre des tâches).

    Note : Si tu ne les trouves pas,les rapports sont sauvegardés dans le dossier C:\rsit.

    A+
    0
  11. afpa.sc Messages postés 18 Statut Membre
     
    voici le rapport "log.txt"

    Logfile of random's system information tool 1.06 (written by random/random)
    Run by aurore at 2009-08-31 11:25:27
    Microsoft Windows XP Professionnel Service Pack 3
    System drive C: has 27 GB (70%) free of 38 GB
    Total RAM: 480 MB (34% free)

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 11:25:56, on 31/08/2009
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v8.00 (8.00.6001.18702)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\brsvc01a.exe
    C:\WINDOWS\system32\brss01a.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
    C:\WINDOWS\system32\E_S00RP2.EXE
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTBCM\Binn\sqlservr.exe
    C:\Program Files\PC Tools AntiVirus\PCTAVSvc.exe
    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\system32\SAgent4.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\wdfmgr.exe
    C:\WINDOWS\System32\alg.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\explorer.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Documents and Settings\aurore\Bureau\RSIT.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe
    C:\Program Files\trend micro\aurore.exe

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://r.office.microsoft.com/r/hlidTemplatesFromClientWithLogging/OF/11/EC010227191036/6
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 172.17.140.2:8080
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
    O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
    O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\System32\keyhook.exe
    O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
    O4 - HKLM\..\Run: [BO1HelperStartUp] C:\PROGRA~1\BUTTER~1\BO1HEL~1.EXE /partner BO1
    O4 - HKLM\..\Run: [SS1HelperStartUp] C:\PROGRA~1\SEASID~1\SS1HEL~1.EXE /partner SS1
    O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe"
    O4 - HKLM\..\Run: [ylsspxywj] c:\windows\system32\ylsspxywj.exe ylsspxywj
    O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
    O4 - HKLM\..\Run: [BrMfcWnd] C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
    O4 - HKLM\..\Run: [ControlCenter3] C:\Program Files\Brother\ControlCenter3\brctrcen.exe /autorun
    O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
    O4 - HKLM\..\Run: [PCTAVApp] "C:\Program Files\PC Tools AntiVirus\PCTAV.exe" /MONITORSCAN
    O4 - HKCU\..\Run: [EPSON Stylus C86 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE /P23 "EPSON Stylus C86 Series" /M "Stylus C86" /EF "HKCU"
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - Global Startup: GStartup.lnk = C:\Program Files\Fichiers communs\GMT\GMT.exe
    O4 - Global Startup: La Solution Ciel.lnk = C:\Program Files\CIEL\Starter.exe
    O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
    O16 - DPF: {201B9B37-848F-40BD-90EA-7B8F0AA89D6A} - http://es6-scripts.dlv4.com/binaries/egaccess4/egaccess4_1071_em_XP.cab
    O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
    O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{2FBAD3D2-BCC6-4707-AFCB-7C2BAAC3F1E6}: NameServer = 194.2.0.20,194.2.0.50
    O17 - HKLM\System\CS1\Services\Tcpip\..\{2FBAD3D2-BCC6-4707-AFCB-7C2BAAC3F1E6}: NameServer = 194.2.0.20,194.2.0.50
    O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
    O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
    O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
    O23 - Service: EPSON V3 Service2(02) (EPSON_PM_RPCV2_02) - SEIKO EPSON CORPORATION - C:\WINDOWS\system32\E_S00RP2.EXE
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
    O23 - Service: NNServ - Unknown owner - C:\Program Files\NewDotNet\nnrun.exe (file missing)
    O23 - Service: PC Tools AntiVirus Engine (PCTAVSvc) - PC Tools Research Pty Ltd - C:\Program Files\PC Tools AntiVirus\PCTAVSvc.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    O23 - Service: Epson Printer Status Agent4 (StatusAgent4) - SEIKO EPSON CORPORATION - C:\WINDOWS\system32\SAgent4.exe
    O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/aurore/LOCALS~1/Temp/msohtml1/01/clip_image002.jpg
    0
  12. afpa.sc Messages postés 18 Statut Membre
     
    et voici le contenu "info"TXT"

    info.txt logfile of random's system information tool 1.06 2009-08-31 11:26:02

    ======Uninstall list======

    -->C:\Program Files\PC Tools AntiVirus\unins000.exe /LOG
    -->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{E06E4F4E-72D6-4497-BFFD-BCB43077C2F4}\Setup.exe" -l0x40c -uninst
    -->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
    7000 Lettres et Courriers Types-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{1AB93ECB-2985-4CA8-807A-913AF340ABE8}\SETUP.EXE" -l0x40c
    7-Zip 4.32-->"C:\Program Files\7-Zip\Uninstall.exe"
    Ad-Aware SE Personal-->C:\PROGRA~1\Lavasoft\AD-AWA~1\UNWISE.EXE C:\PROGRA~1\Lavasoft\AD-AWA~1\INSTALL.LOG
    Adobe Acrobat 5.0-->C:\WINDOWS\ISUNINST.EXE -f"C:\Program Files\Fichiers communs\Adobe\Acrobat 5.0\NT\Uninst.isu" -c"C:\Program Files\Fichiers communs\Adobe\Acrobat 5.0\NT\Uninst.dll"
    Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
    Adobe Shockwave Player 11.5-->"C:\WINDOWS\system32\Adobe\Shockwave 11\uninstaller.exe"
    Adobe SVG Viewer 3.0-->C:\Program Files\Fichiers communs\Adobe\SVG Viewer 3.0\Uninstall\Winstall.exe -u -fC:\Program Files\Fichiers communs\Adobe\SVG Viewer 3.0\Uninstall\Install.log
    Bejeweled 2 Deluxe-->C:\WINDOWS\iun6002ev.exe "C:\Program Files\Bejeweled 2 Deluxe\irunin.ini"
    BitFlash Mobile SVGT Viewer for Windows-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{2093C4DB-E36A-485A-87FB-FFC7B88FECE3}\Setup.exe" -l0x9
    Brother Driver Deployment Wizard-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{9857B360-21D6-11D5-A9D7-00E0295120B2}\SETUP.exe" -l0x40c -uninst -removeonly
    Brother MFL-Pro Suite-->"C:\Program Files\InstallShield Installation Information\{A3FEC306-FBFF-4B0D-95B9-F9C67C65079E}\Setup.exe" -runfromtemp -l0x040c Brunin03.dll -removeonly
    Ciel Compta Evolution (client) 6.0 Enseignement-->MsiExec.exe /I{053E4C51-9876-4F8E-874C-D77F559DAD5A}
    Ciel DADS-U pour Windows-->C:\WINDOWS\unin040c.exe -fC:\CIEL\WDADSU\DeIsL1.isu
    Ciel eSauvegarde-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{ADA14838-7A2B-11D6-B05E-00C04F8EC576}\install.exe" UNINSTALL
    Ciel Gestion Commerciale Evolution (client) 6.10 Enseignement-->MsiExec.exe /I{CC933523-CFCE-431E-8039-2D214049949F}
    Ciel Paye Evolution 6.00 Enseignement-->MsiExec.exe /I{65D1BDD2-DB5F-4C41-AE25-8ED901E67B4A}
    Ciel Tableaux de Bord pour Windows-->C:\WINDOWS\unin040c.exe -fC:\CIEL\WTB\DeIsL3.isu -cC:\CIEL\WTB\_ISREG32.DLL
    Companion wizard-->C:\Program Files\Common Files\Companion Wizard\compwiz.exe -u
    Conjugaison-->MsiExec.exe /I{057AA4D8-559F-42B1-98A0-508303834B2E}
    Correctif pour Windows Internet Explorer 7 (KB947864)-->"C:\WINDOWS\ie7updates\KB947864-IE7\spuninst\spuninst.exe"
    Correctif pour Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
    Correctif pour Windows XP (KB970653-v3)-->"C:\WINDOWS\$NtUninstallKB970653-v3$\spuninst\spuninst.exe"
    DameK UltraBlue-->C:\WINDOWS\iun6002.exe "C:\WINDOWS\Resources\Themes\DameK UltraBlue\irunin.ini"
    EPSON Logiciel imprimante-->C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\EPUPDATE.EXE /R
    EPSON PhotoQuicker3.5-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{65F5B7AF-3363-11D7-BB6B-00018021113F}\SETUP.EXE" -l0x40c uninst
    EPSON Web-To-Page-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{7F14F68C-17FA-4F88-B3FD-7F449C1EBF32}\SETUP.EXE" -l0x40c -anything
    ESC84 Guide de logiciel-->C:\Program Files\EPSON\ESC84\PQU_G\DOCUNINS.EXE
    ESC84 Guide de référence-->C:\Program Files\EPSON\ESC84\REF_G\DOCUNINS.EXE
    ESC86 Guide de référence-->C:\Program Files\EPSON\TPMANUAL\ESC86\REF_G\DOCUNINS.EXE
    ESC86 Guide des logiciels-->C:\Program Files\EPSON\TPMANUAL\ESC86\PQU_G\DOCUNINS.EXE
    Gestionnaire de contacts professionnels pour Outlook 2003-->MsiExec.exe /I{66563AD8-637B-407F-BCA7-0233A16891AB}
    Guide de référence EPL6200_6200L-->C:\Program Files\EPSON\EPL6200_6200L\REF_G\DOCUNINS.EXE
    HijackThis 2.0.2-->"C:\Program Files\trend micro\HijackThis.exe" /uninstall
    HP LaserJet P2015 Series 1.0-->C:\Program Files\HP\Digital Imaging\{BE4CEA63-8351-4A12-9E3A-556F8B76683A}\setup\hpzscr01.exe -datfile hppscr05.dat -forcereboot
    HP Update-->MsiExec.exe /X{FE57DE70-95DE-4B64-9266-84DA811053DB}
    La barre LCI 0.1-->C:\Program Files\La barre LCI\uninst.exe
    Language pack for Ad-Aware SE-->C:\PROGRA~1\Lavasoft\AD-AWA~1\Plugins\Langs\UNWISE.EXE C:\PROGRA~1\Lavasoft\AD-AWA~1\Plugins\Langs\INSTALL.LOG
    Lecteur Windows Media 10-->"C:\Program Files\Windows Media Player\Setup_wm.exe" /Uninstall
    Les métiers de la Défense Screensaver-->C:\Program Files\www.ttdown.com\Les métiers de la Défense\Uninstall.exe
    Macromedia Shockwave Player-->C:\WINDOWS\system32\Macromed\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Macromed\SHOCKW~1\Install.log
    Magic Waterfall Screensaver-->C:\PROGRA~1\Magic Waterfall Screensaver\MW1Uninstaller.exe
    Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
    Maxi Puzzles-->"C:\Program Files\Micro Application\Maxi Puzzles\unins000.exe"
    Mechanical Clock 3D Screensaver 1.0-->"C:\Program Files\Mechanical Clock 3D Screensaver\unins000.exe"
    Microsoft .NET Framework 1.1 French Language Pack-->MsiExec.exe /X{9A394342-4A68-4EBA-85A6-55B559F4E700}
    Microsoft .NET Framework 1.1 Hotfix (KB928366)-->"C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\M928366\M928366Uninstall.msp"
    Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
    Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
    Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe"
    Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe"
    Microsoft Office Professional Edition 2003-->MsiExec.exe /I{9011040C-6000-11D3-8CFE-0150048383C9}
    Mise à jour de sécurité pour Lecteur Windows Media (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Lecteur Windows Media (KB973540)-->"C:\WINDOWS\$NtUninstallKB973540_WM9$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Lecteur Windows Media 10 (KB911565)-->"C:\WINDOWS\$NtUninstallKB911565$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Lecteur Windows Media 10 (KB917734)-->"C:\WINDOWS\$NtUninstallKB917734_WMP10$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Lecteur Windows Media 10 (KB936782)-->"C:\WINDOWS\$NtUninstallKB936782_WMP10$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows Internet Explorer 7 (KB938127)-->"C:\WINDOWS\ie7updates\KB938127-IE7\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows Internet Explorer 7 (KB944533)-->"C:\WINDOWS\ie7updates\KB944533-IE7\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows Internet Explorer 7 (KB950759)-->"C:\WINDOWS\ie7updates\KB950759-IE7\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows Internet Explorer 7 (KB953838)-->"C:\WINDOWS\ie7updates\KB953838-IE7\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows Internet Explorer 7 (KB956390)-->"C:\WINDOWS\ie7updates\KB956390-IE7\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows Internet Explorer 7 (KB958215)-->"C:\WINDOWS\ie7updates\KB958215-IE7\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows Internet Explorer 7 (KB960714)-->"C:\WINDOWS\ie7updates\KB960714-IE7\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows Internet Explorer 7 (KB961260)-->"C:\WINDOWS\ie7updates\KB961260-IE7\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows Internet Explorer 7 (KB963027)-->"C:\WINDOWS\ie7updates\KB963027-IE7\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows Internet Explorer 7 (KB969897)-->"C:\WINDOWS\ie7updates\KB969897-IE7\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows Internet Explorer 8 (KB969897)-->"C:\WINDOWS\ie8updates\KB969897-IE8\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows Internet Explorer 8 (KB972260)-->"C:\WINDOWS\ie8updates\KB972260-IE8\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB923561)-->"C:\WINDOWS\$NtUninstallKB923561$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB938464-v2)-->"C:\WINDOWS\$NtUninstallKB938464-v2$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB950760)-->"C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB951376)-->"C:\WINDOWS\$NtUninstallKB951376$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB952004)-->"C:\WINDOWS\$NtUninstallKB952004$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB953839)-->"C:\WINDOWS\$NtUninstallKB953839$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB954459)-->"C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB956391)-->"C:\WINDOWS\$NtUninstallKB956391$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB956572)-->"C:\WINDOWS\$NtUninstallKB956572$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB956744)-->"C:\WINDOWS\$NtUninstallKB956744$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB957095)-->"C:\WINDOWS\$NtUninstallKB957095$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB958690)-->"C:\WINDOWS\$NtUninstallKB958690$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB959426)-->"C:\WINDOWS\$NtUninstallKB959426$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB960225)-->"C:\WINDOWS\$NtUninstallKB960225$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB960715)-->"C:\WINDOWS\$NtUninstallKB960715$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB960803)-->"C:\WINDOWS\$NtUninstallKB960803$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB960859)-->"C:\WINDOWS\$NtUninstallKB960859$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB961371)-->"C:\WINDOWS\$NtUninstallKB961371$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB961373)-->"C:\WINDOWS\$NtUninstallKB961373$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB961501)-->"C:\WINDOWS\$NtUninstallKB961501$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB968537)-->"C:\WINDOWS\$NtUninstallKB968537$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB969898)-->"C:\WINDOWS\$NtUninstallKB969898$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB970238)-->"C:\WINDOWS\$NtUninstallKB970238$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB971557)-->"C:\WINDOWS\$NtUninstallKB971557$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB971633)-->"C:\WINDOWS\$NtUninstallKB971633$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB971657)-->"C:\WINDOWS\$NtUninstallKB971657$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB973346)-->"C:\WINDOWS\$NtUninstallKB973346$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB973354)-->"C:\WINDOWS\$NtUninstallKB973354$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB973507)-->"C:\WINDOWS\$NtUninstallKB973507$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB973869)-->"C:\WINDOWS\$NtUninstallKB973869$\spuninst\spuninst.exe"
    Mise à jour pour Windows Internet Explorer 8 (KB971930)-->"C:\WINDOWS\ie8updates\KB971930-IE8\spuninst\spuninst.exe"
    Mise à jour pour Windows XP (KB951072-v2)-->"C:\WINDOWS\$NtUninstallKB951072-v2$\spuninst\spuninst.exe"
    Mise à jour pour Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe"
    Mise à jour pour Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe"
    Mise à jour pour Windows XP (KB967715)-->"C:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe"
    Mise à jour pour Windows XP (KB973815)-->"C:\WINDOWS\$NtUninstallKB973815$\spuninst\spuninst.exe"
    Module de compatibilité pour Microsoft Office System 2007-->MsiExec.exe /X{90120000-0020-040C-0000-0000000FF1CE}
    MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
    MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
    PaperPort Image Printer-->MsiExec.exe /X{332CC6BF-E6C7-48EE-BA3D-435E576AD67F}
    Patch Zolex WLM 8.0.0566-->C:\Program Files\MSN Messenger\Désinstaller le patch Zolex.exe
    PC Tools AntiVirus 6.0-->"C:\Program Files\PC Tools AntiVirus\unins000.exe"
    Réussir ses CV et Lettres de Motivation-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{A3B685A0-4B1A-410F-B630-582324729318}\SETUP.EXE" -l0x40c
    ScanToWeb-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{EBAE381B-60A6-4863-AA9F-FCAB755BC9E5}\SETUP.EXE" ADDREMOVEDLG
    SiS 900 PCI Fast Ethernet Adapter Driver-->C:\Progra~1\SiSLan\Uninst.exe
    SiS VGA Utilities-->Rundll32 SiSInst.dll,Uninstall VGA,r,0
    SoundMAX-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F0A37341-D692-11D4-A984-009027EC0A9C}\Setup.exe"
    StyleBuilder (remove only)-->"C:\Program Files\TGTSoft\StyleBuilder\StyleBuilder-uninstall.exe"
    Text Express 2 Deluxe-->"C:\Program Files\Zylom Games\Text Express 2 Deluxe\GameInstlr.exe" --uninstall UnInstall.log
    UsbFix-->C:\UsbFix\Uninstal.exe
    UxTheme Multipatcher Fr-->C:\Program Files\UxTheme Multipatcher Fr\uninstall.exe
    Windows Internet Explorer 8-->"C:\WINDOWS\ie8\spuninst\spuninst.exe"
    Windows Media Format Runtime-->"C:\Program Files\Windows Media Player\wmsetsdk.exe" /UninstallAll
    Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
    Winkaa 1.0 1.0-->"C:\Program Files\Emoticons-plus.com\Winkaa 1.0\uninstall.exe"

    ======Security center information======

    AV: PC Tools AntiVirus 6.0.0.19

    ======System event log======

    Computer Name: SC4
    Event Code: 20
    Message: Le pilote d'imprimante HP LaserJet P2015 Series PCL 6 pour Windows NT x86 Version-3 a été ajouté ou mis à jour. Fichiers :- UNIDRV.DLL, UNIDRVUI.DLL, HPC20156.GPD, UNIDRV.HLP, hpzui43e.dll, hppdvq01.dll, hpz6r43e.dll, hpcdmc32.dll, hplj1xxx.exp, hpz6m43e.gpd, hpzsm43e.gpd, hpzst43e.dll, hpc20156.xml, hpzev43e.dll, pclxl.dll, pjl.gpd, p6disp.gpd, pclxl.gpd, HPC2015W.HTML, HPC2015W.SWF, HPC2015W.XML, HPZHL43e.CAB, UNIRES.DLL, STDNAMES.GPD, hpzls43e.DLL, hpzss43e.DLL, hpzsc43e.dtd, hpc2015c.ini.

    Record Number: 26461
    Source Name: Print
    Time Written: 20090611161015.000000+120
    Event Type: Avertissement
    User: AUTORITE NT\SYSTEM

    Computer Name: SC4
    Event Code: 20
    Message: Le pilote d'imprimante HP LaserJet P2015 Series PCL 6 pour Windows NT x86 Version-3 a été ajouté ou mis à jour. Fichiers :- UNIDRV.DLL, UNIDRVUI.DLL, HPC20156.GPD, UNIDRV.HLP, hpzui43e.dll, hppdvq01.dll, hpz6r43e.dll, hpcdmc32.dll, hplj1xxx.exp, hpz6m43e.gpd, hpzsm43e.gpd, hpzst43e.dll, hpc20156.xml, hpzev43e.dll, pclxl.dll, pjl.gpd, p6disp.gpd, pclxl.gpd, HPC2015W.HTML, HPC2015W.SWF, HPC2015W.XML, HPZHL43e.CAB, UNIRES.DLL, STDNAMES.GPD, hpzls43e.DLL, hpzss43e.DLL, hpzsc43e.dtd, hpc2015c.ini.

    Record Number: 26460
    Source Name: Print
    Time Written: 20090611154701.000000+120
    Event Type: Avertissement
    User: AUTORITE NT\SYSTEM

    Computer Name: SC4
    Event Code: 20
    Message: Le pilote d'imprimante HP LaserJet P2015 Series PCL 6 pour Windows NT x86 Version-3 a été ajouté ou mis à jour. Fichiers :- UNIDRV.DLL, UNIDRVUI.DLL, HPC20156.GPD, UNIDRV.HLP, hpzui43e.dll, hppdvq01.dll, hpz6r43e.dll, hpcdmc32.dll, hplj1xxx.exp, hpz6m43e.gpd, hpzsm43e.gpd, hpzst43e.dll, hpc20156.xml, hpzev43e.dll, pclxl.dll, pjl.gpd, p6disp.gpd, pclxl.gpd, HPC2015W.HTML, HPC2015W.SWF, HPC2015W.XML, HPZHL43e.CAB, UNIRES.DLL, STDNAMES.GPD, hpzls43e.DLL, hpzss43e.DLL, hpzsc43e.dtd, hpc2015c.ini.

    Record Number: 26459
    Source Name: Print
    Time Written: 20090611153426.000000+120
    Event Type: Avertissement
    User: AUTORITE NT\SYSTEM

    Computer Name: SC4
    Event Code: 20
    Message: Le pilote d'imprimante HP LaserJet P2015 Series PCL 6 pour Windows NT x86 Version-3 a été ajouté ou mis à jour. Fichiers :- UNIDRV.DLL, UNIDRVUI.DLL, HPC20156.GPD, UNIDRV.HLP, hpzui43e.dll, hppdvq01.dll, hpz6r43e.dll, hpcdmc32.dll, hplj1xxx.exp, hpz6m43e.gpd, hpzsm43e.gpd, hpzst43e.dll, hpc20156.xml, hpzev43e.dll, pclxl.dll, pjl.gpd, p6disp.gpd, pclxl.gpd, HPC2015W.HTML, HPC2015W.SWF, HPC2015W.XML, HPZHL43e.CAB, UNIRES.DLL, STDNAMES.GPD, hpzls43e.DLL, hpzss43e.DLL, hpzsc43e.dtd, hpc2015c.ini.

    Record Number: 26458
    Source Name: Print
    Time Written: 20090611150606.000000+120
    Event Type: Avertissement
    User: AUTORITE NT\SYSTEM

    Computer Name: SC4
    Event Code: 20
    Message: Le pilote d'imprimante HP LaserJet P2015 Series PCL 6 pour Windows NT x86 Version-3 a été ajouté ou mis à jour. Fichiers :- UNIDRV.DLL, UNIDRVUI.DLL, HPC20156.GPD, UNIDRV.HLP, hpzui43e.dll, hppdvq01.dll, hpz6r43e.dll, hpcdmc32.dll, hplj1xxx.exp, hpz6m43e.gpd, hpzsm43e.gpd, hpzst43e.dll, hpc20156.xml, hpzev43e.dll, pclxl.dll, pjl.gpd, p6disp.gpd, pclxl.gpd, HPC2015W.HTML, HPC2015W.SWF, HPC2015W.XML, HPZHL43e.CAB, UNIRES.DLL, STDNAMES.GPD, hpzls43e.DLL, hpzss43e.DLL, hpzsc43e.dtd, hpc2015c.ini.

    Record Number: 26457
    Source Name: Print
    Time Written: 20090611145244.000000+120
    Event Type: Avertissement
    User: AUTORITE NT\SYSTEM

    =====Application event log=====

    Computer Name: SC4
    Event Code: 4097
    Message: L'application, C:\Program Files\PC Tools AntiVirus\PCTAV.exe, a généré une erreur d'application
    L'erreur s'est produite le 04/16/2009 à 08:22:10.609
    L'exception générée était c0000005 à l'adresse 0040148C (PCTAV)

    Record Number: 6099
    Source Name: DrWatson
    Time Written: 20090416082210.000000+120
    Event Type: Informations
    User:

    Computer Name: SC4
    Event Code: 1000
    Message: Application défaillante pctav.exe, version 5.0.1.1, module défaillant pctav.exe, version 5.0.1.1, adresse de défaillance 0x0000148c.

    Record Number: 6098
    Source Name: Application Error
    Time Written: 20090416082157.000000+120
    Event Type: erreur
    User:

    Computer Name: SC4
    Event Code: 0
    Message:
    Record Number: 6097
    Source Name: PCTAVSvc
    Time Written: 20090416082147.000000+120
    Event Type: Informations
    User:

    Computer Name: SC4
    Event Code: 19011
    Message:
    Record Number: 6096
    Source Name: MSSQL$MICROSOFTBCM
    Time Written: 20090416082139.000000+120
    Event Type: Avertissement
    User:

    Computer Name: SC4
    Event Code: 1800
    Message: Le service Centre de sécurité Windows a démarré.

    Record Number: 6095
    Source Name: SecurityCenter
    Time Written: 20090416082138.000000+120
    Event Type: Informations
    User:

    ======Environment variables======

    "ComSpec"=%SystemRoot%\system32\cmd.exe
    "Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\Microsoft Office\OFFICE11\Gestionnaire de contacts professionnels\IM;C:\Program Files\Microsoft SQL Server\80\Tools\Binn\;C:\Program Files\Microsoft Office\OFFICE11\Gestionnaire de contacts professionnels\
    "windir"=%SystemRoot%
    "OS"=Windows_NT
    "PROCESSOR_ARCHITECTURE"=x86
    "PROCESSOR_LEVEL"=15
    "PROCESSOR_IDENTIFIER"=x86 Family 15 Model 3 Stepping 3, GenuineIntel
    "PROCESSOR_REVISION"=0303
    "NUMBER_OF_PROCESSORS"=1
    "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
    "TEMP"=%SystemRoot%\TEMP
    "TMP"=%SystemRoot%\TEMP
    "FP_NO_HOST_CHECK"=NO

    -----------------EOF-----------------

    bon courage pour la lecture j'attends la suite
    0
  13. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Il y a eu une infection Navipromo ( pages de pubs intempestives ).

    Télécharge Navilog d'il mafioso.
    http://il.mafioso.pagesperso-orange.fr/Navifix/Navilog1.exe

    Double clique sur Navilog1.exe pour l’installer. Suis les invites.
    · Double-clique sur le raccourci de navilog ( sur le bureau ).
    · Sélectionne la langue puis valide.
    · Choisis l'option 1 ( ne choisit pas une autre option )
    Une fois l’analyse terminée, un rapport va s’ouvrir dans le bloc-notes.
    Tu copies et colles le texte de ce rapport dans ton prochain message.

    Note : Si tu ne le trouves pas, il est en C:\Cleanavi.txt.


    Passe ceci sur ton poste ( sans doute la même chose à faire sur les autres ).

    A+
    0
  14. afpa.sc Messages postés 18 Statut Membre
     
    Voici le rapport Navilog :

    Fix Navipromo version 4.0.2 commencé le 31/08/2009 11:44:21,68

    !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
    !!! Postez ce rapport sur le forum pour le faire analyser !!!

    Outil exécuté depuis C:\Program Files\navilog1

    Mise à jour le 27.08.2009 à 11h00 par IL-MAFIOSO

    Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3
    X86-based PC ( Uniprocessor Free : Intel(R) Pentium(R) 4 CPU 2.80GHz )
    BIOS : Award Modular BIOS v6.0
    USER : aurore ( Administrator )
    BOOT : Normal boot

    Antivirus : PC Tools AntiVirus 6.0.0.19 6.0.0.19 (Not Activated)

    A:\ (USB)
    C:\ (Local Disk) - NTFS - Total:37 Go (Free:25 Go)
    D:\ (CD or DVD)
    E:\ (USB) - FAT - Total:982 Mo (Free:0 Go)
    F:\ (USB)

    Recherche executée en mode normal

    Nettoyage exécuté au redémarrage de l'ordinateur

    C:\WINDOWS\Downloaded Program Files\IaLdr32.inf supprimé !
    C:\WINDOWS\pack.epk supprimé !
    C:\WINDOWS\system32\ylsspxywj.dat supprimé !

    Nettoyage contenu C:\WINDOWS\Temp effectué !
    Nettoyage contenu C:\Documents and Settings\aurore\locals~1\Temp effectué !

    *** Sauvegarde du Registre vers dossier Safebackup ***

    sauvegarde du Registre réalisée avec succès !

    *** Nettoyage Registre ***

    Nettoyage Registre Ok

    Certificat Egroup supprimé !

    *** Scan terminé 31/08/2009 11:57:46,31 ***
    0
  15. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Il y aurait besoin de faire le ménage dans les programmes installés ( jeux, ... ).

    Il y a encore des traces d'infections ( WinAntivirusPro 2006 --> un rogue, newdotnet ).
    Ce sont des infections assez anciennes. possible qu'elles ne soient plus présentes.
    Il y a toujours moyen de nettoyer les traces restantes mais c'est après du cas par cas.

    Passe cet outil pour vérifier :

    tu télécharges smitfraudfix de S!Ri sur ton bureau
    http://siri.urz.free.fr/Fix/SmitfraudFix.exe

    # Double clique sur l’exécutable. Il va crée un un dossier SmitFraudFix et lancer l’outil.
    # tu choisis l' option 1 .

    Un rapport sera crée.
    Copie/colle le rapport dans ton prochain message.

    Note : Si tu ne le trouves pas, il est à C:\rapport.txt


    A+
    0
  16. afpa.sc Messages postés 18 Statut Membre
     
    voici le rapport smitfraudix que tu m'as demandé :

    SmitFraudFix v2.423

    Rapport fait à 13:09:46,84, 31/08/2009
    Executé à partir de C:\Documents and Settings\aurore\Bureau\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est NTFS
    Fix executé en mode normal

    »»»»»»»»»»»»»»»»»»»»»»»» Process

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\brsvc01a.exe
    C:\WINDOWS\system32\brss01a.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\System32\keyhook.exe
    C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    C:\Program Files\PC Tools AntiVirus\PCTAV.exe
    C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
    C:\WINDOWS\system32\E_S00RP2.EXE
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTBCM\Binn\sqlservr.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Brother\ControlCenter3\brccMCtl.exe
    C:\Program Files\PC Tools AntiVirus\PCTAVSvc.exe
    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\system32\SAgent4.exe
    C:\WINDOWS\system32\sistray.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\cmd.exe

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    »»»»»»»»»»»»»»»»»»»»»»»» C:\

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\aurore

    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\aurore\LOCALS~1\Temp

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\aurore\Application Data

    »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\aurore\Favoris

    »»»»»»»»»»»»»»»»»»»»»»»» Bureau

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

    »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

    »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
    "Source"="file:///C:/DOCUME~1/aurore/LOCALS~1/Temp/msohtml1/01/clip_image002.jpg"
    "SubscribedURL"="file:///C:/DOCUME~1/aurore/LOCALS~1/Temp/msohtml1/01/clip_image002.jpg"
    "FriendlyName"=""

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]
    "Source"="About:Home"
    "SubscribedURL"="About:Home"
    "FriendlyName"="Ma page d'accueil"

    »»»»»»»»»»»»»»»»»»»»»»»» o4Patch
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    o4Patch
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» IEDFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    IEDFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    Agent.OMZ.Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» VACFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    VACFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» 404Fix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    404Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

    »»»»»»»»»»»»»»»»»»»»»»»» RK

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "System"=""

    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    Description: SiS 900-Based PCI Fast Ethernet Adapter - Miniport d'ordonnancement de paquets
    DNS Server Search Order: 194.2.0.20
    DNS Server Search Order: 194.2.0.50

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{2FBAD3D2-BCC6-4707-AFCB-7C2BAAC3F1E6}: NameServer=194.2.0.20,194.2.0.50
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{2FBAD3D2-BCC6-4707-AFCB-7C2BAAC3F1E6}: NameServer=194.2.0.20,194.2.0.50
    HKLM\SYSTEM\CS3\Services\Tcpip\..\{2FBAD3D2-BCC6-4707-AFCB-7C2BAAC3F1E6}: NameServer=194.2.0.20,194.2.0.50

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin
    0
  17. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Ok,

    A priori, il y avait uniquement l'infection par clé USB.

    1/ Pourrais-tu me poster le rapport Malwarebytes ( celui où tu as trouvé 53 infections )?
    Réouvre Malwarebytes --> onglet rapport/logs --> tu le trouveras là.
    Double-clique dessus pour l'ouvrir et poste le contenu.

    2/ De façon optionnelle et à faire sur tous les postes de la salle :
    - Relancer Malwarebytes pour vérifier que le PC est clean
    - Faire un scan complet avec l'antivirus
    - et un scan en ligne :
    Par exemple , sur le site de Kaspersky :

    Tu vas sur le site de Kaspersky:
    https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr

    # Clique sur Demarrer Online-scanner ( en bas de page à droite ) pour commencer l'analyse.
    # Il te sera demandé d'installer un logiciel de Kaspersky, accepte.
    # A la fin de cette analyse, clique sur enregistrer le rapport.
    Poste le contenu de ce rapport dans ton prochain message.

    tuto à lire pour vérifier les réglages des activeX :
    https://forum.pcastuces.com/default.asp

    A+
    0
  18. afpa.sc Messages postés 18 Statut Membre
     
    je fais les scan que tu as demendé et je te poste les résultats mais ça va être long quand je lance Malwarebytes il tourne des fois pendant 4 heures
    concernant le rapport malwarebytes je ne peux pas te le poster car quand j'avais fais ce scan je l'avais fait sans la permission des responsables et j'ai du supprimer toutes les traces : désinstallation et suppression de tous les rapports

    le seul rapport walware que j'ai c'est celui que j'ai mis dans mon pemier post
    0
  19. afpa.sc Messages postés 18 Statut Membre
     
    voici le rapport PCTOOLS

    PC Tools AntiVirus Rapport d'activité
    Créé le : 31/08/2009 14:39:30

    Informations sur le scan :

    Nom de l'objet Etat Action Infection Date et heure

    C:\Program Files\Navilog1\gnc.exe Suspect Mis en quarantaine HeurEngine.Packed.FSG 31/08/2009 15:52:24

    C:\RECYCLER\S-1-5-21-445624873-69102533-933142981-1008\Dc1.exe Suspect Mis en quarantaine HeurEngine.Packed.FSG 31/08/2009 15:52:44

    C:\System Volume Information\_restore{BA74406B-3EBB-4D01-8BFA-AF7263E47B29}\RP901\A0095575.exe Suspect Mis en quarantaine HeurEngine.Packed.FSG 31/08/2009 15:53:04
    0
  20. afpa.sc Messages postés 18 Statut Membre
     
    Bonjour,
    voici le rapport Malwarebytes :

    Malwarebytes' Anti-Malware 1.40
    Version de la base de données: 2697
    Windows 5.1.2600 Service Pack 3

    01/09/2009 10:25:09
    mbam-log-2009-09-01 (10-25-09).txt

    Type de recherche: Examen complet (A:\|C:\|D:\|E:\|)
    Eléments examinés: 220852
    Temps écoulé: 1 hour(s), 59 minute(s), 54 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)
    0
  21. afpa.sc Messages postés 18 Statut Membre
     
    je n'ai pas pu installer kapersky, un message d'erreur apparait systématiquement après de nombreux essais j'ai réussi à mettre la version anglaise (pourquoi j'ai pu en anglais et pas en français je n'y comprend rien ) je te joins le rapport en anglais mais comme il y a des infections détectées je vais essayer de réinstaller en français dans l'après-midi pour te faciliter la tâche

    KASPERSKY ONLINE SCANNER 7.0: scan report
    Tuesday, September 1, 2009
    Operating system: Microsoft Windows XP Professional Service Pack 3 (build 2600)
    Kaspersky Online Scanner version: 7.0.26.13
    Last database update: Tuesday, September 01, 2009 09:49:21
    Records in database: 2734627

    Scan settings
    scan using the following database extended
    Scan archives yes
    Scan e-mail databases yes

    Scan area My Computer
    A:\
    C:\
    D:\
    E:\
    F:\

    Scan statistics
    Objects scanned 86492
    Threats found 10
    Infected objects found 17
    Suspicious objects found 0
    Scan duration 02:59:00

    File name Threat Threats count
    C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\0XM3C5MB\upgrade[1].cab Infected: not-a-virus:AdWare.Win32.OneStep.c 1

    C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\CDA7G5YZ\upgrade[1].cab Infected: not-a-virus:AdWare.Win32.NewDotNet.l 1

    C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\CDA7G5YZ\upgrade[1].cab Infected: not-a-virus:AdWare.Win32.OneStep.c 1

    C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\CDA7G5YZ\upgrade[2].cab Infected: not-a-virus:AdWare.Win32.NewDotNet.m 1

    C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\S16N4DA3\upgrade[1].cab Infected: not-a-virus:AdWare.Win32.OneStep.e 1

    C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\S16N4DA3\upgrade[1].cab Infected: not-a-virus:AdWare.Win32.OneStep.c 1

    C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\S16N4DA3\upgrade[2].cab Infected: not-a-virus:AdWare.Win32.NewDotNet.m 1

    C:\Program Files\Common Files\Companion Wizard\compwiz.exe Infected: not-a-virus:FraudTool.Win32.WinAntiVirus.2006 1

    C:\Program Files\Common Files\Companion Wizard\WapCHK.dll Infected: not-a-virus:FraudTool.Win32.WinAntiVirus.2006 1

    C:\Program Files\Fichiers communs\penjrlja\nlpnlfal\hnbncfef.exe Infected: not-a-virus:AdWare.Win32.Gator.a 1

    C:\Program Files\Fichiers communs\penjrlja\ppcnnnncdt\phbpceljr.exe Infected: not-a-virus:AdWare.Win32.Gator.a 1

    C:\Program Files\themexp\Themexp.org File\Ezthemes_WhenUSaveNowCrunch_InstallerInst.exe Infected: not-a-virus:WebToolbar.Win32.WhenU.a 1

    C:\Program Files\themexp\Themexp.org File\Ezthemes_WhenUSaveNow_InstallerInst.exe Infected: not-a-virus:WebToolbar.Win32.WhenU.a 1

    C:\Program Files\themexp\Themexp.org File\NNWDAB638.EXE Infected: not-a-virus:AdWare.Win32.NewDotNet 1

    C:\WINDOWS\NDNuninstall7_22.exe Infected: not-a-virus:AdWare.Win32.NewDotNet.e 1

    C:\WINDOWS\NDNuninstall7_48.exe Infected: not-a-virus:AdWare.Win32.NewDotNet.e 1

    C:\WINDOWS\system32\Magic Waterfall Screensaver.scr Infected: not-a-virus:AdWare.Win32.GAINNetwork.d 1

    Selected area has been scanned.
    0
  • 1
  • 2