Sujet Précédent Sujet Suivant

Supprimer RKIT/Kryptic.763904

Fermé
noucj Messages postés 19 Date d'inscription lundi 18 janvier 2010 Statut Membre Dernière intervention 26 janvier 2010 - 18 janv. 2010 à 16:32
noucj Messages postés 19 Date d'inscription lundi 18 janvier 2010 Statut Membre Dernière intervention 26 janvier 2010 - 26 janv. 2010 à 17:48
Bonjour,

Antivir a trouvé le virus RKIT/Kryptic.763904 dans mon ordinateur, comment le supprimer ?
Voici le rapport de l'analyse ci dessous
merci



Avira AntiVir Personal
Date de création du fichier de rapport : lundi 18 janvier 2010 15:35

La recherche porte sur 1554025 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows XP
Version de Windows : (Service Pack 2) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : Administrateur
Nom de l'ordinateur : SWEET-02CADF57C

Informations de version :
BUILD.DAT : 9.0.0.74 21698 Bytes 04/12/2009 13:56:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 23/11/2009 15:01:10
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 15:01:10
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 15:01:10
VBASE002.VDF : 7.10.1.1 2048 Bytes 19/11/2009 15:01:10
VBASE003.VDF : 7.10.1.2 2048 Bytes 19/11/2009 15:01:10
VBASE004.VDF : 7.10.1.3 2048 Bytes 19/11/2009 15:01:10
VBASE005.VDF : 7.10.1.4 2048 Bytes 19/11/2009 15:01:10
VBASE006.VDF : 7.10.1.5 2048 Bytes 19/11/2009 15:01:10
VBASE007.VDF : 7.10.1.6 2048 Bytes 19/11/2009 15:01:10
VBASE008.VDF : 7.10.1.7 2048 Bytes 19/11/2009 15:01:10
VBASE009.VDF : 7.10.1.8 2048 Bytes 19/11/2009 15:01:10
VBASE010.VDF : 7.10.1.9 2048 Bytes 19/11/2009 15:01:10
VBASE011.VDF : 7.10.1.10 2048 Bytes 19/11/2009 15:01:10
VBASE012.VDF : 7.10.1.11 2048 Bytes 19/11/2009 15:01:10
VBASE013.VDF : 7.10.1.79 209920 Bytes 25/11/2009 07:27:47
VBASE014.VDF : 7.10.1.128 197632 Bytes 30/11/2009 07:49:53
VBASE015.VDF : 7.10.1.178 195584 Bytes 07/12/2009 20:10:55
VBASE016.VDF : 7.10.1.224 183296 Bytes 14/12/2009 11:41:00
VBASE017.VDF : 7.10.1.247 182272 Bytes 15/12/2009 11:42:09
VBASE018.VDF : 7.10.2.30 198144 Bytes 21/12/2009 11:07:05
VBASE019.VDF : 7.10.2.63 187392 Bytes 24/12/2009 11:07:21
VBASE020.VDF : 7.10.2.93 195072 Bytes 29/12/2009 23:33:31
VBASE021.VDF : 7.10.2.131 201216 Bytes 07/01/2010 10:32:48
VBASE022.VDF : 7.10.2.158 192000 Bytes 11/01/2010 08:21:08
VBASE023.VDF : 7.10.2.186 200704 Bytes 14/01/2010 08:22:01
VBASE024.VDF : 7.10.2.205 201728 Bytes 15/01/2010 11:03:07
VBASE025.VDF : 7.10.2.206 2048 Bytes 15/01/2010 11:03:07
VBASE026.VDF : 7.10.2.207 2048 Bytes 15/01/2010 11:03:07
VBASE027.VDF : 7.10.2.208 2048 Bytes 15/01/2010 11:03:07
VBASE028.VDF : 7.10.2.209 2048 Bytes 15/01/2010 11:03:07
VBASE029.VDF : 7.10.2.210 2048 Bytes 15/01/2010 11:03:07
VBASE030.VDF : 7.10.2.211 2048 Bytes 15/01/2010 11:03:08
VBASE031.VDF : 7.10.2.215 158720 Bytes 18/01/2010 11:03:09
Version du moteur : 8.2.1.142
AEVDF.DLL : 8.1.1.2 106867 Bytes 16/09/2009 16:06:44
AESCRIPT.DLL : 8.1.3.7 594296 Bytes 05/01/2010 10:34:13
AESCN.DLL : 8.1.3.1 127348 Bytes 15/01/2010 08:22:51
AESBX.DLL : 8.1.1.1 246132 Bytes 23/11/2009 15:01:10
AERDL.DLL : 8.1.3.4 479605 Bytes 02/12/2009 07:50:17
AEPACK.DLL : 8.2.0.5 422262 Bytes 15/01/2010 08:22:47
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 23/07/2009 08:59:39
AEHEUR.DLL : 8.1.0.195 2232695 Bytes 15/01/2010 08:22:37
AEHELP.DLL : 8.1.10.0 237942 Bytes 15/01/2010 08:22:09
AEGEN.DLL : 8.1.1.83 369014 Bytes 05/01/2010 10:33:13
AEEMU.DLL : 8.1.1.0 393587 Bytes 06/10/2009 07:50:20
AECORE.DLL : 8.1.9.5 184693 Bytes 15/01/2010 08:22:05
AEBB.DLL : 8.1.0.3 53618 Bytes 09/10/2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30
AVPREF.DLL : 9.0.3.0 44289 Bytes 27/09/2009 09:42:15
AVREP.DLL : 8.0.0.3 155905 Bytes 20/01/2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 17/06/2009 12:44:26
RCTEXT.DLL : 9.0.73.0 88321 Bytes 23/11/2009 15:01:09

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, D:, F:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen

Début de la recherche : lundi 18 janvier 2010 15:35

La recherche d'objets cachés commence.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\lndcnqg\type
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\lndcnqg\start
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\lndcnqg\errorcontrol
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\lndcnqg\group
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\lndcnqg\unkon1l3
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\lndcnqg\yg2ll6lm4i
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\lndcnqg\sy3v1g4hx
[INFO] L'entrée d'enregistrement n'est pas visible.
'46137' objets ont été contrôlés, '7' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SkypeNames.exe' - '1' module(s) sont contrôlés
Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wlcomm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'msnmsgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpqste08.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmiapsrv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iPodService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'FNPLicensingService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'cvpnd.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'skypePM.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpqtra08.exe' - '1' module(s) sont contrôlés
Processus de recherche 'REVAService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'GoogleToolbarNotifier.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Skype.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iTunesHelper.exe' - '1' module(s) sont contrôlés
Processus de recherche 'igfxsrvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpwuSchd2.exe' - '1' module(s) sont contrôlés
Processus de recherche 'igfxpers.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hkcmd.exe' - '1' module(s) sont contrôlés
Processus de recherche 'igfxtray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'acrotray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PDVDServ.exe' - '1' module(s) sont contrôlés
Processus de recherche 'UnlockerAssistant.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'51' processus ont été contrôlés avec '51' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'D:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'F:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '55' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\WINDOWS\system32\drivers\lndcnqg.sys
[RESULTAT] Contient le modèle de détection du rootkit RKIT/Kryptic.763904
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\WINDOWS\system32\drivers\sptd.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
Recherche débutant dans 'D:\' <HP_RECOVERY>
Recherche débutant dans 'F:\'

Début de la désinfection :
C:\WINDOWS\system32\drivers\lndcnqg.sys
[RESULTAT] Contient le modèle de détection du rootkit RKIT/Kryptic.763904
[AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26004
[AVERTISSEMENT] Impossible de trouver le fichier source.
[REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bb87e4b.qua' !


Fin de la recherche : lundi 18 janvier 2010 16:27
Temps nécessaire: 50:44 Minute(s)

La recherche a été effectuée intégralement

14720 Les répertoires ont été contrôlés
332905 Des fichiers ont été contrôlés
1 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
1 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
3 Impossible de contrôler des fichiers
332901 Fichiers non infectés
1708 Les archives ont été contrôlées
3 Avertissements
2 Consignes
46137 Des objets ont été contrôlés lors du Rootkitscan
7 Des objets cachés ont été trouvés
A voir également:

23 réponses

  • 1
  • 2
Réponse 1 / 23
Utilisateur anonyme
18 janv. 2010 à 16:40
bonjour
Attention, avant de commencer, lit attentivement la procédure, et imprime la

Télécharge ComboFix de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

/!\ Déconnecte-toi du net et DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\
---> Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter
SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.

Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de figer ton PC

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

Note : Le rapport se trouve également là : C:\ComboFix.txt
0
Réponse 2 / 23
noucj Messages postés 19 Date d'inscription lundi 18 janvier 2010 Statut Membre Dernière intervention 26 janvier 2010
18 janv. 2010 à 17:11
Re,
J'ai bien fait le scan et voici le rapport !
merci

ComboFix 10-01-17.04 - Administrateur 18/01/2010 16:58:39.1.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.2038.1560 [GMT 1:00]
Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Administrateur\Application Data\avdrn.dat
c:\windows\system32\AutoRun.inf
c:\windows\system32\twain_32.dll

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-12-18 au 2010-01-18 ))))))))))))))))))))))))))))))))))))
.

2010-01-18 11:06 . 2010-01-18 16:02 763904 ----a-w- c:\windows\system32\drivers\lndcnqg.sys
2010-01-18 11:05 . 2010-01-18 11:05 148 ----a-w- c:\windows\system32\fjhdyfhsn.bat

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-18 15:55 . 2009-08-27 12:13 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Skype
2010-01-18 15:50 . 2009-08-27 08:20 -------- d-----w- c:\program files\EditPlus 2
2010-01-18 15:04 . 2009-08-27 12:14 -------- d-----w- c:\documents and settings\Administrateur\Application Data\skypePM
2010-01-18 11:05 . 2010-01-18 11:05 8 ----a-w- c:\windows\system32\config\systemprofile\Application Data\fvgqad.dat
2010-01-18 11:05 . 2010-01-18 11:05 8 ----a-w- c:\documents and settings\Administrateur\Application Data\fvgqad.dat
2009-12-18 15:37 . 2009-12-15 22:21 -------- d-----w- c:\documents and settings\Administrateur\Application Data\FileZilla
2009-12-15 22:21 . 2009-12-15 22:21 -------- d-----w- c:\program files\FileZilla FTP Client
2009-12-12 09:22 . 2009-10-27 18:09 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP
2009-12-10 20:51 . 2009-08-27 08:00 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-12-10 11:35 . 2009-08-26 21:43 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2009-12-08 14:55 . 2009-10-27 18:10 -------- d-----w- c:\documents and settings\Administrateur\Application Data\PlayFirst
2009-12-08 14:55 . 2009-10-27 18:08 -------- d-----w- c:\documents and settings\All Users\Application Data\PlayFirst
2009-12-04 07:09 . 2009-08-26 21:40 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-11-28 21:17 . 2009-11-16 13:32 -------- d-----w- c:\documents and settings\All Users\Application Data\Norton
2009-11-28 21:05 . 2009-11-16 11:22 -------- d-----w- c:\program files\a-squared Free
2009-11-16 14:48 . 2002-09-07 00:00 70868 ----a-w- c:\windows\system32\perfc00C.dat
2009-11-16 14:48 . 2002-09-07 00:00 458776 ----a-w- c:\windows\system32\perfh00C.dat
2009-11-03 16:11 . 2009-12-08 14:48 1531904 ----a-w- c:\documents and settings\All Users\Application Data\PlayFirst\Games\hotel-dash-suite-success\HotelDash.exe
2009-11-03 16:11 . 2009-12-08 14:48 2830336 ----a-w- c:\documents and settings\All Users\Application Data\PlayFirst\Games\hotel-dash-suite-success\game\HotelDash.exe
2009-10-27 18:09 . 2009-10-27 18:09 249856 ----a-w- c:\documents and settings\All Users\Application Data\PlayFirst\Games\components\pfMultiplayer.dll
2009-10-27 18:08 . 2009-10-27 18:08 466944 ----a-w- c:\documents and settings\All Users\Application Data\PlayFirst\Games\pfHarness\pfHarness.dll
.

------- Sigcheck -------

[-] 2007-06-26 . C7BE59B07C6EB74BEA6FD67C1B164015 . 360576 . . [5.1.2600.2892] . . c:\windows\system32\drivers\tcpip.sys

[-] 2007-06-14 . C7BCEA1533BE5C9E15884D6C39B667F1 . 80216 . . [7.0.6000.374] . . c:\windows\icon_TMP\wuauclt.exe
[-] 2007-06-14 . C7BCEA1533BE5C9E15884D6C39B667F1 . 80216 . . [7.0.6000.374] . . c:\windows\system32\wuauclt.exe
[7] 2007-06-14 . 3A83A45E7DD5276315AA20245E7C32BF . 53080 . . [7.0.6000.374] . . c:\windows\system_backup\wuauclt.exe

[-] 2004-08-04 . E28D16A8D63ECA6246921FDF7CBDE42A . 1227264 . . [6.00.2900.2180] . . c:\windows\explorer.exe
[-] 2004-08-04 . E28D16A8D63ECA6246921FDF7CBDE42A . 1227264 . . [6.00.2900.2180] . . c:\windows\icon_TMP\explorer.exe
[7] 2004-08-04 . 4C33E5B9A6197B6ED215F6CFBA0A2DAA . 1036288 . . [6.00.2900.2180] . . c:\windows\system_backup\explorer.exe


c:\windows\System32\wscntfy.exe ... manque !!
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2009-07-16 25604904]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-09-17 39408]
"REVAService"="c:\program files\LG Electronics\LG EV-DO Rev.A USB Modem\Modem Software\REVAService.exe" [2008-12-02 23040]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UnlockerAssistant"="c:\program files\Unlocker\UnlockerAssistant.exe" [2006-09-07 15872]
"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2006-12-06 69216]
"LanguageShortcut"="c:\program files\CyberLink\PowerDVD\Language\Language.exe" [2006-12-05 54832]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Acrobat Assistant 8.0"="c:\program files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2007-05-10 624248]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-01-21 134656]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-01-21 166912]
"Persistence"="c:\windows\system32\igfxpers.exe" [2009-01-21 134656]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-03-11 49152]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"QuickTime Task"="c:\program files\QuickTime Alternative\qttask.exe" [2009-09-04 417792]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-09-21 305440]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]
"nltide_3"="advpack.dll" [2009-03-08 128512]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2007-3-11 210520]
VPN Client.lnk - c:\windows\Installer\{CCBAA1F7-E5E1-48B2-9ED9-A79C6A37CE78}\Icon3E5562ED7.ico [2009-9-2 6144]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"StartMenuLogoff"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 nwprovau

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Fichiers communs\\Adobe\\Adobe Version Cue CS3\\Server\\bin\\VersionCueCS3.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3703:TCP"= 3703:TCP:Adobe Version Cue CS3 Server
"3704:TCP"= 3704:TCP:Adobe Version Cue CS3 Server
"50900:TCP"= 50900:TCP:Adobe Version Cue CS3 Server
"50901:TCP"= 50901:TCP:Adobe Version Cue CS3 Server

R0 iastor75;iastor75;c:\windows\system32\drivers\iastor75.sys [26/06/2007 22:08 304920]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [27/08/2009 09:00 108289]
S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [26/08/2009 22:32 685816]
S3 fbxusb;Carte réseau virtuelle FreeBox USB;c:\windows\system32\drivers\fbxusb32.sys [02/10/2009 16:32 21344]
S3 UsbEvdomAtc;LGE EVDOM USB Serial Port;c:\windows\system32\drivers\lgevdomatc.sys [04/12/2009 08:10 19840]
S3 usbevdombus;LGE EVDOM Composite USB Device;c:\windows\system32\drivers\lgevdombus.sys [04/12/2009 08:10 13696]
S3 UsbEvdomDiag;LGE EVDOM USB Serial DM Port;c:\windows\system32\drivers\lgevdomdiag.sys [04/12/2009 08:10 19840]
S3 USBEVDOmModem;LGE EVDOM USB Modem;c:\windows\system32\drivers\lgevdommodem.sys [04/12/2009 08:10 21632]

--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - SRSERVICE
*Deregistered* - lndcnqg

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
getPlusHelper REG_MULTI_SZ getPlusHelper
.
Contenu du dossier 'Tâches planifiées'

2009-12-02 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = *.local
IE: Append to existing PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert link target to Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert link target to existing PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert selected links to Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Convert selected links to existing PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Convert selection to Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert selection to existing PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert to Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\mteietq8.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - component: c:\program files\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-18 17:02
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{95808DC4-FA4A-4c74-92FE-5B863F82066B}]
"ImagePath"="\??\c:\program files\CyberLink\PowerDVD\000.fcl"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\lndcnqg]

.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-527237240-1417001333-1801674531-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,aa,05,ff,af,41,9f,57,4b,92,33,27,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,aa,05,ff,af,41,9f,57,4b,92,33,27,\
"6256FFB019F8FDFBD36745B06F4540E9AEAF222A25"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,aa,05,ff,af,41,9f,57,4b,92,33,27,\

[HKEY_LOCAL_MACHINE\software\DeterministicNetworks\DNE\Parameters]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
00,5c,00,4d,00,61,00,63,00,68,00,69,00,6e,00,65,00,5c,00,53,00,79,00,73,00,\
.
Heure de fin: 2010-01-18 17:03:18
ComboFix-quarantined-files.txt 2010-01-18 16:03

Avant-CF: 34 404 634 624 octets libres
Après-CF: 34 508 554 240 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
d:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

- - End Of File - - ADD64DE48B618685DE7F76D22F55CF98
0
Utilisateur anonyme
18 janv. 2010 à 17:27
Antivir detecte-t-il toujours le rootkit ?
0
Réponse 3 / 23
noucj Messages postés 19 Date d'inscription lundi 18 janvier 2010 Statut Membre Dernière intervention 26 janvier 2010
18 janv. 2010 à 18:06
toujours :(
0
Réponse 4 / 23
noucj Messages postés 19 Date d'inscription lundi 18 janvier 2010 Statut Membre Dernière intervention 26 janvier 2010
18 janv. 2010 à 18:11
Voici le rapport MAJ



Avira AntiVir Personal
Date de création du fichier de rapport : lundi 18 janvier 2010 17:33

La recherche porte sur 1554025 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows XP
Version de Windows : (Service Pack 2) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur : SWEET-02CADF57C

Informations de version :
BUILD.DAT : 9.0.0.74 21698 Bytes 04/12/2009 13:56:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 23/11/2009 15:01:10
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 15:01:10
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 15:01:10
VBASE002.VDF : 7.10.1.1 2048 Bytes 19/11/2009 15:01:10
VBASE003.VDF : 7.10.1.2 2048 Bytes 19/11/2009 15:01:10
VBASE004.VDF : 7.10.1.3 2048 Bytes 19/11/2009 15:01:10
VBASE005.VDF : 7.10.1.4 2048 Bytes 19/11/2009 15:01:10
VBASE006.VDF : 7.10.1.5 2048 Bytes 19/11/2009 15:01:10
VBASE007.VDF : 7.10.1.6 2048 Bytes 19/11/2009 15:01:10
VBASE008.VDF : 7.10.1.7 2048 Bytes 19/11/2009 15:01:10
VBASE009.VDF : 7.10.1.8 2048 Bytes 19/11/2009 15:01:10
VBASE010.VDF : 7.10.1.9 2048 Bytes 19/11/2009 15:01:10
VBASE011.VDF : 7.10.1.10 2048 Bytes 19/11/2009 15:01:10
VBASE012.VDF : 7.10.1.11 2048 Bytes 19/11/2009 15:01:10
VBASE013.VDF : 7.10.1.79 209920 Bytes 25/11/2009 07:27:47
VBASE014.VDF : 7.10.1.128 197632 Bytes 30/11/2009 07:49:53
VBASE015.VDF : 7.10.1.178 195584 Bytes 07/12/2009 20:10:55
VBASE016.VDF : 7.10.1.224 183296 Bytes 14/12/2009 11:41:00
VBASE017.VDF : 7.10.1.247 182272 Bytes 15/12/2009 11:42:09
VBASE018.VDF : 7.10.2.30 198144 Bytes 21/12/2009 11:07:05
VBASE019.VDF : 7.10.2.63 187392 Bytes 24/12/2009 11:07:21
VBASE020.VDF : 7.10.2.93 195072 Bytes 29/12/2009 23:33:31
VBASE021.VDF : 7.10.2.131 201216 Bytes 07/01/2010 10:32:48
VBASE022.VDF : 7.10.2.158 192000 Bytes 11/01/2010 08:21:08
VBASE023.VDF : 7.10.2.186 200704 Bytes 14/01/2010 08:22:01
VBASE024.VDF : 7.10.2.205 201728 Bytes 15/01/2010 11:03:07
VBASE025.VDF : 7.10.2.206 2048 Bytes 15/01/2010 11:03:07
VBASE026.VDF : 7.10.2.207 2048 Bytes 15/01/2010 11:03:07
VBASE027.VDF : 7.10.2.208 2048 Bytes 15/01/2010 11:03:07
VBASE028.VDF : 7.10.2.209 2048 Bytes 15/01/2010 11:03:07
VBASE029.VDF : 7.10.2.210 2048 Bytes 15/01/2010 11:03:07
VBASE030.VDF : 7.10.2.211 2048 Bytes 15/01/2010 11:03:08
VBASE031.VDF : 7.10.2.215 158720 Bytes 18/01/2010 11:03:09
Version du moteur : 8.2.1.142
AEVDF.DLL : 8.1.1.2 106867 Bytes 16/09/2009 16:06:44
AESCRIPT.DLL : 8.1.3.7 594296 Bytes 05/01/2010 10:34:13
AESCN.DLL : 8.1.3.1 127348 Bytes 15/01/2010 08:22:51
AESBX.DLL : 8.1.1.1 246132 Bytes 23/11/2009 15:01:10
AERDL.DLL : 8.1.3.4 479605 Bytes 02/12/2009 07:50:17
AEPACK.DLL : 8.2.0.5 422262 Bytes 15/01/2010 08:22:47
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 23/07/2009 08:59:39
AEHEUR.DLL : 8.1.0.195 2232695 Bytes 15/01/2010 08:22:37
AEHELP.DLL : 8.1.10.0 237942 Bytes 15/01/2010 08:22:09
AEGEN.DLL : 8.1.1.83 369014 Bytes 05/01/2010 10:33:13
AEEMU.DLL : 8.1.1.0 393587 Bytes 06/10/2009 07:50:20
AECORE.DLL : 8.1.9.5 184693 Bytes 15/01/2010 08:22:05
AEBB.DLL : 8.1.0.3 53618 Bytes 09/10/2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30
AVPREF.DLL : 9.0.3.0 44289 Bytes 27/09/2009 09:42:15
AVREP.DLL : 8.0.0.3 155905 Bytes 20/01/2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 17/06/2009 12:44:26
RCTEXT.DLL : 9.0.73.0 88321 Bytes 23/11/2009 15:01:09

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, D:, F:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen

Début de la recherche : lundi 18 janvier 2010 17:33

La recherche d'objets cachés commence.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\lndcnqg\type
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\lndcnqg\start
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\lndcnqg\errorcontrol
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\lndcnqg\group
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\lndcnqg\unkon1l3
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\lndcnqg\yg2ll6lm4i
[INFO] L'entrée d'enregistrement n'est pas visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\lndcnqg\sy3v1g4hx
[INFO] L'entrée d'enregistrement n'est pas visible.
'40796' objets ont été contrôlés, '7' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'EXCEL.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'wlcomm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'msnmsgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpqste08.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iPodService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpqtra08.exe' - '1' module(s) sont contrôlés
Processus de recherche 'GoogleToolbarNotifier.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iTunesHelper.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpwuSchd2.exe' - '1' module(s) sont contrôlés
Processus de recherche 'igfxpers.exe' - '1' module(s) sont contrôlés
Processus de recherche 'igfxsrvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hkcmd.exe' - '1' module(s) sont contrôlés
Processus de recherche 'igfxtray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'acrotray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PDVDServ.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'cvpnd.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'44' processus ont été contrôlés avec '44' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'D:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'F:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '53' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\WINDOWS\system32\drivers\lndcnqg.sys
[RESULTAT] Contient le modèle de détection du rootkit RKIT/Kryptic.763904
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
Recherche débutant dans 'D:\' <HP_RECOVERY>
Recherche débutant dans 'F:\'

Début de la désinfection :
C:\WINDOWS\system32\drivers\lndcnqg.sys
[RESULTAT] Contient le modèle de détection du rootkit RKIT/Kryptic.763904
[AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26004
[AVERTISSEMENT] Impossible de trouver le fichier source.
[REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bb89662.qua' !


Fin de la recherche : lundi 18 janvier 2010 18:10
Temps nécessaire: 35:54 Minute(s)

La recherche a été effectuée intégralement

14710 Les répertoires ont été contrôlés
328080 Des fichiers ont été contrôlés
1 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
1 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
2 Impossible de contrôler des fichiers
328077 Fichiers non infectés
1821 Les archives ont été contrôlées
2 Avertissements
2 Consignes
40796 Des objets ont été contrôlés lors du Rootkitscan
7 Des objets cachés ont été trouvés
0
Utilisateur anonyme
18 janv. 2010 à 22:55
je vais voir avec quelqu'un, j'ai l'impression que cela se régénère, et il y a des éléments cachés suspects
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 23
Utilisateur anonyme
18 janv. 2010 à 23:15
c:\windows\system32\drivers\lndcnqg.sy­s
c:\windows\system32\fjhdyfhsn.bat
c:\windows\system32\config\systemprofile\Ap­plication Data\fvgqad.dat
c:\documents and settings\Administrateur\Application Data\fvgqad.dat

Tu dois afficher les fichiers et dossiers cachés
Démarrer, Poste de travail
Clique sur outils
Sélectionne options de dossier
Va dans l'onglet affichage
Coche afficher les fichiers et dossiers cachés, puis OK


Analyse sur Virus Total
https://www.virustotal.com/gui/
Clique sur parcourir
Dans la fenêtre qui s'ouvre, cherche le fichier et sélectionne le, puis clique sur ouvrir
Clique sur envoyer le fichier
une fois le scan terminé, donne moi le résultat
0
Réponse 6 / 23
noucj Messages postés 19 Date d'inscription lundi 18 janvier 2010 Statut Membre Dernière intervention 26 janvier 2010
18 janv. 2010 à 23:40
Ok, merci j'ai donc bien affiché les dossiers cachés, par contre quel fichier dois je envoyer par rapport à ce point ?
Dans la fenêtre qui s'ouvre, cherche le fichier et sélectionne le, puis clique sur ouvrir
Clique sur envoyer le fichier

Merci d'avance !
0
Réponse 7 / 23
noucj Messages postés 19 Date d'inscription lundi 18 janvier 2010 Statut Membre Dernière intervention 26 janvier 2010
19 janv. 2010 à 10:33
Je suis désolée, mais est ce que vous avez pu voir mon dernier message ?
Il faut absolument que je me débarrasse de ce virus j'ai trop de données importantes sur mon ordinateur et je travaille bcp avec les serveurs ftp !
merci ! !
0
Utilisateur anonyme
19 janv. 2010 à 10:43
bonjour,
tu as un rootkit qui semble coriace, il faut éviter de trop se connecter car les infections se mettent à jour
il faut analyser ces fichiers sur Virus Total, car ils sont néfastes
C:\windows\system32\drivers\lndcnqg.sy­s
c:\windows\system32\fjhdyfhsn.bat
c:\windows\system32\config\systemprofile\Ap­plication Data\fvgqad.dat
c:\documents and settings\Administrateur\Application Data\fvgqad.dat
0
Réponse 8 / 23
noucj Messages postés 19 Date d'inscription lundi 18 janvier 2010 Statut Membre Dernière intervention 26 janvier 2010
19 janv. 2010 à 11:05
et voici :
merci merci

1) C:\windows\system32\drivers\lndcnqg.sys : 0 bytes size received / Se ha recibido un archivo vacio

2) c:\windows\system32\fjhdyfhsn.bat : http://www.virustotal.com/fr/analisis/02a785c21de8338bbf2ae34b87a9506cf78607d00360e3330900b7caa6e02cfb-1263414846

3) c:\windows\system32\config\systemprofile\Ap­plication Data\fvgqad.dat :
Fichier fvgqad.dat reçu le 2010.01.19 10:00:03 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/41 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 1.
L'heure estimée de démarrage est entre 42 et 60 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.50 2010.01.19 -
AhnLab-V3 5.0.0.2 2010.01.19 -
AntiVir 7.9.1.142 2010.01.19 -
Antiy-AVL 2.0.3.7 2010.01.19 -
Authentium 5.2.0.5 2010.01.19 -
Avast 4.8.1351.0 2010.01.18 -
AVG 9.0.0.730 2010.01.18 -
BitDefender 7.2 2010.01.19 -
CAT-QuickHeal 10.00 2010.01.19 -
ClamAV 0.94.1 2010.01.19 -
Comodo 3635 2010.01.19 -
DrWeb 5.0.1.12222 2010.01.19 -
eSafe 7.0.17.0 2010.01.18 -
eTrust-Vet 35.2.7245 2010.01.19 -
F-Prot 4.5.1.85 2010.01.18 -
F-Secure 9.0.15370.0 2010.01.19 -
Fortinet 4.0.14.0 2010.01.19 -
GData 19 2010.01.19 -
Ikarus T3.1.1.80.0 2010.01.19 -
Jiangmin 13.0.900 2010.01.19 -
K7AntiVirus 7.10.950 2010.01.18 -
Kaspersky 7.0.0.125 2010.01.19 -
McAfee 5865 2010.01.18 -
McAfee+Artemis 5865 2010.01.18 -
McAfee-GW-Edition 6.8.5 2010.01.19 -
Microsoft 1.5302 2010.01.19 -
NOD32 4784 2010.01.18 -
Norman 6.04.03 2010.01.18 -
nProtect 2009.1.8.0 2010.01.19 -
Panda 10.0.2.2 2010.01.18 -
PCTools 7.0.3.5 2010.01.19 -
Prevx 3.0 2010.01.19 -
Rising 22.31.01.04 2010.01.19 -
Sophos 4.49.0 2010.01.19 -
Sunbelt 3.2.1858.2 2010.01.19 -
Symantec 20091.2.0.41 2010.01.19 -
TheHacker 6.5.0.6.156 2010.01.19 -
TrendMicro 9.120.0.1004 2010.01.19 -
VBA32 3.12.12.1 2010.01.19 -
ViRobot 2010.1.19.2144 2010.01.19 -
VirusBuster 5.0.21.0 2010.01.18 -
Information additionnelle
File size: 8 bytes
MD5...: 17f703edaec422db9263ea578dff13f2
SHA1..: 810889fb26fa55474c65925650c3214961b9ab84
SHA256: 5ce40324c772349c6945807c71f4c2c85e4a6cad353425695dfeacfa9be26a00
ssdeep: 3:X/G6un:v/un
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
pdfid.: -
trid..: Unknown!

4) c:\documents and settings\Administrateur\Application Data\fvgqad.dat :
analisis/7dc8b0aaded366b7868b525b55d69181d3b6cfcaa6a54e33fb25beff34e5981b-1263297025
0
Réponse 9 / 23
Utilisateur anonyme
19 janv. 2010 à 13:40
bonjour Nathandre m'a demandé de passer pour te faire executer une ou deux actions :

▶ Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage
* - Coche Afficher les fichiers et dossiers cachés
* - Décoche Masquer les extensions des fichiers dont le type est connu
* - Décoche Masquer les fichiers protégés du système d'exploitation (recommandé)

▶ clique sur Appliquer, puis OK.

N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation en fin de désinfection, c'est important

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

* Clique sur Parcourir en haut, choisis Poste de travail et cherche ces fichiers :

c:\windows\system32\drivers\iastor75.sys

* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
* Une nouvelle fenêtre de ton navigateur va apparaître
* Clique alors sur les deux fleches
* Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
* Enfin colle le résultat dans ta prochaine réponse.

Note : Pour analyser un autre fichier, clique en bas sur Autre fichier.

ensuite :


__________________________________________________________
=>/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement cet ordinateur,<=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=====|
---------------------------------------------------------------

Toujours avec toutes les protections désactivées, fais ceci :

▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------
KillAll::

Collect::[4]
c:\windows\system32\drivers\lndcnqg.sys
c:\windows\system32\fjhdyfhsn.bat

Extra::[35]
c:\windows\system32\config\systemprofile\Application Data\fvgqad.dat
c:\documents and settings\Administrateur\Application Data\fvgqad.dat

Driver::
lndcnqg

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"=-
------------------------------------------------------------------

▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes

▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix que tu n'as renommé !

▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt


0
Réponse 10 / 23
noucj Messages postés 19 Date d'inscription lundi 18 janvier 2010 Statut Membre Dernière intervention 26 janvier 2010
19 janv. 2010 à 19:18
Salut gen-hackman, merci pour ta réponse, voici les 2 rapports donc :

1)Analyse du c:\windows\system32\drivers\iastor75.sys par virus total :


Fichier iastor75.sys reçu le 2010.01.19 17:41:37 (UTC)
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.50 2010.01.19 -
AhnLab-V3 5.0.0.2 2010.01.19 -
AntiVir 7.9.1.142 2010.01.19 -
Antiy-AVL 2.0.3.7 2010.01.19 -
Authentium 5.2.0.5 2010.01.19 -
Avast 4.8.1351.0 2010.01.19 -
AVG 9.0.0.730 2010.01.19 -
BitDefender 7.2 2010.01.19 -
CAT-QuickHeal 10.00 2010.01.19 -
ClamAV 0.94.1 2010.01.19 -
Comodo 3638 2010.01.19 -
DrWeb 5.0.1.12222 2010.01.19 -
eSafe 7.0.17.0 2010.01.19 -
eTrust-Vet 35.2.7245 2010.01.19 -
F-Prot 4.5.1.85 2010.01.18 -
Fortinet 4.0.14.0 2010.01.19 -
GData 19 2010.01.19 -
Ikarus T3.1.1.80.0 2010.01.19 -
Jiangmin 13.0.900 2010.01.19 -
K7AntiVirus 7.10.950 2010.01.18 -
Kaspersky 7.0.0.125 2010.01.19 -
McAfee 5865 2010.01.18 -
McAfee+Artemis 5865 2010.01.18 -
McAfee-GW-Edition 6.8.5 2010.01.19 Heuristic.LooksLike.Trojan.Patched.I
Microsoft 1.5302 2010.01.19 -
NOD32 4786 2010.01.19 -
Norman 6.04.03 2010.01.19 -
nProtect 2009.1.8.0 2010.01.19 -
Panda 10.0.2.2 2010.01.19 -
PCTools 7.0.3.5 2010.01.19 -
Prevx 3.0 2010.01.19 -
Rising 22.31.01.04 2010.01.19 -
Sophos 4.49.0 2010.01.19 -
Sunbelt 3.2.1858.2 2010.01.19 -
Symantec 20091.2.0.41 2010.01.19 -
TheHacker 6.5.0.6.156 2010.01.19 -
TrendMicro 9.120.0.1004 2010.01.19 -
VBA32 3.12.12.1 2010.01.19 -
ViRobot 2010.1.19.2144 2010.01.19 -
VirusBuster 5.0.21.0 2010.01.19 -
Information additionnelle
File size: 304920 bytes
MD5...: 997e8f5939f2d12cd9f2e6b395724c16
SHA1..: 31901f9ced1659e73d001ef9b729d7ed4e110797
SHA256: c22f10bade29da6f7eb79d9f5d81d9fbec17d4d4f8b25e0af4e5ceae28e8abf6
ssdeep: 6144:1T5EaniYRjsT1SzUPLA/y3MJyCV9VolxyrTX:LRje4kqy8JD9aHQX<br>
PEiD..: -
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0xc3005<br>timedatestamp.....: 0x46018619 (Wed Mar 21 19:23:05 2007)<br>machinetype.......: 0x14c (I386)<br><br>( 6 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x436c8 0x43800 6.47 7c022f875be31a66d52b222e8da287df<br>.rdata 0x45000 0xb5c 0xc00 5.60 b43a9a8fb651e2e89632bb7c2f4e286b<br>.data 0x46000 0x7c720 0x1000 4.80 3abe2d97cbb55bd6552af2e51999d4bc<br>INIT 0xc3000 0xd50 0xe00 5.52 46854faa1c8753b4325f748f7dd548d6<br>.rsrc 0xc4000 0x458 0x600 2.61 dab25a72e6fedc4cc3430246e93ffaad<br>.reloc 0xc5000 0x1f96 0x2000 5.53 dde75ed07d43dc6968e757d165dd9fdc<br><br>( 2 imports ) <br>> ntoskrnl.exe: ZwClose, ZwQueryValueKey, DbgPrint, ZwOpenKey, InterlockedPopEntrySList, IofCompleteRequest, KeSetEvent, PoSetPowerState, _aullshr, IoFreeWorkItem, IoUnregisterPlugPlayNotification, ObfDereferenceObject, KeWaitForSingleObject, IofCallDriver, IoBuildDeviceIoControlRequest, KeInitializeEvent, memcpy, IoGetDeviceObjectPointer, IoQueueWorkItem, IoAllocateWorkItem, IoRegisterPlugPlayNotification, KeClearEvent, WRITE_REGISTER_ULONG, READ_REGISTER_ULONG, ObReferenceObjectByHandle, MmGetPhysicalAddress, KeCancelTimer, KeSetTimerEx, KeInitializeTimerEx, memmove, KeDelayExecutionThread, _aulldiv, strncpy, strncmp, _purecall, sprintf, _allmul, InterlockedPushEntrySList, RtlCompareMemory, IoInvalidateDeviceRelations, KeSetTimer, ExSystemTimeToLocalTime, KeQuerySystemTime, MmUnmapIoSpace, MmMapIoSpace, RtlWriteRegistryValue, ZwCreateKey, swprintf, KeLeaveCriticalRegion, KeEnterCriticalRegion, MmMapLockedPagesSpecifyCache, ExDeleteNPagedLookasideList, KeBugCheck, PsTerminateSystemThread, KeWaitForMultipleObjects, KeSetPriorityThread, PsCreateSystemThread, ExInitializeNPagedLookasideList, memset, _aulldvrm, PoRequestPowerIrp, PoStartNextPowerIrp, PoCallDriver, IoReleaseRemoveLockEx, IoAcquireRemoveLockEx, IoFreeIrp, IoAllocateIrp, IoGetAttachedDeviceReference, _alldiv, IoDeleteSymbolicLink, IoAttachDeviceToDeviceStack, IoCreateSymbolicLink, IoGetConfigurationInformation, IoInitializeRemoveLockEx, IoCreateDevice, RtlUnicodeStringToInteger, wcsncpy, wcsstr, IoDeleteDevice, IoDetachDevice, _wcsupr, IoGetDeviceProperty, ZwCreateDirectoryObject, KeInitializeDpc, KeInitializeTimer, ExRegisterCallback, ExCreateCallback, IoConnectInterrupt, IoReportResourceForDetection, ExUnregisterCallback, IoDisconnectInterrupt, IoReleaseRemoveLockAndWaitEx, RtlCheckRegistryKey, KeRemoveQueueDpc, KeQueryTimeIncrement, KeTickCount, IoFreeMdl, MmProbeAndLockPages, IoAllocateMdl, strncat, RtlAnsiStringToUnicodeString, RtlInitAnsiString, ObfReferenceObject, PoRegisterDeviceForIdleDetection, IoInvalidateDeviceState, IoWriteErrorLogEntry, IoAllocateErrorLogEntry, IoGetDmaAdapter, strstr, RtlCreateRegistryKey, RtlCopyUnicodeString, KeInsertQueueDpc, KefAcquireSpinLockAtDpcLevel, KefReleaseSpinLockFromDpcLevel, IoRequestDeviceEject, KeBugCheckEx, RtlUnwind, RtlInitUnicodeString, ExAllocatePoolWithTag, RtlAppendUnicodeToString, RtlAppendUnicodeStringToString, RtlQueryRegistryValues, _aullrem, ExFreePoolWithTag<br>> HAL.dll: KfAcquireSpinLock, KfReleaseSpinLock, ExAcquireFastMutex, ExReleaseFastMutex, KeStallExecutionProcessor, KeGetCurrentIrql<br><br>( 0 exports ) <br>
RDS...: NSRL Reference Data Set<br>-
pdfid.: -
trid..: Win64 Executable Generic (87.2%)<br>Win32 Executable Generic (8.6%)<br>Generic Win/DOS Executable (2.0%)<br>DOS Executable Generic (2.0%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:<br>publisher....: Intel Corporation<br>copyright....: Copyright(C) Intel Corporation 1994-2007<br>product......: Intel Matrix Storage Manager driver<br>description..: Intel Matrix Storage Manager driver - ia32<br>original name: iaStor.sys<br>internal name: iaStor.sys<br>file version.: 7.5.0.1017<br>comments.....: -ia32<br>signers......: Intel Corporation<br> VeriSign Class 3 Code Signing 2004 CA<br> Class 3 Public Primary Certification Authority<br>signing date.: 8:58 PM 3/21/2007<br>verified.....: -<br>

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.50 2010.01.19 -
AhnLab-V3 5.0.0.2 2010.01.19 -
AntiVir 7.9.1.142 2010.01.19 -
Antiy-AVL 2.0.3.7 2010.01.19 -
Authentium 5.2.0.5 2010.01.19 -
Avast 4.8.1351.0 2010.01.19 -
AVG 9.0.0.730 2010.01.19 -
BitDefender 7.2 2010.01.19 -
CAT-QuickHeal 10.00 2010.01.19 -
ClamAV 0.94.1 2010.01.19 -
Comodo 3638 2010.01.19 -
DrWeb 5.0.1.12222 2010.01.19 -
eSafe 7.0.17.0 2010.01.19 -
eTrust-Vet 35.2.7245 2010.01.19 -
F-Prot 4.5.1.85 2010.01.18 -
Fortinet 4.0.14.0 2010.01.19 -
GData 19 2010.01.19 -
Ikarus T3.1.1.80.0 2010.01.19 -
Jiangmin 13.0.900 2010.01.19 -
K7AntiVirus 7.10.950 2010.01.18 -
Kaspersky 7.0.0.125 2010.01.19 -
McAfee 5865 2010.01.18 -
McAfee+Artemis 5865 2010.01.18 -
McAfee-GW-Edition 6.8.5 2010.01.19 Heuristic.LooksLike.Trojan.Patched.I
Microsoft 1.5302 2010.01.19 -
NOD32 4786 2010.01.19 -
Norman 6.04.03 2010.01.19 -
nProtect 2009.1.8.0 2010.01.19 -
Panda 10.0.2.2 2010.01.19 -
PCTools 7.0.3.5 2010.01.19 -
Prevx 3.0 2010.01.19 -
Rising 22.31.01.04 2010.01.19 -
Sophos 4.49.0 2010.01.19 -
Sunbelt 3.2.1858.2 2010.01.19 -
Symantec 20091.2.0.41 2010.01.19 -
TheHacker 6.5.0.6.156 2010.01.19 -
TrendMicro 9.120.0.1004 2010.01.19 -
VBA32 3.12.12.1 2010.01.19 -
ViRobot 2010.1.19.2144 2010.01.19 -
VirusBuster 5.0.21.0 2010.01.19 -

Information additionnelle
File size: 304920 bytes
MD5...: 997e8f5939f2d12cd9f2e6b395724c16
SHA1..: 31901f9ced1659e73d001ef9b729d7ed4e110797
SHA256: c22f10bade29da6f7eb79d9f5d81d9fbec17d4d4f8b25e0af4e5ceae28e8abf6
ssdeep: 6144:1T5EaniYRjsT1SzUPLA/y3MJyCV9VolxyrTX:LRje4kqy8JD9aHQX<br>
PEiD..: -
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0xc3005<br>timedatestamp.....: 0x46018619 (Wed Mar 21 19:23:05 2007)<br>machinetype.......: 0x14c (I386)<br><br>( 6 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x436c8 0x43800 6.47 7c022f875be31a66d52b222e8da287df<br>.rdata 0x45000 0xb5c 0xc00 5.60 b43a9a8fb651e2e89632bb7c2f4e286b<br>.data 0x46000 0x7c720 0x1000 4.80 3abe2d97cbb55bd6552af2e51999d4bc<br>INIT 0xc3000 0xd50 0xe00 5.52 46854faa1c8753b4325f748f7dd548d6<br>.rsrc 0xc4000 0x458 0x600 2.61 dab25a72e6fedc4cc3430246e93ffaad<br>.reloc 0xc5000 0x1f96 0x2000 5.53 dde75ed07d43dc6968e757d165dd9fdc<br><br>( 2 imports ) <br>> ntoskrnl.exe: ZwClose, ZwQueryValueKey, DbgPrint, ZwOpenKey, InterlockedPopEntrySList, IofCompleteRequest, KeSetEvent, PoSetPowerState, _aullshr, IoFreeWorkItem, IoUnregisterPlugPlayNotification, ObfDereferenceObject, KeWaitForSingleObject, IofCallDriver, IoBuildDeviceIoControlRequest, KeInitializeEvent, memcpy, IoGetDeviceObjectPointer, IoQueueWorkItem, IoAllocateWorkItem, IoRegisterPlugPlayNotification, KeClearEvent, WRITE_REGISTER_ULONG, READ_REGISTER_ULONG, ObReferenceObjectByHandle, MmGetPhysicalAddress, KeCancelTimer, KeSetTimerEx, KeInitializeTimerEx, memmove, KeDelayExecutionThread, _aulldiv, strncpy, strncmp, _purecall, sprintf, _allmul, InterlockedPushEntrySList, RtlCompareMemory, IoInvalidateDeviceRelations, KeSetTimer, ExSystemTimeToLocalTime, KeQuerySystemTime, MmUnmapIoSpace, MmMapIoSpace, RtlWriteRegistryValue, ZwCreateKey, swprintf, KeLeaveCriticalRegion, KeEnterCriticalRegion, MmMapLockedPagesSpecifyCache, ExDeleteNPagedLookasideList, KeBugCheck, PsTerminateSystemThread, KeWaitForMultipleObjects, KeSetPriorityThread, PsCreateSystemThread, ExInitializeNPagedLookasideList, memset, _aulldvrm, PoRequestPowerIrp, PoStartNextPowerIrp, PoCallDriver, IoReleaseRemoveLockEx, IoAcquireRemoveLockEx, IoFreeIrp, IoAllocateIrp, IoGetAttachedDeviceReference, _alldiv, IoDeleteSymbolicLink, IoAttachDeviceToDeviceStack, IoCreateSymbolicLink, IoGetConfigurationInformation, IoInitializeRemoveLockEx, IoCreateDevice, RtlUnicodeStringToInteger, wcsncpy, wcsstr, IoDeleteDevice, IoDetachDevice, _wcsupr, IoGetDeviceProperty, ZwCreateDirectoryObject, KeInitializeDpc, KeInitializeTimer, ExRegisterCallback, ExCreateCallback, IoConnectInterrupt, IoReportResourceForDetection, ExUnregisterCallback, IoDisconnectInterrupt, IoReleaseRemoveLockAndWaitEx, RtlCheckRegistryKey, KeRemoveQueueDpc, KeQueryTimeIncrement, KeTickCount, IoFreeMdl, MmProbeAndLockPages, IoAllocateMdl, strncat, RtlAnsiStringToUnicodeString, RtlInitAnsiString, ObfReferenceObject, PoRegisterDeviceForIdleDetection, IoInvalidateDeviceState, IoWriteErrorLogEntry, IoAllocateErrorLogEntry, IoGetDmaAdapter, strstr, RtlCreateRegistryKey, RtlCopyUnicodeString, KeInsertQueueDpc, KefAcquireSpinLockAtDpcLevel, KefReleaseSpinLockFromDpcLevel, IoRequestDeviceEject, KeBugCheckEx, RtlUnwind, RtlInitUnicodeString, ExAllocatePoolWithTag, RtlAppendUnicodeToString, RtlAppendUnicodeStringToString, RtlQueryRegistryValues, _aullrem, ExFreePoolWithTag<br>> HAL.dll: KfAcquireSpinLock, KfReleaseSpinLock, ExAcquireFastMutex, ExReleaseFastMutex, KeStallExecutionProcessor, KeGetCurrentIrql<br><br>( 0 exports ) <br>
RDS...: NSRL Reference Data Set<br>-
pdfid.: -
trid..: Win64 Executable Generic (87.2%)<br>Win32 Executable Generic (8.6%)<br>Generic Win/DOS Executable (2.0%)<br>DOS Executable Generic (2.0%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:<br>publisher....: Intel Corporation<br>copyright....: Copyright(C) Intel Corporation 1994-2007<br>product......: Intel Matrix Storage Manager driver<br>description..: Intel Matrix Storage Manager driver - ia32<br>original name: iaStor.sys<br>internal name: iaStor.sys<br>file version.: 7.5.0.1017<br>comments.....: -ia32<br>signers......: Intel Corporation<br> VeriSign Class 3 Code Signing 2004 CA<br> Class 3 Public Primary Certification Authority<br>signing date.: 8:58 PM 3/21/2007<br>verified.....: -<br>
------------------


2eme rapport suite au fichier txt :CFScript.txt via Combofix

ComboFix 10-01-18.03 - Administrateur 19/01/2010 19:03:51.2.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.2038.1547 [GMT 1:00]
Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Administrateur\Bureau\CFScript.txt

file zipped: c:\windows\system32\drivers\lndcnqg.sys
file zipped: c:\windows\system32\fjhdyfhsn.bat
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\drivers\lndcnqg.sys
c:\windows\system32\fjhdyfhsn.bat

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_LNDCNQG
-------\Service_lndcnqg


((((((((((((((((((((((((((((( Fichiers créés du 2009-12-19 au 2010-01-19 ))))))))))))))))))))))))))))))))))))
.

2010-01-18 18:30 . 2010-01-18 18:30 -------- d-----w- c:\windows\system32\wbem\snmp
2010-01-18 18:29 . 2010-01-18 18:29 -------- d-----w- c:\windows\system32\xircom
2010-01-18 18:29 . 2010-01-18 18:29 -------- d-----w- c:\windows\system32\oobe
2010-01-18 18:29 . 2010-01-18 18:29 -------- d-----w- c:\windows\srchasst
2010-01-18 18:29 . 2010-01-18 18:29 -------- d-----w- c:\program files\microsoft frontpage

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-19 18:10 . 2009-08-27 12:13 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Skype
2010-01-19 17:18 . 2009-08-27 12:14 -------- d-----w- c:\documents and settings\Administrateur\Application Data\skypePM
2010-01-18 15:50 . 2009-08-27 08:20 -------- d-----w- c:\program files\EditPlus 2
2010-01-18 11:05 . 2010-01-18 11:05 8 ----a-w- c:\windows\system32\config\systemprofile\Application Data\fvgqad.dat
2010-01-18 11:05 . 2010-01-18 11:05 8 ----a-w- c:\documents and settings\Administrateur\Application Data\fvgqad.dat
2009-12-18 15:37 . 2009-12-15 22:21 -------- d-----w- c:\documents and settings\Administrateur\Application Data\FileZilla
2009-12-15 22:21 . 2009-12-15 22:21 -------- d-----w- c:\program files\FileZilla FTP Client
2009-12-12 09:22 . 2009-10-27 18:09 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP
2009-12-10 20:51 . 2009-08-27 08:00 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-12-10 11:35 . 2009-08-26 21:43 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2009-12-08 14:55 . 2009-10-27 18:10 -------- d-----w- c:\documents and settings\Administrateur\Application Data\PlayFirst
2009-12-08 14:55 . 2009-10-27 18:08 -------- d-----w- c:\documents and settings\All Users\Application Data\PlayFirst
2009-12-04 07:09 . 2009-08-26 21:40 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-11-28 21:17 . 2009-11-16 13:32 -------- d-----w- c:\documents and settings\All Users\Application Data\Norton
2009-11-28 21:05 . 2009-11-16 11:22 -------- d-----w- c:\program files\a-squared Free
2009-11-16 14:48 . 2002-09-07 00:00 70868 ----a-w- c:\windows\system32\perfc00C.dat
2009-11-16 14:48 . 2002-09-07 00:00 458776 ----a-w- c:\windows\system32\perfh00C.dat
2009-11-03 16:11 . 2009-12-08 14:48 1531904 ----a-w- c:\documents and settings\All Users\Application Data\PlayFirst\Games\hotel-dash-suite-success\HotelDash.exe
2009-11-03 16:11 . 2009-12-08 14:48 2830336 ----a-w- c:\documents and settings\All Users\Application Data\PlayFirst\Games\hotel-dash-suite-success\game\HotelDash.exe
2009-10-27 18:09 . 2009-10-27 18:09 249856 ----a-w- c:\documents and settings\All Users\Application Data\PlayFirst\Games\components\pfMultiplayer.dll
2009-10-27 18:08 . 2009-10-27 18:08 466944 ----a-w- c:\documents and settings\All Users\Application Data\PlayFirst\Games\pfHarness\pfHarness.dll
.

------- Sigcheck -------

[-] 2007-06-26 . C7BE59B07C6EB74BEA6FD67C1B164015 . 360576 . . [5.1.2600.2892] . . c:\windows\system32\drivers\tcpip.sys

[-] 2007-06-14 . C7BCEA1533BE5C9E15884D6C39B667F1 . 80216 . . [7.0.6000.374] . . c:\windows\icon_TMP\wuauclt.exe
[-] 2007-06-14 . C7BCEA1533BE5C9E15884D6C39B667F1 . 80216 . . [7.0.6000.374] . . c:\windows\system32\wuauclt.exe
[7] 2007-06-14 . 3A83A45E7DD5276315AA20245E7C32BF . 53080 . . [7.0.6000.374] . . c:\windows\system_backup\wuauclt.exe

[-] 2004-08-04 . E28D16A8D63ECA6246921FDF7CBDE42A . 1227264 . . [6.00.2900.2180] . . c:\windows\explorer.exe
[-] 2004-08-04 . E28D16A8D63ECA6246921FDF7CBDE42A . 1227264 . . [6.00.2900.2180] . . c:\windows\icon_TMP\explorer.exe
[7] 2004-08-04 . 4C33E5B9A6197B6ED215F6CFBA0A2DAA . 1036288 . . [6.00.2900.2180] . . c:\windows\system_backup\explorer.exe


c:\windows\System32\wscntfy.exe ... manque !!
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2009-07-16 25604904]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-09-17 39408]
"REVAService"="c:\program files\LG Electronics\LG EV-DO Rev.A USB Modem\Modem Software\REVAService.exe" [2008-12-02 23040]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UnlockerAssistant"="c:\program files\Unlocker\UnlockerAssistant.exe" [2006-09-07 15872]
"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2006-12-06 69216]
"LanguageShortcut"="c:\program files\CyberLink\PowerDVD\Language\Language.exe" [2006-12-05 54832]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Acrobat Assistant 8.0"="c:\program files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2007-05-10 624248]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-01-21 134656]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-01-21 166912]
"Persistence"="c:\windows\system32\igfxpers.exe" [2009-01-21 134656]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-03-11 49152]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-09-21 305440]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]
"nltide_3"="advpack.dll" [2009-03-08 128512]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2007-3-11 210520]
VPN Client.lnk - c:\windows\Installer\{CCBAA1F7-E5E1-48B2-9ED9-A79C6A37CE78}\Icon3E5562ED7.ico [2009-9-2 6144]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"StartMenuLogoff"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 nwprovau

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Fichiers communs\\Adobe\\Adobe Version Cue CS3\\Server\\bin\\VersionCueCS3.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3703:TCP"= 3703:TCP:Adobe Version Cue CS3 Server
"3704:TCP"= 3704:TCP:Adobe Version Cue CS3 Server
"50900:TCP"= 50900:TCP:Adobe Version Cue CS3 Server
"50901:TCP"= 50901:TCP:Adobe Version Cue CS3 Server

R0 iastor75;iastor75;c:\windows\system32\drivers\iastor75.sys [26/06/2007 22:08 304920]
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [26/08/2009 22:32 685816]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [27/08/2009 09:00 108289]
S3 fbxusb;Carte réseau virtuelle FreeBox USB;c:\windows\system32\drivers\fbxusb32.sys [02/10/2009 16:32 21344]
S3 UsbEvdomAtc;LGE EVDOM USB Serial Port;c:\windows\system32\drivers\lgevdomatc.sys [04/12/2009 08:10 19840]
S3 usbevdombus;LGE EVDOM Composite USB Device;c:\windows\system32\drivers\lgevdombus.sys [04/12/2009 08:10 13696]
S3 UsbEvdomDiag;LGE EVDOM USB Serial DM Port;c:\windows\system32\drivers\lgevdomdiag.sys [04/12/2009 08:10 19840]
S3 USBEVDOmModem;LGE EVDOM USB Modem;c:\windows\system32\drivers\lgevdommodem.sys [04/12/2009 08:10 21632]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
getPlusHelper REG_MULTI_SZ getPlusHelper
.
Contenu du dossier 'Tâches planifiées'

2009-12-02 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = *.local
IE: Append to existing PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert link target to Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert link target to existing PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert selected links to Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Convert selected links to existing PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Convert selection to Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert selection to existing PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert to Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\mteietq8.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - component: c:\program files\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
.

**************************************************************************
Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés:

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{95808DC4-FA4A-4c74-92FE-5B863F82066B}]
"ImagePath"="\??\c:\program files\CyberLink\PowerDVD\000.fcl"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-527237240-1417001333-1801674531-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,aa,05,ff,af,41,9f,57,4b,92,33,27,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,aa,05,ff,af,41,9f,57,4b,92,33,27,\
"6256FFB019F8FDFBD36745B06F4540E9AEAF222A25"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,aa,05,ff,af,41,9f,57,4b,92,33,27,\

[HKEY_LOCAL_MACHINE\software\DeterministicNetworks\DNE\Parameters]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
00,5c,00,4d,00,61,00,63,00,68,00,69,00,6e,00,65,00,5c,00,53,00,79,00,73,00,\
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(3108)
c:\windows\system32\msi.dll
c:\windows\system32\ieframe.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\wpdshserviceobj.dll
c:\windows\system32\stobject.dll
c:\windows\system32\portabledevicetypes.dll
c:\windows\system32\portabledeviceapi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\igfxsrvc.exe
c:\program files\Skype\Plugin Manager\skypePM.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Cisco Systems\VPN Client\cvpnd.exe
c:\program files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
c:\program files\iPod\bin\iPodService.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\program files\HP\Digital Imaging\bin\hpqSTE08.exe
.
**************************************************************************
.
Heure de fin: 2010-01-19 19:14:38 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-01-19 18:14
ComboFix2.txt 2010-01-18 16:03

Avant-CF: 34 497 499 136 octets libres
Après-CF: 34 416 005 120 octets libres

- - End Of File - - 253D2630BC7F347E774F1E04DF4EDBEB
0
Réponse 11 / 23
noucj Messages postés 19 Date d'inscription lundi 18 janvier 2010 Statut Membre Dernière intervention 26 janvier 2010
19 janv. 2010 à 21:45
Voici le rapport antivir suite à cela, il semblerait que j'ai encore ce virus :(



Avira AntiVir Personal
Date de création du fichier de rapport : mardi 19 janvier 2010 19:20

La recherche porte sur 1566500 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows XP
Version de Windows : (Service Pack 2) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur : SWEET-02CADF57C

Informations de version :
BUILD.DAT : 9.0.0.74 21698 Bytes 04/12/2009 13:56:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 23/11/2009 15:01:10
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 15:01:10
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 15:01:10
VBASE002.VDF : 7.10.1.1 2048 Bytes 19/11/2009 15:01:10
VBASE003.VDF : 7.10.1.2 2048 Bytes 19/11/2009 15:01:10
VBASE004.VDF : 7.10.1.3 2048 Bytes 19/11/2009 15:01:10
VBASE005.VDF : 7.10.1.4 2048 Bytes 19/11/2009 15:01:10
VBASE006.VDF : 7.10.1.5 2048 Bytes 19/11/2009 15:01:10
VBASE007.VDF : 7.10.1.6 2048 Bytes 19/11/2009 15:01:10
VBASE008.VDF : 7.10.1.7 2048 Bytes 19/11/2009 15:01:10
VBASE009.VDF : 7.10.1.8 2048 Bytes 19/11/2009 15:01:10
VBASE010.VDF : 7.10.1.9 2048 Bytes 19/11/2009 15:01:10
VBASE011.VDF : 7.10.1.10 2048 Bytes 19/11/2009 15:01:10
VBASE012.VDF : 7.10.1.11 2048 Bytes 19/11/2009 15:01:10
VBASE013.VDF : 7.10.1.79 209920 Bytes 25/11/2009 07:27:47
VBASE014.VDF : 7.10.1.128 197632 Bytes 30/11/2009 07:49:53
VBASE015.VDF : 7.10.1.178 195584 Bytes 07/12/2009 20:10:55
VBASE016.VDF : 7.10.1.224 183296 Bytes 14/12/2009 11:41:00
VBASE017.VDF : 7.10.1.247 182272 Bytes 15/12/2009 11:42:09
VBASE018.VDF : 7.10.2.30 198144 Bytes 21/12/2009 11:07:05
VBASE019.VDF : 7.10.2.63 187392 Bytes 24/12/2009 11:07:21
VBASE020.VDF : 7.10.2.93 195072 Bytes 29/12/2009 23:33:31
VBASE021.VDF : 7.10.2.131 201216 Bytes 07/01/2010 10:32:48
VBASE022.VDF : 7.10.2.158 192000 Bytes 11/01/2010 08:21:08
VBASE023.VDF : 7.10.2.186 200704 Bytes 14/01/2010 08:22:01
VBASE024.VDF : 7.10.2.205 201728 Bytes 15/01/2010 11:03:07
VBASE025.VDF : 7.10.2.219 158720 Bytes 18/01/2010 11:03:06
VBASE026.VDF : 7.10.2.220 2048 Bytes 18/01/2010 11:03:07
VBASE027.VDF : 7.10.2.221 2048 Bytes 18/01/2010 11:03:07
VBASE028.VDF : 7.10.2.222 2048 Bytes 18/01/2010 11:03:07
VBASE029.VDF : 7.10.2.223 2048 Bytes 18/01/2010 11:03:07
VBASE030.VDF : 7.10.2.224 2048 Bytes 18/01/2010 11:03:07
VBASE031.VDF : 7.10.2.227 173056 Bytes 19/01/2010 11:03:08
Version du moteur : 8.2.1.142
AEVDF.DLL : 8.1.1.2 106867 Bytes 16/09/2009 16:06:44
AESCRIPT.DLL : 8.1.3.7 594296 Bytes 05/01/2010 10:34:13
AESCN.DLL : 8.1.3.1 127348 Bytes 15/01/2010 08:22:51
AESBX.DLL : 8.1.1.1 246132 Bytes 23/11/2009 15:01:10
AERDL.DLL : 8.1.3.4 479605 Bytes 02/12/2009 07:50:17
AEPACK.DLL : 8.2.0.5 422262 Bytes 15/01/2010 08:22:47
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 23/07/2009 08:59:39
AEHEUR.DLL : 8.1.0.195 2232695 Bytes 15/01/2010 08:22:37
AEHELP.DLL : 8.1.10.0 237942 Bytes 15/01/2010 08:22:09
AEGEN.DLL : 8.1.1.83 369014 Bytes 05/01/2010 10:33:13
AEEMU.DLL : 8.1.1.0 393587 Bytes 06/10/2009 07:50:20
AECORE.DLL : 8.1.9.5 184693 Bytes 15/01/2010 08:22:05
AEBB.DLL : 8.1.0.3 53618 Bytes 09/10/2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30
AVPREF.DLL : 9.0.3.0 44289 Bytes 27/09/2009 09:42:15
AVREP.DLL : 8.0.0.3 155905 Bytes 20/01/2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 17/06/2009 12:44:26
RCTEXT.DLL : 9.0.73.0 88321 Bytes 23/11/2009 15:01:09

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, D:, F:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen

Début de la recherche : mardi 19 janvier 2010 19:20

La recherche d'objets cachés commence.
'40234' objets ont été contrôlés, '0' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
Processus de recherche 'IEUM.exe' - '1' module(s) sont contrôlés
Processus de recherche 'REVAService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpqste08.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmiapsrv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iPodService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'FNPLicensingService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'cvpnd.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'skypePM.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpqtra08.exe' - '1' module(s) sont contrôlés
Processus de recherche 'GoogleToolbarNotifier.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Skype.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iTunesHelper.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpwuSchd2.exe' - '1' module(s) sont contrôlés
Processus de recherche 'igfxsrvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'igfxpers.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hkcmd.exe' - '1' module(s) sont contrôlés
Processus de recherche 'igfxtray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'acrotray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PDVDServ.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'47' processus ont été contrôlés avec '47' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'D:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'F:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '53' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\Qoobox\Quarantine\[4]-Submit_2010-01-19_19.03.32.zip
[0] Type d'archive: ZIP
--> lndcnqg.sys
[RESULTAT] Contient le modèle de détection du rootkit RKIT/Kryptic.763904
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\lndcnqg.sys.vir
[RESULTAT] Contient le modèle de détection du rootkit RKIT/Kryptic.763904
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\_lndcnqg_.sys.zip
[0] Type d'archive: ZIP
--> lndcnqg.sys
[RESULTAT] Contient le modèle de détection du rootkit RKIT/Kryptic.763904
C:\System Volume Information\_restore{F268EBED-E2CC-44E8-980C-C4AE39AAA825}\RP1\A0001576.sys
[RESULTAT] Contient le modèle de détection du rootkit RKIT/Kryptic.763904
C:\WINDOWS\system32\drivers\sptd.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
Recherche débutant dans 'D:\' <HP_RECOVERY>
Recherche débutant dans 'F:\'

Début de la désinfection :
C:\Qoobox\Quarantine\[4]-Submit_2010-01-19_19.03.32.zip
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bb3199d.qua' !
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\lndcnqg.sys.vir
[RESULTAT] Contient le modèle de détection du rootkit RKIT/Kryptic.763904
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bba19d7.qua' !
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\_lndcnqg_.sys.zip
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bc419d5.qua' !
C:\System Volume Information\_restore{F268EBED-E2CC-44E8-980C-C4AE39AAA825}\RP1\A0001576.sys
[RESULTAT] Contient le modèle de détection du rootkit RKIT/Kryptic.763904
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b86199a.qua' !


Fin de la recherche : mardi 19 janvier 2010 21:43
Temps nécessaire: 2:22:58 Heure(s)

La recherche a été effectuée intégralement

14726 Les répertoires ont été contrôlés
328580 Des fichiers ont été contrôlés
4 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
4 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
2 Impossible de contrôler des fichiers
328574 Fichiers non infectés
1829 Les archives ont été contrôlées
2 Avertissements
5 Consignes
40234 Des objets ont été contrôlés lors du Rootkitscan
0 Des objets cachés ont été trouvés
0
Utilisateur anonyme
19 janv. 2010 à 23:09
vide la quarantaine d'Antivir, il l'a trouvé dans la quarantaine de combofix, c'est normal qu'il l'a retrouvé
normalement, après, il ne devrai pas le retrouver
0
Réponse 12 / 23
noucj Messages postés 19 Date d'inscription lundi 18 janvier 2010 Statut Membre Dernière intervention 26 janvier 2010
20 janv. 2010 à 09:55
Effectivement, je devais vider la quarantaine
J'ai refait une analyse, tout semble en ordre maintenant.
Je vous remercie pour votre aide et votre patience !
Quel soulagement ! !
A plus !
0
Utilisateur anonyme
20 janv. 2010 à 14:22
bonjour
il faudrai nettoyer ton PC et vérifier qu'il n'y a plus d'infection
0
noucj Messages postés 19 Date d'inscription lundi 18 janvier 2010 Statut Membre Dernière intervention 26 janvier 2010 > Utilisateur anonyme
20 janv. 2010 à 14:27
en fait j'ai fait une analyse avec anti vir il ne trouve pas le virus
J'ai installé Malwarebytes' Anti-Malware aussi, et il ne trouve rien,
Quoi d'autre ?
Merci
0
Utilisateur anonyme > noucj Messages postés 19 Date d'inscription lundi 18 janvier 2010 Statut Membre Dernière intervention 26 janvier 2010
20 janv. 2010 à 14:40
on va vérifier l'état du PC
Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau.

- http://images.malwareremoval.com/random/RSIT.exe

! Déconnecte toi et ferme toutes tes applications en cours !

* Double-clique sur RSIT.exe pour le lancer .
* Une première fenêtre s'ouvre avec en titre : Disclaimer of warranty .
* Devant l'option List files/folders created ... , tu choisis 2 months
* Clique ensuite sur Continue pour lancer l'analyse ...
* Laisse faire le scan et ne touche pas au PC ...
* Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note).
* Héberge le contenu de log.txt (c'est celui qui apparait à l'écran), ainsi que de info.txt ici.
Clique sur parcourir
Une fois que tu as trouvé les rapports à héberger, clique sur ouvrir
Clique sur Cliquez ici pour déposer le fichier, puis donne le lien
qui apparait comme ceci http:/www.cijoint.fr/cjlink.php?file=cj200911/cijgAdC3Ch.txt

Note : les rapports seront en outre sauvegardés dans ce dossier C:\rsit
0
Réponse 13 / 23
noucj Messages postés 19 Date d'inscription lundi 18 janvier 2010 Statut Membre Dernière intervention 26 janvier 2010
20 janv. 2010 à 14:52
Ok, alors donc voilà les 2 liens :
http://www.cijoint.fr/cjlink.php?file=cj201001/cijMrAqEoK.txt
http://www.cijoint.fr/cjlink.php?file=cj201001/cijSYhAMOe.txt

merci
0
Utilisateur anonyme
20 janv. 2010 à 14:57
il y a des fichiers host à restaurer
Télécharge HostsXpert sur ton Bureau :
https://www.clubic.com/telecharger-fiche185974-hostsxpert.html
Décompresse-le (Clic droit >> Extraire ici)
Double-clique sur HostsXpert pour le lancer
Clique sur le bouton "Restore MS Hosts File" puis ferme le programme

PS : Avant de cliquer sur le bouton "Restore MS Hosts File", vérifie que le cadenas en haut à gauche est ouvert sinon tu vas avoir un message d'erreur.
0
Réponse 14 / 23
noucj Messages postés 19 Date d'inscription lundi 18 janvier 2010 Statut Membre Dernière intervention 26 janvier 2010
20 janv. 2010 à 15:05
En fait le fichier host a été modifié par moi même car j'utilise un client vpn et un outil demailing derrière donc j'ai besoin qu'il soit corrigé
0
Utilisateur anonyme
20 janv. 2010 à 15:10
d'accord laisse les

j'ai vu une autre petite infection
Télécharge USBFix (de El Desaparecido, C_XX et Chimay8) sur ton bureau
http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe­
ou
https://www.ionos.fr/?affiliate_id=77097

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

# Double clic sur le raccourci UsbFix présent sur ton bureau .

# Sélectionne l'option 1 ( Recherche )

# Laisse travailler l'outil.

# Ensuite poste le rapport UsbFix.txt qui apparaitra.

# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

# Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
0
Réponse 15 / 23
noucj Messages postés 19 Date d'inscription lundi 18 janvier 2010 Statut Membre Dernière intervention 26 janvier 2010
20 janv. 2010 à 15:40
Jai mis mon ipod et une carte mémoire, voici le rapport :
=> Antivir m'a signalé deux chevaux de troie que j'ai mis en quarantaine

############################## | UsbFix V6.075 |

User : Administrateur (Administrateurs) # SWEET-02CADF57C
Update on 19/01/2010 by El Desaparecido , C_XX & Chimay8
Start at: 15:30:28 | 20/01/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 Duo CPU T7250 @ 2.00GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 58,59 Go (31,77 Go free) # NTFS
D:\ -> Disque fixe local # 11,98 Go (2,07 Go free) [HP_RECOVERY] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque fixe local # 78,47 Go (72,64 Go free) # NTFS
G:\ -> Disque amovible # 968,25 Mo (968,16 Mo free) # FAT

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe 1296
C:\WINDOWS\system32\csrss.exe 1344
C:\WINDOWS\system32\winlogon.exe 1368
C:\WINDOWS\system32\services.exe 1412
C:\WINDOWS\system32\lsass.exe 1424
C:\WINDOWS\system32\svchost.exe 1608
C:\WINDOWS\system32\svchost.exe 1696
C:\WINDOWS\System32\svchost.exe 1736
C:\WINDOWS\system32\svchost.exe 1840
C:\WINDOWS\system32\svchost.exe 276
C:\WINDOWS\system32\spoolsv.exe 764
C:\Program Files\Avira\AntiVir Desktop\sched.exe 808
C:\WINDOWS\Explorer.EXE 1796
C:\Program Files\Unlocker\UnlockerAssistant.exe 1960
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe 1964
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe 1980
C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe 1992
C:\WINDOWS\system32\igfxtray.exe 2032
C:\WINDOWS\system32\igfxpers.exe 2044
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe 216
C:\WINDOWS\system32\igfxsrvc.exe 256
C:\Program Files\iTunes\iTunesHelper.exe 344
C:\Program Files\Skype\Phone\Skype.exe 384
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe 500
C:\Program Files\LG Electronics\LG EV-DO Rev.A USB Modem\Modem Software\REVAService.exe 516
C:\WINDOWS\system32\ctfmon.exe 532
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe 576
C:\Program Files\Skype\Plugin Manager\skypePM.exe 1076
C:\Program Files\Avira\AntiVir Desktop\avguard.exe 1016
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe 1020
C:\Program Files\Bonjour\mDNSResponder.exe 1036
C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe 1072
C:\WINDOWS\system32\svchost.exe 1240
C:\WINDOWS\System32\svchost.exe 408
C:\WINDOWS\System32\svchost.exe 1616
C:\WINDOWS\system32\svchost.exe 2372
C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe 3120
C:\Program Files\iPod\bin\iPodService.exe 3264
C:\WINDOWS\system32\wbem\wmiapsrv.exe 3392
C:\WINDOWS\System32\alg.exe 3996
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe 2972
C:\Program Files\Cisco Systems\VPN Client\vpngui.exe 592
C:\Program Files\internet explorer\iexplore.exe 3312
C:\Program Files\internet explorer\iexplore.exe 2320
C:\Program Files\Windows Live\Messenger\msnmsgr.exe 3784
C:\Program Files\Windows Live\Contacts\wlcomm.exe 2820
C:\Program Files\Neolane\Neolane Communication Suite 4.00\bin\nlclient.exe 3156
C:\Program Files\internet explorer\iexplore.exe 3084
C:\Program Files\Microsoft Office\Office12\EXCEL.EXE 3868
C:\Program Files\Mozilla Firefox\firefox.exe 5576
C:\Program Files\Skype\Toolbars\Shared\SkypeNames.exe 2608
C:\Program Files\GlobalSCAPE\CuteFTP 8 Professional\cuteftppro.exe 3792
C:\Program Files\GlobalSCAPE\CuteFTP 8 Professional\ftpte.exe 2368
C:\Program Files\iTunes\iTunes.exe 5124
C:\WINDOWS\system32\wbem\wmiprvse.exe 4840

################## | Elements infectieux |

G:\explorer.exe
G:\fooool.exe

################## | MD5 |


################## | Registre |

[HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoResolveSearch"

################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{75a779d2-92dd-11de-b9d4-001cbf7f4c48}
Shell\AutoRun\command =G:\SWLauncher.exe

################## | ! Fin du rapport # UsbFix V6.075 ! |
0
Réponse 16 / 23
noucj Messages postés 19 Date d'inscription lundi 18 janvier 2010 Statut Membre Dernière intervention 26 janvier 2010
20 janv. 2010 à 15:43
Deuxième rapport après avoir vidé la quarantaine d'antivir
Ca semble OK à première vue


############################## | UsbFix V6.075 |

User : Administrateur (Administrateurs) # SWEET-02CADF57C
Update on 19/01/2010 by El Desaparecido , C_XX & Chimay8
Start at: 15:41:36 | 20/01/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 Duo CPU T7250 @ 2.00GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 58,59 Go (31,73 Go free) # NTFS
D:\ -> Disque fixe local # 11,98 Go (2,07 Go free) [HP_RECOVERY] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque fixe local # 78,47 Go (72,64 Go free) # NTFS
G:\ -> Disque amovible # 968,25 Mo (968,19 Mo free) # FAT

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe 1296
C:\WINDOWS\system32\csrss.exe 1344
C:\WINDOWS\system32\winlogon.exe 1368
C:\WINDOWS\system32\services.exe 1412
C:\WINDOWS\system32\lsass.exe 1424
C:\WINDOWS\system32\svchost.exe 1608
C:\WINDOWS\system32\svchost.exe 1696
C:\WINDOWS\System32\svchost.exe 1736
C:\WINDOWS\system32\svchost.exe 1840
C:\WINDOWS\system32\svchost.exe 276
C:\WINDOWS\system32\spoolsv.exe 764
C:\Program Files\Avira\AntiVir Desktop\sched.exe 808
C:\WINDOWS\Explorer.EXE 1796
C:\Program Files\Unlocker\UnlockerAssistant.exe 1960
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe 1964
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe 1980
C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe 1992
C:\WINDOWS\system32\igfxtray.exe 2032
C:\WINDOWS\system32\igfxpers.exe 2044
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe 216
C:\WINDOWS\system32\igfxsrvc.exe 256
C:\Program Files\iTunes\iTunesHelper.exe 344
C:\Program Files\Skype\Phone\Skype.exe 384
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe 500
C:\Program Files\LG Electronics\LG EV-DO Rev.A USB Modem\Modem Software\REVAService.exe 516
C:\WINDOWS\system32\ctfmon.exe 532
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe 576
C:\Program Files\Skype\Plugin Manager\skypePM.exe 1076
C:\Program Files\Avira\AntiVir Desktop\avguard.exe 1016
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe 1020
C:\Program Files\Bonjour\mDNSResponder.exe 1036
C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe 1072
C:\WINDOWS\system32\svchost.exe 1240
C:\WINDOWS\System32\svchost.exe 408
C:\WINDOWS\System32\svchost.exe 1616
C:\WINDOWS\system32\svchost.exe 2372
C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe 3120
C:\Program Files\iPod\bin\iPodService.exe 3264
C:\WINDOWS\system32\wbem\wmiapsrv.exe 3392
C:\WINDOWS\System32\alg.exe 3996
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe 2972
C:\Program Files\Cisco Systems\VPN Client\vpngui.exe 592
C:\Program Files\internet explorer\iexplore.exe 3312
C:\Program Files\internet explorer\iexplore.exe 2320
C:\Program Files\Windows Live\Messenger\msnmsgr.exe 3784
C:\Program Files\Windows Live\Contacts\wlcomm.exe 2820
C:\Program Files\Neolane\Neolane Communication Suite 4.00\bin\nlclient.exe 3156
C:\Program Files\internet explorer\iexplore.exe 3084
C:\Program Files\Mozilla Firefox\firefox.exe 5576
C:\Program Files\Skype\Toolbars\Shared\SkypeNames.exe 2608
C:\Program Files\internet explorer\iexplore.exe 4304
C:\WINDOWS\system32\wbem\wmiprvse.exe 2068

################## | Elements infectieux |


################## | Registre |

[HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoResolveSearch"

################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{75a779d2-92dd-11de-b9d4-001cbf7f4c48}
Shell\AutoRun\command =G:\SWLauncher.exe

################## | ! Fin du rapport # UsbFix V6.075 ! |

Pouvez vous me confirmer que tout est OK svp ? merci !
0
Utilisateur anonyme
20 janv. 2010 à 15:53
Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

# Double clic sur le raccourci UsbFix présent sur ton bureau

# Sélectionne l'option 2 ( Suppression )

# Ton bureau disparaitra et le pc redémarrera .

# Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.

# Ensuite poste le rapport UsbFix.txt qui apparaitra avec le bureau .

# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
0
Réponse 17 / 23
noucj Messages postés 19 Date d'inscription lundi 18 janvier 2010 Statut Membre Dernière intervention 26 janvier 2010
20 janv. 2010 à 16:42
Et voici :


############################## | UsbFix V6.075 |

User : Administrateur (Administrateurs) # SWEET-02CADF57C
Update on 19/01/2010 by El Desaparecido , C_XX & Chimay8
Start at: 16:28:24 | 20/01/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 Duo CPU T7250 @ 2.00GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 58,59 Go (31,78 Go free) # NTFS
D:\ -> Disque fixe local # 11,98 Go (2,07 Go free) [HP_RECOVERY] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque fixe local # 78,47 Go (72,64 Go free) # NTFS
G:\ -> Disque amovible # 968,25 Mo (968,19 Mo free) # FAT
H:\ -> Disque amovible # 966,99 Mo (642,45 Mo free) [IPOD - NADI] # FAT32

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe 1224
C:\WINDOWS\system32\csrss.exe 1340
C:\WINDOWS\system32\winlogon.exe 1368
C:\WINDOWS\system32\services.exe 1416
C:\WINDOWS\system32\lsass.exe 1428
C:\WINDOWS\system32\svchost.exe 1620
C:\WINDOWS\system32\svchost.exe 1704
C:\WINDOWS\System32\svchost.exe 1744
C:\WINDOWS\system32\svchost.exe 1984
C:\WINDOWS\system32\svchost.exe 292
C:\WINDOWS\system32\spoolsv.exe 768
C:\Program Files\Avira\AntiVir Desktop\sched.exe 812
C:\WINDOWS\Explorer.EXE 1392
C:\Program Files\Avira\AntiVir Desktop\avguard.exe 572
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe 584
C:\Program Files\Bonjour\mDNSResponder.exe 596
C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe 632
C:\WINDOWS\system32\svchost.exe 980
C:\WINDOWS\System32\svchost.exe 1068
C:\WINDOWS\System32\svchost.exe 1800
C:\WINDOWS\system32\svchost.exe 1920
C:\WINDOWS\System32\alg.exe 1044
C:\WINDOWS\system32\wbem\wmiprvse.exe 1268

################## | Elements infectieux |

Supprimé ! C:\Recycler\S-1-5-21-527237240-1417001333-1801674531-500
Supprimé ! D:\$Recycle.Bin\S-1-5-21-1072370965-1704309809-1229438043-1000
Supprimé ! D:\$Recycle.Bin\S-1-5-21-1072370965-1704309809-1229438043-500
Supprimé ! D:\Recycler\S-1-5-21-527237240-1417001333-1801674531-500
Supprimé ! F:\Recycler\S-1-5-21-527237240-1417001333-1801674531-500
Supprimé ! H:\explorer.exe
Supprimé ! H:\fooool.exe

################## | MD5 |


################## | Registre |

Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoResolveSearch"

################## | Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{75a779d2-92dd-11de-b9d4-001cbf7f4c48}\Shell\AutoRun\Command

################## | Listing des fichiers présent |

[26/08/2009 22:31|--a------|0] C:\AUTOEXEC.BAT
[19/01/2010 19:14|--a------|14877] C:\ComboFix.txt
[26/08/2009 22:31|--a------|0] C:\CONFIG.SYS
[27/08/2009 09:25|--a------|10] C:\csb.log
[26/08/2009 22:31|-rahs----|0] C:\IO.SYS
[26/08/2009 22:31|-rahs----|0] C:\MSDOS.SYS
[?|?|?] C:\pagefile.sys
[20/01/2010 16:36|--a------|3214] C:\UsbFix.txt
[26/08/2009 22:48|--a------|11804] C:\WPI_Log.txt
[11/09/2005 16:18|---hs----|340] D:\AUTOMODE
[29/01/2009 22:27|---hs----|13] D:\BLOCK.RIN
[27/08/2009 00:14|--a------|211] D:\Boot.bak
[18/01/2010 16:58|-rahs----|282] D:\boot.ini
[07/09/2002 01:00|-rahs----|4952] D:\Bootfont.bin
[04/10/2006 00:02|---hs----|438328] D:\bootmgr
[03/08/2004 23:00|--a------|263488] D:\cmldr
[06/09/2008 12:19|---hs----|891] D:\Desktop.ini
[10/09/2002 17:14|---hs----|8134] D:\Folder.htt
[29/01/2009 22:41|--ahs----|816] D:\MASTER.LOG
[04/08/2004 03:38|-rahs----|47564] D:\NTDETECT.COM
[04/08/2004 03:59|-rahs----|251712] D:\ntldr
[16/09/2002 15:37|---hs----|181898] D:\protect.chinese hong kong
[16/09/2002 15:37|---hs----|181916] D:\protect.chinese simplified
[16/09/2002 15:37|---hs----|181898] D:\protect.chinese traditional
[27/04/2006 17:19|---hs----|181865] D:\protect.czech
[03/11/2005 16:21|---hs----|181726] D:\protect.danish
[10/09/2002 14:56|---hs----|181605] D:\protect.dutch
[10/09/2002 14:50|---hs----|181651] D:\protect.ed
[22/11/2004 16:28|---hs----|181648] D:\protect.english
[03/11/2005 16:20|---hs----|181673] D:\protect.finnish
[03/11/2005 16:19|---hs----|181736] D:\protect.french
[03/11/2005 16:18|---hs----|181669] D:\protect.german
[23/11/2005 16:56|---hs----|182689] D:\protect.greek
[23/01/2006 10:18|---hs----|182605] D:\protect.hebrew
[28/08/2007 15:58|---hs----|181696] D:\protect.hungarian
[03/11/2005 16:17|---hs----|181554] D:\protect.italian
[10/04/2006 10:46|---hs----|182566] D:\protect.japanese
[24/11/2005 12:24|---hs----|218295] D:\protect.korean
[03/11/2005 16:15|---hs----|181578] D:\protect.norwegian
[25/04/2006 15:44|---hs----|181789] D:\protect.polish
[03/11/2005 16:13|---hs----|181624] D:\protect.portuguese
[27/10/2005 20:24|---hs----|181882] D:\protect.portuguese brazilian
[28/06/2004 09:52|---hs----|211936] D:\protect.russian
[03/11/2005 16:11|---hs----|181586] D:\protect.spanish
[10/09/2002 15:15|---hs----|181602] D:\protect.swedish
[12/08/2003 11:37|---hs----|181783] D:\protect.turkish
[10/01/2008 22:40|---hs----|0] D:\USER
[31/12/2009 11:36|--a------|30726] F:\Code d'accŠs.xlsx
[11/01/2010 14:05|--a------|399] F:\Echange_Julien.lnk
[31/12/2009 09:25|--a------|324096] F:\Planning op‚s_Nadia_2009.xls
[29/09/2009 15:39|--a------|1612] G:\BOOTEX.LOG
[12/12/2009 23:38|--a------|296] G:\WMPInfo.xml
[26/12/2008 12:50|--ah-----|45518] H:\.VolumeIcon.icns
[26/12/2008 12:50|--ah-----|4096] H:\._.VolumeIcon.icns
[07/01/2009 13:36|--ah-----|4096] H:\._?
[26/12/2008 12:47|--ah-----|4096] H:\._.Trashes
[31/05/2009 15:27|--a------|26624] H:\carte_visite.doc
[26/12/2008 12:47|--ah-----|4096] H:\._iPod_Control

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix.
# D:\autorun.inf -> Dossier créé par UsbFix.
# F:\autorun.inf -> Dossier créé par UsbFix.
# G:\autorun.inf -> Dossier créé par UsbFix.
# H:\autorun.inf -> Dossier créé par UsbFix.

################## | Upload |

Veuillez envoyer le fichier : C:\DOCUME~1\ADMINI~1\Bureau\UsbFix_Upload_Me_SWEET-02CADF57C.zip : https://www.ionos.fr/?affiliate_id=77097
Merci pour votre contribution .

################## | ! Fin du rapport # UsbFix V6.075 ! |
0
Utilisateur anonyme
20 janv. 2010 à 22:18
as tu fait ceci ?

Veuillez envoyer le fichier : C:\DOCUME~1\ADMINI~1\Bureau\UsbFix_Upload_Me_SWEET-02CADF57C.zip : https://www.ionos.fr/?affiliate_id=77097
0
Réponse 18 / 23
noucj Messages postés 19 Date d'inscription lundi 18 janvier 2010 Statut Membre Dernière intervention 26 janvier 2010
25 janv. 2010 à 23:15
Bonjour Nathandre,
Désolée pour le retard de réponse j'ai été très prise.
J'ai refait une analyse car j'ai ajouté une clé USB et j'ai bien uploadé le zip.
Voici le rapport de l'analyse :
=> Peux tu me dire si c'est OK maintenant ?
PS : j'ai refait un scan antivir, je n'ai plus de virus apparents

Merci :p

############################## | UsbFix V6.075 |

User : Administrateur (Administrateurs) # SWEET-02CADF57C
Update on 19/01/2010 by El Desaparecido , C_XX & Chimay8
Start at: 23:06:04 | 25/01/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 Duo CPU T7250 @ 2.00GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 58,59 Go (31,53 Go free) # NTFS
D:\ -> Disque fixe local # 11,98 Go (2,07 Go free) [HP_RECOVERY] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque fixe local # 78,47 Go (72,26 Go free) # NTFS
G:\ -> Disque amovible # 244,62 Mo (145,8 Mo free) # FAT
H:\ -> Disque amovible # 966,99 Mo (643,24 Mo free) [IPOD - NADI] # FAT32
I:\ -> Disque amovible # 968,25 Mo (968,17 Mo free) # FAT

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe 1224
C:\WINDOWS\system32\csrss.exe 1340
C:\WINDOWS\system32\winlogon.exe 1368
C:\WINDOWS\system32\services.exe 1412
C:\WINDOWS\system32\lsass.exe 1424
C:\WINDOWS\system32\svchost.exe 1612
C:\WINDOWS\system32\svchost.exe 1700
C:\WINDOWS\System32\svchost.exe 1740
C:\WINDOWS\system32\svchost.exe 1836
C:\WINDOWS\system32\svchost.exe 284
C:\WINDOWS\system32\spoolsv.exe 752
C:\Program Files\Avira\AntiVir Desktop\sched.exe 796
C:\WINDOWS\Explorer.EXE 1788
C:\Program Files\Avira\AntiVir Desktop\avguard.exe 516
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe 528
C:\Program Files\Bonjour\mDNSResponder.exe 544
C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe 580
C:\WINDOWS\system32\svchost.exe 876
C:\WINDOWS\System32\svchost.exe 1004
C:\WINDOWS\System32\svchost.exe 1068
C:\WINDOWS\system32\svchost.exe 1876
C:\WINDOWS\System32\alg.exe 1276
C:\WINDOWS\system32\wbem\wmiprvse.exe 1300

################## | Elements infectieux |

Supprimé ! C:\Recycler\S-1-5-21-527237240-1417001333-1801674531-500
Supprimé ! D:\Recycler\S-1-5-21-527237240-1417001333-1801674531-500
Supprimé ! F:\Recycler\S-1-5-21-527237240-1417001333-1801674531-500
Supprimé ! G:\Restore\S-1-5-21-1482476501-1644491937-682003330-1013

################## | Registre |


################## | Mountpoints2 |


################## | Listing des fichiers présent |

[26/08/2009 22:31|--a------|0] C:\AUTOEXEC.BAT
[19/01/2010 19:14|--a------|14877] C:\ComboFix.txt
[26/08/2009 22:31|--a------|0] C:\CONFIG.SYS
[27/08/2009 09:25|--a------|10] C:\csb.log
[26/08/2009 22:31|-rahs----|0] C:\IO.SYS
[26/08/2009 22:31|-rahs----|0] C:\MSDOS.SYS
[?|?|?] C:\pagefile.sys
[25/01/2010 23:09|--a------|2713] C:\UsbFix.txt
[26/08/2009 22:48|--a------|11804] C:\WPI_Log.txt
[11/09/2005 16:18|---hs----|340] D:\AUTOMODE
[29/01/2009 22:27|---hs----|13] D:\BLOCK.RIN
[27/08/2009 00:14|--a------|211] D:\Boot.bak
[18/01/2010 16:58|-rahs----|282] D:\boot.ini
[07/09/2002 01:00|-rahs----|4952] D:\Bootfont.bin
[04/10/2006 00:02|---hs----|438328] D:\bootmgr
[03/08/2004 23:00|--a------|263488] D:\cmldr
[06/09/2008 12:19|---hs----|891] D:\Desktop.ini
[10/09/2002 17:14|---hs----|8134] D:\Folder.htt
[29/01/2009 22:41|--ahs----|816] D:\MASTER.LOG
[04/08/2004 03:38|-rahs----|47564] D:\NTDETECT.COM
[04/08/2004 03:59|-rahs----|251712] D:\ntldr
[16/09/2002 15:37|---hs----|181898] D:\protect.chinese hong kong
[16/09/2002 15:37|---hs----|181916] D:\protect.chinese simplified
[16/09/2002 15:37|---hs----|181898] D:\protect.chinese traditional
[27/04/2006 17:19|---hs----|181865] D:\protect.czech
[03/11/2005 16:21|---hs----|181726] D:\protect.danish
[10/09/2002 14:56|---hs----|181605] D:\protect.dutch
[10/09/2002 14:50|---hs----|181651] D:\protect.ed
[22/11/2004 16:28|---hs----|181648] D:\protect.english
[03/11/2005 16:20|---hs----|181673] D:\protect.finnish
[03/11/2005 16:19|---hs----|181736] D:\protect.french
[03/11/2005 16:18|---hs----|181669] D:\protect.german
[23/11/2005 16:56|---hs----|182689] D:\protect.greek
[23/01/2006 10:18|---hs----|182605] D:\protect.hebrew
[28/08/2007 15:58|---hs----|181696] D:\protect.hungarian
[03/11/2005 16:17|---hs----|181554] D:\protect.italian
[10/04/2006 10:46|---hs----|182566] D:\protect.japanese
[24/11/2005 12:24|---hs----|218295] D:\protect.korean
[03/11/2005 16:15|---hs----|181578] D:\protect.norwegian
[25/04/2006 15:44|---hs----|181789] D:\protect.polish
[03/11/2005 16:13|---hs----|181624] D:\protect.portuguese
[27/10/2005 20:24|---hs----|181882] D:\protect.portuguese brazilian
[28/06/2004 09:52|---hs----|211936] D:\protect.russian
[03/11/2005 16:11|---hs----|181586] D:\protect.spanish
[10/09/2002 15:15|---hs----|181602] D:\protect.swedish
[12/08/2003 11:37|---hs----|181783] D:\protect.turkish
[10/01/2008 22:40|---hs----|0] D:\USER
[31/12/2009 11:36|--a------|30726] F:\Code d'accŠs.xlsx
[11/01/2010 14:05|--a------|399] F:\Echange_Julien.lnk
[31/12/2009 09:25|--a------|324096] F:\Planning op‚s_Nadia_2009.xls
[12/05/2009 10:39|--a------|301568] G:\Pr‚sentation pr‚ formation.ppt
[08/05/2009 14:46|--a------|85504] G:\Pr‚-aff 23mars tableau modules.doc
[20/01/2007 13:34|--ahs----|172] G:\DRMv1PM.lic
[20/01/2007 13:33|--ah-----|296] G:\WMPInfo.xml
[12/05/2009 22:40|--a------|519168] G:\pr‚sentation 2.ppt
[13/05/2009 00:56|--a------|504832] G:\pr‚sentation 3.ppt
[13/05/2009 19:19|--a------|461824] G:\pr‚sentation 3 finale.ppt
[29/05/2009 09:17|--a------|61440] G:\carte visite.doc
[13/07/2009 14:17|---h-----|45056] G:\~WRL0003.tmp
[23/01/2010 23:35|--a------|1614] G:\BOOTEX.LOG
[06/07/2009 17:52|--a------|43008] G:\?????.doc
[25/01/2010 18:59|--a------|26112] G:\CR s‚minaire.doc
[26/12/2008 12:50|--ah-----|45518] H:\.VolumeIcon.icns
[26/12/2008 12:50|--ah-----|4096] H:\._.VolumeIcon.icns
[07/01/2009 13:36|--ah-----|4096] H:\._?
[26/12/2008 12:47|--ah-----|4096] H:\._.Trashes
[31/05/2009 15:27|--a------|26624] H:\carte_visite.doc
[26/12/2008 12:47|--ah-----|4096] H:\._iPod_Control
[29/09/2009 15:39|--a------|1612] I:\BOOTEX.LOG
[12/12/2009 23:38|--a------|296] I:\WMPInfo.xml

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix.
# D:\autorun.inf -> Dossier créé par UsbFix.
# F:\autorun.inf -> Dossier créé par UsbFix.
# G:\autorun.inf -> Dossier créé par UsbFix.
# H:\autorun.inf -> Dossier créé par UsbFix.
# I:\autorun.inf -> Dossier créé par UsbFix.

################## | Upload |

Veuillez envoyer le fichier : C:\DOCUME~1\ADMINI~1\Bureau\UsbFix_Upload_Me_SWEET-02CADF57C.zip : https://www.ionos.fr/?affiliate_id=77097
Merci pour votre contribution .

################## | ! Fin du rapport # UsbFix V6.075 ! |
0
Utilisateur anonyme
25 janv. 2010 à 23:22
bonsoir
Met à jour ton Malwarebytes, et fait un scan complet
0
Réponse 19 / 23
noucj Messages postés 19 Date d'inscription lundi 18 janvier 2010 Statut Membre Dernière intervention 26 janvier 2010
26 janv. 2010 à 10:05
Bonjour !
3 éléments infectés, j'ai mis "supprimer la sélection" en action, voici le reporting;
merci

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3639
Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

26/01/2010 10:04:17
mbam-log-2010-01-26 (10-04-17).txt

Type de recherche: Examen complet (C:\|D:\|F:\|)
Eléments examinés: 259611
Temps écoulé: 54 minute(s), 1 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{F268EBED-E2CC-44E8-980C-C4AE39AAA825}\RP1\A0000053.sys (Malware.Trace) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{F268EBED-E2CC-44E8-980C-C4AE39AAA825}\RP1\A0001670.sys (Malware.Trace) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{F268EBED-E2CC-44E8-980C-C4AE39AAA825}\RP3\A0004781.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
0
Utilisateur anonyme
26 janv. 2010 à 14:11
bonjour
on va faire un peu de ménage dans le PC
Il faut nettoyer le outils de désinfection:

* Télécharge ToolsCleaner2 sur ton Bureau
https://www.commentcamarche.net/telecharger/
* Double-clique sur ToolsCleaner2.exe pour le lancer.
* Clique sur Recherche et laisse le scan agir.
* Clique sur Suppression pour finaliser.
* Tu peux, si tu le souhaites, te servir des Options Facultatives.
* Clique sur Quitter pour obtenir le rapport.
* Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

supprime toolscleaner2 manuellement


*Désactive ta restauration pour supprimer les points de restauration infectés:

Clique droit sur Poste de travail, clique sur Propriétés, puis sur Restauration système Coche la case désactiver la restauration Clique sur appliquer, puis sur OK
---> Redémarre ton PC ...

*Réactive ta restauration :
Clique droit sur Poste de travail, clique sur Propriétés, puis sur Restauration système Décoche la case désactiver la restauration Clique sur appliquer, puis sur OK
--->Redémarre ton PC ...

( Note : tu peux aussi y accéder via panneau de configuration->" système "->" restauration système " ).

Créer un point de restauration propre manuellement:
Démarrer, Programmes
Va dans accèssoires, et dans outils système
Sélectionne restauration système
Clique sur suivant
Entre la date du point de restauration que tu veux créer
Clique sur créer, et le point de restauration se crée automatiquement


Un dernier petit nettoyage pour ton PC:

Télécharge C Cleaner Slim
* Enregistre le sur le Bureau
* Double-clique sur le fichier pour lancer l'installation
* Sur la fenêtre de l'installation langage bien choisir français et OK
* Clique sur suivant
* Lit la licence, et clique sur j'accepte
* Clique sur suivant, sur installer, puis sur fermer
* Double-clique sur l'icône de C Cleaner pour l'ouvrir
* Clique sur option, et puis avancé
* Tu décoches effacer uniquement les fichiers du dossier temp de windows plus vieux que 48 heures
* Clique sur nettoyeur
* Clique sur windows, et dans la colonne avancé
* Coche la première case vieilles données du perfetch que celle-là, ce qui te donnes la case vieilles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-là
* Clique sur analyser
*Clique sur nettoyer et sur la demande de confirmation OK. Tu recommences jusqu'à ce que C Cleaner ne trouve plus rien
* Clique maintenant sur registre et puis sur chercher les erreurs
* Laisse tout coché, et clique sur corriger les erreurs sélectionnées
*Il te demande de sauvegarder OUI
*Tu lui donnes un nom pour pouvoir la retrouver et enregistre
* Clique sur chercher les erreurs sélectionnées et sur la demande de confirmation OK
* Il supprime, et fermer, tu vérifies en relançant chercher les erreurs
*Tu retournes dans options, et tu recoches la case effacer uniquement les fichiers, du dossier temps de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du prefetch
* Tu peux fermer C Cleaner
0
Réponse 20 / 23
robindr400
26 janv. 2010 à 16:51
J'ai 'flingué' Kpryptic.763904.
Il s'agit d'un rootkit qui se lance depuis le boot(pas toucher sans super connaitre) et qui va mettre un .sys dans windows\system32\drivers, qui peut s'appeler n'importe comment (facile le jeu).
1) le repèrer > classer par date, c'est le plus récent, il se reconstruit tout le temps, essayer de l'effacer...
hum, il ne veut pas, très bien.
2) aller ans regedit et faites une recherche sur le nom du fichier; vous pouvez détruire les clés ? Non ? Tant mieux, c'est le bon.
3) redémarrer votre ordinateur en titillant F8, passez en mode console, mettez le disque d'install de Windaube
et taper i: entrée (i étant la lettre de votre lecteur de cd, mais ça peut être n'importe qu'elle autre)
cd i386 entrée
bootfix entrée
Voulez-vous gnagnagna ? répondez O entrée
4) Taper c: entrée
cd \windows\system32\drivers (attention à l'espace entre cd et \)
del 'le nom du fichier'.sys entrée
5) retirer le cd
6)redémarrer votre Pc
7) regedit, flinguée toutes les clé contenant le nom du fichier(sans l'extension.sys)
si 'ça' veut pas > edition > autorisations (mettez la meilleure, vous par exemple) coicher controle total, clic sur OK et dégager toutes ces m......
Bye

Alain
0