[Virus] Infecté par Trojan Fotomato
Résolu
aristota
Messages postés
27
Date d'inscription
Statut
Membre
Dernière intervention
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour,
J'ai été infectée par Trojan Fotomato, Trojan Downloader et Trojan LowZones à cause d'un fichier sur msn.
Mon antivirus est Bit Defender, voici le rapport de l'analyse :
"Statistiques
Chemin cible: C:\
Dossiers : 4643
Fichiers : 32123
Processus Mémoire analysés : 42
Archives : 3
Fichiers enpaquetés : 1447
Virus trouvés : 3
Fichiers infectés : 3
Processus Mémoire infectés : 0
Fichiers suspects : 0
Alertes : 0
Fichiers désinfectés : 0
Fichiers effacés : 0
Fichiers déplacés : 3
Erreurs I/O : 16
Temps d'analyse :=00:12:15
Fichiers/seconde :43
Statistiques Spywares
Registres analysés : 1562
Registres infectés : 0
Cookies analysés : 76
Cookies infectés : 0
Fichiers spyware infectés : 0
Menaces Spyware détectées : 0
Définitions virus : 34057
Plugins d'analyse : 16
Plugins archives : 41
Plug-ins décompression : 6
Plug-ins messagerie : 6
Plug-ins système : 5
Options d'analyse
Détection
[X] Analyser le secteur de boot
[X] Processus mémoire
[ ] Analyser les archives
[X] Analyser les fichiers enpaquetés
[X] Analyser la messagerie
Masque fichiers
[X] Programmes
[ ] Tous les fichiers
[ ] Extensions définies par l'utilisateur:
[ ] Exclure les extensions: ;
Action
Objets infectés
[ ] Ignorer
[X] Désinfecter
[ ] Effacer
[ ] Mettre en quarantaine
[ ] Demander l'action
Seconde action
[ ] Ignorer
[ ] Effacer
[X] Mettre en quarantaine
[ ] Demander l'action
Options d'analyse
[X] Activer les alertes
[ ] Activer l'heuristique
[ ] Afficher tous les fichiers dans le journal
[X] Fichier journal: C:\Documents and Settings\All Users\Application Data\Bitdefender\Desktop\Profiles\Logs\full_scan\1182959023.log
Options d'analyse Spyware
[X] Analyse contre les risques non-viraux
[ ] Ecarter de l'analyse les dialers et les applications
[X] Clés de registres
[X] Cookies
Résumé:
C:\Documents and Settings\Pc\Bureau\internet\RECUP\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\5ZG5AH6B\kazaa_setup[1].exe Détecté: Adware.Altnet.Q
C:\Documents and Settings\Pc\Bureau\internet\RECUP\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\5ZG5AH6B\kazaa_setup[1].exe Désinfection impossible
C:\Documents and Settings\Pc\Bureau\internet\RECUP\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\5ZG5AH6B\kazaa_setup[1].exe Déplacé
C:\Documents and Settings\Pc\Local Settings\Temp\lequpnjq.exe Infecté: Trojan.Fotomoto.A
C:\Documents and Settings\Pc\Local Settings\Temp\lequpnjq.exe Désinfection impossible
C:\Documents and Settings\Pc\Local Settings\Temp\lequpnjq.exe Déplacé
C:\Documents and Settings\Pc\Local Settings\Temp\second.exe Infecté: Trojan.Downloader.JISG
C:\Documents and Settings\Pc\Local Settings\Temp\second.exe Désinfection impossible
C:\Documents and Settings\Pc\Local Settings\Temp\second.exe Déplacé"
Merci d'avance si vous pouvez m'aider.
Je tiens à préciser que je suis archi-nulle en informatique...
Margaux
J'ai été infectée par Trojan Fotomato, Trojan Downloader et Trojan LowZones à cause d'un fichier sur msn.
Mon antivirus est Bit Defender, voici le rapport de l'analyse :
"Statistiques
Chemin cible: C:\
Dossiers : 4643
Fichiers : 32123
Processus Mémoire analysés : 42
Archives : 3
Fichiers enpaquetés : 1447
Virus trouvés : 3
Fichiers infectés : 3
Processus Mémoire infectés : 0
Fichiers suspects : 0
Alertes : 0
Fichiers désinfectés : 0
Fichiers effacés : 0
Fichiers déplacés : 3
Erreurs I/O : 16
Temps d'analyse :=00:12:15
Fichiers/seconde :43
Statistiques Spywares
Registres analysés : 1562
Registres infectés : 0
Cookies analysés : 76
Cookies infectés : 0
Fichiers spyware infectés : 0
Menaces Spyware détectées : 0
Définitions virus : 34057
Plugins d'analyse : 16
Plugins archives : 41
Plug-ins décompression : 6
Plug-ins messagerie : 6
Plug-ins système : 5
Options d'analyse
Détection
[X] Analyser le secteur de boot
[X] Processus mémoire
[ ] Analyser les archives
[X] Analyser les fichiers enpaquetés
[X] Analyser la messagerie
Masque fichiers
[X] Programmes
[ ] Tous les fichiers
[ ] Extensions définies par l'utilisateur:
[ ] Exclure les extensions: ;
Action
Objets infectés
[ ] Ignorer
[X] Désinfecter
[ ] Effacer
[ ] Mettre en quarantaine
[ ] Demander l'action
Seconde action
[ ] Ignorer
[ ] Effacer
[X] Mettre en quarantaine
[ ] Demander l'action
Options d'analyse
[X] Activer les alertes
[ ] Activer l'heuristique
[ ] Afficher tous les fichiers dans le journal
[X] Fichier journal: C:\Documents and Settings\All Users\Application Data\Bitdefender\Desktop\Profiles\Logs\full_scan\1182959023.log
Options d'analyse Spyware
[X] Analyse contre les risques non-viraux
[ ] Ecarter de l'analyse les dialers et les applications
[X] Clés de registres
[X] Cookies
Résumé:
C:\Documents and Settings\Pc\Bureau\internet\RECUP\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\5ZG5AH6B\kazaa_setup[1].exe Détecté: Adware.Altnet.Q
C:\Documents and Settings\Pc\Bureau\internet\RECUP\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\5ZG5AH6B\kazaa_setup[1].exe Désinfection impossible
C:\Documents and Settings\Pc\Bureau\internet\RECUP\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\5ZG5AH6B\kazaa_setup[1].exe Déplacé
C:\Documents and Settings\Pc\Local Settings\Temp\lequpnjq.exe Infecté: Trojan.Fotomoto.A
C:\Documents and Settings\Pc\Local Settings\Temp\lequpnjq.exe Désinfection impossible
C:\Documents and Settings\Pc\Local Settings\Temp\lequpnjq.exe Déplacé
C:\Documents and Settings\Pc\Local Settings\Temp\second.exe Infecté: Trojan.Downloader.JISG
C:\Documents and Settings\Pc\Local Settings\Temp\second.exe Désinfection impossible
C:\Documents and Settings\Pc\Local Settings\Temp\second.exe Déplacé"
Merci d'avance si vous pouvez m'aider.
Je tiens à préciser que je suis archi-nulle en informatique...
Margaux
A voir également:
- [Virus] Infecté par Trojan Fotomato
- Virus mcafee - Accueil - Piratage
- Trojan remover - Télécharger - Antivirus & Antimalwares
- Virus facebook demande d'amis - Accueil - Facebook
- Softonic virus ✓ - Forum Virus
- Faux message virus iphone ✓ - Forum Virus
54 réponses
aïe......
Il y a des infos, alors que tu dois absolument lire ici:
https://leblogdeclaude.blogspot.com/2006/10/informatique-comment-se-protger-si-on.html
parceque tu te réinfectes à mon avis...souvent c'est le signe de l'absence de fire-wall valable !
Il y a des infos, alors que tu dois absolument lire ici:
https://leblogdeclaude.blogspot.com/2006/10/informatique-comment-se-protger-si-on.html
parceque tu te réinfectes à mon avis...souvent c'est le signe de l'absence de fire-wall valable !
Salut Philo et Aristote, .. et moK´s@, ;)
Nous ne sommes pas trop à quatre ?
Aristote,
On va l'avoir cette saleté de mutant!
1°- Télécharge Combofix.exe (par sUBs) sur ton Bureau
< http://download.bleepingcomputer.com/sUBs/Beta/ComboFix.exe >
Double clique sur l'icône combofix.exe et suis les invites.
Lorsque le scan sera complété, un rapport apparaîtra.
2°- Fait alors un ScanOnline PANDA
Fais un scan en ligne ici ( sous Internet explorer donc )< https://www.pandasecurity.com/?ref=www.pandasoftware.com/activescan/fr/activescan_principal.htm >
Procédure : "Analyser votre pc" -> "suivant" -> remplir adresse mail (factice) -> Pays/Etat-région -> envoyer -> laisser se dérouler le téléchargement du contrôle ActiveX -> sélectionner "Poste de Travail" -> fermer la popup.
Un tuto < https://www.malekal.com/scan-antivirus-ligne-nod32/ > ) ou là < https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId23736 >
•A la fin du scanning, sauvegarde et fais un copier/coller du rapport d'analyse dans ta prochaine réponse
•Tu n'es pas obligé de donner ton email, tu peux utiliser une adresse jetable si tu le souhaites : < https://jetable.org/en/index >
•Attention!! Panda et Avast entrent en conflit, pour pouvoir télécharger le contrôle active x de Panda, il faut que tu désactives le bouclier web d'Avast le temps du scan.
3°- Termine avec "Silent Runners"
Télécharge le script "Silent Runners"
clic droit > sur le lien suivant :
< https://www.silentrunners.org/Silent%20Runners.vbs >
"enregistrer la cible sous" choisir le « bureau
Double clic gauche sur l’icône "SilentRunners.vbs" du bureau
[ouvrir] clic sur "Yes" puis sur "OK"
( clique ensuite 2 fois sur "yes" )
Laisse-lui le temps de faire son analyse (compte une minute, montre en main)
À la fin, tu obtiens ce message < http://img130.imageshack.us/img130/1323/screenshot247yd1.gif >
poste le rapport généré " Startup Programs " qui se trouve dans le même dossier que Silent Runners... ( mais il est déjà sur ton bureau ainsi < http://img266.imageshack.us/img266/6684/screenshot248hr2.gif > )
Si ton antivirus s'affole, autorise ce script. Ou au pire, désactive-le juste le temps du téléchargement et du scan. Ce script n'est pas dangereux.
Bonne continuation
Al.
Nous ne sommes pas trop à quatre ?
Aristote,
On va l'avoir cette saleté de mutant!
1°- Télécharge Combofix.exe (par sUBs) sur ton Bureau
< http://download.bleepingcomputer.com/sUBs/Beta/ComboFix.exe >
Double clique sur l'icône combofix.exe et suis les invites.
Lorsque le scan sera complété, un rapport apparaîtra.
2°- Fait alors un ScanOnline PANDA
Fais un scan en ligne ici ( sous Internet explorer donc )< https://www.pandasecurity.com/?ref=www.pandasoftware.com/activescan/fr/activescan_principal.htm >
Procédure : "Analyser votre pc" -> "suivant" -> remplir adresse mail (factice) -> Pays/Etat-région -> envoyer -> laisser se dérouler le téléchargement du contrôle ActiveX -> sélectionner "Poste de Travail" -> fermer la popup.
Un tuto < https://www.malekal.com/scan-antivirus-ligne-nod32/ > ) ou là < https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId23736 >
•A la fin du scanning, sauvegarde et fais un copier/coller du rapport d'analyse dans ta prochaine réponse
•Tu n'es pas obligé de donner ton email, tu peux utiliser une adresse jetable si tu le souhaites : < https://jetable.org/en/index >
•Attention!! Panda et Avast entrent en conflit, pour pouvoir télécharger le contrôle active x de Panda, il faut que tu désactives le bouclier web d'Avast le temps du scan.
3°- Termine avec "Silent Runners"
Télécharge le script "Silent Runners"
clic droit > sur le lien suivant :
< https://www.silentrunners.org/Silent%20Runners.vbs >
"enregistrer la cible sous" choisir le « bureau
Double clic gauche sur l’icône "SilentRunners.vbs" du bureau
[ouvrir] clic sur "Yes" puis sur "OK"
( clique ensuite 2 fois sur "yes" )
Laisse-lui le temps de faire son analyse (compte une minute, montre en main)
À la fin, tu obtiens ce message < http://img130.imageshack.us/img130/1323/screenshot247yd1.gif >
poste le rapport généré " Startup Programs " qui se trouve dans le même dossier que Silent Runners... ( mais il est déjà sur ton bureau ainsi < http://img266.imageshack.us/img266/6684/screenshot248hr2.gif > )
Si ton antivirus s'affole, autorise ce script. Ou au pire, désactive-le juste le temps du téléchargement et du scan. Ce script n'est pas dangereux.
Bonne continuation
Al.
Salut adifeg,
merci de ton aide.
à mon avis il se réinfecte, ou la source n'est pas éliminée ? (mutant)
Mais pour l'instant j'ai un gros doute du coté de l'efficacité de son Fire-wall...
Il a en tous cas laissé passé des bestioles.
Sagit-il de la suite Bitdefender Internet security ?(je le pense)
https://www.generation-nt.com/
"The vsserv.exe process is a core component of your BitDefender internet security software"
------------------------------
C:\WINDOWS\system32\jjllm.bak1
C:\WINDOWS\system32\jjllm.bak2
C:\WINDOWS\system32\jjllm.ini
C:\WINDOWS\system32\jjllm.ini2
C:\WINDOWS\system32\jjllm.tmp
C:\WINDOWS\system32\mlljj.dll
------------------------------------------------------------>>>
C:\WINDOWS\system32\nqtss.bak1
C:\WINDOWS\system32\nqtss.bak2
C:\WINDOWS\system32\nqtss.ini
C:\WINDOWS\system32\sstqn.dll
--------------------------------------------->>>
---------------------------------------------------------------------
aristota,
tu as fait ce que demande adifeg ?
merci de ton aide.
à mon avis il se réinfecte, ou la source n'est pas éliminée ? (mutant)
Mais pour l'instant j'ai un gros doute du coté de l'efficacité de son Fire-wall...
Il a en tous cas laissé passé des bestioles.
Sagit-il de la suite Bitdefender Internet security ?(je le pense)
https://www.generation-nt.com/
"The vsserv.exe process is a core component of your BitDefender internet security software"
------------------------------
C:\WINDOWS\system32\jjllm.bak1
C:\WINDOWS\system32\jjllm.bak2
C:\WINDOWS\system32\jjllm.ini
C:\WINDOWS\system32\jjllm.ini2
C:\WINDOWS\system32\jjllm.tmp
C:\WINDOWS\system32\mlljj.dll
------------------------------------------------------------>>>
C:\WINDOWS\system32\nqtss.bak1
C:\WINDOWS\system32\nqtss.bak2
C:\WINDOWS\system32\nqtss.ini
C:\WINDOWS\system32\sstqn.dll
--------------------------------------------->>>
---------------------------------------------------------------------
aristota,
tu as fait ce que demande adifeg ?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Salut Philo,
C'est une nouvelle invasion de type Vundo, et qui ne fait que commencer.
Si les internautes se contentent de ce que les vendeurs leur cèdent comme matos, ils font bientôt ne plus pouvoir surfer.
Bon dimanche.
Mes amitiés.
Al.
C'est une nouvelle invasion de type Vundo, et qui ne fait que commencer.
Si les internautes se contentent de ce que les vendeurs leur cèdent comme matos, ils font bientôt ne plus pouvoir surfer.
Bon dimanche.
Mes amitiés.
Al.
oui ça y est j'ai tout fait.
alors rapport Combofix :
"Pc" - 2007-07-01 11:25:12 - ComboFix 07-07-01.3 - Service Pack 2 NTFS
(((((((((((((((((((((((((((((((((((((((((((( V Log )))))))))))))))))))))))))))))))))))))))))))))))))))))))
C:\WINDOWS\system32\bvlxuhdo.dll
C:\WINDOWS\system32\fmprakxe.dll
C:\WINDOWS\system32\lrhuyhlh.dll
C:\WINDOWS\system32\wcuqxcgy.dll
C:\WINDOWS\system32\exkarpmf.ini
C:\WINDOWS\system32\stutv.bak1
C:\WINDOWS\system32\stutv.ini
C:\WINDOWS\system32\ygcxqucw.ini
C:\WINDOWS\system32\vtuts.dll
C:\WINDOWS\system32\byxvtqo.dll
* * * POST RUN FILES/FOLDERS * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *
((((((((((((((((((((((((( Files Created from 2007-06-01 to 2007-07-01 )))))))))))))))))))))))))))))))
2007-07-01 11:24 49,152 --a------ C:\WINDOWS\nircmd.exe
2007-06-28 19:49 <REP> d-------- C:\Program Files\Navilog1
2007-06-28 19:23 <REP> d-------- C:\!KillBox
2007-06-28 17:36 <REP> d-------- C:\DOCUME~1\Pc\Incomplete
2007-06-28 17:36 <REP> d-------- C:\DOCUME~1\Pc\APPLIC~1\LimeWire
2007-06-28 12:15 524,288 --ah----- C:\DOCUME~1\ADMINI~1\NTUSER.DAT
2007-06-28 12:15 <REP> dr------- C:\DOCUME~1\ADMINI~1\Menu D‚marrer
2007-06-28 12:15 <REP> d--h----- C:\DOCUME~1\ADMINI~1\Voisinage r‚seau
2007-06-28 12:15 <REP> d--h----- C:\DOCUME~1\ADMINI~1\Voisinage d'impression
2007-06-28 12:15 <REP> d--h----- C:\DOCUME~1\ADMINI~1\ModŠles
2007-06-28 12:15 <REP> d-------- C:\DOCUME~1\ADMINI~1\Mes documents
2007-06-28 12:15 <REP> d-------- C:\DOCUME~1\ADMINI~1\Favoris
2007-06-28 12:15 <REP> d-------- C:\DOCUME~1\ADMINI~1\Bureau
2007-06-27 22:28 53,248 --a------ C:\WINDOWS\system32\Process.exe
2007-06-27 22:28 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2007-06-27 22:28 3,520 --a------ C:\WINDOWS\system32\tmp.reg
2007-06-27 22:28 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2007-06-27 21:52 <REP> d-------- C:\VundoFix Backups
2007-06-27 19:27 <REP> d-------- C:\hijackthis
2007-06-27 17:39 <REP> d-------- C:\Program Files\Windows Live
2007-06-26 17:51 4,672 --a------ C:\WINDOWS\system32\yujgakii.exe
2007-06-19 18:33 <REP> d-------- C:\Program Files\Neuf
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
2007-07-01 09:31:25 81,984 ----a-w C:\WINDOWS\system32\bdod.bin
2007-06-28 10:30:33 -------- d-----w C:\Program Files\eMule
2007-06-27 15:39:43 -------- d-----w C:\Program Files\Messenger Plus! Live
2007-06-27 15:39:41 -------- d-----w C:\Program Files\MSN Messenger
2007-05-16 15:13:53 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-05-08 10:57:20 -------- d-----w C:\Program Files\URUSoft
2007-04-25 14:22:35 144,896 ----a-w C:\WINDOWS\system32\schannel.dll
2007-04-18 16:14:18 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll
2007-04-16 20:47:36 33,624 ----a-w C:\WINDOWS\system32\wups.dll
2007-04-16 20:45:54 1,710,936 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-04-16 20:45:48 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-04-16 20:45:42 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-04-16 20:45:36 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
2007-04-16 20:45:28 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-04-16 20:45:20 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-04-16 20:45:20 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
2007-04-04 13:19:06 913,408 ----a-w C:\WINDOWS\system32\xreglib.dll
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries & legit default entries are not shown
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
2005-09-23 20:12 63136 --a------ C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{55294865-DC7A-43C5-B187-DC636DACF97B}]
C:\WINDOWS\system32\sstqn.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
2007-03-14 03:43 501400 --a------ C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2005-10-04 08:12 C:\WINDOWS\SOUNDMAN.EXE]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-10-17 04:31]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 18:24]
"OM_Monitor"="C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe" [2005-11-29 19:19]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=sockspy.dll
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{93e1b012-bc1b-11da-a195-001485eaa5f7}]
Auto\command- E:\AdobeR.exe e
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e
**************************************************************************
catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-01 11:32:28
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
Completion time: 2007-07-01 11:34:26 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-07-01 11:34
--- E O F ---
j'ai aussi pour combofix :
[code]
2007-06-25 20:51 31254 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\byxvtqo.dll.vir
2007-06-26 17:57 66112 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\lrhuyhlh.dll.vir
2007-06-27 17:55 128576 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\wcuqxcgy.dll.vir
2007-06-27 21:51 930783 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\ygcxqucw.ini.vir
2007-06-28 19:30 66112 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\bvlxuhdo.dll.vir
2007-06-30 12:17 128576 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\fmprakxe.dll.vir
2007-06-30 13:40 266336 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\vtuts.dll.vir
2007-06-30 13:40 6369 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\stutv.bak1.vir
2007-07-01 11:24 999987 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\exkarpmf.ini.vir
2007-07-01 11:29 7275 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\stutv.ini.vir
2007-07-01 11:30 104 --a------ C:\Qoobox\Quarantine\catchme.log
Structure du dossier
Le num‚ro de s‚rie du volume est 90BF-F9B2
C:\QOOBOX
\---Quarantine
| catchme.log
|
+---C
| \---WINDOWS
| \---system32
| bvlxuhdo.dll.vir
| byxvtqo.dll.vir
| exkarpmf.ini.vir
| fmprakxe.dll.vir
| lrhuyhlh.dll.vir
| stutv.bak1.vir
| stutv.ini.vir
| vtuts.dll.vir
| wcuqxcgy.dll.vir
| ygcxqucw.ini.vir
|
\---Registry_backups
[/code]
pour ScanOnline PANDA :
Incident Statut Analyse
Spyware:Spyware/Virtumonde No Désinfecté C:\!KillBox\byxvtqo.dll
Spyware:Spyware/Virtumonde No Désinfecté C:\!KillBox\byxvtqo.dll( 2)
Spyware:Spyware/Virtumonde No Désinfecté C:\!KillBox\byxvtqo.dll( 3)
Spyware:Spyware/Virtumonde No Désinfecté C:\!KillBox\byxvtqo.dll( 7)
Spyware:Cookie/2o7 No Désinfecté C:\Documents and Settings\Pc\Bureau\internet\RECUP\Documents and Settings\Administrateur\Cookies\administrateur@2o7[2].txt
Spyware:Cookie/YieldManager No Désinfecté C:\Documents and Settings\Pc\Bureau\internet\RECUP\Documents and Settings\Administrateur\Cookies\administrateur@ad.yieldmanager[1].txt
Spyware:Cookie/Adtech No Désinfecté C:\Documents and Settings\Pc\Bureau\internet\RECUP\Documents and Settings\Administrateur\Cookies\administrateur@adtech[2].txt
Spyware:Cookie/Advertising No Désinfecté C:\Documents and Settings\Pc\Bureau\internet\RECUP\Documents and Settings\Administrateur\Cookies\administrateur@advertising[1].txt
Spyware:Cookie/Falkag No Désinfecté C:\Documents and Settings\Pc\Bureau\internet\RECUP\Documents and Settings\Administrateur\Cookies\administrateur@as-us.falkag[1].txt
Spyware:Cookie/Falkag No Désinfecté C:\Documents and Settings\Pc\Bureau\internet\RECUP\Documents and Settings\Administrateur\Cookies\administrateur@as1.falkag[1].txt
Spyware:Cookie/Atlas DMT No Désinfecté C:\Documents and Settings\Pc\Bureau\internet\RECUP\Documents and Settings\Administrateur\Cookies\administrateur@atdmt[2].txt
Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\Pc\Bureau\internet\RECUP\Documents and Settings\Administrateur\Cookies\administrateur@bluestreak[1].txt
Spyware:Cookie/Kazaa Networks No Désinfecté C:\Documents and Settings\Pc\Bureau\internet\RECUP\Documents and Settings\Administrateur\Cookies\administrateur@desktop.kazaa[2].txt
Spyware:Cookie/Doubleclick No Désinfecté C:\Documents and Settings\Pc\Bureau\internet\RECUP\Documents and Settings\Administrateur\Cookies\administrateur@doubleclick[2].txt
Spyware:Cookie/Comclick No Désinfecté C:\Documents and Settings\Pc\Bureau\internet\RECUP\Documents and Settings\Administrateur\Cookies\administrateur@fl01.ct2.comclick[1].txt
Spyware:Cookie/MetriWeb No Désinfecté C:\Documents and Settings\Pc\Bureau\internet\RECUP\Documents and Settings\Administrateur\Cookies\administrateur@metriweb[1].txt
Spyware:Cookie/Serving-sys No Désinfecté C:\Documents and Settings\Pc\Bureau\internet\RECUP\Documents and Settings\Administrateur\Cookies\administrateur@serving-sys[2].txt
Spyware:Cookie/WebtrendsLive No Désinfecté C:\Documents and Settings\Pc\Bureau\internet\RECUP\Documents and Settings\Administrateur\Cookies\administrateur@statse.webtrendslive[1].txt
Spyware:Cookie/Tradedoubler No Désinfecté C:\Documents and Settings\Pc\Bureau\internet\RECUP\Documents and Settings\Administrateur\Cookies\administrateur@tradedoubler[2].txt
Spyware:Cookie/Valueclick No Désinfecté C:\Documents and Settings\Pc\Bureau\internet\RECUP\Documents and Settings\Administrateur\Cookies\administrateur@valueclick[2].txt
Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\Pc\Bureau\internet\RECUP\Documents and Settings\Administrateur\Cookies\administrateur@weborama[2].txt
Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Pc\Bureau\internet\RECUP\Documents and Settings\Administrateur\Cookies\administrateur@xiti[1].txt
Spyware:Cookie/888 No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@888[2].txt
Spyware:Cookie/Adrevolver No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@adrevolver[2].txt
Spyware:Cookie/Adtech No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@adtech[2].txt
Spyware:Cookie/Advertising No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@advertising[2].txt
Spyware:Cookie/Atlas DMT No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@atdmt[2].txt
Spyware:Cookie/Atlas DMT No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@atdmt[3].txt
Spyware:Cookie/Azjmp No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@azjmp[1].txt
Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@bluestreak[2].txt
Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@bluestreak[3].txt
Spyware:Cookie/Serving-sys No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@bs.serving-sys[2].txt
Spyware:Cookie/Doubleclick No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@doubleclick[1].txt
Spyware:Cookie/Doubleclick No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@doubleclick[2].txt
Spyware:Cookie/DriveCleaner No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@drivecleaner[1].txt
Spyware:Cookie/DriveCleaner No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@drivecleaner[2].txt
Spyware:Cookie/ErrorSafe No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@errorsafe[1].txt
Spyware:Cookie/Itrack No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@ilead.itrack[1].txt
Spyware:Cookie/888 No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@int.sitestat[1].txt
Spyware:Cookie/Cassava No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@int.sitestat[2].txt
Spyware:Cookie/Adrevolver No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@media.adrevolver[2].txt
Spyware:Cookie/Mediaplex No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@mediaplex[1].txt
Spyware:Cookie/Overture No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@overture[1].txt
Spyware:Cookie/Overture No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@overture[3].txt
Spyware:Cookie/RealMedia No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@realmedia[2].txt
Spyware:Cookie/Server.iad.Liveperson No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@server.iad.liveperson[2].txt
Spyware:Cookie/Serving-sys No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@serving-sys[2].txt
Spyware:Cookie/Smartadserver No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@smartadserver[1].txt
Spyware:Cookie/Statcounter No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@statcounter[1].txt
Spyware:Cookie/DriveCleaner No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@stats.drivecleaner[2].txt
Spyware:Cookie/Reliablestats No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@stats1.reliablestats[1].txt
Spyware:Cookie/Reliablestats No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@stats1.reliablestats[3].txt
Spyware:Cookie/Systemdoctor No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@systemdoctor[1].txt
Spyware:Cookie/Tradedoubler No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@tradedoubler[1].txt
Spyware:Cookie/Tradedoubler No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@tradedoubler[2].txt
Spyware:Cookie/Tribalfusion No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@tribalfusion[1].txt
Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@weborama[1].txt
Spyware:Cookie/Winantivirus No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@winantivirus[2].txt
Spyware:Cookie/Winantivirus No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@winantivirus[3].txt
Spyware:Cookie/ErrorSafe No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@www.errorsafe[1].txt
Spyware:Cookie/Winantivirus No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@www.winantiviruspro[2].txt
Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@xiti[1].txt
Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@xiti[2].txt
Outil indésirable:Application/NirCmd.A No Désinfecté C:\Documents and Settings\Pc\Mes documents\mes docs\Margaux\ComboFix.exe[nircmd.exe]
Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\Pc\Mes documents\mes docs\Margaux\smitfraud\Process.exe
Virus:Trj/Shutdown.Z Désinfecté C:\Documents and Settings\Pc\Mes documents\mes docs\Margaux\smitfraud\restart.exe
Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\Pc\Mes documents\mes docs\Margaux\SmitfraudFix.zip[SmitfraudFix/Process.exe]
Virus:Trj/Shutdown.Z Désinfecté C:\Documents and Settings\Pc\Mes documents\mes docs\Margaux\SmitfraudFix.zip[SmitfraudFix/restart.exe]
Spyware:Spyware/Virtumonde No Désinfecté C:\hijackthis\backups\backup-20070627-214932-257.dll
Spyware:Spyware/Virtumonde No Désinfecté C:\hijackthis\backups\backup-20070628-192003-592.dll
Spyware:Spyware/Virtumonde No Désinfecté C:\hijackthis\backups\backup-20070630-130837-709.dll
Outil indésirable:Application/Processor No Désinfecté C:\Program Files\Navilog1\Process.exe
Spyware:Spyware/Virtumonde No Désinfecté C:\QooBox\Quarantine\C\WINDOWS\system32\byxvtqo.dll.vir
Outil indésirable:Application/NirCmd.A No Désinfecté C:\WINDOWS\nircmd.exe
Outil indésirable:Application/Processor No Désinfecté C:\WINDOWS\system32\Process.exe
et pour Silent Runners :
"Silent Runners.vbs", revision R50, https://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"
Startup items buried in registry:
---------------------------------
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"MSMSGS" = ""C:\Program Files\Messenger\msmsgs.exe" /background" [MS]
"OM_Monitor" = "C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe" ["OLYMPUS IMAGING CORP."]
"ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx\ {++}
"(Default)" = "(empty string)" [file not found]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{55294865-DC7A-43C5-B187-DC636DACF97B}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\sstqn.dll" [file not found]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll" ["Sun Microsystems, Inc."]
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"
-> {HKLM...CLSID} = "Extension Affichage Panorama du Panneau de configuration"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
-> {HKLM...CLSID} = "Microsoft Office Outlook"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook File Icon Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Program Files\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{acb4a560-3606-11d3-aef4-00104bd0f92d}" = "KodakShellExtension"
-> {HKLM...CLSID} = "KodakShellExtension"
\InProcServer32\(Default) = "C:\Program Files\Fichiers communs\KODAK\IFSCore\kodakshx.dll" ["Eastman Kodak Company"]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {HKLM...CLSID} = "DesktopContext Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {HKLM...CLSID} = "NVIDIA CPL Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {HKLM...CLSID} = "Desktop Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {HKLM...CLSID} = "nView Desktop Context Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders"
-> {HKLM...CLSID} = "Mes dossiers de partage"
\InProcServer32\(Default) = "C:\Program Files\MSN Messenger\fsshext.8.1.0178.00.dll" [MS]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
-> {HKLM...CLSID} = "iTunes"
\InProcServer32\(Default) = "C:\Program Files\iTunes\iTunesMiniPlayer.dll" ["Apple Inc."]
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\
<<!>> "AppInit_DLLs" = "sockspy.dll" [null data]
HKLM\Software\Classes\PROTOCOLS\Filter\
<<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]
HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]
HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
Group Policies {policy setting}:
--------------------------------
Note: detected settings may not have any effect.
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\
"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Shutdown: Allow system to be shut down without having to log on}
"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Devices: Allow undock without having to log on}
Active Desktop and Wallpaper:
-----------------------------
Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState
Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "%APPDATA%\Microsoft\Internet Explorer\Internet Explorer Wallpaper.bmp"
Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Documents and Settings\Pc\Application Data\Microsoft\Internet Explorer\Internet Explorer Wallpaper.bmp"
Startup items in "Pc" & "All Users" startup folders:
----------------------------------------------------
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage
"Contrôleur d’état" -> shortcut to: "C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe Brother DCP-115C /STARTUP" ["Brother Industries, Ltd."]
Winsock2 Service Provider DLLs:
-------------------------------
Namespace Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
Transport Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 23
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05
Toolbars, Explorer Bars, Extensions:
------------------------------------
Explorer Bars
HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\
HKLM\Software\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Rechercher"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL" [MS]
Extensions (Tools menu items, main toolbar menu buttons)
HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Console Java (Sun)"
"CLSIDExtension" = "{CAFEEFAC-0016-0000-0001-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in 1.6.0_01"
\InProcServer32\(Default) = "C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.6.0_01"
\InProcServer32\(Default) = "C:\Program Files\Java\jre1.6.0_01\bin\npjpi160_01.dll" ["Sun Microsystems, Inc."]
{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Recherche"
{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Program Files\Messenger\msmsgs.exe" [MS]
Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------
BitDefender Communicator, XCOMM, ""C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service" ["Softwin"]
BitDefender Desktop Update Service, LIVESRV, ""C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service" ["SOFTWIN S.R.L."]
BitDefender Scan Server, bdss, ""C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service" [null data]
BitDefender Virus Shield, VSSERV, ""C:\Program Files\Softwin\BitDefender10\vsserv.exe" /service" ["SOFTWIN S.R.L."]
BrSplService, Brother XP spl Service, "C:\WINDOWS\system32\brsvc01a.exe" ["brother Industries Ltd"]
Machine Debug Manager, MDM, ""C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE"" [MS]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"]
Planificateur LiveUpdate automatique, Planificateur LiveUpdate automatique, ""C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe"" ["Symantec Corporation"]
ScsiAccess, ScsiAccess, "C:\WINDOWS\system32\ScsiAccess.EXE" [null data]
Print Monitors:
---------------
HKLM\System\CurrentControlSet\Control\Print\Monitors\
Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]
----------
<<!>>: Suspicious data at a malware launch point.
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 45 seconds, including 5 seconds for message boxes)
voilà, merci à tous les deux. j'ai téléchargé Zone Alarm comme Fire Wall.
alors rapport Combofix :
"Pc" - 2007-07-01 11:25:12 - ComboFix 07-07-01.3 - Service Pack 2 NTFS
(((((((((((((((((((((((((((((((((((((((((((( V Log )))))))))))))))))))))))))))))))))))))))))))))))))))))))
C:\WINDOWS\system32\bvlxuhdo.dll
C:\WINDOWS\system32\fmprakxe.dll
C:\WINDOWS\system32\lrhuyhlh.dll
C:\WINDOWS\system32\wcuqxcgy.dll
C:\WINDOWS\system32\exkarpmf.ini
C:\WINDOWS\system32\stutv.bak1
C:\WINDOWS\system32\stutv.ini
C:\WINDOWS\system32\ygcxqucw.ini
C:\WINDOWS\system32\vtuts.dll
C:\WINDOWS\system32\byxvtqo.dll
* * * POST RUN FILES/FOLDERS * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *
((((((((((((((((((((((((( Files Created from 2007-06-01 to 2007-07-01 )))))))))))))))))))))))))))))))
2007-07-01 11:24 49,152 --a------ C:\WINDOWS\nircmd.exe
2007-06-28 19:49 <REP> d-------- C:\Program Files\Navilog1
2007-06-28 19:23 <REP> d-------- C:\!KillBox
2007-06-28 17:36 <REP> d-------- C:\DOCUME~1\Pc\Incomplete
2007-06-28 17:36 <REP> d-------- C:\DOCUME~1\Pc\APPLIC~1\LimeWire
2007-06-28 12:15 524,288 --ah----- C:\DOCUME~1\ADMINI~1\NTUSER.DAT
2007-06-28 12:15 <REP> dr------- C:\DOCUME~1\ADMINI~1\Menu D‚marrer
2007-06-28 12:15 <REP> d--h----- C:\DOCUME~1\ADMINI~1\Voisinage r‚seau
2007-06-28 12:15 <REP> d--h----- C:\DOCUME~1\ADMINI~1\Voisinage d'impression
2007-06-28 12:15 <REP> d--h----- C:\DOCUME~1\ADMINI~1\ModŠles
2007-06-28 12:15 <REP> d-------- C:\DOCUME~1\ADMINI~1\Mes documents
2007-06-28 12:15 <REP> d-------- C:\DOCUME~1\ADMINI~1\Favoris
2007-06-28 12:15 <REP> d-------- C:\DOCUME~1\ADMINI~1\Bureau
2007-06-27 22:28 53,248 --a------ C:\WINDOWS\system32\Process.exe
2007-06-27 22:28 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2007-06-27 22:28 3,520 --a------ C:\WINDOWS\system32\tmp.reg
2007-06-27 22:28 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2007-06-27 21:52 <REP> d-------- C:\VundoFix Backups
2007-06-27 19:27 <REP> d-------- C:\hijackthis
2007-06-27 17:39 <REP> d-------- C:\Program Files\Windows Live
2007-06-26 17:51 4,672 --a------ C:\WINDOWS\system32\yujgakii.exe
2007-06-19 18:33 <REP> d-------- C:\Program Files\Neuf
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
2007-07-01 09:31:25 81,984 ----a-w C:\WINDOWS\system32\bdod.bin
2007-06-28 10:30:33 -------- d-----w C:\Program Files\eMule
2007-06-27 15:39:43 -------- d-----w C:\Program Files\Messenger Plus! Live
2007-06-27 15:39:41 -------- d-----w C:\Program Files\MSN Messenger
2007-05-16 15:13:53 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-05-08 10:57:20 -------- d-----w C:\Program Files\URUSoft
2007-04-25 14:22:35 144,896 ----a-w C:\WINDOWS\system32\schannel.dll
2007-04-18 16:14:18 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll
2007-04-16 20:47:36 33,624 ----a-w C:\WINDOWS\system32\wups.dll
2007-04-16 20:45:54 1,710,936 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-04-16 20:45:48 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-04-16 20:45:42 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-04-16 20:45:36 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
2007-04-16 20:45:28 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-04-16 20:45:20 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-04-16 20:45:20 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
2007-04-04 13:19:06 913,408 ----a-w C:\WINDOWS\system32\xreglib.dll
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries & legit default entries are not shown
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
2005-09-23 20:12 63136 --a------ C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{55294865-DC7A-43C5-B187-DC636DACF97B}]
C:\WINDOWS\system32\sstqn.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
2007-03-14 03:43 501400 --a------ C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2005-10-04 08:12 C:\WINDOWS\SOUNDMAN.EXE]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-10-17 04:31]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 18:24]
"OM_Monitor"="C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe" [2005-11-29 19:19]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=sockspy.dll
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{93e1b012-bc1b-11da-a195-001485eaa5f7}]
Auto\command- E:\AdobeR.exe e
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e
**************************************************************************
catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-01 11:32:28
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
Completion time: 2007-07-01 11:34:26 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-07-01 11:34
--- E O F ---
j'ai aussi pour combofix :
[code]
2007-06-25 20:51 31254 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\byxvtqo.dll.vir
2007-06-26 17:57 66112 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\lrhuyhlh.dll.vir
2007-06-27 17:55 128576 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\wcuqxcgy.dll.vir
2007-06-27 21:51 930783 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\ygcxqucw.ini.vir
2007-06-28 19:30 66112 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\bvlxuhdo.dll.vir
2007-06-30 12:17 128576 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\fmprakxe.dll.vir
2007-06-30 13:40 266336 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\vtuts.dll.vir
2007-06-30 13:40 6369 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\stutv.bak1.vir
2007-07-01 11:24 999987 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\exkarpmf.ini.vir
2007-07-01 11:29 7275 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\stutv.ini.vir
2007-07-01 11:30 104 --a------ C:\Qoobox\Quarantine\catchme.log
Structure du dossier
Le num‚ro de s‚rie du volume est 90BF-F9B2
C:\QOOBOX
\---Quarantine
| catchme.log
|
+---C
| \---WINDOWS
| \---system32
| bvlxuhdo.dll.vir
| byxvtqo.dll.vir
| exkarpmf.ini.vir
| fmprakxe.dll.vir
| lrhuyhlh.dll.vir
| stutv.bak1.vir
| stutv.ini.vir
| vtuts.dll.vir
| wcuqxcgy.dll.vir
| ygcxqucw.ini.vir
|
\---Registry_backups
[/code]
pour ScanOnline PANDA :
Incident Statut Analyse
Spyware:Spyware/Virtumonde No Désinfecté C:\!KillBox\byxvtqo.dll
Spyware:Spyware/Virtumonde No Désinfecté C:\!KillBox\byxvtqo.dll( 2)
Spyware:Spyware/Virtumonde No Désinfecté C:\!KillBox\byxvtqo.dll( 3)
Spyware:Spyware/Virtumonde No Désinfecté C:\!KillBox\byxvtqo.dll( 7)
Spyware:Cookie/2o7 No Désinfecté C:\Documents and Settings\Pc\Bureau\internet\RECUP\Documents and Settings\Administrateur\Cookies\administrateur@2o7[2].txt
Spyware:Cookie/YieldManager No Désinfecté C:\Documents and Settings\Pc\Bureau\internet\RECUP\Documents and Settings\Administrateur\Cookies\administrateur@ad.yieldmanager[1].txt
Spyware:Cookie/Adtech No Désinfecté C:\Documents and Settings\Pc\Bureau\internet\RECUP\Documents and Settings\Administrateur\Cookies\administrateur@adtech[2].txt
Spyware:Cookie/Advertising No Désinfecté C:\Documents and Settings\Pc\Bureau\internet\RECUP\Documents and Settings\Administrateur\Cookies\administrateur@advertising[1].txt
Spyware:Cookie/Falkag No Désinfecté C:\Documents and Settings\Pc\Bureau\internet\RECUP\Documents and Settings\Administrateur\Cookies\administrateur@as-us.falkag[1].txt
Spyware:Cookie/Falkag No Désinfecté C:\Documents and Settings\Pc\Bureau\internet\RECUP\Documents and Settings\Administrateur\Cookies\administrateur@as1.falkag[1].txt
Spyware:Cookie/Atlas DMT No Désinfecté C:\Documents and Settings\Pc\Bureau\internet\RECUP\Documents and Settings\Administrateur\Cookies\administrateur@atdmt[2].txt
Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\Pc\Bureau\internet\RECUP\Documents and Settings\Administrateur\Cookies\administrateur@bluestreak[1].txt
Spyware:Cookie/Kazaa Networks No Désinfecté C:\Documents and Settings\Pc\Bureau\internet\RECUP\Documents and Settings\Administrateur\Cookies\administrateur@desktop.kazaa[2].txt
Spyware:Cookie/Doubleclick No Désinfecté C:\Documents and Settings\Pc\Bureau\internet\RECUP\Documents and Settings\Administrateur\Cookies\administrateur@doubleclick[2].txt
Spyware:Cookie/Comclick No Désinfecté C:\Documents and Settings\Pc\Bureau\internet\RECUP\Documents and Settings\Administrateur\Cookies\administrateur@fl01.ct2.comclick[1].txt
Spyware:Cookie/MetriWeb No Désinfecté C:\Documents and Settings\Pc\Bureau\internet\RECUP\Documents and Settings\Administrateur\Cookies\administrateur@metriweb[1].txt
Spyware:Cookie/Serving-sys No Désinfecté C:\Documents and Settings\Pc\Bureau\internet\RECUP\Documents and Settings\Administrateur\Cookies\administrateur@serving-sys[2].txt
Spyware:Cookie/WebtrendsLive No Désinfecté C:\Documents and Settings\Pc\Bureau\internet\RECUP\Documents and Settings\Administrateur\Cookies\administrateur@statse.webtrendslive[1].txt
Spyware:Cookie/Tradedoubler No Désinfecté C:\Documents and Settings\Pc\Bureau\internet\RECUP\Documents and Settings\Administrateur\Cookies\administrateur@tradedoubler[2].txt
Spyware:Cookie/Valueclick No Désinfecté C:\Documents and Settings\Pc\Bureau\internet\RECUP\Documents and Settings\Administrateur\Cookies\administrateur@valueclick[2].txt
Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\Pc\Bureau\internet\RECUP\Documents and Settings\Administrateur\Cookies\administrateur@weborama[2].txt
Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Pc\Bureau\internet\RECUP\Documents and Settings\Administrateur\Cookies\administrateur@xiti[1].txt
Spyware:Cookie/888 No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@888[2].txt
Spyware:Cookie/Adrevolver No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@adrevolver[2].txt
Spyware:Cookie/Adtech No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@adtech[2].txt
Spyware:Cookie/Advertising No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@advertising[2].txt
Spyware:Cookie/Atlas DMT No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@atdmt[2].txt
Spyware:Cookie/Atlas DMT No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@atdmt[3].txt
Spyware:Cookie/Azjmp No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@azjmp[1].txt
Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@bluestreak[2].txt
Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@bluestreak[3].txt
Spyware:Cookie/Serving-sys No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@bs.serving-sys[2].txt
Spyware:Cookie/Doubleclick No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@doubleclick[1].txt
Spyware:Cookie/Doubleclick No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@doubleclick[2].txt
Spyware:Cookie/DriveCleaner No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@drivecleaner[1].txt
Spyware:Cookie/DriveCleaner No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@drivecleaner[2].txt
Spyware:Cookie/ErrorSafe No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@errorsafe[1].txt
Spyware:Cookie/Itrack No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@ilead.itrack[1].txt
Spyware:Cookie/888 No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@int.sitestat[1].txt
Spyware:Cookie/Cassava No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@int.sitestat[2].txt
Spyware:Cookie/Adrevolver No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@media.adrevolver[2].txt
Spyware:Cookie/Mediaplex No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@mediaplex[1].txt
Spyware:Cookie/Overture No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@overture[1].txt
Spyware:Cookie/Overture No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@overture[3].txt
Spyware:Cookie/RealMedia No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@realmedia[2].txt
Spyware:Cookie/Server.iad.Liveperson No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@server.iad.liveperson[2].txt
Spyware:Cookie/Serving-sys No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@serving-sys[2].txt
Spyware:Cookie/Smartadserver No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@smartadserver[1].txt
Spyware:Cookie/Statcounter No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@statcounter[1].txt
Spyware:Cookie/DriveCleaner No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@stats.drivecleaner[2].txt
Spyware:Cookie/Reliablestats No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@stats1.reliablestats[1].txt
Spyware:Cookie/Reliablestats No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@stats1.reliablestats[3].txt
Spyware:Cookie/Systemdoctor No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@systemdoctor[1].txt
Spyware:Cookie/Tradedoubler No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@tradedoubler[1].txt
Spyware:Cookie/Tradedoubler No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@tradedoubler[2].txt
Spyware:Cookie/Tribalfusion No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@tribalfusion[1].txt
Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@weborama[1].txt
Spyware:Cookie/Winantivirus No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@winantivirus[2].txt
Spyware:Cookie/Winantivirus No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@winantivirus[3].txt
Spyware:Cookie/ErrorSafe No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@www.errorsafe[1].txt
Spyware:Cookie/Winantivirus No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@www.winantiviruspro[2].txt
Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@xiti[1].txt
Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Pc\Cookies\pc@xiti[2].txt
Outil indésirable:Application/NirCmd.A No Désinfecté C:\Documents and Settings\Pc\Mes documents\mes docs\Margaux\ComboFix.exe[nircmd.exe]
Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\Pc\Mes documents\mes docs\Margaux\smitfraud\Process.exe
Virus:Trj/Shutdown.Z Désinfecté C:\Documents and Settings\Pc\Mes documents\mes docs\Margaux\smitfraud\restart.exe
Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\Pc\Mes documents\mes docs\Margaux\SmitfraudFix.zip[SmitfraudFix/Process.exe]
Virus:Trj/Shutdown.Z Désinfecté C:\Documents and Settings\Pc\Mes documents\mes docs\Margaux\SmitfraudFix.zip[SmitfraudFix/restart.exe]
Spyware:Spyware/Virtumonde No Désinfecté C:\hijackthis\backups\backup-20070627-214932-257.dll
Spyware:Spyware/Virtumonde No Désinfecté C:\hijackthis\backups\backup-20070628-192003-592.dll
Spyware:Spyware/Virtumonde No Désinfecté C:\hijackthis\backups\backup-20070630-130837-709.dll
Outil indésirable:Application/Processor No Désinfecté C:\Program Files\Navilog1\Process.exe
Spyware:Spyware/Virtumonde No Désinfecté C:\QooBox\Quarantine\C\WINDOWS\system32\byxvtqo.dll.vir
Outil indésirable:Application/NirCmd.A No Désinfecté C:\WINDOWS\nircmd.exe
Outil indésirable:Application/Processor No Désinfecté C:\WINDOWS\system32\Process.exe
et pour Silent Runners :
"Silent Runners.vbs", revision R50, https://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"
Startup items buried in registry:
---------------------------------
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"MSMSGS" = ""C:\Program Files\Messenger\msmsgs.exe" /background" [MS]
"OM_Monitor" = "C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe" ["OLYMPUS IMAGING CORP."]
"ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx\ {++}
"(Default)" = "(empty string)" [file not found]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{55294865-DC7A-43C5-B187-DC636DACF97B}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\sstqn.dll" [file not found]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll" ["Sun Microsystems, Inc."]
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"
-> {HKLM...CLSID} = "Extension Affichage Panorama du Panneau de configuration"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
-> {HKLM...CLSID} = "Microsoft Office Outlook"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook File Icon Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Program Files\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{acb4a560-3606-11d3-aef4-00104bd0f92d}" = "KodakShellExtension"
-> {HKLM...CLSID} = "KodakShellExtension"
\InProcServer32\(Default) = "C:\Program Files\Fichiers communs\KODAK\IFSCore\kodakshx.dll" ["Eastman Kodak Company"]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {HKLM...CLSID} = "DesktopContext Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {HKLM...CLSID} = "NVIDIA CPL Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {HKLM...CLSID} = "Desktop Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {HKLM...CLSID} = "nView Desktop Context Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders"
-> {HKLM...CLSID} = "Mes dossiers de partage"
\InProcServer32\(Default) = "C:\Program Files\MSN Messenger\fsshext.8.1.0178.00.dll" [MS]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
-> {HKLM...CLSID} = "iTunes"
\InProcServer32\(Default) = "C:\Program Files\iTunes\iTunesMiniPlayer.dll" ["Apple Inc."]
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\
<<!>> "AppInit_DLLs" = "sockspy.dll" [null data]
HKLM\Software\Classes\PROTOCOLS\Filter\
<<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]
HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]
HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
Group Policies {policy setting}:
--------------------------------
Note: detected settings may not have any effect.
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\
"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Shutdown: Allow system to be shut down without having to log on}
"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Devices: Allow undock without having to log on}
Active Desktop and Wallpaper:
-----------------------------
Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState
Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "%APPDATA%\Microsoft\Internet Explorer\Internet Explorer Wallpaper.bmp"
Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Documents and Settings\Pc\Application Data\Microsoft\Internet Explorer\Internet Explorer Wallpaper.bmp"
Startup items in "Pc" & "All Users" startup folders:
----------------------------------------------------
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage
"Contrôleur d’état" -> shortcut to: "C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe Brother DCP-115C /STARTUP" ["Brother Industries, Ltd."]
Winsock2 Service Provider DLLs:
-------------------------------
Namespace Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
Transport Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 23
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05
Toolbars, Explorer Bars, Extensions:
------------------------------------
Explorer Bars
HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\
HKLM\Software\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Rechercher"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL" [MS]
Extensions (Tools menu items, main toolbar menu buttons)
HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Console Java (Sun)"
"CLSIDExtension" = "{CAFEEFAC-0016-0000-0001-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in 1.6.0_01"
\InProcServer32\(Default) = "C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.6.0_01"
\InProcServer32\(Default) = "C:\Program Files\Java\jre1.6.0_01\bin\npjpi160_01.dll" ["Sun Microsystems, Inc."]
{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Recherche"
{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Program Files\Messenger\msmsgs.exe" [MS]
Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------
BitDefender Communicator, XCOMM, ""C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service" ["Softwin"]
BitDefender Desktop Update Service, LIVESRV, ""C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service" ["SOFTWIN S.R.L."]
BitDefender Scan Server, bdss, ""C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service" [null data]
BitDefender Virus Shield, VSSERV, ""C:\Program Files\Softwin\BitDefender10\vsserv.exe" /service" ["SOFTWIN S.R.L."]
BrSplService, Brother XP spl Service, "C:\WINDOWS\system32\brsvc01a.exe" ["brother Industries Ltd"]
Machine Debug Manager, MDM, ""C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE"" [MS]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"]
Planificateur LiveUpdate automatique, Planificateur LiveUpdate automatique, ""C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe"" ["Symantec Corporation"]
ScsiAccess, ScsiAccess, "C:\WINDOWS\system32\ScsiAccess.EXE" [null data]
Print Monitors:
---------------
HKLM\System\CurrentControlSet\Control\Print\Monitors\
Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]
----------
<<!>>: Suspicious data at a malware launch point.
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 45 seconds, including 5 seconds for message boxes)
voilà, merci à tous les deux. j'ai téléchargé Zone Alarm comme Fire Wall.
Tu avais quoi comme fire-wall ?
Tu as la suite de Bitdefender Internet security...ou simplement l'anti-virus ?
Tu as la suite de Bitdefender Internet security...ou simplement l'anti-virus ?
Bien...donc sans fire-wall,(sauf celui de XP ) ce qui explique l'attaque que tu as subi.
en gros...le fire-wall de xp, c'est une passoire .
----------------------------
perso je te conseille de faire ce scan en ligne:
car la liste "Incident Statut Analyse " est longue...(bitdefender)
http://support.f-secure.fr/fra/home/ols.shtml
tuto ici:
https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId974416
postes le log
en gros...le fire-wall de xp, c'est une passoire .
----------------------------
perso je te conseille de faire ce scan en ligne:
car la liste "Incident Statut Analyse " est longue...(bitdefender)
http://support.f-secure.fr/fra/home/ols.shtml
tuto ici:
https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId974416
postes le log
Philo,
2 choses:
1°- VirusTotal ( avec affichage fichiers cachés ) pour:
C:\WINDOWS\system32\yujgakii.exe
C:\WINDOWS\nircmd.exe
C:\WINDOWS\system32\Process.exe
C:\Program Files\WinRAR\rarext.dll s'il trouve
C:\WINDOWS\system32\sstqn.dll s'il trouve
2°- Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.
http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe
double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.
C:\!KillBox
C:\hijackthis\backups
C:\Qoobox\Quarantine\C\WINDOWS\system32\byxvtqo.dll.vir
C:\Qoobox\Quarantine\C\WINDOWS\system32\lrhuyhlh.dll.vir
C:\Qoobox\Quarantine\C\WINDOWS\system32\wcuqxcgy.dll.vir
C:\Qoobox\Quarantine\C\WINDOWS\system32\ygcxqucw.ini.vir
C:\Qoobox\Quarantine\C\WINDOWS\system32\bvlxuhdo.dll.vir
C:\Qoobox\Quarantine\C\WINDOWS\system32\fmprakxe.dll.vir
C:\Qoobox\Quarantine\C\WINDOWS\system32\vtuts.dll.vir
C:\Qoobox\Quarantine\C\WINDOWS\system32\stutv.bak1.vir
C:\Qoobox\Quarantine\C\WINDOWS\system32\exkarpmf.ini.vir
C:\Qoobox\Quarantine\C\WINDOWS\system32\stutv.ini.vir
C:\Qoobox\Quarantine\catchme.log
clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre Results.
clique sur Exit pour fermer.
poste le rapport situé dans C:\\\\_OTMoveIt\MovedFiles.
il te sera peut-être demander de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Yes.
3)- Trop de Cookies laisse voir que louloute ne nettoie pas son PC en quittant ses sessions.
Nettoyage des fichiers inutiles
1)- Dans la barre de menus ( au-dessus ), clic sur "Outils" > "Options Internet" > puis au § "Fichiers Internet temporaires", cliquer sur le bouton radio [supprimer le cookies...]; fais la même chose avec [supprimer les fichiers... ]: < http://img221.imageshack.us/img221/416/screenshot273cl3.gif >.
2)- Internet Explorer:
- Ouvrez "Options Internet..." depuis le menu "Outils".
- Choisissez l'onglet "Confidentialité" et positionnez les réglages au moins sur Moyen.
- Utilisez le bouton "Avancé..." pour activer "Ignorer la gestion automatique des cookies" et "Refuser" les "Cookies tierce partie".
3)- Le mieux, télécharger : ATF-Cleaner < http://www.atribune.org/ccount/click.php?id=1 >
Tuto < http://mickael.barroux.free.fr/securite/tutoatfcleaner.html > , et le lancer tous les jours quand tu quittes le PC.
Lire tuto pour application sous IE ou FireFox
Bonne chance
Al.
2 choses:
1°- VirusTotal ( avec affichage fichiers cachés ) pour:
C:\WINDOWS\system32\yujgakii.exe
C:\WINDOWS\nircmd.exe
C:\WINDOWS\system32\Process.exe
C:\Program Files\WinRAR\rarext.dll s'il trouve
C:\WINDOWS\system32\sstqn.dll s'il trouve
2°- Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.
http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe
double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.
C:\!KillBox
C:\hijackthis\backups
C:\Qoobox\Quarantine\C\WINDOWS\system32\byxvtqo.dll.vir
C:\Qoobox\Quarantine\C\WINDOWS\system32\lrhuyhlh.dll.vir
C:\Qoobox\Quarantine\C\WINDOWS\system32\wcuqxcgy.dll.vir
C:\Qoobox\Quarantine\C\WINDOWS\system32\ygcxqucw.ini.vir
C:\Qoobox\Quarantine\C\WINDOWS\system32\bvlxuhdo.dll.vir
C:\Qoobox\Quarantine\C\WINDOWS\system32\fmprakxe.dll.vir
C:\Qoobox\Quarantine\C\WINDOWS\system32\vtuts.dll.vir
C:\Qoobox\Quarantine\C\WINDOWS\system32\stutv.bak1.vir
C:\Qoobox\Quarantine\C\WINDOWS\system32\exkarpmf.ini.vir
C:\Qoobox\Quarantine\C\WINDOWS\system32\stutv.ini.vir
C:\Qoobox\Quarantine\catchme.log
clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre Results.
clique sur Exit pour fermer.
poste le rapport situé dans C:\\\\_OTMoveIt\MovedFiles.
il te sera peut-être demander de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Yes.
3)- Trop de Cookies laisse voir que louloute ne nettoie pas son PC en quittant ses sessions.
Nettoyage des fichiers inutiles
1)- Dans la barre de menus ( au-dessus ), clic sur "Outils" > "Options Internet" > puis au § "Fichiers Internet temporaires", cliquer sur le bouton radio [supprimer le cookies...]; fais la même chose avec [supprimer les fichiers... ]: < http://img221.imageshack.us/img221/416/screenshot273cl3.gif >.
2)- Internet Explorer:
- Ouvrez "Options Internet..." depuis le menu "Outils".
- Choisissez l'onglet "Confidentialité" et positionnez les réglages au moins sur Moyen.
- Utilisez le bouton "Avancé..." pour activer "Ignorer la gestion automatique des cookies" et "Refuser" les "Cookies tierce partie".
3)- Le mieux, télécharger : ATF-Cleaner < http://www.atribune.org/ccount/click.php?id=1 >
Tuto < http://mickael.barroux.free.fr/securite/tutoatfcleaner.html > , et le lancer tous les jours quand tu quittes le PC.
Lire tuto pour application sous IE ou FireFox
Bonne chance
Al.
j'ai fait le scan f-secure :
Scanning Report
Sunday, July 01, 2007 16:50:50 - 17:39:33
Computer name: ECOLE-D2F563CE5
Scanning type: Scan system for viruses, rootkits, spyware
Target: C:\
________________________________________
Result: 10 malware found
Trojan-Downloader.Win32.Tiny.id (virus)
• C:\WINDOWS\SYSTEM32\YUJGAKII.EXE (Renamed & Submitted)
Trojan.Win32.Agent.aoy (virus)
• C:\DOCUMENTS AND SETTINGS\PC\LOCAL SETTINGS\TEMP\GUYJUPXG.EXE (Renamed & Submitted)
• C:\DOCUMENTS AND SETTINGS\PC\LOCAL SETTINGS\TEMP\IQNTAODP.EXE (Renamed & Submitted)
• C:\DOCUMENTS AND SETTINGS\PC\LOCAL SETTINGS\TEMP\RSXODBJG.EXE (Renamed & Submitted)
• C:\DOCUMENTS AND SETTINGS\PC\LOCAL SETTINGS\TEMP\UIIEVSKR.EXE (Renamed & Submitted)
• C:\DOCUMENTS AND SETTINGS\PC\LOCAL SETTINGS\TEMP\WXRKQIHL.EXE (Renamed & Submitted)
Vundo.gen32 (virus)
• C:\HIJACKTHIS\BACKUPS\BACKUP-20070627-214930-411.DLL (Submitted)
• C:\HIJACKTHIS\BACKUPS\BACKUP-20070630-130837-359.DLL (Submitted)
• C:\!KILLBOX\MLLJJ.DLL (Submitted)
W32/Smalltroj.dam (virus)
• C:\!KILLBOX\KTLXGXXG.DLL (Submitted)
________________________________________
Statistics
Scanned:
• Files: 29643
• System: 3827
• Not scanned: 7
Actions:
• Disinfected: 0
• Renamed: 6
• Deleted: 0
• None: 4
• Submitted: 10
Files not scanned:
• C:\PAGEFILE.SYS
• C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
• C:\WINDOWS\SOFTWAREDISTRIBUTION\EVENTCACHE\{E85A8E9A-7864-4880-BAF3-A1A17267D0D4}.BIN
• C:\DOCUMENTS AND SETTINGS\PC\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\LDX2HFSG\KOOCWOLLA_20070601[1]
• C:\DOCUMENTS AND SETTINGS\PC\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\JWLOJKF0\TOB_SND_20070616[1]
• C:\DOCUMENTS AND SETTINGS\PC\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\D369NH2W\KOOCWOLLA_20070601[1]
• C:\DOCUMENTS AND SETTINGS\PC\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\AWHGDHSZ\KOOCWOLLA_20070601[1]
________________________________________
Options
Scanning engines:
• F-Secure Libra: 2.4.2, 2007-06-28
• F-Secure AVP: 7.0.171, 2007-07-01
• F-Secure Orion: 1.2.37, 2007-06-29
• F-Secure Blacklight: 1.0.64
• F-Secure Draco: 1.0.35, 0260-23-12
• F-Secure Pegasus: 1.19.0, 2007-05-29
Scanning options:
• Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB BAT LNK ANI AVB CEO CMD LSP MAP MHT MIF PDF PHP POT WMF NWS TAR TGZ WSF ZL? {* ZIP JAR ARJ LZH TAR TGZ GZ CAB RAR BZ2 HQX
• Use Advanced heuristics
Par contre Afideg, je n'ai pas compris ton 1°- Virus Total...
Je sais ce que je dois faire
Scanning Report
Sunday, July 01, 2007 16:50:50 - 17:39:33
Computer name: ECOLE-D2F563CE5
Scanning type: Scan system for viruses, rootkits, spyware
Target: C:\
________________________________________
Result: 10 malware found
Trojan-Downloader.Win32.Tiny.id (virus)
• C:\WINDOWS\SYSTEM32\YUJGAKII.EXE (Renamed & Submitted)
Trojan.Win32.Agent.aoy (virus)
• C:\DOCUMENTS AND SETTINGS\PC\LOCAL SETTINGS\TEMP\GUYJUPXG.EXE (Renamed & Submitted)
• C:\DOCUMENTS AND SETTINGS\PC\LOCAL SETTINGS\TEMP\IQNTAODP.EXE (Renamed & Submitted)
• C:\DOCUMENTS AND SETTINGS\PC\LOCAL SETTINGS\TEMP\RSXODBJG.EXE (Renamed & Submitted)
• C:\DOCUMENTS AND SETTINGS\PC\LOCAL SETTINGS\TEMP\UIIEVSKR.EXE (Renamed & Submitted)
• C:\DOCUMENTS AND SETTINGS\PC\LOCAL SETTINGS\TEMP\WXRKQIHL.EXE (Renamed & Submitted)
Vundo.gen32 (virus)
• C:\HIJACKTHIS\BACKUPS\BACKUP-20070627-214930-411.DLL (Submitted)
• C:\HIJACKTHIS\BACKUPS\BACKUP-20070630-130837-359.DLL (Submitted)
• C:\!KILLBOX\MLLJJ.DLL (Submitted)
W32/Smalltroj.dam (virus)
• C:\!KILLBOX\KTLXGXXG.DLL (Submitted)
________________________________________
Statistics
Scanned:
• Files: 29643
• System: 3827
• Not scanned: 7
Actions:
• Disinfected: 0
• Renamed: 6
• Deleted: 0
• None: 4
• Submitted: 10
Files not scanned:
• C:\PAGEFILE.SYS
• C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
• C:\WINDOWS\SOFTWAREDISTRIBUTION\EVENTCACHE\{E85A8E9A-7864-4880-BAF3-A1A17267D0D4}.BIN
• C:\DOCUMENTS AND SETTINGS\PC\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\LDX2HFSG\KOOCWOLLA_20070601[1]
• C:\DOCUMENTS AND SETTINGS\PC\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\JWLOJKF0\TOB_SND_20070616[1]
• C:\DOCUMENTS AND SETTINGS\PC\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\D369NH2W\KOOCWOLLA_20070601[1]
• C:\DOCUMENTS AND SETTINGS\PC\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\AWHGDHSZ\KOOCWOLLA_20070601[1]
________________________________________
Options
Scanning engines:
• F-Secure Libra: 2.4.2, 2007-06-28
• F-Secure AVP: 7.0.171, 2007-07-01
• F-Secure Orion: 1.2.37, 2007-06-29
• F-Secure Blacklight: 1.0.64
• F-Secure Draco: 1.0.35, 0260-23-12
• F-Secure Pegasus: 1.19.0, 2007-05-29
Scanning options:
• Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB BAT LNK ANI AVB CEO CMD LSP MAP MHT MIF PDF PHP POT WMF NWS TAR TGZ WSF ZL? {* ZIP JAR ARJ LZH TAR TGZ GZ CAB RAR BZ2 HQX
• Use Advanced heuristics
Par contre Afideg, je n'ai pas compris ton 1°- Virus Total...
Je sais ce que je dois faire
Je voulais dire au-dessus que je ne savais PAS quoi faire !!
J'ai fait OTMoveIt :
C:\!KillBox\Logs moved successfully.
C:\!KillBox moved successfully.
Folder move failed. C:\hijackthis\backups\backup-20070630-130839-423 scheduled to be moved on reboot.
Folder move failed. C:\hijackthis\backups\backup-20070630-130838-460 scheduled to be moved on reboot.
Folder move failed. C:\hijackthis\backups\backup-20070630-130838-274 scheduled to be moved on reboot.
Folder move failed. C:\hijackthis\backups\backup-20070630-130837-709 scheduled to be moved on reboot.
Folder move failed. C:\hijackthis\backups\backup-20070630-130837-359 scheduled to be moved on reboot.
Folder move failed. C:\hijackthis\backups\backup-20070628-192010-632 scheduled to be moved on reboot.
Folder move failed. C:\hijackthis\backups\backup-20070628-192005-887 scheduled to be moved on reboot.
Folder move failed. C:\hijackthis\backups\backup-20070628-192005-795 scheduled to be moved on reboot.
Folder move failed. C:\hijackthis\backups\backup-20070628-192005-792 scheduled to be moved on reboot.
Folder move failed. C:\hijackthis\backups\backup-20070628-192005-724 scheduled to be moved on reboot.
Folder move failed. C:\hijackthis\backups\backup-20070628-192005-677 scheduled to be moved on reboot.
Folder move failed. C:\hijackthis\backups\backup-20070628-192005-676 scheduled to be moved on reboot.
Folder move failed. C:\hijackthis\backups\backup-20070628-192005-674 scheduled to be moved on reboot.
Folder move failed. C:\hijackthis\backups\backup-20070628-192005-528 scheduled to be moved on reboot.
Folder move failed. C:\hijackthis\backups\backup-20070628-192005-368 scheduled to be moved on reboot.
Folder move failed. C:\hijackthis\backups\backup-20070628-192005-359 scheduled to be moved on reboot.
Folder move failed. C:\hijackthis\backups\backup-20070628-192005-324 scheduled to be moved on reboot.
Folder move failed. C:\hijackthis\backups\backup-20070628-192005-312 scheduled to be moved on reboot.
Folder move failed. C:\hijackthis\backups\backup-20070628-192005-212 scheduled to be moved on reboot.
Folder move failed. C:\hijackthis\backups\backup-20070628-192005-154 scheduled to be moved on reboot.
Folder move failed. C:\hijackthis\backups\backup-20070628-192003-592 scheduled to be moved on reboot.
Folder move failed. C:\hijackthis\backups\backup-20070628-192002-574 scheduled to be moved on reboot.
Folder move failed. C:\hijackthis\backups\backup-20070627-214936-458 scheduled to be moved on reboot.
Folder move failed. C:\hijackthis\backups\backup-20070627-214935-876 scheduled to be moved on reboot.
Folder move failed. C:\hijackthis\backups\backup-20070627-214935-244 scheduled to be moved on reboot.
Folder move failed. C:\hijackthis\backups\backup-20070627-214934-991 scheduled to be moved on reboot.
Folder move failed. C:\hijackthis\backups\backup-20070627-214934-813 scheduled to be moved on reboot.
Folder move failed. C:\hijackthis\backups\backup-20070627-214932-257 scheduled to be moved on reboot.
Folder move failed. C:\hijackthis\backups\backup-20070627-214930-839 scheduled to be moved on reboot.
Folder move failed. C:\hijackthis\backups\backup-20070627-214930-631 scheduled to be moved on reboot.
Folder move failed. C:\hijackthis\backups\backup-20070627-214930-411 scheduled to be moved on reboot.
C:\hijackthis\backups moved successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\byxvtqo.dll.vir moved successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\lrhuyhlh.dll.vir moved successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\wcuqxcgy.dll.vir moved successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\ygcxqucw.ini.vir moved successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\bvlxuhdo.dll.vir moved successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\fmprakxe.dll.vir moved successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\vtuts.dll.vir moved successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\stutv.bak1.vir moved successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\exkarpmf.ini.vir moved successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\stutv.ini.vir moved successfully.
C:\Qoobox\Quarantine\catchme.log moved successfully.
Created on 07/01/2007 17:52:49
J'ai fait OTMoveIt :
C:\!KillBox\Logs moved successfully.
C:\!KillBox moved successfully.
Folder move failed. C:\hijackthis\backups\backup-20070630-130839-423 scheduled to be moved on reboot.
Folder move failed. C:\hijackthis\backups\backup-20070630-130838-460 scheduled to be moved on reboot.
Folder move failed. C:\hijackthis\backups\backup-20070630-130838-274 scheduled to be moved on reboot.
Folder move failed. C:\hijackthis\backups\backup-20070630-130837-709 scheduled to be moved on reboot.
Folder move failed. C:\hijackthis\backups\backup-20070630-130837-359 scheduled to be moved on reboot.
Folder move failed. C:\hijackthis\backups\backup-20070628-192010-632 scheduled to be moved on reboot.
Folder move failed. C:\hijackthis\backups\backup-20070628-192005-887 scheduled to be moved on reboot.
Folder move failed. C:\hijackthis\backups\backup-20070628-192005-795 scheduled to be moved on reboot.
Folder move failed. C:\hijackthis\backups\backup-20070628-192005-792 scheduled to be moved on reboot.
Folder move failed. C:\hijackthis\backups\backup-20070628-192005-724 scheduled to be moved on reboot.
Folder move failed. C:\hijackthis\backups\backup-20070628-192005-677 scheduled to be moved on reboot.
Folder move failed. C:\hijackthis\backups\backup-20070628-192005-676 scheduled to be moved on reboot.
Folder move failed. C:\hijackthis\backups\backup-20070628-192005-674 scheduled to be moved on reboot.
Folder move failed. C:\hijackthis\backups\backup-20070628-192005-528 scheduled to be moved on reboot.
Folder move failed. C:\hijackthis\backups\backup-20070628-192005-368 scheduled to be moved on reboot.
Folder move failed. C:\hijackthis\backups\backup-20070628-192005-359 scheduled to be moved on reboot.
Folder move failed. C:\hijackthis\backups\backup-20070628-192005-324 scheduled to be moved on reboot.
Folder move failed. C:\hijackthis\backups\backup-20070628-192005-312 scheduled to be moved on reboot.
Folder move failed. C:\hijackthis\backups\backup-20070628-192005-212 scheduled to be moved on reboot.
Folder move failed. C:\hijackthis\backups\backup-20070628-192005-154 scheduled to be moved on reboot.
Folder move failed. C:\hijackthis\backups\backup-20070628-192003-592 scheduled to be moved on reboot.
Folder move failed. C:\hijackthis\backups\backup-20070628-192002-574 scheduled to be moved on reboot.
Folder move failed. C:\hijackthis\backups\backup-20070627-214936-458 scheduled to be moved on reboot.
Folder move failed. C:\hijackthis\backups\backup-20070627-214935-876 scheduled to be moved on reboot.
Folder move failed. C:\hijackthis\backups\backup-20070627-214935-244 scheduled to be moved on reboot.
Folder move failed. C:\hijackthis\backups\backup-20070627-214934-991 scheduled to be moved on reboot.
Folder move failed. C:\hijackthis\backups\backup-20070627-214934-813 scheduled to be moved on reboot.
Folder move failed. C:\hijackthis\backups\backup-20070627-214932-257 scheduled to be moved on reboot.
Folder move failed. C:\hijackthis\backups\backup-20070627-214930-839 scheduled to be moved on reboot.
Folder move failed. C:\hijackthis\backups\backup-20070627-214930-631 scheduled to be moved on reboot.
Folder move failed. C:\hijackthis\backups\backup-20070627-214930-411 scheduled to be moved on reboot.
C:\hijackthis\backups moved successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\byxvtqo.dll.vir moved successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\lrhuyhlh.dll.vir moved successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\wcuqxcgy.dll.vir moved successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\ygcxqucw.ini.vir moved successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\bvlxuhdo.dll.vir moved successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\fmprakxe.dll.vir moved successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\vtuts.dll.vir moved successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\stutv.bak1.vir moved successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\exkarpmf.ini.vir moved successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\stutv.ini.vir moved successfully.
C:\Qoobox\Quarantine\catchme.log moved successfully.
Created on 07/01/2007 17:52:49
Re,
OK
Et avec VirusTotal, voici la procédure :
1)- Assure toi d'avoir accès aux dossiers/fichiers cachés :
Soit en faisant : Ouvrir un dossier, n'importe lequel. Aller dans "Outils" >"Options des dossiers" > "Affichage"
Soit en faisant « Démarrer »/ »PanneauConfiguration/OptionsDossiers /onglet « Affichage »
et là :
cocher la case devant les lignes:
- afficher les fichiers et dossier cachés
- afficher contenu dossier système
décocher la case devant les lignes:
- masquer fichiers protégés du dossier système
Tu vas recevoir un message qui te dit que cela peut endommager le système,
n'en tiens pas compte.
Puis cliquer APPLIQUER à TOUS les Dossiers > [OK]
Si tu n'es pas à l'aise dans la navigation des dossiers, je t'invite à suivre ce tutorial : < http://www.malekal.com/rechercher_fichiers.php >
2)- Peux-tu contrôler ces fichiers à l'aide de VirusTotal ?
Pour cela, vas là :< http://www.virustotal.com/en/virustotalx.html >
•- sur la page qui s'affiche tu cliques sur "parcourir"
•- ensuite sur la nouvelle page qui s'affiche, tu suis le chemin des fichiers ( que Virustotal va analyser un par un, à ta demande; puisque tu devras recommencer la procédure "parcourir", fichier par fichier ) )
•- c'est-à-dire :
C:\WINDOWS\system32\yujgakii.exe
C:\WINDOWS\nircmd.exe
C:\WINDOWS\system32\Process.exe
C:\Program Files\WinRAR\rarext.dll (s'il trouve)
C:\WINDOWS\system32\sstqn.dll (s'il trouve)
•- quand tu as trouvé le fichier yujgakii.exe , tu fais "ouvrir" ( sur cette dernière page affichée)
•- le fichier yujgakii.exe se retrouve alors ainsi dans la fenêtre de Virustotal, pour l'analyse
•- là, tu cliques sur "send" ( au-dessus, à droite de la page de Virustotal )
•- et tu attends le résultat ( sois patient )
•- que tu postes sur le forum (copier/coller)
DONC, tu refais la manipulation fichier par fichier.
Merci pour ta collaboration
Remarques: Suite à l'action de F-Secure
1)- Trojan-Downloader.Win32.Tiny.id (virus)
• C:\WINDOWS\SYSTEM32\YUJGAKII.EXE (Renamed & Submitted)
Tu ne le trouveras peut-être plus ayant été renommé ( mais il doit encore exister sous forme ? et être supprimé ) ==> essaie de trouver YUJGAKII .
Voir dans sauvegarde de F-Secure ( que je ne connais pas ) et tu as peut-être sa localisation.
2)- Cela :
Trojan.Win32.Agent.aoy (virus)
• C:\DOCUMENTS AND SETTINGS\PC\LOCAL SETTINGS\TEMP\GUYJUPXG.EXE (Renamed & Submitted)
• C:\DOCUMENTS AND SETTINGS\PC\LOCAL SETTINGS\TEMP\IQNTAODP.EXE (Renamed & Submitted)
• C:\DOCUMENTS AND SETTINGS\PC\LOCAL SETTINGS\TEMP\RSXODBJG.EXE (Renamed & Submitted)
• C:\DOCUMENTS AND SETTINGS\PC\LOCAL SETTINGS\TEMP\UIIEVSKR.EXE (Renamed & Submitted)
• C:\DOCUMENTS AND SETTINGS\PC\LOCAL SETTINGS\TEMP\WXRKQIHL.EXE (Renamed & Submitted)
Aurait pu être évité à F-Secure si tu avais exécuté un nettoyage des fichiers temporaires.
3)- Cela :
Vundo.gen32 (virus)
• C:\HIJACKTHIS\BACKUPS\BACKUP-20070627-214930-411.DLL (Submitted)
• C:\HIJACKTHIS\BACKUPS\BACKUP-20070630-130837-359.DLL (Submitted)
• C:\!KILLBOX\MLLJJ.DLL (Submitted)
a été supprimé par OTMoveIt.
OK
Et avec VirusTotal, voici la procédure :
1)- Assure toi d'avoir accès aux dossiers/fichiers cachés :
Soit en faisant : Ouvrir un dossier, n'importe lequel. Aller dans "Outils" >"Options des dossiers" > "Affichage"
Soit en faisant « Démarrer »/ »PanneauConfiguration/OptionsDossiers /onglet « Affichage »
et là :
cocher la case devant les lignes:
- afficher les fichiers et dossier cachés
- afficher contenu dossier système
décocher la case devant les lignes:
- masquer fichiers protégés du dossier système
Tu vas recevoir un message qui te dit que cela peut endommager le système,
n'en tiens pas compte.
Puis cliquer APPLIQUER à TOUS les Dossiers > [OK]
Si tu n'es pas à l'aise dans la navigation des dossiers, je t'invite à suivre ce tutorial : < http://www.malekal.com/rechercher_fichiers.php >
2)- Peux-tu contrôler ces fichiers à l'aide de VirusTotal ?
Pour cela, vas là :< http://www.virustotal.com/en/virustotalx.html >
•- sur la page qui s'affiche tu cliques sur "parcourir"
•- ensuite sur la nouvelle page qui s'affiche, tu suis le chemin des fichiers ( que Virustotal va analyser un par un, à ta demande; puisque tu devras recommencer la procédure "parcourir", fichier par fichier ) )
•- c'est-à-dire :
C:\WINDOWS\system32\yujgakii.exe
C:\WINDOWS\nircmd.exe
C:\WINDOWS\system32\Process.exe
C:\Program Files\WinRAR\rarext.dll (s'il trouve)
C:\WINDOWS\system32\sstqn.dll (s'il trouve)
•- quand tu as trouvé le fichier yujgakii.exe , tu fais "ouvrir" ( sur cette dernière page affichée)
•- le fichier yujgakii.exe se retrouve alors ainsi dans la fenêtre de Virustotal, pour l'analyse
•- là, tu cliques sur "send" ( au-dessus, à droite de la page de Virustotal )
•- et tu attends le résultat ( sois patient )
•- que tu postes sur le forum (copier/coller)
DONC, tu refais la manipulation fichier par fichier.
Merci pour ta collaboration
Remarques: Suite à l'action de F-Secure
1)- Trojan-Downloader.Win32.Tiny.id (virus)
• C:\WINDOWS\SYSTEM32\YUJGAKII.EXE (Renamed & Submitted)
Tu ne le trouveras peut-être plus ayant été renommé ( mais il doit encore exister sous forme ? et être supprimé ) ==> essaie de trouver YUJGAKII .
Voir dans sauvegarde de F-Secure ( que je ne connais pas ) et tu as peut-être sa localisation.
2)- Cela :
Trojan.Win32.Agent.aoy (virus)
• C:\DOCUMENTS AND SETTINGS\PC\LOCAL SETTINGS\TEMP\GUYJUPXG.EXE (Renamed & Submitted)
• C:\DOCUMENTS AND SETTINGS\PC\LOCAL SETTINGS\TEMP\IQNTAODP.EXE (Renamed & Submitted)
• C:\DOCUMENTS AND SETTINGS\PC\LOCAL SETTINGS\TEMP\RSXODBJG.EXE (Renamed & Submitted)
• C:\DOCUMENTS AND SETTINGS\PC\LOCAL SETTINGS\TEMP\UIIEVSKR.EXE (Renamed & Submitted)
• C:\DOCUMENTS AND SETTINGS\PC\LOCAL SETTINGS\TEMP\WXRKQIHL.EXE (Renamed & Submitted)
Aurait pu être évité à F-Secure si tu avais exécuté un nettoyage des fichiers temporaires.
3)- Cela :
Vundo.gen32 (virus)
• C:\HIJACKTHIS\BACKUPS\BACKUP-20070627-214930-411.DLL (Submitted)
• C:\HIJACKTHIS\BACKUPS\BACKUP-20070630-130837-359.DLL (Submitted)
• C:\!KILLBOX\MLLJJ.DLL (Submitted)
a été supprimé par OTMoveIt.
re,
afideg,
je te remercie de continuer la désinfection pour notre ami
c'est fou ce qui peut se cacher dans---->
C:\DOCUMENTS AND SETTINGS\PC\LOCAL SETTINGS\TEMP\
un petit coup d'AFT-cleaner ou de CCleaner me semble approprié.
Bien, je reviens demain.
a+
afideg,
je te remercie de continuer la désinfection pour notre ami
c'est fou ce qui peut se cacher dans---->
C:\DOCUMENTS AND SETTINGS\PC\LOCAL SETTINGS\TEMP\
un petit coup d'AFT-cleaner ou de CCleaner me semble approprié.
Bien, je reviens demain.
a+
Merci à toi !
Il n'a pas trouvé C:\WINDOWS\system32\yujgakii.exe et C:\WINDOWS\system32\sstqn.dll
Complete scanning result of "nircmd.exe", received in VirusTotal at 07.01.2007, 21:07:01 (CET).
Antivirus Version Update Result
AhnLab-V3 2007.6.30.0 06.29.2007 no virus found
AntiVir 7.4.0.37 06.29.2007 no virus found
Authentium 4.93.8 06.29.2007 no virus found
Avast 4.7.997.0 07.01.2007 no virus found
AVG 7.5.0.476 07.01.2007 no virus found
BitDefender 7.2 07.01.2007 no virus found
CAT-QuickHeal 9.00 06.30.2007 no virus found
ClamAV devel-20070416 07.01.2007 no virus found
DrWeb 4.33 07.01.2007 no virus found
eSafe 7.0.15.0 06.30.2007 no virus found
eTrust-Vet 30.8.3752 06.29.2007 no virus found
Ewido 4.0 07.01.2007 no virus found
FileAdvisor 1 07.01.2007 no virus found
Fortinet 2.91.0.0 07.01.2007 no virus found
F-Prot 4.3.2.48 06.29.2007 no virus found
F-Secure 6.70.13030.0 07.01.2007 no virus found
Ikarus T3.1.1.8 07.01.2007 no virus found
Kaspersky 4.0.2.24 07.01.2007 no virus found
McAfee 5064 06.29.2007 no virus found
Microsoft 1.2701 07.01.2007 no virus found
NOD32v2 2368 07.01.2007 no virus found
Norman 5.80.02 06.29.2007 no virus found
Panda 9.0.0.4 07.01.2007 Application/NirCmd.A
Sophos 4.19.0 06.24.2007 NirCmd
Sunbelt 2.2.907.0 06.29.2007 no virus found
Symantec 10 07.01.2007 no virus found
TheHacker 6.1.6.140 06.28.2007 no virus found
VBA32 3.12.0.2 06.30.2007 no virus found
VirusBuster 4.3.23:9 07.01.2007 no virus found
Webwasher-Gateway 6.0.1 06.29.2007 no virus found
Aditional Information
File size: 49152 bytes
MD5: 5d53ccdc7984b50f6cdbf9c67a0d4e5d
SHA1: 25bf1e633d65ec5ed502747fdbd195d2b082e890
Complete scanning result of "Process.exe", received in VirusTotal at 07.01.2007, 21:16:55 (CET).
Antivirus Version Update Result
AhnLab-V3 2007.6.30.0 06.29.2007 Win-AppCare/PrcViewer.53248
AntiVir 7.4.0.37 06.29.2007 no virus found
Authentium 4.93.8 06.29.2007 no virus found
Avast 4.7.997.0 07.01.2007 no virus found
AVG 7.5.0.476 07.01.2007 no virus found
BitDefender 7.2 07.01.2007 no virus found
CAT-QuickHeal 9.00 06.30.2007 no virus found
ClamAV devel-20070416 07.01.2007 no virus found
DrWeb 4.33 07.01.2007 no virus found
eSafe 7.0.15.0 06.30.2007 no virus found
eTrust-Vet 30.8.3752 06.29.2007 no virus found
Ewido 4.0 07.01.2007 no virus found
FileAdvisor 1 07.01.2007 High threat detected
Fortinet 2.91.0.0 07.01.2007 Misc/PrcViewer
F-Prot 4.3.2.48 06.29.2007 no virus found
F-Secure 6.70.13030.0 07.01.2007 no virus found
Ikarus T3.1.1.8 07.01.2007 no virus found
Kaspersky 4.0.2.24 07.01.2007 no virus found
McAfee 5064 06.29.2007 potentially unwanted program PrcViewer
Microsoft 1.2701 07.01.2007 no virus found
NOD32v2 2368 07.01.2007 Win32/PrcView
Norman 5.80.02 06.29.2007 no virus found
Panda 9.0.0.4 07.01.2007 Application/Processor
Sophos 4.19.0 06.28.2007 no virus found
Sunbelt 2.2.907.0 06.29.2007 no virus found
Symantec 10 07.01.2007 no virus found
TheHacker 6.1.6.140 06.28.2007 Aplicacion/Processor.20
VBA32 3.12.0.2 06.30.2007 no virus found
VirusBuster 4.3.23:9 07.01.2007 no virus found
Webwasher-Gateway 6.0.1 06.29.2007 no virus found
Aditional Information
File size: 53248 bytes
MD5: 7397f6ee4a9601a123b645c0cd428017
SHA1: 890368473ecbc404dcd42ff0c6c38397102f59c0
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=7397f6ee4a9601a123b645c0cd428017
Complete scanning result of "rarext.dll", received in VirusTotal at 07.01.2007, 21:23:42 (CET).
Antivirus Version Update Result
AhnLab-V3 2007.6.30.0 06.29.2007 no virus found
AntiVir 7.4.0.37 06.29.2007 no virus found
Authentium 4.93.8 06.29.2007 no virus found
Avast 4.7.997.0 07.01.2007 no virus found
AVG 7.5.0.476 07.01.2007 no virus found
BitDefender 7.2 07.01.2007 no virus found
CAT-QuickHeal 9.00 06.30.2007 no virus found
ClamAV devel-20070416 07.01.2007 no virus found
DrWeb 4.33 07.01.2007 no virus found
eSafe 7.0.15.0 06.30.2007 no virus found
eTrust-Vet 30.8.3752 06.29.2007 no virus found
Ewido 4.0 07.01.2007 no virus found
FileAdvisor 1 07.01.2007 no virus found
Fortinet 2.91.0.0 07.01.2007 no virus found
F-Prot 4.3.2.48 06.29.2007 no virus found
F-Secure 6.70.13030.0 07.01.2007 no virus found
Ikarus T3.1.1.8 07.01.2007 no virus found
Kaspersky 4.0.2.24 07.01.2007 no virus found
McAfee 5064 06.29.2007 no virus found
Microsoft 1.2701 07.01.2007 no virus found
NOD32v2 2368 07.01.2007 no virus found
Norman 5.80.02 06.29.2007 no virus found
Panda 9.0.0.4 07.01.2007 no virus found
Sophos 4.19.0 06.24.2007 no virus found
Sunbelt 2.2.907.0 06.29.2007 no virus found
Symantec 10 07.01.2007 no virus found
TheHacker 6.1.6.140 06.28.2007 no virus found
VBA32 3.12.0.2 06.30.2007 no virus found
VirusBuster 4.3.23:9 07.01.2007 no virus found
Webwasher-Gateway 6.0.1 06.29.2007 no virus found
Aditional Information
File size: 126464 bytes
MD5: 7801791108c9fa442dd48bcd98869f21
SHA1: e6b8fbb88edb592efface5c74b99ecd173ea5208
Il n'a pas trouvé C:\WINDOWS\system32\yujgakii.exe et C:\WINDOWS\system32\sstqn.dll
Complete scanning result of "nircmd.exe", received in VirusTotal at 07.01.2007, 21:07:01 (CET).
Antivirus Version Update Result
AhnLab-V3 2007.6.30.0 06.29.2007 no virus found
AntiVir 7.4.0.37 06.29.2007 no virus found
Authentium 4.93.8 06.29.2007 no virus found
Avast 4.7.997.0 07.01.2007 no virus found
AVG 7.5.0.476 07.01.2007 no virus found
BitDefender 7.2 07.01.2007 no virus found
CAT-QuickHeal 9.00 06.30.2007 no virus found
ClamAV devel-20070416 07.01.2007 no virus found
DrWeb 4.33 07.01.2007 no virus found
eSafe 7.0.15.0 06.30.2007 no virus found
eTrust-Vet 30.8.3752 06.29.2007 no virus found
Ewido 4.0 07.01.2007 no virus found
FileAdvisor 1 07.01.2007 no virus found
Fortinet 2.91.0.0 07.01.2007 no virus found
F-Prot 4.3.2.48 06.29.2007 no virus found
F-Secure 6.70.13030.0 07.01.2007 no virus found
Ikarus T3.1.1.8 07.01.2007 no virus found
Kaspersky 4.0.2.24 07.01.2007 no virus found
McAfee 5064 06.29.2007 no virus found
Microsoft 1.2701 07.01.2007 no virus found
NOD32v2 2368 07.01.2007 no virus found
Norman 5.80.02 06.29.2007 no virus found
Panda 9.0.0.4 07.01.2007 Application/NirCmd.A
Sophos 4.19.0 06.24.2007 NirCmd
Sunbelt 2.2.907.0 06.29.2007 no virus found
Symantec 10 07.01.2007 no virus found
TheHacker 6.1.6.140 06.28.2007 no virus found
VBA32 3.12.0.2 06.30.2007 no virus found
VirusBuster 4.3.23:9 07.01.2007 no virus found
Webwasher-Gateway 6.0.1 06.29.2007 no virus found
Aditional Information
File size: 49152 bytes
MD5: 5d53ccdc7984b50f6cdbf9c67a0d4e5d
SHA1: 25bf1e633d65ec5ed502747fdbd195d2b082e890
Complete scanning result of "Process.exe", received in VirusTotal at 07.01.2007, 21:16:55 (CET).
Antivirus Version Update Result
AhnLab-V3 2007.6.30.0 06.29.2007 Win-AppCare/PrcViewer.53248
AntiVir 7.4.0.37 06.29.2007 no virus found
Authentium 4.93.8 06.29.2007 no virus found
Avast 4.7.997.0 07.01.2007 no virus found
AVG 7.5.0.476 07.01.2007 no virus found
BitDefender 7.2 07.01.2007 no virus found
CAT-QuickHeal 9.00 06.30.2007 no virus found
ClamAV devel-20070416 07.01.2007 no virus found
DrWeb 4.33 07.01.2007 no virus found
eSafe 7.0.15.0 06.30.2007 no virus found
eTrust-Vet 30.8.3752 06.29.2007 no virus found
Ewido 4.0 07.01.2007 no virus found
FileAdvisor 1 07.01.2007 High threat detected
Fortinet 2.91.0.0 07.01.2007 Misc/PrcViewer
F-Prot 4.3.2.48 06.29.2007 no virus found
F-Secure 6.70.13030.0 07.01.2007 no virus found
Ikarus T3.1.1.8 07.01.2007 no virus found
Kaspersky 4.0.2.24 07.01.2007 no virus found
McAfee 5064 06.29.2007 potentially unwanted program PrcViewer
Microsoft 1.2701 07.01.2007 no virus found
NOD32v2 2368 07.01.2007 Win32/PrcView
Norman 5.80.02 06.29.2007 no virus found
Panda 9.0.0.4 07.01.2007 Application/Processor
Sophos 4.19.0 06.28.2007 no virus found
Sunbelt 2.2.907.0 06.29.2007 no virus found
Symantec 10 07.01.2007 no virus found
TheHacker 6.1.6.140 06.28.2007 Aplicacion/Processor.20
VBA32 3.12.0.2 06.30.2007 no virus found
VirusBuster 4.3.23:9 07.01.2007 no virus found
Webwasher-Gateway 6.0.1 06.29.2007 no virus found
Aditional Information
File size: 53248 bytes
MD5: 7397f6ee4a9601a123b645c0cd428017
SHA1: 890368473ecbc404dcd42ff0c6c38397102f59c0
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=7397f6ee4a9601a123b645c0cd428017
Complete scanning result of "rarext.dll", received in VirusTotal at 07.01.2007, 21:23:42 (CET).
Antivirus Version Update Result
AhnLab-V3 2007.6.30.0 06.29.2007 no virus found
AntiVir 7.4.0.37 06.29.2007 no virus found
Authentium 4.93.8 06.29.2007 no virus found
Avast 4.7.997.0 07.01.2007 no virus found
AVG 7.5.0.476 07.01.2007 no virus found
BitDefender 7.2 07.01.2007 no virus found
CAT-QuickHeal 9.00 06.30.2007 no virus found
ClamAV devel-20070416 07.01.2007 no virus found
DrWeb 4.33 07.01.2007 no virus found
eSafe 7.0.15.0 06.30.2007 no virus found
eTrust-Vet 30.8.3752 06.29.2007 no virus found
Ewido 4.0 07.01.2007 no virus found
FileAdvisor 1 07.01.2007 no virus found
Fortinet 2.91.0.0 07.01.2007 no virus found
F-Prot 4.3.2.48 06.29.2007 no virus found
F-Secure 6.70.13030.0 07.01.2007 no virus found
Ikarus T3.1.1.8 07.01.2007 no virus found
Kaspersky 4.0.2.24 07.01.2007 no virus found
McAfee 5064 06.29.2007 no virus found
Microsoft 1.2701 07.01.2007 no virus found
NOD32v2 2368 07.01.2007 no virus found
Norman 5.80.02 06.29.2007 no virus found
Panda 9.0.0.4 07.01.2007 no virus found
Sophos 4.19.0 06.24.2007 no virus found
Sunbelt 2.2.907.0 06.29.2007 no virus found
Symantec 10 07.01.2007 no virus found
TheHacker 6.1.6.140 06.28.2007 no virus found
VBA32 3.12.0.2 06.30.2007 no virus found
VirusBuster 4.3.23:9 07.01.2007 no virus found
Webwasher-Gateway 6.0.1 06.29.2007 no virus found
Aditional Information
File size: 126464 bytes
MD5: 7801791108c9fa442dd48bcd98869f21
SHA1: e6b8fbb88edb592efface5c74b99ecd173ea5208
OK
Pas de problème Philo.
Le résultat de VirusTotal rejoint ce que je prévoyais = no problem.
Aristote, relance SVP ComboFix comme au post # 23 1°-
Merci deposter son rapport.
Aristote, reviens maintenant à tout ce que te demandait philo2100.
Notamment Pare-feu, BitDefender, etc.
Si tu n'as pas payé BitDefender Antivirus seul, alors je te conseille de le désinstaller et de le remplacer par ANTIVIR, comme ceci :
Télécharger sur le site de l'éditeur pour avoir la dernière version qui est celle-ci pour xp:< https://www.avira.com/en/free-antivirus-windows >
Avec son tuto ici : < http://speedweb1.free.fr/frames2.php?page=tuto5 > à compléter par ce mode d'emploi en français d'antivir presque à jour : < http://tutopat.hostonet.org/viewtopic.php?t=2417 > qui prend en compte la case Rootkit. En effet, il faut cocher la détection de rootkits --> Search for rootkits..........: doit être [ON].
Dis-nous où en sont tes soucis .
Bonne continuation.
Al.
Pas de problème Philo.
Le résultat de VirusTotal rejoint ce que je prévoyais = no problem.
Aristote, relance SVP ComboFix comme au post # 23 1°-
Merci deposter son rapport.
Aristote, reviens maintenant à tout ce que te demandait philo2100.
Notamment Pare-feu, BitDefender, etc.
Si tu n'as pas payé BitDefender Antivirus seul, alors je te conseille de le désinstaller et de le remplacer par ANTIVIR, comme ceci :
Télécharger sur le site de l'éditeur pour avoir la dernière version qui est celle-ci pour xp:< https://www.avira.com/en/free-antivirus-windows >
Avec son tuto ici : < http://speedweb1.free.fr/frames2.php?page=tuto5 > à compléter par ce mode d'emploi en français d'antivir presque à jour : < http://tutopat.hostonet.org/viewtopic.php?t=2417 > qui prend en compte la case Rootkit. En effet, il faut cocher la détection de rootkits --> Search for rootkits..........: doit être [ON].
Dis-nous où en sont tes soucis .
Bonne continuation.
Al.
rapport Conbofix :
"Pc" - 2007-07-02 11:55:02 - ComboFix 07-07-02.5 - Service Pack 2
((((((((((((((((((((((((( Files Created from 2007-06-02 to 2007-07-02 )))))))))))))))))))))))))))))))
2007-07-01 13:14 42,648 --a------ C:\WINDOWS\zllsputility_loc040c.dll
2007-07-01 13:14 22,168 --a------ C:\WINDOWS\system32\imsinstall_loc040c.dll
2007-07-01 13:14 18,072 --a------ C:\WINDOWS\system32\imslsp_install_loc040c.dll
2007-07-01 13:13 75,512 --a------ C:\WINDOWS\zllsputility.exe
2007-07-01 13:13 11,264 --a------ C:\WINDOWS\system32\SpOrder.dll
2007-07-01 13:13 1,087,216 --a------ C:\WINDOWS\system32\zpeng24.dll
2007-07-01 12:41 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2007-07-01 12:40 54,936 --a------ C:\WINDOWS\system32\vsutil_loc040c.dll
2007-07-01 12:40 <REP> d-------- C:\WINDOWS\system32\ZoneLabs
2007-07-01 12:02 <REP> d-------- C:\WINDOWS\Internet Logs
2007-07-01 11:24 49,152 --a------ C:\WINDOWS\nircmd.exe
2007-06-28 17:36 <REP> d-------- C:\DOCUME~1\Pc\Incomplete
2007-06-28 17:36 <REP> d-------- C:\DOCUME~1\Pc\APPLIC~1\LimeWire
2007-06-28 12:15 524,288 --ah----- C:\DOCUME~1\ADMINI~1\NTUSER.DAT
2007-06-28 12:15 <REP> dr------- C:\DOCUME~1\ADMINI~1\Menu D‚marrer
2007-06-28 12:15 <REP> d--h----- C:\DOCUME~1\ADMINI~1\Voisinage r‚seau
2007-06-28 12:15 <REP> d--h----- C:\DOCUME~1\ADMINI~1\Voisinage d'impression
2007-06-28 12:15 <REP> d--h----- C:\DOCUME~1\ADMINI~1\ModŠles
2007-06-28 12:15 <REP> d-------- C:\DOCUME~1\ADMINI~1\Mes documents
2007-06-28 12:15 <REP> d-------- C:\DOCUME~1\ADMINI~1\Favoris
2007-06-28 12:15 <REP> d-------- C:\DOCUME~1\ADMINI~1\Bureau
2007-06-27 22:28 53,248 --a------ C:\WINDOWS\system32\Process.exe
2007-06-27 22:28 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2007-06-27 22:28 3,520 --a------ C:\WINDOWS\system32\tmp.reg
2007-06-27 22:28 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2007-06-27 17:39 <REP> d-------- C:\Program Files\Windows Live
2007-06-19 18:33 <REP> d-------- C:\Program Files\Neuf
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
2007-07-02 09:58:23 81,984 ----a-w C:\WINDOWS\system32\bdod.bin
2007-07-01 16:06:02 -------- d-----w C:\Program Files\Fichiers communs\Symantec Shared
2007-07-01 15:45:15 -------- d-----w C:\Program Files\eMule
2007-07-01 10:13:40 -------- d-----w C:\Program Files\Messenger
2007-06-27 15:39:43 -------- d-----w C:\Program Files\Messenger Plus! Live
2007-06-27 15:39:41 -------- d-----w C:\Program Files\MSN Messenger
2007-05-16 15:13:53 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-05-08 10:57:20 -------- d-----w C:\Program Files\URUSoft
2007-04-25 14:22:35 144,896 ----a-w C:\WINDOWS\system32\schannel.dll
2007-04-18 16:14:18 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll
2007-04-16 20:47:36 33,624 ----a-w C:\WINDOWS\system32\wups.dll
2007-04-16 20:45:54 1,710,936 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-04-16 20:45:48 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-04-16 20:45:42 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-04-16 20:45:36 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
2007-04-16 20:45:28 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-04-16 20:45:20 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-04-16 20:45:20 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
2007-04-04 13:19:06 913,408 ----a-w C:\WINDOWS\system32\xreglib.dll
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries & legit default entries are not shown
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
2005-09-23 20:12 63136 --a------ C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{55294865-DC7A-43C5-B187-DC636DACF97B}]
C:\WINDOWS\system32\sstqn.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
2007-03-14 03:43 501400 --a------ C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2005-10-04 08:12 C:\WINDOWS\SOUNDMAN.EXE]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-09 01:02]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 18:24]
"OM_Monitor"="C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe" [2005-11-29 19:19]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=sockspy.dll
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{93e1b012-bc1b-11da-a195-001485eaa5f7}]
Auto\command- E:\AdobeR.exe e
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e
**************************************************************************
catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-02 11:56:52
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
Completion time: 2007-07-02 12:01:31
--- E O F ---
Sinon, j'ai payé BitDefender antivirus, j'ai installé ZoneAlarm mais j'ai un souci : quand il est activé je n'arrive pas à aller sur le net...
Sinon j'ai installé également ATF Cleaner et je m'en sers à chaque fois que je quitte le net, et je supprime les cookies et les fichiers également.
Que faire de plus ??
"Pc" - 2007-07-02 11:55:02 - ComboFix 07-07-02.5 - Service Pack 2
((((((((((((((((((((((((( Files Created from 2007-06-02 to 2007-07-02 )))))))))))))))))))))))))))))))
2007-07-01 13:14 42,648 --a------ C:\WINDOWS\zllsputility_loc040c.dll
2007-07-01 13:14 22,168 --a------ C:\WINDOWS\system32\imsinstall_loc040c.dll
2007-07-01 13:14 18,072 --a------ C:\WINDOWS\system32\imslsp_install_loc040c.dll
2007-07-01 13:13 75,512 --a------ C:\WINDOWS\zllsputility.exe
2007-07-01 13:13 11,264 --a------ C:\WINDOWS\system32\SpOrder.dll
2007-07-01 13:13 1,087,216 --a------ C:\WINDOWS\system32\zpeng24.dll
2007-07-01 12:41 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2007-07-01 12:40 54,936 --a------ C:\WINDOWS\system32\vsutil_loc040c.dll
2007-07-01 12:40 <REP> d-------- C:\WINDOWS\system32\ZoneLabs
2007-07-01 12:02 <REP> d-------- C:\WINDOWS\Internet Logs
2007-07-01 11:24 49,152 --a------ C:\WINDOWS\nircmd.exe
2007-06-28 17:36 <REP> d-------- C:\DOCUME~1\Pc\Incomplete
2007-06-28 17:36 <REP> d-------- C:\DOCUME~1\Pc\APPLIC~1\LimeWire
2007-06-28 12:15 524,288 --ah----- C:\DOCUME~1\ADMINI~1\NTUSER.DAT
2007-06-28 12:15 <REP> dr------- C:\DOCUME~1\ADMINI~1\Menu D‚marrer
2007-06-28 12:15 <REP> d--h----- C:\DOCUME~1\ADMINI~1\Voisinage r‚seau
2007-06-28 12:15 <REP> d--h----- C:\DOCUME~1\ADMINI~1\Voisinage d'impression
2007-06-28 12:15 <REP> d--h----- C:\DOCUME~1\ADMINI~1\ModŠles
2007-06-28 12:15 <REP> d-------- C:\DOCUME~1\ADMINI~1\Mes documents
2007-06-28 12:15 <REP> d-------- C:\DOCUME~1\ADMINI~1\Favoris
2007-06-28 12:15 <REP> d-------- C:\DOCUME~1\ADMINI~1\Bureau
2007-06-27 22:28 53,248 --a------ C:\WINDOWS\system32\Process.exe
2007-06-27 22:28 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2007-06-27 22:28 3,520 --a------ C:\WINDOWS\system32\tmp.reg
2007-06-27 22:28 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2007-06-27 17:39 <REP> d-------- C:\Program Files\Windows Live
2007-06-19 18:33 <REP> d-------- C:\Program Files\Neuf
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
2007-07-02 09:58:23 81,984 ----a-w C:\WINDOWS\system32\bdod.bin
2007-07-01 16:06:02 -------- d-----w C:\Program Files\Fichiers communs\Symantec Shared
2007-07-01 15:45:15 -------- d-----w C:\Program Files\eMule
2007-07-01 10:13:40 -------- d-----w C:\Program Files\Messenger
2007-06-27 15:39:43 -------- d-----w C:\Program Files\Messenger Plus! Live
2007-06-27 15:39:41 -------- d-----w C:\Program Files\MSN Messenger
2007-05-16 15:13:53 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-05-08 10:57:20 -------- d-----w C:\Program Files\URUSoft
2007-04-25 14:22:35 144,896 ----a-w C:\WINDOWS\system32\schannel.dll
2007-04-18 16:14:18 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll
2007-04-16 20:47:36 33,624 ----a-w C:\WINDOWS\system32\wups.dll
2007-04-16 20:45:54 1,710,936 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-04-16 20:45:48 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-04-16 20:45:42 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-04-16 20:45:36 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
2007-04-16 20:45:28 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-04-16 20:45:20 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-04-16 20:45:20 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
2007-04-04 13:19:06 913,408 ----a-w C:\WINDOWS\system32\xreglib.dll
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries & legit default entries are not shown
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
2005-09-23 20:12 63136 --a------ C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{55294865-DC7A-43C5-B187-DC636DACF97B}]
C:\WINDOWS\system32\sstqn.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
2007-03-14 03:43 501400 --a------ C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2005-10-04 08:12 C:\WINDOWS\SOUNDMAN.EXE]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-09 01:02]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 18:24]
"OM_Monitor"="C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe" [2005-11-29 19:19]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=sockspy.dll
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{93e1b012-bc1b-11da-a195-001485eaa5f7}]
Auto\command- E:\AdobeR.exe e
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e
**************************************************************************
catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-02 11:56:52
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
Completion time: 2007-07-02 12:01:31
--- E O F ---
Sinon, j'ai payé BitDefender antivirus, j'ai installé ZoneAlarm mais j'ai un souci : quand il est activé je n'arrive pas à aller sur le net...
Sinon j'ai installé également ATF Cleaner et je m'en sers à chaque fois que je quitte le net, et je supprime les cookies et les fichiers également.
Que faire de plus ??
quand il est activé je n'arrive pas à aller sur le net...
regarde ici:
http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Questions-techniques/zonealarm-tutorial-sujet_169658_1.htm
regarde ici:
http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Questions-techniques/zonealarm-tutorial-sujet_169658_1.htm
