Sujet Précédent Sujet Suivant

Bug RSIT et HijackThis

Fermé
toto - 25 janv. 2010 à 17:00
 Utilisateur anonyme - 27 janv. 2010 à 18:16
Bonjour aux geeks,
Je veux faire un scan RSIT mais un seul rapport est créé car rsit fait une erreur (variable indéfinie) pendant l'éxécution de Hijackthis.
Peut-on trouver des versions qui fonctionnent sans souci sous 7? (j'ai d/l la dernière version de Rsit et Hijackthis).
Merci de me répondre, je voudrais savoir si mon pc est controlé à distance.
A voir également:

13 réponses

Réponse 1 / 13
Utilisateur anonyme
25 janv. 2010 à 18:19
Télécharge ZHPDiag sur ton bureau
ftp://zebulon.fr/ZHPDiag%201.24.25.exe

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.
N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
/!\L’outil a créé 2 icônes ZHPDiag et ZHPFix
Clique sur la loupe pour lancer l'analyse.
Laisse l’outil travailler, il peut être assez long.
Ferme ZHPDiag en fin d’analyse.
Pour transmettre le rapport clique sur ce lien :
http://www.cijoint.fr/
Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
Sélectionne le fichier ZHPDiag.txt.
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt
[est ajouté dans la page.
Copie ce lien dans ta réponse.


par contre, on dispose de très peut d'utilitaires de désinfection compatible windows 7, 64 bit, on verra ce qu'il dit le rapport zhp
1
Réponse 2 / 13
Utilisateur anonyme
25 janv. 2010 à 18:37
tu as un bagle et un toolbar infectieux sur ton pc :

• Télécharge FindyKill sur le Bureau :
http://findykill.changelog.fr/Setup.exe
ou
http://pagesperso-orange.fr/NosTools/Chiquitine29/Setup.exe
/!\Utilisateur de Vista et windows 7 : Clique droit sur le logo de Findykill, « exécuter en tant qu’Administrateur »
• Double-cliquez sur FindyKill présent sur le Bureau.
• Choisis l’option F pour la langue
• Choisissez l'option 2 (suppression).
• Laissez travailler l'outil.
• Ensuite postez le rapport FindyKill.txt qui apparaîtra (si vous avez créé un sujet sur un forum pour vous faire aider).
• Note : Le rapport FindyKill.txt est sauvegardé à la racine du disque (C:\FindyKill.txt).

(CTRL+A pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller)
• Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
• Tuto : http://pagesperso-orange.fr/NosTools/index.html
Note : l'UAC de Vista ne gêne plus FindyKill.
1
Réponse 3 / 13
Utilisateur anonyme
25 janv. 2010 à 18:11
bonsoir,
rsit n'est pas compatible windows 7 64 bit !
0
Réponse 4 / 13
toto
25 janv. 2010 à 18:15
Ah alors une autre solution?
J'aimerais aussi savoir quel utilitaire permet de tuer une connexion TCP/IP, j'ai trouvé un utilitaire mais il est virusé.
Merci d'avance.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 13
toto
25 janv. 2010 à 18:31
Voilà:

http://www.cijoint.fr/cjlink.php?file=cj201001/cij5rOI68c.txt

Le netstat paraît pas bien non plus...
0
Réponse 6 / 13
toto
25 janv. 2010 à 19:04
08/10/2009 14:20:31 | Start DVDplayer.vbs
08/10/2009 14:20:31 | ======================================================================
08/10/2009 14:20:32 | "C:\Users\Administrator\AppData\Local\Temp\TC00171400A.temp\ODDCheck.exe", return value = 3
08/10/2009 14:20:32 | ========== setup for setDVDSM ==========
08/10/2009 14:22:11 | ========== setup for setODD ==========
08/10/2009 14:22:11 | ======================================================================
08/10/2009 14:22:11 | End DVDplayer.vbs

############################## | FindyKill V5.027 |

# User : Turing (Administrateurs) # MACHINEINFERNAL
# Update on 21/01/2010 by El Desaparecido
# Start at: 18:44:11 | 25/01/2010
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

# AMD Athlon(tm) X2 Dual-Core QL-65
# Microsoft Windows 7 Édition Familiale Premium (6.1.7600 64-bit) #
# Internet Explorer 8.0.7600.16385
# Windows Firewall Status : Disabled

# C:\ # Disque fixe local # 232,88 Go (170,34 Go free) [Windows7] # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque fixe local # 231,42 Go (106,41 Go free) [Data] # NTFS

############################## | Processus actifs |

C:\Windows\SysWOW64\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files (x86)\AskBarDis\bar\bin\AskService.exe
C:\Program Files (x86)\AskBarDis\bar\bin\ASKUpgrade.exe
C:\Program Files (x86)\Bonjour\mDNSResponder.exe
C:\Program Files (x86)\TOSHIBA\TOSHIBA Web Camera Application\TWebCameraSrv.exe
c:\Program Files (x86)\Common Files\Protexis\License Service\PsiService_2.exe
C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Windows\SysWOW64\runonce.exe

################## | C: |


################## | C:\Windows |


################## | C:\Windows\Prefetch |


################## | C:\Windows\system32 |


################## | C:\Windows\system32\drivers |


################## | C:\Users\Turing\AppData\Roaming |


################## | Autres suppressions ... |

################## | Temporary Internet Files |


################## | Registre |


################## | Crack > Keygen > Serial |


################## | Etat |

# Mode sans echec : OK

Le rapport FindyKill:

# Affichage des fichiers cachés : OK

# Uac : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 )
# Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# windefend -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )

################## | PEH |


################## | ! Fin du rapport # FindyKill V5.027 ! |

Merci mais est-ce que mtnt mon système est clean?
0
Réponse 7 / 13
Utilisateur anonyme
25 janv. 2010 à 19:14
peux tu reposter le rapport de findyykill STP?
il est incomplet
0
toto
25 janv. 2010 à 19:20
C'est fait c'est passé dans un nouveau message sur le forum.
0
toto > toto
25 janv. 2010 à 19:26
08/10/2009 14:20:31 | Start DVDplayer.vbs
08/10/2009 14:20:31 | ======================================================================
08/10/2009 14:20:32 | "C:\Users\Administrator\AppData\Local\Temp\TC00171400A.temp\ODDCheck.exe", return value = 3
08/10/2009 14:20:32 | ========== setup for setDVDSM ==========
08/10/2009 14:22:11 | ========== setup for setODD ==========
08/10/2009 14:22:11 | ======================================================================
08/10/2009 14:22:11 | End DVDplayer.vbs

############################## | FindyKill V5.027 |

# User : ----- (Administrateurs) # MACHINEINFERNAL
# Update on 21/01/2010 by El Desaparecido
# Start at: 18:44:11 | 25/01/2010
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

# AMD Athlon(tm) X2 Dual-Core QL-65
# Microsoft Windows 7 Édition Familiale Premium (6.1.7600 64-bit) #
# Internet Explorer 8.0.7600.16385
# Windows Firewall Status : Disabled

# C:\ # Disque fixe local # 232,88 Go (170,34 Go free) [Windows7] # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque fixe local # 231,42 Go (106,41 Go free) [Data] # NTFS

############################## | Processus actifs |

C:\Windows\SysWOW64\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files (x86)\AskBarDis\bar\bin\AskService.exe
C:\Program Files (x86)\AskBarDis\bar\bin\ASKUpgrade.exe
C:\Program Files (x86)\Bonjour\mDNSResponder.exe
C:\Program Files (x86)\TOSHIBA\TOSHIBA Web Camera Application\TWebCameraSrv.exe
c:\Program Files (x86)\Common Files\Protexis\License Service\PsiService_2.exe
C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Windows\SysWOW64\runonce.exe

################## | C: |


################## | C:\Windows |


################## | C:\Windows\Prefetch |


################## | C:\Windows\system32 |


################## | C:\Windows\system32\drivers |


################## | C:\Users\Turing\AppData\Roaming |


################## | Autres suppressions ... |

################## | Temporary Internet Files |


################## | Registre |


################## | Crack > Keygen > Serial |


################## | Etat |

# Mode sans echec : OK


# Affichage des fichiers cachés : OK

# Uac : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 )
# Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# windefend -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )

################## | PEH |


################## | ! Fin du rapport # FindyKill V5.027 ! |
0
Réponse 8 / 13
Utilisateur anonyme
25 janv. 2010 à 20:11
repasse un autre zhp et poste son rapport comme tu l'avais déjà fait sur poste 3
0
toto
25 janv. 2010 à 20:16
Voilà le rapport, j'espere que c'est clean cette fois:


http://www.cijoint.fr/cjlink.php?file=cj201001/cijtzmT3yR.txt
0
Réponse 9 / 13
Utilisateur anonyme
25 janv. 2010 à 20:48
Edit :• Mode Recherche :


/!\Desactive ton antivirus le temps de la manip ainsi que ton parefeu si présent(car il est detecté a tort comme infection)

▶ Télécharge et installe List&Kill'em et enregistre le sur ton bureau :

http://sd-1.archive-host.com/membres/up/829108531491024/List_Killem_Install.exe


double clique ( clic droit "exécuter en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

coche la case "créer une icône sur le bureau"

une fois terminée , clic sur "terminer" et le programme se lancera seul

choisis la langue puis choisis l'option 1 = Mode Recherche

▶ laisse travailler l'outil

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.

un rapport du nom de catchme apparait sur ton bureau , ignore-le,ne le poste pas , mais ne le supprime pas pour l instant, le scan n'est pas fini.

▶ Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

tu peux supprimer le rapport catchme.log de ton bureau maintenant.
0
toto
25 janv. 2010 à 21:54
On va ya arriver:

List'em by g3n-h@ckm@n 1.2.1.1
User : *** (Administrateurs)
Update on 23/01/2010 by g3n-h@ckm@n ::::: 13:50
Start at: 20:59:55 | 25/01/2010
Contact : g3n-h@ckm@n sur CCM

AMD Athlon(tm) X2 Dual-Core QL-65
Microsoft Windows 7 Édition Familiale Premium (6.1.7600 64-bit) #
Internet Explorer 8.0.7600.16385
Windows Firewall Status : Enabled

C:\ -> Disque fixe local | 232,88 Go (170,32 Go free) [Windows7] | NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque fixe local | 231,42 Go (106,41 Go free) [Data] | NTFS

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running

C:\Windows\SysWOW64\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files (x86)\TOSHIBA\Utilities\KeNotify.exe
C:\Program Files (x86)\TOSHIBA\TOSHIBA Web Camera Application\TWebCamera.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files (x86)\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files (x86)\Common Files\InstallShield\UpdateService\issch.exe
C:\Program Files (x86)\Java\jre6\bin\jusched.exe
C:\Program Files (x86)\Adobe\Reader 9.0\Reader\reader_sl.exe
C:\Program Files (x86)\iTunes\iTunesHelper.exe
C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files (x86)\AskBarDis\bar\bin\AskService.exe
C:\Program Files (x86)\Common Files\Corel\Standby\Standby.exe
C:\Program Files (x86)\AskBarDis\bar\bin\ASKUpgrade.exe
C:\Program Files (x86)\Bonjour\mDNSResponder.exe
C:\Program Files (x86)\TOSHIBA\TOSHIBA Web Camera Application\TWebCameraSrv.exe
C:\Program Files (x86)\Opera\opera.exe
c:\Program Files (x86)\Common Files\Protexis\License Service\PsiService_2.exe
C:\Program Files (x86)\TOSHIBA\ConfigFree\NDSTray.exe
C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe
C:\Program Files (x86)\TOSHIBA\ConfigFree\CFSwMgr.exe
C:\Program Files (x86)\TOSHIBA\ConfigFree\CFProcSRVC.exe
C:\Program Files (x86)\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Program Files (x86)\List_Kill'em\List_Kill'em.exe
C:\Windows\SysWOW64\cmd.exe
C:\Users\Turing\AppData\Local\Temp\CF7E.tmp\pv.exe

======================
Keys "Run"
======================
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
ehTray.exe REG_SZ C:\Windows\ehome\ehTray.exe
ISUSPM Startup REG_SZ C:\PROGRA~2\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
SpybotSD TeaTimer REG_SZ C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
HWSetup REG_SZ "C:\Program Files\TOSHIBA\Utilities\HWSetup.exe" hwSetUP
KeNotify REG_SZ "C:\Program Files (x86)\TOSHIBA\Utilities\KeNotify.exe"
SVPWUTIL REG_SZ "C:\Program Files (x86)\TOSHIBA\Utilities\SVPWUTIL.exe" SVPwUTIL
TWebCamera REG_EXPAND_SZ "%ProgramFiles(x86)%\TOSHIBA\TOSHIBA Web Camera Application\TWebCamera.exe" autorun
avast! REG_SZ C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
SmcService REG_SZ C:\PROGRA~2\Sygate\SPF\smc.exe -startgui
ZoneAlarm Client REG_SZ "C:\Program Files (x86)\Zone Labs\ZoneAlarm\zlclient.exe"
StartCCC REG_SZ "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
ISUSScheduler REG_SZ "C:\Program Files (x86)\Common Files\InstallShield\UpdateService\issch.exe" -start
SunJavaUpdateSched REG_SZ "C:\Program Files (x86)\Java\jre6\bin\jusched.exe"
Adobe Reader Speed Launcher REG_SZ "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
Adobe ARM REG_SZ "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
QuickTime Task REG_SZ "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime
iTunesHelper REG_SZ "C:\Program Files (x86)\iTunes\iTunesHelper.exe"
Standby REG_SZ "c:\Program Files (x86)\Common Files\Corel\Standby\Standby.exe" -START

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]

=====================
Other Keys
=====================
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
ConsentPromptBehaviorAdmin REG_DWORD 0 (0x0)
ConsentPromptBehaviorUser REG_DWORD 3 (0x3)
EnableInstallerDetection REG_DWORD 1 (0x1)
EnableLUA REG_DWORD 0 (0x0)
EnableSecureUIAPaths REG_DWORD 1 (0x1)
EnableUIADesktopToggle REG_DWORD 0 (0x0)
EnableVirtualization REG_DWORD 1 (0x1)
PromptOnSecureDesktop REG_DWORD 0 (0x0)
ValidateAdminCodeSignatures REG_DWORD 0 (0x0)
dontdisplaylastusername REG_DWORD 0 (0x0)
legalnoticecaption REG_SZ
scforceoption REG_DWORD 0 (0x0)
shutdownwithoutlogon REG_DWORD 1 (0x1)
undockwithoutlogon REG_DWORD 1 (0x1)
FilterAdministratorToken REG_DWORD 0 (0x0)
legalnoticetext REG_SZ
UacDisableNotify REG_DWORD 0 (0x0)

===============
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]

===============
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
NoActiveDesktop REG_DWORD 1 (0x1)
NoActiveDesktopChanges REG_DWORD 1 (0x1)
ForceActiveDesktopOn REG_DWORD 0 (0x0)
BindDirectlyToPropertySetStorage REG_DWORD 0 (0x0)

===============
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLS REG_SZ

===============

===============
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

===============
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

===============
ActivX controls
===============
HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{8AD9C840-044E-11D1-B3E9-00805F499D93}
HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}
HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}
HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}

===============
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{26923b43-4d38-484f-9b9e-de460746276c}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{08B0E5C0-4FCB-11CF-AAA5-00401C608500}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{22d6f312-b0f6-11d0-94ab-0080c74c7e95}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{3af36230-a269-11d1-b5bf-0000f8051515}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA855-CC51-11CF-AAFA-00AA00B6015F}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{45ea75a0-a269-11d1-b5bf-0000f8051515}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4f645220-306d-11d2-995d-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5fd399c0-a70a-11d1-9948-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{630b1da0-b465-11d1-9948-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6fab99d0-bab8-11d1-994a-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7790769C-0471-11d2-AF11-00C04FA35D02}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7C028AF8-F614-47B3-82DA-BA94E41B1089}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4340}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4383}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89B4C1CD-B018-4511-B0A1-5476DBF70820}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9381D8F2-0288-11D0-9501-00AA00B911A5}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C6BAF60B-6E91-453F-BFF9-D3789CFEFCDD}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C9E9A340-D1F1-11D0-821E-444553540600}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{de5aed00-a4bf-11d1-9948-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E92B03AB-B707-11d2-9CBD-0000F87A369E}

==============
BHO :
======
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{53707962-6F74-2D53-2644-206D7942484F}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{C84D72FE-E17D-4195-BB24-76C02E2E7C4E}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]

================
Internet Explorer :
================
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page REG_SZ https://www.msn.com/fr-fr/?ocid=iehp

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page REG_SZ https://www.free.fr/freebox/index.html

========
Services
========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]

Ndisuio : 0x3
EapHost : 0x2
Wlansvc : 0x2
SharedAccess : 0x2
windefend : 0x2
wuauserv : 0x2
wscsvc : 0x2

=========
Atapi.sys
=========

%%%% HASHDEEP-1.0
%%%% size,md5,sha256,filename
## Invoked from: C:\Users\Turing\AppData\Local\Temp\CF7E.tmp
## C:\> hashdeep C:\Windows\Sysnative\Drivers\atapi.sys
##
24128,02062c0b390b7729edc9e69c680a6f3c,0261683c6dc2706dce491a1cdc954ac9c9e649376ec30760bb4e225e18dc5273,C:\Windows\Sysnative\Drivers\atapi.sys

%%%% HASHDEEP-1.0
%%%% size,md5,sha256,filename
## Invoked from: C:\Users\Turing\AppData\Local\Temp\CF7E.tmp
## C:\> hashdeep C:\Windows\Sysnative\Drivers\atapi.sys
##
24128,02062c0b390b7729edc9e69c680a6f3c,0261683c6dc2706dce491a1cdc954ac9c9e649376ec30760bb4e225e18dc5273,C:\Windows\Sysnative\Drivers\atapi.sys

Sources
=======

C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_amd64_neutral_a69a58a4286f0b22\atapi.sys
C:\Windows\winsxs\amd64_mshdc.inf_31bf3856ad364e35_6.1.7600.16385_none_392d19c13b3ad543\atapi.sys

Référence :
==========

Win XP_SP2_32b : CDFE4411A69C224BD1D11B2DA92DAC51
Win XP_SP3_32b : 9F3A2F5AA6875C72BF062C712CFA2674
Vista_SP1_32b : 2d9c903dc76a66813d350a562de40ed9
Vista_SP2_32b : 1F05B78AB91C9075565A9D8A4B880BC4
Vista_SP2_64b : 1898FAE8E07D97F2F6C2D5326C633FAC
Windows 7_32b : 80C40F7FDFC376E4C5FEEC28B41C119E
Windows 7_64b : 02062C0B390B7729EDC9E69C680A6F3C

=======
Drive :
=======


¤¤¤¤¤¤¤¤¤¤ Files/folders :

Present !! : C:\Program Files (x86)\AskBarDis
Present !! : C:\Windows\iun6002.exe
Present !! : C:\Windows\System32\drivers\etc\hosts.msn
Present !! : C:\Windows\Sysnative\drivers\etc\hosts.msn
Present !! : C:\Windows\Sysnative\SET7264.tmp
Present !! : C:\Users\Turing\LOCAL Settings\Temp\install_7.exe
Present !! : C:\Users\Turing\LOCAL Settings\Temp\ready.exe
Present !! : C:\Users\Turing\LOCAL Settings\Temp\starter.exe

¤¤¤¤¤¤¤¤¤¤ Keys :

Present !! : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
Present !! : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
Present !! : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges
Present !! : "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}"
Present !! : HKCR\CLSID\{0702a2b6-13aa-4090-9e01-bcdc85dd933f}
Present !! : HKCR\CLSID\{201f27d4-3704-41d6-89c1-aa35e39143ed}
Present !! : HKCR\CLSID\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
Present !! : HKCR\CLSID\{9afb8248-617f-460d-9366-d71cdeda3179}
Present !! : HKCU\Software\AppDataLow\AskBarDis
Present !! : HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}
Present !! : HKLM\Software\Classes\CLSID\{0702a2b6-13aa-4090-9e01-bcdc85dd933f}
Present !! : HKLM\Software\Classes\CLSID\{201F27D4-3704-41D6-89C1-AA35E39143ED}
Present !! : HKLM\Software\Classes\CLSID\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
Present !! : HKLM\Software\Classes\CLSID\{622fd888-4e91-4d68-84d4-7262fd0811bf}
Present !! : HKLM\Software\Classes\CLSID\{9AFB8248-617F-460D-9366-D71CDEDA3179}
Present !! : HKLM\Software\Classes\TypeLib\{4B1C1E16-6B34-430E-B074-5928ECA4C150}

============

driver loading error catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-25 21:51:02
Windows 6.1.7600 WOW64 NTFS

detected NTDLL code modification:
ZwEnumerateKey 0 != 47, ZwQueryKey 0 != 19, ZwOpenKey 0 != 15, ZwClose 0 != 12, ZwEnumerateValueKey 0 != 16, ZwQueryValueKey 0 != 20, ZwOpenFile 0 != 48, ZwQueryDirectoryFile 0 != 50, ZwQuerySystemInformation 0 != 51Initialization error


Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: error reading MBR

==========
Programs
==========

Activation Assistant for the 2007 Microsoft Office suites
Adobe
Agent
Apple Software Update
AS3 Personal Firewall
AskBarDis
ATI Technologies
BitTorrent
Bonjour
Common Files
Comodo
Corel
desktop.ini
Google
InstallShield Installation Information
Internet Explorer
iTunes
Java
List_Kill'em
Look@LAN
MediaInfo
MesNews
Microsoft
Microsoft Office
Microsoft Silverlight
Microsoft Works
Microsoft.NET
Mozilla Firefox
Mozilla Thunderbird 3 Beta 1
MSBuild
MSXML 4.0
My Company Name
myphotobook
Opera
PeaZip
Picasa2
PlayReady
QuickTime
Realtek
Realtek WLAN Driver
Reference Assemblies
Spybot - Search & Destroy
Sygate
Temp
TOSHIBA
TOSHIBA Games
Trend Micro
Uniblue
Uninstall Information
uTorrent
VideoLAN
vlc-1.0.3-win32.exe
Vuze
Windows Calendar
Windows Collaboration
Windows Defender
Windows Live
Windows Live SkyDrive
Windows Mail
Windows Media Components
Windows Media Player
Windows NT
Windows Photo Gallery
Windows Photo Viewer
Windows Portable Devices
Windows Sidebar
ZHPDiag
Zone Labs

============
Drive C:
============

$INPLACE.~TR
$RECYCLE.BIN
$WINDOWS.~Q
1033
Azureus_Stats.xml
Boot
bootmgr
BOOTSECT.BAK
Documents and Settings
FyK
hiberfil.sys
IExp0.tmp
IExp1.tmp
ituneslib.itl
Kill'em
List'em.txt
log.txt
MSOCache
pagefile.sys
PerfLogs
Program Files
Program Files (x86)
ProgramData
Recovery
RHDSetup.log
rsit
SWSTAMP.TXT
System Volume Information
TB.txt
ToolBar SD
Toshiba
Users
Windows
wubildr
wubildr.mbr

¤¤¤¤¤¤¤¤¤¤ Cracks | Keygens | Serials

C:\Program Files (x86)\Microsoft Works\Install.exe




¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
0
toto
26 janv. 2010 à 16:10
En faisant une recherche sur l'ami gougueule j'ai trouvé le bon anti-virus.
Mais spybot m'affiche une longue liste de process en liste noire.
0
Réponse 10 / 13
Utilisateur anonyme
26 janv. 2010 à 17:24
bonjour,
quel est le nom dee l'anti-virus ?

Mode Suppression

▶ Relance List&Kill'em(soit en clic droit pour vista),avec le raccourci sur ton bureau.
mais cette fois-ci :

▶ choisis l'option 2 = Mode Suppression

laisse travailler l'outil.

en fin de scan un rapport s'ouvre

▶ colle le contenu dans ta reponse
0
toto
26 janv. 2010 à 18:59
Bonjour,
J'ai supprimé bagle avec l'outil de Malwarebytes qui fonctionne sous 7....

Voilà le rapport ça sent bon ;)

Kill'em by g3n-h@ckm@n 1.2.1.1

User : *** (Administrateurs)
Update on 23/01/2010 by g3n-h@ckm@n ::::: 13:50
Start at: 18:39:59 | 26/01/2010
Contact : g3n-h@ckm@n sur CCM

AMD Athlon(tm) X2 Dual-Core QL-65
Microsoft Windows 7 Édition Familiale Premium (6.1.7600 64-bit) #
Internet Explorer 8.0.7600.16385
Windows Firewall Status : Disabled

C:\ -> Disque fixe local | 232,88 Go (170,04 Go free) [Windows7] | NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque fixe local | 231,42 Go (106,41 Go free) [Data] | NTFS


¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files (x86)\AskBarDis\bar\bin\AskService.exe
C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files (x86)\AskBarDis\bar\bin\ASKUpgrade.exe
C:\Program Files (x86)\Bonjour\mDNSResponder.exe
C:\Program Files (x86)\TOSHIBA\TOSHIBA Web Camera Application\TWebCameraSrv.exe
C:\Program Files (x86)\TOSHIBA\Utilities\KeNotify.exe
C:\Program Files (x86)\TOSHIBA\TOSHIBA Web Camera Application\TWebCamera.exe
c:\Program Files (x86)\Common Files\Protexis\License Service\PsiService_2.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files (x86)\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files (x86)\Common Files\InstallShield\UpdateService\issch.exe
C:\Program Files (x86)\Java\jre6\bin\jusched.exe
C:\Program Files (x86)\iTunes\iTunesHelper.exe
C:\Program Files (x86)\TOSHIBA\ConfigFree\NDSTray.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Windows\SysWOW64\ZoneLabs\vsmon.exe
C:\Program Files (x86)\TOSHIBA\ConfigFree\CFSwMgr.exe
C:\Program Files (x86)\TOSHIBA\ConfigFree\CFProcSRVC.exe
C:\Program Files (x86)\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Program Files (x86)\Common Files\Corel\Standby\Standby.exe
C:\Program Files (x86)\List_Kill'em\List_Kill'em.exe
C:\Windows\SysWOW64\cmd.exe
C:\Users\Turing\AppData\Local\Temp\C0A0.tmp\ERUNT.EXE
C:\Users\Turing\AppData\Local\Temp\C0A0.tmp\pv.exe

Detections :
==========


¤¤¤¤¤¤¤¤¤¤ Files/folders :

Quarantined & Deleted !! : C:\Program Files (x86)\AskBarDis
Quarantined & Deleted !! : C:\Windows\iun6002.exe

Quarantined & Deleted !! : C:\Windows\System32\drivers\etc\hosts.msn
Quarantined & Deleted !! : C:\Windows\Sysnative\SET7264.tmp
Quarantined & Deleted !! : C:\Users\Turing\LOCAL Settings\Temp\install_7.exe
Quarantined & Deleted !! : C:\Users\Turing\LOCAL Settings\Temp\ready.exe
Quarantined & Deleted !! : C:\Users\Turing\LOCAL Settings\Temp\starter.exe

==============
host file OK !
==============

========
Registry
========
Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
Deleted : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
Deleted : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges
Deleted : HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools
Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}
Deleted : HKCR\CLSID\{0702a2b6-13aa-4090-9e01-bcdc85dd933f}
Deleted : HKCR\CLSID\{201f27d4-3704-41d6-89c1-aa35e39143ed}
Deleted : HKCR\CLSID\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
Deleted : HKCR\CLSID\{9afb8248-617f-460d-9366-d71cdeda3179}
Deleted : HKCU\Software\AppDataLow\AskBarDis
Deleted : HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}
Deleted : HKLM\Software\Classes\CLSID\{622fd888-4e91-4d68-84d4-7262fd0811bf}
Deleted : HKLM\Software\Classes\TypeLib\{4B1C1E16-6B34-430E-B074-5928ECA4C150}

============
Disk Cleaned
============

================
Prefetch cleaned
================



¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
0
Réponse 11 / 13
Utilisateur anonyme
26 janv. 2010 à 22:49
repasse un autre zhp et poste son rapport sur cijoint.
0
toto
26 janv. 2010 à 23:13
Voilà le rapport:

http://www.cijoint.fr/cjlink.php?file=cj201001/cijjitC2I3.txt

Je me suis rendu compte que sysWOW64 est bien un répertoire MS! (je croyais que c'était le jeu...)
0
Réponse 12 / 13
Utilisateur anonyme
26 janv. 2010 à 23:35
bonsoir,
Télécharge Malwarebytes' Anti-Malware et enregistre le sur ton bureau:
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

ou ici : http://www.malwarebytes.org/mbam/program/mbam-setup.exe


/!\Utilisateur de windows 7: Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu’Administrateur »

. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
. Une fois la mise à jour terminé
. rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, cliques sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. rends toi dans l'onglet rapport/log
. tu cliques dessus pour l'afficher une fois affiché
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. Tu cliques droit dans le cadre de la réponse et coller
. À la fin du scan, il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!
Si tu as besoin d'aide regarde ce tutoriel :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
0
toto
27 janv. 2010 à 00:55
Aucun virus trouvé :) mais j'aimerais être sûr de ma connexion, j'ai l'impression que j'ai trop d'up/l et un trafic trop important (aucun logiciel ne le justifiant)
0
Réponse 13 / 13
Utilisateur anonyme
27 janv. 2010 à 18:16
bonsoir,
je pense qu'il n'y pas à s'inquieter ;-)

lance un coup de nettoyage avec Cleaner :
télécharges Ccleaner à partir de cette adresse

https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/


.enregistres le sur le bureau
.double-cliques sur le fichier pour lancer l'installation
/!\Utilisateur de Vista et windows 7 : Clique droit sur le logo de Ccleaner, « exécuter en tant qu’Administrateur »

.sur la fenêtre de l'installation langage bien choisir français et OK
.cliques sur suivant
.lis la licence et j'accepte
.cliques sur suivant
.la tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner
.cliques sur intaller
.cliques sur fermer
.double-cliques sur l'icône de Ccleaner pour l'ouvrir
.une fois ouvert tu cliques sur option et puis avancé
.tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures
.cliques sur nettoyeur
.cliques sur windows et dans la colonne avancé
.cochesla première case vieilles données du perfetch que celle-la ce qui te donnes la case vielles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-la
.cliques sur analyse une fois l'analyse terminé
.cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vériffis en appuiant de nouveau sur analyse pour être sur qu'il n'y est plus rien
.cliques maintenant sur registre et puis sur rechercher les erreurs
.laisses tout cochées et cliques sur réparrer les erreurs sélectionnées
.il te demande de sauvegarder OUI
.tu lui donnes un nom pour pouvoir la retrouver et enregistre
.cliques sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK
.il supprime et fermer tu vériffis en relancant rechercher les erreurs
.tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch
.tu peux fermer Ccleaner
0

Discussions similaires

Problème Facebook rencontre
Margalle -
Jpf -

17 réponses
Iptv beug
leogauthier15 -
bazfile -

1 réponse
Problème musiques étranges sur story instagram
somnorun -
SN -

21 réponses
Problème avec "Facebook Rencontre"
xouxou77 -
4.Kat3ur -

7 réponses
Problème IPTV SMARTER
eneleh49 -
glandu -

1 réponse