Sujet Précédent Sujet Suivant

Desinfection worm/autorun.ukc

Fermé
hugher65 - 3 sept. 2009 à 21:47
fix200 Messages postés 3243 Date d'inscription dimanche 28 décembre 2008 Statut Contributeur sécurité Dernière intervention 7 février 2011 - 19 sept. 2009 à 11:53
Bonjour,

je n'arrive pas à me debarasser de ce worm.

voici le rapport hijackthis :

Merci pour votre aide.

Hugher.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:46:22, on 03/09/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\SigmaTel\C-Major Audio\WDM\stsystra.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.BIN
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
c:\program files\avira\antivir desktop\avcenter.exe
C:\Documents and Settings\M Marianne\Bureau\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?fdr=lc&toHttps=1&redig=FA6AD360E0BE4C719380F8C470A3D3A8
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.vizzeo.fr/annuaire
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.bing.com/spresults.aspx
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Shareware.Pro-FR Toolbar - {280b5d37-4a76-467a-b3d6-942fca90acde} - C:\Program Files\Shareware.Pro-FR\tbSha1.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Shareware.Pro-FR Toolbar - {280b5d37-4a76-467a-b3d6-942fca90acde} - C:\Program Files\Shareware.Pro-FR\tbSha1.dll
O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\system32\msxml71.dll (file missing)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Shareware.Pro-FR Toolbar - {280b5d37-4a76-467a-b3d6-942fca90acde} - C:\Program Files\Shareware.Pro-FR\tbSha1.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] %ProgramFiles%\SigmaTel\C-Major Audio\WDM\stsystra.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Monopod] C:\DOCUME~1\MMARIA~1\LOCALS~1\Temp\b.exe
O4 - HKCU\..\Run: [CanalPlayer] C:\Program Files\Lecteur CANALPLAY\CanalPlayer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Program Files\OpenOffice.org 2.3\program\quickstart.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: *.canalplay.com (HKLM)
O15 - Trusted Zone: *.canalplusactive.com (HKLM)
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - https://www.touslesdrivers.com/index.php?v_page=29
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe

18 réponses

Réponse 1 / 18
fix200 Messages postés 3243 Date d'inscription dimanche 28 décembre 2008 Statut Contributeur sécurité Dernière intervention 7 février 2011 158
3 sept. 2009 à 22:27
Re ,

Bien ! ...

**********************************************************
********************* XP, Option 1 (Recherche) ******************
**********************************************************

Télécharge UsbFix (de C_XX , Chiquitine29 , & Chimay8)
> Ou ici : UsbFix


▶ Lance le fichier téléchargé, ne touche pas aux paramètres de l'installe !.

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectés (!) sans les ouvrir (!)

▶ Double clique sur le raccourci UsbFix sur ton bureau

▶ Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

▶ Au second menu, Choisis l'option 1 (recherche)

▶ Laisse travailler l'outil

Ensuite poste le rapport UsbFix.txt qui apparaîtra

Notes :
1- le rapport UsbFix.txt est sauvegardé a la racine du disque

2- Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides

3- "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
1
Réponse 2 / 18
fix200 Messages postés 3243 Date d'inscription dimanche 28 décembre 2008 Statut Contributeur sécurité Dernière intervention 7 février 2011 158
3 sept. 2009 à 21:51
Salut,

Fais ceci pour demain :

Télécharge Random's System Information Tool (RSIT) par random/random et sauvegarde-le sur ton Bureau.

▶ Double-clique sur RSIT.exe afin de le lancer.

▶ Clique sur "Continue" à l'écran " Disclaimer of warranty ".

Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.


▶ Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

=> Poste le contenu de log.txt (qui sera affiché) ainsi que de info.txt (qui sera réduit dans la Barre des Tâches).

Note : Les deux rapports sont également sauvegardés ici : C:\rsit

Bonne nuit.

Fix
0
Réponse 3 / 18
hugher65
3 sept. 2009 à 21:55
Voici les deux fichiers :


Logfile of random's system information tool 1.06 (written by random/random)
Run by M Marianne at 2009-09-03 21:53:30
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 7 GB (11%) free of 69 GB
Total RAM: 1022 MB (52% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:53:35, on 03/09/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\SigmaTel\C-Major Audio\WDM\stsystra.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.BIN
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
c:\program files\avira\antivir desktop\avcenter.exe
C:\Documents and Settings\M Marianne\Bureau\RSIT.exe
C:\Documents and Settings\M Marianne\Bureau\M Marianne.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?fdr=lc&toHttps=1&redig=FA6AD360E0BE4C719380F8C470A3D3A8
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.vizzeo.fr/annuaire
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.bing.com/spresults.aspx
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Shareware.Pro-FR Toolbar - {280b5d37-4a76-467a-b3d6-942fca90acde} - C:\Program Files\Shareware.Pro-FR\tbSha1.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Shareware.Pro-FR Toolbar - {280b5d37-4a76-467a-b3d6-942fca90acde} - C:\Program Files\Shareware.Pro-FR\tbSha1.dll
O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\system32\msxml71.dll (file missing)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Shareware.Pro-FR Toolbar - {280b5d37-4a76-467a-b3d6-942fca90acde} - C:\Program Files\Shareware.Pro-FR\tbSha1.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] %ProgramFiles%\SigmaTel\C-Major Audio\WDM\stsystra.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Monopod] C:\DOCUME~1\MMARIA~1\LOCALS~1\Temp\b.exe
O4 - HKCU\..\Run: [CanalPlayer] C:\Program Files\Lecteur CANALPLAY\CanalPlayer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Program Files\OpenOffice.org 2.3\program\quickstart.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: *.canalplay.com (HKLM)
O15 - Trusted Zone: *.canalplusactive.com (HKLM)
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - https://www.touslesdrivers.com/index.php?v_page=29
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
0
Réponse 4 / 18
fix200 Messages postés 3243 Date d'inscription dimanche 28 décembre 2008 Statut Contributeur sécurité Dernière intervention 7 février 2011 158
3 sept. 2009 à 21:58
Re,

Plusieurs infections ! il ya du boulot ^^

Commence par ceci :

Télécharge LopS&D ( Team IDN/Eric71 )


▶ Double-clique sur Lop S&D.exe afin de lancer l'installation,

(!) Désactive les protections résidentes : Antivirus, anti-spyware, etc... pour que l'outil puisse s'exécuter correctement. (!)


▶ Double-clique sur le raccourci Lop S&D présent sur le Bureau,

▶ Sélectionne la langue souhaitée , puis choisis l'Option 2 ( Suppression + hosts)

▶ A l'issue du scan, le bloc notes va s'ouvrir avec le résultat de la recherche, copie - colle les résultats a ta prochaine réponse.


NOTE: Le rapport se trouve dans: C:\LopR2.txt
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 18
hugher65
3 sept. 2009 à 22:04
voici rapport lopr2



--------------------\\ Lop S&D 4.2.5-0 XP/Vista

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 CPU T5500 @ 1.66GHz )
BIOS : Phoenix ROM BIOS PLUS Version 1.10 A09
USER : M Marianne ( Administrator )
BOOT : Normal boot
Antivirus : AntiVir Desktop 9.0.1.32 (Not Activated)
C:\ (Local Disk) - NTFS - Total:67 Go (Free:7 Go)
D:\ (CD or DVD)

"C:\Lop SD" ( MAJ : 19-12-2008|23:40 )
Option : [2] ( 03/09/2009|22:01 )


\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\


--------------------\\ Listing des dossiers dans APPLIC~1

[24/02/2009|00:52] C:\DOCUME~1\ALLUSE~1\APPLIC~1\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
[11/03/2009|23:13] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Adobe
[24/02/2009|00:50] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Apple
[24/02/2009|00:51] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Apple Computer
[19/03/2009|15:16] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Avira
[21/03/2009|18:44] C:\DOCUME~1\ALLUSE~1\APPLIC~1\AVS4YOU
[21/02/2009|19:18] C:\DOCUME~1\ALLUSE~1\APPLIC~1\ma-config.com
[07/05/2009|21:27] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Microsoft
[21/03/2009|16:28] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Nero

[21/02/2009|18:36] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Microsoft

[21/02/2009|18:41] C:\DOCUME~1\LOCALS~1\APPLIC~1\Microsoft

[11/03/2009|23:13] C:\DOCUME~1\MMARIA~1\APPLIC~1\Adobe
[24/02/2009|00:52] C:\DOCUME~1\MMARIA~1\APPLIC~1\Apple Computer
[21/03/2009|18:44] C:\DOCUME~1\MMARIA~1\APPLIC~1\AVS4YOU
[25/07/2009|18:02] C:\DOCUME~1\MMARIA~1\APPLIC~1\dvdcss
[21/02/2009|18:58] C:\DOCUME~1\MMARIA~1\APPLIC~1\Identities
[24/02/2009|00:03] C:\DOCUME~1\MMARIA~1\APPLIC~1\Macromedia
[27/06/2009|17:14] C:\DOCUME~1\MMARIA~1\APPLIC~1\Microsoft
[24/02/2009|00:31] C:\DOCUME~1\MMARIA~1\APPLIC~1\Mozilla
[21/03/2009|17:47] C:\DOCUME~1\MMARIA~1\APPLIC~1\Nero
[19/03/2009|16:58] C:\DOCUME~1\MMARIA~1\APPLIC~1\NewsLeecher
[03/09/2009|19:18] C:\DOCUME~1\MMARIA~1\APPLIC~1\OpenOffice.org2
[30/05/2009|12:02] C:\DOCUME~1\MMARIA~1\APPLIC~1\Sun
[21/03/2009|14:43] C:\DOCUME~1\MMARIA~1\APPLIC~1\vlc
[21/03/2009|19:45] C:\DOCUME~1\MMARIA~1\APPLIC~1\Vso
[19/03/2009|15:31] C:\DOCUME~1\MMARIA~1\APPLIC~1\WinRAR

[21/02/2009|18:36] C:\DOCUME~1\NETWOR~1\APPLIC~1\Microsoft

--------------------\\ Tâches planifiées dans C:\WINDOWS\tasks

[03/09/2009 22:00][--ah-----] C:\WINDOWS\tasks\{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job
[03/09/2009 22:00][--ah-----] C:\WINDOWS\tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job
[15/08/2009 18:47][--a------] C:\WINDOWS\tasks\AppleSoftwareUpdate.job
[03/09/2009 19:18][--ah-----] C:\WINDOWS\tasks\SA.DAT
[10/08/2004 14:00][-r-h-----] C:\WINDOWS\tasks\desktop.ini

--------------------\\ Listing des dossiers dans C:\Program Files

[11/03/2009|23:13] C:\Program Files\Adobe
[24/02/2009|00:50] C:\Program Files\Apple Software Update
[19/03/2009|15:16] C:\Program Files\Avira
[21/03/2009|19:39] C:\Program Files\AviSynth 2.5
[21/03/2009|18:59] C:\Program Files\AVS4YOU
[24/02/2009|00:51] C:\Program Files\Bonjour
[21/02/2009|18:31] C:\Program Files\ComPlus Applications
[06/04/2009|20:42] C:\Program Files\Conduit
[21/02/2009|19:09] C:\Program Files\CONEXANT
[09/05/2009|17:19] C:\Program Files\eMule
[07/05/2009|21:23] C:\Program Files\Fichiers communs
[24/02/2009|00:03] C:\Program Files\Free
[21/02/2009|18:49] C:\Program Files\FrenchOtto
[21/02/2009|18:49] C:\Program Files\GemMasterFrench
[26/07/2009|13:51] C:\Program Files\InstallShield Installation Information
[21/02/2009|18:53] C:\Program Files\Internet Explorer
[24/02/2009|00:51] C:\Program Files\iPod
[24/02/2009|00:52] C:\Program Files\iTunes
[30/05/2009|12:04] C:\Program Files\Java
[16/08/2009|20:28] C:\Program Files\Lecteur CANALPLAY
[21/02/2009|19:18] C:\Program Files\ma-config.com
[21/02/2009|18:28] C:\Program Files\Messenger
[07/05/2009|21:27] C:\Program Files\Microsoft
[21/02/2009|18:38] C:\Program Files\microsoft frontpage
[21/02/2009|18:33] C:\Program Files\Movie Maker
[03/09/2009|19:45] C:\Program Files\Mozilla Firefox
[21/02/2009|18:27] C:\Program Files\MSN
[21/02/2009|18:28] C:\Program Files\MSN Gaming Zone
[22/03/2009|12:18] C:\Program Files\Need4 Software Launcher
[22/03/2009|12:18] C:\Program Files\Need4 Video Converter 5.9
[21/03/2009|16:37] C:\Program Files\Nero
[21/02/2009|18:33] C:\Program Files\NetMeeting
[19/03/2009|15:32] C:\Program Files\NewsLeecher
[21/02/2009|18:31] C:\Program Files\Online Services
[21/02/2009|19:58] C:\Program Files\OpenOffice.org 2.3
[21/02/2009|18:33] C:\Program Files\Outlook Express
[19/03/2009|21:04] C:\Program Files\QuickTime
[21/03/2009|19:39] C:\Program Files\Ripp-it_AM
[21/02/2009|18:34] C:\Program Files\Services en ligne
[20/05/2009|19:55] C:\Program Files\Shareware.Pro-FR
[21/02/2009|19:21] C:\Program Files\SigmaTel
[21/02/2009|18:58] C:\Program Files\Uninstall Information
[21/03/2009|14:36] C:\Program Files\VideoLAN
[21/03/2009|19:46] C:\Program Files\VSO
[07/05/2009|21:27] C:\Program Files\Windows Live
[07/05/2009|21:27] C:\Program Files\Windows Live SkyDrive
[21/02/2009|18:56] C:\Program Files\Windows Media Player
[21/02/2009|18:28] C:\Program Files\Windows NT
[21/02/2009|18:31] C:\Program Files\Windows Plus
[21/03/2009|16:35] C:\Program Files\Windows Sidebar
[21/02/2009|18:34] C:\Program Files\WindowsUpdate
[19/03/2009|15:31] C:\Program Files\WinRAR
[21/02/2009|18:38] C:\Program Files\xerox

--------------------\\ Listing des dossiers dans C:\Program Files\Fichiers communs

[11/03/2009|23:13] C:\Program Files\Fichiers communs\Adobe
[24/02/2009|00:51] C:\Program Files\Fichiers communs\Apple
[21/03/2009|18:59] C:\Program Files\Fichiers communs\AVSMedia
[21/02/2009|19:21] C:\Program Files\Fichiers communs\InstallShield
[07/05/2009|21:27] C:\Program Files\Fichiers communs\Microsoft Shared
[21/02/2009|18:33] C:\Program Files\Fichiers communs\MSSoap
[21/03/2009|16:56] C:\Program Files\Fichiers communs\Nero
[21/02/2009|19:23] C:\Program Files\Fichiers communs\ODBC
[21/02/2009|18:33] C:\Program Files\Fichiers communs\Services
[21/02/2009|19:22] C:\Program Files\Fichiers communs\SpeechEngines
[21/02/2009|18:33] C:\Program Files\Fichiers communs\System
[07/05/2009|21:23] C:\Program Files\Fichiers communs\Windows Live

--------------------\\ Process

( 40 Processes )

... OK !

--------------------\\ Recherche avec S_Lop

Aucun fichier / dossier Lop trouvé !

--------------------\\ Recherche de Fichiers / Dossiers Lop

Aucun fichier / dossier Lop trouvé !

--------------------\\ Verification du Registre

..... OK !

--------------------\\ Verification du fichier Hosts

Fichier Hosts PROPRE


--------------------\\ Recherche de fichiers avec Catchme

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-03 22:03:01
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden files: 0

--------------------\\ Recherche d'autres infections

--------------------\\ Cracks & Keygens ..

C:\DOCUME~1\MMARIA~1\Downloads\NewsLeecher 3.9 Final Inc Keygen Updated-FFF
C:\DOCUME~1\MMARIA~1\Downloads\NewsLeecher 3.9 Final Inc Keygen Updated-FFF\KEYGEN
C:\DOCUME~1\MMARIA~1\Downloads\NewsLeecher 3.9 Final Inc Keygen Updated-FFF\nl_setup.exe
C:\DOCUME~1\MMARIA~1\Downloads\NewsLeecher 3.9 Final Inc Keygen Updated-FFF\KEYGEN\FFF.NFO
C:\DOCUME~1\MMARIA~1\Downloads\NewsLeecher 3.9 Final Inc Keygen Updated-FFF\KEYGEN\FILE_ID.DIZ
C:\DOCUME~1\MMARIA~1\Local Settings\Temp\NewsLeecher 3.9 Final Inc Keygen Updated-FFF.nzb
C:\DOCUME~1\MMARIA~1\Mes documents\Ma musique\The Jesus and Mary Chain\The Jesus And Mary Chain-Cracking Up.mp3


[F:2192][D:130]-> C:\DOCUME~1\MMARIA~1\LOCALS~1\Temp
[F:29][D:0]-> C:\DOCUME~1\MMARIA~1\Cookies
[F:1227][D:16]-> C:\DOCUME~1\MMARIA~1\LOCALS~1\TEMPOR~1\content.IE5

1 - "C:\Lop SD\LopR_1.txt" - 03/09/2009|22:03 - Option : [2]

--------------------\\ Fin du rapport a 22:03:52
0
Réponse 6 / 18
fix200 Messages postés 3243 Date d'inscription dimanche 28 décembre 2008 Statut Contributeur sécurité Dernière intervention 7 février 2011 158
3 sept. 2009 à 22:10
C'est pas du tout comme je souhétais !

1: A supprimer car source d'infection :

C:\DOCUME~1\MMARIA~1\Downloads\NewsLeecher 3.9 Final Inc Keygen Updated-FFF
C:\DOCUME~1\MMARIA~1\Downloads\NewsLeecher 3.9 Final Inc Keygen Updated-FFF\KEYGEN
C:\DOCUME~1\MMARIA~1\Downloads\NewsLeecher 3.9 Final Inc Keygen Updated-FFF\nl_setup.exe
C:\DOCUME~1\MMARIA~1\Downloads\NewsLeecher 3.9 Final Inc Keygen Updated-FFF\KEYGEN\FFF.NFO
C:\DOCUME~1\MMARIA~1\Downloads\NewsLeecher 3.9 Final Inc Keygen Updated-FFF\KEYGEN\FILE_ID.DIZ
C:\DOCUME~1\MMARIA~1\Local Settings\Temp\NewsLeecher 3.9 Final Inc Keygen Updated-FFF.nzb
C:\DOCUME~1\MMARIA~1\Mes documents\Ma musique\The Jesus and Mary Chain\The Jesus And Mary Chain-Cracking Up.mp3

Liens utiles :
Le danger des cracks
les risques sécuritaires du P2P

2: LOP scrpt :

▶ Sélectionne entièrement l'encadré ci-dessous , puis clic droit et choisir Copier

C:\WINDOWS\tasks\{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job
C:\WINDOWS\tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job

▶ Relance Lop S&D

▶ Choisis Option 4 : LopScript

▶ Une page blanche va s'ouvrir , clic droit dessus et choisir Coller

▶ Ferme la page , il sera demandé de l'enregistrer , cliquer sur [Enregistrer]

▶ A l'issue du scan, le bloc notes va s'ouvrir avec le résultat de la recherche, copie - colle les résultats a ta prochaine réponse.


NOTE: Le rapport se trouve dans: C:\LopR.txt

( Si le Bureau ne réapparaît pas : presse Ctrl + Alt + Suppr , Onglet Fichier , Nouvelle tâche , tape explorer.exe et valide )

3: Remets un nouveau log RSIT et attends pour la suite.

A+
0
Réponse 7 / 18
hugher65
3 sept. 2009 à 22:21
PS : le keygen avait déja été supprimé,
je pense que le MP3 est une erreur du filtre qui, je suppose doit chercher un nom de fichier avec crack dedans

--------------------\\ Lop S&D 4.2.5-0 XP/Vista

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 CPU T5500 @ 1.66GHz )
BIOS : Phoenix ROM BIOS PLUS Version 1.10 A09
USER : M Marianne ( Administrator )
BOOT : Normal boot
Antivirus : AntiVir Desktop 9.0.1.32 (Activated)
C:\ (Local Disk) - NTFS - Total:67 Go (Free:7 Go)
D:\ (CD or DVD)

"C:\Lop SD" ( MAJ : 19-12-2008|23:40 )
Option : [4] ( 03/09/2009|22:14 )

\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ Lop Script

C:\WINDOWS\tasks\{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job
C:\WINDOWS\tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job


\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ SUPPRESSION

Supprime! - C:\WINDOWS\tasks\{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job
Supprime! - C:\WINDOWS\tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job

\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\


--------------------\\ Listing des dossiers dans APPLIC~1

[24/02/2009|00:52] C:\DOCUME~1\ALLUSE~1\APPLIC~1\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
[11/03/2009|23:13] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Adobe
[24/02/2009|00:50] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Apple
[24/02/2009|00:51] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Apple Computer
[19/03/2009|15:16] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Avira
[21/03/2009|18:44] C:\DOCUME~1\ALLUSE~1\APPLIC~1\AVS4YOU
[21/02/2009|19:18] C:\DOCUME~1\ALLUSE~1\APPLIC~1\ma-config.com
[07/05/2009|21:27] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Microsoft
[21/03/2009|16:28] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Nero

[21/02/2009|18:36] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Microsoft

[21/02/2009|18:41] C:\DOCUME~1\LOCALS~1\APPLIC~1\Microsoft

[11/03/2009|23:13] C:\DOCUME~1\MMARIA~1\APPLIC~1\Adobe
[24/02/2009|00:52] C:\DOCUME~1\MMARIA~1\APPLIC~1\Apple Computer
[21/03/2009|18:44] C:\DOCUME~1\MMARIA~1\APPLIC~1\AVS4YOU
[25/07/2009|18:02] C:\DOCUME~1\MMARIA~1\APPLIC~1\dvdcss
[21/02/2009|18:58] C:\DOCUME~1\MMARIA~1\APPLIC~1\Identities
[24/02/2009|00:03] C:\DOCUME~1\MMARIA~1\APPLIC~1\Macromedia
[27/06/2009|17:14] C:\DOCUME~1\MMARIA~1\APPLIC~1\Microsoft
[24/02/2009|00:31] C:\DOCUME~1\MMARIA~1\APPLIC~1\Mozilla
[21/03/2009|17:47] C:\DOCUME~1\MMARIA~1\APPLIC~1\Nero
[19/03/2009|16:58] C:\DOCUME~1\MMARIA~1\APPLIC~1\NewsLeecher
[03/09/2009|19:18] C:\DOCUME~1\MMARIA~1\APPLIC~1\OpenOffice.org2
[30/05/2009|12:02] C:\DOCUME~1\MMARIA~1\APPLIC~1\Sun
[21/03/2009|14:43] C:\DOCUME~1\MMARIA~1\APPLIC~1\vlc
[21/03/2009|19:45] C:\DOCUME~1\MMARIA~1\APPLIC~1\Vso
[19/03/2009|15:31] C:\DOCUME~1\MMARIA~1\APPLIC~1\WinRAR

[21/02/2009|18:36] C:\DOCUME~1\NETWOR~1\APPLIC~1\Microsoft

--------------------\\ Tâches planifiées dans C:\WINDOWS\tasks

[15/08/2009 18:47][--a------] C:\WINDOWS\tasks\AppleSoftwareUpdate.job
[03/09/2009 19:18][--ah-----] C:\WINDOWS\tasks\SA.DAT
[10/08/2004 14:00][-r-h-----] C:\WINDOWS\tasks\desktop.ini

--------------------\\ Listing des dossiers dans C:\Program Files

[11/03/2009|23:13] C:\Program Files\Adobe
[24/02/2009|00:50] C:\Program Files\Apple Software Update
[19/03/2009|15:16] C:\Program Files\Avira
[21/03/2009|19:39] C:\Program Files\AviSynth 2.5
[21/03/2009|18:59] C:\Program Files\AVS4YOU
[24/02/2009|00:51] C:\Program Files\Bonjour
[21/02/2009|18:31] C:\Program Files\ComPlus Applications
[06/04/2009|20:42] C:\Program Files\Conduit
[21/02/2009|19:09] C:\Program Files\CONEXANT
[09/05/2009|17:19] C:\Program Files\eMule
[07/05/2009|21:23] C:\Program Files\Fichiers communs
[24/02/2009|00:03] C:\Program Files\Free
[21/02/2009|18:49] C:\Program Files\FrenchOtto
[21/02/2009|18:49] C:\Program Files\GemMasterFrench
[26/07/2009|13:51] C:\Program Files\InstallShield Installation Information
[21/02/2009|18:53] C:\Program Files\Internet Explorer
[24/02/2009|00:51] C:\Program Files\iPod
[24/02/2009|00:52] C:\Program Files\iTunes
[30/05/2009|12:04] C:\Program Files\Java
[16/08/2009|20:28] C:\Program Files\Lecteur CANALPLAY
[21/02/2009|19:18] C:\Program Files\ma-config.com
[21/02/2009|18:28] C:\Program Files\Messenger
[07/05/2009|21:27] C:\Program Files\Microsoft
[21/02/2009|18:38] C:\Program Files\microsoft frontpage
[21/02/2009|18:33] C:\Program Files\Movie Maker
[03/09/2009|19:45] C:\Program Files\Mozilla Firefox
[21/02/2009|18:27] C:\Program Files\MSN
[21/02/2009|18:28] C:\Program Files\MSN Gaming Zone
[22/03/2009|12:18] C:\Program Files\Need4 Software Launcher
[22/03/2009|12:18] C:\Program Files\Need4 Video Converter 5.9
[21/03/2009|16:37] C:\Program Files\Nero
[21/02/2009|18:33] C:\Program Files\NetMeeting
[19/03/2009|15:32] C:\Program Files\NewsLeecher
[21/02/2009|18:31] C:\Program Files\Online Services
[21/02/2009|19:58] C:\Program Files\OpenOffice.org 2.3
[21/02/2009|18:33] C:\Program Files\Outlook Express
[19/03/2009|21:04] C:\Program Files\QuickTime
[21/03/2009|19:39] C:\Program Files\Ripp-it_AM
[21/02/2009|18:34] C:\Program Files\Services en ligne
[20/05/2009|19:55] C:\Program Files\Shareware.Pro-FR
[21/02/2009|19:21] C:\Program Files\SigmaTel
[21/02/2009|18:58] C:\Program Files\Uninstall Information
[21/03/2009|14:36] C:\Program Files\VideoLAN
[21/03/2009|19:46] C:\Program Files\VSO
[07/05/2009|21:27] C:\Program Files\Windows Live
[07/05/2009|21:27] C:\Program Files\Windows Live SkyDrive
[21/02/2009|18:56] C:\Program Files\Windows Media Player
[21/02/2009|18:28] C:\Program Files\Windows NT
[21/02/2009|18:31] C:\Program Files\Windows Plus
[21/03/2009|16:35] C:\Program Files\Windows Sidebar
[21/02/2009|18:34] C:\Program Files\WindowsUpdate
[19/03/2009|15:31] C:\Program Files\WinRAR
[21/02/2009|18:38] C:\Program Files\xerox

--------------------\\ Listing des dossiers dans C:\Program Files\Fichiers communs

[11/03/2009|23:13] C:\Program Files\Fichiers communs\Adobe
[24/02/2009|00:51] C:\Program Files\Fichiers communs\Apple
[21/03/2009|18:59] C:\Program Files\Fichiers communs\AVSMedia
[21/02/2009|19:21] C:\Program Files\Fichiers communs\InstallShield
[07/05/2009|21:27] C:\Program Files\Fichiers communs\Microsoft Shared
[21/02/2009|18:33] C:\Program Files\Fichiers communs\MSSoap
[21/03/2009|16:56] C:\Program Files\Fichiers communs\Nero
[21/02/2009|19:23] C:\Program Files\Fichiers communs\ODBC
[21/02/2009|18:33] C:\Program Files\Fichiers communs\Services
[21/02/2009|19:22] C:\Program Files\Fichiers communs\SpeechEngines
[21/02/2009|18:33] C:\Program Files\Fichiers communs\System
[07/05/2009|21:23] C:\Program Files\Fichiers communs\Windows Live

--------------------\\ Process

( 37 Processes )

... OK !

--------------------\\ Recherche avec S_Lop

Aucun fichier / dossier Lop trouvé !

--------------------\\ Recherche de Fichiers / Dossiers Lop

Aucun fichier / dossier Lop trouvé !

--------------------\\ Verification du Registre

..... OK !

--------------------\\ Verification du fichier Hosts

Fichier Hosts PROPRE


--------------------\\ Recherche de fichiers avec Catchme

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-03 22:15:49
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden files: 0

--------------------\\ Recherche d'autres infections

--------------------\\ Cracks & Keygens ..

C:\DOCUME~1\MMARIA~1\Downloads\NewsLeecher 3.9 Final Inc Keygen Updated-FFF
C:\DOCUME~1\MMARIA~1\Downloads\NewsLeecher 3.9 Final Inc Keygen Updated-FFF\KEYGEN
C:\DOCUME~1\MMARIA~1\Downloads\NewsLeecher 3.9 Final Inc Keygen Updated-FFF\nl_setup.exe
C:\DOCUME~1\MMARIA~1\Downloads\NewsLeecher 3.9 Final Inc Keygen Updated-FFF\KEYGEN\FFF.NFO
C:\DOCUME~1\MMARIA~1\Downloads\NewsLeecher 3.9 Final Inc Keygen Updated-FFF\KEYGEN\FILE_ID.DIZ
C:\DOCUME~1\MMARIA~1\Local Settings\Temp\NewsLeecher 3.9 Final Inc Keygen Updated-FFF.nzb
C:\DOCUME~1\MMARIA~1\Mes documents\Ma musique\The Jesus and Mary Chain\The Jesus And Mary Chain-Cracking Up.mp3


[F:2192][D:130]-> C:\DOCUME~1\MMARIA~1\LOCALS~1\Temp
[F:29][D:0]-> C:\DOCUME~1\MMARIA~1\Cookies
[F:1227][D:16]-> C:\DOCUME~1\MMARIA~1\LOCALS~1\TEMPOR~1\content.IE5

1 - "C:\Lop SD\LopR_1.txt" - 03/09/2009|22:03 - Option : [2]
2 - "C:\Lop SD\LopR_2.txt" - 03/09/2009|22:16 - Option : [4]

--------------------\\ Fin du rapport a 22:16:24



RSIT :



Logfile of random's system information tool 1.06 (written by random/random)
Run by M Marianne at 2009-09-03 22:20:24
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 7 GB (11%) free of 69 GB
Total RAM: 1022 MB (51% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:20:27, on 03/09/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\SigmaTel\C-Major Audio\WDM\stsystra.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.BIN
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\M Marianne\Bureau\RSIT.exe
C:\Documents and Settings\M Marianne\Bureau\M Marianne.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?fdr=lc&toHttps=1&redig=FA6AD360E0BE4C719380F8C470A3D3A8
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.vizzeo.fr/annuaire
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.bing.com/spresults.aspx
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Shareware.Pro-FR Toolbar - {280b5d37-4a76-467a-b3d6-942fca90acde} - C:\Program Files\Shareware.Pro-FR\tbSha1.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Shareware.Pro-FR Toolbar - {280b5d37-4a76-467a-b3d6-942fca90acde} - C:\Program Files\Shareware.Pro-FR\tbSha1.dll
O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\system32\msxml71.dll (file missing)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Shareware.Pro-FR Toolbar - {280b5d37-4a76-467a-b3d6-942fca90acde} - C:\Program Files\Shareware.Pro-FR\tbSha1.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] %ProgramFiles%\SigmaTel\C-Major Audio\WDM\stsystra.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Monopod] C:\DOCUME~1\MMARIA~1\LOCALS~1\Temp\b.exe
O4 - HKCU\..\Run: [CanalPlayer] C:\Program Files\Lecteur CANALPLAY\CanalPlayer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Program Files\OpenOffice.org 2.3\program\quickstart.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: *.canalplay.com (HKLM)
O15 - Trusted Zone: *.canalplusactive.com (HKLM)
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - https://www.touslesdrivers.com/index.php?v_page=29
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
0
Réponse 8 / 18
hugher65
3 sept. 2009 à 22:36
Je ne sais pas si j'ai testé toutes les clés... c'est l'ordi de ma soeur et il se peut que son Jules ait aussi des clés ou DD... au cas où yen aurait d'autre je reposterai un nouveau rapport dans un futur proche...


############################## | UsbFix V6.024 |

User : M Marianne (Administrateurs) # MARIANNE
Update on 01/09/09 by Chiquitine29, C_XX & Chimay8
Start at: 22:33:06 | 03/09/2009
Website : http://pagesperso-orange.fr/NosTools/index.html

Intel(R) Core(TM)2 CPU T5500 @ 1.66GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 6.0.2900.2180
Windows Firewall Status : Enabled
AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

C:\ -> Disque fixe local # 67,8 Go (7,12 Go free) # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque amovible # 975,73 Mo (975,67 Mo free) # FAT

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\SigmaTel\C-Major Audio\WDM\stsystra.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.BIN
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |


################## | Suspect ! ... | https://www.virustotal.com/gui/ |


################## | Registre # Clés Run infectieuses |


################## | Registre # Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{15344e66-0bd0-11de-abcb-0015c5c0c473}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MS32DLL.dll.vbs

################## | Cracks / Keygens / Serials |

"C:\Documents and Settings\M Marianne\Downloads\NewsLeecher 3.9 Final Inc Keygen Updated-FFF\nl_setup.exe"
13/12/2008 12:19 |Size : 3760771 |Crc32 : 59da441f |Md5 : 4cd5e3b5946cba46f9d1febeeb58d969


################## | ! Fin du rapport # UsbFix V6.024 ! |
0
Réponse 9 / 18
fix200 Messages postés 3243 Date d'inscription dimanche 28 décembre 2008 Statut Contributeur sécurité Dernière intervention 7 février 2011 158
3 sept. 2009 à 22:42
Re,

Je répète ! supprime tes cracks !!!

Puis :

**********************************************************
********************* Option 2 (Nettoyage) ******************
**********************************************************

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectés (!) sans les ouvrir (!)

▶ Fais un double-clic sur le raccourci UsbFix présent sur ton bureau

▶ Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

▶ Au second menu choisis l'option 2 ( Suppression )

▶ Ton bureau disparaîtra et le PC redémarrera .

▶ Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.

Ensuite poste le rapport UsbFix.txt qui apparaîtra avec le bureau .

▶ Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

Aide : Comment Utiliser UsbFix

###########

Télécharge SmitFraudFix (de S!RI , Baltrap34 , Moe)

*Recherche:

▶ Double clique sur SmitfraudFix.exe

▶ Tape 1 et et valide par Entrée

▶ A la fin du processus du scan, Un rapport s'ouvre, copie-colle son contenu a ta prochaine reponse.

NOTE: Le rapport se trouve à la racine du disque système
0
Réponse 10 / 18
hugher65
3 sept. 2009 à 22:51
############################## | UsbFix V6.024 |

User : M Marianne (Administrateurs) # MARIANNE
Update on 01/09/09 by Chiquitine29, C_XX & Chimay8
Start at: 22:47:06 | 03/09/2009
Website : http://pagesperso-orange.fr/NosTools/index.html

Intel(R) Core(TM)2 CPU T5500 @ 1.66GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 6.0.2900.2180
Windows Firewall Status : Enabled
AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

C:\ -> Disque fixe local # 67,8 Go (7,38 Go free) # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque amovible # 975,73 Mo (975,67 Mo free) # FAT

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\eHome\ehRec.exe
C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Avira\AntiVir Desktop\avwsc.exe

################## | Fichiers # Dossiers infectieux |


################## | Autres |


################## | Suspect ! ... | https://www.virustotal.com/gui/ |


################## | Registre # Clés Run infectieuses |


################## | Registre # Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{15344e66-0bd0-11de-abcb-0015c5c0c473}\Shell\AutoRun\Command

################## | Listing des fichiers présent |

[21/02/2009 18:36|--a------|0] -> C:\AUTOEXEC.BAT
[21/02/2009 18:27|---hs----|209] -> C:\boot.ini
[10/08/2004 14:00|-rahs----|4952] -> C:\Bootfont.bin
[21/02/2009 18:36|--a------|0] -> C:\CONFIG.SYS
[21/02/2009 18:36|-rahs----|0] -> C:\IO.SYS
[03/09/2009 22:16|--a------|8768] -> C:\lopR.txt
[21/02/2009 18:36|-rahs----|0] -> C:\MSDOS.SYS
[10/08/2004 14:00|-rahs----|47564] -> C:\NTDETECT.COM
[10/08/2004 14:00|-rahs----|251712] -> C:\ntldr
[?|?|?] -> C:\pagefile.sys
[26/08/2009 22:28|--a------|2063] -> C:\rpcddx.txt
[03/09/2009 22:48|--a------|2848] -> C:\UsbFix.txt
[18/04/2009 11:40|--a------|60928] -> E:\COêT PTZ.xls

################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # UsbFix V6.024 ! |
0
Réponse 11 / 18
fix200 Messages postés 3243 Date d'inscription dimanche 28 décembre 2008 Statut Contributeur sécurité Dernière intervention 7 février 2011 158
3 sept. 2009 à 22:52
Très bien , passe a la suite ^^'
0
Réponse 12 / 18
hugher65
3 sept. 2009 à 22:55
Oups... dsl ;-)
c'est pratique mais perturbant qu'il faille appuyer sur la petite flèche pour voir tout le message :

SmitFraudFix v2.423

Rapport fait à 22:53:36,78, 03/09/2009
Executé à partir de C:\Program Files\Mozilla Firefox\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\cmd.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\M Marianne


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\MMARIA~1\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\M Marianne\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\MMARIA~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

»»»»»»»»»»»»»»»»»»»»»»»» RK

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""




»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Intel(R) PRO/Wireless 3945ABG Network Connection - Miniport d'ordonnancement de paquets
DNS Server Search Order: 212.27.40.240
DNS Server Search Order: 212.27.40.241

HKLM\SYSTEM\CCS\Services\Tcpip\..\{410FE38B-7BE8-4DAE-AF88-28D890D728E4}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS1\Services\Tcpip\..\{410FE38B-7BE8-4DAE-AF88-28D890D728E4}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS2\Services\Tcpip\..\{410FE38B-7BE8-4DAE-AF88-28D890D728E4}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin
0
Réponse 13 / 18
fix200 Messages postés 3243 Date d'inscription dimanche 28 décembre 2008 Statut Contributeur sécurité Dernière intervention 7 février 2011 158
3 sept. 2009 à 23:05
Re,

on va voir si il va nettoyer les valeurs du registre infectés :

1: *Nettoyage :

Redémarre en mode sans échec

▶ Double-clique sur SmitfraudFix.exe

▶ Sélectionne 2 et presse "Entrée" dans le menu pour supprimer les fichiers responsables de l'infection.

▶ Aux questions :

* " Voulez-vous nettoyer le registre ? "

----> Réponds par O (oui) et presse Entrée afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection.

* "Corriger le fichier infecté ?"

----> Réponds par O (oui) et presse Entrée pour remplacer le fichier corrompu.

▶ Un redémarrage sera demandé pour terminer la procédure de nettoyage . (si c'est pas le cas redémarre manuellement )

▶ Un rapport sera généré a la fin du processus : Poste le moi pour analyse .

Note : Le rapport se trouve à la racine de disque dur C .(C:\rapport.txt )

2: Refais RSIT et colle le rapport obtenu pour l'analyse.

A+
0
Réponse 14 / 18
hugher65
3 sept. 2009 à 23:21
SmitFraudFix v2.423

Rapport fait à 23:13:30,45, 03/09/2009
Executé à partir de C:\Documents and Settings\M Marianne\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{410FE38B-7BE8-4DAE-AF88-28D890D728E4}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS1\Services\Tcpip\..\{410FE38B-7BE8-4DAE-AF88-28D890D728E4}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS2\Services\Tcpip\..\{410FE38B-7BE8-4DAE-AF88-28D890D728E4}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK.2



»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin



RSIT :



Logfile of random's system information tool 1.06 (written by random/random)
Run by M Marianne at 2009-09-03 23:20:49
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 11 GB (17%) free of 69 GB
Total RAM: 1022 MB (59% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:20:56, on 03/09/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\SigmaTel\C-Major Audio\WDM\stsystra.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.BIN
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
C:\WINDOWS\system32\dllhost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\M Marianne\Bureau\RSIT.exe
C:\Documents and Settings\M Marianne\Bureau\M Marianne.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Shareware.Pro-FR Toolbar - {280b5d37-4a76-467a-b3d6-942fca90acde} - C:\Program Files\Shareware.Pro-FR\tbSha1.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Shareware.Pro-FR Toolbar - {280b5d37-4a76-467a-b3d6-942fca90acde} - C:\Program Files\Shareware.Pro-FR\tbSha1.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Shareware.Pro-FR Toolbar - {280b5d37-4a76-467a-b3d6-942fca90acde} - C:\Program Files\Shareware.Pro-FR\tbSha1.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] %ProgramFiles%\SigmaTel\C-Major Audio\WDM\stsystra.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Monopod] C:\DOCUME~1\MMARIA~1\LOCALS~1\Temp\b.exe
O4 - HKCU\..\Run: [CanalPlayer] C:\Program Files\Lecteur CANALPLAY\CanalPlayer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Program Files\OpenOffice.org 2.3\program\quickstart.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: *.canalplay.com (HKLM)
O15 - Trusted Zone: *.canalplusactive.com (HKLM)
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - https://www.touslesdrivers.com/index.php?v_page=29
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
0
Réponse 15 / 18
fix200 Messages postés 3243 Date d'inscription dimanche 28 décembre 2008 Statut Contributeur sécurité Dernière intervention 7 février 2011 158
3 sept. 2009 à 23:45
Re,

Dans l'ordre :


Télécharge OTM (Old Timer) sur ton bureau:

▶ Sous XP: Double-clique sur OTM.exe afin de le lancer.
* Sous Vista: fais un clic droit sur OTM et choisis "exécuter en tant qu'administrateur"
▶ Copie (Ctrl+C) le texte suivant ci-dessous :

:Processes
explorer.exe
:services
Service Bonjour
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Monopod"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{280b5d37-4a76-467a-b3d6-942fca90acde}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{280b5d37-4a76-467a-b3d6-942fca90acde}=-
:Files
C:\Program Files\Shareware.Pro-FR\
:Commands
[start explorer]
[emptytemp]
[purity]
[reboot]

▶ Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.

▶ Clique maintenant sur le bouton MoveIt! puis ferme OTM.

Note : Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. => Accepte en cliquant sur YES.

▶ Poste le rapport situé dans ce dossier : C:\_OTM\MovedFiles\

* Note: Le nom du rapport correspond au moment de sa création : date_heure.log

===================================

Télécharge MalwareBytes' Anti-Malware


▶ Installe le : Choisis "Français" , ne touche pas au autres paramétres , mets le a jour.

▶ Regarde bien ce Tuto pour bien utiliser le programme.

! Déconnecte toi ferme toutes applications en cours !

==> Lance Malwarebyte's

▶ Sous l'onglet paramètre, et coche la case : "Arrêter internet explorer pendant la suppression"

▶ Clique maintenant sur l'onglet recherche et coche la case : "Exécuter un examen rapide".

▶ Puis clique sur " Rechercher ".

▶ Laisse le scanner le PC...

▶ Une fois l'analyse terminée, clique sur "OK", Ensuite sur "Afficher les résultats"

▶ Vérifie que tout est bien coché et clique sur " Supprimer la sélection.. "

▶ Il se peut qu'il te demande de redémarrer pour finir la suppression des nuisibles, accepte en cliquant sur "Yes".

▶ A la fin un rapport va s'ouvrir, sauvegarde le de manière a le retrouver en vu de le poster sur le forum.

Reviens sur le forum et copie et colle le rapport dans ta prochaine réponse .

Note: les rapport sont aussi rangé dans l'onglet Rapport/Log

===================================

Refais RSIT et colle le rapport obtenu pour l'analyse.

===================================

@+
0
Réponse 16 / 18
hugher65
4 sept. 2009 à 00:30
Voici les 3 rapports :

...bonne nuit!


All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== SERVICES/DRIVERS ==========
Service\Driver Service Bonjour not found.
Service\Driver Service Bonjour not found.
========== REGISTRY ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Monopod deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{280b5d37-4a76-467a-b3d6-942fca90acde}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{280b5d37-4a76-467a-b3d6-942fca90acde}\ deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\\{280b5d37-4a76-467a-b3d6-942fca90acde} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{280b5d37-4a76-467a-b3d6-942fca90acde}\ not found.
========== FILES ==========
C:\Program Files\Shareware.Pro-FR moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 282000 bytes

User: M Marianne
->Temp folder emptied: 44171 bytes
->Temporary Internet Files folder emptied: 6508757 bytes
->Java cache emptied: 8911346 bytes
->FireFox cache emptied: 67902350 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 1113763 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 1239146 bytes
%systemroot%\System32 .tmp files removed: 3072 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 82,05 mb


OTM by OldTimer - Version 3.0.0.6 log created on 09042009_001126

Files moved on Reboot...

Registry entries deleted on Reboot...




malwarebyte :

Malwarebytes' Anti-Malware 1.40
Version de la base de données: 2737
Windows 5.1.2600 Service Pack 2

04/09/2009 00:27:59
mbam-log-2009-09-04 (00-27-59).txt

Type de recherche: Examen rapide
Eléments examinés: 85068
Temps écoulé: 3 minute(s), 40 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\Typelib\{e24211b3-a78a-c6a9-d317-70979ace5058} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Monopod (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)



RSIT :



Logfile of random's system information tool 1.06 (written by random/random)
Run by M Marianne at 2009-09-04 00:28:40
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 11 GB (16%) free of 69 GB
Total RAM: 1022 MB (59% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:28:46, on 04/09/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\SigmaTel\C-Major Audio\WDM\stsystra.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\M Marianne\Bureau\RSIT.exe
C:\Documents and Settings\M Marianne\Bureau\M Marianne.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {280b5d37-4a76-467a-b3d6-942fca90acde} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] %ProgramFiles%\SigmaTel\C-Major Audio\WDM\stsystra.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [CanalPlayer] C:\Program Files\Lecteur CANALPLAY\CanalPlayer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Program Files\OpenOffice.org 2.3\program\quickstart.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: *.canalplay.com (HKLM)
O15 - Trusted Zone: *.canalplusactive.com (HKLM)
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - https://www.touslesdrivers.com/index.php?v_page=29
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
0
Réponse 17 / 18
fix200 Messages postés 3243 Date d'inscription dimanche 28 décembre 2008 Statut Contributeur sécurité Dernière intervention 7 février 2011 158
4 sept. 2009 à 12:49
Bonjour ,

Très bien ^^


Télécharge List&Kill'em (par Gen-Hackman) et enregistre l'exécutable sur ton bureau.

! Désactive ton antivirus le temps de la manip ainsi que ton Pare-feu si présent !

! Déconnecte toi ferme toutes tes applications en cours !

▶ Double-clic sur l'icône présente sur le bureau pour le lancer (sous vista : clic droit > "exécuter en tant qu'administrateur").

▶ Choisis la langue souhaitée et valide par "entrée".

▶ Au second menu choisis l'option 1 : Mode Recherche

▶ Laisse travailler l'outil.

▶ Une fois le scan Terminé ,un rapport s'ouvre .

>> /!\ ATTENTION /!\ : !!!!! SUPPRIME TON ADRESSE IP DU RAPPORT !!!!


Pour cela , regarde les lignes en gras et supprime les de ton rapport :

[121]: KB973815 - Update
[122]: KB973869 - Update
[123]: XpsEPSC
Carte(s) r‚seau: 4 carte(s) r‚seau install‚e(s).
[01]: Bluetooth PAN Network Adapter
Nom de la connexion : Connexion au r‚seau local 2
tat : Support d‚connect‚
[02]: Intel(R) PRO/1000 CT Network Connection
Nom de la connexion : Connexion au r‚seau local
DHCP activ‚ : Non
Adresse(s) IP
[01] : 192.168.0.11
[03]: VirtualBox Host-Only Ethernet Adapter
Nom de la connexion : VirtualBox Host-Only Network
DHCP activ‚ : Non
Adresse(s) IP
[01] : 192.168.56.1
[04]: VirtualBox Host-Only Ethernet Adapter
Nom de la connexion : VirtualBox Host-Only Network #2
DHCP activ‚ : Non
Adresse(s) IP
[01] : 192.168.217.1

Nom de l'image PIDÿ Nom de la session Num‚ro d Utilisation
========================= ====== ================ ======== ============
System Idle Process 0 Console 0 16 Ko
System 4 Console 0 244 Ko
smss.exe 916 Console 0 400 Ko
csrss.exe 972 Console 0 4ÿ456 Ko
winlogon.exe 996 Console 0 3ÿ536 Ko

▶ Poste le contenu du rapport dans ta prochaine réponse

Note: le Rapport sur trouve en outre a cet emplacement: C:\List'em.txt
0
Réponse 18 / 18
fix200 Messages postés 3243 Date d'inscription dimanche 28 décembre 2008 Statut Contributeur sécurité Dernière intervention 7 février 2011 158
19 sept. 2009 à 11:53
Salut,

Up ! , c'est pas encore terminé ... ^^
0

Discussions similaires

comment se debarasser de VBS malware-gen
alquint -
Malekal_morte- -

12 réponses
Help ! Worm:Win32/Autorun.gen!inf et Worm:Win32/Wecykler.A
Guizro -
Guizro -

6 réponses
Virus Worm.Win32.Autorun.mjd
mehdoux -
anthony5151 -

17 réponses
desinfection
puce56 -
Malekal_morte- -

9 réponses
Désinfection
Pic hach -
Xileh -

9 réponses