Sujet Précédent Sujet Suivant

ROOTKIT!!!

Résolu/Fermé
clawis Messages postés 26 Date d'inscription vendredi 30 octobre 2009 Statut Membre Dernière intervention 22 novembre 2013 - 30 oct. 2009 à 17:31
clawis Messages postés 26 Date d'inscription vendredi 30 octobre 2009 Statut Membre Dernière intervention 22 novembre 2013 - 31 oct. 2009 à 19:40
Salut à tous!!


J'ai un gros problème de Rootkit en ce moment!
un rootkit est arrivé sur mon pc à cause d'une clé usb contenant des fichiers infectés.
J'ai téléchargé à peu près tout ce qui doit ce faire dans le logiciel de détection.
Aucun n'a marché, à part, Sophos anti Rootkit!!
Je suis bien heureuse de savoir où se cache les fichiers infectés, il reste cependant quelques problèmes...

Le virus se déplace librement sur mon pc et visite tout mes dossiers. il créé constamment des fichiers "cachés".
je les supprimes lorsque je suis à la maison mais pas moyen de le stopper.

J'ai cependant eu un message différent des autres sur Sophos , le fichiers infectés part du repertoir HKEY:

-\HKEY_USERS\S-1-5-21-3066103045-3451191616-2320063761-1005\Software\Microsoft\MediaPlayer\UIPlugins\{FB97BA27-E971-4bf9-A1F1-5F6A86166C6E} etc.

J'ai supprimé tout dossiers que je jugeaient inutile et où il aurait pu se cacher.

De même, je ne peux plus ouvrir msn ( windows platform erreur) j'ai deja essayé de modifier les paramètres du fichier dans software je-sais-plus-quoi... RIEN NE MARCHE! le fichier install n'est plus (apparemment) et je ne peux plus désinstaller msn depuis le menu de suppression des programmes puisqu'il n'apparait pas dans la listeuuuu!!!

J'aimerais savoir ce qu'est ce HKEY (équivalent de administrateur?) et comment régler mon problème sivouplait :) ( un reformatage total du pc ne serait pas idéal...)

(en espérant ne pas avoir fait trop de fautes d' AURTAUGRAFE :) )

MERKI DE M AIDER !!!
(les informaticiens de ma région prennent trop cher T.T)
A voir également:

37 réponses

  • 1
  • 2
Réponse 1 / 37
Utilisateur anonyme
30 oct. 2009 à 17:54
Salut ,

Commence par ceci , pour faire un etat des lieux ::


▶ Télécharge random's system information tool (RSIT) et sauvegarde-le sur le Bureau.

• Double-clique sur RSIT.exe afin de lancer RSIT.

• Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions).

• Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

• Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

Poste le contenu de log.txt .

• Tuto : https://forum.pcastuces.com/randoms_system_information_tool_rsit-f31s31.htm
2
Réponse 2 / 37
Utilisateur anonyme
30 oct. 2009 à 22:08
Salut Chimay8 , je te croyais mort :: ( sirrose ? ) ;)

###

Clawiss :


• Télécharge UsbFix sur ton bureau .

http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
https://www.androidworld.fr/

(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

• Double clic sur "UsbFix.exe" présent sur ton bureau .

• Choisis l'option F pour français et tape sur [entrée] .

• Choisis l'option 1 ( Recherche ) et tape sur [entrée] .

• Laisse travailler l'outil.

Ensuite post le rapport UsbFix.txt qui apparaitra.

• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

• Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

• Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html
1
Réponse 3 / 37
Utilisateur anonyme
30 oct. 2009 à 22:20
Il verifie le pc aussi , et oui le pressus en HKCU est caché , tout comme les .dll associé


• Double clic sur "UsbFix.exe" présent sur ton bureau .

• Choisis l' option F pour français et et tape sur [entrée] .

• choisis l'option 2 ( Suppression ) et tape sur [entrée].

• Ton bureau disparaitra et le pc redémarrera .

• Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.

Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
1
Réponse 4 / 37
Utilisateur anonyme
30 oct. 2009 à 22:37
Tu peux supprimer le fichier RAR .

il reste des traces de cette infection ( rien de grave ) + une autre infection distincte ::


▶ Télécharge OTM de OldTimer sur ton Bureau.

• Double-clique sur OTM.exe afin de le lancer.

• Copie (Ctrl+C) le texte suivant ci-dessous :



:processes
explorer.exe

:files
C:\uqgvf.exe
C:\UsbFix.txt
C:\UsbFix
D:\uqgvf.exe

:commands
[emptytemp]
[reboot]



• Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.

• Clique maintenant sur le bouton MoveIt! puis ferme OTM.

▶ Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
▶ Accepte en cliquant sur YES.

Poste le rapport situé dans ce dossier : C:\_OTM\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log


################

Télécharge Ad-Remover sur ton bureau ::

http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe


Double clic sur Ad-R.exe sur ton bureau pour lancer AD-Remover et suis ce tutoriel ::

http://pagesperso-orange.fr/nostools/tuto_adr_3.html

>> post le rapport généré stp .
1

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 37
clawis Messages postés 26 Date d'inscription vendredi 30 octobre 2009 Statut Membre Dernière intervention 22 novembre 2013
30 oct. 2009 à 21:38
voila voila , j'ai l'impression que mon ordi est plutot infecté:

Logfile of random's system information tool 1.06 (written by random/random)
Run by Alloin at 2009-10-30 21:34:10
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 110 GB (47%) free of 234 GB
Total RAM: 1022 MB (46% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:34:33, on 30/10/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AskBarDis\bar\bin\AskService.exe
C:\Program Files\AskBarDis\bar\bin\ASKUpgrade.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\stsystra.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Dell\Media Experience\DMXLauncher.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\WINDOWS\eHome\ehmsas.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Orange\Systray\SystrayApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Program Files\Windows Live\MessengerSearchAddon\msgrsrch.exe
C:\Documents and Settings\Alloin\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Sophos\Sophos Anti-Rootkit\sargui.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\DOCUME~1\Alloin\LOCALS~1\Temp\vkqgjg.exe
C:\Documents and Settings\Alloin\Bureau\RSIT.exe
C:\Program Files\trend micro\Alloin.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.fr/ig/dell?hl=fr&client=dell-row&channel=fr&ibd=5070530
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://actus.sfr.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = www.google.fr/ig/dell?hl=fr&client=dell-row&channel=fr&ibd=5070530
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\Orange\SearchURLHook\SearchPageURL.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O2 - BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\BAE\BAE.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [DMXLauncher] C:\Program Files\Dell\Media Experience\DMXLauncher.exe
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program Files\Orange\Systray\SystrayApp.exe"
O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\Orange\SessionManager\SessionManager.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Face test] C:\DOCUME~1\Alloin\APPLIC~1\THIRDB~1\bore play.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [EPSON Stylus DX4400 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE /FU "C:\WINDOWS\TEMP\E_SBB.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [msnlivesearch] C:\Program Files\Windows Live\MessengerSearchAddon\msgrsrch.exe /Run
O4 - HKCU\..\Run: [cdoosoft] C:\DOCUME~1\Alloin\LOCALS~1\Temp\herss.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Notification de cadeaux MSN.lnk = C:\Documents and Settings\Alloin\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://s.tf1.fr/mmdia/static/rawflow/clients/5.3.1.0/Rawflow.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {18871EA7-1B30-46DE-9283-E96E707492BA} (Playcom_ATL_Object Class) - http://www.netbabyworld.com/media/playcom/Playcom.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {4A85DBE0-BFB2-4119-8401-186A7C6EB653} - http://messenger.zone.msn.com/binary/MJSS.cab69309.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - https://secure.gopetslive.com/dev/GoPetsWeb.cab
O23 - Service: ASKService - Unknown owner - C:\Program Files\AskBarDis\bar\bin\AskService.exe
O23 - Service: ASKUpgrade - Unknown owner - C:\Program Files\AskBarDis\bar\bin\ASKUpgrade.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
0
Réponse 6 / 37
clawis Messages postés 26 Date d'inscription vendredi 30 octobre 2009 Statut Membre Dernière intervention 22 novembre 2013
30 oct. 2009 à 21:50
(j'ai aussi un petit problème depuis aujourd'hui...mon lecteur ne de cd ne lit plus les dvd depuis une cinquantaine de minutes...Serait-ce dû au rootkit?...)
0
Réponse 7 / 37
chimay8 Messages postés 7720 Date d'inscription jeudi 1 mai 2008 Statut Contributeur sécurité Dernière intervention 3 janvier 2014 60
30 oct. 2009 à 21:56
faut télécharger le 1664.fix

ça dégomme tout!!!

:)))
0
clawis Messages postés 26 Date d'inscription vendredi 30 octobre 2009 Statut Membre Dernière intervention 22 novembre 2013
30 oct. 2009 à 21:59
oui mais, qu'est-ce dont :) ? ( i'm pas très forte en informatique...)
0
Réponse 8 / 37
clawis Messages postés 26 Date d'inscription vendredi 30 octobre 2009 Statut Membre Dernière intervention 22 novembre 2013
30 oct. 2009 à 22:17
Ce logiciel est fait uniquement pour nettoyer la clé usb infectée? je ne l'ai plus x).
Ou alors il vérifie aussi le pc?

Voila le rapport: ############################## | UsbFix V6.046 |

User : Alloin (Administrateurs) # CHARLOTTE
Update on 29/10/2009 by Chiquitine29, C_XX & Chimay8
Start at: 22:11:23 | 30/10/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 CPU 4300 @ 1.80GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1229 [VPS 081023-0] 4.8.1229 [ Enabled | (!) Outdated ]

C:\ -> Disque fixe local # 228,13 Go (107,29 Go free) # NTFS
D:\ -> Disque fixe local # 232,82 Go (232,71 Go free) [Sauvegarder] # NTFS
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque amovible
J:\ -> Disque amovible

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\AskBarDis\bar\bin\AskService.exe
C:\Program Files\AskBarDis\bar\bin\ASKUpgrade.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\stsystra.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Dell\Media Experience\DMXLauncher.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\WINDOWS\eHome\ehmsas.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Orange\Systray\SystrayApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Program Files\Windows Live\MessengerSearchAddon\msgrsrch.exe
C:\Documents and Settings\Alloin\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |

C:\DOCUME~1\Alloin\LOCALS~1\Temp\cvasds0.dll
C:\DOCUME~1\Alloin\LOCALS~1\Temp\cvasds1.dll
C:\DOCUME~1\Alloin\LOCALS~1\Temp\herss.exe
C:\autorun.inf
C:\autorun.inf -> fichier appelé : "C:\a2g21.exe" ( Présent ! )
C:\3n8awsyg.exe
C:\eexyv.exe
C:\hjvjte.exe
C:\mranjm.exe
C:\nds0q.exe
C:\qbr2q.exe
C:\wcgswa.exe
D:\autorun.inf
D:\autorun.inf -> fichier appelé : "D:\a2g21.exe" ( Présent ! )
D:\3n8awsyg.exe
D:\b00ijwpu.exe
D:\eexyv.exe
D:\hjvjte.exe
D:\mranjm.exe
D:\nds0q.exe
D:\qbr2q.exe
D:\wcgswa.exe

################## | Registre # Clés Run infectieuses |

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "cdoosoft"

################## | Registre # Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{1c88263e-bb86-11dc-a409-0008d320fc6d}
Shell\AutoRun\command =WD_Windows_Tools\setup.exe

HKCU\..\..\Explorer\MountPoints2\{45609206-6470-11dc-a387-0008d320fc6d}
Shell\1\Command =.\RECYCLER\RECYCLER\autorun.exe
Shell\2\Command =.\RECYCLER\RECYCLER\autorun.exe
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL .\RECYCLER\RECYCLER\autorun.exe

HKCU\..\..\Explorer\MountPoints2\{6756b457-f266-11dc-a455-0008d320fc6d}
Shell\AutoRun\command =awda2.exe
Shell\explore\Command =awda2.exe
Shell\open\Command =awda2.exe

HKCU\..\..\Explorer\MountPoints2\{d59d7334-77fc-11dd-a4c4-0019d172fb6e}
Shell\AutoRun\command =F:\mranjm.exe
Shell\open\Command =F:\mranjm.exe

################## | Suspect | https://www.virustotal.com/gui/ |


################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # UsbFix V6.046 ! |




Le HKCU est un processus caché?
0
Réponse 9 / 37
clawis Messages postés 26 Date d'inscription vendredi 30 octobre 2009 Statut Membre Dernière intervention 22 novembre 2013
30 oct. 2009 à 22:32
Voila voila!

Un fichier RAR est apparu sur le bureau, et le seul fichier txt est celui si ( le bon rapport j 'espère :) )

Dois-je ensuite garder le RAR ou je le suppr. définitivement?


############################## | UsbFix V6.046 |

User : Alloin (Administrateurs) # CHARLOTTE
Update on 29/10/2009 by Chiquitine29, C_XX & Chimay8
Start at: 22:24:27 | 30/10/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 CPU 4300 @ 1.80GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1229 [VPS 081023-0] 4.8.1229 [ Enabled | (!) Outdated ]

C:\ -> Disque fixe local # 228,13 Go (107,28 Go free) # NTFS
D:\ -> Disque fixe local # 232,82 Go (232,71 Go free) [Sauvegarder] # NTFS
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque amovible
J:\ -> Disque amovible

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AskBarDis\bar\bin\AskService.exe
C:\Program Files\AskBarDis\bar\bin\ASKUpgrade.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe

################## | Fichiers # Dossiers infectieux |

Supprimé ! C:\DOCUME~1\Alloin\LOCALS~1\Temp\cvasds0.dll
Supprimé ! C:\DOCUME~1\Alloin\LOCALS~1\Temp\cvasds1.dll
Supprimé ! C:\DOCUME~1\Alloin\LOCALS~1\Temp\herss.exe
C:\autorun.inf -> fichier appelé : "C:\a2g21.exe" ( Présent ! )
Supprimé ! C:\a2g21.exe
Supprimé ! C:\autorun.inf
Supprimé ! C:\3n8awsyg.exe
Supprimé ! C:\eexyv.exe
Supprimé ! C:\hjvjte.exe
Supprimé ! C:\mranjm.exe
Supprimé ! C:\nds0q.exe
Supprimé ! C:\qbr2q.exe
Supprimé ! C:\wcgswa.exe
D:\autorun.inf -> fichier appelé : "D:\a2g21.exe" ( Présent ! )
Supprimé ! D:\a2g21.exe
Supprimé ! D:\autorun.inf
Supprimé ! D:\3n8awsyg.exe
Supprimé ! D:\b00ijwpu.exe
Supprimé ! D:\eexyv.exe
Supprimé ! D:\hjvjte.exe
Supprimé ! D:\mranjm.exe
Supprimé ! D:\nds0q.exe
Supprimé ! D:\qbr2q.exe
Supprimé ! D:\wcgswa.exe

################## | Registre # Clés Run infectieuses |

Supprimé ! [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "cdoosoft"

################## | Registre # Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{1c88263e-bb86-11dc-a409-0008d320fc6d}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{45609206-6470-11dc-a387-0008d320fc6d}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{6756b457-f266-11dc-a455-0008d320fc6d}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{d59d7334-77fc-11dd-a4c4-0019d172fb6e}\Shell\AutoRun\Command

################## | Listing des fichiers présent |

[01/09/2005 06:17|--a------|0] C:\AUTOEXEC.BAT
[01/03/2008 17:20|-rahs----|209] C:\boot.ini
[10/08/2004 12:00|-rahs----|4952] C:\Bootfont.bin
[01/09/2005 06:17|--a------|0] C:\CONFIG.SYS
[30/05/2007 18:18|-rah-----|6502] C:\dell.sdr
[?|?|?] C:\hiberfil.sys
[01/09/2005 06:17|--ah-----|0] C:\IO.SYS
[01/09/2005 06:17|--ah-----|0] C:\MSDOS.SYS
[10/08/2004 12:00|-rahs----|47564] C:\NTDETECT.COM
[10/08/2004 12:00|-rahs----|251712] C:\ntldr
[?|?|?] C:\pagefile.sys
[29/07/2008 09:52|--a------|159] C:\Setup.log
[29/10/2008 21:20|--ah-----|232] C:\sqmdata00.sqm
[29/10/2008 21:23|--ah-----|232] C:\sqmdata01.sqm
[29/10/2008 21:59|--ah-----|232] C:\sqmdata02.sqm
[29/10/2008 22:37|--ah-----|268] C:\sqmdata03.sqm
[30/10/2008 08:59|--ah-----|268] C:\sqmdata04.sqm
[09/09/2008 12:34|--ah-----|268] C:\sqmdata05.sqm
[30/10/2008 08:59|--ah-----|232] C:\sqmdata06.sqm
[23/01/2009 20:35|--ah-----|232] C:\sqmdata07.sqm
[23/01/2009 20:36|--ah-----|268] C:\sqmdata08.sqm
[17/06/2009 17:07|--ah-----|268] C:\sqmdata09.sqm
[01/07/2009 18:46|--ah-----|232] C:\sqmdata10.sqm
[01/07/2009 19:23|--ah-----|268] C:\sqmdata11.sqm
[12/09/2009 22:50|--ah-----|232] C:\sqmdata12.sqm
[12/09/2009 22:51|--ah-----|232] C:\sqmdata13.sqm
[29/08/2008 07:05|--ah-----|280] C:\sqmdata14.sqm
[01/09/2008 07:31|--ah-----|268] C:\sqmdata15.sqm
[01/09/2008 10:41|--ah-----|268] C:\sqmdata16.sqm
[01/09/2008 14:03|--ah-----|268] C:\sqmdata17.sqm
[16/09/2008 09:27|--ah-----|280] C:\sqmdata18.sqm
[29/10/2008 21:19|--ah-----|232] C:\sqmdata19.sqm
[29/10/2008 21:20|--ah-----|244] C:\sqmnoopt00.sqm
[29/10/2008 21:23|--ah-----|244] C:\sqmnoopt01.sqm
[29/10/2008 21:59|--ah-----|244] C:\sqmnoopt02.sqm
[29/10/2008 22:37|--ah-----|244] C:\sqmnoopt03.sqm
[30/10/2008 08:59|--ah-----|244] C:\sqmnoopt04.sqm
[09/09/2008 12:34|--ah-----|244] C:\sqmnoopt05.sqm
[30/10/2008 08:59|--ah-----|244] C:\sqmnoopt06.sqm
[23/01/2009 20:35|--ah-----|244] C:\sqmnoopt07.sqm
[23/01/2009 20:36|--ah-----|244] C:\sqmnoopt08.sqm
[17/06/2009 17:07|--ah-----|244] C:\sqmnoopt09.sqm
[01/07/2009 18:46|--ah-----|244] C:\sqmnoopt10.sqm
[01/07/2009 19:23|--ah-----|244] C:\sqmnoopt11.sqm
[12/09/2009 22:50|--ah-----|244] C:\sqmnoopt12.sqm
[12/09/2009 22:51|--ah-----|244] C:\sqmnoopt13.sqm
[29/08/2008 07:05|--ah-----|244] C:\sqmnoopt14.sqm
[01/09/2008 07:31|--ah-----|244] C:\sqmnoopt15.sqm
[01/09/2008 10:41|--ah-----|244] C:\sqmnoopt16.sqm
[01/09/2008 14:03|--ah-----|244] C:\sqmnoopt17.sqm
[16/09/2008 09:27|--ah-----|244] C:\sqmnoopt18.sqm
[29/10/2008 21:19|--ah-----|244] C:\sqmnoopt19.sqm
[30/10/2009 08:07|-r-hs----|112905] C:\uqgvf.exe
[30/10/2009 22:28|--a------|6417] C:\UsbFix.txt
[29/08/2007 23:17|--ahs----|4096] C:\VSNAP.IDX
[05/06/2007 21:59|-r-h-----|120] D:\NG Recovery Point Storage.ini
[04/08/2004 00:55|--a------|28672] D:\setupSNK.exe
[30/10/2009 08:07|-r-hs----|112905] D:\uqgvf.exe

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix.
# D:\autorun.inf -> Dossier créé par UsbFix.

################## | Suspect | https://www.virustotal.com/gui/ |


################## | Cracks / Keygens / Serials |
0
Réponse 10 / 37
chimay8 Messages postés 7720 Date d'inscription jeudi 1 mai 2008 Statut Contributeur sécurité Dernière intervention 3 janvier 2014 60
30 oct. 2009 à 22:58
clawis,
c'était une pointe d'humour à ton désinfecteur,te tracasse pas
le tool 1664.fix est plutôt utilisé dans les bar et café de métropole...

quoi que du coté de Vannes aussi!!!!
lol

biz à vous deux
0
Réponse 11 / 37
clawis Messages postés 26 Date d'inscription vendredi 30 octobre 2009 Statut Membre Dernière intervention 22 novembre 2013
30 oct. 2009 à 23:04
All processes killed
========== PROCESSES ==========
Process explorer.exe killed successfully!
========== FILES ==========
C:\uqgvf.exe moved successfully.
C:\UsbFix.txt moved successfully.
C:\UsbFix\Tools moved successfully.
C:\UsbFix\Reg moved successfully.
C:\UsbFix\Quarantine\D moved successfully.
C:\UsbFix\Quarantine\C\DOCUME~1\Alloin\LOCALS~1\Temp moved successfully.
C:\UsbFix\Quarantine\C\DOCUME~1\Alloin\LOCALS~1 moved successfully.
C:\UsbFix\Quarantine\C\DOCUME~1\Alloin moved successfully.
C:\UsbFix\Quarantine\C\DOCUME~1 moved successfully.
C:\UsbFix\Quarantine\C moved successfully.
C:\UsbFix\Quarantine moved successfully.
C:\UsbFix\Fich moved successfully.
C:\UsbFix moved successfully.
D:\uqgvf.exe moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrateur
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32768 bytes

User: All Users

User: Alloin
File delete failed. C:\Documents and Settings\Alloin\Local Settings\Temp\Temporary Internet Files\Content.IE5\Y8Y9FXGG\btype=36&tile=1149601954&adpos=1&combo=0&country=fr&affiliate=frrap2k&grp=entertainment&svc=web_guides&ch=music&reach=rap2k&ee=0&Params.cookie[1].com%2Frapfr&ord=1194380273 scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Alloin\Local Settings\Temp\Temporary Internet Files\Content.IE5\Y8Y9FXGG\Type=click%26FlightID=300092%26AdID=583769%26TargetID=102499%26Values=31,43,51,63,82,102,110,150,165,223,229,243,274,288,9498,16525,16652,18895,23804,26822,32162,50784,639[1].htm scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Alloin\Local Settings\Temp\Temporary Internet Files\Content.IE5\WP2RSP6V\activity;src=1325493;met=1;v=1;pid=20256059;aid=137307993;ko=0;cid=22621882;rid=22639765;rv=1;×tamp=1194352912375;eid1=1008;ecn1=0;etm1=11;eid2=12;ecn2=0;etm2=11;[1].gif scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Alloin\Local Settings\Temp\Temporary Internet Files\Content.IE5\UJC3BG5W\btype=36&tile=1468908530&adpos=1&combo=0&country=fr&affiliate=frrap2k&grp=entertainment&svc=web_guides&ch=music&reach=rap2k&ee=0&Params.cookie[1].com%2Frapfr&ord=1194380008 scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Alloin\Local Settings\Temp\Temporary Internet Files\Content.IE5\UJC3BG5W\btype=36&tile=850571315&adpos=1&combo=0&country=fr&affiliate=frrap2k&grp=entertainment&svc=web_guides&ch=music&reach=rap2k&ee=0&Params.cookie[1].com%2Frapfr&ord=1194380530 scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Alloin\Local Settings\Temp\Temporary Internet Files\Content.IE5\UJC3BG5W\Type=click%26FlightID=300092%26AdID=583769%26TargetID=102499%26Values=31,43,51,63,82,102,110,150,165,223,229,243,274,288,9498,16525,16652,18895,23804,26822,32162,50784,639[1].htm scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Alloin\Local Settings\Temp\Temporary Internet Files\Content.IE5\UJC3BG5W\Type=click%26FlightID=300092%26AdID=583769%26TargetID=102499%26Values=31,43,51,63,82,102,110,150,165,223,229,243,274,288,9498,16525,16652,18895,23804,26822,32162,50784,639[2].htm scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Alloin\Local Settings\Temp\Temporary Internet Files\Content.IE5\RQV95XRB\btype=36&tile=1614017848&adpos=1&combo=0&country=fr&affiliate=frrap2k&grp=entertainment&svc=web_guides&ch=music&reach=rap2k&ee=0&Params.cookie[1].com%2Frapfr&ord=1194379716 scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Alloin\Local Settings\Temp\Temporary Internet Files\Content.IE5\RQV95XRB\btype=36&tile=27487475&adpos=1&combo=0&country=fr&affiliate=frrap2k&grp=entertainment&svc=web_guides&ch=music&reach=rap2k&ee=0&Params.cookie[1].com%2Frapfr&ord=1194379728 scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Alloin\Local Settings\Temp\Temporary Internet Files\Content.IE5\RQV95XRB\Type=click%26FlightID=300092%26AdID=583769%26TargetID=102499%26Values=31,43,51,63,82,102,110,150,165,223,229,243,274,288,9498,16525,16652,18895,23804,26822,32162,50784,639[1].htm scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Alloin\Local Settings\Temp\Temporary Internet Files\Content.IE5\K1QRCP6J\activity;src=1325493;met=1;v=1;pid=20256059;aid=137307993;ko=0;cid=22621882;rid=22639765;rv=1;×tamp=1194352941546;eid1=1008;ecn1=0;etm1=29;eid2=12;ecn2=0;etm2=29;[1].gif scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Alloin\Local Settings\Temp\Temporary Internet Files\Content.IE5\977TRHN0\btype=36&tile=911432915&adpos=1&combo=0&country=fr&affiliate=frrap2k&grp=entertainment&svc=web_guides&ch=music&reach=rap2k&ee=0&Params.cookie[1].com%2Frapfr&ord=1194380281 scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Alloin\Local Settings\Temp\Temporary Internet Files\Content.IE5\977TRHN0\Type=click%26FlightID=300092%26AdID=583769%26TargetID=102499%26Values=31,43,51,63,82,102,110,150,165,223,229,243,274,288,9498,16525,16652,18895,23804,26822,32162,50784,639[1].htm scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Alloin\Local Settings\Temp\Temporary Internet Files\Content.IE5\977TRHN0\Type=click%26FlightID=300092%26AdID=583769%26TargetID=102499%26Values=31,43,51,63,82,102,110,165,223,229,243,274,288,9498,16525,16652,18895,23804,26822,32162,50784,87724,8[1].htm scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Alloin\Local Settings\Temp\Temporary Internet Files\Content.IE5\49INC1YZ\activity;src=1325493;met=1;v=1;pid=20256059;aid=137307993;ko=0;cid=22621882;rid=22639765;rv=1;×tamp=1194352901484;eid1=1008;ecn1=1;etm1=9;eid2=12;ecn2=1;etm2=9;[1].gif scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Alloin\Local Settings\Temp\Temporary Internet Files\Content.IE5\49INC1YZ\activity;src=1325493;met=1;v=1;pid=20256059;aid=137307993;ko=0;cid=22621882;rid=22639765;rv=1;×tamp=1194353012875;eid1=1008;ecn1=0;etm1=71;eid2=12;ecn2=0;etm2=71;[1].gif scheduled to be deleted on reboot.
->Temp folder emptied: 41896323 bytes
->Temporary Internet Files folder emptied: 56617 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 68556712 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: LocalService
->Temp folder emptied: 115616 bytes
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 3751038 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 8275280 bytes
File delete failed. C:\WINDOWS\temp\_avast4_\Webshlock.txt scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_638.dat scheduled to be deleted on reboot.
Windows Temp folder emptied: 1721359 bytes
RecycleBin emptied: 1192306 bytes

Total Files Cleaned = 119,84 mb


OTM by OldTimer - Version 3.0.0.6 log created on 10302009_224455

Files moved on Reboot...
File C:\Documents and Settings\Alloin\Local Settings\Temp\Temporary Internet Files\Content.IE5\Y8Y9FXGG\btype=36&tile=1149601954&adpos=1&combo=0&country=fr&affiliate=frrap2k&grp=entertainment&svc=web_guides&ch=music&reach=rap2k&ee=0&Params.cookie[1].com%2Frapfr&ord=1194380273 not found!
File C:\Documents and Settings\Alloin\Local Settings\Temp\Temporary Internet Files\Content.IE5\Y8Y9FXGG\Type=click%26FlightID=300092%26AdID=583769%26TargetID=102499%26Values=31,43,51,63,82,102,110,150,165,223,229,243,274,288,9498,16525,16652,18895,23804,26822,32162,50784,639[1].htm not found!
File C:\Documents and Settings\Alloin\Local Settings\Temp\Temporary Internet Files\Content.IE5\WP2RSP6V\activity;src=1325493;met=1;v=1;pid=20256059;aid=137307993;ko=0;cid=22621882;rid=22639765;rv=1;×tamp=1194352912375;eid1=1008;ecn1=0;etm1=11;eid2=12;ecn2=0;etm2=11;[1].gif not found!
File C:\Documents and Settings\Alloin\Local Settings\Temp\Temporary Internet Files\Content.IE5\UJC3BG5W\btype=36&tile=1468908530&adpos=1&combo=0&country=fr&affiliate=frrap2k&grp=entertainment&svc=web_guides&ch=music&reach=rap2k&ee=0&Params.cookie[1].com%2Frapfr&ord=1194380008 not found!
File C:\Documents and Settings\Alloin\Local Settings\Temp\Temporary Internet Files\Content.IE5\UJC3BG5W\btype=36&tile=850571315&adpos=1&combo=0&country=fr&affiliate=frrap2k&grp=entertainment&svc=web_guides&ch=music&reach=rap2k&ee=0&Params.cookie[1].com%2Frapfr&ord=1194380530 not found!
File C:\Documents and Settings\Alloin\Local Settings\Temp\Temporary Internet Files\Content.IE5\UJC3BG5W\Type=click%26FlightID=300092%26AdID=583769%26TargetID=102499%26Values=31,43,51,63,82,102,110,150,165,223,229,243,274,288,9498,16525,16652,18895,23804,26822,32162,50784,639[1].htm not found!
File C:\Documents and Settings\Alloin\Local Settings\Temp\Temporary Internet Files\Content.IE5\UJC3BG5W\Type=click%26FlightID=300092%26AdID=583769%26TargetID=102499%26Values=31,43,51,63,82,102,110,150,165,223,229,243,274,288,9498,16525,16652,18895,23804,26822,32162,50784,639[2].htm not found!
File C:\Documents and Settings\Alloin\Local Settings\Temp\Temporary Internet Files\Content.IE5\RQV95XRB\btype=36&tile=1614017848&adpos=1&combo=0&country=fr&affiliate=frrap2k&grp=entertainment&svc=web_guides&ch=music&reach=rap2k&ee=0&Params.cookie[1].com%2Frapfr&ord=1194379716 not found!
File C:\Documents and Settings\Alloin\Local Settings\Temp\Temporary Internet Files\Content.IE5\RQV95XRB\btype=36&tile=27487475&adpos=1&combo=0&country=fr&affiliate=frrap2k&grp=entertainment&svc=web_guides&ch=music&reach=rap2k&ee=0&Params.cookie[1].com%2Frapfr&ord=1194379728 not found!
File C:\Documents and Settings\Alloin\Local Settings\Temp\Temporary Internet Files\Content.IE5\RQV95XRB\Type=click%26FlightID=300092%26AdID=583769%26TargetID=102499%26Values=31,43,51,63,82,102,110,150,165,223,229,243,274,288,9498,16525,16652,18895,23804,26822,32162,50784,639[1].htm not found!
File C:\Documents and Settings\Alloin\Local Settings\Temp\Temporary Internet Files\Content.IE5\K1QRCP6J\activity;src=1325493;met=1;v=1;pid=20256059;aid=137307993;ko=0;cid=22621882;rid=22639765;rv=1;×tamp=1194352941546;eid1=1008;ecn1=0;etm1=29;eid2=12;ecn2=0;etm2=29;[1].gif not found!
File C:\Documents and Settings\Alloin\Local Settings\Temp\Temporary Internet Files\Content.IE5\977TRHN0\btype=36&tile=911432915&adpos=1&combo=0&country=fr&affiliate=frrap2k&grp=entertainment&svc=web_guides&ch=music&reach=rap2k&ee=0&Params.cookie[1].com%2Frapfr&ord=1194380281 not found!
File C:\Documents and Settings\Alloin\Local Settings\Temp\Temporary Internet Files\Content.IE5\977TRHN0\Type=click%26FlightID=300092%26AdID=583769%26TargetID=102499%26Values=31,43,51,63,82,102,110,150,165,223,229,243,274,288,9498,16525,16652,18895,23804,26822,32162,50784,639[1].htm not found!
File C:\Documents and Settings\Alloin\Local Settings\Temp\Temporary Internet Files\Content.IE5\977TRHN0\Type=click%26FlightID=300092%26AdID=583769%26TargetID=102499%26Values=31,43,51,63,82,102,110,165,223,229,243,274,288,9498,16525,16652,18895,23804,26822,32162,50784,87724,8[1].htm not found!
File C:\Documents and Settings\Alloin\Local Settings\Temp\Temporary Internet Files\Content.IE5\49INC1YZ\activity;src=1325493;met=1;v=1;pid=20256059;aid=137307993;ko=0;cid=22621882;rid=22639765;rv=1;×tamp=1194352901484;eid1=1008;ecn1=1;etm1=9;eid2=12;ecn2=1;etm2=9;[1].gif not found!
File C:\Documents and Settings\Alloin\Local Settings\Temp\Temporary Internet Files\Content.IE5\49INC1YZ\activity;src=1325493;met=1;v=1;pid=20256059;aid=137307993;ko=0;cid=22621882;rid=22639765;rv=1;×tamp=1194353012875;eid1=1008;ecn1=0;etm1=71;eid2=12;ecn2=0;etm2=71;[1].gif not found!
File C:\WINDOWS\temp\_avast4_\Webshlock.txt not found!
File C:\WINDOWS\temp\Perflib_Perfdata_638.dat not found!

Registry entries deleted on Reboot...


Et voila pour AD


.
======= RAPPORT D'AD-REMOVER 1.1.4.5_Z | UNIQUEMENT XP/VISTA/7 =======
.
Mit à jour par C_XX le 17.10.2009 à 11:48
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 22:54:31, 30/10/2009 | Mode Normal | Option: CLEAN
Exécuté de: C:\Program Files\Ad-Remover\
Système d'exploitation: Microsoft® Windows XP™ Service Pack 2 v5.1.2600
Nom du PC: CHARLOTTE | Utilisateur actuel: Alloin
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.
Service: ASKService
Service: ASKUpgrade

HKCU\Software\AppDataLow\AskBarDis
HKLM\Software\Classes\CLSID\{014DA6C9-189F-421A-88CD-07CFE51CFF10}
HKLM\Software\Classes\CLSID\{201F27D4-3704-41D6-89C1-AA35E39143ED}
HKLM\Software\Classes\CLSID\{37B85A21-692B-4205-9CAD-2626E4993404}
HKLM\Software\Classes\CLSID\{37B85A29-692B-4205-9CAD-2626E4993404}
HKLM\Software\Classes\CLSID\{37B85A2B-692B-4205-9CAD-2626E4993404}
HKLM\Software\Classes\CLSID\{9AFB8248-617F-460D-9366-D71CDEDA3179}
HKLM\Software\Classes\CLSID\{EF281620-A3A3-4F08-874F-D68CFC9B7945}
HKLM\Software\Classes\Interface\{37B85A2A-692B-4205-9CAD-2626E4993404}
HKLM\Software\Classes\Interface\{37B85A2C-692B-4205-9CAD-2626E4993404}
HKLM\Software\Classes\MyGlobalSearchBar.SettingsPlugin
HKLM\Software\Classes\MyGlobalSearchBar.SettingsPlugin.1
HKLM\Software\Classes\MyGlobalSearchBar.ToolbarPlugin
HKLM\Software\Classes\MyGlobalSearchBar.ToolbarPlugin.1
HKLM\Software\Classes\TypeLib\{37B85A20-692B-4205-9CAD-2626E4993404}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{37B85A21-692B-4205-9CAD-2626E4993404}
HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{37B85A2B-692B-4205-9CAD-2626E4993404}
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\My Global Search Uninstall
HKLM\Software\MyGlobalSearch
HKLM\Software\Trymedia Systems
HKLM\Software\Microsoft\Internet Explorer\Toolbar\\{37B85A29-692B-4205-9CAD-2626E4993404}
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{37B85A29-692B-4205-9CAD-2626E4993404}
HKLM\Software\Microsoft\Internet Explorer\Toolbar\\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
HKLM\Software\Classes\CLSID\{0702a2b6-13aa-4090-9e01-bcdc85dd933f}
HKLM\Software\Classes\CLSID\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
HKLM\Software\Classes\CLSID\{622fd888-4e91-4d68-84d4-7262fd0811bf}
HKLM\Software\Classes\CLSID\{b0de3308-5d5a-470d-81b9-634fc078393b}
HKLM\Software\Classes\TypeLib\{4B1C1E16-6B34-430E-B074-5928ECA4C150}
.
C:\DOCUME~1\Alloin\APPLIC~1\Mozilla\Firefox\Profiles\twfaxhtq.default\extensions\{E9A1DEE0-C623-4439-8932-001E7D17607D}
C:\Program Files\AskBarDis
C:\Program Files\MyGlobalSearch

(!) -- Fichiers temporaires supprimés.

.
============== Scan additionnel ==============
.
.
* Mozilla FireFox Version 3.0.15 [fr] *
.
Nom du profil: twfaxhtq.default (Alloin)
.
(Prefs.js) user_pref("browser.startup.homepage", "hxxp://www.google.fr/");
(Prefs.js) user_pref("browser.startup.homepage_override.mstone", "rv:1.9.0.15");
.
.
* Internet Explorer Version 8.0.6001.18702 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Start Page: hxxp://fr.msn.com/
Search Page: hxxp://recherche.neuf.fr/
Search Bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_search_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
Search bar: hxxp://search.msn.com/spbasic.htm
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\main\Start Page
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
.
===================================
.
4287 Octet(s) - C:\Ad-Report-CLEAN[1].log
3522 Octet(s) - C:\Ad-Report-SCAN[1].log
.
6 Fichier(s) - C:\DOCUME~1\Alloin\LOCALS~1\Temp
123 Fichier(s) - C:\WINDOWS\Temp
.
19 Fichier(s) - C:\Program Files\Ad-Remover\BACKUP
57 Fichier(s) - C:\Program Files\Ad-Remover\QUARANTINE
.
Fin à: 23:00:10 | 30/10/2009 - CLEAN[1]
.
============== E.O.F ==============


Voilou!

pas encore au point pour ce genre d' humour :D!

merki pour le besos!
0
Réponse 12 / 37
clawis Messages postés 26 Date d'inscription vendredi 30 octobre 2009 Statut Membre Dernière intervention 22 novembre 2013
30 oct. 2009 à 23:06
Sur ce, ça ne te dérange pas qu'on continue demain ? en tout cas, merci encore de ton aide et passe une poneu noui !! j'éspère qu'après ça ce rootkit eh bah y fera moins le malin! merki merki !
0
Réponse 13 / 37
Utilisateur anonyme
30 oct. 2009 à 23:07

• Telecharge malwarebytes

• Tu l´instale, le programme va se mettre automatiquement a jour.

• Une fois a jour, le programme va se lancer.

• Click sur l´onglet parametre, et coche la case : "Arreter internet explorer pendant la suppression".

• Click maintenant sur l´onglet recherche et coche la case : "executer un examen rapide".

• Puis click sur "rechercher".

• Laisse le scanner le pc...

• Si des elements on ete trouvés > click sur supprimer la selection.

• Si il t´es demandé de redemarrer > click sur "yes".

• A la fin un rapport va s´ouvrir, sauvegarde le de maniere a le retrouver en vu de le poster sur le forum.

• Copie et colle le rapport stp.
0
Réponse 14 / 37
clawis Messages postés 26 Date d'inscription vendredi 30 octobre 2009 Statut Membre Dernière intervention 22 novembre 2013
31 oct. 2009 à 10:53
Malwarebytes' Anti-Malware 1.41
Version de la base de données: 3064
Windows 5.1.2600 Service Pack 2

31/10/2009 10:49:19
mbam-log-2009-10-31 (10-49-19).txt

Type de recherche: Examen rapide
Eléments examinés: 108191
Temps écoulé: 7 minute(s), 0 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 4
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{37b85a21-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{37b85a29-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\MADOWN (Worm.Magania) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\ckwmc_nav.dat (Adware.NaviPromo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ckwmc_navps.dat (Adware.NaviPromo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\KeenSense.sys (Backdoor.ProRat) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\ksdevice.sys (Backdoor.ProRat) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\nvs2.inf (Adware.EGDAccess) -> Quarantined and deleted successfully.




Voila, mais les fichiers sont en quarantaine? je les supprime?
0
Réponse 15 / 37
Utilisateur anonyme
31 oct. 2009 à 12:37
Bonjours ,

Oui tu peux vider la quarantaine de malewarebyte's .

########


Télécharge Navilog1 (de IL-MAFIOSO) sur le bureau


• Double-clique sur "Navilog1" sur ton bureau que tu viens de télécharger.
• Appuie sur le chiffre 1 de ton clavier puis sur la touche Entrée pour sélectionner la langue française.
• Appuie sur une touche de ton clavier pour continuer... (Il te le sera demandé plusieurs fois).
• Tape 1, puis appuie sur la touche Entrée de ton clavier pour sélectionner l’option "Recherche / Désinfection automatique"
• Sois patient, cela peut prendre une dizaine de minutes voire plus.
• Navilog1 t’informe que la recherche est terminée
• Appuie sur une touche de ton clavier pour afficher le rapport qu’il a généré
• Le rapport sera sauvegardé dans le fichier suivant : "fixnavi.txt" à la racine de ton disque dur (C:\fixnavi.txt).
Poste le rapport généré
0
Réponse 16 / 37
clawis Messages postés 26 Date d'inscription vendredi 30 octobre 2009 Statut Membre Dernière intervention 22 novembre 2013
31 oct. 2009 à 12:45
Voila!!

Fix Navipromo version 4.0.3 commencé le 31/10/2009 12:40:23,46

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 21.10.2009 à 22h00 par IL-MAFIOSO

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 CPU 4300 @ 1.80GHz )
BIOS : Phoenix ROM BIOS PLUS Version 1.10 2.3.2
USER : Alloin ( Administrator )
BOOT : Normal boot

Antivirus : avast! antivirus 4.8.1229 [VPS 081023-0] 4.8.1229 (Activated)


C:\ (Local Disk) - NTFS - Total:228 Go (Free:107 Go)
D:\ (Local Disk) - NTFS - Total:232 Go (Free:232 Go)
G:\ (USB)
H:\ (USB)
I:\ (USB)
J:\ (USB)


Recherche executée en mode normal

Nettoyage exécuté au redémarrage de l'ordinateur


C:\WINDOWS\pack.epk supprimé !
C:\WINDOWS\system32\ckwmc.dat supprimé !


Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Alloin\locals~1\Temp effectué !


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok

Certificat Egroup supprimé !
Certificat Electronic-Group supprimé !
Certificat OOO-Favorit supprimé !



*** Scan terminé 31/10/2009 12:44:07,79 ***
0
Réponse 17 / 37
Utilisateur anonyme
31 oct. 2009 à 12:55
il y a une infection lop aussi ::

• Télécharge LopXp : (by Moe) :

http://sosvirus.changelog.fr/Green_day/Lopxpsetup.exe

• Double clic sur Lopxpsetup.exe pour lancer l'installation

• Au menu, choisir l'option 1

• Patienter jusqu'à que l'on demande d'appuyer sur une touche, appuyer !

• Une rapport sera alors crée, à copie/colle en entier sur le forum.


0
Réponse 18 / 37
clawis Messages postés 26 Date d'inscription vendredi 30 octobre 2009 Statut Membre Dernière intervention 22 novembre 2013
31 oct. 2009 à 13:03
Voila:

# Rapport Lopxp fait le 31/10/2009 à 12:56:37
# Exécuté dans : C:\Program Files\Lopxp
# Version 3.10 - Maj du 11/04/2008

Killing 'iexplore.exe'
"C:\Program Files\Internet Explorer\IEXPLORE.EXE" -nohome (2144)
"C:\Program Files\Internet Explorer\IEXPLORE.EXE" SCODEF:2144 CREDAT:79873 (1172)

========== Listing des dossiers Application Data

+- C:\Documents and Settings\Administrateur\Application Data

2007-05-30 à 17:48:51 - ATI
2007-05-30 à 17:46:14 - GTek
2005-09-01 à 05:25:26 - Identities
2009-10-24 à 16:18:11 - Microsoft
2007-05-30 à 17:44:50 - Symantec

+- C:\Documents and Settings\Administrateur\Local Settings\Application Data

2005-09-01 à 05:27:58 - ApplicationHistory
2007-05-30 à 17:48:51 - ATI
2007-05-30 à 17:45:48 - Google
2009-10-24 à 16:18:12 - Microsoft
2007-05-30 à 17:33:08 - {3248F0A6-6813-11D6-A77B-00B0D0150060}

+- C:\Documents and Settings\All Users\Application Data

2007-05-30 à 17:39:47 - Adobe
2007-09-09 à 23:04:41 - Apple
2007-09-09 à 23:05:03 - Apple Computer
2007-08-17 à 12:54:43 - Avg7
2009-01-18 à 20:08:47 - Azureus
2007-05-30 à 17:40:44 - Corel
2008-02-05 à 18:55:26 - Dell
2008-08-07 à 20:16:56 - EPSON
2009-10-30 à 13:48:11 - Google Updater
2007-05-30 à 17:46:14 - GTek
2007-05-30 à 17:44:20 - InstallShield
2009-10-31 à 09:38:34 - Malwarebytes
2007-06-16 à 06:30:47 - McAfee
2009-10-30 à 15:25:33 - Microsoft
2009-02-10 à 06:27:02 - NOS
2007-08-02 à 13:08:07 - PlayFirst
2008-09-09 à 11:51:14 - Skype
2007-05-30 à 17:43:55 - Sonic
2007-06-05 à 20:58:53 - Symantec
2007-09-02 à 15:17:12 - TEMP
2008-08-19 à 20:38:52 - third lies itch ford
2007-06-05 à 23:13:42 - Trymedia
2008-08-07 à 20:20:33 - UDL
2007-08-31 à 21:28:59 - Ulead Systems
2007-08-19 à 17:20:57 - Windows Genuine Advantage
2008-07-29 à 10:12:05 - WLInstaller

+- C:\Documents and Settings\Alloin\Application Data

2007-12-12 à 00:45:45 - .BitTornado
2008-01-02 à 21:49:05 - AccurateRip
2008-09-18 à 13:02:44 - Adobe
2007-06-19 à 19:27:43 - AdobeUM
2007-10-09 à 12:26:18 - Apple Computer
2007-05-30 à 17:48:51 - ATI
2009-03-16 à 06:28:09 - Azureus
2007-09-02 à 15:19:32 - Corel
2009-01-01 à 10:59:53 - CoSoSys
2008-01-02 à 21:49:50 - dBpoweramp
2008-08-05 à 14:51:03 - dvdcss
2009-06-09 à 15:38:05 - EPSON
2007-08-18 à 11:06:29 - Google
2007-05-30 à 17:46:14 - Gtek
2007-06-07 à 08:05:47 - Help
2005-09-01 à 05:25:26 - Identities
2007-06-05 à 16:13:48 - Leadertech
2007-09-26 à 00:10:41 - Macromedia
2009-10-31 à 09:38:40 - Malwarebytes
2009-10-23 à 11:15:16 - Microsoft
2008-08-07 à 20:54:15 - Mozilla
2007-12-08 à 14:07:19 - Netbaby
2009-03-01 à 18:46:43 - OpenOffice.org
2007-08-02 à 13:08:07 - PlayFirst
2007-09-06 à 12:28:15 - SecondLife
2007-06-09 à 06:49:47 - Sonic
2007-08-12 à 13:49:48 - Sun
2007-05-30 à 17:44:50 - Symantec
2008-08-19 à 20:40:38 - third bleh bend
2009-01-11 à 12:46:55 - U3
2009-10-30 à 20:14:26 - vlc

+- C:\Documents and Settings\Alloin\Local Settings\Application Data

2009-02-10 à 03:31:10 - Adobe
2007-09-09 à 23:04:52 - Apple
2007-09-09 à 23:04:27 - Apple Computer
2009-10-30 à 15:15:50 - ApplicationHistory
2007-05-30 à 17:48:51 - ATI
2007-08-18 à 11:06:29 - Google
2007-06-07 à 08:05:47 - Help
2007-08-12 à 12:40:21 - Identities
2009-10-30 à 21:28:04 - Microsoft
2008-08-07 à 20:54:13 - Mozilla
2008-07-29 à 10:14:42 - PCHealth
2008-03-01 à 16:43:01 - WMTools Downloaded Files
2007-05-30 à 17:33:08 - {3248F0A6-6813-11D6-A77B-00B0D0150060}

========== Listing du dossier Program Files

+- C:\Program Files

2009-09-02 à 14:56:56 - 7-Zip
2008-04-09 à 22:50:44 - Abra Academy
2008-11-05 à 15:30:03 - Activision Value
2009-10-30 à 22:00:09 - Ad-Remover
2007-09-15 à 20:23:02 - Adobe
2007-08-23 à 00:20:36 - adslTV
2007-08-17 à 13:00:01 - Alwil Software
2008-11-30 à 15:44:28 - American Conquest
2007-09-09 à 23:04:42 - Apple Software Update
2007-05-30 à 17:38:57 - ATI Technologies
2007-05-30 à 17:45:46 - BAE
2008-09-01 à 13:31:06 - BearShare
2007-08-21 à 09:57:24 - BearShare Applications
2007-11-30 à 22:43:34 - BFG
2009-01-18 à 17:57:17 - CCleaner
2005-09-01 à 05:13:22 - ComPlus Applications
2008-01-11 à 12:35:43 - Dell
2007-05-30 à 17:46:01 - Dell Support
2007-08-02 à 13:09:36 - Diner Dash Flo on the Go
2007-06-10 à 16:14:16 - directx
2008-11-05 à 21:24:28 - DivX
2009-10-30 à 20:07:36 - DMV
2007-06-07 à 08:45:49 - Eidos Interactive
2007-08-08 à 18:26:02 - Electrotank
2008-08-07 à 20:19:44 - epson
2009-09-23 à 06:40:35 - Fichiers communs
2008-09-09 à 11:48:13 - Flower Shop Big City Break
2005-09-01 à 05:27:52 - FrenchOtto
2007-09-02 à 13:22:51 - GemMasterFrench
2007-11-30 à 23:00:48 - GoldLeo Auido Converter
2008-11-05 à 15:25:04 - Google
2009-06-24 à 12:17:13 - Hachette Multimedia
2007-11-30 à 23:05:58 - Illustrate
2008-09-09 à 11:55:19 - Image-Line
2009-06-24 à 12:17:14 - InstallShield Installation Information
2007-05-30 à 17:38:37 - Intel
2007-05-30 à 17:39:32 - InterActual
2009-10-30 à 15:40:49 - Internet Explorer
2007-07-25 à 20:31:44 - iWin
2007-10-27 à 19:37:22 - Java
2007-06-06 à 17:29:48 - Lionhead Studios Ltd
2009-10-31 à 11:56:44 - Lopxp
2007-05-30 à 17:47:06 - MAKEMSI Package Documentation
2009-10-31 à 09:38:39 - Malwarebytes' Anti-Malware
2009-07-25 à 18:19:00 - Maxis
2008-09-01 à 14:56:50 - Messenger
2009-09-23 à 06:55:16 - Microsoft
2008-08-08 à 11:35:01 - Microsoft ActiveSync
2008-02-20 à 02:01:06 - Microsoft CAPICOM 2.1.0.2
2005-09-01 à 05:18:40 - microsoft frontpage
2008-08-08 à 11:34:39 - Microsoft Office
2009-09-25 à 06:30:32 - Microsoft Silverlight
2009-09-23 à 06:51:28 - Microsoft SQL Server Compact Edition
2009-09-23 à 06:52:09 - Microsoft Sync Framework
2009-10-16 à 06:50:53 - Microsoft Works
2005-09-01 à 05:12:36 - Movie Maker
2009-10-31 à 11:53:53 - Mozilla Firefox
2009-09-25 à 20:42:31 - MSBuild
2005-09-01 à 05:12:10 - MSN
2005-09-01 à 05:12:18 - MSN Gaming Zone
2007-08-12 à 14:55:32 - MSXML 4.0
2009-09-25 à 20:39:41 - MSXML 6.0
2008-09-09 à 11:52:58 - Nanny Mania
2009-10-31 à 11:44:10 - Navilog1
2007-09-07 à 19:45:34 - NetMeeting
2008-09-01 à 06:16:54 - Neuf
2009-02-10 à 06:27:02 - NOS
2005-09-01 à 05:13:10 - Online Services
2009-03-01 à 18:44:41 - OpenOffice.org 3
2008-07-29 à 08:55:40 - Orange
2009-08-12 à 01:00:49 - Outlook Express
2007-06-05 à 23:13:33 - PopCap Games
2007-09-09 à 23:05:27 - QuickTime
2009-09-25 à 20:42:23 - Reference Assemblies
2007-07-22 à 19:55:20 - ReflexiveArcade
2008-09-09 à 11:50:32 - Rockstar Games
2007-05-30 à 17:43:23 - Roxio
2005-09-01 à 05:15:30 - Services en ligne
2007-05-30 à 17:35:52 - Sigmatel
2008-09-09 à 11:51:14 - Skype
2007-06-05 à 16:25:57 - SLD Codec Pack
2009-10-24 à 13:24:51 - Softwin
2007-05-30 à 17:44:20 - Sonic
2009-10-24 à 13:09:29 - Sophos
2007-11-30 à 23:12:12 - TallStick
2008-07-29 à 08:58:45 - third bleh bend
2009-10-30 à 20:34:33 - trend micro
2007-07-23 à 19:12:26 - Ubi Soft
2007-08-27 à 09:19:50 - Ulead Systems
2005-09-01 à 05:25:22 - Uninstall Information
2007-09-24 à 18:21:03 - VideoLAN
2008-09-09 à 11:52:29 - VirtualDJ
2008-09-09 à 11:42:22 - VstPlugins
2009-03-16 à 06:29:01 - Vuze
2007-12-03 à 17:57:57 - Windows Journal Viewer
2009-10-23 à 11:21:01 - Windows Live
2009-09-23 à 06:49:58 - Windows Live SkyDrive
2009-10-30 à 20:22:27 - Windows Media Connect 2
2009-10-30 à 20:22:27 - Windows Media Player
2005-09-01 à 05:12:08 - Windows NT
2005-09-01 à 05:12:42 - Windows Plus
2005-09-01 à 05:15:34 - WindowsUpdate
2008-08-11 à 19:07:03 - WMV9_VCM
2005-09-01 à 05:18:42 - xerox

========== Tâches planifiées

Google Software Updater.job: C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe scheduled_start

========== Clés registre

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Face test"="C:\DOCUME~1\Alloin\APPLIC~1\THIRDB~1\bore play.exe"


========== Bloqueur popups Internet Explorer

sco-web.unice.fr
iutmrs.univ-cezanne.fr
*.orion.education.fr
www1.euro.dell.com
support.euro.dell.com

========== Suggestion ( /!\ Nécessite une interprétation.) ==========

C:\Documents and Settings\All Users\Application Data\third lies itch ford
C:\Documents and Settings\Alloin\Application Data\third bleh bend
C:\Program Files\Softwin
C:\Program Files\third bleh bend

+- Registre:

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Face test"=-




- Fin du rapport -




mon lecteur de cd ne lit plus les dvd il y aurait-il un rapport avec ce virus?
0
Réponse 19 / 37
Utilisateur anonyme
31 oct. 2009 à 13:09
on verra a la fin , pour ton lecteur dvd ..


• Ouvre la commande executer :

• Menu demarrer executer | ou touche windows + r

• ensuite copie/colle ce texte avec les guillemets c est important :


"%programfiles%\Lopxp\Lopxp.bat" /Fixme


• clic sur ok

• Répond oui si on te demande la confirmation de la suppression d'un fichier.

• Poste le rapport qui appaitra + un nouveau rapport RSIT (log.txt)
0
Réponse 20 / 37
clawis Messages postés 26 Date d'inscription vendredi 30 octobre 2009 Statut Membre Dernière intervention 22 novembre 2013
31 oct. 2009 à 13:13
J'ai eu 4 fichiers à supprimer

# Rapport Lopxp fait le 31/10/2009 à 13:10:56
# Exécuté dans : C:\Program Files\Lopxp
# Version 3.10 - Maj du 11/04/2008


========== FixLog ==========


+- C:\Documents and Settings\All Users\Application Data\third lies itch ford
Choix utilisateur : Suppression acceptée.
Déplacé avec succès.

+- C:\Documents and Settings\Alloin\Application Data\third bleh bend
Choix utilisateur : Suppression acceptée.
Déplacé avec succès.

+- C:\Program Files\Softwin
Choix utilisateur : Suppression acceptée.
Déplacé avec succès.

+- C:\Program Files\third bleh bend
Choix utilisateur : Suppression acceptée.
Déplacé avec succès.

+- Registre :
Nettoyage effectué.

+- Fichiers temporaires :
Nettoyage effectué.


========== Listing des dossiers Application Data

+- C:\Documents and Settings\Administrateur\Application Data

2007-05-30 à 17:48:51 - ATI
2007-05-30 à 17:46:14 - GTek
2005-09-01 à 05:25:26 - Identities
2009-10-24 à 16:18:11 - Microsoft
2007-05-30 à 17:44:50 - Symantec

+- C:\Documents and Settings\Administrateur\Local Settings\Application Data

2005-09-01 à 05:27:58 - ApplicationHistory
2007-05-30 à 17:48:51 - ATI
2007-05-30 à 17:45:48 - Google
2009-10-24 à 16:18:12 - Microsoft
2007-05-30 à 17:33:08 - {3248F0A6-6813-11D6-A77B-00B0D0150060}

+- C:\Documents and Settings\All Users\Application Data

2007-05-30 à 17:39:47 - Adobe
2007-09-09 à 23:04:41 - Apple
2007-09-09 à 23:05:03 - Apple Computer
2007-08-17 à 12:54:43 - Avg7
2009-01-18 à 20:08:47 - Azureus
2007-05-30 à 17:40:44 - Corel
2008-02-05 à 18:55:26 - Dell
2008-08-07 à 20:16:56 - EPSON
2009-10-30 à 13:48:11 - Google Updater
2007-05-30 à 17:46:14 - GTek
2007-05-30 à 17:44:20 - InstallShield
2009-10-31 à 09:38:34 - Malwarebytes
2007-06-16 à 06:30:47 - McAfee
2009-10-30 à 15:25:33 - Microsoft
2009-02-10 à 06:27:02 - NOS
2007-08-02 à 13:08:07 - PlayFirst
2008-09-09 à 11:51:14 - Skype
2007-05-30 à 17:43:55 - Sonic
2007-06-05 à 20:58:53 - Symantec
2007-09-02 à 15:17:12 - TEMP
2007-06-05 à 23:13:42 - Trymedia
2008-08-07 à 20:20:33 - UDL
2007-08-31 à 21:28:59 - Ulead Systems
2007-08-19 à 17:20:57 - Windows Genuine Advantage
2008-07-29 à 10:12:05 - WLInstaller

+- C:\Documents and Settings\Alloin\Application Data

2007-12-12 à 00:45:45 - .BitTornado
2008-01-02 à 21:49:05 - AccurateRip
2008-09-18 à 13:02:44 - Adobe
2007-06-19 à 19:27:43 - AdobeUM
2007-10-09 à 12:26:18 - Apple Computer
2007-05-30 à 17:48:51 - ATI
2009-03-16 à 06:28:09 - Azureus
2007-09-02 à 15:19:32 - Corel
2009-01-01 à 10:59:53 - CoSoSys
2008-01-02 à 21:49:50 - dBpoweramp
2008-08-05 à 14:51:03 - dvdcss
2009-06-09 à 15:38:05 - EPSON
2007-08-18 à 11:06:29 - Google
2007-05-30 à 17:46:14 - Gtek
2007-06-07 à 08:05:47 - Help
2005-09-01 à 05:25:26 - Identities
2007-06-05 à 16:13:48 - Leadertech
2007-09-26 à 00:10:41 - Macromedia
2009-10-31 à 09:38:40 - Malwarebytes
2009-10-23 à 11:15:16 - Microsoft
2008-08-07 à 20:54:15 - Mozilla
2007-12-08 à 14:07:19 - Netbaby
2009-03-01 à 18:46:43 - OpenOffice.org
2007-08-02 à 13:08:07 - PlayFirst
2007-09-06 à 12:28:15 - SecondLife
2007-06-09 à 06:49:47 - Sonic
2007-08-12 à 13:49:48 - Sun
2007-05-30 à 17:44:50 - Symantec
2009-01-11 à 12:46:55 - U3
2009-10-30 à 20:14:26 - vlc

+- C:\Documents and Settings\Alloin\Local Settings\Application Data

2009-02-10 à 03:31:10 - Adobe
2007-09-09 à 23:04:52 - Apple
2007-09-09 à 23:04:27 - Apple Computer
2009-10-30 à 15:15:50 - ApplicationHistory
2007-05-30 à 17:48:51 - ATI
2007-08-18 à 11:06:29 - Google
2007-06-07 à 08:05:47 - Help
2007-08-12 à 12:40:21 - Identities
2009-10-30 à 21:28:04 - Microsoft
2008-08-07 à 20:54:13 - Mozilla
2008-07-29 à 10:14:42 - PCHealth
2008-03-01 à 16:43:01 - WMTools Downloaded Files
2007-05-30 à 17:33:08 - {3248F0A6-6813-11D6-A77B-00B0D0150060}

========== Listing du dossier Program Files

+- C:\Program Files

2009-09-02 à 14:56:56 - 7-Zip
2008-04-09 à 22:50:44 - Abra Academy
2008-11-05 à 15:30:03 - Activision Value
2009-10-30 à 22:00:09 - Ad-Remover
2007-09-15 à 20:23:02 - Adobe
2007-08-23 à 00:20:36 - adslTV
2007-08-17 à 13:00:01 - Alwil Software
2008-11-30 à 15:44:28 - American Conquest
2007-09-09 à 23:04:42 - Apple Software Update
2007-05-30 à 17:38:57 - ATI Technologies
2007-05-30 à 17:45:46 - BAE
2008-09-01 à 13:31:06 - BearShare
2007-08-21 à 09:57:24 - BearShare Applications
2007-11-30 à 22:43:34 - BFG
2009-01-18 à 17:57:17 - CCleaner
2005-09-01 à 05:13:22 - ComPlus Applications
2008-01-11 à 12:35:43 - Dell
2007-05-30 à 17:46:01 - Dell Support
2007-08-02 à 13:09:36 - Diner Dash Flo on the Go
2007-06-10 à 16:14:16 - directx
2008-11-05 à 21:24:28 - DivX
2009-10-30 à 20:07:36 - DMV
2007-06-07 à 08:45:49 - Eidos Interactive
2007-08-08 à 18:26:02 - Electrotank
2008-08-07 à 20:19:44 - epson
2009-09-23 à 06:40:35 - Fichiers communs
2008-09-09 à 11:48:13 - Flower Shop Big City Break
2005-09-01 à 05:27:52 - FrenchOtto
2007-09-02 à 13:22:51 - GemMasterFrench
2007-11-30 à 23:00:48 - GoldLeo Auido Converter
2008-11-05 à 15:25:04 - Google
2009-06-24 à 12:17:13 - Hachette Multimedia
2007-11-30 à 23:05:58 - Illustrate
2008-09-09 à 11:55:19 - Image-Line
2009-06-24 à 12:17:14 - InstallShield Installation Information
2007-05-30 à 17:38:37 - Intel
2007-05-30 à 17:39:32 - InterActual
2009-10-30 à 15:40:49 - Internet Explorer
2007-07-25 à 20:31:44 - iWin
2007-10-27 à 19:37:22 - Java
2007-06-06 à 17:29:48 - Lionhead Studios Ltd
2009-10-31 à 12:11:29 - Lopxp
2007-05-30 à 17:47:06 - MAKEMSI Package Documentation
2009-10-31 à 09:38:39 - Malwarebytes' Anti-Malware
2009-07-25 à 18:19:00 - Maxis
2008-09-01 à 14:56:50 - Messenger
2009-09-23 à 06:55:16 - Microsoft
2008-08-08 à 11:35:01 - Microsoft ActiveSync
2008-02-20 à 02:01:06 - Microsoft CAPICOM 2.1.0.2
2005-09-01 à 05:18:40 - microsoft frontpage
2008-08-08 à 11:34:39 - Microsoft Office
2009-09-25 à 06:30:32 - Microsoft Silverlight
2009-09-23 à 06:51:28 - Microsoft SQL Server Compact Edition
2009-09-23 à 06:52:09 - Microsoft Sync Framework
2009-10-16 à 06:50:53 - Microsoft Works
2005-09-01 à 05:12:36 - Movie Maker
2009-10-31 à 11:53:53 - Mozilla Firefox
2009-09-25 à 20:42:31 - MSBuild
2005-09-01 à 05:12:10 - MSN
2005-09-01 à 05:12:18 - MSN Gaming Zone
2007-08-12 à 14:55:32 - MSXML 4.0
2009-09-25 à 20:39:41 - MSXML 6.0
2008-09-09 à 11:52:58 - Nanny Mania
2009-10-31 à 11:44:10 - Navilog1
2007-09-07 à 19:45:34 - NetMeeting
2008-09-01 à 06:16:54 - Neuf
2009-02-10 à 06:27:02 - NOS
2005-09-01 à 05:13:10 - Online Services
2009-03-01 à 18:44:41 - OpenOffice.org 3
2008-07-29 à 08:55:40 - Orange
2009-08-12 à 01:00:49 - Outlook Express
2007-06-05 à 23:13:33 - PopCap Games
2007-09-09 à 23:05:27 - QuickTime
2009-09-25 à 20:42:23 - Reference Assemblies
2007-07-22 à 19:55:20 - ReflexiveArcade
2008-09-09 à 11:50:32 - Rockstar Games
2007-05-30 à 17:43:23 - Roxio
2005-09-01 à 05:15:30 - Services en ligne
2007-05-30 à 17:35:52 - Sigmatel
2008-09-09 à 11:51:14 - Skype
2007-06-05 à 16:25:57 - SLD Codec Pack
2007-05-30 à 17:44:20 - Sonic
2009-10-24 à 13:09:29 - Sophos
2007-11-30 à 23:12:12 - TallStick
2009-10-30 à 20:34:33 - trend micro
2007-07-23 à 19:12:26 - Ubi Soft
2007-08-27 à 09:19:50 - Ulead Systems
2005-09-01 à 05:25:22 - Uninstall Information
2007-09-24 à 18:21:03 - VideoLAN
2008-09-09 à 11:52:29 - VirtualDJ
2008-09-09 à 11:42:22 - VstPlugins
2009-03-16 à 06:29:01 - Vuze
2007-12-03 à 17:57:57 - Windows Journal Viewer
2009-10-23 à 11:21:01 - Windows Live
2009-09-23 à 06:49:58 - Windows Live SkyDrive
2009-10-30 à 20:22:27 - Windows Media Connect 2
2009-10-30 à 20:22:27 - Windows Media Player
2005-09-01 à 05:12:08 - Windows NT
2005-09-01 à 05:12:42 - Windows Plus
2005-09-01 à 05:15:34 - WindowsUpdate
2008-08-11 à 19:07:03 - WMV9_VCM
2005-09-01 à 05:18:42 - xerox

========== Tâches planifiées

Google Software Updater.job: C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe scheduled_start

========== Clés registre


========== Bloqueur popups Internet Explorer

sco-web.unice.fr
iutmrs.univ-cezanne.fr
*.orion.education.fr
www1.euro.dell.com
support.euro.dell.com

========== Suggestion ( /!\ Nécessite une interprétation.) ==========

+- Dossiers\Fichiers : Aucune suggestion.

+- Registre : Aucune suggestion.


- Fin du rapport -


en espérant qu'il n y ai rien de compromettant dans tout ça ^^'
0

Discussions similaires

Rootkit détecté par AVG mais ne fait rien?
Hakayami -
hellodu95 -

11 réponses
help rootkit
celine746 -
celine746 -

21 réponses
Avast détecte un rootkit
Marie12345 -
Marie12345 -

2 réponses
win32 Rootkit
Mary -
plopus -

8 réponses
hacktool.rootkit
fabnok -
fabnok -

67 réponses