Internet activite anxieuse menace d attaque
Fermé
hachi26
Messages postés
3
Date d'inscription
dimanche 30 août 2009
Statut
Membre
Dernière intervention
30 août 2009
-
30 août 2009 à 10:53
moha - 20 oct. 2009 à 18:24
moha - 20 oct. 2009 à 18:24
A voir également:
- Internet activite anxieuse menace d attaque
- Gps sans internet - Guide
- Formate de menace - Forum Vos droits sur internet
- Activité instagram - Guide
- Formate menace ✓ - Forum Vos droits sur internet
- Que du fake menace ✓ - Forum Vos droits sur internet
4 réponses
plopus
Messages postés
5962
Date d'inscription
jeudi 1 janvier 2009
Statut
Contributeur sécurité
Dernière intervention
11 mars 2012
293
30 août 2009 à 10:56
30 août 2009 à 10:56
salut
Télécharge Random's System Information Tool (RSIT) de Random/Random, et enregistre le sur ton Bureau.
http://images.malwareremoval.com/random/RSIT.exe
• Double clique sur RSIT.exe pour lancer l'outil.
• Clique sur "Continue" à l'écran Disclaimer.
• Si l'outil HijackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu s'il te le demande) et tu devras accepter la licence.
• Une fois le scan terminé, deux rapports vont apparaître : poste les dans deux messages séparés stp
Télécharge Random's System Information Tool (RSIT) de Random/Random, et enregistre le sur ton Bureau.
http://images.malwareremoval.com/random/RSIT.exe
• Double clique sur RSIT.exe pour lancer l'outil.
• Clique sur "Continue" à l'écran Disclaimer.
• Si l'outil HijackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu s'il te le demande) et tu devras accepter la licence.
• Une fois le scan terminé, deux rapports vont apparaître : poste les dans deux messages séparés stp
hachi26
Messages postés
3
Date d'inscription
dimanche 30 août 2009
Statut
Membre
Dernière intervention
30 août 2009
30 août 2009 à 11:21
30 août 2009 à 11:21
info.txt logfile of random's system information tool 1.06 2009-08-30 11:21:36
======Uninstall list======
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
HijackThis 2.0.2-->"C:\Program Files\trend micro\HijackThis.exe" /uninstall
======Security center information======
AV: Bitdefender Antivirus (outdated)
FW: Bitdefender Firewall
AS: BitDefender AntiSpam (outdated)
AS: Windows Defender (disabled)
======System event log======
Computer Name: PC-de-Bureau
Event Code: 3004
Message: L’agent de protection en temps réel Windows Defender a détecté des modifications. Microsoft vous recommande d’analyser les logiciels responsables de ces modifications, à la recherche de risques potentiels. Vous pouvez vous servir des informations relatives au fonctionnement de ces programmes pour autoriser ou non leur exécution, ou pour les supprimer de l’ordinateur. N’autorisez les modifications que si vous faites confiance au programme ou à l’éditeur de logiciel. Windows Defender ne peut pas annuler les modifications que vous autorisez.
Pour plus d’informations, consultez les données suivantes :
Non applicable
ID d’analyse : {8AAC50B0-173F-4611-B4EB-4C76730C677B}
Utilisateur : PC-de-Bureau\Elodie
Nom : Unknown
ID :
ID de gravité :
ID de catégorie :
Chemin d’accès trouvé : regkey:HKCU@S-1-5-21-2814896389-3920963570-2297461683-1001\Software\Microsoft\Windows\CurrentVersion\Run\\odm35bvu.exe;runkey:HKCU@S-1-5-21-2814896389-3920963570-2297461683-1001\Software\Microsoft\Windows\CurrentVersion\Run\\odm35bvu.exe;file:C:\Users\Elodie\AppData\Local\Temp\odm35bvu.exe
Type d’alerte : Logiciel non classifié
Type de détection :
Record Number: 46826
Source Name: Microsoft-Windows-Windows Defender
Time Written: 20090829095644.000000-000
Event Type: Avertissement
User:
Computer Name: PC-de-Bureau
Event Code: 4001
Message: Le Service d’autoconfiguration WLAN s’est arrêté correctement.
Record Number: 46853
Source Name: Microsoft-Windows-WLAN-AutoConfig
Time Written: 20090829105015.468000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM
Computer Name: PC-de-Bureau
Event Code: 15016
Message: Impossible d’initialiser le package de sécurité Kerberos pour l’authentification côté serveur. Le champ de données contient le numéro de l’erreur.
Record Number: 46869
Source Name: Microsoft-Windows-HttpEvent
Time Written: 20090830081840.659335-000
Event Type: Erreur
User:
Computer Name: PC-de-Bureau
Event Code: 7023
Message: Le service Service SSTP (Secure Socket Tunneling Protocol) s'est arrêté avec l'erreur :
Le serveur RPC n'est pas disponible.
Record Number: 46880
Source Name: Service Control Manager
Time Written: 20090830082017.000000-000
Event Type: Erreur
User:
Computer Name: PC-de-Bureau
Event Code: 7001
Message: Le service Gestionnaire de connexions d'accès distant dépend du service Service SSTP (Secure Socket Tunneling Protocol) qui n'a pas pu démarrer en raison de l'erreur :
Le serveur RPC n'est pas disponible.
Record Number: 46881
Source Name: Service Control Manager
Time Written: 20090830082017.000000-000
Event Type: Erreur
User:
=====Application event log=====
Computer Name: PC-de-Bureau
Event Code: 1000
Message: Application défaillante SpybotSD.exe, version 1.6.2.46, horodatage 0x2a425e19, module défaillant SpybotSD.exe, version 1.6.2.46, horodatage 0x2a425e19, code d’exception 0x80000003, décalage d’erreur 0x002e5bb0, ID du processus 0x4b0, heure de début de l’application 0x01ca288f2ec45381.
Record Number: 5277
Source Name: Application Error
Time Written: 20090829095756.000000-000
Event Type: Erreur
User:
Computer Name: PC-de-Bureau
Event Code: 1000
Message: Application défaillante iexplore.exe, version 8.0.6001.18813, horodatage 0x4a6621ae, module défaillant Flash10c.ocx, version 10.0.32.18, horodatage 0x4a613d79, code d’exception 0xc0000005, décalage d’erreur 0x0012beb9, ID du processus 0x144c, heure de début de l’application 0x01ca2892ee011d71.
Record Number: 5280
Source Name: Application Error
Time Written: 20090829103128.000000-000
Event Type: Erreur
User:
Computer Name: PC-de-Bureau
Event Code: 1530
Message: Windows a détecté que votre fichier de Registre est toujours utilisé par d'autres applications ou services. Le fichier va être déchargé. Les applications ou services qui ont accès à votre Registre risquent de ne pas fonctionner correctement après cela.
DÉTAIL -
1 user registry handles leaked from \Registry\User\S-1-5-21-2814896389-3920963570-2297461683-1001:
Process 1112 (\Device\HarddiskVolume1\WINDOWS\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-2814896389-3920963570-2297461683-1001
Record Number: 5285
Source Name: Microsoft-Windows-User Profiles Service
Time Written: 20090829105006.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM
Computer Name: PC-de-Bureau
Event Code: 1530
Message: Windows a détecté que votre fichier de Registre est toujours utilisé par d'autres applications ou services. Le fichier va être déchargé. Les applications ou services qui ont accès à votre Registre risquent de ne pas fonctionner correctement après cela.
DÉTAIL -
1 user registry handles leaked from \Registry\User\S-1-5-21-2814896389-3920963570-2297461683-1001_Classes:
Process 1112 (\Device\HarddiskVolume1\WINDOWS\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-2814896389-3920963570-2297461683-1001_CLASSES
Record Number: 5286
Source Name: Microsoft-Windows-User Profiles Service
Time Written: 20090829105007.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM
Computer Name: PC-de-Bureau
Event Code: 1000
Message: Application défaillante iexplore.exe, version 8.0.6001.18813, horodatage 0x4a6621ae, module défaillant Flash10c.ocx, version 10.0.32.18, horodatage 0x4a613d79, code d’exception 0xc0000005, décalage d’erreur 0x001579a2, ID du processus 0xe14, heure de début de l’application 0x01ca294aa38defd8.
Record Number: 5312
Source Name: Application Error
Time Written: 20090830082422.000000-000
Event Type: Erreur
User:
=====Security event log=====
Computer Name: PC-de-Bureau
Event Code: 5038
Message: L’intégrité du code a déterminé que le hachage de l’image d’un fichier n’est pas valide. Le fichier peut être endommagé en raison d’une modification non autorisée ou le hachage non valide peut indiquer une erreur d’unité de disque potentielle.
Nom du fichier : \Device\HarddiskVolume1\WINDOWS\System32\drivers\tcpip.sys
Record Number: 11827
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090830092134.381935-000
Event Type: Échec de l'audit
User:
Computer Name: PC-de-Bureau
Event Code: 5038
Message: L’intégrité du code a déterminé que le hachage de l’image d’un fichier n’est pas valide. Le fichier peut être endommagé en raison d’une modification non autorisée ou le hachage non valide peut indiquer une erreur d’unité de disque potentielle.
Nom du fichier : \Device\HarddiskVolume1\WINDOWS\System32\drivers\tcpip.sys
Record Number: 11828
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090830092134.413135-000
Event Type: Échec de l'audit
User:
Computer Name: PC-de-Bureau
Event Code: 5038
Message: L’intégrité du code a déterminé que le hachage de l’image d’un fichier n’est pas valide. Le fichier peut être endommagé en raison d’une modification non autorisée ou le hachage non valide peut indiquer une erreur d’unité de disque potentielle.
Nom du fichier : \Device\HarddiskVolume1\WINDOWS\System32\drivers\tcpip.sys
Record Number: 11829
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090830092134.444335-000
Event Type: Échec de l'audit
User:
Computer Name: PC-de-Bureau
Event Code: 5038
Message: L’intégrité du code a déterminé que le hachage de l’image d’un fichier n’est pas valide. Le fichier peut être endommagé en raison d’une modification non autorisée ou le hachage non valide peut indiquer une erreur d’unité de disque potentielle.
Nom du fichier : \Device\HarddiskVolume1\WINDOWS\System32\drivers\tcpip.sys
Record Number: 11830
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090830092134.475535-000
Event Type: Échec de l'audit
User:
Computer Name: PC-de-Bureau
Event Code: 5038
Message: L’intégrité du code a déterminé que le hachage de l’image d’un fichier n’est pas valide. Le fichier peut être endommagé en raison d’une modification non autorisée ou le hachage non valide peut indiquer une erreur d’unité de disque potentielle.
Nom du fichier : \Device\HarddiskVolume1\WINDOWS\System32\drivers\tcpip.sys
Record Number: 11831
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090830092134.506735-000
Event Type: Échec de l'audit
User:
======Environment variables======
"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=C:\Program Files\PC Connectivity Solution\;%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\hp\bin\Python;c:\Program Files\Common Files\Roxio Shared\DLLShared\;c:\Program Files\Common Files\Roxio Shared\9.0\DLLShared\;C:\Program Files\Common Files\DivX Shared\;C:\Program Files\QuickTime\QTSystem\
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 15 Stepping 11, GenuineIntel
"PROCESSOR_REVISION"=0f0b
"NUMBER_OF_PROCESSORS"=4
"RoxioCentral"=c:\Program Files\Common Files\Roxio Shared\9.0\Roxio Central33\
"PLATFORM"=HPD
"PCBRAND"=Pavilion
"OnlineServices"=Services en ligne
"CLASSPATH"=.;C:\Program Files\Java\jre1.6.0_01\lib\ext\QTJava.zip
"QTJAVA"=C:\Program Files\Java\jre1.6.0_01\lib\ext\QTJava.zip
-----------------EOF-----------------
======Uninstall list======
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
HijackThis 2.0.2-->"C:\Program Files\trend micro\HijackThis.exe" /uninstall
======Security center information======
AV: Bitdefender Antivirus (outdated)
FW: Bitdefender Firewall
AS: BitDefender AntiSpam (outdated)
AS: Windows Defender (disabled)
======System event log======
Computer Name: PC-de-Bureau
Event Code: 3004
Message: L’agent de protection en temps réel Windows Defender a détecté des modifications. Microsoft vous recommande d’analyser les logiciels responsables de ces modifications, à la recherche de risques potentiels. Vous pouvez vous servir des informations relatives au fonctionnement de ces programmes pour autoriser ou non leur exécution, ou pour les supprimer de l’ordinateur. N’autorisez les modifications que si vous faites confiance au programme ou à l’éditeur de logiciel. Windows Defender ne peut pas annuler les modifications que vous autorisez.
Pour plus d’informations, consultez les données suivantes :
Non applicable
ID d’analyse : {8AAC50B0-173F-4611-B4EB-4C76730C677B}
Utilisateur : PC-de-Bureau\Elodie
Nom : Unknown
ID :
ID de gravité :
ID de catégorie :
Chemin d’accès trouvé : regkey:HKCU@S-1-5-21-2814896389-3920963570-2297461683-1001\Software\Microsoft\Windows\CurrentVersion\Run\\odm35bvu.exe;runkey:HKCU@S-1-5-21-2814896389-3920963570-2297461683-1001\Software\Microsoft\Windows\CurrentVersion\Run\\odm35bvu.exe;file:C:\Users\Elodie\AppData\Local\Temp\odm35bvu.exe
Type d’alerte : Logiciel non classifié
Type de détection :
Record Number: 46826
Source Name: Microsoft-Windows-Windows Defender
Time Written: 20090829095644.000000-000
Event Type: Avertissement
User:
Computer Name: PC-de-Bureau
Event Code: 4001
Message: Le Service d’autoconfiguration WLAN s’est arrêté correctement.
Record Number: 46853
Source Name: Microsoft-Windows-WLAN-AutoConfig
Time Written: 20090829105015.468000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM
Computer Name: PC-de-Bureau
Event Code: 15016
Message: Impossible d’initialiser le package de sécurité Kerberos pour l’authentification côté serveur. Le champ de données contient le numéro de l’erreur.
Record Number: 46869
Source Name: Microsoft-Windows-HttpEvent
Time Written: 20090830081840.659335-000
Event Type: Erreur
User:
Computer Name: PC-de-Bureau
Event Code: 7023
Message: Le service Service SSTP (Secure Socket Tunneling Protocol) s'est arrêté avec l'erreur :
Le serveur RPC n'est pas disponible.
Record Number: 46880
Source Name: Service Control Manager
Time Written: 20090830082017.000000-000
Event Type: Erreur
User:
Computer Name: PC-de-Bureau
Event Code: 7001
Message: Le service Gestionnaire de connexions d'accès distant dépend du service Service SSTP (Secure Socket Tunneling Protocol) qui n'a pas pu démarrer en raison de l'erreur :
Le serveur RPC n'est pas disponible.
Record Number: 46881
Source Name: Service Control Manager
Time Written: 20090830082017.000000-000
Event Type: Erreur
User:
=====Application event log=====
Computer Name: PC-de-Bureau
Event Code: 1000
Message: Application défaillante SpybotSD.exe, version 1.6.2.46, horodatage 0x2a425e19, module défaillant SpybotSD.exe, version 1.6.2.46, horodatage 0x2a425e19, code d’exception 0x80000003, décalage d’erreur 0x002e5bb0, ID du processus 0x4b0, heure de début de l’application 0x01ca288f2ec45381.
Record Number: 5277
Source Name: Application Error
Time Written: 20090829095756.000000-000
Event Type: Erreur
User:
Computer Name: PC-de-Bureau
Event Code: 1000
Message: Application défaillante iexplore.exe, version 8.0.6001.18813, horodatage 0x4a6621ae, module défaillant Flash10c.ocx, version 10.0.32.18, horodatage 0x4a613d79, code d’exception 0xc0000005, décalage d’erreur 0x0012beb9, ID du processus 0x144c, heure de début de l’application 0x01ca2892ee011d71.
Record Number: 5280
Source Name: Application Error
Time Written: 20090829103128.000000-000
Event Type: Erreur
User:
Computer Name: PC-de-Bureau
Event Code: 1530
Message: Windows a détecté que votre fichier de Registre est toujours utilisé par d'autres applications ou services. Le fichier va être déchargé. Les applications ou services qui ont accès à votre Registre risquent de ne pas fonctionner correctement après cela.
DÉTAIL -
1 user registry handles leaked from \Registry\User\S-1-5-21-2814896389-3920963570-2297461683-1001:
Process 1112 (\Device\HarddiskVolume1\WINDOWS\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-2814896389-3920963570-2297461683-1001
Record Number: 5285
Source Name: Microsoft-Windows-User Profiles Service
Time Written: 20090829105006.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM
Computer Name: PC-de-Bureau
Event Code: 1530
Message: Windows a détecté que votre fichier de Registre est toujours utilisé par d'autres applications ou services. Le fichier va être déchargé. Les applications ou services qui ont accès à votre Registre risquent de ne pas fonctionner correctement après cela.
DÉTAIL -
1 user registry handles leaked from \Registry\User\S-1-5-21-2814896389-3920963570-2297461683-1001_Classes:
Process 1112 (\Device\HarddiskVolume1\WINDOWS\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-2814896389-3920963570-2297461683-1001_CLASSES
Record Number: 5286
Source Name: Microsoft-Windows-User Profiles Service
Time Written: 20090829105007.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM
Computer Name: PC-de-Bureau
Event Code: 1000
Message: Application défaillante iexplore.exe, version 8.0.6001.18813, horodatage 0x4a6621ae, module défaillant Flash10c.ocx, version 10.0.32.18, horodatage 0x4a613d79, code d’exception 0xc0000005, décalage d’erreur 0x001579a2, ID du processus 0xe14, heure de début de l’application 0x01ca294aa38defd8.
Record Number: 5312
Source Name: Application Error
Time Written: 20090830082422.000000-000
Event Type: Erreur
User:
=====Security event log=====
Computer Name: PC-de-Bureau
Event Code: 5038
Message: L’intégrité du code a déterminé que le hachage de l’image d’un fichier n’est pas valide. Le fichier peut être endommagé en raison d’une modification non autorisée ou le hachage non valide peut indiquer une erreur d’unité de disque potentielle.
Nom du fichier : \Device\HarddiskVolume1\WINDOWS\System32\drivers\tcpip.sys
Record Number: 11827
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090830092134.381935-000
Event Type: Échec de l'audit
User:
Computer Name: PC-de-Bureau
Event Code: 5038
Message: L’intégrité du code a déterminé que le hachage de l’image d’un fichier n’est pas valide. Le fichier peut être endommagé en raison d’une modification non autorisée ou le hachage non valide peut indiquer une erreur d’unité de disque potentielle.
Nom du fichier : \Device\HarddiskVolume1\WINDOWS\System32\drivers\tcpip.sys
Record Number: 11828
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090830092134.413135-000
Event Type: Échec de l'audit
User:
Computer Name: PC-de-Bureau
Event Code: 5038
Message: L’intégrité du code a déterminé que le hachage de l’image d’un fichier n’est pas valide. Le fichier peut être endommagé en raison d’une modification non autorisée ou le hachage non valide peut indiquer une erreur d’unité de disque potentielle.
Nom du fichier : \Device\HarddiskVolume1\WINDOWS\System32\drivers\tcpip.sys
Record Number: 11829
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090830092134.444335-000
Event Type: Échec de l'audit
User:
Computer Name: PC-de-Bureau
Event Code: 5038
Message: L’intégrité du code a déterminé que le hachage de l’image d’un fichier n’est pas valide. Le fichier peut être endommagé en raison d’une modification non autorisée ou le hachage non valide peut indiquer une erreur d’unité de disque potentielle.
Nom du fichier : \Device\HarddiskVolume1\WINDOWS\System32\drivers\tcpip.sys
Record Number: 11830
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090830092134.475535-000
Event Type: Échec de l'audit
User:
Computer Name: PC-de-Bureau
Event Code: 5038
Message: L’intégrité du code a déterminé que le hachage de l’image d’un fichier n’est pas valide. Le fichier peut être endommagé en raison d’une modification non autorisée ou le hachage non valide peut indiquer une erreur d’unité de disque potentielle.
Nom du fichier : \Device\HarddiskVolume1\WINDOWS\System32\drivers\tcpip.sys
Record Number: 11831
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090830092134.506735-000
Event Type: Échec de l'audit
User:
======Environment variables======
"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=C:\Program Files\PC Connectivity Solution\;%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\hp\bin\Python;c:\Program Files\Common Files\Roxio Shared\DLLShared\;c:\Program Files\Common Files\Roxio Shared\9.0\DLLShared\;C:\Program Files\Common Files\DivX Shared\;C:\Program Files\QuickTime\QTSystem\
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 15 Stepping 11, GenuineIntel
"PROCESSOR_REVISION"=0f0b
"NUMBER_OF_PROCESSORS"=4
"RoxioCentral"=c:\Program Files\Common Files\Roxio Shared\9.0\Roxio Central33\
"PLATFORM"=HPD
"PCBRAND"=Pavilion
"OnlineServices"=Services en ligne
"CLASSPATH"=.;C:\Program Files\Java\jre1.6.0_01\lib\ext\QTJava.zip
"QTJAVA"=C:\Program Files\Java\jre1.6.0_01\lib\ext\QTJava.zip
-----------------EOF-----------------
plopus
Messages postés
5962
Date d'inscription
jeudi 1 janvier 2009
Statut
Contributeur sécurité
Dernière intervention
11 mars 2012
293
30 août 2009 à 11:29
30 août 2009 à 11:29
oula
impressionnant la liste de fichier actif que tu as dans syteme32 et windows...je sais pas ce qu'il cache mais rien de bon...
tu as entre autres une redirection de DNS en ukraine
commence par ceci :
clic droit sur le lien ci dessous choisit "enregistré la cible du lien sous"
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
choisit l'emplacement du BUREAU, RENOMME le fichier en ton prenom
puis desactive ton antivirus, lance combofix, il te demanderas d'installer la console de recuperation FAIT LE, une fois installé debranche internet puis laisse poursuivre le scan et poste le rapport a al fin
impressionnant la liste de fichier actif que tu as dans syteme32 et windows...je sais pas ce qu'il cache mais rien de bon...
tu as entre autres une redirection de DNS en ukraine
commence par ceci :
clic droit sur le lien ci dessous choisit "enregistré la cible du lien sous"
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
choisit l'emplacement du BUREAU, RENOMME le fichier en ton prenom
puis desactive ton antivirus, lance combofix, il te demanderas d'installer la console de recuperation FAIT LE, une fois installé debranche internet puis laisse poursuivre le scan et poste le rapport a al fin
30 août 2009 à 11:22
Run by Elodie at 2009-08-30 11:21:07
Microsoft® Windows Vista™ Édition Familiale Premium Service Pack 1
System drive C: has 376 GB (80%) free of 469 GB
Total RAM: 2047 MB (57% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:21:35, on 30/08/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18813)
Boot mode: Normal
Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\hp\support\hpsysdrv.exe
C:\Program Files\Hewlett-Packard\On-Screen OSD Indicator\OSD.exe
C:\WINDOWS\RtHDVCpl.exe
C:\Windows\system32\schtasks.exe
C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Windows\system32\jusched.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Users\Elodie\AppData\Local\Temp\odm35bvu.exe
C:\hp\kbd\kbd.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\Macromed\Flash\FlashUtil10c.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Users\Elodie\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\MZDHQ93P\RSIT[1].exe
C:\Program Files\trend micro\Elodie.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr?cobrand=hp-desktop.msn.com&ocid=HPDHP&pc=HPDTDF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr?cobrand=hp-desktop.msn.com&ocid=HPDHP&pc=HPDTDF
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2008\IEToolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [hpsysdrv] c:\hp\support\hpsysdrv.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KbdStub.EXE
O4 - HKLM\..\Run: [OsdMaestro] "C:\Program Files\Hewlett-Packard\On-Screen OSD Indicator\OSD.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [CCUTRAYICON] FactoryMode
O4 - HKLM\..\Run: [HP Health Check Scheduler] c:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateReg] "C:\Windows\system32\jureg.exe"
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\RunOnce: [Launcher] %WINDIR%\SMINST\launcher.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [odm35bvu.exe] C:\Windows\system32\odm35bvu.exe
O4 - HKCU\..\Run: [BlockDefense] C:\Program Files\BlockDefense Software\BlockDefense\BlockDefense.exe -min
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O13 - Gopher Prefix:
O16 - DPF: {7BABCBE7-ECFF-4EA0-A344-1DC32458A6ED} (NTR Plugin 1.2.4) - http://81.252.69.28/inquiero/mod/setup/ntrplugin124v_30.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5801758B-3410-4E62-979D-7F0601F8CD86}: NameServer = 85.255.112.12,85.255.112.112
O17 - HKLM\System\CCS\Services\Tcpip\..\{F4566246-0D4F-47B4-9CA8-38AEF2E55F77}: NameServer = 85.255.112.12,85.255.112.112
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.12,85.255.112.112
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.12,85.255.112.112
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.12,85.255.112.112
O23 - Service: Intel(R) Alert Service (AlertService) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\CCU\AlertService.exe
O23 - Service: CT Device Query service (CTDevice_Srv) - Creative Technology Ltd - C:\Program Files\Creative\Shared Files\CTDevSrv.exe
O23 - Service: DQLWinService - Unknown owner - C:\Program Files\Common Files\Intel\IntelDH\NMS\AdpPlugins\DQLWinService.exe
O23 - Service: FsUsbExService - Teruten - C:\Windows\system32\FsUsbExService.Exe
O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Intel DH Service (IntelDHSvcConf) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Tools\IntelDHSvcConf.exe
O23 - Service: Intel(R) Software Services Manager (ISSM) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\ISSM.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Program Files\Common Files\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: Intel(R) Viiv(TM) Media Server (M1 Server) - Unknown owner - C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\mediaserver.exe
O23 - Service: Intel(R) Application Tracker (MCLServiceATL) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Shells\MCLServiceATL.exe
O23 - Service: Intel(R) Remoting Service (Remote UI Service) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Shells\Remote UI Service.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - c:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - c:\Program Files\Common Files\SureThing Shared\stllssvr.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - BitDefender - C:\Program Files\Common Files\BitDefender\BitDefender Communicator\xcommsvr.exe