Sujet Précédent Sujet Suivant

[Virus]rapport de secuser, suppression de dll

Résolu/Fermé
Sharmila - 7 avril 2007 à 22:53
 Utilisateur anonyme - 24 avril 2007 à 00:25
Bonsoir à tous,

Après rapport de secuser, j'ai 11 fichiers infectés, j'en avait 61 lundi (oops), mais à coup de ad-axare,ewido,ccleaner et suppression manuelles jen ai encore 11.

Voilà les fichiers infecté

c/windows/Last Good/System32/mswsock.dll =) je suis tentée de le supprimé car répertoire Last Good, c'est suspect

c/windows/servicespack files/i386/mswsock.dll
c/windows/system/regserv.exe

c/windows/system/svchctrl .exe et c/windows/system/svchostw.exe ) tentée de les supprimer aussi car me parait suspect comme fichier, un dérivée de svchost ?
est ce vraiment des fichiers systemes?

c/windows/system32/dllcache/mswsock.dll
c/windows/system32/adirka.exe
c/windows/system32/mswsock.dll
c/windows/system32/rsvp32.dll
c/windows/system32/srchostu.exe
c/windows/system32/wincom32.sys

Voilou mon ptit rapport, je compte remplacer les dll infectés par d'autres dll téléchargés sur le net, je voudrais savoir ce que vous en pensez? est ce une bonne idée?
Aussi ya-t-il des dlls inutiles que je puisse supprimer manuellement?
J'ai pas tellement envie de formater...lol
Pourriez vous m'aider svp et me conseiller ?
Merci à vous et bonne soirée

Sharmila ^^

24 réponses

  • 1
  • 2
Réponse 1 / 24
Utilisateur anonyme
7 avril 2007 à 23:01
Bonsoir


I) Télécharge VundoFix.exe (par Atribune) et enregistre le sur ton Bureau.
http://www.atribune.org/ccount/click.php?id=4

* Redémarre en mode sans échec (tapote la touche F8 au démarage de ton ordinateur)
* Double-clique VundoFix.exe afin de le lancer.
* Coche Run VundoFix as a task.
* Un message t'avertira que l'outil va se fermer et s'ouvrir à nouveau : clique Ok
* Clique sur le bouton Scan for Vundo.
* Lorsque le scan est complété, clique sur le bouton Remove Vundo.
* Une invite te demandera si tu veux supprimer les fichiers, clique YES
* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
* Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK
* Démarre ton PC à nouveau.
* Copie/colle le contenu du rapport situé dans C:\vundofix.txt



Bonne réception
0
Réponse 2 / 24
Sharmila
7 avril 2007 à 23:07
Bonsoir et merci pour cette réponse rapide j'essaie ça tout de suite et te dit ce qu'il en ai avec un nouveau rapport secuser.
Sharmila ^^
0
Sharmila
7 avril 2007 à 23:20
Re Evasion600,

Je viens d'essayer ce que tu m'a dit en mode sans échec et VundoFix n'a rien trouvé : Done Searching for Files.No infected files were found.^^

T'aurais pas une autre idée stp ? lol
Mon idée de remplacer les dll, est-elle risquée? Qu'est ce que tu en penses ?


Merci à toi
0
Réponse 3 / 24
Utilisateur anonyme
7 avril 2007 à 23:27
Re Sharmila

...Un rapport AVG7.5 As serait le bienvenu, ainsi qu'un log HijackThis !!!

fais ce scan en ligne : http://www.bitdefender.fr/bd/site/page.php?tab=0#
Clique, en bas à gauche, sur "scan on line (nouveau)"
Accepte ensuite la licence puis laisse-lui installer l'ActiveX
Laisse-toi guider.

Tuto en image : http://pageperso.aol.fr/rginformatique/mapage/defender.htm

...Poste son rapport

Bonne réception
0
Sharmila
7 avril 2007 à 23:45
Merci Evasion, je suis entrain de télécharger AVG, bitdefender a planter à cause d'internet explorer qui a "rencontré un problème et devait fermer".

Je te poste le rapport Hijackthis :

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\rani\Mes documents\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://as.starware.com/dp/search?product=ssearch&src_id=354&client_id=202D07D001C696EF020556D7&version=4.2.0.0&it=1151085578&loc=&qry=&url=http://www.google.fr/ (obfuscated)
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.0.3:808;gopher=192.168.0.3:1080;http=192.168.0.3:808;https=192.168.0.3:808
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download web site with Free Download Manager - file://C:\Program Files\Free Download Manager\dlpage.htm
O8 - Extra context menu item: Download with Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Download with Go!Zilla - file://C:\Program Files\Go!Zilla\download-with-gozilla.html
O8 - Extra context menu item: Download with Star Downloader - C:\Program Files\Star Downloader\sdie.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\npjpi150_09.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\npjpi150_09.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} (PIXACO Drag and Drop upload plugin) - https://www.snapfish.fr/2/home
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by103fd.bay103.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/218bbbd6b9ad39263917/netzip/RdxIE601_fr.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} - http://www.mypixmania.com/fr/fr/importer/MypixUploader.cab
O16 - DPF: {6F750200-1362-4815-A476-88533DE61D0C} - http://www.kodakgallery.fr/
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} - http://www.extrafilm.fr/NET/Import/ImageUploader3.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f005.mail.caramail.lycos.fr/app/uploader/FileUploader.cab
O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://www.photoways.com/clients/uploader_v2.1.0.56.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://asp09.photoprintit.de/microsite/3462/defaults/activex/IPSUploader.cab
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\System32\ntmsmwra.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe (file missing)
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\ccPxySvc.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Program Files\Norton Internet Security\NISUM.EXE
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

Je vais réessayer de faire le scan de bitdefender demain et celui de AVG ^^, parce qu'il se fait tard, je suis fatiguée ^^.

En tout cas, jlaisse pas tombé,je te dis à demain si tu es toujours là pour m'aider ^^

Un grand merci à toi et bonne nuit
bizz

Sharmila
0
Utilisateur anonyme > Sharmila
8 avril 2007 à 17:04
Bonjour Sharmila

...Peux tu me confirmer quel antivirus tu utilises, ainsi que quel FireWall
...Dans ton log HijackThis, je vois Avast, et Symantec déclarés, et actifs


Bien ont va gratter un peu plus loin

Télécharge - F-Secure Blacklight (800ko) https://www.f-secure.com/en
ou ici http://www.f-secure.com/exclude/blacklight/index.shtml
Placez-le dans son propre répertoire, dans Poste de travail -> Disque Local C:\
Utilisation de F-Secure Blacklight (blbeta)
Lancez-le en double-cliquant sur le fichier blbeta.exe. Acceptez la licence, et cliquez enfin sur "Scan". Patientez.
A l'issue du scan, qui est relativement rapide, il va afficher le nombre d'items trouvés. Pour des raisons de commodité, fermez Blacklight et regardez dans le dossier où il se trouve, il a généré un rapport sous forme de fichier texte, dont le nom commence par "fsblxxxxxx.log"
Poste le rapport

Télécharge SmitfraudFix de S!Ri----->sur ton bureau :
http://siri.urz.free.fr/Fix/SmitfraudFix.exe
Ou http://siri.urz.free.fr/Fix/SmitfraudFix.zip (si tu prends ce lien, il faudra le décompresser)

Ouvre SmitfraudFix, tu doubles clique sur SmitfraudFix.cmd et tu choisis l’option 1
Poste le rapport.


A te lire / Bonne réception
0
Sharmila > Utilisateur anonyme
9 avril 2007 à 21:57
Bonsoir Evasion600,

Désolée de ne pas avoir répondu avant, pour répondre à ta question, j'ai bien avast mais j'ai enlevé le pare feu car j'avais trop de bugs en ce moment, et j'avais norton mais seulement la démo de je ne sais plus combien de jours...

Voici le rapport Smitfraudfix demandé :



SmitFraudFix v2.166

Rapport fait à 21:55:50,20, 09/04/2007
Executé à partir de C:\Documents and Settings\rani\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

C:\WINDOWS\sss_main.ini PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\rani


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\rani\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\rani\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{786C369D-409A-456f-A13C-971EADA850C6}"="DertertDE"



»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\\WINDOWS\\System32\\ntmsmwra.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32
0
Utilisateur anonyme > Sharmila
9 avril 2007 à 22:26
Re Sharmila

...Bien oui, mais le problème c'est que Norton est tjrs sur ton PC ( Mal désintallé )---->Donc galère avec l'autre !!!
Jamais deux antivirus sur la meme station
Appique ceci / STP :
https://www.pcastuces.com/newsletter/adj/1630.htm


...Ensuite, relance SmitfraudFix, et cette fois choisie l'option 2
Poste son rapport, puis, un nouveau log HJT

A te lire
0
Sharmila > Utilisateur anonyme
9 avril 2007 à 23:01
Re Evasion600,

J'ai supprimé Norton définitivement avec ton logiciel,
Voici le rapport smitfraudfix avec l'option 2 et celui de Hijackthis :

mitFraudFix v2.166

Rapport fait à 22:37:47,84, 09/04/2007
Executé à partir de C:\Documents and Settings\rani\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{786C369D-409A-456f-A13C-971EADA850C6}"="DertertDE"


»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


»»»»»»»»»»»»»»»»»»»»»»»» DNS



»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{786C369D-409A-456f-A13C-971EADA850C6}"="DertertDE"




HIJACTHIS :
gfile of HijackThis v1.99.1
Scan saved at 23:02:31, on 09/04/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\rani\Mes documents\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://as.starware.com/dp/search?product=ssearch&src_id=354&client_id=202D07D001C696EF020556D7&version=4.2.0.0&it=1151085578&loc=&qry=&url=http://www.google.fr/ (obfuscated)
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.0.3:808;gopher=192.168.0.3:1080;http=192.168.0.3:808;https=192.168.0.3:808
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download web site with Free Download Manager - file://C:\Program Files\Free Download Manager\dlpage.htm
O8 - Extra context menu item: Download with Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Download with Go!Zilla - file://C:\Program Files\Go!Zilla\download-with-gozilla.html
O8 - Extra context menu item: Download with Star Downloader - C:\Program Files\Star Downloader\sdie.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\npjpi150_09.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\npjpi150_09.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} (PIXACO Drag and Drop upload plugin) - https://www.snapfish.fr/2/home
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by103fd.bay103.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/218bbbd6b9ad39263917/netzip/RdxIE601_fr.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} - http://www.mypixmania.com/fr/fr/importer/MypixUploader.cab
O16 - DPF: {6F750200-1362-4815-A476-88533DE61D0C} - http://www.kodakgallery.fr/
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} - http://www.extrafilm.fr/NET/Import/ImageUploader3.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f005.mail.caramail.lycos.fr/app/uploader/FileUploader.cab
O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://www.photoways.com/clients/uploader_v2.1.0.56.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://asp09.photoprintit.de/microsite/3462/defaults/activex/IPSUploader.cab
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\System32\ntmsmwra.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe (file missing)
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: F-Secure 2006 (BackWeb Plug-in - 4476822) - F-Secure Internet Security 2005 - C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe


Voilà, je te remercie de ton aide,
en attendant tes conseils,

Sharmila
0
Réponse 4 / 24
Sharmila
10 avril 2007 à 21:51
Bonsoir Evasion600

Tu n'as pas à être désolé, on a tous du boulot, c'est normal ^^
Voilà le rapport de Sdfix et celui de Hijackthis :

DFix: Version 1.78

Run by rani - 10/04/2007 - 21:34:11,87

Microsoft Windows XP [version 5.1.2600]

Running From: C:\DOCUME~1\rani\Bureau\SDFix

Safe Mode:
Checking Services:

Name:
gb
NETDown
ntndis
ntndis

ImagePath:
\??\C:\WINDOWS\system32\drivers\ntndis.sys

ntndis - Deleted



Restoring Windows Registry Values
Restoring Windows Default Hosts File


Rebooting...

Normal Mode:
Checking Files:

Below files will be copied to Backups folder then removed:

C:\WINDOWS\SYSTEM32\4T0U38~1.HTM - Deleted
C:\WINDOWS\SYSTEM32\6JARQS~1.HTM - Deleted
C:\WINDOWS\SYSTEM32\CQ3QFM~1.HTM - Deleted
C:\WINDOWS\SYSTEM32\Q6BJ5T~1.HTM - Deleted
C:\WINDOWS\SYSTEM32\PFB0E0~1.DLL - Deleted
C:\WINDOWS\SYSTEM32\PFCA7F~1.DLL - Deleted
C:\WINDOWS\SYSTEM32\SFXZMT~1.DLL - Deleted
C:\WINDOWS\SYSTEM32\SFXZMT~2.DLL - Deleted
C:\WINDOWS\SYSTEM32\SFXZMT~3.DLL - Deleted
C:\WINDOWS\SYSTEM32\SFXZMT~4.DLL - Deleted
C:\Documents and Settings\rani\Local Settings\Application Data\Microsoft\Init.~tmp\45\regserv_0.~tmp - Deleted
C:\Documents and Settings\rani\Local Settings\Application Data\Microsoft\Init.~tmp\45\regserv_1.~tmp - Deleted
C:\Documents and Settings\rani\Local Settings\Application Data\Microsoft\Init.~tmp\45\regserv_2.~tmp - Deleted
C:\Documents and Settings\rani\Local Settings\Application Data\Microsoft\Init.~tmp\44\svchostw_0.~tmp - Deleted
C:\Documents and Settings\rani\Local Settings\Application Data\Microsoft\Init.~tmp\44\svchostw_1.~tmp - Deleted
C:\Documents and Settings\rani\Local Settings\Application Data\Microsoft\Init.~tmp\44\svchostw_2.~tmp - Deleted
C:\WINDOWS\system32\pp.exe.exe - Deleted
C:\WINDOWS\system32\zoom.exe.exe - Deleted
C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00003.dll - Deleted
C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00004.dll - Deleted
C:\WINDOWS\emdat.tm - Deleted
C:\WINDOWS\emdat.tmp - Deleted
C:\WINDOWS\smss.exe - Deleted
C:\WINDOWS\system\regserv.dll - Deleted
C:\WINDOWS\system\regserv.exe - Deleted
C:\WINDOWS\system\svchctrl.dll - Deleted
C:\WINDOWS\system\svchctrl.exe - Deleted
C:\WINDOWS\system\svchostw.dll - Deleted
C:\WINDOWS\system\svchostw.exe - Deleted
C:\WINDOWS\system32\adirka.dll - Deleted
C:\WINDOWS\system32\adirka.exe - Deleted
C:\WINDOWS\system32\adv.txt - Deleted
C:\WINDOWS\system32\csvhost.exe - Deleted
C:\WINDOWS\system32\drivers\ntndis.exe - Deleted
C:\WINDOWS\system32\drivers\ntndis.sys - Deleted
C:\WINDOWS\system32\form.txt - Deleted
C:\WINDOWS\system32\hook.dll - Deleted
C:\WINDOWS\system32\ipv6monl.dll - Deleted
C:\WINDOWS\system32\koos.exe - Deleted
C:\WINDOWS\system32\kprof - Deleted
C:\WINDOWS\system32\ksl48.bin - Deleted
C:\WINDOWS\system32\msn.exe - Deleted
C:\WINDOWS\system32\poof - Deleted
C:\WINDOWS\system32\srshost.exe - Deleted
C:\WINDOWS\system32\srshostu.exe - Deleted
C:\WINDOWS\system32\svcp.csv - Deleted
C:\WINDOWS\system32\wincom32.ini - Deleted
C:\WINDOWS\system32\wincom32.sys - Deleted
C:\WINDOWS\system32\winsub.xml - Deleted
C:\WINDOWS\Temp\$_2341233.TMP - Deleted
C:\WINDOWS\Temp\$_2341234.TMP - Deleted
C:\WINDOWS\Temp\$_2341235.TMP - Deleted
C:\WINDOWS\Temp\$b17a2e8.tmp - Deleted
C:\WINDOWS\Via.exe - Deleted
C:\WINDOWS\windll32.exe - Deleted
C:\WINDOWS\SYSTEM32\PFB0E0~1.DLL - Deleted
C:\WINDOWS\SYSTEM32\PFCA7F~1.DLL - Deleted
C:\WINDOWS\SYSTEM32\SFXZMT~1.DLL - Deleted
C:\WINDOWS\SYSTEM32\SFXZMT~2.DLL - Deleted
C:\WINDOWS\SYSTEM32\SFXZMT~3.DLL - Deleted
C:\WINDOWS\SYSTEM32\SFXZMT~4.DLL - Deleted
C:\Documents and Settings\rani\Bureau\SDFix\backups_old1\regserv_0.~tmp - Deleted
C:\Documents and Settings\rani\Bureau\SDFix\backups_old1\regserv_1.~tmp - Deleted
C:\Documents and Settings\rani\Bureau\SDFix\backups_old1\regserv_2.~tmp - Deleted
C:\Documents and Settings\rani\Bureau\SDFix\backups_old1\svchostw_0.~tmp - Deleted
C:\Documents and Settings\rani\Bureau\SDFix\backups_old1\svchostw_1.~tmp - Deleted
C:\Documents and Settings\rani\Bureau\SDFix\backups_old1\svchostw_2.~tmp - Deleted
C:\WINDOWS\system\svchctrl.exe - Deleted
C:\WINDOWS\system32\wincom32.ini - Deleted



Removing Temp Files

ADS Check:

Checking if ADS is attached to system32 Folder
C:\WINDOWS\system32
:lzx32.sys 65568
Total size: 65568 bytes.

system32: deleted 65568 bytes in 1 streams.

Checking for remaining Streams

C:\WINDOWS\system32
No streams found.

Checking if ADS is attached to svchost.exe
C:\WINDOWS\system32\svchost.exe
No streams found.



Final Check:

Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\\system.exe"="C:\\system.exe:*:ENABLED:0"
"C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE"="C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE:*:Enabled:Internet Explorer"
"c:\\windows\\update.exe"="c:\\windows\\update.exe:*:Enabled:update"
"c:\\windows\\system32\\csvhost.exe"="c:\\windows\\system32\\csvhost.exe:*:Enabled:csvhost"
"C:\\Program Files\\NEC\\NEC Mobile Suite\\CommsService.exe"="C:\\Program Files\\NEC\\NEC Mobile Suite\\CommsService.exe:*:Enabled:Communication service"
@=""
"C:\\tmp037z.exe"="C:\\tmp037z.exe:*:Enabled:Control"
"C:\\WINDOWS\\system32\\drivers\\ntndis.exe"="C:\\WINDOWS\\system32\\drivers\\ntndis.exe:*:Enabled:Control"
"C:\\WINDOWS\\Explorer.exe"="C:\\WINDOWS\\Explorer.exe:*:Enabled:Control"
"C:\\Program Files\\F-Secure Internet Security\\backweb\\4476822\\Program\\fspex.exe"="C:\\Program Files\\F-Secure Internet Security\\backweb\\4476822\\Program\\fspex.exe:*:Enabled:F-Secure 2006"


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\\Program Files\\F-Secure Internet Security\\backweb\\4476822\\Program\\fspex.exe"="C:\\Program Files\\F-Secure Internet Security\\backweb\\4476822\\Program\\fspex.exe:*:Enabled:F-Secure 2006"


Remaining Files:
---------------

Backups Folder: - C:\DOCUME~1\rani\Bureau\SDFix\backups\backups.zip

Checking For Files with Hidden Attributes:

C:\Documents and Settings\rani\Bureau\Aasai_CD1_tamilterminal.com.wmv
C:\Documents and Settings\rani\Bureau\Uyir_Cd1_TamilTerminal.Com_AkilanTT.wmv
C:\Documents and Settings\rani\Bureau\! New Personal Document !\Dhoom2-www.dragonz-prs.com.part3.rar
C:\Documents and Settings\rani\Bureau\! New Personal Document !\Dhoom2-www.dragonz-prs.com.part4.rar
C:\Documents and Settings\rani\Bureau\! New Personal Document !\Dhoom2-www.dragonz-prs.com.part5.rar
C:\Documents and Settings\rani\Bureau\! New Personal Document !\Dost_part4_tamilterminal.com_Akilantt-movies(1).wmv
C:\Documents and Settings\rani\Bureau\! New Personal Document !\IvanYaaro_CD1_TamilTerminal.Com.wmv
C:\Documents and Settings\rani\Bureau\! New Personal Document !\Muthu_CD1_TamilTerminal.Com.wmv
C:\Documents and Settings\rani\Bureau\! New Personal Document !\Pachaikil_2_MoonLoad.Com.wmv
C:\Documents and Settings\rani\Bureau\! New Personal Document !\Pachaikil_3_MoonLoad.Com.wmv
C:\Documents and Settings\rani\Bureau\! New Personal Document !\Simbu_from_DevineTamil.com_TamilMovieStar.net_TamilAddict.com.wmv
C:\Documents and Settings\rani\Bureau\! New Personal Document !\TamilMovix.com_Manikanda.CD2.DAT
C:\Documents and Settings\rani\Bureau\! New Personal Document !\TamilMovix.com_PatchaiKiliMuthucharam.CD2.DAT
C:\Documents and Settings\rani\Bureau\! New Personal Document !\TamilMovix.com_Thirumagan.CD1.avi
C:\Documents and Settings\rani\Bureau\! New Personal Document !\TamilMovix.com_Thirumagan.CD3.avi
C:\Documents and Settings\rani\Bureau\! New Personal Document !\TamilMovix.com_Thirumagan.CD4.avi
C:\Documents and Settings\rani\Bureau\! New Personal Document !\TamilTerminal.COm_Kadhal Sadugudu_CD2.wmv
C:\Documents and Settings\rani\Bureau\! New Personal Document !\TamilTerminal.Com_KadhalSadugudu_CD3.wmv
C:\Documents and Settings\rani\Bureau\! New Personal Document !\[From www.metacafe.com] 439672.3072710.1.wmv
C:\Documents and Settings\rani\Bureau\! New Personal Document !\[From www.metacafe.com] 440181.3075147.1.wmv
C:\Documents and Settings\rani\Bureau\! New Personal Document !\[From www.metacafe.com] 440253.3075439.1.wmv
C:\Documents and Settings\rani\Bureau\! New Personal Document !\PHOTO MOBILE\family94.skyblog.com\Thumbs.db
C:\Program Files\eRightSoft\SUPER\cygwin1.dll
C:\Program Files\eRightSoft\SUPER\cygz.dll
C:\Program Files\eRightSoft\SUPER\_Setup.dll
C:\Program Files\eRightSoft\SUPER\mencoder\14_43260.dll
C:\Program Files\eRightSoft\SUPER\mencoder\28_83260.dll
C:\Program Files\eRightSoft\SUPER\mencoder\atrc3260.dll
C:\Program Files\eRightSoft\SUPER\mencoder\cook3260.dll
C:\Program Files\eRightSoft\SUPER\mencoder\ddnt3260.dll
C:\Program Files\eRightSoft\SUPER\mencoder\dnet3260.dll
C:\Program Files\eRightSoft\SUPER\mencoder\drv13260.dll
C:\Program Files\eRightSoft\SUPER\mencoder\drv23260.dll
C:\Program Files\eRightSoft\SUPER\mencoder\drv33260.dll
C:\Program Files\eRightSoft\SUPER\mencoder\drv43260.dll
C:\Program Files\eRightSoft\SUPER\mencoder\dspr3260.dll
C:\Program Files\eRightSoft\SUPER\mencoder\ivvideo.dll
C:\Program Files\eRightSoft\SUPER\mencoder\qtmlClient.dll
C:\Program Files\eRightSoft\SUPER\mencoder\raac.dll
C:\Program Files\eRightSoft\SUPER\mencoder\rnco3260.dll
C:\Program Files\eRightSoft\SUPER\mencoder\rnlt3260.dll
C:\Program Files\eRightSoft\SUPER\mencoder\rv103260.dll
C:\Program Files\eRightSoft\SUPER\mencoder\rv203260.dll
C:\Program Files\eRightSoft\SUPER\mencoder\rv303260.dll
C:\Program Files\eRightSoft\SUPER\mencoder\rv403260.dll
C:\Program Files\eRightSoft\SUPER\mencoder\sipr3260.dll
C:\Program Files\eRightSoft\SUPER\mencoder\tokr3260.dll
C:\WINDOWS\system32\AVSredirect.dll
C:\WINDOWS\system32\cygwin1.dll
C:\WINDOWS\system32\cygz.dll
C:\WINDOWS\system32\flvDX.dll
C:\WINDOWS\system32\i420vfw.dll
C:\Program Files\eRightSoft\SUPER\Setup.exe
C:\WINDOWS\meta4.exe
C:\WINDOWS\MOTA113.exe
C:\WINDOWS\system32\x.264.exe
C:\Documents and Settings\rani\Bureau\! New Personal Document !\Dhoom2-www.dragonz-prs.com.part3.rar
C:\Documents and Settings\rani\Bureau\! New Personal Document !\Dhoom2-www.dragonz-prs.com.part4.rar
C:\Documents and Settings\rani\Bureau\! New Personal Document !\Dhoom2-www.dragonz-prs.com.part5.rar
C:\WINDOWS\system32\6528778DAC.sys
C:\WINDOWS\system32\KGyGaAvL.sys
C:\WINDOWS\LastGood.Tmp\INF\oem11.inf
C:\WINDOWS\LastGood.Tmp\INF\oem11.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem12.inf
C:\WINDOWS\LastGood.Tmp\INF\oem12.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem13.inf
C:\WINDOWS\LastGood.Tmp\INF\oem13.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem14.inf
C:\WINDOWS\LastGood.Tmp\INF\oem14.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem15.inf
C:\WINDOWS\LastGood.Tmp\INF\oem15.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem16.inf
C:\WINDOWS\LastGood.Tmp\INF\oem16.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem17.inf
C:\WINDOWS\LastGood.Tmp\INF\oem17.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem18.inf
C:\WINDOWS\LastGood.Tmp\INF\oem18.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem19.inf
C:\WINDOWS\LastGood.Tmp\INF\oem19.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem20.inf
C:\WINDOWS\LastGood.Tmp\INF\oem20.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem21.inf
C:\WINDOWS\LastGood.Tmp\INF\oem21.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem22.inf
C:\WINDOWS\LastGood.Tmp\INF\oem22.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem23.inf
C:\WINDOWS\LastGood.Tmp\INF\oem23.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem24.inf
C:\WINDOWS\LastGood.Tmp\INF\oem24.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem25.inf
C:\WINDOWS\LastGood.Tmp\INF\oem25.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem26.inf
C:\WINDOWS\LastGood.Tmp\INF\oem26.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem27.inf
C:\WINDOWS\LastGood.Tmp\INF\oem27.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem28.inf
C:\WINDOWS\LastGood.Tmp\INF\oem28.PNF
C:\Documents and Settings\rani\Bureau\NeeVenundaChellamPt1.zip
C:\Documents and Settings\rani\Bureau\! New Personal Document !\Pokkiri_CD1.zip
C:\Documents and Settings\rani\Bureau\! New Personal Document !\Pokkiri_CD2.zip

Finished







HIJACKTHIS :

ogfile of HijackThis v1.99.1
Scan saved at 21:51:53, on 10/04/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Windows NT\Accessoires\WORDPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\rani\Mes documents\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://as.starware.com/dp/search?product=ssearch&src_id=354&client_id=202D07D001C696EF020556D7&version=4.2.0.0&it=1151085578&loc=&qry=&url=http://www.google.fr/ (obfuscated)
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.0.3:808;gopher=192.168.0.3:1080;http=192.168.0.3:808;https=192.168.0.3:808
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download web site with Free Download Manager - file://C:\Program Files\Free Download Manager\dlpage.htm
O8 - Extra context menu item: Download with Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Download with Go!Zilla - file://C:\Program Files\Go!Zilla\download-with-gozilla.html
O8 - Extra context menu item: Download with Star Downloader - C:\Program Files\Star Downloader\sdie.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\npjpi150_09.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\npjpi150_09.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} (PIXACO Drag and Drop upload plugin) - https://www.snapfish.fr/2/home
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by103fd.bay103.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/218bbbd6b9ad39263917/netzip/RdxIE601_fr.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} - http://www.mypixmania.com/fr/fr/importer/MypixUploader.cab
O16 - DPF: {6F750200-1362-4815-A476-88533DE61D0C} - http://www.kodakgallery.fr/
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} - http://www.extrafilm.fr/NET/Import/ImageUploader3.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f005.mail.caramail.lycos.fr/app/uploader/FileUploader.cab
O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://www.photoways.com/clients/uploader_v2.1.0.56.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://asp09.photoprintit.de/microsite/3462/defaults/activex/IPSUploader.cab
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\System32\ntmsmwra.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe (file missing)
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: F-Secure 2006 (BackWeb Plug-in - 4476822) - F-Secure Internet Security 2005 - C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
0
Utilisateur anonyme
10 avril 2007 à 22:59
RE Sharmila

...Tes infections sont dans la restauration de WinXP ( pas à jour en entre )---->Pour le moment tu ne touches pas à ta restauration système, tandt que la station n'est pas clean ( on fait cela en dernier / OK, tu ne "bricoles pas" )

...Bien

Via " Ajout/Suppression de programmes" , tu désinstalles proprement, donc : C:\Program Files\F-Secure Internet Security

...Puis

Ferme toutes les fenetres d'IE, sauf HijackThis, lance HijackThis pour un scan seulement, et fixe les objets ci dessous :


Merci d'imprimer, pour ne pas faire d'erreur




O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download web site with Free Download Manager - file://C:\Program Files\Free Download Manager\dlpage.htm
O8 - Extra context menu item: Download with Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Download with Go!Zilla - file://C:\Program Files\Go!Zilla\download-with-gozilla.html
O8 - Extra context menu item: Download with Star Downloader - C:\Program Files\Star Downloader\sdie.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\npjpi150_09.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\npjpi150_09.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} (PIXACO Drag and Drop upload plugin) - https://www.snapfish.fr/2/home
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by103fd.bay103.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/218bbbd6b9ad39263917/netzip/RdxIE601_fr.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} - http://www.mypixmania.com/fr/fr/importer/MypixUploader.cab
O16 - DPF: {6F750200-1362-4815-A476-88533DE61D0C} - http://www.kodakgallery.fr/
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} - http://www.extrafilm.fr/NET/Import/ImageUploader3.cab
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f005.mail.caramail.lycos.fr/app/uploader/FileUploader.cab
O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://www.photoways.com/clients/uploader_v2.1.0.56.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://asp09.photoprintit.de/microsite/3462/defaults/activex/IPSUploader.cab
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab
O20 - AppInit_DLLs: C:\WINDOWS\System32\ntmsmwra.dll

NOTA: dans les Services [023], je serais peut etre à y revenir plus tard, à cause de F-Secure

-2- Lance CCleaner, pour un nettoyage, supprime tout ce qu'il trouve
CCLEANER
https://www.pcastuces.com/logitheque/ccleaner.htm
V:1-38-485 du 07/03/07


-3- Lance EasyCleaner, pour deux scans : " Inutile ", puis " Registre ", (pas autre chose)
Dans les deux scans supprime tout ce qu'il trouve
EASYCLEANER
https://www.telia.fi/palvelupaattynyt
V:2-0-6-380



-4- Refais moi un scan antivirus en ligne avec Bitdefender:
fais ce scan en ligne : http://www.bitdefender.fr/bd/site/page.php?tab=0#
Clique, en bas à gauche, sur "scan on line (nouveau)"
Accepte ensuite la licence puis laisse-lui installer l'ActiveX
Laisse-toi guider.

Tuto en images pour le scan online : Tuto en image : http://pageperso.aol.fr/rginformatique/mapage/defender.htm


Poste le rapport du scan online, puis un nouveau log HijackThis dans ta prochaine réponse

Bonne réception
0
Sharmila > Utilisateur anonyme
11 avril 2007 à 17:08
Bonjour Evasion600,

Je n'ai pas réussi à supprimer f-secure car il n'est pas pas dans ajout/suppression de programmes, et j'ai bien essayé de le supprimé manuellement mais je n'y suis pas parvenue "accès non autorisé".

J'ai fixé les lignes sur Hiackthis mais il ne m'a pas enlevé cette ligne : O20 - AppInit_DLLs: C:\WINDOWS\System32\ntmsmwra.dll

J'ai également fait les nettoyages avec easycleaner et ccleaner.

Voici les rapport Bitdefender et Hijackthis :

BITDEFENDER :
Fichier analysé
Statut

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0035331.exe
Infecté par: Trojan.Downloader.Agent.AVR

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0035331.exe
Echec de la désinfection

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0035331.exe
Supprimé

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0035332.dll
Infecté par: Trojan.Conycspa.N

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0035332.dll
Echec de la désinfection

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0035332.dll
Supprimé

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0035333.dll
Infecté par: Trojan.Conycspa.N

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0035333.dll
Echec de la désinfection

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0035333.dll
Supprimé

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0035334.dll
Infecté par: BehavesLike:Trojan.FWDisable

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0035334.dll
Echec de la désinfection

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0035334.dll
Supprimé

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0035335.exe
Infecté par: BehavesLike:Trojan.FWDisable

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0035335.exe
Echec de la désinfection

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0035335.exe
Supprimé

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0035336.dll
Infecté par: Trojan.Small.KM

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0035336.dll
Echec de la désinfection

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0035336.dll
Supprimé

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0035337.dll
Infecté par: BehavesLike:Trojan.FWDisable

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0035337.dll
Echec de la désinfection

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0035337.dll
Supprimé

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0035338.exe
Infecté par: Dropped:Trojan.Small.KM

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0035338.exe
Echec de la désinfection

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0035338.exe
Supprimé

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0035339.exe
Infecté par: Trojan.Peed.LP

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0035339.exe
Echec de la désinfection

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0035339.exe
Supprimé

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0035340.dll
Infecté par: Trojan.Conycspa.N

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0035340.dll
Echec de la désinfection

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0035340.dll
Supprimé

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0035341.exe
Infecté par: Trojan.Downloader.Agent.AVR

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0035341.exe
Echec de la désinfection

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0035341.exe
Supprimé

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0035342.exe
Infecté par: Trojan.Proxy.Wopla.C

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0035342.exe
Echec de la désinfection

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0035342.exe
Supprimé

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0035343.dll
Infecté par: Trojan.Peed.GX

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0035343.dll
Echec de la désinfection

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0035343.dll
Supprimé

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0035344.exe
Infecté par: Trojan.Dropper.Small.NA

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0035344.exe
Echec de la désinfection

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0035344.exe
Supprimé

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0035345.sys
Infecté par: Trojan.Peed.LD

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0035345.sys
Echec de la désinfection

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0035345.sys
Supprimé

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0035346.exe
Infecté par: Trojan.Downloader.Agent.AOB

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0035346.exe
Echec de la désinfection

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0035346.exe
Supprimé

C:\WINDOWS\system32\mswsock.dll
Infecté par: Trojan.Conycspa.N

C:\WINDOWS\system32\mswsock.dll
Echec de la désinfection

C:\WINDOWS\system32\mswsock.dll
Echec de la suppression




RAPPORT HIJACKTHIS :

Logfile of HijackThis v1.99.1
Scan saved at 17:09:07, on 11/04/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\rani\Mes documents\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://as.starware.com/dp/search?product=ssearch&src_id=354&client_id=202D07D001C696EF020556D7&version=4.2.0.0&it=1151085578&loc=&qry=&url=http://www.google.fr/ (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.0.3:808;gopher=192.168.0.3:1080;http=192.168.0.3:808;https=192.168.0.3:808
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32\ntos.exe,
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WindowsUpdate] C:\WINDOWS\System\svchostw.exe /s
O4 - HKLM\..\Run: [WindowsUpdateR] C:\WINDOWS\System\regserv.exe /s
O4 - HKLM\..\Run: [spoolsvv] C:\WINDOWS\System32\spoolsvv.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\System32\ntos.exe
O10 - Broken Internet access because of LSP provider 'rsvp32_2.dll' missing
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\System32\ntmsmwra.dll
O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: F-Secure 2006 (BackWeb Plug-in - 4476822) - F-Secure Internet Security 2005 - C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

Je te remercie de ton aide,

Sharmila
0
Utilisateur anonyme > Sharmila
11 avril 2007 à 18:57
Re Sharmila

...ne t'inquites pas elle est " localisée" cette infection !

Là je vais avec mes filles sortir au resto---> je reviens vers 22H

...En attendant, peux tu faire ceci :

Désactive la restauration système, de Win XP
Arrete le PC normalement
Redémarre le PC---->Réactive ( important ) la restauration système de Win XP

Puis, un nouveau log HJT / STP

A tout à l'heure ;)
0
Sharmila > Utilisateur anonyme
11 avril 2007 à 19:58
Merci Evasion600 !

Ca me rassure, ya quelque jours je voulais formater ^^
Donc j'ai fait ce que tu m'a demandé avec la restauration système et j'ai fait un nouvo log HJT que voici :

Logfile of HijackThis v1.99.1
Scan saved at 19:56:06, on 11/04/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
C:\Program Files\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\rani\Mes documents\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://as.starware.com/dp/search?product=ssearch&src_id=354&client_id=202D07D001C696EF020556D7&version=4.2.0.0&it=1151085578&loc=&qry=&url=http://www.google.fr/ (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.0.3:808;gopher=192.168.0.3:1080;http=192.168.0.3:808;https=192.168.0.3:808
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32\ntos.exe,
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WindowsUpdate] C:\WINDOWS\System\svchostw.exe /s
O4 - HKLM\..\Run: [WindowsUpdateR] C:\WINDOWS\System\regserv.exe /s
O4 - HKLM\..\Run: [spoolsvv] C:\WINDOWS\System32\spoolsvv.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\System32\ntos.exe
O10 - Broken Internet access because of LSP provider 'rsvp32_2.dll' missing
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\System32\ntmsmwra.dll
O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: F-Secure 2006 (BackWeb Plug-in - 4476822) - F-Secure Internet Security 2005 - C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

Encore Merci et à tout à l'heure,

Sharmila
0
Utilisateur anonyme > Sharmila
11 avril 2007 à 22:38
Re, et désolé du retard

...Ce logiciel n'a rien à voir avec ton infection, mais va te redonner "tes droits"

Télécharge Look2Me-Destroyer.exe sur ton Bureau.
http://www.atribune.org/ccount/click.php?id=7

* Ferme toutes les fenêtres actives avant de passer à l'étape suivante.
* Double-clique Look2Me-Destroyer.exe afin de lancer l'outil.
* Coche Run this program as a task
* Un message s'affichera, te disant ceci : "Look2Me-Destroyer will close and re-open in approximately 10 seconds". Clique OK
* Il se relancera après les 10 secondes, puis clique sur le bouton Scan for L2M; les icônes de ton Bureau vont disparaître : c'est normal.
* Lorsque le scan termine, clique sur le bouton Remove L2M
* Un message Done Scanning apparaîtra, clique OK.
* Un nouveau message s'affichera : Done removing infected files! Look2Me-Destroyer will now shutdown your computer; clique OK.
* Ton PC va maintenant s'éteindre.
* Démarre ton PC normalement.
* Colle le rapport généré, situé ici : C:\Look2Me-Destroyer.txt , ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.

#Si Look2Me-Destroyer ne se relance pas automatiquement après les 10 secondes, redémarre et essaie à nouveau.

##Si tu reçois un message de ton parefeu que l'outil tente d'accéder à l'internet : accepte.

###Si un message runtime error '339' s'affiche : télécharge MSWINSCK.OCX du lien ci-bas, et place-le dans le dossier C:\Windows\System32.
http://www.ascentive.com/support/new/images/lib/MSWINSCK.OCX

poste le rapport look2me et le rapport et un nouveau HJT

A te lire / Merci
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 24
Sharmila
12 avril 2007 à 14:11
Bonjour Evasion600,

Désolée, je n'ai pas pu me connecter hier mon pc buggait trop.
J'ai essayé de faire ce que tu m'a dit mais problème :
J'ai bien le message : "Look2Me-Destroyer will close and re-open in approximately 1 minute" je clike sur OK, et j'attends 2 minutes mais il ne se relance pas, je laisse mon pc 30 minutes rien non plus.
J'ai redémarré 3 fois, et recommencé la meme manip, mais RIEN !

Je suis maudite ^^ lol

Tu n'aurais pas quelque chose à me proposer stp ?

Merci à toi, et bonne journée

Sharmila
0
Réponse 6 / 24
Utilisateur anonyme
12 avril 2007 à 16:26
Bonjour Sharmila

...on va faire autrement :
télécharge GenProc (Lazzzy & narco4) http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip sur ton bureau

dézippe le dossier, double-clique sur GenProc.bat
et poste le contenu du rapport qui s'ouvre

Aide en images : http://www.alt-shift-return.org/Info/GenProc-HowTo.html

A te lire
0
Sharmila
12 avril 2007 à 21:26
Re Evasion600,

Merci pour ton aide, voici le rapport de GenProc.bat :
Rapport GenProc 0.40 effectué le 12/04/2007 à 21:23:57,40 - SystemRoot = C:\WINDOWS

Dans CCleaner, clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.

# Etape 1/ Télécharge :

- SDfix http://downloads.andymanchesta.com/RemovalTools/SDFix.exe (créé par AndyManchesta) et sauvegarde le sur ton Bureau.


***** Copie ce qui suit dans un fichier texte et redÚmarre en mode sans Úchec comme indiquÚ ici https://docs.microsoft.com/en-us/?mfr=true (choisis ta session courante "rani") *****


# Etape 2/

Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur "RunThis.bat" pour lancer le script.
- Appuie sur "Y" pour commencer le processus de nettoyage.
- Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
- Appuie sur une touche pour redémarrer le PC.
- Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
- Après le chargement du Bureau, l'outil terminera son travail et affichera "Finished".
- Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
- Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom "Report.txt".
~ Le fichier "SDFIX_README.htm" (dans le dossier SDFix) contient la liste des malwares pris en compte par l'outil.
~ Andy fait plusieurs mises à jour, souvent plus d'une par jour... N'hésite donc pas à télécharger une nouvelle version lorsque le nettoyage dure et que l'outil ne semble pas tout voir.

# Etape 3/

Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

# Etape 4/

Redémarre normalement et poste :
- Un nouveau rapport HijackThis, toutes fenêtres et applications fermées si tu ne l'as pas tu trouveras HijackThis ici http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis_v2.exe ;
- Le contenu du fichier Report.txt ;


Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.


Voilà, dois-je faire ce qui est indiqué sur le rapport ?

Merci à toi,
En attendant une réponse,

Sharmila
0
Utilisateur anonyme > Sharmila
12 avril 2007 à 21:47
Re Sharmila

...pour le moment, tu ne touches à rien---->et surtout pas une commande A:\Format C:...\etc...--->ton infection est déjà localisée
...je contacte Lazzzy, et Narco4, pour GenPro
...je t'ai déjà fais passé SDFix !

Je vais aux renseignements, fais moi confiance / STP

Bonne réception
0
Sharmila > Utilisateur anonyme
13 avril 2007 à 09:27
Bonjour Evasion600

Ok, je ne touche à rien ^^
Je te fais confiance,
A te lire prochainemen,

Bonne journée

Sharmila
0
Utilisateur anonyme > Sharmila
13 avril 2007 à 18:00
Bonsoir Sharmilia
...Tjrs désolé pour le retard de réponse

-1- Tu repasses SDFix ( lien plus haut ), post son rapport / STP

-2- Vas sur "Virustotal", pour analyser ce fichier : " ntmsmwra.dll "

http://www.virustotal.com/en/virustotalx.html

Sélect file taper le nom complet du fichier
Send (tu vas etre mis sur une liste t'attente de plusieurs minutes, ou plus)
Attendre le résultat de l'analyse, et copier son rapport ICI

-3- Télécharge LSPfix http://www.cexx.org/lspfix.htm et installe-le sur le Bureau.

Lances LSPfix et agrandis la fenêtre qui, par défaut, est trop petite et fait apparaître les ascenseurs horizontaux et verticaux, masquant un bouton.
Déconnecte toi d'Internet et ferme toutes les instances (fenêtres) Internet Explorer.
Coche la case "I know what I'm doing" ("Je sais ce que je fais").
Sélectionne toutes les instances des dll suivantes :

rsvp32_dll

et fais les glisser du panneau de gauche, appelé "keep" au panneau de droite, appelé "Remove". Clique sur le bouton "Finish".


Poste moi tes rapports dans ta prochaine réponse / Merci
0
Sharmila > Utilisateur anonyme
13 avril 2007 à 21:18
Re Evasion600

J'ai fais la manip avec LSPfix,Virustotal n'a trouvé que par Ewido : Backdoo.AFCore et voici le rapport Sdfix :



SDFix: Version 1.78

Run by rani - 13/04/2007 - 20:09:10,39

Microsoft Windows XP [version 5.1.2600]

Running From: C:\DOCUME~1\rani\Bureau\SDFix

Safe Mode:
Checking Services:

Name:
ntldr.sys
wincom32

ImagePath:
\??\C:\ntldr.sys
\??\C:\WINDOWS\System32\wincom32.sys

ntldr.sys - Deleted
wincom32 - Deleted

Killing PID 392 'smss.exe'
Killing PID 476 'winlogon.exe'
Killing PID 476 'winlogon.exe'
Killing PID 476 'winlogon.exe'


Restoring Windows Registry Values
Restoring Windows Default Hosts File


Rebooting...

Normal Mode:
Checking Files:

Below files will be copied to Backups folder then removed:

C:\WINDOWS\SYSTEM32\PFB0E0~1.DLL - Deleted
C:\WINDOWS\SYSTEM32\PFCA7F~1.DLL - Deleted
C:\WINDOWS\SYSTEM32\SFXZMT~1.DLL - Deleted
C:\WINDOWS\SYSTEM32\SFXZMT~2.DLL - Deleted
C:\WINDOWS\SYSTEM32\SFXZMT~3.DLL - Deleted
C:\WINDOWS\SYSTEM32\SFXZMT~4.DLL - Deleted
C:\CP1041.NLS - Deleted
C:\Documents and Settings\rani\Local Settings\Application Data\Microsoft\Init.~tmp\47\regserv_0.~tmp - Deleted
C:\Documents and Settings\rani\Local Settings\Application Data\Microsoft\Init.~tmp\47\regserv_1.~tmp - Deleted
C:\Documents and Settings\rani\Local Settings\Application Data\Microsoft\Init.~tmp\47\regserv_2.~tmp - Deleted
C:\Documents and Settings\rani\Local Settings\Application Data\Microsoft\Init.~tmp\46\svchostw_0.~tmp - Deleted
C:\Documents and Settings\rani\Local Settings\Application Data\Microsoft\Init.~tmp\46\svchostw_1.~tmp - Deleted
C:\Documents and Settings\rani\Local Settings\Application Data\Microsoft\Init.~tmp\46\svchostw_2.~tmp - Deleted
C:\WINDOWS\system32\inst.exe.exe - Deleted
C:\WINDOWS\system32\pdp.exe.exe - Deleted
C:\WINDOWS\system32\zup.exe.exe - Deleted
C:\WINDOWS\system\regserv.dll - Deleted
C:\WINDOWS\system\regserv.exe - Deleted
C:\WINDOWS\system\svchctrl.dll - Deleted
C:\WINDOWS\system\svchctrl.exe - Deleted
C:\WINDOWS\system\svchostw.dll - Deleted
C:\WINDOWS\system\svchostw.exe - Deleted
C:\WINDOWS\system32\ipv6monl.dll - Deleted
C:\WINDOWS\system32\ntos.exe - Deleted
C:\WINDOWS\system32\rpcc.dll - Deleted
C:\WINDOWS\system32\spoolsvv.exe - Deleted
C:\WINDOWS\system32\svcp.csv - Deleted
C:\WINDOWS\system32\wincom32.ini - Deleted
C:\WINDOWS\system32\wincom32.sys - Deleted
C:\WINDOWS\system32\wsnpoem\audio.dll - Deleted
C:\WINDOWS\system32\wsnpoem\video.dll - Deleted


Folder C:\WINDOWS\system32\wsnpoem - Removed

Removing Temp Files

ADS Check:

Checking if ADS is attached to system32 Folder
C:\WINDOWS\system32
No streams found.

Checking if ADS is attached to svchost.exe
C:\WINDOWS\system32\svchost.exe
No streams found.



Final Check:

Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\\system.exe"="C:\\system.exe:*:ENABLED:0"
"C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE"="C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE:*:Enabled:Internet Explorer"
"c:\\windows\\update.exe"="c:\\windows\\update.exe:*:Enabled:update"
"c:\\windows\\system32\\csvhost.exe"="c:\\windows\\system32\\csvhost.exe:*:Enabled:csvhost"
"C:\\Program Files\\NEC\\NEC Mobile Suite\\CommsService.exe"="C:\\Program Files\\NEC\\NEC Mobile Suite\\CommsService.exe:*:Enabled:Communication service"
@=""
"C:\\tmp037z.exe"="C:\\tmp037z.exe:*:Enabled:Control"
"C:\\WINDOWS\\system32\\drivers\\ntndis.exe"="C:\\WINDOWS\\system32\\drivers\\ntndis.exe:*:Enabled:Control"
"C:\\WINDOWS\\Explorer.exe"="C:\\WINDOWS\\Explorer.exe:*:Enabled:Control"
"C:\\Program Files\\F-Secure Internet Security\\backweb\\4476822\\Program\\fspex.exe"="C:\\Program Files\\F-Secure Internet Security\\backweb\\4476822\\Program\\fspex.exe:*:Enabled:F-Secure 2006"
"C:\\DOCUME~1\\rani\\LOCALS~1\\Temp\\5.tmp"="C:\\DOCUME~1\\rani\\LOCALS~1\\Temp\\5.tmp:*:Enabled:1A0604202775B138"


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\\Program Files\\F-Secure Internet Security\\backweb\\4476822\\Program\\fspex.exe"="C:\\Program Files\\F-Secure Internet Security\\backweb\\4476822\\Program\\fspex.exe:*:Enabled:F-Secure 2006"


Remaining Files:
---------------
C:\WINDOWS\system32\rsvp32_2.dll Found - LSP!
C:\CP1041.NLS Found

Backups Folder: - C:\DOCUME~1\rani\Bureau\SDFix\backups\backups.zip

Checking For Files with Hidden Attributes:

C:\Documents and Settings\rani\Bureau\Aasai_CD1_tamilterminal.com.wmv
C:\Documents and Settings\rani\Bureau\Uyir_Cd1_TamilTerminal.Com_AkilanTT.wmv
C:\Documents and Settings\rani\Bureau\! New Personal Document !\Dhoom2-www.dragonz-prs.com.part3.rar
C:\Documents and Settings\rani\Bureau\! New Personal Document !\Dhoom2-www.dragonz-prs.com.part4.rar
C:\Documents and Settings\rani\Bureau\! New Personal Document !\Dhoom2-www.dragonz-prs.com.part5.rar
C:\Documents and Settings\rani\Bureau\! New Personal Document !\Dost_part4_tamilterminal.com_Akilantt-movies(1).wmv
C:\Documents and Settings\rani\Bureau\! New Personal Document !\IvanYaaro_CD1_TamilTerminal.Com.wmv
C:\Documents and Settings\rani\Bureau\! New Personal Document !\Muthu_CD1_TamilTerminal.Com.wmv
C:\Documents and Settings\rani\Bureau\! New Personal Document !\Pachaikil_2_MoonLoad.Com.wmv
C:\Documents and Settings\rani\Bureau\! New Personal Document !\Pachaikil_3_MoonLoad.Com.wmv
C:\Documents and Settings\rani\Bureau\! New Personal Document !\Simbu_from_DevineTamil.com_TamilMovieStar.net_TamilAddict.com.wmv
C:\Documents and Settings\rani\Bureau\! New Personal Document !\TamilMovix.com_Manikanda.CD2.DAT
C:\Documents and Settings\rani\Bureau\! New Personal Document !\TamilMovix.com_PatchaiKiliMuthucharam.CD2.DAT
C:\Documents and Settings\rani\Bureau\! New Personal Document !\TamilMovix.com_Thirumagan.CD1.avi
C:\Documents and Settings\rani\Bureau\! New Personal Document !\TamilMovix.com_Thirumagan.CD3.avi
C:\Documents and Settings\rani\Bureau\! New Personal Document !\TamilMovix.com_Thirumagan.CD4.avi
C:\Documents and Settings\rani\Bureau\! New Personal Document !\TamilTerminal.COm_Kadhal Sadugudu_CD2.wmv
C:\Documents and Settings\rani\Bureau\! New Personal Document !\TamilTerminal.Com_KadhalSadugudu_CD3.wmv
C:\Documents and Settings\rani\Bureau\! New Personal Document !\[From www.metacafe.com] 439672.3072710.1.wmv
C:\Documents and Settings\rani\Bureau\! New Personal Document !\[From www.metacafe.com] 440181.3075147.1.wmv
C:\Documents and Settings\rani\Bureau\! New Personal Document !\[From www.metacafe.com] 440253.3075439.1.wmv
C:\Documents and Settings\rani\Bureau\! New Personal Document !\PHOTO MOBILE\family94.skyblog.com\Thumbs.db
C:\Program Files\eRightSoft\SUPER\cygwin1.dll
C:\Program Files\eRightSoft\SUPER\cygz.dll
C:\Program Files\eRightSoft\SUPER\_Setup.dll
C:\Program Files\eRightSoft\SUPER\mencoder\14_43260.dll
C:\Program Files\eRightSoft\SUPER\mencoder\28_83260.dll
C:\Program Files\eRightSoft\SUPER\mencoder\atrc3260.dll
C:\Program Files\eRightSoft\SUPER\mencoder\cook3260.dll
C:\Program Files\eRightSoft\SUPER\mencoder\ddnt3260.dll
C:\Program Files\eRightSoft\SUPER\mencoder\dnet3260.dll
C:\Program Files\eRightSoft\SUPER\mencoder\drv13260.dll
C:\Program Files\eRightSoft\SUPER\mencoder\drv23260.dll
C:\Program Files\eRightSoft\SUPER\mencoder\drv33260.dll
C:\Program Files\eRightSoft\SUPER\mencoder\drv43260.dll
C:\Program Files\eRightSoft\SUPER\mencoder\dspr3260.dll
C:\Program Files\eRightSoft\SUPER\mencoder\ivvideo.dll
C:\Program Files\eRightSoft\SUPER\mencoder\qtmlClient.dll
C:\Program Files\eRightSoft\SUPER\mencoder\raac.dll
C:\Program Files\eRightSoft\SUPER\mencoder\rnco3260.dll
C:\Program Files\eRightSoft\SUPER\mencoder\rnlt3260.dll
C:\Program Files\eRightSoft\SUPER\mencoder\rv103260.dll
C:\Program Files\eRightSoft\SUPER\mencoder\rv203260.dll
C:\Program Files\eRightSoft\SUPER\mencoder\rv303260.dll
C:\Program Files\eRightSoft\SUPER\mencoder\rv403260.dll
C:\Program Files\eRightSoft\SUPER\mencoder\sipr3260.dll
C:\Program Files\eRightSoft\SUPER\mencoder\tokr3260.dll
C:\WINDOWS\system32\AVSredirect.dll
C:\WINDOWS\system32\cygwin1.dll
C:\WINDOWS\system32\cygz.dll
C:\WINDOWS\system32\flvDX.dll
C:\WINDOWS\system32\i420vfw.dll
C:\Program Files\eRightSoft\SUPER\Setup.exe
C:\WINDOWS\meta4.exe
C:\WINDOWS\MOTA113.exe
C:\WINDOWS\system32\x.264.exe
C:\Documents and Settings\rani\Bureau\! New Personal Document !\Dhoom2-www.dragonz-prs.com.part3.rar
C:\Documents and Settings\rani\Bureau\! New Personal Document !\Dhoom2-www.dragonz-prs.com.part4.rar
C:\Documents and Settings\rani\Bureau\! New Personal Document !\Dhoom2-www.dragonz-prs.com.part5.rar
C:\WINDOWS\system32\6528778DAC.sys
C:\WINDOWS\system32\KGyGaAvL.sys
C:\WINDOWS\LastGood.Tmp\INF\oem11.inf
C:\WINDOWS\LastGood.Tmp\INF\oem11.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem12.inf
C:\WINDOWS\LastGood.Tmp\INF\oem12.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem13.inf
C:\WINDOWS\LastGood.Tmp\INF\oem13.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem14.inf
C:\WINDOWS\LastGood.Tmp\INF\oem14.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem15.inf
C:\WINDOWS\LastGood.Tmp\INF\oem15.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem16.inf
C:\WINDOWS\LastGood.Tmp\INF\oem16.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem17.inf
C:\WINDOWS\LastGood.Tmp\INF\oem17.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem18.inf
C:\WINDOWS\LastGood.Tmp\INF\oem18.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem19.inf
C:\WINDOWS\LastGood.Tmp\INF\oem19.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem20.inf
C:\WINDOWS\LastGood.Tmp\INF\oem20.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem21.inf
C:\WINDOWS\LastGood.Tmp\INF\oem21.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem22.inf
C:\WINDOWS\LastGood.Tmp\INF\oem22.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem23.inf
C:\WINDOWS\LastGood.Tmp\INF\oem23.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem24.inf
C:\WINDOWS\LastGood.Tmp\INF\oem24.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem25.inf
C:\WINDOWS\LastGood.Tmp\INF\oem25.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem26.inf
C:\WINDOWS\LastGood.Tmp\INF\oem26.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem27.inf
C:\WINDOWS\LastGood.Tmp\INF\oem27.PNF
C:\WINDOWS\LastGood.Tmp\INF\oem28.inf
C:\WINDOWS\LastGood.Tmp\INF\oem28.PNF
C:\Documents and Settings\rani\Bureau\NeeVenundaChellamPt1.zip
C:\Documents and Settings\rani\Bureau\! New Personal Document !\Pokkiri_CD1.zip
C:\Documents and Settings\rani\Bureau\! New Personal Document !\Pokkiri_CD2.zip

Finished


Merci de ton aide ,

Sharmila
0
Réponse 7 / 24
Utilisateur anonyme
14 avril 2007 à 12:29
Bonjour Sharmila

...dis cela avance bien, cette affaire est un peu plus " claire "

Tu possèdes deux antivirus déclarés sur ta station
Désinstalle proprement F-Secure 2005 via " Ajout/Suppression de programme "

Ensuite, j'ai pas eu le rapport sur Virustotal --->Fais le / STP :

-2- Vas sur "Virustotal", pour analyser ce fichier : " ntmsmwra.dll "

http://www.virustotal.com/en/virustotalx.html

Sélect file taper le nom complet du fichier
Send (tu vas etre mis sur une liste t'attente de plusieurs minutes, ou plus)
Attendre le résultat de l'analyse, et copier son rapport ICI


Reviens dans ta prochaine réponse avec le rapport de VirusTotal, puis un nouveau log HJT
Je suis absent cet AM, mais reviens vers 17H

Bonne réception
0
sharmila
14 avril 2007 à 13:09
Re Evasion600,

Je t'avais dit que je n'arrivais pas à désisnstaller f-secure, parce que bizaremment je ne le trouve pas dans ajout/suppr de programmes.
J'avais donc essayé de le supprimer " manuellement" mais j'ai eu le message " Accès interdit car fichier en cours d'utilisation".


Je te copie/colle le rapport se virustotal, la dernière fois mon pc buggait et impossible de faire de copier coller, désolée, c'est pour ça que je t'avais juste mis ce qu'Ewido avait trouvé.
Bref je te refais le rapport et te le poste.

A tout à l'heure
0
Réponse 8 / 24
Sharmila
14 avril 2007 à 13:52
Re Evasion600

J'ai finalement réussi à supprimer f-secure.
Pour Virustotal, je n'arrive pas à faire de copier/coller ( c'est l'effet de virus).
Cependant seul Ewido a trouvé quelque chose : Backdoor.AFCore.f

Voilà

Merci de ton aide
@+

Sharmila
0
Utilisateur anonyme
14 avril 2007 à 17:31
Re Sharmila

...pour VirusTotal, ce n'est pas un copier/coller qu'il faut faire, mais taper le nom complet du fichier, dans la fenetre " Send" / OK, puis continuer avec la suite, pour avoir son rapport

...pour F-Secure, je vairai bien dan ston prochain log HJT, si il est effectivement plus présent sur ta station

...pour celui ci : Backdoor.AFCore.f , j'attend un peu à cause des faux/positifs d'Ewido ( qui n' exite plus , mais seulement AVG7.5 AS ----->Eventuellement repasse AVG7.5 AS, et poste son rapport )

A te lire
0
sharmila > Utilisateur anonyme
14 avril 2007 à 18:44
Re Evasion600

Pour VirusTotal , j'ai bien fais la manip : taper le nom complet, puis send, et attendu plusieurs minutes car je suis sur liste d'attente...
j'ai eu le rapport mais comment te le soumettre? je n'ai pas vu de "bouton sauvegarder le rapport", j'ai donc voulu faire un copier/coller de l'analyse mais je n'y suis pas arrivée.

Je sais pas si tu vois ce que je veux dire, peut-être que je m'exprime mal...mais j'ai bien attendu la fin de l'analyse de virustotal et seul Ewido avait trouvé quelque chose.


Jvais passer AVG et te poste le rapport.

Merci encore,

A tout à l'heure

Sharmila
0
Utilisateur anonyme > sharmila
14 avril 2007 à 18:56
Re Sharmila
...on va y arriver--->contacte moi par MP, donne moi une adresse eMail valide, je te donnerai la mienne---->quand tu l'auras, envoie moi ce fichier : ntmsmwra.dll , sur mon eMail, je vais l'analyser de chez moi !

...en fait je ne veux pas te faire fixer une *.dll, si elle est saine / OK

A tout à l'heure, bon appétit
0
Sharmila > Utilisateur anonyme
14 avril 2007 à 20:43
Re Evasion600,


Vraiment merci , c'est vraiment sympa !
Je n'arrive/peux pas te contacter par mp car je ne suis pas enregistrée...
Je l'ai donc héberger ici : https://www.sendspace.com/file/gc92h3
Ca te va ?
J'ai pas encore passer AVG mais ça ne saurait tarder.

A tout à l'heure

Sharmila
0
Sharmila > Sharmila
14 avril 2007 à 23:06
O_o Mon rapport de vers 21h40 a disparu..bizarre...0_o

Désolée Evasion600, je reposte mon rapport AVG :

VG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 21:20:05 14/04/2007

+ Résultat de l'analyse:



HKU\S-1-5-21-1060284298-1957994488-839522115-1003\Software\eZula -> Adware.Ezula : Ignoré.
C:\Documents and Settings\rani\Cookies\rani@247realmedia[1].txt -> TrackingCookie.247realmedia : Ignoré.
C:\Documents and Settings\rani\Cookies\rani@paypal.112.2o7[1].txt -> TrackingCookie.2o7 : Ignoré.
C:\Documents and Settings\rani\Cookies\rani@snapfish.112.2o7[1].txt -> TrackingCookie.2o7 : Ignoré.
C:\Documents and Settings\rani\Cookies\rani@adbrite[2].txt -> TrackingCookie.Adbrite : Ignoré.
C:\Documents and Settings\rani\Cookies\rani@adtech[2].txt -> TrackingCookie.Adtech : Ignoré.
C:\Documents and Settings\rani\Cookies\rani@advertising[1].txt -> TrackingCookie.Advertising : Ignoré.
C:\Documents and Settings\rani\Cookies\rani@adviva[2].txt -> TrackingCookie.Adviva : Ignoré.
C:\Documents and Settings\rani\Cookies\rani@atdmt[2].txt -> TrackingCookie.Atdmt : Ignoré.
C:\Documents and Settings\rani\Cookies\rani@bluestreak[1].txt -> TrackingCookie.Bluestreak : Ignoré.
C:\Documents and Settings\rani\Cookies\rani@casalemedia[1].txt -> TrackingCookie.Casalemedia : Ignoré.
C:\Documents and Settings\rani\Cookies\rani@clickbank[1].txt -> TrackingCookie.Clickbank : Ignoré.
C:\Documents and Settings\rani\Cookies\rani@doubleclick[1].txt -> TrackingCookie.Doubleclick : Ignoré.
C:\Documents and Settings\rani\Cookies\rani@estat[1].txt -> TrackingCookie.Estat : Ignoré.
C:\Documents and Settings\rani\Cookies\rani@fastclick[2].txt -> TrackingCookie.Fastclick : Ignoré.
C:\Documents and Settings\rani\Cookies\rani@mediaplex[1].txt -> TrackingCookie.Mediaplex : Ignoré.
C:\Documents and Settings\rani\Cookies\rani@www.smartadserver[1].txt -> TrackingCookie.Smartadserver : Ignoré.
C:\Documents and Settings\rani\Cookies\rani@statcounter[1].txt -> TrackingCookie.Statcounter : Ignoré.
C:\Documents and Settings\rani\Cookies\rani@tradedoubler[2].txt -> TrackingCookie.Tradedoubler : Ignoré.
C:\Documents and Settings\rani\Cookies\rani@weborama[2].txt -> TrackingCookie.Weborama : Ignoré.
C:\Documents and Settings\rani\Cookies\rani@ad.yieldmanager[1].txt -> TrackingCookie.Yieldmanager : Ignoré.
C:\Documents and Settings\rani\Cookies\rani@zedo[2].txt -> TrackingCookie.Zedo : Ignoré.


Fin du rapport

Merci pour ton aide, c'est sympa de ta part,

A te lire bientôt,

Sharmila
0
Réponse 9 / 24
Utilisateur anonyme
15 avril 2007 à 14:43
RE Sharmila

...cette dll, va résister, meme après fixation de la ligne [020] :
Télécharge Pocket KillBox http://www.downloads.subratam.org/KillBox.exe sur ton bureau.
Double-clique sur le fichier Killbox.exe, et coche la case "Delete on reboot".
copie d'un trait les lignes de la citation suivante :

[quote] C:\WINDOWS\System32\ntmsmwra.dll [/quote]

Sur PocketKillBox --> menu "File" --> "Paste from Clipboard" (tu ne verras rien se passer). Tu peux vérifier dans le menu déroulant que tous les fichiers sont bien présents.
- coche la case "Unregister dll before deleting" (si tu en as la possibilité)
- clique sur le bouton "All files"
- clique ensuite sur la croix rouge

Au deux messages qui vont s'afficher, tu réponds par "YES"
L'ordinateur doit redémarrer, sinon, fais le toi-même, [b]quoiqu'il arrive[/b].

-------------------------

/ Dès le redémarrage, lance le nettoyage avec CCleaner et supprime :
C:\[b]!Killbox[/b] <- le dossier

Remet moi un nouveau log HJT, tout de suite après ces manips / STP
0
Réponse 10 / 24
Sharmila
15 avril 2007 à 15:21
Re Evasion600

G fait les manips avec killbox et ccleaner mais ntmsmwra.dll est toujours dans le rapport Hijackthis et je n'arrive pas à la supprimer

Voici le rapport :
ogfile of HijackThis v1.99.1
Scan saved at 15:18:20, on 15/04/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\rani\Mes documents\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://as.starware.com/dp/search?product=ssearch&src_id=354&client_id=202D07D001C696EF020556D7&version=4.2.0.0&it=1151085578&loc=&qry=&url=http://www.google.fr/ (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.0.3:808;gopher=192.168.0.3:1080;http=192.168.0.3:808;https=192.168.0.3:808
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\System32\ntmsmwra.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: F-Secure 2006 (BackWeb Plug-in - 4476822) - Unknown owner - C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE (file missing)
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: fsbwsys - Unknown owner - C:\Program Files\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe (file missing)
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe


Ah la la la, je crois que je vais le passer par la fenêtre ce pc ^^ lol

A tout à l'heure et merci à toi et à tes copains aussi ^^

Sharmila
0
Réponse 11 / 24
Utilisateur anonyme
15 avril 2007 à 17:30
Re Sharmila

...Cool, on va l'avoir cette dll ;)
Rend toi ici, lettre I
https://forum.pcastuces.com/sujet.asp?f=25&s=3902
met seulement le nom du fichier, pour voir, soit : ntmswra.dl

A te lire l
0
Réponse 12 / 24
Sharmila
15 avril 2007 à 18:06
Re Evasion600,

Youpppiii, on a réussi à supprimer cette fichue dll :
Voici le rapport Hijackthis :

ogfile of HijackThis v1.99.1
Scan saved at 18:05:34, on 15/04/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\rani\Mes documents\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://as.starware.com/dp/search?product=ssearch&src_id=354&client_id=202D07D001C696EF020556D7&version=4.2.0.0&it=1151085578&loc=&qry=&url=http://www.google.fr/ (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.0.3:808;gopher=192.168.0.3:1080;http=192.168.0.3:808;https=192.168.0.3:808
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: F-Secure 2006 (BackWeb Plug-in - 4476822) - Unknown owner - C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE (file missing)
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: fsbwsys - Unknown owner - C:\Program Files\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe (file missing)
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

Qu'est ce qu'on fait maintenant ? lol

Merci beaucoup,

Sharmila
0
Réponse 13 / 24
Utilisateur anonyme
15 avril 2007 à 18:18
Re Sharmila

...Il y a tjrs dans les Sercices [023] ../F-Secure, et antivir, donc , en plus d'Avast !!!--->donc :

Démarrer "Exécuter…" puis tape services.msc dans la fenetre, valide par OK
La fenêtre des Services s'ouvre
Vérifier dans la partie inférieure que l'onglet Etendu est bien sélectionné, sinon faites-le

Dans la colonne "Nom", cherche le(s) Service(s) :

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE



DOUBLE CLIQUE sur le service pour faire apparaître "Propriétés"

Vérifie dans "Chemin d'accès des fichiers exécutables" qu'il s'agit bien de l'emplacement
Clique sur "Arrêter"
Dans le menu déroulant "Type de démarrage", sélectionne "Désactivé"
Valide la modification par OK
Ferme la fenêtre des Services

Recommence avec :
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
Puis, avec :
O23 - Service: F-Secure 2006 (BackWeb Plug-in - 4476822) - Unknown owner - C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE (file missing)
Et enfin avec :
O23 - Service: fsbwsys - Unknown owner - C:\Program Files\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe (file missing)

...Tu peux faire une recherche avec les mots : Antivir, et F-Secure, et tout supprimer
...Vider ta corbeille ( important )


...Bien maintenent je verifie tes drivers installés :
* Télécharge DiagHelp.zip sur ton bureau(Merci Malekal) Tuto : http://www.malekal.com/DiagHelp/DiagHelp.php
* Ne double-clique pas dessus !! Fais un clic droit sur le fichier et extraire tout.
* Un nouveau dossier chercher va être créé.
* Ouvre le et double-clic sur go.cmd (le .cmd peut ne pas apparaître)
* Une fenêtre va s'ouvrir, choisis l'option 1
* L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande.
* A la fin de l'analyse, le programme de dmeande de redémarrer ton PC. Fais-le.
* Une fenêtre avec le rapport s'ouvre alors. Copie/colle son contenu. (Il se trouve aussi ici : c:\resultat.txt)
* Double-clique sur ce fichier, Fais CTRL+A puis CTRL+C.
* Dans ta prochaine réponse, colle le rapport en faisant CTRL+V.



Notes tu une amélioration, dans le fonctionnement de ta station ?
Car là, ns avons fait un sacré bon "ménage/désinfection" du PC ;)

A te lire
0
Sharmila
15 avril 2007 à 20:15
Re Evasion600,

Merci pour cette grande aide, voici le long rapport de DiagHelp :

C:\WINDOWS\System32/drivers\ndis.sys -->11/04/2007 14:49:56
C:\WINDOWS\System32/drivers\regguard.sys -->01/04/2007 10:16:22
C:\WINDOWS\System32/drivers\aswRdr.sys -->15/01/2007 18:26:08
C:\WINDOWS\System32/drivers\aswTdi.sys -->15/01/2007 18:25:24
C:\WINDOWS\System32/drivers\aswmon.sys -->21/12/2006 00:56:13
C:\WINDOWS\System32/drivers\aswmon2.sys -->21/12/2006 00:56:00
C:\WINDOWS\System32/drivers\aavmker4.sys -->21/12/2006 00:51:58

C:\WINDOWS\System32\PARTIZAN.TXT -->15/04/2007 18:53:41
C:\WINDOWS\System32\pfxzmtymsg.dll -->12/04/2007 21:35:55
C:\WINDOWS\System32\pfxzmtwbmail.dll -->12/04/2007 21:35:55
C:\WINDOWS\System32\pfxzmticq.dll -->12/04/2007 21:35:55
C:\WINDOWS\System32\pfxzmtgtal.dll -->12/04/2007 21:35:55
C:\WINDOWS\System32\pfxzmtforum.dll -->12/04/2007 21:35:55
C:\WINDOWS\System32\pfxzmtaim.dll -->12/04/2007 21:35:55
C:\WINDOWS\System32\rsvp32_2.dll -->11/04/2007 14:51:11
C:\WINDOWS\System32\tmp.txt -->09/04/2007 22:37:51
C:\WINDOWS\System32\wpa.dbl -->09/04/2007 18:28:31
C:\WINDOWS\System32\aswCmnOS.dll -->06/04/2007 20:38:46
C:\WINDOWS\System32\CONFIG.NT -->02/04/2007 22:06:45
C:\WINDOWS\System32\Partizan.exe -->01/04/2007 10:08:29
C:\WINDOWS\System32\perfh00C.dat -->30/03/2007 22:50:18
C:\WINDOWS\System32\perfh009.dat -->30/03/2007 22:50:17
C:\WINDOWS\System32\perfc00C.dat -->30/03/2007 22:50:17
C:\WINDOWS\System32\perfc009.dat -->30/03/2007 22:50:17
C:\WINDOWS\System32\PerfStringBackup.INI -->30/03/2007 22:50:13
C:\WINDOWS\System32\asfiles.txt -->30/03/2007 18:19:38
C:\WINDOWS\System32\mswsock.dll -->28/03/2007 13:54:30
C:\WINDOWS\System32\FNTCACHE.DAT -->14/03/2007 18:39:58
C:\WINDOWS\System32\MRT.exe -->07/03/2007 12:36:34
C:\WINDOWS\System32\d3d8caps.dat -->25/02/2007 22:34:41
C:\WINDOWS\System32\kr_done1 -->03/02/2007 20:26:29
C:\WINDOWS\System32\sirenacm.dll -->19/01/2007 13:53:04

C:\WINDOWS\WindowsUpdate.log -->15/04/2007 19:01:30
C:\WINDOWS\0.log -->15/04/2007 18:55:37
C:\WINDOWS\wiadebug.log -->15/04/2007 18:54:47
C:\WINDOWS\wiaservc.log -->15/04/2007 18:54:15
C:\WINDOWS\Sti_Trace.log -->15/04/2007 18:54:13
C:\WINDOWS\SchedLgU.Txt -->15/04/2007 18:53:57
C:\WINDOWS\bootstat.dat -->15/04/2007 18:53:48
C:\WINDOWS\ntbtlog.txt -->15/04/2007 18:50:34
C:\WINDOWS\msnfix.txt -->14/04/2007 14:06:03
C:\WINDOWS\process.txt -->14/04/2007 14:05:51
C:\WINDOWS\NeroDigital.ini -->14/04/2007 13:36:11
C:\WINDOWS\pdp.exe -->12/04/2007 21:35:54
C:\WINDOWS\inst.exe -->12/04/2007 21:35:52
C:\WINDOWS\comdlg64.dll -->11/04/2007 18:46:03
C:\WINDOWS\winsock64.dll -->11/04/2007 18:45:51

C:\WINDOWS\bdoscandel.exe |25/05/2006 01:22:06
C:\WINDOWS\bwUnin-6.3.2.123-4476822L.exe |09/04/2007 22:12:13
C:\WINDOWS\CmiRmRedundDir.exe |19/06/2005 17:29:34
C:\WINDOWS\CMIUninstall.exe |19/06/2005 17:29:34
C:\WINDOWS\inst.exe |11/04/2007 17:14:28
C:\WINDOWS\InZU31.exe |20/06/2005 17:42:28
C:\WINDOWS\IsUn040c.exe |19/06/2005 17:29:20
C:\WINDOWS\IsUninst.exe |18/07/2005 13:16:09
C:\WINDOWS\iun6002.exe |08/12/2005 20:31:52
C:\WINDOWS\meta4.exe |13/05/2005 17:12:00
C:\WINDOWS\MOTA113.exe |24/10/2005 11:13:58
C:\WINDOWS\PATCH.EXE |28/06/2005 21:15:46
C:\WINDOWS\pdp.exe |11/04/2007 17:14:30
C:\WINDOWS\runtsckl.exe |09/06/2004 16:56:06
C:\WINDOWS\tsc.exe |28/06/2005 21:17:10
C:\WINDOWS\twunk_16.exe |28/08/2001 14:00:00
C:\WINDOWS\twunk_32.exe |28/08/2001 14:00:00
C:\WINDOWS\uinst001.exe |19/06/2005 20:42:33
C:\WINDOWS\UNNeroBackItUp.exe |12/09/2005 16:13:46
C:\WINDOWS\UNNeroMediaHome.exe |12/09/2005 16:13:46
C:\WINDOWS\UNNeroShowTime.exe |12/09/2005 16:13:46
C:\WINDOWS\UNNeroVision.exe |12/09/2005 16:13:46
C:\WINDOWS\UNRecode.exe |12/09/2005 16:13:46
C:\WINDOWS\unvise32qt.exe |22/07/2005 15:25:37
C:\WINDOWS\UpdtNv28.exe |04/01/2006 20:20:18
C:\WINDOWS\x2.64.exe |13/10/2005 21:27:00
C:\WINDOWS\ADE.DLL |19/06/2005 17:35:44
C:\WINDOWS\AuHCcup1.dll |23/07/1999 10:53:20
C:\WINDOWS\BPMNT.dll |28/06/2005 21:17:09
C:\WINDOWS\CMIRmDriver.dll |19/06/2005 17:29:34
C:\WINDOWS\comdlg64.dll |11/04/2007 14:51:39
C:\WINDOWS\hcextoutput.dll |28/06/2005 21:17:10
C:\WINDOWS\loadhttp.dll |15/10/2002 14:29:40
C:\WINDOWS\patchw32.dll |14/12/2001 13:34:46
C:\WINDOWS\pcdlib32.dll |27/01/2006 16:59:40
C:\WINDOWS\SlantAdj.dll |19/06/2005 17:35:44
C:\WINDOWS\TMUPDATE.DLL |28/06/2005 21:15:47
C:\WINDOWS\twain.dll |28/08/2001 14:00:00
C:\WINDOWS\twain_32.dll |28/08/2001 14:00:00
C:\WINDOWS\UNZIP.DLL |28/06/2005 21:15:46
C:\WINDOWS\vsapi32.dll |28/06/2005 21:17:09
C:\WINDOWS\winsock64.dll |11/04/2007 14:51:25
C:\WINDOWS\system32\append.exe |28/08/2001 14:00:00
C:\WINDOWS\system32\aswBoot.exe |02/04/2007 22:05:10
C:\WINDOWS\system32\cmirmdrv.exe |19/06/2005 17:29:38
C:\WINDOWS\system32\debug.exe |28/08/2001 14:00:00
C:\WINDOWS\system32\dosx.exe |28/08/2001 14:00:00
C:\WINDOWS\system32\dumphive.exe |09/04/2007 21:55:38
C:\WINDOWS\system32\dvdplay.exe |23/08/2001 19:47:34
C:\WINDOWS\system32\edlin.exe |28/08/2001 14:00:00
C:\WINDOWS\system32\exe2bin.exe |28/08/2001 14:00:00
C:\WINDOWS\system32\fastopen.exe |28/08/2001 14:00:00
C:\WINDOWS\system32\java.exe |05/11/2006 19:51:28
C:\WINDOWS\system32\javaw.exe |05/11/2006 19:51:28
C:\WINDOWS\system32\javaws.exe |05/11/2006 19:51:28
C:\WINDOWS\system32\mem.exe |28/08/2001 14:00:00
C:\WINDOWS\system32\mscdexnt.exe |28/08/2001 14:00:00
C:\WINDOWS\system32\NeroCheck.exe |12/01/2006 16:40:44
C:\WINDOWS\system32\nlsfunc.exe |28/08/2001 14:00:00
C:\WINDOWS\system32\Ntrights.exe |03/05/2006 16:26:18
C:\WINDOWS\system32\nw16.exe |28/08/2001 14:00:00
C:\WINDOWS\system32\Partizan.exe |01/04/2007 10:08:29
C:\WINDOWS\system32\Process.exe |03/05/2006 10:25:02
C:\WINDOWS\system32\pxcpya64.exe |26/06/2005 15:52:10
C:\WINDOWS\system32\pxcpyi64.exe |26/06/2005 15:52:10
C:\WINDOWS\system32\pxhpinst.exe |26/06/2005 15:52:09
C:\WINDOWS\system32\pxinsa64.exe |26/06/2005 15:52:10
C:\WINDOWS\system32\pxinsi64.exe |26/06/2005 15:52:10
C:\WINDOWS\system32\redir.exe |28/08/2001 14:00:00
C:\WINDOWS\system32\restart.exe |03/05/2006 16:26:18
C:\WINDOWS\system32\setver.exe |28/08/2001 14:00:00
C:\WINDOWS\system32\share.exe |28/08/2001 14:00:00
C:\WINDOWS\system32\SpoonUninstall.exe |25/02/2006 22:43:02
C:\WINDOWS\system32\SrchSTS.exe |03/05/2006 10:25:02
C:\WINDOWS\system32\sstunst3.exe |18/07/2005 14:46:23
C:\WINDOWS\system32\swsc.exe |03/05/2006 10:25:02
C:\WINDOWS\system32\swxcacls.exe |09/04/2007 21:55:38
C:\WINDOWS\system32\usrmlnka.exe |23/08/2001 19:47:48
C:\WINDOWS\system32\usrprbda.exe |23/08/2001 19:47:48
C:\WINDOWS\system32\usrshuta.exe |23/08/2001 19:47:48
C:\WINDOWS\system32\vwipxspx.exe |28/08/2001 14:00:00
C:\WINDOWS\system32\x.264.exe |28/02/2005 13:16:22
C:\WINDOWS\system32\zip.exe |03/05/2006 16:26:18
C:\WINDOWS\system32\3ivx.dll |07/04/2006 16:27:51
C:\WINDOWS\system32\a3d.dll |19/06/2005 17:29:36
C:\WINDOWS\system32\amstream.dll |18/02/2007 15:47:21
C:\WINDOWS\system32\aswCmnOS.dll |06/04/2007 20:38:48
C:\WINDOWS\system32\atmfd.dll |28/08/2001 14:00:00
C:\WINDOWS\system32\atmlib.dll |28/08/2001 14:00:00
C:\WINDOWS\system32\Audio3D.dll |19/06/2005 17:29:36
C:\WINDOWS\system32\avisynth.dll |07/10/2005 19:14:52
C:\WINDOWS\system32\avisynth_c.dll |09/01/2004 17:47:56
C:\WINDOWS\system32\AVSredirect.dll |14/07/2005 12:31:20
C:\WINDOWS\system32\biasfardihuy.dll |01/05/2006 16:31:13
C:\WINDOWS\system32\cmirmdrv.dll |19/06/2005 17:29:38
C:\WINDOWS\system32\cmuda.dll |19/06/2005 17:29:38
C:\WINDOWS\system32\CNCS232.DLL |10/05/1999 17:22:01
C:\WINDOWS\system32\compatUI.dll |28/08/2001 14:00:00
C:\WINDOWS\system32\cygwin1.dll |26/06/2005 15:32:28
C:\WINDOWS\system32\cygz.dll |21/06/2005 22:37:42
C:\WINDOWS\system32\devil.dll |22/02/2004 10:11:09
C:\WINDOWS\system32\dgrpsetu.dll |19/06/2005 18:10:22
C:\WINDOWS\system32\dgsetup.dll |19/06/2005 18:10:22
C:\WINDOWS\system32\divx.dll |05/12/2005 23:01:52
C:\WINDOWS\system32\EBAPI.dll |19/06/2005 17:47:48
C:\WINDOWS\system32\EBPCHP.DLL |19/06/2005 17:33:05
C:\WINDOWS\system32\EBPMON2.DLL |19/06/2005 17:33:05
C:\WINDOWS\system32\ECBTEG.DLL |19/06/2005 17:33:05
C:\WINDOWS\system32\EEBAPI.dll |19/06/2005 17:47:48
C:\WINDOWS\system32\EEBDSCVR.dll |19/06/2005 17:47:48
C:\WINDOWS\system32\EEBSDKIF.dll |19/06/2005 17:47:48
C:\WINDOWS\system32\EEBUtil.dll |19/06/2005 17:47:48
C:\WINDOWS\system32\epcomdd.dll |19/06/2005 17:32:52
C:\WINDOWS\system32\epfb5cpl.dll |19/06/2005 17:32:54
C:\WINDOWS\system32\EqnClass.Dll |19/06/2005 18:10:21
C:\WINDOWS\system32\esccm.dll |19/06/2005 17:32:54
C:\WINDOWS\system32\esccmd.dll |19/06/2005 17:32:54
C:\WINDOWS\system32\esccmn.dll |19/06/2005 17:32:54
C:\WINDOWS\system32\escimg.dll |19/06/2005 17:32:54
C:\WINDOWS\system32\escimgd.dll |19/06/2005 17:32:54
C:\WINDOWS\system32\escimgn.dll |19/06/2005 17:32:54
C:\WINDOWS\system32\escwiab.dll |19/06/2005 17:32:54
C:\WINDOWS\system32\escwiad.dll |19/06/2005 17:32:54
C:\WINDOWS\system32\escwian.dll |19/06/2005 17:32:54
C:\WINDOWS\system32\esdtr.dll |19/06/2005 17:32:52
C:\WINDOWS\system32\esicm.dll |19/06/2005 17:32:53
C:\WINDOWS\system32\Esint23.dll |19/06/2005 17:32:52
C:\WINDOWS\system32\Esintpl.dll |19/06/2005 17:32:52
C:\WINDOWS\system32\flvDX.dll |17/02/2007 23:19:42
C:\WINDOWS\system32\frapsvid.dll |03/12/2005 12:25:32
C:\WINDOWS\system32\HHActiveX.dll |20/06/2005 15:49:49
C:\WINDOWS\system32\hticons.dll |19/06/2005 17:16:21
C:\WINDOWS\system32\hypertrm.dll |19/06/2005 17:16:21
C:\WINDOWS\system32\i420vfw.dll |25/01/2004 00:00:00
C:\WINDOWS\system32\iccvid.dll |28/08/2001 14:00:00
C:\WINDOWS\system32\idmmbc.dll |19/02/2004 17:42:46
C:\WINDOWS\system32\imagr5.dll |21/09/2000 18:02:28
C:\WINDOWS\system32\imagx5.dll |27/09/2000 17:15:06
C:\WINDOWS\system32\imagX7.dll |26/07/2004 17:16:10
C:\WINDOWS\system32\imagXpr7.dll |26/07/2004 17:16:10
C:\WINDOWS\system32\imagXR7.dll |26/07/2004 17:16:10
C:\WINDOWS\system32\imagXRA7.dll |26/07/2004 17:16:10
C:\WINDOWS\system32\ir32_32.dll |28/08/2001 14:00:00
C:\WINDOWS\system32\ir41_qc.dll |28/08/2001 14:00:00
C:\WINDOWS\system32\ir41_qcx.dll |28/08/2001 14:00:00
C:\WINDOWS\system32\ir50_32.dll |28/08/2001 14:00:00
C:\WINDOWS\system32\ir50_qc.dll |28/08/2001 14:00:00
C:\WINDOWS\system32\ir50_qcx.dll |28/08/2001 14:00:00
C:\WINDOWS\system32\isrdbg32.dll |19/06/2005 17:17:50
C:\WINDOWS\system32\jgaw400.dll |28/08/2001 14:00:00
C:\WINDOWS\system32\jgdw400.dll |28/08/2001 14:00:00
C:\WINDOWS\system32\jgmd400.dll |28/08/2001 14:00:00
C:\WINDOWS\system32\jgpl400.dll |28/08/2001 14:00:00
C:\WINDOWS\system32\jgsd400.dll |28/08/2001 14:00:00
C:\WINDOWS\system32\jgsh400.dll |28/08/2001 14:00:00
C:\WINDOWS\system32\lfbmp13n.dll |18/10/2005 16:57:44
C:\WINDOWS\system32\lfcmp13n.dll |18/10/2005 16:57:44
C:\WINDOWS\system32\lffax13n.dll |08/06/2006 21:00:16
C:\WINDOWS\system32\lfgif13n.dll |18/10/2005 16:57:47
C:\WINDOWS\system32\lfpng13n.dll |30/10/2006 12:43:12
C:\WINDOWS\system32\lftif13n.dll |08/06/2006 21:00:16
C:\WINDOWS\system32\libsndfile.dll |07/04/2006 16:27:50
C:\WINDOWS\system32\ltclr13n.dll |08/06/2006 21:00:17
C:\WINDOWS\system32\ltdis13n.dll |18/10/2005 16:57:44
C:\WINDOWS\system32\ltefx13n.dll |18/10/2005 16:57:45
C:\WINDOWS\system32\ltfil13n.dll |18/10/2005 16:57:44
C:\WINDOWS\system32\ltimg13n.dll |18/10/2005 16:57:44
C:\WINDOWS\system32\ltkrn13n.dll |18/10/2005 16:57:44
C:\WINDOWS\system32\mcdvd_32.dll |05/12/2005 23:01:51
C:\WINDOWS\system32\mciqtz32.dll |18/02/2007 15:47:21
C:\WINDOWS\system32\mdwmdmsp.dll |23/08/2001 19:47:06
C:\WINDOWS\system32\msdmo.dll |20/06/2005 16:28:28
C:\WINDOWS\system32\msencode.dll |30/08/2002 18:24:06
C:\WINDOWS\system32\NeroCo.dll |16/02/2005 15:18:04
C:\WINDOWS\system32\ogg.dll |20/06/2005 15:49:49
C:\WINDOWS\system32\paqsp.dll |23/08/2001 19:47:16
C:\WINDOWS\system32\pfxzmtaim.dll |28/03/2007 13:54:23
C:\WINDOWS\system32\pfxzmtforum.dll |28/03/2007 13:54:23
C:\WINDOWS\system32\pfxzmtgtal.dll |28/03/2007 13:54:23
C:\WINDOWS\system32\pfxzmticq.dll |28/03/2007 13:54:23
C:\WINDOWS\system32\pfxzmtwbmail.dll |28/03/2007 13:54:23
C:\WINDOWS\system32\pfxzmtymsg.dll |28/03/2007 13:54:23
C:\WINDOWS\system32\picn20.dll |21/09/2000 08:47:10
C:\WINDOWS\system32\psisdecd.dll |18/02/2007 15:47:26
C:\WINDOWS\system32\px.dll |26/06/2005 15:52:09
C:\WINDOWS\system32\pxdrv.dll |26/06/2005 15:52:09
C:\WINDOWS\system32\pxmas.dll |26/06/2005 15:52:09
C:\WINDOWS\system32\pxwave.dll |26/06/2005 15:52:09
C:\WINDOWS\system32\pxwma.dll |26/06/2005 15:52:09
C:\WINDOWS\system32\python21.dll |19/06/2005 17:36:44
C:\WINDOWS\system32\pythoncom21.dll |19/06/2005 17:36:44
C:\WINDOWS\system32\PyWinTypes21.dll |19/06/2005 17:36:44
C:\WINDOWS\system32\qedwipes.dll |18/02/2007 15:47:22
C:\WINDOWS\system32\rsvp32_2.dll |11/04/2007 14:51:11
C:\WINDOWS\system32\scriptpw.dll |28/08/2001 14:00:00
C:\WINDOWS\system32\sis300iv.dll |19/06/2005 18:12:25
C:\WINDOWS\system32\slbcsp.dll |28/08/2001 14:00:00
C:\WINDOWS\system32\slbiop.dll |28/08/2001 14:00:00
C:\WINDOWS\system32\slbrccsp.dll |28/08/2001 14:00:00
C:\WINDOWS\system32\Smab.dll |22/12/2005 20:23:08
C:\WINDOWS\system32\spnike.dll |23/08/2001 19:47:18
C:\WINDOWS\system32\sprio600.dll |23/08/2001 19:47:18
C:\WINDOWS\system32\sprio800.dll |23/08/2001 19:47:18
C:\WINDOWS\system32\spxcoins.dll |19/06/2005 18:10:22
C:\WINDOWS\system32\t3odm.dll |06/12/2005 23:52:38
C:\WINDOWS\system32\tsccvid.dll |08/12/2005 20:09:19
C:\WINDOWS\system32\tsd32.dll |28/08/2001 14:00:00
C:\WINDOWS\system32\TWAIN32d.dll |14/09/1998 21:43:16
C:\WINDOWS\system32\TwnLib20.dll |26/06/2000 11:45:30
C:\WINDOWS\system32\TwnLib4.dll |09/07/2004 09:43:56
C:\WINDOWS\system32\udaprop.dll |19/06/2005 17:29:39
C:\WINDOWS\system32\usrcntra.dll |23/08/2001 19:47:20
C:\WINDOWS\system32\usrcoina.dll |23/08/2001 19:47:20
C:\WINDOWS\system32\usrdpa.dll |23/08/2001 19:47:20
C:\WINDOWS\system32\usrdtea.dll |23/08/2001 19:47:20
C:\WINDOWS\system32\usrfaxa.dll |23/08/2001 19:47:20
C:\WINDOWS\system32\usrlbva.dll |23/08/2001 19:47:20
C:\WINDOWS\system32\usrrtosa.dll |23/08/2001 19:47:20
C:\WINDOWS\system32\usrsdpia.dll |23/08/2001 19:47:20
C:\WINDOWS\system32\usrsvpia.dll |23/08/2001 19:47:20
C:\WINDOWS\system32\usrv42a.dll |23/08/2001 19:47:20
C:\WINDOWS\system32\usrv80a.dll |23/08/2001 19:47:20
C:\WINDOWS\system32\usrvoica.dll |23/08/2001 19:47:20
C:\WINDOWS\system32\usrvpa.dll |23/08/2001 19:47:20
C:\WINDOWS\system32\vorbis.dll |20/06/2005 15:49:49
C:\WINDOWS\system32\vxblock.dll |26/06/2005 15:52:09
C:\WINDOWS\system32\wbhelp2.dll |01/01/2007 19:44:56
C:\WINDOWS\system32\win87em.dll |28/08/2001 14:00:00
C:\WINDOWS\system32\winsusrm.dll |11/07/2005 17:02:11
C:\WINDOWS\system32\wmfhotfix.dll |23/05/2006 08:47:34
C:\WINDOWS\system32\wnaspi32.dll |29/06/2005 20:19:02
C:\WINDOWS\system32\xvidcore.dll |20/12/2004 11:03:26
C:\WINDOWS\system32\xvidvfw.dll |20/12/2004 11:08:28
C:\WINDOWS\system32\yv12vfw.dll |25/01/2004 00:00:00

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 8813-5B77

Répertoire de C:\WINDOWS\system

15/10/2003 10:26 1 454 080 SmWizard.exe
10/09/1999 13:06 4 672 wowpost.exe
2 fichier(s) 1 458 752 octets
0 Rép(s) 10 534 109 184 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 8813-5B77

Répertoire de C:\WINDOWS\system32

28/08/2001 14:00 4 096 csrss.exe
1 fichier(s) 4 096 octets
0 Rép(s) 10 534 109 184 octets libres

Contenu de Downloaded Program Files
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 8813-5B77

Répertoire de C:\WINDOWS\Downloaded Program Files

14/04/2007 21:28 <REP> .
14/04/2007 21:28 <REP> ..
07/12/2004 17:07 32 bdcore.dll
25/05/2006 01:21 118 784 bdupd.dll
08/04/2007 14:02 <REP> CONFLICT.1
03/07/2005 14:44 65 desktop.ini
16/06/2005 09:59 381 000 easyupld.dll
09/02/2005 16:54 1 271 erma.inf
04/07/2006 18:12 155 648 FileUploader.dll
04/07/2006 17:15 373 FileUploader.inf
14/10/2006 00:16 723 hcImpl.inf
05/03/2007 20:26 385 536 Housecall_ActiveX.dll
25/05/2006 01:21 53 248 ipsupd.dll
10/11/2005 15:05 876 jinstall-1_5_0_06.inf
16/03/2005 12:34 7 407 lang.ini
07/12/2004 17:07 32 libfn.dll
16/06/2005 09:59 225 353 liborca.dll
16/06/2005 09:59 241 742 liborca_comm.dll
14/03/2005 14:38 126 live.ini
06/04/2004 20:03 172 072 MessengerStatsPAClient.dll
29/05/2003 16:00 77 408 msgrchkr.dll
30/06/2005 15:19 227 MsnMessengerSetupDownloader.inf
14/08/2005 00:26 113 664 MsnMessengerSetupDownloader.ocx
08/09/2003 13:38 674 msSecAdv.inf
16/06/2005 09:58 118 858 ofutils.dll
16/06/2005 09:58 200 776 ofxml.dll
23/01/2007 12:32 361 OGAControl.inf
01/06/2006 02:57 1 331 oscan8.inf
01/06/2006 02:54 471 040 oscan8.ocx
31/05/2006 04:15 10 oscan81.ocx_x
22/09/2004 15:59 110 592 PURen-us.dll
15/10/2004 07:59 110 592 PURfr-xx.dll
09/10/2003 10:32 144 QTPlugin.inf
14/03/2005 14:58 7 073 scanoptions.tsi
28/02/2007 15:21 142 248 SolitaireShowdown.dll
27/03/2006 13:00 5 019 swflash.inf
04/02/2000 16:00 356 352 tdserver.ocx
02/12/2005 17:41 19 505 tra2_0_1.rc
20/04/2006 13:44 24 393 tra2_2_5.rc
11/08/2004 02:22 3 036 wmv9dmo.inf
30/06/2003 22:41 1 689 WMV9VCM.inf
26/05/2005 04:19 291 wuweb.inf
39 fichier(s) 3 509 571 octets

Répertoire de C:\WINDOWS\Downloaded Program Files\CONFLICT.1

08/04/2007 14:02 <REP> .
08/04/2007 14:02 <REP> ..
07/12/2004 17:07 32 bdcore.dll
25/05/2006 01:21 118 784 bdupd.dll
25/05/2006 01:21 53 248 ipsupd.dll
16/03/2005 12:34 7 407 lang.ini
07/12/2004 17:07 32 libfn.dll
14/03/2005 14:38 126 live.ini
01/06/2006 02:57 1 331 oscan8.inf
01/06/2006 02:54 471 040 oscan8.ocx
31/05/2006 04:15 10 oscan81.ocx_x
14/03/2005 14:58 7 073 scanoptions.tsi
10 fichier(s) 659 083 octets

Total des fichiers listés :
49 fichier(s) 4 168 654 octets
5 Rép(s) 10 534 105 088 octets libres

Recherche de rootkit! (Merci S!Ri)

Recherche d'infections connues



catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

HKLM\SYSTEM\CurrentControlSet\Services\winmgmt6a47-3274

scanning hidden autostart entries ...

scanning hidden files ...

C:\WINDOWS\system32\windev-6a47-3274.sys 139264 bytes
C:\WINDOWS\system32\windev-peers.ini 4096 bytes

scan completed successfully
hidden processes: 0
hidden services: 1
hidden files: 2

Liste des programmes installes

a-squared Anti-Malware 2.1
Adobe Acrobat 5.0
Adobe Flash Player 9 ActiveX
Archiveur WinRAR
Audacity 1.2.4
avast! Antivirus
AVG Anti-Spyware 7.5
BSPlayer
C-Media 3D Audio
CCleaner (remove only)
Correctif pour le Lecteur Windows Media [Voir Q828026 pour plus d'informations]
Correctif Windows XP - KB823559
Correctif Windows XP - KB828741
Correctif Windows XP - KB835732
Correctif Windows XP - KB842773
EasyCleaner
EPSON Copy Utility
EPSON Logiciel imprimante
EPSON Photo Print
EPSON Smart Panel
EPSON TWAIN 5
EVEREST Home Edition v2.20
ewido anti-malware
FLV Player
Free Download Manager 2.0
FX-INTERFACE PROFESSIONAL
HijackThis 1.99.1
Hitman Pro
J2SE Runtime Environment 5.0 Update 6
J2SE Runtime Environment 5.0 Update 9
KODAK EASYSHARE Gallery Upload ActiveX Control
Lame ACM MP3 Codec
Lecteur Windows Media 10
LightScribe 1.4.142.1
LiveUpdate BVRP Software
LSPFix Version Française 1.0.0.0
Macromedia Shockwave Player
Microsoft Internet Explorer 6 SP1
NEC Mobile Drivers
NEC Mobile Drivers
NEC Mobile Suite
NEC Mobile Suite
NEC WMC USB_AD1 Software
NEC WMC USB_BJ1 Software
NEC WMC USB_BK1 Software
NEC WMC USB_T1 Software
Nero - Burning Rom
Nero 7 Demo
Office Animation Runtime
OpenOffice.org 2.0
Package du correctif Windows XP [voir Q329115 pour plus de détails]
QuickTime
ScanToWeb
Sketch Master 4.71
SUPER © Version 2007.bld.21 (Jan 4, 2007)
Ulead Photo Express 3.0 SE
VideoLAN VLC media player 0.8.2
WebFldrs XP
Winamp (remove only)
Windows Installer 3.1 (KB893803)
Windows Live Messenger
Windows Media Format Runtime
Windows Media Format SDK Hotfix - KB891122
Windows XP Hotfix - KB823980
Windows XP Hotfix (SP1) [See Q329048 for more information]
Windows XP Hotfix (SP1) [See Q329390 for more information]
Windows XP Hotfix (SP1) [See Q329441 for more information]
Windows XP Hotfix (SP1) [See Q329834 for more information]
Windows XP Hotfix (SP1) Q329170
Windows XP Hotfix (SP1) Q810577
Windows XP Hotfix (SP1) Q810833
Windows XP Hotfix (SP1) Q817606
WM Recorder + RM Recorder 10.2
XviD MPEG-4 Video Codec



Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 8813-5B77

Répertoire de C:\Program Files

14/04/2007 20:47 <REP> .
14/04/2007 20:47 <REP> ..
19/06/2005 17:37 <REP> Adobe
10/07/2005 16:46 <REP> Ahead
01/04/2007 13:49 <REP> Alwil Software
01/04/2007 09:42 <REP> a-squared Anti-Malware
09/12/2005 18:38 <REP> Audacity
12/11/2005 14:12 <REP> AviSynth 2.5
15/04/2007 18:50 <REP> AVPersonal
05/12/2005 23:01 <REP> AVSMedia
09/07/2004 09:13 703 080 BDA.cab
19/07/2004 22:58 1 156 363 BDANT.cab
19/07/2004 22:53 976 020 BDAXP.cab
01/04/2007 09:52 <REP> CCleaner
19/06/2005 17:29 <REP> C-Media 3D Audio
15/07/2005 20:09 <REP> Common Files
24/05/2006 19:19 <REP> DIFX
16/07/2004 14:30 3 858 directx redist.txt
09/07/2004 09:13 15 493 481 DirectX.cab
27/01/2006 18:55 <REP> discreet
09/07/2004 03:03 62 976 DSETUP.dll
09/07/2004 04:08 2 242 560 dsetup32.dll
09/07/2004 14:17 13 265 040 dxnt.cab
09/07/2004 04:08 472 576 dxsetup.exe
19/06/2005 17:37 <REP> EPSON
17/02/2007 23:37 <REP> eRightSoft
01/04/2007 09:57 <REP> ewido anti-malware
09/04/2007 22:41 <REP> Fichiers communs
11/04/2007 18:38 <REP> FlashGet
18/02/2007 14:59 <REP> FLV Player
18/02/2007 14:52 <REP> FLVPlayer
10/04/2007 23:46 <REP> Free Download Manager
03/01/2007 14:19 <REP> FXIPRO
03/01/2007 14:07 <REP> FXIWIN19
13/10/2005 18:36 <REP> Google
14/04/2007 20:47 <REP> Grisoft
30/03/2007 20:58 <REP> Hitman Pro
29/06/2005 17:26 <REP> InterMute
03/07/2005 21:34 <REP> Internet Explorer
05/11/2006 19:51 <REP> Java
07/04/2007 09:27 <REP> KB823980Scan
30/09/2005 19:48 <REP> LAB
22/07/2006 19:10 <REP> Lavalys
30/03/2007 21:42 <REP> Lavasoft
04/03/2006 22:42 <REP> LiveUpdate
26/11/2006 23:01 <REP> LSPfix Version Française
22/07/2004 10:51 3 432 656 ManagedDX.CAB
30/07/2006 18:34 <REP> Maxis
29/01/2006 15:09 <REP> Mediamixer4
10/04/2007 23:46 <REP> Messenger
15/07/2005 09:41 <REP> Messenger2
02/10/2005 12:02 <REP> Micro Application
19/06/2005 17:20 <REP> microsoft frontpage
19/06/2005 17:18 <REP> Movie Maker
19/06/2005 17:16 <REP> MSN
19/06/2005 17:16 <REP> MSN Gaming Zone
08/02/2007 20:52 <REP> MSN Messenger
17/11/2006 17:49 <REP> NEC
11/02/2006 21:08 <REP> Nero
29/06/2005 20:06 <REP> NetMeeting
19/07/2006 18:37 <REP> NoAdware4
09/04/2007 22:55 <REP> Norton AntiVirus
09/04/2007 22:55 <REP> Norton Internet Security
21/02/2006 15:28 <REP> Nvu
04/12/2005 20:35 <REP> OpenOffice.org 2.0
23/08/2006 19:00 <REP> OpenOffice.org1.1.4
02/11/2006 23:09 <REP> OpenOffice.org1.1.5
03/07/2005 14:44 <REP> Outlook Express
12/03/2006 12:19 <REP> Oxilog
26/02/2006 21:39 <REP> PacketVideo
19/07/2006 18:38 <REP> PhototoVCD
22/07/2005 15:25 <REP> QuickTime
03/01/2007 20:45 <REP> RAM
21/06/2005 19:36 <REP> Real
29/07/2005 20:19 <REP> ReflexiveArcade
19/05/2006 15:37 <REP> RegCleaner
19/06/2005 17:18 <REP> Services en ligne
06/02/2007 22:00 <REP> Sketch Master
19/07/2006 18:38 <REP> solarus
30/03/2007 22:35 <REP> Spybot - Search & Destroy(2)
09/04/2007 22:51 <REP> Symantec
16/12/2005 22:05 <REP> Sytexis Software
10/04/2007 23:44 <REP> ToniArts
15/07/2005 20:24 <REP> Trillian
29/01/2006 15:20 <REP> TuxPaint
30/10/2005 14:00 <REP> Ulead Systems
15/11/2005 20:51 <REP> VideoLAN
28/01/2006 21:17 <REP> Visicom Media
08/12/2005 20:17 <REP> Webteh
09/06/2006 21:44 <REP> Winamp
08/10/2005 11:44 <REP> Windows Media Player
19/06/2005 17:16 <REP> Windows NT
18/03/2006 23:42 <REP> WinRAR
20/12/2006 15:07 <REP> WM Recorder 10.2
19/06/2005 17:20 <REP> xerox
28/06/2005 17:45 <REP> Xi
03/03/2006 14:45 <REP> Xilisoft
28/07/2005 21:15 <REP> XoftSpy
20/06/2005 14:01 <REP> XviD
30/03/2007 22:37 <REP> Yahoo!
07/08/2005 17:06 <REP> ZC2.10
19/06/2005 22:16 <REP> Zone Labs
10 fichier(s) 37 808 610 octets
92 Rép(s) 10 484 899 840 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 8813-5B77

Répertoire de C:\Program Files\fichiers communs

09/04/2007 22:41 <REP> .
09/04/2007 22:41 <REP> ..
19/06/2005 20:55 <REP> Adobe
30/06/2006 21:50 <REP> Ahead
05/12/2005 23:02 <REP> AVSMedia
15/10/2005 21:08 <REP> BOONTY Shared
14/03/2007 20:38 <REP> Droppix
19/06/2005 17:34 <REP> EPSON
25/02/2006 20:53 <REP> InstallShield
09/02/2006 22:53 <REP> Java
13/03/2007 22:05 <REP> LightScribe
03/07/2005 14:44 <REP> Microsoft Shared
19/06/2005 17:17 <REP> MSSoap
15/10/2005 20:53 <REP> NSV
15/10/2005 20:53 <REP> Nullsoft
19/06/2005 18:10 <REP> ODBC
19/06/2005 17:36 <REP> Python
03/11/2006 19:36 <REP> Real
03/07/2005 14:44 <REP> Services
19/06/2005 18:10 <REP> SpeechEngines
18/04/2006 22:48 <REP> SWF Studio
09/04/2007 22:55 <REP> Symantec Shared
03/07/2005 14:44 <REP> System
14/06/2006 10:02 <REP> Totem Shared
0 fichier(s) 0 octets
24 Rép(s) 10 484 899 840 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 8813-5B77

Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

30/03/2007 22:37 <REP> .
30/03/2007 22:37 <REP> ..
18/05/2001 17:57 561 209 MSONSEXT.DLL
03/06/1999 14:09 122 937 MSOWS409.DLL
07/03/2001 09:00 127 033 MSOWS40c.DLL
3 fichier(s) 811 179 octets
2 Rép(s) 10 484 899 840 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 8813-5B77

Répertoire de C:\Program Files\common files

15/07/2005 20:09 <REP> .
15/07/2005 20:09 <REP> ..
15/07/2005 20:09 <REP> GTK
0 fichier(s) 0 octets
3 Rép(s) 10 484 895 744 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 8813-5B77

Répertoire de C:\

11/11/2001 00:00 68 096 diff.exe
29/09/2005 11:51 488 656 DXSETUP.exe
27/08/2006 14:10 103 424 grep.exe
15/04/2007 16:20 1 292 576 WindowsXP-KB823980-x86-FRA.exe
15/04/2007 16:47 2 713 880 WindowsXP-KB835732-x86-FRA.EXE
5 fichier(s) 4 666 632 octets
0 Rép(s) 10 484 895 744 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 8813-5B77

Répertoire de C:\

15/04/2007 18:58 91 648 cp1041.nls
1 fichier(s) 91 648 octets
0 Rép(s) 10 484 895 744 octets libres
c:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\Process.exe
c:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\Reboot.exe
c:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\restart.exe
c:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\SrchSTS.exe
c:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\swreg.exe
c:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\swsc.exe
c:\Documents and Settings\All Users\Documents\Download\bsplay122(1).exe
c:\Documents and Settings\All Users\Documents\Download\bsplay122.exe
c:\Documents and Settings\All Users\Documents\Download\DivX521XP2K.exe
c:\Documents and Settings\All Users\Documents\Download\iTunesSetup.exe
c:\Documents and Settings\All Users\Documents\Download\MPSetup.exe
c:\Documents and Settings\All Users\Documents\Download\Nero-6.6.0.13.exe
c:\Documents and Settings\All Users\Documents\Download\zlsSetup_51_039_004.exe
c:\Documents and Settings\rani\Application Data\Microsoft\Installer\{AEEB3643-71DE-414d-9E3F-1159177FE211}\misc.exe.D0DF3458_A845_11D3_8D0A_0050046416B9.exe
c:\Documents and Settings\rani\Bureau\avgas-setup-7.5.0.50.exe
c:\Documents and Settings\rani\Bureau\blastsfx.exe
c:\Documents and Settings\rani\Bureau\FixBlast.exe
c:\Documents and Settings\rani\Bureau\fs2006f.exe
c:\Documents and Settings\rani\Bureau\FxSasser.exe
c:\Documents and Settings\rani\Bureau\kav6.0.2.614.fr.1337.exe
c:\Documents and Settings\rani\Bureau\KillBox.exe
c:\Documents and Settings\rani\Bureau\Look2Me-Destroyer.exe
c:\Documents and Settings\rani\Bureau\Norton_Removal_Tool.exe
c:\Documents and Settings\rani\Bureau\SDFix.exe
c:\Documents and Settings\rani\Bureau\SymNRT.exe
c:\Documents and Settings\rani\Bureau\WindowsXP-KB823980-x86-FRA.exe
c:\Documents and Settings\rani\Bureau\WindowsXP-KB921883-x86-FRA.exe
c:\Documents and Settings\rani\Bureau\xpsp1a_fr_x86.exe
c:\Documents and Settings\rani\Bureau\! New Personal Document !\dap8.exe
c:\Documents and Settings\rani\Bureau\! New Personal Document !\New movie\real-alternative_real_alternative_1.45_anglais_11099.exe
c:\Documents and Settings\rani\Bureau\! New Personal Document !\New movie\vlc-0.8.2-win32.exe
c:\Documents and Settings\rani\Bureau\! New Personal Document !\New vcd 1\directx_9_0b_directx_9.0c_francais_10906.exe
c:\Documents and Settings\rani\Bureau\! New Personal Document !\Nouveau dossier (2)\LSPFix VF.exe
c:\Documents and Settings\rani\Bureau\Charline\avwinsfx.exe
c:\Documents and Settings\rani\Bureau\DiagHelp\catchme.exe
c:\Documents and Settings\rani\Bureau\DiagHelp\diff.exe
c:\Documents and Settings\rani\Bureau\DiagHelp\dumphive.exe
c:\Documents and Settings\rani\Bureau\DiagHelp\FilesInfoCmd.exe
c:\Documents and Settings\rani\Bureau\DiagHelp\Fport.exe
c:\Documents and Settings\rani\Bureau\DiagHelp\grep.exe
c:\Documents and Settings\rani\Bureau\DiagHelp\LFiles.exe
c:\Documents and Settings\rani\Bureau\DiagHelp\LISTDLLS.exe
c:\Documents and Settings\rani\Bureau\DiagHelp\pslist.exe
c:\Documents and Settings\rani\Bureau\DiagHelp\streams.exe
c:\Documents and Settings\rani\Bureau\DiagHelp\swreg.exe
c:\Documents and Settings\rani\Bureau\Désinfection\a2AntiMalwareSetup.exe
c:\Documents and Settings\rani\Bureau\Désinfection\avg75f_448a972.exe
c:\Documents and Settings\rani\Bureau\Désinfection\ccsetup138.exe
c:\Documents and Settings\rani\Bureau\Désinfection\DCOM-KB826369-X86-ENU.exe
c:\Documents and Settings\rani\Bureau\Désinfection\EClea2_0.exe
c:\Documents and Settings\rani\Bureau\Désinfection\fra_Q823980i.exe
c:\Documents and Settings\rani\Bureau\Désinfection\mwav.exe
c:\Documents and Settings\rani\Bureau\Désinfection\Office2003SP2-KB887616-Client-FRA.exe
c:\Documents and Settings\rani\Bureau\Désinfection\Office2003SP2-KB887616-FullFile-FRA.exe
c:\Documents and Settings\rani\Bureau\Désinfection\setupfre.exe
c:\Documents and Settings\rani\Bureau\Désinfection\s-t-i-n-g-e-r.exe
c:\Documents and Settings\rani\Bureau\Désinfection\stng260.exe
c:\Documents and Settings\rani\Bureau\Désinfection\VundoFix.exe
c:\Documents and Settings\rani\Bureau\Désinfection\Windows-KB890830-V1.27.exe
c:\Documents and Settings\rani\Bureau\Désinfection\WindowsServer2003-KB914961-SP2-x86-FRA.exe
c:\Documents and Settings\rani\Bureau\Désinfection\WindowsXP-KB823980-x86-FRA.exe
c:\Documents and Settings\rani\Bureau\Désinfection\WindowsXP-KB928255-x86-FRA.exe
c:\Documents and Settings\rani\Bureau\Désinfection\clean\clean\pskill.exe
c:\Documents and Settings\rani\Bureau\Désinfection\outil\swreg.exe
c:\Documents and Settings\rani\Bureau\Désinfection\SDFix\SDFix.exe
c:\Documents and Settings\rani\Bureau\Désinfection\SmitfraudFix\dumphive.exe
c:\Documents and Settings\rani\Bureau\Désinfection\SmitfraudFix\GenericRenosFix.exe
c:\Documents and Settings\rani\Bureau\Désinfection\SmitfraudFix\HostsChk.exe
c:\Documents and Settings\rani\Bureau\Désinfection\SmitfraudFix\Process.exe
c:\Documents and Settings\rani\Bureau\Désinfection\SmitfraudFix\Reboot.exe
c:\Documents and Settings\rani\Bureau\Désinfection\SmitfraudFix\restart.exe
c:\Documents and Settings\rani\Bureau\Désinfection\SmitfraudFix\SmiUpdate.exe
c:\Documents and Settings\rani\Bureau\Désinfection\SmitfraudFix\SrchSTS.exe
c:\Documents and Settings\rani\Bureau\Désinfection\SmitfraudFix\swreg.exe
c:\Documents and Settings\rani\Bureau\Désinfection\SmitfraudFix\swsc.exe
c:\Documents and Settings\rani\Bureau\Désinfection\SmitfraudFix\swxcacls.exe
c:\Documents and Settings\rani\Bureau\Désinfection\SmitfraudFix\unzip.exe
c:\Documents and Settings\rani\Bureau\SDFix\Catchme.exe
c:\Documents and Settings\rani\Bureau\SDFix\apps\cliptext.exe
c:\Documents and Settings\rani\Bureau\SDFix\apps\download.exe
c:\Documents and Settings\rani\Bureau\SDFix\apps\LS.exe
c:\Documents and Settings\rani\Bureau\SDFix\apps\MD5File.exe
c:\Documents and Settings\rani\Bureau\SDFix\apps\MoveEx.exe
c:\Documents and Settings\rani\Bureau\SDFix\apps\Process.exe
c:\Documents and Settings\rani\Bureau\SDFix\apps\RegDACL.exe
c:\Documents and Settings\rani\Bureau\SDFix\apps\RestartIt!.exe
c:\Documents and Settings\rani\Bureau\SDFix\apps\sc.exe
c:\Documents and Settings\rani\Bureau\SDFix\apps\SF.exe
c:\Documents and Settings\rani\Bureau\SDFix\apps\swreg.exe
c:\Documents and Settings\rani\Bureau\SDFix\apps\swsc.exe
c:\Documents and Settings\rani\Bureau\SDFix\apps\unzip.exe
c:\Documents and Settings\rani\Bureau\SDFix\apps\zip.exe
c:\Documents and Settings\rani\Bureau\SDFix\apps\Replace\W2K.exe
c:\Documents and Settings\rani\Bureau\SDFix\apps\Replace\XP.exe
c:\Documents and Settings\rani\Bureau\SDFix\backups\attrib.exe
c:\Documents and Settings\rani\Bureau\SDFix\backups\find.exe
c:\Documents and Settings\rani\Bureau\SDFix\backups\findstr.exe
c:\Documents and Settings\rani\Bureau\SDFix\backups\regedit.exe
c:\Documents and Settings\rani\Bureau\SDFix\backups_old1\attrib.exe
c:\Documents and Settings\rani\Bureau\SDFix\backups_old1\find.exe
c:\Documents and Settings\rani\Bureau\SDFix\backups_old1\findstr.exe
c:\Documents and Settings\rani\Bureau\SDFix\backups_old1\regedit.exe
c:\Documents and Settings\rani\Bureau\SmitfraudFix\SmitfraudFix\dumphive.exe
c:\Documents and Settings\rani\Bureau\SmitfraudFix\SmitfraudFix\GenericRenosFix.exe
c:\Documents and Settings\rani\Bureau\SmitfraudFix\SmitfraudFix\HostsChk.exe
c:\Documents and Settings\rani\Bureau\SmitfraudFix\SmitfraudFix\Process.exe
c:\Documents and Settings\rani\Bureau\SmitfraudFix\SmitfraudFix\Reboot.exe
c:\Documents and Settings\rani\Bureau\SmitfraudFix\SmitfraudFix\restart.exe
c:\Documents and Settings\rani\Bureau\SmitfraudFix\SmitfraudFix\SmiUpdate.exe
c:\Documents and Settings\rani\Bureau\SmitfraudFix\SmitfraudFix\SrchSTS.exe
c:\Documents and Settings\rani\Bureau\SmitfraudFix\SmitfraudFix\swreg.exe
c:\Documents and Settings\rani\Bureau\SmitfraudFix\SmitfraudFix\swsc.exe
c:\Documents and Settings\rani\Bureau\SmitfraudFix\SmitfraudFix\swxcacls.exe
c:\Documents and Settings\rani\Bureau\SmitfraudFix\SmitfraudFix\unzip.exe
c:\Documents and Settings\rani\Local Settings\Temp\delus.exe
c:\Documents and Settings\rani\Mes documents\aawsepersonal.exe
c:\Documents and Settings\rani\Mes documents\audacity-win-1.2.3.exe
c:\Documents and Settings\rani\Mes documents\audacity-win-1.2.4b.exe
c:\Documents and Settings\rani\Mes documents\directx_9c_oct05sdk_redist.exe
c:\Documents and Settings\rani\Mes documents\epson5363eu.exe
c:\Documents and Settings\rani\Mes documents\Firefox Setup 1.0.4.exe
c:\Documents and Settings\rani\Mes documents\fwsetup.exe
c:\Documents and Settings\rani\Mes documents\HijackThis.exe
c:\Documents and Settings\rani\Mes documents\jre-1_5_0_06-windows-i586-p-iftw.exe
c:\Documents and Settings\rani\Mes documents\MP10_EnergyBlissViz.EXE
c:\Documents and Settings\rani\Mes documents\Nero-7.0.5.4_fra.exe
c:\Documents and Settings\rani\Mes documents\Nero-7.0.8.2_fra.exe
c:\Documents and Settings\rani\Mes documents\Nero-7.2.3.2b_fra_no_yt.exe
c:\Documents and Settings\rani\Mes documents\photovcdsetup204.exe
c:\Documents and Settings\rani\Mes documents\RegCleaner.exe
c:\Documents and Settings\rani\Mes documents\rustbfix.exe
c:\Documents and Settings\rani\Mes documents\SetupDl.exe
c:\Documents and Settings\rani\Mes documents\TS-AudioToMIDI.exe
c:\Documents and Settings\rani\Mes documents\WindowsMedia-KB891122-x86-FRA.exe
c:\Documents and Settings\rani\Mes documents\WindowsMedia-Q828026-x86-FRA.exe
c:\Documents and Settings\rani\Mes documents\XviD-1.0.3-20122004.exe
c:\Documents and Settings\rani\Mes documents\OpenOfficeorg 2.0 Installation Files\instmsia.exe
c:\Documents and Settings\rani\Mes documents\OpenOfficeorg 2.0 Installation Files\instmsiw.exe
c:\Documents and Settings\rani\Mes documents\OpenOfficeorg 2.0 Installation Files\setup.exe
c:\Documents and Settings\rani\Mes documents\SmitfraudFix\Process.exe
c:\Documents and Settings\rani\Mes documents\SmitfraudFix\Reboot.exe
c:\Documents and Settings\rani\Mes documents\SmitfraudFix\restart.exe
c:\Documents and Settings\rani\Mes documents\SmitfraudFix\SrchSTS.exe
c:\Documents and Settings\rani\Mes documents\SmitfraudFix\swreg.exe
c:\Documents and Settings\rani\Mes documents\SmitfraudFix\swsc.exe
c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll
c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll
c:\Documents and Settings\rani\Application Data\Seven Zip\Codecs\7zAes.dll
c:\Documents and Settings\rani\Application Data\Seven Zip\Codecs\Aes.dll
c:\Documents and Settings\rani\Application Data\Seven Zip\Codecs\Branch.dll
c:\Documents and Settings\rani\Application Data\Seven Zip\Codecs\Copy.dll
c:\Documents and Settings\rani\Application Data\Seven Zip\Codecs\LZMA.dll
c:\Documents and Settings\rani\Application Data\Seven Zip\Codecs\Swap.dll
c:\Documents and Settings\rani\Application Data\Seven Zip\Formats\7z.dll

Liste des drivers...

< Microsoft (R) Windows (R) version 5.1 (num'ro 2600).
< 4 15 2007 19:13:01.500
< Pilote charg' \WINDOWS\system32\ntoskrnl.exe
< Pilote charg' \WINDOWS\system32\hal.dll
< Pilote charg' \WINDOWS\system32\KDCOM.DLL
< Pilote charg' \WINDOWS\system32\BOOTVID.dll
< Pilote charg' ACPI.sys
< Pilote charg' \WINDOWS\System32\DRIVERS\WMILIB.SYS
< Pilote charg' pci.sys
< Pilote charg' isapnp.sys
< Pilote charg' pciide.sys
< Pilote charg' \WINDOWS\System32\DRIVERS\PCIIDEX.SYS
< Pilote charg' MountMgr.sys
< Pilote charg' ftdisk.sys
< Pilote charg' dmload.sys
< Pilote charg' dmio.sys
< Pilote charg' PartMgr.sys
< Pilote charg' VolSnap.sys
< Pilote charg' atapi.sys
< Pilote charg' disk.sys
< Pilote charg' \WINDOWS\System32\DRIVERS\CLASSPNP.SYS
< Pilote charg' sr.sys
< Pilote charg' PxHelp20.sys
< Pilote charg' KSecDD.sys
< Pilote charg' Ntfs.sys
< Pilote charg' NDIS.sys
< Pilote charg' Mup.sys
< Pilote charg' \SystemRoot\System32\DRIVERS\processr.sys
< Pilote charg' \SystemRoot\System32\DRIVERS\sis300ip.sys
< Pilote charg' \SystemRoot\System32\DRIVERS\i8042prt.sys
< Pilote charg' \SystemRoot\System32\DRIVERS\kbdclass.sys
< Pilote charg' \SystemRoot\System32\DRIVERS\cdrom.sys
< Pilote charg' \SystemRoot\System32\DRIVERS\redbook.sys
< Pilote charg' \SystemRoot\System32\Drivers\Imapi.SYS
< Pilote charg' \SystemRoot\system32\drivers\cmuda.sys
< Pilote charg' \SystemRoot\System32\DRIVERS\usbohci.sys
< Pilote charg' \SystemRoot\System32\DRIVERS\usbuhci.sys
< Pilote charg' \SystemRoot\System32\DRIVERS\sisnic.sys
< Pilote charg' \SystemRoot\System32\DRIVERS\ltmdmnt.sys
< Pilote charg' \SystemRoot\System32\Drivers\Modem.SYS
< Pilote charg' \SystemRoot\System32\DRIVERS\fdc.sys
< Pilote charg' \SystemRoot\System32\DRIVERS\serial.sys
< Pilote charg' \SystemRoot\System32\DRIVERS\serenum.sys
< Pilote charg' \SystemRoot\System32\DRIVERS\parport.sys
< Pilote charg' \SystemRoot\System32\DRIVERS\gameenum.sys
< Pilote charg' \SystemRoot\System32\DRIVERS\audstub.sys
< Pilote charg' \SystemRoot\System32\DRIVERS\rasl2tp.sys
< Pilote charg' \SystemRoot\System32\DRIVERS\ndistapi.sys
< Pilote charg' \SystemRoot\System32\DRIVERS\ndiswan.sys
< Pilote charg' \SystemRoot\System32\DRIVERS\raspppoe.sys
< Pilote charg' \SystemRoot\System32\DRIVERS\raspptp.sys
< Pilote charg' \SystemRoot\System32\DRIVERS\msgpc.sys
< Pilote charg' \SystemRoot\System32\DRIVERS\psched.sys
< Pilote charg' \SystemRoot\System32\DRIVERS\ptilink.sys
< Pilote charg' \SystemRoot\System32\DRIVERS\raspti.sys
< Pilote charg' \SystemRoot\System32\DRIVERS\rdpdr.sys
< Pilote charg' \SystemRoot\System32\DRIVERS\termdd.sys
< Pilote charg' \SystemRoot\System32\DRIVERS\mouclass.sys
< Pilote charg' \SystemRoot\System32\DRIVERS\swenum.sys
< Pilote charg' \SystemRoot\System32\DRIVERS\update.sys
< Pilote charg' \SystemRoot\System32\Drivers\NDProxy.SYS
< Le pilote n'a pas 't' charg' \SystemRoot\System32\Drivers\NDProxy.SYS
< Pilote charg' \SystemRoot\System32\DRIVERS\usbhub.sys
< Pilote charg' \SystemRoot\System32\DRIVERS\hidusb.sys
< Pilote charg' \SystemRoot\System32\DRIVERS\mouhid.sys
< Pilote charg' \SystemRoot\system32\drivers\MODEMCSA.sys
< Pilote charg' \SystemRoot\System32\DRIVERS\flpydisk.sys
< Le pilote n'a pas 't' charg' \SystemRoot\System32\Drivers\lbrtfdc.SYS
< Le pilote n'a pas 't' charg' \SystemRoot\System32\Drivers\Sfloppy.SYS
< Le pilote n'a pas 't' charg' \SystemRoot\System32\Drivers\i2omgmt.SYS
< Le pilote n'a pas 't' charg' \SystemRoot\System32\Drivers\Changer.SYS
< Le pilote n'a pas 't' charg' \SystemRoot\System32\Drivers\Cdaudio.SYS
< Pilote charg' \SystemRoot\System32\Drivers\Fs_Rec.SYS
< Pilote charg' \SystemRoot\System32\Drivers\Null.SYS
< Pilote charg' \SystemRoot\System32\Drivers\Beep.SYS
< Pilote charg' \SystemRoot\System32\DRIVERS\AvgAsCln.sys
< Pilote charg' \SystemRoot\System32\drivers\vga.sys
< Pilote charg' \SystemRoot\System32\Drivers\mnmdd.SYS
< Pilote charg' \SystemRoot\System32\DRIVERS\RDPCDD.sys
< Pilote charg' \SystemRoot\System32\Drivers\Msfs.SYS
< Pilote charg' \SystemRoot\System32\Drivers\Npfs.SYS
< Pilote charg' \SystemRoot\System32\DRIVERS\rasacd.sys
< Pilote charg' \SystemRoot\System32\DRIVERS\ipsec.sys
< Pilote charg' \SystemRoot\System32\DRIVERS\tcpip.sys
< Pilote charg' \SystemRoot\System32\Drivers\aswTdi.SYS
< Pilote charg' \SystemRoot\System32\DRIVERS\wanarp.sys
< Pilote charg' \SystemRoot\System32\DRIVERS\netbt.sys
< Pilote charg' \SystemRoot\System32\DRIVERS\netbios.sys
< Le pilote n'a pas 't' charg' \SystemRoot\System32\Drivers\PCIDump.SYS
< Pilote charg' \SystemRoot\System32\DRIVERS\rdbss.sys
< Pilote charg' \SystemRoot\System32\DRIVERS\mrxsmb.sys
< Pilote charg' \SystemRoot\System32\Drivers\Fips.SYS
< Pilote charg' \??\C:\Program Files\ewido anti-malware\guard.sys
< Pilote charg' \??\C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.sys
< Pilote charg' \SystemRoot\System32\Drivers\Aavmker4.SYS
< Pilote charg' \SystemRoot\System32\Drivers\Fastfat.SYS
< Pilote charg' \SystemRoot\System32\drivers\afd.sys
< Pilote charg' \SystemRoot\System32\DRIVERS\ndisuio.sys
< Le pilote n'a pas 't' charg' \SystemRoot\System32\drivers\afd.sys
< Le pilote n'a pas 't' charg' \SystemRoot\System32\DRIVERS\rdbss.sys
< Le pilote n'a pas 't' charg' \SystemRoot\System32\DRIVERS\mrxsmb.sys
< Pilote charg' \SystemRoot\System32\DRIVERS\mrxdav.sys
< Pilote charg' \SystemRoot\System32\Drivers\ParVdm.SYS
< Pilote charg' \SystemRoot\System32\Drivers\Aspi32.SYS
< Pilote charg' \SystemRoot\System32\Drivers\aswMon2.SYS
< Pilote charg' \SystemRoot\System32\DRIVERS\srv.sys
< Pilote charg' \SystemRoot\System32\DRIVERS\secdrv.sys
< Pilote charg' \??\C:\WINDOWS\System32\windev-6a47-3274.sys
< Pilote charg' \SystemRoot\system32\drivers\sysaudio.sys
< Pilote charg' \SystemRoot\system32\drivers\wdmaud.sys
< Pilote charg' \SystemRoot\system32\drivers\splitter.sys
< Pilote charg' \SystemRoot\system32\drivers\aec.sys
< Pilote charg' \SystemRoot\system32\drivers\swmidi.sys
< Pilote charg' \SystemRoot\system32\drivers\DMusic.sys
< Pilote charg' \SystemRoot\system32\drivers\kmixer.sys
< Pilote charg' \SystemRoot\system32\drivers\drmkaud.sys


Honnêtement, je ne vois pas d'amélioration, mon pc plante toujours, il tient maximum 45 min sans planter.

Stp dis moi qu'on peut encore faire quelque chose ^^


Sharmila
0
Utilisateur anonyme > Sharmila
15 avril 2007 à 21:56
RE Sharmila,
...bien sur que l'on peut faire qqllchose ;)

...ne formate pas, meme si l'envie te prend de le faire, laisse moi encore 48h, avec toi, si tu es dispo, car le plus gros a déjà été effectué--->promis ( là je regarde tes drivers, installés)

...peux tu rapidement me décrire ta station ?--->surtout les mises à jour de WinXP ( très important )
...peux tu regarder si dans : C:\Windows\minidump---->il y a des fichiers, si réponse = OUI, envoie les moi sur mon adresse eMail

Bonne réception
0
Sharmila > Utilisateur anonyme
16 avril 2007 à 10:07
Bonjour Evasion600

Désolée pour le retard, je t'ai envoyé un mail avec les 2 fichiers qui se trouvent dans minidump.
Ok, je vais tenter de résister à la tentation de formater ^^.

Mon pc n'arrete pas de planter notamment avec deux messages d'erreurs qui se suivent :

l'un : Generic host Process fo Win32 qui a "généré un problème et doit fermé"

l'autre : Arrêt su système nt avec un compte à rebours de 60 secondes. J'utilise shutdown -a pour ne pas redémarrer sans arrêt.

J'ai fais de nombreuses recherches notamment sur CCM et apparemment beaucoup ont eu le même problème que moi mais ils étaient pour la plupart infecté par Blaster/Lovsan mais...pas moi !
(J'ai suivi le tuto de CCM pour éradiquer blaster/lovsan mais le fix ne m'a rien trouvé)

Comme je te l'ai dit dans mon mail, j'ai essayé de faire des mises à jour de "sécurité" car pour beaucoup cela leur a permis de ne plus avoir le message "Arret du système nt" mais je n'y suis pas parvenu.


Je suis un cas désespérée, dure de résister à l'envie de formater -_-

Merci de ton aide, à te lire prochainement,

Sharmila
0
Utilisateur anonyme > Sharmila
16 avril 2007 à 17:41
Bonjour Sharmila
...J'ai bien reçu ton eMail, avec les deux fichiers ( j'ai pas eu le temps d'ouvrir, boulot, et autres choses divers)
...Je te prépare une réponse pour ce soir, si je peux. Ella va etre un peu plus " hard ", alors respire bien, et imprime là, dès qu'elle t'arrive sur CCM
...tu sais, en fait, tu seras tjrs ennuyé avec cette version non légitime de WinXP, tu ne pourras pas faire les mises à jour de Sécurité, et dans un mois, on recommence !!!
...un formatage de ce disque va tout tu supprimer certes, mais cela va revenir rapidement!!
...peut etre un(e) ami(e), pourrait te dépanner avec leur version, mais je n'ai pas le droit, de t'orienter sur une tricherie, c'est pas mon role

Dans un premier temps je vais te faire télécharger un FireWall gratuit, tu le fais, et l'installe pour ce soir / STP
Zone Alarme Free :
https://www.pcastuces.com/logitheque/internet.asp?cat=49

Bonne réception , je reviens
0
Sharmila > Utilisateur anonyme
16 avril 2007 à 18:16
Re Evasion600,

Ok j'installe ZoneAlarm.
Merci pour tes conseils et ton aide.
A ce soir.

Sharmila
0
Réponse 14 / 24
Utilisateur anonyme
17 avril 2007 à 13:41
Bonjour Sharmila Liens, pour Escan :
http://www.spywareinfo.dk/download/mwav.exe

lien pour LSPFix:
http://www.cexx.org/lspfix.zip

Attention j'enlève une ligne du script pour Avenger :
Files to move:
"c:\mswsock.dll" | "C:\WINDOWS\system32\mswsock.dll"

Puisque, si cela fonctionne à fond, tu auras téléchargé une toute neuve ;)

Bon courage
0
Sharmila
18 avril 2007 à 10:57
Bonjour Evasion600,

Je suis vraiment désolée pour le retard.
Escan a terminé de scanner, il a trouvé 25 "virus" !
Par contre on ne peut pas copier à partir de la fenêtre "Virus Log".
Je suis entrain de retapper tous ce qu'il m'a trouvé sur bloc-notes..c'est long lol ^^
Je te poste el rapport cet après midi sûr.
Hier je suis rentrée tard et mon pc à redémarrer pendant le scan, ce qui explique mon retard.

Aussi, j'ai fait Lspfix, et je voulais te demander où je place la nouvelle dll que j'ai télécharger, dans quel répertoire ?

Merci à toi et à tout à l'heure,

Bonne journée,

Sharmila
0
Réponse 15 / 24
Utilisateur anonyme
18 avril 2007 à 11:17
Bonjour Sharmila

...la nouvelle dll :
C:\Windows\system32\mswsock.dll

...je suis au boulot, donc pas trop dispo à cette ;)

Bon AM
0
Sharmila
18 avril 2007 à 13:23
Re Evasion600,

Ok, pas de problèmes, on verra ça se soir ...

Je ne suis pas parvenue à mettre la dll dans C:\Windows\system32\mswsock.dll , j'ai le message suivant "Impossible de déplacer le fichier, un fichier portant ce nom, existe déjà.Spécifiez un nom différent" ==) Pourtant j'ai bien fait la manip avec Lspfix...

Voilà le "rapport" d'Escan ( j'ai utilisé l'abréviation DAS pour Documents and Settings)

File C:\WINDOWS\System32\mswsock.dll infected by "Trojan.Win32.Conycspa.n" Virus Action Taken: File to be deleted on reboot

File: C:\Documents and Settings\Administrateur/Bureau/SmitfraudFix/Reboot.exe tagged as not-a-virus: Risk Tool.Win32.Reboot.f. No Action Taken.

C:/Das/rani/Bureau/Desinfection/clean/clean/pskill.ese tagged as not a virus:Risk Tool.Win32.Pskill.k. No Action Taken.

C:/Das/rani/Bureau/Désinfection/clean.zip tagged as not a virus:RiskTool.Win32.Pskill.k. No Action Taken.

C:/Das/Rani/Bureau/Désinfection/SmlitfraudFix/Reboot.exe tagged as not a virus:RiskTool.Win32.Reboot.f. No Action Taken.

C:/Das/Rani/Bureau/SmitfraudFix/SmitfraudFix/Reboot.exe tagged as not a virus:RiskTool.Win32.Reboot.f. No Action Taken.

C:/Das/Rani/Mes Documents/SmitfraudFix/Reboot.exe tagged as not a virus:RiskTool.Win32.Reboot.f. No Action Taken.

C:\System Volume Information\_restore(C734E 4D4-490F-96EA-1762FBFAD3FC}\RP1\A0001008.exe infected by "Packed.Win32.Klone.i"Virus. Action Taken.File Renamed.

C:\System Volume Information\_restore(C734E 4D4-490F-96EA-1762FBFAD3FC}\RP1\A0001009.exe infected by"Packed.Win32.Klone.i"Virus. Action Taken.File Renamed.

C:\System Volume Information\_restore(C734E 4D4-490F-96EA-1762FBFAD3FC}\RP1\A0003009.exe infected by "Packed.Win32.Klone.i"Virus. Action Taken.File Renamed

C:\System Volume Information\_restore(C734E 4D4-490F-96EA-1762FBFAD3FC}\RP1\A0003010.exe infected by "Packed.Win32.Klone.i"Virus. Action Taken.File Renamed

C:\System Volume Information\_restore(C734E 4D4-490F-96EA-1762FBFAD3FC}\RP1\A0006007.exe infected by "Packed.Win32.Klone.i"Virus. Action Taken.File Renamed

C:\System Volume Information\_restore(C734E 4D4-490F-96EA-1762FBFAD3FC}\RP1\A0008021.sys infected by "Email-Worm.Win32.Zhelatin.d"Virus. Action Taken: File Deleted.

C:\System Volume Information\_restore(C734E 4D4-490F-96EA-1762FBFAD3FC}\RP1\A0010015.exe infected by "Packed.Win32.Klone.i" Action Taken: File Renamed.

C:\System Volume Information\_restore(C734E 4D4-490F-96EA-1762FBFAD3FC}\RP1\A0020017.exe infected by "Packed.Win32.Klone.i" Action Taken: File Renamed.

C:\System Volume Information\_restore(C734E 4D4-490F-96EA-1762FBFAD3FC}\RP1\A0010019.exe infected by "Packed.Win32.Klone.i" Action Taken: File Renamed.

C:\System Volume Information\_restore(C734E 4D4-490F-96EA-1762FBFAD3FC}\RP1\A0010020.dll infected by "Trojan-Spy.Win32.BZub.ih"Virus Action Taken: File Deleted

C:\System Volume Information\_restore(C734E 4D4-490F-96EA-1762FBFAD3FC}\RP1\A00010025.sys infected by "Email-Worm.Win32.Zhelatin.d"Virus. Action Taken: File Deleted.

C:\System Volume Information\_restore(C734E 4D4-490F-96EA-1762FBFAD3FC}\RP1\A0010033.dll infected by "Trojan-Spy.Win32.BZub.ih"Virus Action Taken: File Deleted

C:\System Volume Information\_restore(C734E 4D4-490F-96EA-1762FBFAD3FC}\RP1\A0010039.exe infected by "Packed.Win32.Klone.i" Action Taken: File Renamed.

C:\System Volume Information\_restore(C734E 4D4-490F-96EA-1762FBFAD3FC}\RP1\A0010047.exe infected by "Packed.Win32.Klone.i" Action Taken: File Renamed.

C:\System Volume Information\_restore(C734E 4D4-490F-96EA-1762FBFAD3FC}\RP1\A0010049.exe infected by "Packed.Win32.Klone.i" Action Taken: File Renamed.

C:\System Volume Information\_restore(C734E 4D4-490F-96EA-1762FBFAD3FC}\RP1\A0010052.sys infected by "Email-Worm.Win32.Zhelatin.d"Virus. Action Taken: File Deleted.

C:\System Volume Information\_restore(C734E 4D4-490F-96EA-1762FBFAD3FC}\RP1\A0010022.dll infected by "Email-Worm.Win32.Zhelatin.al"Virus. Action Taken: File Deleted.




Pour Avenger j'ai bien fait ce que tu m'a demandé, mais je ne trouve pas le fichier avenger.tx dans C:\
Par contre j'y trouve 3 fichiers : 1.reg , windev-peers.ini et windev-6a47-3274.


Et pour finir voici un log hijackthis :

Logfile of HijackThis v1.99.1
Scan saved at 13:05:07, on 18/04/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\rani\Mes documents\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://as.starware.com/dp/search?product=ssearch&src_id=354&client_id=202D07D001C696EF020556D7&version=4.2.0.0&it=1151085578&loc=&qry=&url=http://www.google.fr/ (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.0.3:808;gopher=192.168.0.3:1080;http=192.168.0.3:808;https=192.168.0.3:808
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ooswjnmp] C:\rphynrfo.bat
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f005.mail.caramail.lycos.fr/app/uploader/FileUploader.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


Voilou, je note pas d'amélioration je viens d'avoir encore une fois le message Arret système NT...

Je repasse un coup d'Escan et te poste un nouveau Hijackthis cet après midi.

Merci encore une fois pour ton aide,

Sharmila
0
Réponse 16 / 24
Utilisateur anonyme
18 avril 2007 à 18:39
Bonsoir Sharmila

...C'est encore hyper infecté ;)
...Pour la dll, il faut supprimer l'ancienne dll, avant de remettre la "neuve que tu as téléchargé"----->En principe LSPFix le fait très bien !
Essaie en mode sans échec, et en manuel C:\Windows\System32\mswsock.dll---Supprimer ( vider ta corbeille )
...Si cela ne fonctionne pas utilise KillBox , ( j'ai un doute quand meme, sur la façon dont tu as utilisé LSPFix, car en principe c'est radicale, on va voir )

...Pour Avenger, le rapport est ici :
C:\avenger.txt
si tu le l'as pas, repasse Avenger ( il est bien sur ton bureau ? )

...Ton infection est multiple (pas de FireWall, avant)--->Voir log d'Escan
Une partie reste dans la restauration système de WinXP, mais je ne peux agir dessus, pour le moment, tant que la station n'est pas mieux

...A tout à l'heure ;)

Nota: en plus je vais aux infos sur PCA Sécurité à ton sujet ( des amis, donc )
0
Sharmila
18 avril 2007 à 18:55
Bonsoir Evasion600,

Ok, je vais réessayer avec lspfix et/ou manuellement.

Voici le rapport Avenger :
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\obfqkkql

*******************

Script file located at: \??\C:\WINDOWS\peufgtad.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Driver windev-6a47-3274 unloaded successfully.
File c:\WINDOWS\system32\windev-6a47-3274.sys deleted successfully.
File C:\WINDOWS\system32\windev-peers.ini deleted successfully.


Registry key HKLM\SYTEM\CurrentControlSet\Services\winmgmt6a47-3274 not found!
Deletion of registry key HKLM\SYTEM\CurrentControlSet\Services\winmgmt6a47-3274 failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.


Merci pour ton aide et également à tes amis de PCA.
Je te dis ce qu'il en est ce soir,

Sharmila
0
Réponse 17 / 24
Utilisateur anonyme
18 avril 2007 à 22:43
Re Sharmila

...en attendant tes scans online anti virus

...Tu pourras fixer ces lignes avec HJT :
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ooswjnmp] C:\rphynrfo.bat

...Puis, aller regarder dans la racine ce C:\, si ce fichier est présent :
C:\rphynrfo.bat------>si réponse = OUI , supprime le / vide ta corbeille

A demain
0
Sharmila
19 avril 2007 à 09:44
Bonjour Evasion600,

Tu attends des scans de ma part ? Bitdefender ?

J'ai bien fait la manip avec lspfix en suivant bien les étapes que tu as cité mais rien y fait, une fois que je supprime mswsock sur lspfix, je redémarre et je vois mswsock dans la colonne "Garder"...
Je n'arrive pas non plus à le supprimer manuellement, jvais essayé killbox tout à l'heure...

J'ai refais un scan avec Escan, il m'a trouvé 8 "virus" je te le poste aussi tout à l'heure.

Merci à toi et bonne journée

Sharmila
0
Sharmila > Sharmila
19 avril 2007 à 10:16
Re Evasion600,


Rien à faire avec mswsock.dll avec lspfix et killbox j'ai pas réussi à le supprimer...

Voici le second passage d'Escan :

File C:\WINDOWS\System32\mswsock.dll infected by "Trojan.Win32.Conycspa.n" Virus Action Taken: File to be deleted on reboot

File: C:\Documents and Settings\Administrateur/Bureau/SmitfraudFix/Reboot.exe tagged as not-a-virus: RiskTool.Win32.Reboot.f. No Action Taken.

C:/Das/rani/Bureau/Desinfection/clean/clean/pskill.exe tagged as not a virus:RiskTool.Win32.Pskill.k. No Action Taken.

C:/Das/rani/Bureau/Désinfection/clean.zip tagged as not a virus:RiskTool.Win32.Pskill.k. No Action Taken.

C:/Das/Rani/Bureau/Désinfection/SmitfraudFix/Reboot.exe tagged as not a virus:RiskTool.Win32.Reboot.f. No Action Taken.

C:/Das/Rani/Bureau/SmitfraudFix/SmitfraudFix/Reboot.exe tagged as not a virus:RiskTool.Win32.Reboot.f. No Action Taken.

C:/Das/Rani/Mes Documents/SmitfraudFix.zip tagged as not a virus:RiskTool.Win32.Reboot.f. No Action Taken.

C:/Das/Rani/Mes Documents/SmitfraudFix/Reboot.exe tagged as not a virus:RiskTool.Win32.Reboot.f. No Action Taken


Un rapport Hijackthis :

Logfile of HijackThis v1.99.1
Scan saved at 10:16:40, on 19/04/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Windows NT\Accessoires\WORDPAD.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\rani\Mes documents\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://as.starware.com/dp/search?product=ssearch&src_id=354&client_id=202D07D001C696EF020556D7&version=4.2.0.0&it=1151085578&loc=&qry=&url=http://www.google.fr/ (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.0.3:808;gopher=192.168.0.3:1080;http=192.168.0.3:808;https=192.168.0.3:808
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [mwavscan] "C:\Kaspersky\mwavscan.com" /s
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f005.mail.caramail.lycos.fr/app/uploader/FileUploader.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


Voilà, je te remercie,
@+

Sharmila
0
Réponse 18 / 24
Utilisateur anonyme
19 avril 2007 à 17:50
Cou cou Sharmila, la forme j' espère ;)
...Allé c'est parti, cette dll me fait brère, je vais m'y prendre autrement graces aux conseils d'Astuciens ( PCA Sécurité ) ---- il est vrai que ton PC est hyper infecté, et que je suis parti de très loin avec toi, mais ensemble nous y arriverons ------ je te remercie de me faire confiance ( je ne suis pas seul derrière )

1) Fixe avec HijackThis cette R0 :
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://as.starware.com/ (obfuscated)


2) Télécharge sur le bureau la dll ( neuve/propre ) , et WinsockXpfix...je te donne le lien ensuite pour WinsockXpfix, un peu plus tard, car sur CCM jr n'arrive pas à faire ce que je souhaite.

3) Décharger la dll infectée...
démarrer-------exécuter-------tu copies/ colles ce qui est en gras :
regsvr32 /u C:\Windows\system32\mswsock.dll
OK
si l'opération s'est bien déroulée, devrais y avoir un message qui te dit …..réussi.


4) Reprend Avenger ( comme plus haut, le 17/04/07), avec ce script ( en itatalique ) :

Files to delete:

C:\WINDOWS\System32\mswsock.dll

5) Si les actions des points 3, et 4 se sont bien passées...Remplacer par la dll propre, ( C:\Windows\Sytem32\mswsock.dll
Redémarrer et passer winsockXpfix si la connection ne marche pas.

6) Faire un scan en ligne :
fais ce scan en ligne : http://www.bitdefender.fr/bd/site/page.php?tab=0#
Clique, en bas à gauche, sur "scan on line (nouveau)"
Accepte ensuite la licence puis laisse-lui installer l'ActiveX
Laisse-toi guider.

Tuto en image : http://pageperso.aol.fr/rginformatique/mapage/defender.htm

ET aussi :
http://security.symantec.com/sscv6/default.asp?langid=ie&venid=sym
A effectuer avec IE
Clique sur Virus Detection --->" Start "
Clique sur " I accept ", puis " Next "
Clique sur " I consent ", puis " Next "
Un control active X, va se charger
Dans la nouvelle fenetre qui s'ouvre, valide en bas à gauche " Toujours faire confiance .... ", puis clique sur OK
Le scan débute donc par le dernier HDD

...Puis, éditer les rapports de scan, le rapport Avenger et un nouveau rapport HijackThis.

Nota : je te cherche le lien de WinsockXpfix
Edit: 18h02, ICI : https://www.snapfiles.com/get/winsockxpfix.html

Bonne réception, à tout à l'heure
0
Sharmila
19 avril 2007 à 20:08
Re Evasion,

La forme ? euh un peu débordée avec l'approche des exams...^^
Merci pour ton aide et celle de tes amis
Je vais faire ça ce soir, et te poste les rapports.

Bonne soirée, @+

Sharmila
0
Sharmila > Sharmila
19 avril 2007 à 20:23
Re Evasion, c'est encore moi

Je viens tout juste de faire l'étape n°3 de ton post et...problème :
Je copie/colle regsvr32 /u C:\Windows\system32\mswsock.dll dans excécuter et quand je clique sur ok, j'ai ce message qui apparaît :

RegSvr32
c/windows/system 32/mswsock.dll a été chargé mais le point d'entrée DllUnregisterServer est introuvable.
Ce fichier ne peut pas être enregistré.
[OK]

-_- =) je suis maudite ^^

Je continue les autres étapes en attendant ta réponse..

@+

Sharmila
0
Utilisateur anonyme > Sharmila
19 avril 2007 à 21:22
Re Sharmila

...non, tu n'es pas maudite, relie bien mes posts ;)
...en fait il faut décharger cette *.dll (vérolée), puis seulement après repositionner la neuve enregistrée sur ton bureau ( pas ailleurs / OK )

Bonne réception

Edit : 21H28--->tu me parles d'examens?--->tu as des cours ( études importants sur cette station / enregistrés )
0
Sharmila > Utilisateur anonyme
19 avril 2007 à 21:45
Re Evasion600,

Ok,enfait avenger m'a supprimé la dll au redémarage et 'jai pu la remplacer par la neuve ! Yooooopiii !

Rapport d'Avenger :
ogfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\fswqeohv

*******************

Script file located at: \??\C:\WINDOWS\egwvlqhs.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\System32\mswsock.dll deleted successfully.

Completed script processing.

*******************

Finished! Terminate.



Voici le rapport Bitdefender :

C:\avenger\backup-19.04.2007-20.30.33,48.zip=>avenger/windev-6a47-3274.sys
Infecté par: Trojan.Peed.MD

C:\avenger\backup-19.04.2007-20.30.33,48.zip=>avenger/windev-6a47-3274.sys
Echec de la désinfection

C:\avenger\backup-19.04.2007-20.30.33,48.zip=>avenger/windev-6a47-3274.sys
Supprimé

C:\avenger\backup-19.04.2007-20.30.33,48.zip
Mis à jour

C:\avenger\backup.zip=>avenger/mswsock.dll
Infecté par: Trojan.Conycspa.N

C:\avenger\backup.zip=>avenger/mswsock.dll
Echec de la désinfection

C:\avenger\backup.zip=>avenger/mswsock.dll
Supprimé

C:\avenger\backup.zip
Mis à jour

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0001004.dll
Infecté par: BehavesLike:Trojan.FWDisable

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0001004.dll
Echec de la désinfection

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0001004.dll
Supprimé

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0001005.dll
Infecté par: BehavesLike:Trojan.FWDisable

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0001005.dll
Echec de la désinfection

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0001005.dll
Supprimé

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0003005.dll
Infecté par: BehavesLike:Trojan.FWDisable

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0003005.dll
Echec de la désinfection

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0003005.dll
Supprimé

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0003006.dll
Infecté par: BehavesLike:Trojan.FWDisable

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0003006.dll
Echec de la désinfection

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0003006.dll
Supprimé

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0006005.dll
Infecté par: BehavesLike:Trojan.FWDisable

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0006005.dll
Echec de la désinfection

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0006005.dll
Supprimé

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0006008.dll
Infecté par: BehavesLike:Trojan.FWDisable

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0006008.dll
Echec de la désinfection

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0006008.dll
Supprimé

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0008007.exe
Infecté par: Trojan.Peed.Gen

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0008007.exe
Echec de la désinfection

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0008007.exe
Supprimé

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0008008.exe
Infecté par: Trojan.Peed.Gen

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0008008.exe
Echec de la désinfection

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0008008.exe
Supprimé

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0008022.sys
Infecté par: Trojan.Peed.MD

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0008022.sys
Echec de la désinfection

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0008022.sys
Supprimé

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0010011.exe
Infecté par: Trojan.Peed.Gen

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0010011.exe
Echec de la désinfection

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0010011.exe
Supprimé

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0010012.exe
Infecté par: Trojan.Peed.Gen

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0010012.exe
Echec de la désinfection

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0010012.exe
Supprimé

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0010013.exe
Infecté par: Trojan.Peed.GX

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0010013.exe
Echec de la désinfection

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0010013.exe
Supprimé

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0010014.dll
Infecté par: BehavesLike:Trojan.FWDisable

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0010014.dll
Echec de la désinfection

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0010014.dll
Supprimé

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0010015.exe.mwt
Infecté par: BehavesLike:Trojan.FWDisable

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0010015.exe.mwt
Echec de la désinfection

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0010015.exe.mwt
Supprimé

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0010018.dll
Infecté par: BehavesLike:Trojan.FWDisable

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0010018.dll
Echec de la désinfection

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0010018.dll
Supprimé

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0010019.exe.mwt
Infecté par: BehavesLike:Trojan.FWDisable

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0010019.exe.mwt
Echec de la désinfection

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0010019.exe.mwt
Supprimé

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0010023.exe
Infecté par: Trojan.Downloader.Tibs.GWE

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0010023.exe
Echec de la désinfection

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0010023.exe
Supprimé

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0010032.exe
Infecté par: Trojan.Peed.Gen

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0010032.exe
Echec de la désinfection

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0010032.exe
Supprimé

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0010035.exe
Infecté par: Trojan.Peed.Gen

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0010035.exe
Echec de la désinfection

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0010035.exe
Supprimé

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0010038.dll
Infecté par: BehavesLike:Trojan.FWDisable

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0010038.dll
Echec de la désinfection

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0010038.dll
Supprimé

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0010039.exe.mwt
Infecté par: BehavesLike:Trojan.FWDisable

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0010039.exe.mwt
Echec de la désinfection

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0010039.exe.mwt
Supprimé

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0010045.exe
Infecté par: Trojan.Downloader.Tibs.GWE

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0010045.exe
Echec de la désinfection

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0010045.exe
Supprimé

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0010048.dll
Infecté par: BehavesLike:Trojan.FWDisable

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0010048.dll
Echec de la désinfection

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0010048.dll
Supprimé

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0010049.exe.mwt
Infecté par: BehavesLike:Trojan.FWDisable

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0010049.exe.mwt
Echec de la désinfection

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0010049.exe.mwt
Supprimé

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0010053.exe
Infecté par: Trojan.Peed.GX

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0010053.exe
Echec de la désinfection

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0010053.exe
Supprimé

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0058138.sys
Infecté par: Trojan.Peed.MD

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0058138.sys
Echec de la désinfection

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0058138.sys
Supprimé

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0074155.dll
Infecté par: Trojan.Conycspa.N

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0074155.dll
Echec de la désinfection

C:\System Volume Information\_restore{C734E4D4-490F-4651-96EA-1762FBFAD3FC}\RP1\A0074155.dll
Supprimé

C:\WINDOWS\comdlg64.dll
Infecté par: Trojan.Looksky.A

C:\WINDOWS\comdlg64.dll
Echec de la désinfection

C:\WINDOWS\comdlg64.dll
Supprimé

C:\WINDOWS\inst.exe
Infecté par: Trojan.Peed.Gen

C:\WINDOWS\inst.exe
Echec de la désinfection

C:\WINDOWS\inst.exe
Supprimé

C:\WINDOWS\pdp.exe
Infecté par: Trojan.Peed.Gen

C:\WINDOWS\pdp.exe
Echec de la désinfection

C:\WINDOWS\pdp.exe
Supprimé


Voili voilou, a noter que je n'ai pas eu de plantage ni de messages d'erreur durant les 58 min de scan bitdefender.
C'est bon signe :)

Merci beaucoup Evasion600 !!!
La suite ne va pas tarder...

A tout à l'heure,

Sharmila
0
Sharmila > Sharmila
19 avril 2007 à 22:18
Re Evasion600,

Symantec n'a rien trouvé, yess ! ^^

"34379 files scanned, 0 file(s) infected on your disk drives"

Et voilà le rapport Hijackthis :

Logfile of HijackThis v1.99.1
Scan saved at 22:17:47, on 19/04/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Windows NT\Accessoires\WORDPAD.EXE
C:\Documents and Settings\rani\Mes documents\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.0.3:808;gopher=192.168.0.3:1080;http=192.168.0.3:808;https=192.168.0.3:808
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [mwavscan] "C:\Kaspersky\mwavscan.com" /s
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f005.mail.caramail.lycos.fr/app/uploader/FileUploader.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


Je n'ai eu aucun plantage,messages d'erreurs...etc depuis un moment, je crois que mon pc est "guéri" !! Youpii
Mais j'attend confirmation des experts alias toi et tes amis ^^ avant de crier victoire.

Mercii beaucoup,

A tout à l'heure,

Sharmila
0
Réponse 19 / 24
Utilisateur anonyme
20 avril 2007 à 16:09
Bonjour Sharmila

...Comment se comporte ton PC?
Si tout va bien, il faut oter de ton PC tous les logigiels que je t'ai fais installer, y compris Escan
Tu dois garder par contre AVG7.5 AS, et suivre ses mise à jours :
https://forum.pcastuces.com/sujet.asp?f=25&s=25842&page=1

A te lire
0
Réponse 20 / 24
Utilisateur anonyme
20 avril 2007 à 18:59
Re Sharmila

2 lignes inutiles aussi dans le rapport : à fixer avec HijackThis

O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O4 - HKLM\..\Run: [mwavscan] "C:\Kaspersky\mwavscan.com" /s
Bonne réception
0

Discussions similaires

XINPUT1_3.dll manquant (missing)
Maxirugue -
dan -

39 réponses
écrire un rapport de travail
asi -
REGINALD -

3 réponses
Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses