Upload permanent - blocage sites antivirus
papiche
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour,
J'ai l'impression d'être sous l'emprise d'un virus, mais je suis incapable de m'en défaire.
Voilà les symptômes :
1- J'ai un upload permanent d'environ 10ko/s, dès ma connexion à internet. J'ai un modem Bewan ADSL USB, qui tourne donc en permanence, sans aucun programme lancé, pas de P2P, ni rien d'autre. Le gestionnaire des tâches m'indique des processus svchost, ssms et smss qui me semblent louches, mais je ne m'y connais pas assez pour y comprendre quelque chose...
2- Je me suis dit qu'un antivirus en ligne m'aiderait sans doute, mais il m'est impossible de me connecter à aucun des sites qui le proposent. Pas de Kaspersky, Bidefender ou quoi que ce soit. J'ai essayé également d'installer quelques logiciels, type Hijackthis, Malwarebytes, mais il est impossible de télécharger quoi que ce soit qui ressemble de près ou de loin à une base de virus récente.
Que puis-je faire ?
Merci d'avance de votre aide.
Claude.
J'ai l'impression d'être sous l'emprise d'un virus, mais je suis incapable de m'en défaire.
Voilà les symptômes :
1- J'ai un upload permanent d'environ 10ko/s, dès ma connexion à internet. J'ai un modem Bewan ADSL USB, qui tourne donc en permanence, sans aucun programme lancé, pas de P2P, ni rien d'autre. Le gestionnaire des tâches m'indique des processus svchost, ssms et smss qui me semblent louches, mais je ne m'y connais pas assez pour y comprendre quelque chose...
2- Je me suis dit qu'un antivirus en ligne m'aiderait sans doute, mais il m'est impossible de me connecter à aucun des sites qui le proposent. Pas de Kaspersky, Bidefender ou quoi que ce soit. J'ai essayé également d'installer quelques logiciels, type Hijackthis, Malwarebytes, mais il est impossible de télécharger quoi que ce soit qui ressemble de près ou de loin à une base de virus récente.
Que puis-je faire ?
Merci d'avance de votre aide.
Claude.
A voir également:
- Upload permanent - blocage sites antivirus
- Meilleurs sites de téléchargement - Accueil - Outils
- Sites de vente d'occasion - Guide
- Comodo antivirus - Télécharger - Sécurité
- Norton antivirus gratuit - Télécharger - Antivirus & Antimalwares
- Youtube upload - Télécharger - Diffusion
13 réponses
Bonjour Papiche...
Un rootkit....certainemment !
---> Télécharge ComboFix.exe de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Choisis "Enregistrer"
Prends soin de le renommer ainsi:
Nom du fichier : tapes papiche.exe
Types : fichiers texte
/!\ Déconnecte-toi du net et ferme toutes les applications, antivirus et antispyware y compris /!\
---> Double-clique sur Combofix.exe
Un "pop-up" va apparaître qui dit que "ComboFix est utilisé à vos risques et avec aucune garantie...".
Accepte en cliquant sur "Oui"
---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.
/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\
En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
Une fois le scan achevé, un rapport va s'afficher : Poste son contenu
/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\
Note : Le rapport se trouve également là : C:\ComboFix.txt
a+
Un rootkit....certainemment !
---> Télécharge ComboFix.exe de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Choisis "Enregistrer"
Prends soin de le renommer ainsi:
Nom du fichier : tapes papiche.exe
Types : fichiers texte
/!\ Déconnecte-toi du net et ferme toutes les applications, antivirus et antispyware y compris /!\
---> Double-clique sur Combofix.exe
Un "pop-up" va apparaître qui dit que "ComboFix est utilisé à vos risques et avec aucune garantie...".
Accepte en cliquant sur "Oui"
---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.
/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\
En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
Une fois le scan achevé, un rapport va s'afficher : Poste son contenu
/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\
Note : Le rapport se trouve également là : C:\ComboFix.txt
a+
Bonjour archet9 et merci de ton aide.
Les problèmes semblent persister malgré les efforts de Combofix...
Je poste le log :
ComboFix 10-02-12.01 - Claude 13/02/2010 19:59:29.1.1 - x86
Microsoft Windows XP Professionnel 5.1.2600.1.1252.33.1036.18.1247.941 [GMT 1:00]
Lancé depuis: c:\documents and settings\Claude\Mes documents\Téléchargements\papiche.exe
AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.
/wow section - STAGE 4
'play.lnk' n'est pas reconnu en tant que commande interne
ou externe, un programme exécutable ou un fichier de commandes.
'Malware' n'est pas reconnu en tant que commande interne
ou externe, un programme exécutable ou un fichier de commandes.
'play.lnk' n'est pas reconnu en tant que commande interne
ou externe, un programme exécutable ou un fichier de commandes.
'Malware' n'est pas reconnu en tant que commande interne
ou externe, un programme exécutable ou un fichier de commandes.
'play.lnk' n'est pas reconnu en tant que commande interne
ou externe, un programme exécutable ou un fichier de commandes.
'play.lnk' n'est pas reconnu en tant que commande interne
ou externe, un programme exécutable ou un fichier de commandes.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\lssas.exe
c:\windows\system32\ssms.exe
Une copie infectée de c:\windows\system32\qmgr.dll a été trouvée et désinfectée
Copie restaurée à partir de - c:\windows\ServicePackFiles\i386\qmgr.dll
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-01-13 au 2010-02-13 ))))))))))))))))))))))))))))))))))))
.
2010-02-13 17:42 . 2010-02-13 17:42 -------- d-----w- c:\documents and settings\Administrateur
2010-02-13 17:42 . 2009-11-27 16:12 -------- d--h--w- c:\documents and settings\Administrateur\Modèles
2010-02-13 17:42 . 2009-11-27 16:05 -------- d--h--w- c:\documents and settings\Administrateur\Voisinage réseau
2010-02-13 17:42 . 2009-11-27 16:05 -------- d--h--w- c:\documents and settings\Administrateur\Voisinage d'impression
2010-02-13 17:42 . 2009-11-27 16:05 -------- d-----w- c:\documents and settings\Administrateur\Mes documents
2010-02-13 17:42 . 2009-11-27 16:05 -------- d-----w- c:\documents and settings\Administrateur\Favoris
2010-02-13 17:42 . 2009-11-27 16:05 -------- d-----w- c:\documents and settings\Administrateur\Bureau
2010-02-13 17:42 . 2009-11-27 16:05 -------- d-----r- c:\documents and settings\Administrateur\Menu Démarrer
2010-02-13 17:20 . 2010-02-13 17:20 -------- d-----w- c:\windows\system32\Kaspersky Lab
2010-02-13 17:18 . 2010-02-13 17:19 -------- d-----w- c:\windows\BDOSCAN8
2010-02-06 14:44 . 2010-02-06 14:44 -------- d-----w- c:\program files\gs
2010-02-03 18:43 . 2010-02-03 18:43 -------- d-----w- c:\program files\Geonaute KeyMaze 300
2010-02-03 18:42 . 2005-07-25 09:04 48640 ------w- c:\windows\system32\drivers\ser2pl.sys
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-13 18:26 . 2010-02-13 18:29 401720 ----a-w- C:\HiJackThis.exe
2010-02-13 17:43 . 2009-11-28 15:21 -------- d-----w- c:\program files\CCleaner
2010-02-07 22:19 . 2009-11-27 18:57 -------- d-----w- c:\program files\Google
2010-02-06 14:36 . 2009-11-27 17:40 -------- d-----w- c:\program files\PDF Blender
2010-02-05 11:12 . 2009-11-27 18:07 -------- d-----w- c:\documents and settings\Claude\Application Data\vlc
2010-02-04 22:58 . 2009-11-29 22:41 -------- d-----w- c:\documents and settings\Sylviane\Application Data\vlc
2010-02-03 18:43 . 2009-11-27 16:58 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-12-27 22:23 . 2009-12-27 22:23 16760 ----a-w- c:\documents and settings\Claude\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-11-28 17:41 . 2001-08-28 12:00 48616 ----a-w- c:\windows\system32\perfc00C.dat
2009-11-28 17:41 . 2001-08-28 12:00 367658 ----a-w- c:\windows\system32\perfh00C.dat
2009-11-27 19:29 . 2009-11-27 19:29 12856 ---ha-w- c:\windows\system32\mlfcache.dat
2009-11-27 19:10 . 2009-11-27 19:10 0 ----a-w- c:\windows\nsreg.dat
2009-11-27 16:59 . 2009-11-27 16:59 444952 ----a-w- c:\windows\system32\wrap_oal.dll
2009-11-27 16:15 . 2009-11-27 16:15 80007 ----a-w- c:\windows\PCHEALTH\HELPCTR\OfflineCache\index.dat
2009-11-27 16:13 . 2009-11-27 16:13 21892 ----a-w- c:\windows\system32\emptyregdb.dat
2002-08-29 10:44 . 2001-08-28 12:00 2406104 --sha-r- c:\windows\system32\gxuunl.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2003-02-25 4497408]
"zBrowser Launcher"="c:\program files\Logitech\iTouch\iTouch.exe" [2002-11-23 631362]
"Logitech Utility"="Logi_MwX.Exe" [2002-11-08 19968]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2002-08-29 13312]
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Gamma Loader.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma Loader.lnk
backup=c:\windows\pss\Adobe Gamma Loader.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2009-09-04 11:08 935288 ----a-r- c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-10-03 03:08 35696 ----a-w- c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdslTaskBar]
2003-09-19 11:24 151552 ----a-r- c:\windows\system32\stmctrl.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTHelper]
2009-06-23 10:48 19456 ----a-w- c:\windows\system32\CtHelper.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EEventManager]
2004-08-05 14:19 118784 ------w- c:\program files\EPSON\Creativity Suite\Event Manager\EEventManager.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
2003-02-25 07:01 323584 ----a-r- c:\windows\system32\nwiz.exe
R3 camvid20;Philips ToUcam Camera; Video;c:\windows\system32\drivers\camdrv21.sys [27/11/2009 18:12 223232]
R3 COMMONFX.SYS;COMMONFX.SYS;c:\windows\system32\drivers\COMMONFX.sys [23/06/2009 13:34 99352]
R3 CTAUDFX.SYS;CTAUDFX.SYS;c:\windows\system32\drivers\CTAUDFX.sys [23/06/2009 13:34 555032]
R3 CTSBLFX.SYS;CTSBLFX.SYS;c:\windows\system32\drivers\CTSBLFX.sys [23/06/2009 13:34 566296]
R3 Stmatm;ATM/ADSL miniport;c:\windows\system32\drivers\stmatm.sys [27/11/2009 18:17 60223]
R3 TaurusUsb;ADSL Modem USB Service;c:\windows\system32\drivers\torususb.sys [27/11/2009 18:17 539138]
S2 gsesra;Task Microsoft;c:\windows\system32\svchost.exe -k netsvcs [28/08/2001 13:00 12800]
S2 gupdate1ca6f93847db72c;Service Google Update (gupdate1ca6f93847db72c);c:\program files\Google\Update\GoogleUpdate.exe [27/11/2009 19:57 133104]
S3 COMMONFX;COMMONFX;c:\windows\system32\drivers\COMMONFX.sys [23/06/2009 13:34 99352]
S3 Creative Audio Engine Licensing Service;Creative Audio Engine Licensing Service;c:\program files\Fichiers communs\Creative Labs Shared\Service\CTAELicensing.exe [27/11/2009 17:59 79360]
S3 CTAUDFX;CTAUDFX;c:\windows\system32\drivers\CTAUDFX.sys [23/06/2009 13:34 555032]
S3 CTERFXFX.SYS;CTERFXFX.SYS;c:\windows\system32\drivers\CTERFXFX.sys [23/06/2009 13:35 100888]
S3 CTERFXFX;CTERFXFX;c:\windows\system32\drivers\CTERFXFX.sys [23/06/2009 13:35 100888]
S3 CTSBLFX;CTSBLFX;c:\windows\system32\drivers\CTSBLFX.sys [23/06/2009 13:34 566296]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\e:\ntglm7x.sys --> e:\NTGLM7X.sys [?]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
gsesra
.
Contenu du dossier 'Tâches planifiées'
2010-02-13 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-11-27 18:57]
2010-02-13 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-11-27 18:57]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
IE: Add to Google Photos Screensa&ver - c:\windows\System32\GPhotos.scr/200
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.zebulon.fr/scan8/oscan8.cab
FF - ProfilePath - c:\documents and settings\Claude\Application Data\Mozilla\Firefox\Profiles\l9ohfmnc.default\
FF - prefs.js: browser.startup.homepage - www.google.fr
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Picasa3\npPicasa3.dll
FF - plugin: c:\program files\Google\Update\1.2.183.13\npGoogleOneClick8.dll
---- PARAMETRES FIREFOX ----
FF - user.js: yahoo.homepage.dontask - true.
- - - - ORPHELINS SUPPRIMES - - - -
MSConfigStartUp-Windows Update - ssms.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-13 20:04
Windows 5.1.2600 Service Pack 1 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gsesra]
"ServiceDll"="c:\windows\System32\gxuunl.dll"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(804)
c:\windows\System32\ODBC32.dll
- - - - - - - > 'lsass.exe'(860)
c:\windows\System32\dssenh.dll
- - - - - - - > 'explorer.exe'(1804)
c:\program files\Logitech\MouseWare\System\LgWndHk.dll
c:\program files\Logitech\iTouch\iTchHk.dll
c:\windows\System32\msi.dll
c:\program files\Fichiers communs\Logitech\Scrolling\LgMsgHk.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Creative\Shared Files\CTAudSvc.exe
c:\program files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
c:\windows\System32\nvsvc32.exe
c:\program files\Logitech\MouseWare\system\em_exec.exe
.
**************************************************************************
.
Heure de fin: 2010-02-13 20:06:08 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-02-13 19:06
Avant-CF: 35 339 247 616 octets libres
Après-CF: 35 367 751 680 octets libres
- - End Of File - - 30E14905082B3F7CD3543D97B342D7A0
Quelque chose de grave, docteur ?
Claude.
Les problèmes semblent persister malgré les efforts de Combofix...
Je poste le log :
ComboFix 10-02-12.01 - Claude 13/02/2010 19:59:29.1.1 - x86
Microsoft Windows XP Professionnel 5.1.2600.1.1252.33.1036.18.1247.941 [GMT 1:00]
Lancé depuis: c:\documents and settings\Claude\Mes documents\Téléchargements\papiche.exe
AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.
/wow section - STAGE 4
'play.lnk' n'est pas reconnu en tant que commande interne
ou externe, un programme exécutable ou un fichier de commandes.
'Malware' n'est pas reconnu en tant que commande interne
ou externe, un programme exécutable ou un fichier de commandes.
'play.lnk' n'est pas reconnu en tant que commande interne
ou externe, un programme exécutable ou un fichier de commandes.
'Malware' n'est pas reconnu en tant que commande interne
ou externe, un programme exécutable ou un fichier de commandes.
'play.lnk' n'est pas reconnu en tant que commande interne
ou externe, un programme exécutable ou un fichier de commandes.
'play.lnk' n'est pas reconnu en tant que commande interne
ou externe, un programme exécutable ou un fichier de commandes.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\lssas.exe
c:\windows\system32\ssms.exe
Une copie infectée de c:\windows\system32\qmgr.dll a été trouvée et désinfectée
Copie restaurée à partir de - c:\windows\ServicePackFiles\i386\qmgr.dll
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-01-13 au 2010-02-13 ))))))))))))))))))))))))))))))))))))
.
2010-02-13 17:42 . 2010-02-13 17:42 -------- d-----w- c:\documents and settings\Administrateur
2010-02-13 17:42 . 2009-11-27 16:12 -------- d--h--w- c:\documents and settings\Administrateur\Modèles
2010-02-13 17:42 . 2009-11-27 16:05 -------- d--h--w- c:\documents and settings\Administrateur\Voisinage réseau
2010-02-13 17:42 . 2009-11-27 16:05 -------- d--h--w- c:\documents and settings\Administrateur\Voisinage d'impression
2010-02-13 17:42 . 2009-11-27 16:05 -------- d-----w- c:\documents and settings\Administrateur\Mes documents
2010-02-13 17:42 . 2009-11-27 16:05 -------- d-----w- c:\documents and settings\Administrateur\Favoris
2010-02-13 17:42 . 2009-11-27 16:05 -------- d-----w- c:\documents and settings\Administrateur\Bureau
2010-02-13 17:42 . 2009-11-27 16:05 -------- d-----r- c:\documents and settings\Administrateur\Menu Démarrer
2010-02-13 17:20 . 2010-02-13 17:20 -------- d-----w- c:\windows\system32\Kaspersky Lab
2010-02-13 17:18 . 2010-02-13 17:19 -------- d-----w- c:\windows\BDOSCAN8
2010-02-06 14:44 . 2010-02-06 14:44 -------- d-----w- c:\program files\gs
2010-02-03 18:43 . 2010-02-03 18:43 -------- d-----w- c:\program files\Geonaute KeyMaze 300
2010-02-03 18:42 . 2005-07-25 09:04 48640 ------w- c:\windows\system32\drivers\ser2pl.sys
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-13 18:26 . 2010-02-13 18:29 401720 ----a-w- C:\HiJackThis.exe
2010-02-13 17:43 . 2009-11-28 15:21 -------- d-----w- c:\program files\CCleaner
2010-02-07 22:19 . 2009-11-27 18:57 -------- d-----w- c:\program files\Google
2010-02-06 14:36 . 2009-11-27 17:40 -------- d-----w- c:\program files\PDF Blender
2010-02-05 11:12 . 2009-11-27 18:07 -------- d-----w- c:\documents and settings\Claude\Application Data\vlc
2010-02-04 22:58 . 2009-11-29 22:41 -------- d-----w- c:\documents and settings\Sylviane\Application Data\vlc
2010-02-03 18:43 . 2009-11-27 16:58 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-12-27 22:23 . 2009-12-27 22:23 16760 ----a-w- c:\documents and settings\Claude\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-11-28 17:41 . 2001-08-28 12:00 48616 ----a-w- c:\windows\system32\perfc00C.dat
2009-11-28 17:41 . 2001-08-28 12:00 367658 ----a-w- c:\windows\system32\perfh00C.dat
2009-11-27 19:29 . 2009-11-27 19:29 12856 ---ha-w- c:\windows\system32\mlfcache.dat
2009-11-27 19:10 . 2009-11-27 19:10 0 ----a-w- c:\windows\nsreg.dat
2009-11-27 16:59 . 2009-11-27 16:59 444952 ----a-w- c:\windows\system32\wrap_oal.dll
2009-11-27 16:15 . 2009-11-27 16:15 80007 ----a-w- c:\windows\PCHEALTH\HELPCTR\OfflineCache\index.dat
2009-11-27 16:13 . 2009-11-27 16:13 21892 ----a-w- c:\windows\system32\emptyregdb.dat
2002-08-29 10:44 . 2001-08-28 12:00 2406104 --sha-r- c:\windows\system32\gxuunl.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2003-02-25 4497408]
"zBrowser Launcher"="c:\program files\Logitech\iTouch\iTouch.exe" [2002-11-23 631362]
"Logitech Utility"="Logi_MwX.Exe" [2002-11-08 19968]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2002-08-29 13312]
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Gamma Loader.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma Loader.lnk
backup=c:\windows\pss\Adobe Gamma Loader.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2009-09-04 11:08 935288 ----a-r- c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-10-03 03:08 35696 ----a-w- c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdslTaskBar]
2003-09-19 11:24 151552 ----a-r- c:\windows\system32\stmctrl.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTHelper]
2009-06-23 10:48 19456 ----a-w- c:\windows\system32\CtHelper.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EEventManager]
2004-08-05 14:19 118784 ------w- c:\program files\EPSON\Creativity Suite\Event Manager\EEventManager.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
2003-02-25 07:01 323584 ----a-r- c:\windows\system32\nwiz.exe
R3 camvid20;Philips ToUcam Camera; Video;c:\windows\system32\drivers\camdrv21.sys [27/11/2009 18:12 223232]
R3 COMMONFX.SYS;COMMONFX.SYS;c:\windows\system32\drivers\COMMONFX.sys [23/06/2009 13:34 99352]
R3 CTAUDFX.SYS;CTAUDFX.SYS;c:\windows\system32\drivers\CTAUDFX.sys [23/06/2009 13:34 555032]
R3 CTSBLFX.SYS;CTSBLFX.SYS;c:\windows\system32\drivers\CTSBLFX.sys [23/06/2009 13:34 566296]
R3 Stmatm;ATM/ADSL miniport;c:\windows\system32\drivers\stmatm.sys [27/11/2009 18:17 60223]
R3 TaurusUsb;ADSL Modem USB Service;c:\windows\system32\drivers\torususb.sys [27/11/2009 18:17 539138]
S2 gsesra;Task Microsoft;c:\windows\system32\svchost.exe -k netsvcs [28/08/2001 13:00 12800]
S2 gupdate1ca6f93847db72c;Service Google Update (gupdate1ca6f93847db72c);c:\program files\Google\Update\GoogleUpdate.exe [27/11/2009 19:57 133104]
S3 COMMONFX;COMMONFX;c:\windows\system32\drivers\COMMONFX.sys [23/06/2009 13:34 99352]
S3 Creative Audio Engine Licensing Service;Creative Audio Engine Licensing Service;c:\program files\Fichiers communs\Creative Labs Shared\Service\CTAELicensing.exe [27/11/2009 17:59 79360]
S3 CTAUDFX;CTAUDFX;c:\windows\system32\drivers\CTAUDFX.sys [23/06/2009 13:34 555032]
S3 CTERFXFX.SYS;CTERFXFX.SYS;c:\windows\system32\drivers\CTERFXFX.sys [23/06/2009 13:35 100888]
S3 CTERFXFX;CTERFXFX;c:\windows\system32\drivers\CTERFXFX.sys [23/06/2009 13:35 100888]
S3 CTSBLFX;CTSBLFX;c:\windows\system32\drivers\CTSBLFX.sys [23/06/2009 13:34 566296]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\e:\ntglm7x.sys --> e:\NTGLM7X.sys [?]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
gsesra
.
Contenu du dossier 'Tâches planifiées'
2010-02-13 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-11-27 18:57]
2010-02-13 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-11-27 18:57]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
IE: Add to Google Photos Screensa&ver - c:\windows\System32\GPhotos.scr/200
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.zebulon.fr/scan8/oscan8.cab
FF - ProfilePath - c:\documents and settings\Claude\Application Data\Mozilla\Firefox\Profiles\l9ohfmnc.default\
FF - prefs.js: browser.startup.homepage - www.google.fr
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Picasa3\npPicasa3.dll
FF - plugin: c:\program files\Google\Update\1.2.183.13\npGoogleOneClick8.dll
---- PARAMETRES FIREFOX ----
FF - user.js: yahoo.homepage.dontask - true.
- - - - ORPHELINS SUPPRIMES - - - -
MSConfigStartUp-Windows Update - ssms.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-13 20:04
Windows 5.1.2600 Service Pack 1 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gsesra]
"ServiceDll"="c:\windows\System32\gxuunl.dll"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(804)
c:\windows\System32\ODBC32.dll
- - - - - - - > 'lsass.exe'(860)
c:\windows\System32\dssenh.dll
- - - - - - - > 'explorer.exe'(1804)
c:\program files\Logitech\MouseWare\System\LgWndHk.dll
c:\program files\Logitech\iTouch\iTchHk.dll
c:\windows\System32\msi.dll
c:\program files\Fichiers communs\Logitech\Scrolling\LgMsgHk.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Creative\Shared Files\CTAudSvc.exe
c:\program files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
c:\windows\System32\nvsvc32.exe
c:\program files\Logitech\MouseWare\system\em_exec.exe
.
**************************************************************************
.
Heure de fin: 2010-02-13 20:06:08 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-02-13 19:06
Avant-CF: 35 339 247 616 octets libres
Après-CF: 35 367 751 680 octets libres
- - End Of File - - 30E14905082B3F7CD3543D97B342D7A0
Quelque chose de grave, docteur ?
Claude.
Plusieurs problèmes suite à ton rapport...
Je t'avais dit ceci:
Télécharge ComboFix.exe de sUBs sur ton Bureau
Il est impératif qu'il soit installé sur le bureau....
Autre chose :
AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
==> Il faut absolument intaller cette console.... !!!! --> Sinon l'outil se lance en fonctions restreintes
En conséquences :
Désinstalles Combo fix ainsi:
->Cliques sur " Démarrer "( ou combine la touche Windows + R ) -> " Executer " -> copie/colles cette ligne :
ComboFix /uninstall
-->Valides .
Et réinnstalles le à partir de ce lien
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Choisis "Enregistrer" ==> SUR LE BUREAU
Prends soin de le renommer ainsi:
Nom du fichier : tapes papiche.exe
Types : fichiers texte
Et relances COMBO.....
Poste le rapport généré...
a+
Lancé depuis: c:\documents and settings\Claude\Mes documents\Téléchargements\papiche.exe
Je t'avais dit ceci:
Télécharge ComboFix.exe de sUBs sur ton Bureau
Il est impératif qu'il soit installé sur le bureau....
Autre chose :
AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
==> Il faut absolument intaller cette console.... !!!! --> Sinon l'outil se lance en fonctions restreintes
En conséquences :
Désinstalles Combo fix ainsi:
->Cliques sur " Démarrer "( ou combine la touche Windows + R ) -> " Executer " -> copie/colles cette ligne :
ComboFix /uninstall
-->Valides .
Et réinnstalles le à partir de ce lien
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Choisis "Enregistrer" ==> SUR LE BUREAU
Prends soin de le renommer ainsi:
Nom du fichier : tapes papiche.exe
Types : fichiers texte
Et relances COMBO.....
Poste le rapport généré...
a+
Re-bonjour.
J'ai tout recommencé, après avoir installé la console etc...
Bon, les problèmes sont toujours les mêmes mais j'ai un nouveau log.
(Ceci dit, je n'ai pas d'antivirus ni d'antispyware, étant donné que je ne peux accéder à aucun site !)
ComboFix 10-02-12.01 - Claude 13/02/2010 21:09:45.2.1 - x86
Microsoft Windows XP Professionnel 5.1.2600.1.1252.33.1036.18.1247.949 [GMT 1:00]
Lancé depuis: c:\documents and settings\Claude\Bureau\papiche.exe
.
/wow section - STAGE 4
'play.lnk' n'est pas reconnu en tant que commande interne
ou externe, un programme exécutable ou un fichier de commandes.
'Malware' n'est pas reconnu en tant que commande interne
ou externe, un programme exécutable ou un fichier de commandes.
'play.lnk' n'est pas reconnu en tant que commande interne
ou externe, un programme exécutable ou un fichier de commandes.
'Malware' n'est pas reconnu en tant que commande interne
ou externe, un programme exécutable ou un fichier de commandes.
'play.lnk' n'est pas reconnu en tant que commande interne
ou externe, un programme exécutable ou un fichier de commandes.
'play.lnk' n'est pas reconnu en tant que commande interne
ou externe, un programme exécutable ou un fichier de commandes.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
Une copie infectée de c:\windows\system32\qmgr.dll a été trouvée et désinfectée
Copie restaurée à partir de - c:\windows\ERDNT\cache\qmgr.dll
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-01-13 au 2010-02-13 ))))))))))))))))))))))))))))))))))))
.
2010-02-13 17:42 . 2010-02-13 17:42 -------- d-----w- c:\documents and settings\Administrateur
2010-02-13 17:42 . 2009-11-27 16:12 -------- d--h--w- c:\documents and settings\Administrateur\Modèles
2010-02-13 17:42 . 2009-11-27 16:05 -------- d--h--w- c:\documents and settings\Administrateur\Voisinage réseau
2010-02-13 17:42 . 2009-11-27 16:05 -------- d--h--w- c:\documents and settings\Administrateur\Voisinage d'impression
2010-02-13 17:42 . 2009-11-27 16:05 -------- d-----w- c:\documents and settings\Administrateur\Mes documents
2010-02-13 17:42 . 2009-11-27 16:05 -------- d-----w- c:\documents and settings\Administrateur\Favoris
2010-02-13 17:42 . 2009-11-27 16:05 -------- d-----w- c:\documents and settings\Administrateur\Bureau
2010-02-13 17:42 . 2009-11-27 16:05 -------- d-----r- c:\documents and settings\Administrateur\Menu Démarrer
2010-02-13 17:20 . 2010-02-13 17:20 -------- d-----w- c:\windows\system32\Kaspersky Lab
2010-02-13 17:18 . 2010-02-13 17:19 -------- d-----w- c:\windows\BDOSCAN8
2010-02-06 14:44 . 2010-02-06 14:44 -------- d-----w- c:\program files\gs
2010-02-03 18:43 . 2010-02-03 18:43 -------- d-----w- c:\program files\Geonaute KeyMaze 300
2010-02-03 18:42 . 2005-07-25 09:04 48640 ------w- c:\windows\system32\drivers\ser2pl.sys
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-13 18:26 . 2010-02-13 18:29 401720 ----a-w- C:\HiJackThis.exe
2010-02-13 17:43 . 2009-11-28 15:21 -------- d-----w- c:\program files\CCleaner
2010-02-07 22:19 . 2009-11-27 18:57 -------- d-----w- c:\program files\Google
2010-02-06 14:36 . 2009-11-27 17:40 -------- d-----w- c:\program files\PDF Blender
2010-02-05 11:12 . 2009-11-27 18:07 -------- d-----w- c:\documents and settings\Claude\Application Data\vlc
2010-02-04 22:58 . 2009-11-29 22:41 -------- d-----w- c:\documents and settings\Sylviane\Application Data\vlc
2010-02-03 18:43 . 2009-11-27 16:58 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-12-27 22:23 . 2009-12-27 22:23 16760 ----a-w- c:\documents and settings\Claude\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-11-28 17:41 . 2001-08-28 12:00 48616 ----a-w- c:\windows\system32\perfc00C.dat
2009-11-28 17:41 . 2001-08-28 12:00 367658 ----a-w- c:\windows\system32\perfh00C.dat
2009-11-27 19:29 . 2009-11-27 19:29 12856 ---ha-w- c:\windows\system32\mlfcache.dat
2009-11-27 19:10 . 2009-11-27 19:10 0 ----a-w- c:\windows\nsreg.dat
2009-11-27 16:59 . 2009-11-27 16:59 444952 ----a-w- c:\windows\system32\wrap_oal.dll
2009-11-27 16:15 . 2009-11-27 16:15 80007 ----a-w- c:\windows\PCHEALTH\HELPCTR\OfflineCache\index.dat
2009-11-27 16:13 . 2009-11-27 16:13 21892 ----a-w- c:\windows\system32\emptyregdb.dat
2002-08-29 10:44 . 2001-08-28 12:00 2406104 --sha-r- c:\windows\system32\gxuunl.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2003-02-25 4497408]
"zBrowser Launcher"="c:\program files\Logitech\iTouch\iTouch.exe" [2002-11-23 631362]
"Logitech Utility"="Logi_MwX.Exe" [2002-11-08 19968]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2002-08-29 13312]
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Gamma Loader.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma Loader.lnk
backup=c:\windows\pss\Adobe Gamma Loader.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2009-09-04 11:08 935288 ----a-r- c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-10-03 03:08 35696 ----a-w- c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdslTaskBar]
2003-09-19 11:24 151552 ----a-r- c:\windows\system32\stmctrl.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTHelper]
2009-06-23 10:48 19456 ----a-w- c:\windows\system32\CtHelper.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EEventManager]
2004-08-05 14:19 118784 ------w- c:\program files\EPSON\Creativity Suite\Event Manager\EEventManager.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
2003-02-25 07:01 323584 ----a-r- c:\windows\system32\nwiz.exe
R3 camvid20;Philips ToUcam Camera; Video;c:\windows\system32\drivers\camdrv21.sys [27/11/2009 18:12 223232]
R3 COMMONFX.SYS;COMMONFX.SYS;c:\windows\system32\drivers\COMMONFX.sys [23/06/2009 13:34 99352]
R3 CTAUDFX.SYS;CTAUDFX.SYS;c:\windows\system32\drivers\CTAUDFX.sys [23/06/2009 13:34 555032]
R3 CTSBLFX.SYS;CTSBLFX.SYS;c:\windows\system32\drivers\CTSBLFX.sys [23/06/2009 13:34 566296]
R3 Stmatm;ATM/ADSL miniport;c:\windows\system32\drivers\stmatm.sys [27/11/2009 18:17 60223]
R3 TaurusUsb;ADSL Modem USB Service;c:\windows\system32\drivers\torususb.sys [27/11/2009 18:17 539138]
S2 gsesra;Task Microsoft;c:\windows\system32\svchost.exe -k netsvcs [28/08/2001 13:00 12800]
S2 gupdate1ca6f93847db72c;Service Google Update (gupdate1ca6f93847db72c);c:\program files\Google\Update\GoogleUpdate.exe [27/11/2009 19:57 133104]
S3 COMMONFX;COMMONFX;c:\windows\system32\drivers\COMMONFX.sys [23/06/2009 13:34 99352]
S3 Creative Audio Engine Licensing Service;Creative Audio Engine Licensing Service;c:\program files\Fichiers communs\Creative Labs Shared\Service\CTAELicensing.exe [27/11/2009 17:59 79360]
S3 CTAUDFX;CTAUDFX;c:\windows\system32\drivers\CTAUDFX.sys [23/06/2009 13:34 555032]
S3 CTERFXFX.SYS;CTERFXFX.SYS;c:\windows\system32\drivers\CTERFXFX.sys [23/06/2009 13:35 100888]
S3 CTERFXFX;CTERFXFX;c:\windows\system32\drivers\CTERFXFX.sys [23/06/2009 13:35 100888]
S3 CTSBLFX;CTSBLFX;c:\windows\system32\drivers\CTSBLFX.sys [23/06/2009 13:34 566296]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\e:\ntglm7x.sys --> e:\NTGLM7X.sys [?]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
gsesra
.
Contenu du dossier 'Tâches planifiées'
2010-02-13 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-11-27 18:57]
2010-02-13 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-11-27 18:57]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
IE: Add to Google Photos Screensa&ver - c:\windows\System32\GPhotos.scr/200
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.zebulon.fr/scan8/oscan8.cab
FF - ProfilePath - c:\documents and settings\Claude\Application Data\Mozilla\Firefox\Profiles\l9ohfmnc.default\
FF - prefs.js: browser.startup.homepage - www.google.fr
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Picasa3\npPicasa3.dll
FF - plugin: c:\program files\Google\Update\1.2.183.13\npGoogleOneClick8.dll
---- PARAMETRES FIREFOX ----
FF - user.js: yahoo.homepage.dontask - true.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-13 21:14
Windows 5.1.2600 Service Pack 1 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gsesra]
"ServiceDll"="c:\windows\System32\gxuunl.dll"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(800)
c:\windows\System32\ODBC32.dll
- - - - - - - > 'lsass.exe'(856)
c:\windows\System32\dssenh.dll
- - - - - - - > 'explorer.exe'(1764)
c:\program files\Logitech\MouseWare\System\LgWndHk.dll
c:\program files\Logitech\iTouch\iTchHk.dll
c:\windows\System32\msi.dll
c:\program files\Fichiers communs\Logitech\Scrolling\LgMsgHk.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Creative\Shared Files\CTAudSvc.exe
c:\program files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
c:\windows\System32\nvsvc32.exe
c:\program files\Logitech\MouseWare\system\em_exec.exe
.
**************************************************************************
.
Heure de fin: 2010-02-13 21:16:30 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-02-13 20:16
ComboFix2.txt 2010-02-13 19:06
Avant-CF: 35 364 462 592 octets libres
Après-CF: 35 336 519 680 octets libres
- - End Of File - - CCD8E9A993B340D93312659D86815828
Merci de ton aide !
Claude.
J'ai tout recommencé, après avoir installé la console etc...
Bon, les problèmes sont toujours les mêmes mais j'ai un nouveau log.
(Ceci dit, je n'ai pas d'antivirus ni d'antispyware, étant donné que je ne peux accéder à aucun site !)
ComboFix 10-02-12.01 - Claude 13/02/2010 21:09:45.2.1 - x86
Microsoft Windows XP Professionnel 5.1.2600.1.1252.33.1036.18.1247.949 [GMT 1:00]
Lancé depuis: c:\documents and settings\Claude\Bureau\papiche.exe
.
/wow section - STAGE 4
'play.lnk' n'est pas reconnu en tant que commande interne
ou externe, un programme exécutable ou un fichier de commandes.
'Malware' n'est pas reconnu en tant que commande interne
ou externe, un programme exécutable ou un fichier de commandes.
'play.lnk' n'est pas reconnu en tant que commande interne
ou externe, un programme exécutable ou un fichier de commandes.
'Malware' n'est pas reconnu en tant que commande interne
ou externe, un programme exécutable ou un fichier de commandes.
'play.lnk' n'est pas reconnu en tant que commande interne
ou externe, un programme exécutable ou un fichier de commandes.
'play.lnk' n'est pas reconnu en tant que commande interne
ou externe, un programme exécutable ou un fichier de commandes.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
Une copie infectée de c:\windows\system32\qmgr.dll a été trouvée et désinfectée
Copie restaurée à partir de - c:\windows\ERDNT\cache\qmgr.dll
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-01-13 au 2010-02-13 ))))))))))))))))))))))))))))))))))))
.
2010-02-13 17:42 . 2010-02-13 17:42 -------- d-----w- c:\documents and settings\Administrateur
2010-02-13 17:42 . 2009-11-27 16:12 -------- d--h--w- c:\documents and settings\Administrateur\Modèles
2010-02-13 17:42 . 2009-11-27 16:05 -------- d--h--w- c:\documents and settings\Administrateur\Voisinage réseau
2010-02-13 17:42 . 2009-11-27 16:05 -------- d--h--w- c:\documents and settings\Administrateur\Voisinage d'impression
2010-02-13 17:42 . 2009-11-27 16:05 -------- d-----w- c:\documents and settings\Administrateur\Mes documents
2010-02-13 17:42 . 2009-11-27 16:05 -------- d-----w- c:\documents and settings\Administrateur\Favoris
2010-02-13 17:42 . 2009-11-27 16:05 -------- d-----w- c:\documents and settings\Administrateur\Bureau
2010-02-13 17:42 . 2009-11-27 16:05 -------- d-----r- c:\documents and settings\Administrateur\Menu Démarrer
2010-02-13 17:20 . 2010-02-13 17:20 -------- d-----w- c:\windows\system32\Kaspersky Lab
2010-02-13 17:18 . 2010-02-13 17:19 -------- d-----w- c:\windows\BDOSCAN8
2010-02-06 14:44 . 2010-02-06 14:44 -------- d-----w- c:\program files\gs
2010-02-03 18:43 . 2010-02-03 18:43 -------- d-----w- c:\program files\Geonaute KeyMaze 300
2010-02-03 18:42 . 2005-07-25 09:04 48640 ------w- c:\windows\system32\drivers\ser2pl.sys
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-13 18:26 . 2010-02-13 18:29 401720 ----a-w- C:\HiJackThis.exe
2010-02-13 17:43 . 2009-11-28 15:21 -------- d-----w- c:\program files\CCleaner
2010-02-07 22:19 . 2009-11-27 18:57 -------- d-----w- c:\program files\Google
2010-02-06 14:36 . 2009-11-27 17:40 -------- d-----w- c:\program files\PDF Blender
2010-02-05 11:12 . 2009-11-27 18:07 -------- d-----w- c:\documents and settings\Claude\Application Data\vlc
2010-02-04 22:58 . 2009-11-29 22:41 -------- d-----w- c:\documents and settings\Sylviane\Application Data\vlc
2010-02-03 18:43 . 2009-11-27 16:58 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-12-27 22:23 . 2009-12-27 22:23 16760 ----a-w- c:\documents and settings\Claude\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-11-28 17:41 . 2001-08-28 12:00 48616 ----a-w- c:\windows\system32\perfc00C.dat
2009-11-28 17:41 . 2001-08-28 12:00 367658 ----a-w- c:\windows\system32\perfh00C.dat
2009-11-27 19:29 . 2009-11-27 19:29 12856 ---ha-w- c:\windows\system32\mlfcache.dat
2009-11-27 19:10 . 2009-11-27 19:10 0 ----a-w- c:\windows\nsreg.dat
2009-11-27 16:59 . 2009-11-27 16:59 444952 ----a-w- c:\windows\system32\wrap_oal.dll
2009-11-27 16:15 . 2009-11-27 16:15 80007 ----a-w- c:\windows\PCHEALTH\HELPCTR\OfflineCache\index.dat
2009-11-27 16:13 . 2009-11-27 16:13 21892 ----a-w- c:\windows\system32\emptyregdb.dat
2002-08-29 10:44 . 2001-08-28 12:00 2406104 --sha-r- c:\windows\system32\gxuunl.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2003-02-25 4497408]
"zBrowser Launcher"="c:\program files\Logitech\iTouch\iTouch.exe" [2002-11-23 631362]
"Logitech Utility"="Logi_MwX.Exe" [2002-11-08 19968]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2002-08-29 13312]
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Gamma Loader.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma Loader.lnk
backup=c:\windows\pss\Adobe Gamma Loader.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2009-09-04 11:08 935288 ----a-r- c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-10-03 03:08 35696 ----a-w- c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdslTaskBar]
2003-09-19 11:24 151552 ----a-r- c:\windows\system32\stmctrl.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTHelper]
2009-06-23 10:48 19456 ----a-w- c:\windows\system32\CtHelper.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EEventManager]
2004-08-05 14:19 118784 ------w- c:\program files\EPSON\Creativity Suite\Event Manager\EEventManager.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
2003-02-25 07:01 323584 ----a-r- c:\windows\system32\nwiz.exe
R3 camvid20;Philips ToUcam Camera; Video;c:\windows\system32\drivers\camdrv21.sys [27/11/2009 18:12 223232]
R3 COMMONFX.SYS;COMMONFX.SYS;c:\windows\system32\drivers\COMMONFX.sys [23/06/2009 13:34 99352]
R3 CTAUDFX.SYS;CTAUDFX.SYS;c:\windows\system32\drivers\CTAUDFX.sys [23/06/2009 13:34 555032]
R3 CTSBLFX.SYS;CTSBLFX.SYS;c:\windows\system32\drivers\CTSBLFX.sys [23/06/2009 13:34 566296]
R3 Stmatm;ATM/ADSL miniport;c:\windows\system32\drivers\stmatm.sys [27/11/2009 18:17 60223]
R3 TaurusUsb;ADSL Modem USB Service;c:\windows\system32\drivers\torususb.sys [27/11/2009 18:17 539138]
S2 gsesra;Task Microsoft;c:\windows\system32\svchost.exe -k netsvcs [28/08/2001 13:00 12800]
S2 gupdate1ca6f93847db72c;Service Google Update (gupdate1ca6f93847db72c);c:\program files\Google\Update\GoogleUpdate.exe [27/11/2009 19:57 133104]
S3 COMMONFX;COMMONFX;c:\windows\system32\drivers\COMMONFX.sys [23/06/2009 13:34 99352]
S3 Creative Audio Engine Licensing Service;Creative Audio Engine Licensing Service;c:\program files\Fichiers communs\Creative Labs Shared\Service\CTAELicensing.exe [27/11/2009 17:59 79360]
S3 CTAUDFX;CTAUDFX;c:\windows\system32\drivers\CTAUDFX.sys [23/06/2009 13:34 555032]
S3 CTERFXFX.SYS;CTERFXFX.SYS;c:\windows\system32\drivers\CTERFXFX.sys [23/06/2009 13:35 100888]
S3 CTERFXFX;CTERFXFX;c:\windows\system32\drivers\CTERFXFX.sys [23/06/2009 13:35 100888]
S3 CTSBLFX;CTSBLFX;c:\windows\system32\drivers\CTSBLFX.sys [23/06/2009 13:34 566296]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\e:\ntglm7x.sys --> e:\NTGLM7X.sys [?]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
gsesra
.
Contenu du dossier 'Tâches planifiées'
2010-02-13 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-11-27 18:57]
2010-02-13 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-11-27 18:57]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
IE: Add to Google Photos Screensa&ver - c:\windows\System32\GPhotos.scr/200
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.zebulon.fr/scan8/oscan8.cab
FF - ProfilePath - c:\documents and settings\Claude\Application Data\Mozilla\Firefox\Profiles\l9ohfmnc.default\
FF - prefs.js: browser.startup.homepage - www.google.fr
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Picasa3\npPicasa3.dll
FF - plugin: c:\program files\Google\Update\1.2.183.13\npGoogleOneClick8.dll
---- PARAMETRES FIREFOX ----
FF - user.js: yahoo.homepage.dontask - true.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-13 21:14
Windows 5.1.2600 Service Pack 1 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gsesra]
"ServiceDll"="c:\windows\System32\gxuunl.dll"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(800)
c:\windows\System32\ODBC32.dll
- - - - - - - > 'lsass.exe'(856)
c:\windows\System32\dssenh.dll
- - - - - - - > 'explorer.exe'(1764)
c:\program files\Logitech\MouseWare\System\LgWndHk.dll
c:\program files\Logitech\iTouch\iTchHk.dll
c:\windows\System32\msi.dll
c:\program files\Fichiers communs\Logitech\Scrolling\LgMsgHk.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Creative\Shared Files\CTAudSvc.exe
c:\program files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
c:\windows\System32\nvsvc32.exe
c:\program files\Logitech\MouseWare\system\em_exec.exe
.
**************************************************************************
.
Heure de fin: 2010-02-13 21:16:30 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-02-13 20:16
ComboFix2.txt 2010-02-13 19:06
Avant-CF: 35 364 462 592 octets libres
Après-CF: 35 336 519 680 octets libres
- - End Of File - - CCD8E9A993B340D93312659D86815828
Merci de ton aide !
Claude.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Télécharge RSIT (de random/random) sur le bureau :
(Utilitaire de diagnostic)
- Double clique sur RSIT.exe qui est sur le bureau
- Clique sur "Continue" dans la fenêtre
- RSIT téléchargera HijackThis si il n’est pas présent où détecté, alors il faudra accepter la licence
- Poste le contenu de log.txt plus info.txt (réduit ds la barre de taches) à la fin de l’analyse .
Les rapports sont dans le dossier ici C:\rsit
a+
(Utilitaire de diagnostic)
- Double clique sur RSIT.exe qui est sur le bureau
- Clique sur "Continue" dans la fenêtre
- RSIT téléchargera HijackThis si il n’est pas présent où détecté, alors il faudra accepter la licence
- Poste le contenu de log.txt plus info.txt (réduit ds la barre de taches) à la fin de l’analyse .
Les rapports sont dans le dossier ici C:\rsit
a+
Je suis dans l'impossibilité de télécharger RSIT !
"Erreur de chargement de la page" apparaît à chaque fois que j'essaye de me connecter sur un site plus ou moins proche d'un antivirus...
J'ai jeté un oeil sur Google pour RSIT, mais rien de mieux malheureusement...
Tu as une idée ?
"Erreur de chargement de la page" apparaît à chaque fois que j'essaye de me connecter sur un site plus ou moins proche d'un antivirus...
J'ai jeté un oeil sur Google pour RSIT, mais rien de mieux malheureusement...
Tu as une idée ?
Télécharge rkill
https://download.bleepingcomputer.com/grinler/rkill.exe
Enregistre-le sur ton Bureau
Double-clique sur l'icone rkill ( pour Vista/Seven clic-droit Exécuter en tant qu'Administrateur)
Un bref écran noir t'indiquera que le tool s'est correctement exécuté, s'il ne lance pas change de lien de téléchargement en utilisant le suivant à partir d'ici:
http://download.bleepingcomputer.com/grinler/rkill.pif
https://download.bleepingcomputer.com/grinler/rkill.scr
https://download.bleepingcomputer.com/grinler/rkill.com
PUIS :
Fais un scan avec cet antispyware :
Malwarebytes + tutoriel
Tu l´installes; mets le a jour...(onglet mise a jour)
Click maintenant sur l´onglet recherche et coche la case :
"Executer un examen rapide".
Puis click sur "rechercher".
Laisses le scanner le pc...
A la fin du scan, clique sur Afficher les résultats
Si des elements on ete trouvés :
> click sur supprimer la selection.si il t´es demandé de redemarrer > click sur "oui".
A la fin un rapport va s´ouvrir;
sauvegarde le de maniere a le retrouver en vue de le poster sur le forum.
Copies et colles le rapport stp. a+
a+
........
https://download.bleepingcomputer.com/grinler/rkill.exe
Enregistre-le sur ton Bureau
Double-clique sur l'icone rkill ( pour Vista/Seven clic-droit Exécuter en tant qu'Administrateur)
Un bref écran noir t'indiquera que le tool s'est correctement exécuté, s'il ne lance pas change de lien de téléchargement en utilisant le suivant à partir d'ici:
http://download.bleepingcomputer.com/grinler/rkill.pif
https://download.bleepingcomputer.com/grinler/rkill.scr
https://download.bleepingcomputer.com/grinler/rkill.com
PUIS :
Fais un scan avec cet antispyware :
Malwarebytes + tutoriel
Tu l´installes; mets le a jour...(onglet mise a jour)
Click maintenant sur l´onglet recherche et coche la case :
"Executer un examen rapide".
Puis click sur "rechercher".
Laisses le scanner le pc...
A la fin du scan, clique sur Afficher les résultats
Si des elements on ete trouvés :
> click sur supprimer la selection.si il t´es demandé de redemarrer > click sur "oui".
A la fin un rapport va s´ouvrir;
sauvegarde le de maniere a le retrouver en vue de le poster sur le forum.
Copies et colles le rapport stp. a+
a+
........
Bonjour, et merci pour ton aide.
J'ai téléchargé et lancé rkill :
"""This log file is located at C:\rkill.log.
Please post this only if requested to by the person helping you.
Otherwise you can close this log when you wish.
Ran as Claude on 14/02/2010 at 10:47:43.
Processes terminated by Rkill or while it was running:
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Documents and Settings\Claude\Bureau\rkill.exe
Rkill completed on 14/02/2010 at 10:47:46."""
Puis je me suis connecté au site Malwarebytes, mais je n'ai pas pu télécharger le pgm ("serveur introuvable"). Alors, je me le suis fait envoyer d'un autre PC, et je l'ai lancé :
"""Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3510
Windows 5.1.2600 Service Pack 1
Internet Explorer 6.0.2800.1106
14/02/2010 11:45:27
mbam-log-2010-02-14 (11-45-27).txt
Type de recherche: Examen rapide
Eléments examinés: 116260
Temps écoulé: 4 minute(s), 19 second(s)
Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
C:\WINDOWS\system32\ssms.exe (Backdoor.IRCBot) -> Unloaded process successfully.
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\OLE\windows update (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows update (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\windows update (Backdoor.Bot) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\WINDOWS\system32\ssms.exe (Backdoor.IRCBot) -> Quarantined and deleted successfully."""
...Toujours les mêmes symptômes : upload permanent et blocage des sites antivirus...
... à suivre...
J'ai téléchargé et lancé rkill :
"""This log file is located at C:\rkill.log.
Please post this only if requested to by the person helping you.
Otherwise you can close this log when you wish.
Ran as Claude on 14/02/2010 at 10:47:43.
Processes terminated by Rkill or while it was running:
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Documents and Settings\Claude\Bureau\rkill.exe
Rkill completed on 14/02/2010 at 10:47:46."""
Puis je me suis connecté au site Malwarebytes, mais je n'ai pas pu télécharger le pgm ("serveur introuvable"). Alors, je me le suis fait envoyer d'un autre PC, et je l'ai lancé :
"""Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3510
Windows 5.1.2600 Service Pack 1
Internet Explorer 6.0.2800.1106
14/02/2010 11:45:27
mbam-log-2010-02-14 (11-45-27).txt
Type de recherche: Examen rapide
Eléments examinés: 116260
Temps écoulé: 4 minute(s), 19 second(s)
Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
C:\WINDOWS\system32\ssms.exe (Backdoor.IRCBot) -> Unloaded process successfully.
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\OLE\windows update (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows update (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\windows update (Backdoor.Bot) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\WINDOWS\system32\ssms.exe (Backdoor.IRCBot) -> Quarantined and deleted successfully."""
...Toujours les mêmes symptômes : upload permanent et blocage des sites antivirus...
... à suivre...
Re,
Vas ds l'onglet "quarantaine" de Malwarebytes
et supprimes tout...
Télécharge List&Kill'em et enregistre le sur ton bureau
http://sd-1.archive-host.com/membres/up/829108531491024/List_Killem_Install.exe
Branche clés usb , disques durs externes , mp3 , mp4 , etc..
double clique sur le raccourci sur ton bureau pour lancer l'installation
coche la case "creer une icone sur le bureau"
une fois terminée , clic sur "terminer" et le programme se lancera seul
choisis la langue puis choisis l'option 1 = Mode Recherche
laisse travailler l'outil
à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.
un rapport du nom de catchme apparait sur ton bureau , ignore-le,ne le poste pas , mais ne le supprime pas pour l instant, le scan n'est pas fini.
Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"
tu peux supprimer le rapport catchme.log de ton bureau maintenant.
======================================
a+
Vas ds l'onglet "quarantaine" de Malwarebytes
et supprimes tout...
Télécharge List&Kill'em et enregistre le sur ton bureau
http://sd-1.archive-host.com/membres/up/829108531491024/List_Killem_Install.exe
Branche clés usb , disques durs externes , mp3 , mp4 , etc..
double clique sur le raccourci sur ton bureau pour lancer l'installation
coche la case "creer une icone sur le bureau"
une fois terminée , clic sur "terminer" et le programme se lancera seul
choisis la langue puis choisis l'option 1 = Mode Recherche
laisse travailler l'outil
à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.
un rapport du nom de catchme apparait sur ton bureau , ignore-le,ne le poste pas , mais ne le supprime pas pour l instant, le scan n'est pas fini.
Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"
tu peux supprimer le rapport catchme.log de ton bureau maintenant.
======================================
a+
Re !
Voici le rapport :
List'em by g3n-h@ckm@n 1.2.5.0
User : Claude (Administrateurs)
Update on 08/02/2010 by g3n-h@ckm@n ::::: 15.30
Start at: 12:52:49 | 14/02/2010
Contact : https://forums.commentcamarche.net/forum/virus-securite-7
AMD Athlon(tm)
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 1
Internet Explorer 6.0.2800.1106
A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local | 39,06 Go (32,96 Go free) | NTFS
D:\ -> Disque fixe local | 72,69 Go (2,06 Go free) [Données] | NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Creative\Shared Files\CTAudSvc.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\List_Kill'em\List_Kill'em.scr
C:\WINDOWS\System32\cmd.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Documents and Settings\Claude\Local Settings\temp\A.tmp\pv.exe
======================
Keys "Run"
======================
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
NvCplDaemon REG_SZ RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
zBrowser Launcher REG_SZ C:\Program Files\Logitech\iTouch\iTouch.exe
Logitech Utility REG_SZ Logi_MwX.Exe
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
=====================
Other Keys
=====================
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
dontdisplaylastusername REG_DWORD 0 (0x0)
legalnoticecaption REG_SZ
legalnoticetext REG_SZ
shutdownwithoutlogon REG_DWORD 1 (0x1)
undockwithoutlogon REG_DWORD 1 (0x1)
DisableRegistryTools REG_DWORD 0 (0x0)
===============
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
NoDriveTypeAutoRun REG_DWORD 323 (0x143)
NoDriveAutoRun REG_DWORD 67108863 (0x3ffffff)
NoDrives REG_DWORD 0 (0x0)
===============
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
NoDriveAutoRun REG_DWORD 67108863 (0x3ffffff)
NoDriveTypeAutoRun REG_DWORD 323 (0x143)
NoDrives REG_DWORD 0 (0x0)
===============
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
===============
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
AutoRestartShell REG_DWORD 1 (0x1)
DefaultDomainName REG_SZ PC-CLAUDE
DefaultUserName REG_SZ Claude
LegalNoticeCaption REG_SZ
LegalNoticeText REG_SZ
PowerdownAfterShutdown REG_SZ 0
ReportBootOk REG_SZ 1
Shell REG_SZ Explorer.exe
ShutdownWithoutLogon REG_SZ 0
System REG_SZ
Userinit REG_SZ C:\WINDOWS\system32\userinit.exe,
VmApplet REG_SZ rundll32 shell32,Control_RunDLL "sysdm.cpl"
SfcQuota REG_DWORD -1 (0xffffffff)
allocatecdroms REG_SZ 0
allocatedasd REG_SZ 0
allocatefloppies REG_SZ 0
cachedlogonscount REG_SZ 10
forceunlocklogon REG_DWORD 0 (0x0)
passwordexpirywarning REG_DWORD 14 (0xe)
scremoveoption REG_SZ 0
AllowMultipleTSSessions REG_DWORD 1 (0x1)
UIHost REG_EXPAND_SZ logonui.exe
LogonType REG_DWORD 1 (0x1)
Background REG_SZ 0 0 0
DebugServerCommand REG_SZ no
SFCDisable REG_DWORD 0 (0x0)
WinStationsDisabled REG_SZ 0
HibernationPreviouslyEnabled REG_DWORD 1 (0x1)
ShowLogonOptions REG_DWORD 0 (0x0)
AltDefaultUserName REG_SZ Claude
AltDefaultDomainName REG_SZ PC-CLAUDE
===============
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\crypt32chain]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\cryptnet]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\cscdll]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ScCertProp]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Schedule]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\sclgntfy]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\SensLogn]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\termsrv]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wlballoon]
===============
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
{AEB6717E-7E19-11d0-97EE-00C04FD91972} REG_SZ
===============
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
===============
ActivX controls
===============
HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75}
HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{166B1BCA-3F9C-11CF-8075-444553540000}
HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{5D86DDB5-BDF9-441B-9E9E-D4730F4EE499}
HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{D27CDB6E-AE6D-11CF-96B8-444553540000}
HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}
===============
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\%GUID%
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{26923b43-4d38-484f-9b9e-de460746276c}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10072CEC-8CC1-11D1-986E-00A0C955B42F}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2179C5D3-EBFF-11CF-B6FD-00AA00B4E220}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{22d6f312-b0f6-11d0-94ab-0080c74c7e95}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{283807B5-2C60-11D0-A31D-00AA00B92C03}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{306D6C21-C1B6-4629-986C-E59E1875B8AF}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{36f8ec70-c29a-11d1-b5c7-0000f8051515}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{3af36230-a269-11d1-b5bf-0000f8051515}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{3bf42070-b3b1-11d1-b5c5-0000f8051515}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4278c270-a269-11d1-b5bf-0000f8051515}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA842-CC51-11CF-AAFA-00AA00B6015B}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA848-CC51-11CF-AAFA-00AA00B6015C}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA855-CC51-11CF-AAFA-00AA00B6015F}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{45ea75a0-a269-11d1-b5bf-0000f8051515}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4f216970-c90c-11d1-b5c7-0000f8051515}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4f645220-306d-11d2-995d-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5945c046-1e7d-11d1-bc44-00c04fd912be}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5A8D6EE0-3E18-11D0-821E-444553540000}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5fd399c0-a70a-11d1-9948-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{630b1da0-b465-11d1-9948-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6fab99d0-bab8-11d1-994a-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{73FA19D0-2D75-11D2-995D-00C04F98BBC9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7790769C-0471-11d2-AF11-00C04FA35D02}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4340}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4383}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9381D8F2-0288-11D0-9501-00AA00B911A5}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C9E9A340-D1F1-11D0-821E-444553540600}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{CC2A9BA0-3BDD-11D0-821E-444553540000}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{D27CDB6E-AE6D-11cf-96B8-444553540000}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{de5aed00-a4bf-11d1-9948-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E92B03AB-B707-11d2-9CBD-0000F87A369E}
==============
BHO :
======
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
================
Internet Explorer :
================
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page REG_SZ http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page REG_SZ https://www.google.fr/?gws_rd=ssl
========
Services
========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]
Ndisuio : 0x3 ( OK = 3 )
SharedAccess : 0x4 ( OK = 2 )
wuauserv : 0x4 ( OK = 2 )
=========
Atapi.sys
=========
%%%% HASHDEEP-1.0
%%%% size,md5,sha256,filename
## Invoked from: C:\Documents and Settings\Claude\Local Settings\temp\A.tmp
## C:\> hashdeep C:\WINDOWS\System32\Drivers\atapi.sys
##
86912,95b858761a00e1d4f81f79a0da019aca,5e41dae055bcb8ee8ad23d3c77d69df09c6b1e301c889aec6f02193d7dec352b,C:\WINDOWS\System32\Drivers\atapi.sys
Sources
=======
C:\WINDOWS\ERDNT\cache\atapi.sys
C:\WINDOWS\ServicePackFiles\i386\atapi.sys
C:\WINDOWS\system32\drivers\atapi.sys
C:\WINDOWS\system32\ReinstallBackups\0006\DriverFiles\i386\atapi.sys
Référence :
==========
Win XP_32b : a64013e98426e1877cb653685c5c0009
Win XP_SP2_32b : CDFE4411A69C224BD1D11B2DA92DAC51
Win XP_SP3_32b : 9F3A2F5AA6875C72BF062C712CFA2674
Vista_32b : e03e8c99d15d0381e02743c36afc7c6f
Vista_SP1_32b : 2d9c903dc76a66813d350a562de40ed9
Vista_SP2_32b : 1F05B78AB91C9075565A9D8A4B880BC4
Vista_SP2_64b : 1898FAE8E07D97F2F6C2D5326C633FAC
Windows 7_32b : 80C40F7FDFC376E4C5FEEC28B41C119E
Windows 7_64b : 02062C0B390B7729EDC9E69C680A6F3C
=======
Drive :
=======
D‚fragmenteur de disque Windows
Copyright (c) 2001 Microsoft Corp. et Executive Software International Inc.
Rapport d'analyse
39,06 Go total, 32,96 Go libre (84%), 17% fragment‚ (fragmentation du fichier 34%)
Vous devriez d‚fragmenter ce volume.
¤¤¤¤¤¤¤¤¤¤ Files/folders :
Present !! : C:\WINDOWS\000001_.tmp
Present !! : C:\WINDOWS\SET3.tmp
Present !! : C:\WINDOWS\SET7.tmp
Present !! : C:\WINDOWS\mbr.exe
Present !! : C:\WINDOWS\System32\_*.dll
Present !! : C:\Documents and Settings\Claude\Application Data\GDIPFONTCACHEV1.DAT
Present !! : C:\Documents and Settings\Claude\Application Data\GDIPFONTCACHEV1.DAT
¤¤¤¤¤¤¤¤¤¤ Keys :
Present !! : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{0E5CBF21-D15F-11D0-8301-00AA005B4383}
Present !! : HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives
Present !! : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives
Present !! : HKEY_USERS\S-1-5-21-1275210071-1060284298-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives
Present !! : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe"
Present !! : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe"
============
catchme 0.3.1398.3 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-14 12:58:55
Windows 5.1.2600 Service Pack 1 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gsesra]
"DisplayName"="Task Microsoft"
"Type"=dword:00000020
"Start"=dword:00000002
"ErrorControl"=dword:00000000
"ImagePath"=str(2):"%SystemRoot%\system32\svchost.exe -k netsvcs"
"ObjectName"="LocalSystem"
"Description"="Fournit des services d'acquisition d'images pour les scanneurs et les appareils photo."
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gsesra\Parameters]
"ServiceDll"=str(2):"C:\WINDOWS\System32\gxuunl.dll"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\gsesra]
"DisplayName"="Task Microsoft"
"Type"=dword:00000020
"Start"=dword:00000002
"ErrorControl"=dword:00000000
"ImagePath"=str(2):"%SystemRoot%\system32\svchost.exe -k netsvcs"
"ObjectName"="LocalSystem"
"Description"="Fournit des services d'acquisition d'images pour les scanneurs et les appareils photo."
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\gsesra\Parameters]
"ServiceDll"=str(2):"C:\WINDOWS\System32\gxuunl.dll"
scanning hidden registry entries ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS
kernel: MBR read successfully
user & kernel MBR OK
==========
Programs
==========
ABBYY FineReader 5.0 Sprint
Adobe
Astonsoft
Audacity
BeWAN ADSL V1.9.0.3
CCleaner
Creative
EPSON
Fichiers communs
Geonaute KeyMaze 300
Google
gs
InstallShield Installation Information
Internet Explorer
List_Kill'em
Logitech
Malwarebytes' Anti-Malware
Messenger
microsoft frontpage
Microsoft Office
Movie Maker
Mozilla Firefox
MSN Gaming Zone
NetMeeting
Outlook Express
PDF Blender
PDFCreator
Philips ToUcam Camera
Services en ligne
VideoLAN
Windows Media Player
Windows NT
WindowsUpdate
WinRAR
xerox
============
Drive C:
============
32788R22FWJFW
AUTOEXEC.BAT
BOOT.BAK
boot.ini
Bootfont.bin
cmdcons
cmldr
ComboFix.txt
CONFIG.SYS
Documents and Settings
HiJackThis.exe
hijackthis.log
IO.SYS
Kill'em
List'em.txt
MSDOS.SYS
NTDETECT.COM
ntldr
nvlog.txt
pagefile.sys
Program Files
Qoobox
RECYCLER
rkill.log
rkill3.txt
Rooter$
System Volume Information
T‚l‚chargement temporaires
WINDOWS
¤¤¤¤¤¤¤¤¤¤ Cracks | Keygens | Serials
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
End of scan : 13:03:15,85
A +
Claude
Voici le rapport :
List'em by g3n-h@ckm@n 1.2.5.0
User : Claude (Administrateurs)
Update on 08/02/2010 by g3n-h@ckm@n ::::: 15.30
Start at: 12:52:49 | 14/02/2010
Contact : https://forums.commentcamarche.net/forum/virus-securite-7
AMD Athlon(tm)
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 1
Internet Explorer 6.0.2800.1106
A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local | 39,06 Go (32,96 Go free) | NTFS
D:\ -> Disque fixe local | 72,69 Go (2,06 Go free) [Données] | NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Creative\Shared Files\CTAudSvc.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\List_Kill'em\List_Kill'em.scr
C:\WINDOWS\System32\cmd.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Documents and Settings\Claude\Local Settings\temp\A.tmp\pv.exe
======================
Keys "Run"
======================
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
NvCplDaemon REG_SZ RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
zBrowser Launcher REG_SZ C:\Program Files\Logitech\iTouch\iTouch.exe
Logitech Utility REG_SZ Logi_MwX.Exe
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
=====================
Other Keys
=====================
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
dontdisplaylastusername REG_DWORD 0 (0x0)
legalnoticecaption REG_SZ
legalnoticetext REG_SZ
shutdownwithoutlogon REG_DWORD 1 (0x1)
undockwithoutlogon REG_DWORD 1 (0x1)
DisableRegistryTools REG_DWORD 0 (0x0)
===============
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
NoDriveTypeAutoRun REG_DWORD 323 (0x143)
NoDriveAutoRun REG_DWORD 67108863 (0x3ffffff)
NoDrives REG_DWORD 0 (0x0)
===============
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
NoDriveAutoRun REG_DWORD 67108863 (0x3ffffff)
NoDriveTypeAutoRun REG_DWORD 323 (0x143)
NoDrives REG_DWORD 0 (0x0)
===============
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
===============
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
AutoRestartShell REG_DWORD 1 (0x1)
DefaultDomainName REG_SZ PC-CLAUDE
DefaultUserName REG_SZ Claude
LegalNoticeCaption REG_SZ
LegalNoticeText REG_SZ
PowerdownAfterShutdown REG_SZ 0
ReportBootOk REG_SZ 1
Shell REG_SZ Explorer.exe
ShutdownWithoutLogon REG_SZ 0
System REG_SZ
Userinit REG_SZ C:\WINDOWS\system32\userinit.exe,
VmApplet REG_SZ rundll32 shell32,Control_RunDLL "sysdm.cpl"
SfcQuota REG_DWORD -1 (0xffffffff)
allocatecdroms REG_SZ 0
allocatedasd REG_SZ 0
allocatefloppies REG_SZ 0
cachedlogonscount REG_SZ 10
forceunlocklogon REG_DWORD 0 (0x0)
passwordexpirywarning REG_DWORD 14 (0xe)
scremoveoption REG_SZ 0
AllowMultipleTSSessions REG_DWORD 1 (0x1)
UIHost REG_EXPAND_SZ logonui.exe
LogonType REG_DWORD 1 (0x1)
Background REG_SZ 0 0 0
DebugServerCommand REG_SZ no
SFCDisable REG_DWORD 0 (0x0)
WinStationsDisabled REG_SZ 0
HibernationPreviouslyEnabled REG_DWORD 1 (0x1)
ShowLogonOptions REG_DWORD 0 (0x0)
AltDefaultUserName REG_SZ Claude
AltDefaultDomainName REG_SZ PC-CLAUDE
===============
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\crypt32chain]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\cryptnet]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\cscdll]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ScCertProp]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Schedule]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\sclgntfy]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\SensLogn]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\termsrv]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wlballoon]
===============
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
{AEB6717E-7E19-11d0-97EE-00C04FD91972} REG_SZ
===============
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
===============
ActivX controls
===============
HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75}
HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{166B1BCA-3F9C-11CF-8075-444553540000}
HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{5D86DDB5-BDF9-441B-9E9E-D4730F4EE499}
HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{D27CDB6E-AE6D-11CF-96B8-444553540000}
HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}
===============
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\%GUID%
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{26923b43-4d38-484f-9b9e-de460746276c}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10072CEC-8CC1-11D1-986E-00A0C955B42F}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2179C5D3-EBFF-11CF-B6FD-00AA00B4E220}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{22d6f312-b0f6-11d0-94ab-0080c74c7e95}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{283807B5-2C60-11D0-A31D-00AA00B92C03}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{306D6C21-C1B6-4629-986C-E59E1875B8AF}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{36f8ec70-c29a-11d1-b5c7-0000f8051515}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{3af36230-a269-11d1-b5bf-0000f8051515}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{3bf42070-b3b1-11d1-b5c5-0000f8051515}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4278c270-a269-11d1-b5bf-0000f8051515}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA842-CC51-11CF-AAFA-00AA00B6015B}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA848-CC51-11CF-AAFA-00AA00B6015C}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA855-CC51-11CF-AAFA-00AA00B6015F}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{45ea75a0-a269-11d1-b5bf-0000f8051515}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4f216970-c90c-11d1-b5c7-0000f8051515}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4f645220-306d-11d2-995d-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5945c046-1e7d-11d1-bc44-00c04fd912be}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5A8D6EE0-3E18-11D0-821E-444553540000}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5fd399c0-a70a-11d1-9948-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{630b1da0-b465-11d1-9948-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6fab99d0-bab8-11d1-994a-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{73FA19D0-2D75-11D2-995D-00C04F98BBC9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7790769C-0471-11d2-AF11-00C04FA35D02}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4340}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4383}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9381D8F2-0288-11D0-9501-00AA00B911A5}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C9E9A340-D1F1-11D0-821E-444553540600}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{CC2A9BA0-3BDD-11D0-821E-444553540000}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{D27CDB6E-AE6D-11cf-96B8-444553540000}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{de5aed00-a4bf-11d1-9948-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E92B03AB-B707-11d2-9CBD-0000F87A369E}
==============
BHO :
======
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
================
Internet Explorer :
================
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page REG_SZ http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page REG_SZ https://www.google.fr/?gws_rd=ssl
========
Services
========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]
Ndisuio : 0x3 ( OK = 3 )
SharedAccess : 0x4 ( OK = 2 )
wuauserv : 0x4 ( OK = 2 )
=========
Atapi.sys
=========
%%%% HASHDEEP-1.0
%%%% size,md5,sha256,filename
## Invoked from: C:\Documents and Settings\Claude\Local Settings\temp\A.tmp
## C:\> hashdeep C:\WINDOWS\System32\Drivers\atapi.sys
##
86912,95b858761a00e1d4f81f79a0da019aca,5e41dae055bcb8ee8ad23d3c77d69df09c6b1e301c889aec6f02193d7dec352b,C:\WINDOWS\System32\Drivers\atapi.sys
Sources
=======
C:\WINDOWS\ERDNT\cache\atapi.sys
C:\WINDOWS\ServicePackFiles\i386\atapi.sys
C:\WINDOWS\system32\drivers\atapi.sys
C:\WINDOWS\system32\ReinstallBackups\0006\DriverFiles\i386\atapi.sys
Référence :
==========
Win XP_32b : a64013e98426e1877cb653685c5c0009
Win XP_SP2_32b : CDFE4411A69C224BD1D11B2DA92DAC51
Win XP_SP3_32b : 9F3A2F5AA6875C72BF062C712CFA2674
Vista_32b : e03e8c99d15d0381e02743c36afc7c6f
Vista_SP1_32b : 2d9c903dc76a66813d350a562de40ed9
Vista_SP2_32b : 1F05B78AB91C9075565A9D8A4B880BC4
Vista_SP2_64b : 1898FAE8E07D97F2F6C2D5326C633FAC
Windows 7_32b : 80C40F7FDFC376E4C5FEEC28B41C119E
Windows 7_64b : 02062C0B390B7729EDC9E69C680A6F3C
=======
Drive :
=======
D‚fragmenteur de disque Windows
Copyright (c) 2001 Microsoft Corp. et Executive Software International Inc.
Rapport d'analyse
39,06 Go total, 32,96 Go libre (84%), 17% fragment‚ (fragmentation du fichier 34%)
Vous devriez d‚fragmenter ce volume.
¤¤¤¤¤¤¤¤¤¤ Files/folders :
Present !! : C:\WINDOWS\000001_.tmp
Present !! : C:\WINDOWS\SET3.tmp
Present !! : C:\WINDOWS\SET7.tmp
Present !! : C:\WINDOWS\mbr.exe
Present !! : C:\WINDOWS\System32\_*.dll
Present !! : C:\Documents and Settings\Claude\Application Data\GDIPFONTCACHEV1.DAT
Present !! : C:\Documents and Settings\Claude\Application Data\GDIPFONTCACHEV1.DAT
¤¤¤¤¤¤¤¤¤¤ Keys :
Present !! : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{0E5CBF21-D15F-11D0-8301-00AA005B4383}
Present !! : HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives
Present !! : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives
Present !! : HKEY_USERS\S-1-5-21-1275210071-1060284298-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives
Present !! : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe"
Present !! : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe"
============
catchme 0.3.1398.3 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-14 12:58:55
Windows 5.1.2600 Service Pack 1 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gsesra]
"DisplayName"="Task Microsoft"
"Type"=dword:00000020
"Start"=dword:00000002
"ErrorControl"=dword:00000000
"ImagePath"=str(2):"%SystemRoot%\system32\svchost.exe -k netsvcs"
"ObjectName"="LocalSystem"
"Description"="Fournit des services d'acquisition d'images pour les scanneurs et les appareils photo."
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gsesra\Parameters]
"ServiceDll"=str(2):"C:\WINDOWS\System32\gxuunl.dll"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\gsesra]
"DisplayName"="Task Microsoft"
"Type"=dword:00000020
"Start"=dword:00000002
"ErrorControl"=dword:00000000
"ImagePath"=str(2):"%SystemRoot%\system32\svchost.exe -k netsvcs"
"ObjectName"="LocalSystem"
"Description"="Fournit des services d'acquisition d'images pour les scanneurs et les appareils photo."
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\gsesra\Parameters]
"ServiceDll"=str(2):"C:\WINDOWS\System32\gxuunl.dll"
scanning hidden registry entries ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS
kernel: MBR read successfully
user & kernel MBR OK
==========
Programs
==========
ABBYY FineReader 5.0 Sprint
Adobe
Astonsoft
Audacity
BeWAN ADSL V1.9.0.3
CCleaner
Creative
EPSON
Fichiers communs
Geonaute KeyMaze 300
gs
InstallShield Installation Information
Internet Explorer
List_Kill'em
Logitech
Malwarebytes' Anti-Malware
Messenger
microsoft frontpage
Microsoft Office
Movie Maker
Mozilla Firefox
MSN Gaming Zone
NetMeeting
Outlook Express
PDF Blender
PDFCreator
Philips ToUcam Camera
Services en ligne
VideoLAN
Windows Media Player
Windows NT
WindowsUpdate
WinRAR
xerox
============
Drive C:
============
32788R22FWJFW
AUTOEXEC.BAT
BOOT.BAK
boot.ini
Bootfont.bin
cmdcons
cmldr
ComboFix.txt
CONFIG.SYS
Documents and Settings
HiJackThis.exe
hijackthis.log
IO.SYS
Kill'em
List'em.txt
MSDOS.SYS
NTDETECT.COM
ntldr
nvlog.txt
pagefile.sys
Program Files
Qoobox
RECYCLER
rkill.log
rkill3.txt
Rooter$
System Volume Information
T‚l‚chargement temporaires
WINDOWS
¤¤¤¤¤¤¤¤¤¤ Cracks | Keygens | Serials
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
End of scan : 13:03:15,85
A +
Claude
Relance List&Kill'em(soit en clic droit pour vista),avec le raccourci sur ton bureau.
mais cette fois-ci :
choisis l'option 2 = Mode Suppression
laisse travailler l'outil.
en fin de scan un rapport s'ouvre
colle le contenu dans ta reponse
a+
mais cette fois-ci :
choisis l'option 2 = Mode Suppression
laisse travailler l'outil.
en fin de scan un rapport s'ouvre
colle le contenu dans ta reponse
a+
Re-bonjour Archet 9, après cette interruption de 24h...
J'ai lancé List&Kill'em, avec l'option 2 "Suppression", et voici le rapport :
Kill'em by g3n-h@ckm@n 1.2.5.0
User : Claude (Administrateurs)
Update on 08/02/2010 by g3n-h@ckm@n ::::: 15.30
Start at: 13:24:39 | 14/02/2010
Contact : https://forums.commentcamarche.net/forum/virus-securite-7
AMD Athlon(tm)
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 1
Internet Explorer 6.0.2800.1106
A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local | 39,06 Go (32,96 Go free) | NTFS
D:\ -> Disque fixe local | 72,69 Go (2,06 Go free) [Données] | NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Creative\Shared Files\CTAudSvc.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\List_Kill'em\List_Kill'em.scr
C:\WINDOWS\System32\cmd.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Documents and Settings\Claude\Local Settings\temp\3.tmp\ERUNT.EXE
C:\Documents and Settings\Claude\Local Settings\temp\3.tmp\pv.exe
Detections :
==========
¤¤¤¤¤¤¤¤¤¤ Files/folders :
Quarantined & Deleted !! : C:\WINDOWS\000001_.tmp
Quarantined & Deleted !! : C:\WINDOWS\SET3.tmp
Quarantined & Deleted !! : C:\WINDOWS\SET7.tmp
Quarantined & Deleted !! : C:\WINDOWS\mbr.exe
Quarantined & Deleted !! : C:\WINDOWS\System32\_Source21.Dll
Quarantined & Deleted !! : C:\Documents and Settings\Claude\Application Data\GDIPFONTCACHEV1.DAT
==============
host file OK !
==============
========
Registry
========
Deleted : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{0E5CBF21-D15F-11D0-8301-00AA005B4383}
Deleted : HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives
Deleted : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives
Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe"
Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe"
========
Services
=========
Ndisuio : Start = 3
SharedAccess : Start = 2
wuauserv : Start = 2
wscsvc : Start = 2
============
Disk Cleaned
============
=================
anti-ver blaster : OK !!
=================
================
Prefetch cleaned
================
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Toujours les mêmes symptomes...
... si tu as une autre idée ?
Merci, et à +
Claude
J'ai lancé List&Kill'em, avec l'option 2 "Suppression", et voici le rapport :
Kill'em by g3n-h@ckm@n 1.2.5.0
User : Claude (Administrateurs)
Update on 08/02/2010 by g3n-h@ckm@n ::::: 15.30
Start at: 13:24:39 | 14/02/2010
Contact : https://forums.commentcamarche.net/forum/virus-securite-7
AMD Athlon(tm)
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 1
Internet Explorer 6.0.2800.1106
A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local | 39,06 Go (32,96 Go free) | NTFS
D:\ -> Disque fixe local | 72,69 Go (2,06 Go free) [Données] | NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Creative\Shared Files\CTAudSvc.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\List_Kill'em\List_Kill'em.scr
C:\WINDOWS\System32\cmd.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Documents and Settings\Claude\Local Settings\temp\3.tmp\ERUNT.EXE
C:\Documents and Settings\Claude\Local Settings\temp\3.tmp\pv.exe
Detections :
==========
¤¤¤¤¤¤¤¤¤¤ Files/folders :
Quarantined & Deleted !! : C:\WINDOWS\000001_.tmp
Quarantined & Deleted !! : C:\WINDOWS\SET3.tmp
Quarantined & Deleted !! : C:\WINDOWS\SET7.tmp
Quarantined & Deleted !! : C:\WINDOWS\mbr.exe
Quarantined & Deleted !! : C:\WINDOWS\System32\_Source21.Dll
Quarantined & Deleted !! : C:\Documents and Settings\Claude\Application Data\GDIPFONTCACHEV1.DAT
==============
host file OK !
==============
========
Registry
========
Deleted : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{0E5CBF21-D15F-11D0-8301-00AA005B4383}
Deleted : HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives
Deleted : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives
Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe"
Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe"
========
Services
=========
Ndisuio : Start = 3
SharedAccess : Start = 2
wuauserv : Start = 2
wscsvc : Start = 2
============
Disk Cleaned
============
=================
anti-ver blaster : OK !!
=================
================
Prefetch cleaned
================
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Toujours les mêmes symptomes...
... si tu as une autre idée ?
Merci, et à +
Claude
Re
Après renseignements (merci Malekal) ton pc est infecté
par le ver "Conficker"......c'est une vrai crasse !!!!
Commence par desinfecter et vacciner tous tes supports amovibles
Télécharge USBFIX (Si possible)
http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectés sans les ouvrir
• Double clic sur le raccourci UsbFix présent sur ton bureau .
• Au menu principal choisis l'option " F " pour français et tape sur [entrée] .
• Au second menu Choisis l'option " 2 " (suppression) et tape sur [entrée]
• Laisse travailler l'outil.
• Ensuite post le rapport UsbFix.txt qui apparaitra.
• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
• Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
Tres important:
Refais la même chose option: 3 vaccination
***************************
Il va ensuite te falloir télécharger un patch microsoft ,que tu ne pourras probablemment pas
faire depuis ton pc ....(conficker t'en intredira l'accès).
==> A télécharger depuis un autre pc et à transferer via un CD sur ton pc....
Le lien du patch sur ces tutos :
https://www.commentcamarche.net/faq/16710-comment-supprimer-le-virus-conficker-downadup-kido
http://www.01net.com/contenu/2562/ta_fiches/5-moyens-pour-eviter-le-ver-conficker-et-5-erreurs-a-ne-pas-commettre-635-1
Une fois cela fait, contacte moi...
a+
Après renseignements (merci Malekal) ton pc est infecté
par le ver "Conficker"......c'est une vrai crasse !!!!
Commence par desinfecter et vacciner tous tes supports amovibles
Télécharge USBFIX (Si possible)
http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectés sans les ouvrir
• Double clic sur le raccourci UsbFix présent sur ton bureau .
• Au menu principal choisis l'option " F " pour français et tape sur [entrée] .
• Au second menu Choisis l'option " 2 " (suppression) et tape sur [entrée]
• Laisse travailler l'outil.
• Ensuite post le rapport UsbFix.txt qui apparaitra.
• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
• Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
Tres important:
Refais la même chose option: 3 vaccination
***************************
Il va ensuite te falloir télécharger un patch microsoft ,que tu ne pourras probablemment pas
faire depuis ton pc ....(conficker t'en intredira l'accès).
==> A télécharger depuis un autre pc et à transferer via un CD sur ton pc....
Le lien du patch sur ces tutos :
https://www.commentcamarche.net/faq/16710-comment-supprimer-le-virus-conficker-downadup-kido
http://www.01net.com/contenu/2562/ta_fiches/5-moyens-pour-eviter-le-ver-conficker-et-5-erreurs-a-ne-pas-commettre-635-1
Une fois cela fait, contacte moi...
a+