Sujet Précédent Sujet Suivant

Infection beagle/bagle

Résolu/Fermé
ndiagari Messages postés 33 Date d'inscription mardi 22 avril 2008 Statut Membre Dernière intervention 31 janvier 2010 - 23 janv. 2010 à 01:19
ndiagari Messages postés 33 Date d'inscription mardi 22 avril 2008 Statut Membre Dernière intervention 31 janvier 2010 - 31 janv. 2010 à 21:11
Bonjour,
d'après les symptômes expliqués dans certains sites et que montre ma bécane, je crois avoir été infecté par le virus beagle / bagle. J'ai utilisé kindykill comme recommandé et voici le rapport que je poste en espérant qu'un bonne volonté veuille y jeter un coup d'œil. Toutes les observations sont les bienvenues.

MERCI


############################## | FindyKill V5.027 |

# User : Matar (Administrateurs) # PC-DE-MATAR
# Update on 21/01/2010 by El Desaparecido
# Start at: 23:21:12 | 22/01/2010
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

# Intel(R) Pentium(R) 4 CPU 2.80GHz
# Microsoft® Windows Vista™ Édition Intégrale (6.0.6000 32-bit) #
# Internet Explorer 7.0.6000.16890
# Windows Firewall Status : Enabled
# AV : ESET NOD32 antivirus system 2.70 2.70 [ Enabled | Updated ]

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 60,38 Go (19,08 Go free) # NTFS
# D:\ # Disque fixe local # 93 Go (53,06 Go free) # NTFS
# E:\ # Disque fixe local # 39,06 Go (24,07 Go free) # NTFS
# F:\ # Disque fixe local # 16,83 Go (7,22 Go free) [sauvegarde provisoire] # NTFS
# G:\ # Disque CD-ROM
# H:\ # Disque CD-ROM
# I:\ # Disque amovible # 973,2 Mo (0 Mo free) [SARA] # FAT
# L:\ # Disque amovible # 1,92 Go (153,6 Mo free) [MR LÔ] # FAT32

############################## | Processus actifs |


################## | C: |

I:\autorun.inf
L:\autorun.inf

################## | C:\Windows |


################## | C:\Windows\Prefetch |


################## | C:\Windows\system32 |

C:\Windows\system32\srosa2.sys
C:\Windows\system32\wfsintwq.sys

################## | C:\Windows\system32\drivers |


################## | C:\Users\Matar\AppData\Roaming |

C:\Users\Matar\AppData\Roaming\drivers
C:\Users\Matar\AppData\Roaming\drivers\downld
C:\Users\Matar\AppData\Roaming\drivers\winupgro.exe

################## | Temporary Internet Files |


################## | Registre |

[HKLM\SYSTEM\CurrentControlSet\Services\srosa]
[HKLM\SYSTEM\ControlSet001\Services\srosa]
[HKLM\SYSTEM\ControlSet003\Services\srosa]
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA]
[HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA]
[HKCU\Software\bisoft]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
[HKU\S-1-5-21-3961905401-1870135502-2533260256-1000\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "eMuleAutoStart"
[HKU\S-1-5-21-3961905401-1870135502-2533260256-1000\Software\Microsoft\Windows\CurrentVersion\Run] "eMuleAutoStart"
[HKU\S-1-5-21-3961905401-1870135502-2533260256-1000\Software\bisoft]
[HKCU\Software\Local AppWizard-Generated Applications\key_generator]
[HKCU\Software\Local AppWizard-Generated Applications\winupgro]
[HKU\S-1-5-21-3961905401-1870135502-2533260256-1000\Software\Local AppWizard-Generated Applications\key_generator]
[HKU\S-1-5-21-3961905401-1870135502-2533260256-1000\Software\Local AppWizard-Generated Applications\winupgro]

################## | Crack > Keygen > Serial |

"C:\$Recycle.Bin\S-1-5-21-3961905401-1870135502-2533260256-1000\$RAS2MNX\key_generator.exe"
09/02/2006 01:03 |Size 842752 |Crc32 d9cdb00f |Md5 20a147bc36760fde0bb01d935e164c09

"C:\Users\Matar\Downloads\nero 8\keygen.exe"
03/06/2008 10:29 |Size 123392 |Crc32 b40492b6 |Md5 bb21e6298b42dbe9ddcd4fd97dfe3e63

"D:\Users\matar\Logitheque\nero 8\keygen.exe"
03/06/2008 10:29 |Size 123392 |Crc32 b40492b6 |Md5 bb21e6298b42dbe9ddcd4fd97dfe3e63


################## | Etat |

# Affichage des fichiers cachés : OK

# Mode sans echec : OK

# (!) Uac = 0x0

# (!) Ndisuio -> Start = 4 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 )
# Wlansvc -> Start = 3 ( Good = 2 | Bad = 4 )
# (!) SharedAccess -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) windefend -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) wuauserv -> Start = 4 ( Good = 2 | Bad = 4 )

################## | ! Fin du rapport # FindyKill V5.027 ! |

35 réponses

  • 1
  • 2
Réponse 1 / 35
Utilisateur anonyme
23 janv. 2010 à 01:20
salut

c'est celui qui tu as supprimé qui t'a infecté

▶ Déconnecte toi et ferme toutes application en cours ( navigateur compris ) .

▶ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)

▶ Relance "FindyKill" (clic droit "en tant qu'administrateur" pour Vista): au menu principal choisis l'option " F " pour français et tape sur [entrée] .

▶ Au second menu choisis l'option 2 (suppression) et tape sur [entrée]

▶ Le pc va redémarrer automatiquement ...

▶ le programme va travailler , ne touche à rien ... , ton bureau ne sera pas accessible c est normal !

▶ Poste le rapport qui apparait à la fin ( le rapport est sauvegardé aussi sous C:\FindyKill.txt )

▶ Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide
0
Réponse 2 / 35
ndiagari Messages postés 33 Date d'inscription mardi 22 avril 2008 Statut Membre Dernière intervention 31 janvier 2010
23 janv. 2010 à 03:09
salut,
Merci gen-hackman pour ta disposition. Voici ci-dessous le rapport:


############################## | FindyKill V5.027 |

# User : Matar (Administrateurs) # PC-DE-MATAR
# Update on 21/01/2010 by El Desaparecido
# Start at: 01:10:44 | 23/01/2010
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

# Intel(R) Pentium(R) 4 CPU 2.80GHz
# Microsoft® Windows Vista™ Édition Intégrale (6.0.6000 32-bit) #
# Internet Explorer 7.0.6000.16890
# Windows Firewall Status : Enabled
# AV : ESET NOD32 antivirus system 2.70 2.70 [ Enabled | Updated ]

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 60,38 Go (18,98 Go free) # NTFS
# D:\ # Disque fixe local # 93 Go (53,06 Go free) # NTFS
# E:\ # Disque fixe local # 39,06 Go (24,07 Go free) # NTFS
# F:\ # Disque fixe local # 16,83 Go (7,22 Go free) [sauvegarde provisoire] # NTFS
# G:\ # Disque CD-ROM
# H:\ # Disque CD-ROM
# I:\ # Disque amovible # 973,2 Mo (0 Mo free) [SARA] # FAT
# L:\ # Disque amovible # 1,92 Go (153,6 Mo free) [MR LÔ] # FAT32

############################## | Processus actifs |

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\SYSTEM32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\SYSTEM32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\SYSTEM32\taskeng.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Windows\SYSTEM32\taskeng.exe
C:\Windows\system32\runonce.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\Yahoo!\SoftwareUpdate\YahooAUService.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\system32\wbem\wmiprvse.exe

################## | C: |

Supprimé ! I:\autorun.inf
Supprimé ! L:\autorun.inf

################## | C:\Windows |


################## | C:\Windows\Prefetch |

Supprimé ! C:\Windows\Prefetch\WINUPGRO.EXE-CF22E08F.pf

################## | C:\Windows\system32 |

Supprimé ! C:\Windows\system32\srosa2.sys
Supprimé ! C:\Windows\system32\wfsintwq.sys

################## | C:\Windows\system32\drivers |


################## | C:\Users\Matar\AppData\Roaming |

Supprimé ! C:\Users\Matar\AppData\Roaming\drivers\downld\1016703.exe
Supprimé ! C:\Users\Matar\AppData\Roaming\drivers\downld\158671.exe
Supprimé ! C:\Users\Matar\AppData\Roaming\drivers\downld\159484.exe
Supprimé ! C:\Users\Matar\AppData\Roaming\drivers\downld\161375.exe
Supprimé ! C:\Users\Matar\AppData\Roaming\drivers\downld\164937.exe
Supprimé ! C:\Users\Matar\AppData\Roaming\drivers\downld\165656.exe
Supprimé ! C:\Users\Matar\AppData\Roaming\drivers\downld\168093.exe
Supprimé ! C:\Users\Matar\AppData\Roaming\drivers\downld\170531.exe
Supprimé ! C:\Users\Matar\AppData\Roaming\drivers\downld
Supprimé ! C:\Users\Matar\AppData\Roaming\drivers\winupgro.exe
Supprimé ! C:\Users\Matar\AppData\Roaming\drivers

################## | Références de comparaison Bagle MD5 : |

File : C:\Users\Matar\AppData\Roaming\drivers\winupgro.exe
-> Crc32 : d9cdb00f | Md5 : 20a147bc36760fde0bb01d935e164c09


################## | Autres suppressions ... |

Supprimé ! "C:\$Recycle.Bin\S-1-5-21-3961905401-1870135502-2533260256-1000\$RAS2MNX\key_generator.exe"
-> Size : 842752 | Crc32 : d9cdb00f | Md5 : 20a147bc36760fde0bb01d935e164c09

Supprimé ! "C:\Program Files\Windows Live\Messenger\msnmsgr.exe"
-> Size : 842752 | Crc32 : d9cdb00f | Md5 : 20a147bc36760fde0bb01d935e164c09

################## | Temporary Internet Files |


################## | Registre |

Supprimé ! [HKLM\SYSTEM\ControlSet003\Services\srosa]
Supprimé ! [HKCU\Software\bisoft]
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "eMuleAutoStart"
Supprimé ! [HKCU\Software\Local AppWizard-Generated Applications\key_generator]
Supprimé ! [HKCU\Software\Local AppWizard-Generated Applications\winupgro]

################## | Crack > Keygen > Serial |

Supprimé ! "C:\Users\Matar\Downloads\nero 8\keygen.exe"
03/06/2008 10:29 |Size 123392 |Crc32 b40492b6 |Md5 bb21e6298b42dbe9ddcd4fd97dfe3e63

Supprimé ! "D:\Users\matar\Logitheque\nero 8\keygen.exe"
03/06/2008 10:29 |Size 123392 |Crc32 b40492b6 |Md5 bb21e6298b42dbe9ddcd4fd97dfe3e63


################## | Etat |

# Mode sans echec : OK


# Affichage des fichiers cachés : OK

# Uac : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 )
# Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# windefend -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )

################## | PEH |

Corrompu : C:\$Recycle.Bin\S-1-5-21-3961905401-1870135502-2533260256-1000\$RMNLOIY.exe
[Offset = 000000EC - Valeur = 0x0001]

Corrompu : C:\Program Files\a-squared Anti-Malware\a2cmd.exe
[Offset = 00000104 - Valeur = 0x0001]

Corrompu : C:\Program Files\a-squared Anti-Malware\a2guard.exe
[Offset = 00000104 - Valeur = 0x0001]

Corrompu : C:\Program Files\a-squared Anti-Malware\a2scan.exe
[Offset = 00000104 - Valeur = 0x0001]

Corrompu : C:\Program Files\a-squared Anti-Malware\a2service.exe
[Offset = 00000104 - Valeur = 0x0001]

Corrompu : C:\Program Files\a-squared Anti-Malware\a2start.exe
[Offset = 00000104 - Valeur = 0x0001]

Corrompu : C:\Program Files\a-squared Anti-Malware\a2upd.exe
[Offset = 00000104 - Valeur = 0x0001]

Corrompu : C:\Program Files\a-squared Anti-Malware\a2wizard.exe
[Offset = 00000104 - Valeur = 0x0001]

Corrompu : C:\Program Files\a-squared Anti-Malware\ccm.exe
[Offset = 00000104 - Valeur = 0x0001]

Corrompu : C:\Program Files\Mozilla Firefox\uninstall\helper.exe
[Offset = 000000E4 - Valeur = 0x0001]

Corrompu : C:\Program Files\Mozilla Thunderbird\uninstall\helper.exe
[Offset = 000000DC - Valeur = 0x0001]

Corrompu : C:\Program Files\Nod32\nod32.exe
[Offset = 000000FC - Valeur = 0x0001]

Corrompu : C:\Program Files\Nod32\nod32krn.exe
[Offset = 000000FC - Valeur = 0x0001]

Corrompu : C:\Program Files\Nod32\nod32kui.exe
[Offset = 00000114 - Valeur = 0x0001]

Corrompu : C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
[Offset = 000000C4 - Valeur = 0x0001]

Corrompu : C:\Program Files\Trojan Remover\Trjscan.exe
[Offset = 00000104 - Valeur = 0x0001]

Corrompu : C:\Users\Matar\Downloads\lakale.exe
[Offset = 000000EC - Valeur = 0x0001]


################## | ! Fin du rapport # FindyKill V5.027 ! |
0
Réponse 3 / 35
Utilisateur anonyme
23 janv. 2010 à 03:12
relance findykill option desinstaller

tu peux reinstaller a-squared et nod32 qui semblent corrompus

Télécharge OTL de OLDTimer

enregistre le sur ton Bureau.

▶ Double clic ( pour vista / 7 => clic droit "executer en tant qu'administrateur") sur OTL.exe pour le lancer.

▶ Coche les 2 cases Lop et Purity

▶ Coche la case devant scan all users

▶ règle-le sur "60 Days"

▶ dans la colonne de gauche , mets tout sur all

ne modifie pas ceci :

"files created whithin" et "files modified whithin"

▶Clic sur Run Scan.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

▶▶▶ NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier ci-dessus.

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

▶ Copie ce lien dans ta réponse.

▶▶ Tu feras la meme chose avec le "Extra.txt".
0
Réponse 4 / 35
ndiagari Messages postés 33 Date d'inscription mardi 22 avril 2008 Statut Membre Dernière intervention 31 janvier 2010
23 janv. 2010 à 04:13
J'ai suivi la procédure:

voici por le fichier OLT.txt:

http://www.cijoint.fr/cjlink.php?file=cj201001/cijT2fosGC.txt

et pour le Extra.txt:

http://www.cijoint.fr/cjlink.php?file=cj201001/cij79BInHQ.txt

Merci
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 35
Utilisateur anonyme
23 janv. 2010 à 04:19
desinstalle Findykill

ensuite :

▶ Désactivez le contrôle des comptes utilisateurs avant utilisation de cet outil:

▶ Allez dans "Démarrer" puis Panneau de configuration.
▶ Double Cliquez sur l'icône Comptes d'utilisateurs et sur "Activer ou désactiver le contrôle des comptes d'utilisateurs".
▶ Décochez la case Utiliser le contrôle des comptes d'utilisateurs pour vous aider à protéger votre ordinateur.
▶ Validez par OK et redémarrez .

ensuite

▶ Télécharge Ad-remover ( de C_XX ) sur ton bureau :


▶ Déconnecte toi et ferme toutes applications en cours !

▶ clic droit sur "Ad-R.exe" en tant qu'administrateur pour lancer l'installation et laisse les paramètres d'installation par défaut .

▶ clic droit sur le raccourci Ad-remover en tant qu'administrateur qui est sur ton bureau pour lancer l'outil .

▶ Au menu principal choisis l'option "L" et tape sur [entrée] .

▶ Laisse travailler l'outil et ne touche à rien ...

▶ Poste le rapport qui apparait à la fin , sur le forum ...

( Le rapport est sauvegardé aussi sous C:\Ad-report.log )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

▶ Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


ensuite :

desinstalle AD-Remover

ensuite :

▶ Telecharge UsbFix

(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir


▶ Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisis "éxécuter en tant qu'administrateur" .

▶ Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

▶ Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]

▶ Laisse travailler l outil.

▶ Ensuite post le rapport UsbFix.txt qui apparaitra.

Note : Le rapport UsbFix.txt est sauvegardé à la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html

ensuite :

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d avoir été infectés sans les ouvrir


▶ Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisi éxécuter en tant qu'administrateur .

▶ choisi l option 2 ( Suppression )

▶ Ton bureau disparaitra et le pc redémarrera .

▶ Au redémarrage , UsbFix scannera ton pc , laisse travailler l outil.

▶ Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

▶ Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

######### | Désinstallation | #########


▶ Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisi éxécuter en tant qu'administrateur .

▶ Choisi l option Désinstaller ....
0
Réponse 6 / 35
ndiagari Messages postés 33 Date d'inscription mardi 22 avril 2008 Statut Membre Dernière intervention 31 janvier 2010
23 janv. 2010 à 05:25
voici le rapport Ad-report-CLEAN

Je reviens avec celui de Usb.Fix


.
======= RAPPORT D'AD-REMOVER 1.1.4.6_I | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 21.01.2010 à 9:13
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 4:09:08, 23/01/2010 | Mode Normal | Option: CLEAN
Exécuté de: C:\Ad-Remover\
Système d'exploitation: Microsoft® Windows Vista™ Ultimate Service Pack 2 v6.0.6000
Nom du PC: PC-DE-MATAR | Utilisateur actuel: Matar
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.

C:\Windows\Installer\{E1B94435-241E-4519-B1C3-C4DD9EB352A2}
C:\Program Files\Mozilla FireFox\extensions\linkcontent@iminent
C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\IMBooster
C:\Program Files\IMBooster4web-en
C:\Program Files\Iminent
C:\Users\Matar\AppData\Local\Iminent
C:\Users\Matar\AppData\LocalLow\IMBooster4web-en
C:\ProgramData\Iminent
C:\Windows\Installer\3a29c9.msi

(!) -- Fichiers temporaires supprimés.

.
HKCU\software\appdatalow\software\IMBooster4web-en
HKCU\software\Iminent
HKCU\software\microsoft\internet explorer\searchscopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{346de098-61f9-4b42-89da-6dfba7091bb6}
HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\\{346de098-61f9-4b42-89da-6dfba7091bb6}
HKLM\Software\Classes\CLSID\{346DE098-61F9-4B42-89DA-6DFBA7091BB6}
HKLM\Software\Classes\CLSID\{68872C80-EB4B-4719-95A2-8C151FB4A04A}
HKLM\Software\Classes\CLSID\{696E3174-4F6C-4777-7834-654C4A705677}
HKLM\Software\Classes\CLSID\{A6E9BAAF-53CD-4575-967B-2AF710A7D21F}
HKLM\Software\Classes\CLSID\{F5BE05EC-25F2-46DC-94E5-82095FF0F0D7}
HKLM\software\classes\IminentLinkToContent.LinkToContent
HKLM\software\classes\IminentLinkToContent.LinkToContent.1
HKLM\software\classes\installer\Products\53449B1EE14291541B3C4CDDE93B252A
HKLM\Software\Classes\Interface\{0CA97EEE-C8C4-4B10-A332-10AF1FBEB534}
HKLM\Software\Classes\TypeLib\{2C6674DB-EFB5-464A-A715-3E770B9C8A94}
HKLM\Software\Classes\TypeLib\{587D1093-12E0-4B0E-9426-AF9DC5ABB77D}
HKLM\software\iAvatars.com
HKLM\software\IMBooster4web-en
HKLM\software\Iminent
HKLM\software\Loader
HKLM\software\microsoft\internet explorer\searchscopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
HKLM\Software\Microsoft\Internet Explorer\Toolbar\\{346de098-61f9-4b42-89da-6dfba7091bb6}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{346DE098-61F9-4B42-89DA-6DFBA7091BB6}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A6E9BAAF-53CD-4575-967B-2AF710A7D21F}
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Products\53449B1EE14291541B3C4CDDE93B252A
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\IMBooster
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\SearchSettings
HKLM\software\microsoft\windows\currentversion\uninstall\{E1B94435-241E-4519-B1C3-C4DD9EB352A2}
HKLM\software\microsoft\windows\currentversion\uninstall\IMBooster
HKLM\software\microsoft\windows\currentversion\uninstall\IMBooster4web-en Toolbar
.
============== Scan additionnel ==============
.
.
* Mozilla FireFox Version 3.0.17 [fr] *
.
Nom du profil: maajer94.default (Matar)
.
(Matar, prefs.js) Browser.download.dir, C:\Users\Matar\Desktop
(Matar, prefs.js) Browser.download.lastDir, C:\Users\Matar\Pictures
(Matar, prefs.js) Browser.search.defaultenginename, Google
(Matar, prefs.js) Browser.search.defaulturl, hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2032792&SearchSource=3&q=
(Matar, prefs.js) Browser.search.selectedEngine, Wikipédia fr
(Matar, prefs.js) Browser.startup.homepage, hxxp://seneweb.com/
(Matar, prefs.js) Extensions.enabledItems, {27915FC8-E347-45a9-8502-4ADA5EF2E0E8}:1.0.47,linkcontent@iminent:1.0,{3112ca9c-de6d-4884-a869-9855de68056c}:6.1.20091119W,{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}:6.0.15,{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}:6.0.17,{a95d8332-e4b4-6e7f-98ac-20b733364387}:0.4.3,{ba24a283-8618-465a-9103-3262ce462b62}:2.4.0.4,{ABDE892B-13A8-4d1b-88E6-365A6E755758}:1.0,{B13721C7-F507-4982-B2E5-502A71474FED}:3.3.0.3789,{972ce4c6-7e08-4474-a285-3208198ce6fd}:3.5.7
.
(Matar, prefs.js) EFFACE - Browser.search.defaultthis.engineName, iminent-en Customized Web Search
.
.
.
* Internet Explorer Version 7.0.6000.16890 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Do404Search: 01000000
Local Page: C:\Windows\system32\blank.htm
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Search Asst: no
Search Bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Default_page_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Start Page: hxxp://fr.msn.com/
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: %SystemRoot%\system32\blank.htm
Enable Browser Extensions: yes
Use Search Asst: no
Search bar: hxxp://search.msn.com/spbasic.htm
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
.
============== Suspect (Cracks, Serials, ...) ==============
.
C:\Users\Matar\Downloads\Virtual Drive Pro v10.0 (Farstone) + Keygen.rar
C:\Users\Matar\Downloads\win rar\keygenpatch.exe
.
===================================
.
5603 Octet(s) - C:\Ad-Report-CLEAN[1].log
.
3107 Fichier(s) - C:\Users\Matar\AppData\Local\Temp
2640 Fichier(s) - C:\Windows\Temp
10 Fichier(s) - C:\Windows\Prefetch
.
21 Fichier(s) - C:\Ad-Remover\BACKUP
1989 Fichier(s) - C:\Ad-Remover\QUARANTINE
.
Fin à: 4:16:07 | 23/01/2010 - CLEAN[1]
.
============== E.O.F ==============
.
0
Réponse 7 / 35
ndiagari Messages postés 33 Date d'inscription mardi 22 avril 2008 Statut Membre Dernière intervention 31 janvier 2010
23 janv. 2010 à 06:22
Salut,

rapport USBFix.txt


############################## | UsbFix V6.077 |

User : Matar (Administrateurs) # PC-DE-MATAR
Update on 21/01/2010 by El Desaparecido , C_XX & Chimay8
Start at: 04:28:40 | 23/01/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Pentium(R) 4 CPU 2.80GHz
Microsoft® Windows Vista™ Édition Intégrale (6.0.6000 32-bit) #
Internet Explorer 7.0.6000.16890
Windows Firewall Status : Enabled
AV : ESET NOD32 antivirus system 2.70 2.70 [ Enabled | Updated ]

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 60,38 Go (20,02 Go free) # NTFS
D:\ -> Disque fixe local # 93 Go (53,35 Go free) # NTFS
E:\ -> Disque fixe local # 39,06 Go (24,07 Go free) # NTFS
F:\ -> Disque fixe local # 16,83 Go (7,22 Go free) [sauvegarde provisoire] # NTFS
G:\ -> Disque CD-ROM
H:\ -> Disque CD-ROM
I:\ -> Disque amovible # 973,2 Mo (0 Mo free) [SARA] # FAT
L:\ -> Disque amovible # 1,92 Go (153,6 Mo free) [MR LÔ] # FAT32

############################## | Processus actifs |

C:\Windows\System32\smss.exe 452
C:\Windows\system32\csrss.exe 524
C:\Windows\SYSTEM32\wininit.exe 572
C:\Windows\system32\csrss.exe 584
C:\Windows\system32\services.exe 620
C:\Windows\system32\lsass.exe 632
C:\Windows\system32\lsm.exe 640
C:\Windows\SYSTEM32\winlogon.exe 676
C:\Windows\system32\svchost.exe 824
C:\Windows\system32\svchost.exe 880
C:\Windows\System32\svchost.exe 928
C:\Windows\System32\svchost.exe 1008
C:\Windows\System32\svchost.exe 1108
C:\Windows\system32\svchost.exe 1128
C:\Windows\system32\SLsvc.exe 1260
C:\Windows\system32\svchost.exe 1328
C:\Windows\system32\Dwm.exe 1636
C:\Windows\Explorer.EXE 1644
C:\Windows\system32\svchost.exe 1776
C:\Windows\System32\spoolsv.exe 1548
C:\Windows\system32\svchost.exe 1584
C:\Windows\SYSTEM32\taskeng.exe 1572
C:\Windows\SYSTEM32\taskeng.exe 1756
C:\Program Files\Google\Update\GoogleUpdate.exe 1772
C:\Windows\system32\svchost.exe 396
C:\Windows\system32\svchost.exe 1944
C:\Windows\system32\SearchIndexer.exe 812
C:\Program Files\Yahoo!\SoftwareUpdate\YahooAUService.exe 2220
C:\Windows\system32\wbem\wmiprvse.exe 3316
C:\Windows\System32\rundll32.exe 2788
C:\Windows\SYSTEM32\notepad.exe 3136
C:\Windows\system32\wuauclt.exe 3288
C:\Program Files\Windows Defender\MSASCui.exe 2100
C:\Program Files\UberIcon\UberIcon Manager.exe 3232
C:\Program Files\Common Files\Real\Update_OB\realsched.exe 2752
C:\Program Files\Java\jre6\bin\jusched.exe 2484
C:\Windows\vsnp325.exe 3264
C:\Windows\SOUNDMAN.EXE 3460
C:\Program Files\Windows Sidebar\sidebar.exe 3884
C:\Program Files\Skype\Phone\Skype.exe 3764
C:\Program Files\Microsoft Encarta\Microsoft Encarta 2009 - Collection DVD\EDICT.EXE 3508
C:\Windows\system32\wbem\unsecapp.exe 512
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe 2728
C:\Windows\SYSTEM32\taskeng.exe 2332
C:\Windows\servicing\TrustedInstaller.exe 3952
C:\Windows\system32\wbem\wmiprvse.exe 2380
C:\Windows\System32\mobsync.exe 1680
C:\Windows\system32\WUDFHost.exe 1300

################## | Elements infectieux |

C:\Windows\livemessenger.com.vir
C:\Users\Matar\AppData\Local\Temp\8BD54F3E-DD19-4a69-93D8-5C6A5BBBE20E.exe
I:\Knight.exe
I:\qbjjn.pif
L:\n68mqcra.exe
L:\ne0kS.exe
L:\Recycle.exe

################## | MD5 |

E:\5851443a80dff371d9\ie4uinit.exe
E:\5851443a80dff371d9\iedw.exe
E:\5851443a80dff371d9\ieudinit.exe
E:\5851443a80dff371d9\iexplore.exe
E:\5851443a80dff371d9\msfeedssync.exe
E:\5851443a80dff371d9\mshta.exe
E:\5851443a80dff371d9\spuninst.exe
E:\5851443a80dff371d9\spupdsvc.exe
E:\5851443a80dff371d9\winfxdocobj.exe
E:\75226c673fb4220d6300a3ee7777\ie4uinit.exe
E:\75226c673fb4220d6300a3ee7777\iedw.exe
E:\75226c673fb4220d6300a3ee7777\ieudinit.exe
E:\75226c673fb4220d6300a3ee7777\iexplore.exe
E:\75226c673fb4220d6300a3ee7777\msfeedssync.exe
E:\75226c673fb4220d6300a3ee7777\mshta.exe
E:\75226c673fb4220d6300a3ee7777\spuninst.exe
E:\75226c673fb4220d6300a3ee7777\spupdsvc.exe
E:\75226c673fb4220d6300a3ee7777\winfxdocobj.exe
E:\a8cc8c2fcb2294a721\ie4uinit.exe
E:\a8cc8c2fcb2294a721\iedw.exe
E:\a8cc8c2fcb2294a721\ieudinit.exe
E:\a8cc8c2fcb2294a721\iexplore.exe
E:\a8cc8c2fcb2294a721\msfeedssync.exe
E:\a8cc8c2fcb2294a721\mshta.exe
E:\a8cc8c2fcb2294a721\spuninst.exe
E:\a8cc8c2fcb2294a721\spupdsvc.exe
E:\a8cc8c2fcb2294a721\winfxdocobj.exe
I:\Knight.exe
L:\Recycle.exe
L:\n68mqcra.exe

################## | Registre |


################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{2554e84b-ecca-11de-91cc-001109423d32}
shell\AutoRun\command =F:\ETS_Setup.exe

HKCU\..\..\Explorer\MountPoints2\{63a3eeb2-e953-11de-9217-001109423d32}
shell\AutoRun\command =C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL I:\VIuOQU.EXE

HKCU\..\..\Explorer\MountPoints2\{739a3c7d-9fff-11de-b48f-001109423d32}
shell\AutoRun\command =H:\autorun.exe

HKCU\..\..\Explorer\MountPoints2\{7b823d71-86c8-11de-8b0c-001109423d32}
shell\AutoRun\command =H:\autorun.exe

################## | Crack > Keygen > Serial |


################## | ! Fin du rapport # UsbFix V6.077 ! |
0
Réponse 8 / 35
ndiagari Messages postés 33 Date d'inscription mardi 22 avril 2008 Statut Membre Dernière intervention 31 janvier 2010
23 janv. 2010 à 07:03
rapport Usbfix apres option supression


############################## | UsbFix V6.077 |

User : Matar (Administrateurs) # PC-DE-MATAR
Update on 21/01/2010 by El Desaparecido , C_XX & Chimay8
Start at: 05:30:40 | 23/01/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Pentium(R) 4 CPU 2.80GHz
Microsoft® Windows Vista™ Édition Intégrale (6.0.6000 32-bit) #
Internet Explorer 7.0.6000.16890
Windows Firewall Status : Enabled
AV : ESET NOD32 antivirus system 2.70 2.70 [ Enabled | Updated ]

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 60,38 Go (19,97 Go free) # NTFS
D:\ -> Disque fixe local # 93 Go (53,35 Go free) # NTFS
E:\ -> Disque fixe local # 39,06 Go (24,07 Go free) # NTFS
F:\ -> Disque fixe local # 16,83 Go (7,22 Go free) [sauvegarde provisoire] # NTFS
G:\ -> Disque CD-ROM
H:\ -> Disque CD-ROM
I:\ -> Disque amovible # 973,2 Mo (0 Mo free) [SARA] # FAT
L:\ -> Disque amovible # 1,92 Go (153,6 Mo free) [MR LÔ] # FAT32

############################## | Processus actifs |

C:\Windows\System32\smss.exe 452
C:\Windows\system32\csrss.exe 528
C:\Windows\SYSTEM32\wininit.exe 576
C:\Windows\system32\csrss.exe 588
C:\Windows\system32\services.exe 624
C:\Windows\system32\lsass.exe 636
C:\Windows\system32\lsm.exe 644
C:\Windows\SYSTEM32\winlogon.exe 688
C:\Windows\system32\svchost.exe 824
C:\Windows\system32\svchost.exe 880
C:\Windows\System32\svchost.exe 928
C:\Windows\SYSTEM32\LogonUI.exe 976
C:\Windows\System32\svchost.exe 1068
C:\Windows\System32\svchost.exe 1104
C:\Windows\system32\svchost.exe 1124
C:\Windows\system32\SLsvc.exe 1252
C:\Windows\system32\svchost.exe 1300
C:\Windows\system32\svchost.exe 1592
C:\Windows\system32\Dwm.exe 1712
C:\Windows\Explorer.EXE 1772
C:\Windows\system32\runonce.exe 1800
C:\Windows\System32\spoolsv.exe 1864
C:\Windows\system32\svchost.exe 1888
C:\Windows\SYSTEM32\taskeng.exe 1920
C:\Program Files\Google\Update\GoogleUpdate.exe 460
C:\Windows\SYSTEM32\taskeng.exe 504
C:\Program Files\Google\Update\GoogleUpdate.exe 720
C:\Windows\system32\svchost.exe 1552
C:\Windows\system32\svchost.exe 1988
C:\Windows\system32\SearchIndexer.exe 2076
C:\Program Files\Yahoo!\SoftwareUpdate\YahooAUService.exe 2164
C:\Windows\system32\WUDFHost.exe 2536
C:\Windows\system32\wbem\wmiprvse.exe 2732

################## | Elements infectieux |

Supprimé ! C:\Windows\livemessenger.com.vir
Supprimé ! C:\Users\Matar\AppData\Local\Temp\8BD54F3E-DD19-4a69-93D8-5C6A5BBBE20E.exe
Supprimé ! C:\$Recycle.Bin\S-1-5-21-3961905401-1870135502-2533260256-1000
Supprimé ! C:\$Recycle.Bin\S-1-5-21-51003140-4199384537-3980697693-500
Supprimé ! D:\$Recycle.Bin\S-1-5-21-1104269833-2934903664-1812114370-1001
Supprimé ! D:\$Recycle.Bin\S-1-5-21-332066900-4081377354-3450008918-1000
Supprimé ! D:\$Recycle.Bin\S-1-5-21-3961905401-1870135502-2533260256-1000
Supprimé ! D:\$Recycle.Bin\S-1-5-21-51003140-4199384537-3980697693-500
Supprimé ! E:\$Recycle.Bin\S-1-5-21-3961905401-1870135502-2533260256-1000
Supprimé ! E:\$Recycle.Bin\S-1-5-21-943183153-2137773773-1448999759-1001
Supprimé ! E:\Recycler\S-1-5-21-1085031214-1677128483-725345543-500
Supprimé ! E:\Recycler\S-1-5-21-1659004503-706699826-1060284298-500
Supprimé ! E:\Recycler\S-1-5-21-1935655697-113007714-1060284298-500
Supprimé ! E:\Recycler\S-1-5-21-299502267-1383384898-1202660629-500
Supprimé ! E:\Recycler\S-1-5-21-527237240-746137067-1957994488-500
Supprimé ! F:\$Recycle.Bin\S-1-5-21-3961905401-1870135502-2533260256-1000
Supprimé ! F:\$Recycle.Bin\S-1-5-21-943183153-2137773773-1448999759-1001
Supprimé ! F:\Recycler\S-1-5-21-1085031214-1677128483-725345543-500
Supprimé ! F:\Recycler\S-1-5-21-1659004503-706699826-1060284298-500
Supprimé ! F:\Recycler\S-1-5-21-1935655697-113007714-1060284298-500
Supprimé ! F:\Recycler\S-1-5-21-299502267-1383384898-1202660629-500
Supprimé ! F:\Recycler\S-1-5-21-527237240-746137067-1957994488-500
Supprimé ! I:\Knight.exe
Supprimé ! I:\qbjjn.pif
Supprimé ! L:\n68mqcra.exe
Supprimé ! L:\ne0kS.exe
Supprimé ! L:\Recycle.exe
Supprimé ! L:\Recycler\S-1-6-22-4564031308-1609158761-021649731-2350
Supprimé ! L:\Recycler\S-1-6-21-2434476501-1644491937-600003330-1213

################## | MD5 |


################## | Registre |


################## | Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{2554e84b-ecca-11de-91cc-001109423d32}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{63a3eeb2-e953-11de-9217-001109423d32}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{739a3c7d-9fff-11de-b48f-001109423d32}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{7b823d71-86c8-11de-8b0c-001109423d32}\Shell\AutoRun\Command

################## | Listing des fichiers présent |

[23/01/2010 04:16|--a------|5950] C:\Ad-Report-CLEAN[1].log
[18/09/2006 21:43|--a------|24] C:\autoexec.bat
[18/09/2006 21:43|--a------|10] C:\config.sys
[31/07/2009 23:29|-rahs----|171136] C:\grldr
[12/08/2009 23:08|-rahs----|0] C:\IO.SYS
[12/08/2009 23:08|-rahs----|0] C:\MSDOS.SYS
[?|?|?] C:\pagefile.sys
[18/09/2009 21:15|--a------|4] C:\scrabble.acc
[23/01/2010 05:52|--a------|5212] C:\UsbFix.txt
[18/09/2006 21:43|--a------|24] D:\autoexec.bat
[22/04/2009 05:28|-rahs----|383200] D:\bootmgr
[01/08/2009 00:04|-ra-s----|8192] D:\BOOTSECT.BAK
[18/09/2006 21:43|--a------|10] D:\config.sys
[10/07/2009 01:16|-rahs----|219] D:\menu.lst
[21/01/2010 22:01|--ahs----|1924071424] D:\pagefile.sys
[10/07/2009 01:16|-rahs----|166876] D:\vstaldr
[10/07/2009 01:16|-rahs----|1474560] D:\vstaldr.img
[03/04/2009 00:45|--a------|0] E:\AUTOEXEC.BAT
[03/04/2009 00:29|--ahs----|209] E:\boot.ini
[10/08/2004 11:00|-rahs----|4952] E:\Bootfont.bin
[03/04/2009 00:45|--a------|0] E:\CONFIG.SYS
[22/04/2009 18:40|--ahs----|402182144] E:\hiberfil.sys
[03/04/2009 00:45|-rahs----|0] E:\IO.SYS
[21/04/2009 23:22|--a------|400] E:\Mes dossiers de partage.lnk
[02/04/2009 16:00|--a------|27136] E:\MESSAGE PR CONTE.doc
[02/04/2009 15:59|--a------|11417] E:\MESSAGE PR CONTE.docx
[03/04/2009 00:45|-rahs----|0] E:\MSDOS.SYS
[11/01/2009 17:09|--a------|28768271] E:\NetquizPro2.9 Francais WIN.zip
[29/01/2008 06:43|--a------|13257160] E:\Nod 32 2.70.26 FR.rar
[10/04/2009 01:45|--a------|9999] E:\nod32 eavtrial52.docx
[10/08/2004 11:00|-rahs----|47564] E:\NTDETECT.COM
[10/08/2004 11:00|-rahs----|251712] E:\ntldr
[10/08/2009 21:43|--a------|651] E:\photos F Dioh.lnk
[18/07/2007 02:03|--a------|2857749] E:\Radio_Fr_solo-Install.exe
[03/04/2009 17:39|--a------|313098] E:\sauvegarde registre 3 4 2009.reg
[21/05/2009 00:07|--a------|34816] F:\Paroles de Regard Sur Le Pass‚.doc
[15/07/2009 21:57|--a------|315392] F:\PROJET D'ECOLE PK 9A 2008.doc
[22/01/2010 13:39|--a------|0] I:\BOOTEX.LOG
[22/11/2009 14:04|--a------|296] I:\WMPInfo.xml
[22/11/2009 14:26|---------|32768] I:\Music
[22/12/2009 19:02|--a------|51926] L:\x19623735.jpg
[30/07/2009 13:49|---h-----|374784] L:\~WRL4015.tmp
[24/09/2009 01:30|--a------|9195912] L:\resultats 6eme 2009.pdf
[11/01/2010 19:08|--a------|3242] L:\BOOTEX.LOG
[22/11/2009 18:55|---hs----|85] L:\desktop.ini
[02/04/2008 16:50|--a------|629772] L:\PICT0052.JPG
[26/08/2009 14:15|--a------|73216] L:\Contes et m‚comptes de l.doc
[10/11/2009 18:21|--a------|76528] L:\InboxLight.aspx
[16/11/2009 14:04|--a------|5020] L:\default.aspx
[01/01/1601 00:00|--a------|15364] L:\.DS_Store
[09/07/2009 21:34|--a------|36352] L:\Proforma.doc
[12/06/2009 13:27|--a------|103424] L:\EXPOSE LA SORTIE PEDAGOGIQUE.doc
[12/06/2009 01:36|--a------|172185] L:\EXPOSE LA SORTIE PEDAGOGIQUE.pdf
[30/07/2009 11:15|--a------|396288] L:\os bac 2009.doc

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix.
# D:\autorun.inf -> Dossier créé par UsbFix.
# E:\autorun.inf -> Dossier créé par UsbFix.
# F:\autorun.inf -> Dossier créé par UsbFix.
# I:\autorun.inf -> Dossier créé par UsbFix.
# L:\autorun.inf -> Dossier créé par UsbFix.

################## | Crack > Keygen > Serial |


################## | Upload |

Veuillez envoyer le fichier : C:\Users\Matar\Desktop\UsbFix_Upload_Me_PC-de-Matar.zip : https://www.ionos.fr/?affiliate_id=77097
Merci pour votre contribution .

################## | ! Fin du rapport # UsbFix V6.077 ! |
0
Réponse 9 / 35
Utilisateur anonyme
23 janv. 2010 à 10:43
salut refais un scan OTL comme precedemment demandé stp
0
ndiagari Messages postés 33 Date d'inscription mardi 22 avril 2008 Statut Membre Dernière intervention 31 janvier 2010
23 janv. 2010 à 15:01
Bojour Gen-hackman,

Tout d'abord un grand merci pour toute l'aide que vous m'apportez. J'ai déjà REfait un 2ème scan OTL mais je rencontre actuellement des difficultés avec le site cijoint.fr pour pouvoir poster le rapport OTL et le fichier Extra. Je vais insister encore voir. Et pourquoi pas revenir un autre test plus récent.

ABientot
0
Réponse 10 / 35
Utilisateur anonyme
23 janv. 2010 à 15:06
ok c'est un nouveau scan que je te demandais , hein ?
0
Réponse 11 / 35
ndiagari Messages postés 33 Date d'inscription mardi 22 avril 2008 Statut Membre Dernière intervention 31 janvier 2010
23 janv. 2010 à 15:11
Enfin le 2è rapport OTL


http://www.cijoint.fr/cjlink.php?file=cj201001/cijTGgmTGk.txt


le fichier Extra


http://www.cijoint.fr/cjlink.php?file=cj201001/cijQjbn44l.txt

Et voilà
0
Réponse 12 / 35
Utilisateur anonyme
23 janv. 2010 à 15:41
les liens sont morts
0
Réponse 13 / 35
ndiagari Messages postés 33 Date d'inscription mardi 22 avril 2008 Statut Membre Dernière intervention 31 janvier 2010
23 janv. 2010 à 16:18
autre rapport OTL en souhaitant que ls lien ne meurent:

http://www.cijoint.fr/cjlink.php?file=cj201001/cijU3EFeS1.txt


et


http://www.cijoint.fr/cjlink.php?file=cj201001/cijWRoh8m9.txt
0
Réponse 14 / 35
Utilisateur anonyme
23 janv. 2010 à 18:40
Desactive ton antivirus le temps de la manip ainsi que ton parefeu si présent(car il est detecté a tort comme infection)

▶ Télécharge List&Kill'em et enregistre le sur ton bureau

▶ Branche clés usb , disques durs externes , mp3 , mp4 , etc..

double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

coche la case "creer une icone sur le bureau"

une fois terminée , clic sur "terminer" et le programme se lancera seul

choisis la langue puis choisis l'option 1 = Mode Recherche

▶ laisse travailler l'outil

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.

un rapport du nom de catchme apparait sur ton bureau , ignore-le,ne le poste pas , mais ne le supprime pas pour l instant, le scan n'est pas fini.

▶ Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

tu peux supprimer le rapport catchme.log de ton bureau maintenant.

0
Réponse 15 / 35
ndiagari Messages postés 33 Date d'inscription mardi 22 avril 2008 Statut Membre Dernière intervention 31 janvier 2010
23 janv. 2010 à 23:44
salut Docteur Gen-hackman,

Me revoici avec mon rapport List'em

List'em by g3n-h@ckm@n 1.2.1.1
User : Matar (Administrateurs)
Update on 23/01/2010 by g3n-h@ckm@n ::::: 13:50
Start at: 21:47:53 | 23/01/2010
Contact : g3n-h@ckm@n sur CCM

Intel(R) Pentium(R) 4 CPU 2.80GHz
Microsoft® Windows Vista™ Édition Intégrale (6.0.6000 32-bit) #
Internet Explorer 7.0.6000.16890
Windows Firewall Status : Disabled
AV : ESET NOD32 antivirus system 2.70 2.70 [ Enabled | Updated ]

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local | 60,38 Go (21,13 Go free) | NTFS
D:\ -> Disque fixe local | 93 Go (53,35 Go free) | NTFS
E:\ -> Disque fixe local | 39,06 Go (24,13 Go free) | NTFS
F:\ -> Disque fixe local | 16,83 Go (8,88 Go free) [sauvegarde provisoire] | NTFS
G:\ -> Disque CD-ROM
H:\ -> Disque CD-ROM

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\SYSTEM32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\SYSTEM32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\SYSTEM32\taskeng.exe
C:\Windows\SYSTEM32\taskeng.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\Yahoo!\SoftwareUpdate\YahooAUService.exe
C:\Program Files\UberIcon\UberIcon Manager.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Windows\vsnp325.exe
C:\Windows\SOUNDMAN.EXE
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Microsoft Encarta\Microsoft Encarta 2009 - Collection DVD\EDICT.EXE
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\List_Kill'em\List_Kill'em.exe
C:\Windows\system32\cmd.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Users\Matar\AppData\Local\Temp\4393.tmp\pv.exe

======================
Keys "Run"
======================
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Sidebar REG_SZ C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
msnmsgr REG_SZ "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
Messenger (Yahoo!) REG_SZ "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
Skype REG_SZ "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
E09FXLRD_5774265 REG_SZ "C:\Program Files\Microsoft Encarta\Microsoft Encarta 2009 - Collection DVD\EDICT.EXE" -m

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Windows Defender REG_EXPAND_SZ %ProgramFiles%\Windows Defender\MSASCui.exe -hide
UberIcon REG_SZ "C:\Program Files\UberIcon\UberIcon Manager.exe"
nod32kui REG_SZ "C:\Program Files\Nod32\nod32kui.exe" /WAITSERVICE
TrojanScanner REG_SZ C:\Program Files\Trojan Remover\Trjscan.exe /boot
TkBellExe REG_SZ "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
SunJavaUpdateSched REG_SZ "C:\Program Files\Java\jre6\bin\jusched.exe"
snp325 REG_SZ C:\Windows\vsnp325.exe
QuickTime Task REG_SZ "C:\Program Files\K-Lite Codec Pack\QuickTime\QTTask.exe" -atboottime
SoundMan REG_SZ SOUNDMAN.EXE

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]

=====================
Other Keys
=====================
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
ConsentPromptBehaviorAdmin REG_DWORD 0 (0x0)
ConsentPromptBehaviorUser REG_DWORD 1 (0x1)
EnableInstallerDetection REG_DWORD 1 (0x1)
EnableLUA REG_DWORD 0 (0x0)
EnableSecureUIAPaths REG_DWORD 1 (0x1)
EnableVirtualization REG_DWORD 1 (0x1)
PromptOnSecureDesktop REG_DWORD 0 (0x0)
ValidateAdminCodeSignatures REG_DWORD 0 (0x0)
dontdisplaylastusername REG_DWORD 0 (0x0)
legalnoticecaption REG_SZ
legalnoticetext REG_SZ
scforceoption REG_DWORD 0 (0x0)
shutdownwithoutlogon REG_DWORD 1 (0x1)
undockwithoutlogon REG_DWORD 1 (0x1)
FilterAdministratorToken REG_DWORD 0 (0x0)
UacDisableNotify REG_DWORD 0 (0x0)

===============
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
NoDriveTypeAutoRun REG_DWORD 128 (0x80)
NoDriveAutoRun REG_DWORD 128 (0x80)
HonorAutoRunSetting REG_DWORD 0 (0x0)

===============
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
NoDriveAutoRun REG_DWORD 128 (0x80)
NoDriveTypeAutoRun REG_DWORD 128 (0x80)
HonorAutoRunSetting REG_DWORD 0 (0x0)

===============
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLS REG_SZ

===============

===============
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

===============
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
C:\Users\Matar\Downloads\IMG00098714911567251832-JPG.EXE REG_SZ C:\Users\Matar\Downloads\IMG00098714911567251832-JPG.EXE:*:Enabled:Microsoft Update

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

===============
ActivX controls
===============
HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{8AD9C840-044E-11D1-B3E9-00805F499D93}
HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA}
HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}
HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}

===============
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{26923b43-4d38-484f-9b9e-de460746276c}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{08B0E5C0-4FCB-11CF-AAA5-00401C608500}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2179C5D3-EBFF-11CF-B6FD-00AA00B4E220}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{22d6f312-b0f6-11d0-94ab-0080c74c7e95}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{233C1507-6A77-46A4-9443-F871F945D258}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2A202491-F00D-11cf-87CC-0020AFEECF20}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{3af36230-a269-11d1-b5bf-0000f8051515}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA848-CC51-11CF-AAFA-00AA00B6015C}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA855-CC51-11CF-AAFA-00AA00B6015F}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{45ea75a0-a269-11d1-b5bf-0000f8051515}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4f645220-306d-11d2-995d-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5fd399c0-a70a-11d1-9948-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{630b1da0-b465-11d1-9948-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6fab99d0-bab8-11d1-994a-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7790769C-0471-11d2-AF11-00C04FA35D02}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7C028AF8-F614-47B3-82DA-BA94E41B1089}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4340}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4383}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89B4C1CD-B018-4511-B0A1-5476DBF70820}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9381D8F2-0288-11D0-9501-00AA00B911A5}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C6BAF60B-6E91-453F-BFF9-D3789CFEFCDD}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C9E9A340-D1F1-11D0-821E-444553540600}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{CDD7975E-60F8-41d5-8149-19E51D6F71D0}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{D27CDB6E-AE6D-11CF-96B8-444553540000}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{de5aed00-a4bf-11d1-9948-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E5D12C4E-7B4F-11D3-B5C9-0050045C3C96}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E92B03AB-B707-11d2-9CBD-0000F87A369E}

==============
BHO :
======
[<NO NAME> REG_SZ ]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{02478D38-C3F9-4efb-9B51-7695ECA05670}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{3049C3E9-B461-4BC5-8870-4C09146192CA}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{FDAD4DA1-61A2-4FD8-9C17-86F7AC245081}]

================
Internet Explorer :
================
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page REG_SZ https://www.msn.com/fr-fr

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page REG_SZ http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

========
Services
========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]

Ndisuio : 0x3
EapHost : 0x2
Wlansvc : 0x2
SharedAccess : 0x2
windefend : 0x2
wuauserv : 0x2

=========
Atapi.sys
=========

%%%% HASHDEEP-1.0
%%%% size,md5,sha256,filename
## Invoked from: C:\Users\Matar\AppData\Local\Temp\4393.tmp
## C:\> hashdeep C:\Windows\System32\Drivers\atapi.sys
##
21560,e03e8c99d15d0381e02743c36afc7c6f,8217348674fc4d0c6d567ffc95b14dfd507f47c5a4728c2ba93d72c412e8527b,C:\Windows\System32\Drivers\atapi.sys


Sources
=======

C:\Windows\System32\drivers\atapi.sys
C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_038a1dce\atapi.sys
C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_5a9555b4\atapi.sys
C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_64dfd8ea\atapi.sys
C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_7de13c21\atapi.sys
C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_82339ef2\atapi.sys
C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_b0f802d7\atapi.sys
C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_c2a1b5ae\atapi.sys
C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_c6c2e699\atapi.sys
C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_dcf5f7b6\atapi.sys
C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6000.16391_none_daf194c024ab5b06\atapi.sys
C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6000.16632_none_db337a442479c42c\atapi.sys
C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6000.20485_none_db8a029f3dbd443b\atapi.sys
C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6000.20509_none_dbe4850d3d78c736\atapi.sys
C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6000.20514_none_dbd4b3af3d856474\atapi.sys
C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6000.20518_none_dbd8b4d73d81c9d0\atapi.sys
C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6000.20523_none_dbc8e3793d8e670e\atapi.sys
C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6000.20541_none_dbb1430d3da06c42\atapi.sys
C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6000.20757_none_dbac78a93da31a8b\atapi.sys

Référence :
==========

Win XP_SP2_32b : CDFE4411A69C224BD1D11B2DA92DAC51
Win XP_SP3_32b : 9F3A2F5AA6875C72BF062C712CFA2674
Vista_SP1_32b : 2d9c903dc76a66813d350a562de40ed9
Vista_SP2_32b : 1F05B78AB91C9075565A9D8A4B880BC4
Vista_SP2_64b : 1898FAE8E07D97F2F6C2D5326C633FAC
Windows 7_32b : 80C40F7FDFC376E4C5FEEC28B41C119E
Windows 7_64b : 02062C0B390B7729EDC9E69C680A6F3C

=======
Drive :
=======

D‚fragmenteur de disque Windows
Copyright (c) 2006 Microsoft Corp.

Rapport d'analyse pour le volume C:

Taille du volume = 60.38 Go
Espace libre = 21.15 Go
tendue d'espace libre la plus grande = 13.11 Go
Pourcentage de fragmentation des fichiers = 4 %

Remarqueÿ: sur les volumes NTFS, les fragments de fichiers de plus de 64ÿMo ne sont pas inclus dans les statistiques de fragmentation.

Il n'est pas n‚cessaire de d‚fragmenter ce volume.

¤¤¤¤¤¤¤¤¤¤ Files/folders :

Present !! : C:\Program Files\DAEMON Tools Toolbar
Present !! : C:\Windows\DUMP3a88.tmp
Present !! : C:\Windows\DUMP4100.tmp
Present !! : C:\Windows\DUMP4bbe.tmp
Present !! : C:\Windows\DUMP639c.tmp
Present !! : C:\Windows\E220AutoRunLog.tmp
Present !! : C:\Windows\Fonts\GRGAREF.TTF
Present !! : C:\Windows\System32\drivers\etc\hosts.msn
Present !! : C:\Windows\System32\MSINET.oca
Present !! : C:\Users\Matar\Local Settings\Temp\vdp.log
Present !! : C:\Users\Matar\LOCAL Settings\Temp\DTLite4355-0068.exe
Present !! : C:\Users\Matar\LOCAL Settings\Temp\jre-6u17-windows-i586-iftw-rv.exe
Present !! : C:\Users\Matar\LOCAL Settings\Temp\mp3el.exe
Present !! : C:\Users\Matar\LOCAL Settings\Temp\NotifierSetup.exe
Present !! : C:\Users\Matar\LOCAL Settings\Temp\ose00000.exe
Present !! : C:\Users\Matar\LOCAL Settings\Temp\SkypeSetup.exe

¤¤¤¤¤¤¤¤¤¤ Keys :

Present !! : HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA

============

catchme 0.3.1398.3 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-23 22:06:32
Windows 6.0.6000 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC]
"h0"=dword:00000000
"hdf12"=hex:6d,d0,9f,83,97,db,bb,2e,33,0b,74,54,48,a7,8d,87,4b,c4,bb,e4,3d,..
"p0"="C:\Program Files\DAEMON Tools Lite\"
"u0"=hex:d4,c3,97,02,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001]
"hdf12"=hex:a0,ae,49,b5,41,08,6c,87,d5,f9,7f,87,7f,b1,13,69,4a,6a,50,25,60,..
"a0"=hex:20,01,00,00,5b,7c,d8,98,96,6b,58,f2,1f,d1,10,fc,3d,ac,a9,1b,4d,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0]
"hdf12"=hex:fa,fa,49,80,08,ae,80,c4,ce,58,e5,0a,97,b9,0e,61,14,39,fd,df,76,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC]
"h0"=dword:00000000
"hdf12"=hex:6d,d0,9f,83,97,db,bb,2e,33,0b,74,54,48,a7,8d,87,4b,c4,bb,e4,3d,..
"p0"="C:\Program Files\DAEMON Tools Lite\"
"u0"=hex:d4,c3,97,02,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001]
"hdf12"=hex:a0,ae,49,b5,41,08,6c,87,d5,f9,7f,87,7f,b1,13,69,4a,6a,50,25,60,..
"a0"=hex:20,01,00,00,5b,7c,d8,98,96,6b,58,f2,1f,d1,10,fc,3d,ac,a9,1b,4d,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0]
"hdf12"=hex:fa,fa,49,80,08,ae,80,c4,ce,58,e5,0a,97,b9,0e,61,14,39,fd,df,76,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC]
"h0"=dword:00000000
"hdf12"=hex:6d,d0,9f,83,97,db,bb,2e,33,0b,74,54,48,a7,8d,87,4b,c4,bb,e4,3d,..
"p0"="C:\Program Files\DAEMON Tools Lite\"
"u0"=hex:d4,c3,97,02,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001]
"hdf12"=hex:a0,ae,49,b5,41,08,6c,87,d5,f9,7f,87,7f,b1,13,69,4a,6a,50,25,60,..
"a0"=hex:20,01,00,00,5b,7c,d8,98,96,6b,58,f2,1f,d1,10,fc,3d,ac,a9,1b,4d,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0]
"hdf12"=hex:fa,fa,49,80,08,ae,80,c4,ce,58,e5,0a,97,b9,0e,61,14,39,fd,df,76,..

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

==========
Programs
==========

a-squared Anti-Malware
Ad-Aware
adslTV
Apple Software Update
AusLogics Disk Defrag
AusLogics Registry Defrag
AusLogics System Information
BabylonXtra
CCleaner
Common Files
Compare It!
Conduit
Cpu-z
DAEMON Tools Lite
DAEMON Tools Toolbar
desktop.ini
EasyRecovery
Eleve
eMule
ESTsoft
Everest
FarStone
Fichiers communs
Foxit Reader
FoxitReader
Free FLV Converter
FreeTime
Google
Grisbi
Huawei technologies
IE Privacy Keeper
InstallShield Installation Information
Intel
Internet Explorer
Java
K-Lite Codec Pack
List_Kill'em
LitexMedia
ma-config.com
Maxthon2
Micro Application
Microsoft
Microsoft Encarta
Microsoft Games
Microsoft Office
Microsoft Visual Studio
Microsoft Visual Studio 8
Microsoft Works
Microsoft.NET
Movie Maker
Mozilla Firefox
Mozilla Thunderbird
MSBuild
MSN
NCH Software
NCH Swift Sound
Nero
Nod32
Occtpt
Paint.NET
PC Sync Manager
Real
Realtek AC97
Recuva
Reference Assemblies
Skype
Smallvideosoft
Sudlogic
Trend Micro
Trojan Remover
UberIcon
Ubi Soft
Uninstall Information
uTorrent
VideoLAN
Windows Calendar
Windows Defender
Windows Live
Windows Live SkyDrive
Windows Mail
Windows Media Player
Windows NT
Windows Photo Gallery
Windows Sidebar
WinRAR
Yahoo!

============
Drive C:
============

$Recycle.Bin
Ad-Remover
Ad-Report-CLEAN[1].log
autoexec.bat
autorun.inf
config.sys
Documents and Settings
FyK
Gestclasse
GestProf
grldr
Intel
IO.SYS
Kill'em
List'em.txt
MSDOS.SYS
MSOCache
NEW MOTOR
pagefile.sys
Program Files
ProgramData
scrabble.acc
System Volume Information
UsbFix
Users
Windows

¤¤¤¤¤¤¤¤¤¤ Cracks | Keygens | Serials

E:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\94DPF1PN\SerialGirls_120x600[1].swf
E:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\K96VOP6R\crackshotfreegamesimages[1].jpg
E:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\Q8I5Z5OC\SerialGirls_728x90[1].swf
C:\Users\Matar\Downloads\Virtual Drive Pro v10.0 (Farstone) + Keygen.rar
D:\Users\matar\Logitheque\Virtual Drive Pro v10.0 (Farstone) + Keygen.rar
E:\logithŠque bira\Virtual Drive Pro v10.0 (Farstone) + Keygen.rar




¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
0
Réponse 16 / 35
Utilisateur anonyme
25 janv. 2010 à 18:30
salut desole pour le delai

▶ Relance List&Kill'em(soit en clic droit pour vista),avec le raccourci sur ton bureau.
mais cette fois-ci :

▶ choisis l'option 2 = Mode Suppression

laisse travailler l'outil.

en fin de scan un rapport s'ouvre

▶ colle le contenu dans ta reponse
0
Réponse 17 / 35
ndiagari Messages postés 33 Date d'inscription mardi 22 avril 2008 Statut Membre Dernière intervention 31 janvier 2010
25 janv. 2010 à 20:11
salut,

voici le rapport Kil'em après option suppression. Je signale que j'ai installé Antivir entre l'option recherche et l'option suppression.

merci
0
Réponse 18 / 35
ndiagari Messages postés 33 Date d'inscription mardi 22 avril 2008 Statut Membre Dernière intervention 31 janvier 2010
25 janv. 2010 à 20:13
Salut,
Oups j'ai oublié l'essentiel

voici le rapport Kil'em après option suppression. Je signale que j'ai installé Antivir entre l'option recherche et l'option suppression.

merci


Kill'em by g3n-h@ckm@n 1.2.1.1

User : Matar (Administrateurs)
Update on 23/01/2010 by g3n-h@ckm@n ::::: 13:50
Start at: 18:46:08 | 25/01/2010
Contact : g3n-h@ckm@n sur CCM

Intel(R) Pentium(R) 4 CPU 2.80GHz
Microsoft® Windows Vista™ Édition Intégrale (6.0.6000 32-bit) #
Internet Explorer 7.0.6000.16890
Windows Firewall Status : Disabled
AV : AntiVir Desktop 9.0.1.32 [ (!) Disabled | (!) Outdated ]
AV : ESET NOD32 antivirus system 2.70 2.70 [ Enabled | Updated ]

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local | 60,38 Go (20,28 Go free) | NTFS
D:\ -> Disque fixe local | 93 Go (53,35 Go free) | NTFS
E:\ -> Disque CD-ROM
H:\ -> Disque CD-ROM


¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\csrss.exe
C:\Windows\SYSTEM32\wininit.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\SYSTEM32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\spoolsv.exe
C:\Windows\SYSTEM32\taskeng.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Windows\system32\svchost.exe
C:\Program Files\UberIcon\UberIcon Manager.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Windows\vsnp325.exe
C:\Windows\SYSTEM32\taskeng.exe
C:\Windows\SOUNDMAN.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Microsoft Encarta\Microsoft Encarta 2009 - Collection DVD\EDICT.EXE
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\Yahoo!\SoftwareUpdate\YahooAUService.exe
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\List_Kill'em\List_Kill'em.exe
C:\Windows\system32\cmd.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Users\Matar\AppData\Local\Temp\D76C.tmp\ERUNT.EXE
C:\Users\Matar\AppData\Local\Temp\D76C.tmp\pv.exe

Detections :
==========


¤¤¤¤¤¤¤¤¤¤ Files/folders :

Quarantined & Deleted !! : C:\Program Files\DAEMON Tools Toolbar
Quarantined & Deleted !! : C:\Windows\DUMP3a88.tmp
Quarantined & Deleted !! : C:\Windows\DUMP4100.tmp
Quarantined & Deleted !! : C:\Windows\DUMP4bbe.tmp
Quarantined & Deleted !! : C:\Windows\DUMP639c.tmp
Quarantined & Deleted !! : C:\Windows\E220AutoRunLog.tmp
Quarantined & Deleted !! : C:\Windows\Fonts\GRGAREF.TTF

Quarantined & Deleted !! : C:\Windows\System32\drivers\etc\hosts.msn
Quarantined & Deleted !! : C:\Windows\system32\MSINET.oca
Quarantined & Deleted !! : C:\Users\Matar\Local Settings\Temp\vdp.log
Quarantined & Deleted !! : C:\Users\Matar\LOCAL Settings\Temp\DTLite4355-0068.exe
Quarantined & Deleted !! : C:\Users\Matar\LOCAL Settings\Temp\jre-6u17-windows-i586-iftw-rv.exe
Quarantined & Deleted !! : C:\Users\Matar\LOCAL Settings\Temp\mp3el.exe
Quarantined & Deleted !! : C:\Users\Matar\LOCAL Settings\Temp\NotifierSetup.exe
Quarantined & Deleted !! : C:\Users\Matar\LOCAL Settings\Temp\ose00000.exe
Quarantined & Deleted !! : C:\Users\Matar\LOCAL Settings\Temp\SkypeSetup.exe

==============
host file OK !
==============

========
Registry
========

============
Disk Cleaned
============

================
Prefetch cleaned
================



¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
0
Réponse 19 / 35
Utilisateur anonyme
25 janv. 2010 à 20:37
Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.



▶ Télécharge :

Malwarebytes

ou :

Malwarebytes

▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

▶ Potasses le Tuto pour te familiariser avec le prg :


( cela dit, il est très simple d'utilisation ).

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

▶ Lance Malwarebyte's .

Fais un examen dit "Complet" .

▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
▶ à la fin tu cliques sur "résultat" .
Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

0
Réponse 20 / 35
ndiagari Messages postés 33 Date d'inscription mardi 22 avril 2008 Statut Membre Dernière intervention 31 janvier 2010
26 janv. 2010 à 23:16
Salut,
Voici le rapport mbam-log apres les options recherche et suppression. J'ai reçu le message suivant. J'espère qu'il ne met pas en cause l'analyse.

Runtime error
Program: c:\Program Files\malwarebytes' Anti malware\mbam.exe
This appication has requested the Runtime to terminate it in an unusual way.
Please contact the application's support team for more information.




Malwarebytes' Anti-Malware 1.44



Version de la base de données: 3638
Windows 6.0.6000
Internet Explorer 7.0.6000.16890

26/01/2010 07:05:17
mbam-log-2010-01-26 (07-05-17).txt

Type de recherche: Examen complet (C:\|D:\|E:\|F:\|)
Eléments examinés: 340933
Temps écoulé: 7 hour(s), 5 minute(s), 20 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Users\Matar\Desktop\Clipbrd_add.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses
problême Opéra est ce un virus??
sand2504 -
sand2504 -

85 réponses
Virus MSN Tinyurl
djkifkif -
matt56430 -

8 réponses