Infecté par Willpolo
Résolu/Fermé
newtech83
Messages postés
187
Date d'inscription
mercredi 11 juillet 2007
Statut
Membre
Dernière intervention
10 avril 2011
-
11 juil. 2007 à 13:47
freelog - 24 mars 2009 à 11:25
freelog - 24 mars 2009 à 11:25
A voir également:
- Infecté par Willpolo
- L'ordinateur de mustapha a été infecté par un virus répertorié récemment. son anti-virus ne l'a pas détecté. qu'a-t-il pu se passer ? - Forum Virus
- L'ordinateur de samantha a été infecté par un virus répertorié récemment. son anti-virus ne l'a pas détecté. qu'a-t-il pu se passer ? - Forum Virus
- L'ordinateur de simon a été infecté par un virus répertorié récemment. son anti-virus ne l'a pas détecté. qu'a-t-il pu se passer ? - Forum Jeux vidéo
- Mustapha - Forum Windows
- Anti virus - Forum Antivirus
31 réponses
green day
Messages postés
26371
Date d'inscription
vendredi 30 septembre 2005
Statut
Modérateur, Contributeur sécurité
Dernière intervention
27 décembre 2019
2 162
24 mars 2009 à 11:18
24 mars 2009 à 11:18
Mieux vaut tard que jamais ! :-)
newtech83
Messages postés
187
Date d'inscription
mercredi 11 juillet 2007
Statut
Membre
Dernière intervention
10 avril 2011
15
11 juil. 2007 à 16:00
11 juil. 2007 à 16:00
salut jusque là pas encore de reponse
merci de bien vouloir m'aider
merci de bien vouloir m'aider
Salut newtech83,
Télécharges Autosrch, ici
Dézippes le sur ton bureau.
Connectes clé usb, dd externe etc... susceptibles d'avoir été infectés, puis dans le dossier Autosrch double clic sur le fichier autosearch.bat
Le bloc note va s'ouvrir, copie et colle tout son contenu dans ton prochain message.
Cette variante de ce ver à l'air assez récente, est-ce que ca t'embêterais de me faire parvenir ces trois fichiers ?:
C:\Windows\KAMARA.exe
C:\WINDOWS\WillPolo.vbs
C:\WINDOWS\system32\temp1.exe
à cette adresse:
m1pv4wwxm93wnv7@jetable.org
Pour pouvoir étudier et donc mieux trouver des solutions pour contrer cette saleté.
Merci d'avance.
Si jamais tu ne trouve pas ces fichiers du premier coup, pense à rendre visible les fichiers cachés et système et recommencer leur recherche.
panneau de configuration > options des dossiers > onglet affichage
Cocher la case devant " afficher les fichiers et dossiers cachés "
Décocher la case devant " masquer les extentions des fichiers dont le type est connu"
Décocher la case devant " masquer les fichiers protégés du système"
clic sur [Appliquer] puis sur [ok] pour valider
a++
Télécharges Autosrch, ici
Dézippes le sur ton bureau.
Connectes clé usb, dd externe etc... susceptibles d'avoir été infectés, puis dans le dossier Autosrch double clic sur le fichier autosearch.bat
Le bloc note va s'ouvrir, copie et colle tout son contenu dans ton prochain message.
Cette variante de ce ver à l'air assez récente, est-ce que ca t'embêterais de me faire parvenir ces trois fichiers ?:
C:\Windows\KAMARA.exe
C:\WINDOWS\WillPolo.vbs
C:\WINDOWS\system32\temp1.exe
à cette adresse:
m1pv4wwxm93wnv7@jetable.org
Pour pouvoir étudier et donc mieux trouver des solutions pour contrer cette saleté.
Merci d'avance.
Si jamais tu ne trouve pas ces fichiers du premier coup, pense à rendre visible les fichiers cachés et système et recommencer leur recherche.
panneau de configuration > options des dossiers > onglet affichage
Cocher la case devant " afficher les fichiers et dossiers cachés "
Décocher la case devant " masquer les extentions des fichiers dont le type est connu"
Décocher la case devant " masquer les fichiers protégés du système"
clic sur [Appliquer] puis sur [ok] pour valider
a++
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
green day
Messages postés
26371
Date d'inscription
vendredi 30 septembre 2005
Statut
Modérateur, Contributeur sécurité
Dernière intervention
27 décembre 2019
2 162
11 juil. 2007 à 16:54
11 juil. 2007 à 16:54
Saluto ;-))
Hello :-)
Justement tu tombes à pic !
Si ca t'interresse toujours, jettes un oeil ici:
https://www.cjoint.com/?hlrdAgpMrK
Avec maj et ajout de :
DivoPlayer
Download Plugin
Get-Torrent
TorrentSoftware
WinZix
a++
Justement tu tombes à pic !
Si ca t'interresse toujours, jettes un oeil ici:
https://www.cjoint.com/?hlrdAgpMrK
Avec maj et ajout de :
DivoPlayer
Download Plugin
Get-Torrent
TorrentSoftware
WinZix
a++
green day
Messages postés
26371
Date d'inscription
vendredi 30 septembre 2005
Statut
Modérateur, Contributeur sécurité
Dernière intervention
27 décembre 2019
2 162
11 juil. 2007 à 17:17
11 juil. 2007 à 17:17
Super ! ;-)
je mettrai le lien à jour !
Merci :-)
je mettrai le lien à jour !
Merci :-)
newtech83
Messages postés
187
Date d'inscription
mercredi 11 juillet 2007
Statut
Membre
Dernière intervention
10 avril 2011
15
11 juil. 2007 à 18:23
11 juil. 2007 à 18:23
Voila le rapport
C:\Documents and Settings\Administrateur\Bureau\Autosrch\Autosrch\autosearch.bat
Exécuté le 11/07/2007 à 15:48:49
###########################################################################
/!\ Détection de script en cours d'exécution:
Le processus wscript.exe pid: 1596
Exécute actuellement C:\WillPolo.vbs
Le processus wscript.exe pid: 1628
Exécute actuellement C:\WillPolo.vbs
Le processus wscript.exe pid: 2920
Exécute actuellement C:\WillPolo.vbs
Listing des fichier *.vbs *.exe du dossier C:\WINDOWS
C:\WINDOWS\WillPolo.vbs
C:\WINDOWS\apptune1020.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\hh.exe
C:\WINDOWS\HPLiteSaver.exe
C:\WINDOWS\NOTEPAD.EXE
C:\WINDOWS\regedit.exe
C:\WINDOWS\RtlUpd.exe
C:\WINDOWS\ST5UNST.EXE
C:\WINDOWS\svchost.exe
C:\WINDOWS\TASKMAN.EXE
C:\WINDOWS\twunk_16.exe
C:\WINDOWS\twunk_32.exe
C:\WINDOWS\UNNeroBackItUp.exe
C:\WINDOWS\UNNeroMediaHome.exe
C:\WINDOWS\UNNeroShowTime.exe
C:\WINDOWS\UNNeroVision.exe
C:\WINDOWS\UNRecode.exe
C:\WINDOWS\winhelp.exe
C:\WINDOWS\winhlp32.exe
C:\WINDOWS\xcopy.exe
Listing des fichier *.vbs autorun.* du dossier C:\WINDOWS\System32
:. Fichiers autorun.* : Néant
C:\WINDOWS\System32\eventquery.vbs
C:\WINDOWS\System32\OeApi.vbs
C:\WINDOWS\System32\pagefileconfig.vbs
C:\WINDOWS\System32\prncnfg.vbs
C:\WINDOWS\System32\prndrvr.vbs
C:\WINDOWS\System32\prnjobs.vbs
C:\WINDOWS\System32\prnmngr.vbs
C:\WINDOWS\System32\prnport.vbs
C:\WINDOWS\System32\prnqctl.vbs
C:\WINDOWS\System32\pubprn.vbs
###########################################################################
C: - Lecteur fixe
Recherche des fichiers *.vbs et *.exe...
-> C:\WillPolo.vbs
/!\ Script actif, C:\WillPolo.vbs est en cours d'exécution.
/!\ Script actif, C:\WillPolo.vbs est en cours d'exécution.
/!\ Script actif, C:\WillPolo.vbs est en cours d'exécution.
-> C:\copy.exe
-> C:\host.exe
/!\ L'application host.exe est actuellement en cours d'exécution.
/!\ L'application host.exe est actuellement en cours d'exécution.
/!\ L'application host.exe est actuellement en cours d'exécution.
/!\ L'application host.exe est actuellement en cours d'exécution.
/!\ L'application host.exe est actuellement en cours d'exécution.
/!\ L'application host.exe est actuellement en cours d'exécution.
/!\ L'application host.exe est actuellement en cours d'exécution.
/!\ L'application host.exe est actuellement en cours d'exécution.
Recherche des fichiers autorun.*...
C:\autorun.inf
Contenu de C:\autorun.inf :
[autorun]
shellexecute=wscript.exe WillPolo.vbs
action="Pas d'action"
###########################################################################
D: - Lecteur r‚seau ou … distance
Recherche des fichiers *.vbs et *.exe...
:. Fichiers vbs: Néant
-> D:\GateEdit.exe
-> D:\GatePro.exe
/!\ L'application GatePro.exe est actuellement en cours d'exécution.
-> D:\GateRotations.exe
-> D:\MMREGOCX.EXE
-> D:\VISDATA.EXE
Recherche des fichiers autorun.*...
:. Fichier autorun.* : Néant
###########################################################################
F: - Lecteur r‚seau ou … distance
Recherche des fichiers *.vbs et *.exe...
:. Fichiers vbs: Néant
:. Fichiers *.exe: Néant
Recherche des fichiers autorun.*...
:. Fichier autorun.* : Néant
###########################################################################
G: - Lecteur amovible
Recherche des fichiers *.vbs et *.exe...
-> G:\WillPolo.vbs
-> G:\LaunchU3.exe
-> G:\copy.exe
-> G:\host.exe
/!\ L'application host.exe est actuellement en cours d'exécution.
/!\ L'application host.exe est actuellement en cours d'exécution.
/!\ L'application host.exe est actuellement en cours d'exécution.
/!\ L'application host.exe est actuellement en cours d'exécution.
/!\ L'application host.exe est actuellement en cours d'exécution.
/!\ L'application host.exe est actuellement en cours d'exécution.
/!\ L'application host.exe est actuellement en cours d'exécution.
/!\ L'application host.exe est actuellement en cours d'exécution.
Recherche des fichiers autorun.*...
G:\autorun.inf
Contenu de G:\autorun.inf :
[autorun]
Shellexecute=copy.exe
###########################################################################
T: - Lecteur amovible
Recherche des fichiers *.vbs et *.exe...
-> T:\WillPolo.vbs
-> T:\copy.exe
-> T:\host.exe
/!\ L'application host.exe est actuellement en cours d'exécution.
/!\ L'application host.exe est actuellement en cours d'exécution.
/!\ L'application host.exe est actuellement en cours d'exécution.
/!\ L'application host.exe est actuellement en cours d'exécution.
/!\ L'application host.exe est actuellement en cours d'exécution.
/!\ L'application host.exe est actuellement en cours d'exécution.
/!\ L'application host.exe est actuellement en cours d'exécution.
/!\ L'application host.exe est actuellement en cours d'exécution.
Recherche des fichiers autorun.*...
T:\autorun.inf
Contenu de T:\autorun.inf :
[autorun]
Shellexecute=copy.exe
###########################################################################
U: - Lecteur de CD-ROM
Recherche des fichiers *.vbs et *.exe...
:. Fichiers vbs: Néant
-> U:\LaunchU3.exe
Recherche des fichiers autorun.*...
U:\autorun.inf
Contenu de U:\autorun.inf :
[AutoRun]
open=LaunchU3.exe -a
icon=LaunchU3.exe,0
[Definitions]
Launchpad=LaunchPad.exe
Vtype=1
[CopyFiles]
FileNumber=1
File1=LaunchPad.zip
[Update]
URL=http://u3.sandisk.com/download/lp_installer.asp?custom=1.1.0.2&brand=cruzer
[Comment]
brand=cruzer
###########################################################################
Registre :
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run
CTFMON.EXE REG_SZ C:\WINDOWS\system32\ctfmon.exe
swg REG_SZ C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
MSMSGS REG_SZ "C:\Program Files\Messenger\msmsgs.exe" /background
SsAAD.exe REG_SZ C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} REG_SZ "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
Yahoo! Pager REG_SZ "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
updateMgr REG_SZ C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run
ATIPTA REG_SZ "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
SetRefresh REG_SZ C:\Program Files\Compaq\SetRefresh\SetRefresh.exe
McRegWiz REG_SZ C:\PROGRA~1\McAfee.com\Agent\mcregwiz.exe /autorun
VSOCheckTask REG_SZ "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
VirusScan Online REG_SZ C:\Program Files\McAfee.com\VSO\mcvsshld.exe
OASClnt REG_SZ C:\Program Files\McAfee.com\VSO\oasclnt.exe
MCAgentExe REG_SZ c:\PROGRA~1\mcafee.com\agent\mcagent.exe
MCUpdateExe REG_SZ c:\PROGRA~1\mcafee.com\agent\mcupdate.exe
_AntiSpyware REG_SZ c:\progra~1\mcafee\MCAFEE~1\masalert.exe
NeroFilterCheck REG_SZ C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
OrderReminder REG_SZ C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe
WillPolo REG_SZ C:\WINDOWS\WillPolo.vbs
KernelFaultCheck REG_EXPAND_SZ %systemroot%\system32\dumprep 0 -k
Mswinword REG_SZ C:\Windows\KAMARA.exe
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL
Installed REG_SZ 1
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI
Installed REG_SZ 1
NoChange REG_SZ 1
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS
Installed REG_SZ 1
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
Shell REG_SZ Explorer.exe
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
Userinit REG_SZ C:\WINDOWS\system32\userinit.exe,
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer
NoDriveTypeAutoRun REG_DWORD 145 (0x91)
DisallowRun REG_DWORD 1 (0x1)
NoFind REG_DWORD 1 (0x1)
NoRun REG_DWORD 1 (0x1)
NoFolderOptions REG_DWORD 1 (0x1)
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\DisallowRun
1 REG_SZ Regedit.exe
2 REG_SZ MSConfig.exe
3 REG_SZ taskmgr.exe
4 REG_SZ MMC.exe
5 REG_SZ gpedit.msc
6 REG_SZ Cmd.exe
Error: Key: software\microsoft\windows\currentversion\policies\explorer does not exist!
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system
dontdisplaylastusername REG_DWORD 0 (0x0)
legalnoticecaption REG_SZ
legalnoticetext REG_SZ
shutdownwithoutlogon REG_DWORD 1 (0x1)
undockwithoutlogon REG_DWORD 1 (0x1)
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot
AlternateShell REG_SZ cmd.exe
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\your image file name here without a path
Debugger REG_SZ ntsd -d
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C\Shell
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C\Shell\AutoRun
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C\Shell\AutoRun\command
<NO NAME> REG_SZ C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe WillPolo.vbs
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{12419f80-e0f0-11db-9cd6-0019db2d0e5c}\Shell
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{12419f80-e0f0-11db-9cd6-0019db2d0e5c}\Shell\AutoRun
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{12419f80-e0f0-11db-9cd6-0019db2d0e5c}\Shell\AutoRun\command
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{12419f80-e0f0-11db-9cd6-0019db2d0e5c}\Shell\explore
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{12419f80-e0f0-11db-9cd6-0019db2d0e5c}\Shell\explore\Command
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{12419f80-e0f0-11db-9cd6-0019db2d0e5c}\Shell\open
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{12419f80-e0f0-11db-9cd6-0019db2d0e5c}\Shell\open\Command
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{12419f80-e0f0-11db-9cd6-0019db2d0e5c}\Shell\open\Default
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1486aa76-d087-11db-9cb9-0019db2d0e5c}\Shell
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1486aa76-d087-11db-9cb9-0019db2d0e5c}\Shell\Autoplay
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1486aa76-d087-11db-9cb9-0019db2d0e5c}\Shell\Autoplay\DropTarget
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1486aa76-d087-11db-9cb9-0019db2d0e5c}\Shell\AutoRun
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1486aa76-d087-11db-9cb9-0019db2d0e5c}\Shell\AutoRun\command
<NO NAME> REG_SZ C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{651273f6-f4c8-11db-9ce1-0019db2d0e5c}\Shell
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{651273f6-f4c8-11db-9ce1-0019db2d0e5c}\Shell\AutoRun
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{651273f6-f4c8-11db-9ce1-0019db2d0e5c}\Shell\AutoRun\command
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9036fe04-f16e-11db-9ce0-0019db2d0e5c}\Shell
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9036fe04-f16e-11db-9ce0-0019db2d0e5c}\Shell\Autoplay
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9036fe04-f16e-11db-9ce0-0019db2d0e5c}\Shell\Autoplay\DropTarget
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9036fe04-f16e-11db-9ce0-0019db2d0e5c}\Shell\AutoRun
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9036fe04-f16e-11db-9ce0-0019db2d0e5c}\Shell\AutoRun\command
<NO NAME> REG_SZ C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9ce5bf44-d21c-11db-9cbe-0019db2d0e5c}\Shell
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9ce5bf44-d21c-11db-9cbe-0019db2d0e5c}\Shell\Autoplay
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9ce5bf44-d21c-11db-9cbe-0019db2d0e5c}\Shell\Autoplay\DropTarget
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9ce5bf44-d21c-11db-9cbe-0019db2d0e5c}\Shell\AutoRun
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9ce5bf44-d21c-11db-9cbe-0019db2d0e5c}\Shell\AutoRun\command
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{aef1f4fc-cd59-11db-9cb0-806d6172696f}\Shell
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{aef1f4fc-cd59-11db-9cb0-806d6172696f}\Shell\AutoRun
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{aef1f4fc-cd59-11db-9cb0-806d6172696f}\Shell\AutoRun\command
<NO NAME> REG_SZ C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe WillPolo.vbs
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bdad4024-ee57-11db-9cdd-0019db2d0e5c}\Shell
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bdad4024-ee57-11db-9cdd-0019db2d0e5c}\Shell\Autoplay
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bdad4024-ee57-11db-9cdd-0019db2d0e5c}\Shell\Autoplay\DropTarget
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bdad4024-ee57-11db-9cdd-0019db2d0e5c}\Shell\AutoRun
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bdad4024-ee57-11db-9cdd-0019db2d0e5c}\Shell\AutoRun\command
<NO NAME> REG_SZ C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c70ab1a0-0d0d-11dc-9ce8-0019db2d0e5c}\Shell
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c70ab1a0-0d0d-11dc-9ce8-0019db2d0e5c}\Shell\Autoplay
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c70ab1a0-0d0d-11dc-9ce8-0019db2d0e5c}\Shell\Autoplay\DropTarget
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c70ab1a0-0d0d-11dc-9ce8-0019db2d0e5c}\Shell\AutoRun
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c70ab1a0-0d0d-11dc-9ce8-0019db2d0e5c}\Shell\AutoRun\command
<NO NAME> REG_SZ C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe
################################# END ###################################
C:\Documents and Settings\Administrateur\Bureau\Autosrch\Autosrch\autosearch.bat
Exécuté le 11/07/2007 à 15:48:49
###########################################################################
/!\ Détection de script en cours d'exécution:
Le processus wscript.exe pid: 1596
Exécute actuellement C:\WillPolo.vbs
Le processus wscript.exe pid: 1628
Exécute actuellement C:\WillPolo.vbs
Le processus wscript.exe pid: 2920
Exécute actuellement C:\WillPolo.vbs
Listing des fichier *.vbs *.exe du dossier C:\WINDOWS
C:\WINDOWS\WillPolo.vbs
C:\WINDOWS\apptune1020.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\hh.exe
C:\WINDOWS\HPLiteSaver.exe
C:\WINDOWS\NOTEPAD.EXE
C:\WINDOWS\regedit.exe
C:\WINDOWS\RtlUpd.exe
C:\WINDOWS\ST5UNST.EXE
C:\WINDOWS\svchost.exe
C:\WINDOWS\TASKMAN.EXE
C:\WINDOWS\twunk_16.exe
C:\WINDOWS\twunk_32.exe
C:\WINDOWS\UNNeroBackItUp.exe
C:\WINDOWS\UNNeroMediaHome.exe
C:\WINDOWS\UNNeroShowTime.exe
C:\WINDOWS\UNNeroVision.exe
C:\WINDOWS\UNRecode.exe
C:\WINDOWS\winhelp.exe
C:\WINDOWS\winhlp32.exe
C:\WINDOWS\xcopy.exe
Listing des fichier *.vbs autorun.* du dossier C:\WINDOWS\System32
:. Fichiers autorun.* : Néant
C:\WINDOWS\System32\eventquery.vbs
C:\WINDOWS\System32\OeApi.vbs
C:\WINDOWS\System32\pagefileconfig.vbs
C:\WINDOWS\System32\prncnfg.vbs
C:\WINDOWS\System32\prndrvr.vbs
C:\WINDOWS\System32\prnjobs.vbs
C:\WINDOWS\System32\prnmngr.vbs
C:\WINDOWS\System32\prnport.vbs
C:\WINDOWS\System32\prnqctl.vbs
C:\WINDOWS\System32\pubprn.vbs
###########################################################################
C: - Lecteur fixe
Recherche des fichiers *.vbs et *.exe...
-> C:\WillPolo.vbs
/!\ Script actif, C:\WillPolo.vbs est en cours d'exécution.
/!\ Script actif, C:\WillPolo.vbs est en cours d'exécution.
/!\ Script actif, C:\WillPolo.vbs est en cours d'exécution.
-> C:\copy.exe
-> C:\host.exe
/!\ L'application host.exe est actuellement en cours d'exécution.
/!\ L'application host.exe est actuellement en cours d'exécution.
/!\ L'application host.exe est actuellement en cours d'exécution.
/!\ L'application host.exe est actuellement en cours d'exécution.
/!\ L'application host.exe est actuellement en cours d'exécution.
/!\ L'application host.exe est actuellement en cours d'exécution.
/!\ L'application host.exe est actuellement en cours d'exécution.
/!\ L'application host.exe est actuellement en cours d'exécution.
Recherche des fichiers autorun.*...
C:\autorun.inf
Contenu de C:\autorun.inf :
[autorun]
shellexecute=wscript.exe WillPolo.vbs
action="Pas d'action"
###########################################################################
D: - Lecteur r‚seau ou … distance
Recherche des fichiers *.vbs et *.exe...
:. Fichiers vbs: Néant
-> D:\GateEdit.exe
-> D:\GatePro.exe
/!\ L'application GatePro.exe est actuellement en cours d'exécution.
-> D:\GateRotations.exe
-> D:\MMREGOCX.EXE
-> D:\VISDATA.EXE
Recherche des fichiers autorun.*...
:. Fichier autorun.* : Néant
###########################################################################
F: - Lecteur r‚seau ou … distance
Recherche des fichiers *.vbs et *.exe...
:. Fichiers vbs: Néant
:. Fichiers *.exe: Néant
Recherche des fichiers autorun.*...
:. Fichier autorun.* : Néant
###########################################################################
G: - Lecteur amovible
Recherche des fichiers *.vbs et *.exe...
-> G:\WillPolo.vbs
-> G:\LaunchU3.exe
-> G:\copy.exe
-> G:\host.exe
/!\ L'application host.exe est actuellement en cours d'exécution.
/!\ L'application host.exe est actuellement en cours d'exécution.
/!\ L'application host.exe est actuellement en cours d'exécution.
/!\ L'application host.exe est actuellement en cours d'exécution.
/!\ L'application host.exe est actuellement en cours d'exécution.
/!\ L'application host.exe est actuellement en cours d'exécution.
/!\ L'application host.exe est actuellement en cours d'exécution.
/!\ L'application host.exe est actuellement en cours d'exécution.
Recherche des fichiers autorun.*...
G:\autorun.inf
Contenu de G:\autorun.inf :
[autorun]
Shellexecute=copy.exe
###########################################################################
T: - Lecteur amovible
Recherche des fichiers *.vbs et *.exe...
-> T:\WillPolo.vbs
-> T:\copy.exe
-> T:\host.exe
/!\ L'application host.exe est actuellement en cours d'exécution.
/!\ L'application host.exe est actuellement en cours d'exécution.
/!\ L'application host.exe est actuellement en cours d'exécution.
/!\ L'application host.exe est actuellement en cours d'exécution.
/!\ L'application host.exe est actuellement en cours d'exécution.
/!\ L'application host.exe est actuellement en cours d'exécution.
/!\ L'application host.exe est actuellement en cours d'exécution.
/!\ L'application host.exe est actuellement en cours d'exécution.
Recherche des fichiers autorun.*...
T:\autorun.inf
Contenu de T:\autorun.inf :
[autorun]
Shellexecute=copy.exe
###########################################################################
U: - Lecteur de CD-ROM
Recherche des fichiers *.vbs et *.exe...
:. Fichiers vbs: Néant
-> U:\LaunchU3.exe
Recherche des fichiers autorun.*...
U:\autorun.inf
Contenu de U:\autorun.inf :
[AutoRun]
open=LaunchU3.exe -a
icon=LaunchU3.exe,0
[Definitions]
Launchpad=LaunchPad.exe
Vtype=1
[CopyFiles]
FileNumber=1
File1=LaunchPad.zip
[Update]
URL=http://u3.sandisk.com/download/lp_installer.asp?custom=1.1.0.2&brand=cruzer
[Comment]
brand=cruzer
###########################################################################
Registre :
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run
CTFMON.EXE REG_SZ C:\WINDOWS\system32\ctfmon.exe
swg REG_SZ C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
MSMSGS REG_SZ "C:\Program Files\Messenger\msmsgs.exe" /background
SsAAD.exe REG_SZ C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} REG_SZ "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
Yahoo! Pager REG_SZ "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
updateMgr REG_SZ C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run
ATIPTA REG_SZ "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
SetRefresh REG_SZ C:\Program Files\Compaq\SetRefresh\SetRefresh.exe
McRegWiz REG_SZ C:\PROGRA~1\McAfee.com\Agent\mcregwiz.exe /autorun
VSOCheckTask REG_SZ "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
VirusScan Online REG_SZ C:\Program Files\McAfee.com\VSO\mcvsshld.exe
OASClnt REG_SZ C:\Program Files\McAfee.com\VSO\oasclnt.exe
MCAgentExe REG_SZ c:\PROGRA~1\mcafee.com\agent\mcagent.exe
MCUpdateExe REG_SZ c:\PROGRA~1\mcafee.com\agent\mcupdate.exe
_AntiSpyware REG_SZ c:\progra~1\mcafee\MCAFEE~1\masalert.exe
NeroFilterCheck REG_SZ C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
OrderReminder REG_SZ C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe
WillPolo REG_SZ C:\WINDOWS\WillPolo.vbs
KernelFaultCheck REG_EXPAND_SZ %systemroot%\system32\dumprep 0 -k
Mswinword REG_SZ C:\Windows\KAMARA.exe
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL
Installed REG_SZ 1
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI
Installed REG_SZ 1
NoChange REG_SZ 1
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS
Installed REG_SZ 1
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
Shell REG_SZ Explorer.exe
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
Userinit REG_SZ C:\WINDOWS\system32\userinit.exe,
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer
NoDriveTypeAutoRun REG_DWORD 145 (0x91)
DisallowRun REG_DWORD 1 (0x1)
NoFind REG_DWORD 1 (0x1)
NoRun REG_DWORD 1 (0x1)
NoFolderOptions REG_DWORD 1 (0x1)
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\DisallowRun
1 REG_SZ Regedit.exe
2 REG_SZ MSConfig.exe
3 REG_SZ taskmgr.exe
4 REG_SZ MMC.exe
5 REG_SZ gpedit.msc
6 REG_SZ Cmd.exe
Error: Key: software\microsoft\windows\currentversion\policies\explorer does not exist!
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system
dontdisplaylastusername REG_DWORD 0 (0x0)
legalnoticecaption REG_SZ
legalnoticetext REG_SZ
shutdownwithoutlogon REG_DWORD 1 (0x1)
undockwithoutlogon REG_DWORD 1 (0x1)
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot
AlternateShell REG_SZ cmd.exe
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\your image file name here without a path
Debugger REG_SZ ntsd -d
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C\Shell
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C\Shell\AutoRun
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C\Shell\AutoRun\command
<NO NAME> REG_SZ C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe WillPolo.vbs
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{12419f80-e0f0-11db-9cd6-0019db2d0e5c}\Shell
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{12419f80-e0f0-11db-9cd6-0019db2d0e5c}\Shell\AutoRun
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{12419f80-e0f0-11db-9cd6-0019db2d0e5c}\Shell\AutoRun\command
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{12419f80-e0f0-11db-9cd6-0019db2d0e5c}\Shell\explore
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{12419f80-e0f0-11db-9cd6-0019db2d0e5c}\Shell\explore\Command
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{12419f80-e0f0-11db-9cd6-0019db2d0e5c}\Shell\open
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{12419f80-e0f0-11db-9cd6-0019db2d0e5c}\Shell\open\Command
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{12419f80-e0f0-11db-9cd6-0019db2d0e5c}\Shell\open\Default
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1486aa76-d087-11db-9cb9-0019db2d0e5c}\Shell
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1486aa76-d087-11db-9cb9-0019db2d0e5c}\Shell\Autoplay
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1486aa76-d087-11db-9cb9-0019db2d0e5c}\Shell\Autoplay\DropTarget
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1486aa76-d087-11db-9cb9-0019db2d0e5c}\Shell\AutoRun
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1486aa76-d087-11db-9cb9-0019db2d0e5c}\Shell\AutoRun\command
<NO NAME> REG_SZ C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{651273f6-f4c8-11db-9ce1-0019db2d0e5c}\Shell
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{651273f6-f4c8-11db-9ce1-0019db2d0e5c}\Shell\AutoRun
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{651273f6-f4c8-11db-9ce1-0019db2d0e5c}\Shell\AutoRun\command
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9036fe04-f16e-11db-9ce0-0019db2d0e5c}\Shell
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9036fe04-f16e-11db-9ce0-0019db2d0e5c}\Shell\Autoplay
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9036fe04-f16e-11db-9ce0-0019db2d0e5c}\Shell\Autoplay\DropTarget
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9036fe04-f16e-11db-9ce0-0019db2d0e5c}\Shell\AutoRun
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9036fe04-f16e-11db-9ce0-0019db2d0e5c}\Shell\AutoRun\command
<NO NAME> REG_SZ C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9ce5bf44-d21c-11db-9cbe-0019db2d0e5c}\Shell
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9ce5bf44-d21c-11db-9cbe-0019db2d0e5c}\Shell\Autoplay
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9ce5bf44-d21c-11db-9cbe-0019db2d0e5c}\Shell\Autoplay\DropTarget
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9ce5bf44-d21c-11db-9cbe-0019db2d0e5c}\Shell\AutoRun
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9ce5bf44-d21c-11db-9cbe-0019db2d0e5c}\Shell\AutoRun\command
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{aef1f4fc-cd59-11db-9cb0-806d6172696f}\Shell
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{aef1f4fc-cd59-11db-9cb0-806d6172696f}\Shell\AutoRun
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{aef1f4fc-cd59-11db-9cb0-806d6172696f}\Shell\AutoRun\command
<NO NAME> REG_SZ C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe WillPolo.vbs
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bdad4024-ee57-11db-9cdd-0019db2d0e5c}\Shell
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bdad4024-ee57-11db-9cdd-0019db2d0e5c}\Shell\Autoplay
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bdad4024-ee57-11db-9cdd-0019db2d0e5c}\Shell\Autoplay\DropTarget
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bdad4024-ee57-11db-9cdd-0019db2d0e5c}\Shell\AutoRun
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bdad4024-ee57-11db-9cdd-0019db2d0e5c}\Shell\AutoRun\command
<NO NAME> REG_SZ C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c70ab1a0-0d0d-11dc-9ce8-0019db2d0e5c}\Shell
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c70ab1a0-0d0d-11dc-9ce8-0019db2d0e5c}\Shell\Autoplay
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c70ab1a0-0d0d-11dc-9ce8-0019db2d0e5c}\Shell\Autoplay\DropTarget
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c70ab1a0-0d0d-11dc-9ce8-0019db2d0e5c}\Shell\AutoRun
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c70ab1a0-0d0d-11dc-9ce8-0019db2d0e5c}\Shell\AutoRun\command
<NO NAME> REG_SZ C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe
################################# END ###################################
Je te poste une manip d'ici quelques minutes, mais en attendant, ne redemarre pas ton pc et laisse branché tous les périphériques externes.
A plus tard
A plus tard
newtech83
Messages postés
187
Date d'inscription
mercredi 11 juillet 2007
Statut
Membre
Dernière intervention
10 avril 2011
15
11 juil. 2007 à 18:56
11 juil. 2007 à 18:56
ok j'attend toujours
C'est parti...
Imprime, ou enregistre la manip dans un fichier txt (bloc notes, par exemple) pour etre sur ne rien oublier et de tout faire dans l'ordre.
Avant de commencer quoi que ce soit, il est important que tu fasses ceci:
Télécharges Flash_Disinfector ici:
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe
Et enregistre le sur ton bureau.
Retélécharge hijackthis :
http://www.spywareinfo.com/downloads/tools/HijackThis.exe
Car actuellement il est dans un dossier temporaire et enregistre-le sur ton bureau
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Répertoire temporaire 1 pour scanner.exe.zip\HijackThis.exe
Ce dossier : C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp est nettoyé de son contenu par l'utilitaire que tu emploieras plus tard et donc tu ne le retrouveras pas au moment ou tu en auras besoin.
Puis déconnecte toi d'internet si tu peux et ferme tout les programmes en cours.
1/
Double clique sur Flash_Disinfector.exe pour le lancer.
Quand le message : "Plug in yours flash drive & clic Ok to begin disinfection" apparaitra :
Assure toi que: clé USB et périphériques USB externes susceptibles d'avoir été infectés, soient bien connectés.
Puis clique sur Ok
Les icônes sur le bureau vont disparaitre jusqu'à l'apparition du message: "Done!!"
Appuies sur OK, pour faire réapparaitre le bureau.
2/
Lance hijackthis et clic sur [Do a system scan only]
coche la case au début des lignes suivantes:
Valide en cliquant sur le bouton [Fix checked]
La plupart de ces lignes auront surement disparues après le passage de Flash_Disinfector, mais par mesure de précaution vérifie avec hijackthis et supprime les si elles existent.
/!\ A partir de maintenant, ne double clique surtout pas sur les icônes pour ouvrir un DD ou périphérique externe, et n'utilise pas le clic droit >> ouvrir
Sous peine de relancer l'infection et de devoir tout recommencer.
3/
Rend visible les fichiers cachés et systeme
panneau de configuration > options des dossiers > onglet affichage
Cocher la case devant " afficher les fichiers et dossiers cachés "
Décocher la case devant " masquer les extentions des fichiers dont le type est connu"
Décocher la case devant " masquer les fichiers protégés du système"
clic sur [Appliquer] puis sur [ok] pour valider
4/
Ouvre le Poste de travail.
Fais un clic droit >> Explorer sur l'icône du disque dur principal ou est installé Windows (C:):
Supprime si présent:
C:\WillPolo.vbs
C:\WINDOWS\WillPolo.vbs
C:\autorun.inf
Ceux-là auront normalement déjà été supprimé par Flash_Disinfector, mais vérifie et suppriment les s'ils existent:
C:\copy.exe
C:\host.exe
C:\WINDOWS\xcopy.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\system32\temp1.exe
C:\WINDOWS\system32\temp2.exe
5/
Reviens dans le Poste de travail:
Fais un clic droit >> Explorer sur l'icône du disque/clé -> T:\
Supprime si présent:
T:\WillPolo.vbs
T:\host.exe
T:\copy.exe
T:\autorun.inf
6/
Redemarre le pc.
7/
Reconnectes toi au net si tu t'étais déco, puis va sur ce site:
www.virustotal.com
Clic sur parcourir, puis recherche et selectionnes
C:\Windows\KAMARA.exe
Clic sur Send file
Le fichier sera analysé par plusieurs AV simultanément, poste dans ton prochain message le rapport de fin d'analyse.
8/
Reposte un rapport hijackthis et autosearch.bat
Et enfin 9...
Bon courage et à plus tard :-)
PS:
Penses si tu peux à m'envoyer une copie zippé de WillPolo.vbs et C:\Windows\KAMARA.exe
Possible que le second infecte les fichiers word (*.doc) et j'aimerais bien pouvoir le vérifier en faisant quelques tests sur une machine virtuelle...
Imprime, ou enregistre la manip dans un fichier txt (bloc notes, par exemple) pour etre sur ne rien oublier et de tout faire dans l'ordre.
Avant de commencer quoi que ce soit, il est important que tu fasses ceci:
Télécharges Flash_Disinfector ici:
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe
Et enregistre le sur ton bureau.
Retélécharge hijackthis :
http://www.spywareinfo.com/downloads/tools/HijackThis.exe
Car actuellement il est dans un dossier temporaire et enregistre-le sur ton bureau
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Répertoire temporaire 1 pour scanner.exe.zip\HijackThis.exe
Ce dossier : C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp est nettoyé de son contenu par l'utilitaire que tu emploieras plus tard et donc tu ne le retrouveras pas au moment ou tu en auras besoin.
Puis déconnecte toi d'internet si tu peux et ferme tout les programmes en cours.
1/
Double clique sur Flash_Disinfector.exe pour le lancer.
Quand le message : "Plug in yours flash drive & clic Ok to begin disinfection" apparaitra :
Assure toi que: clé USB et périphériques USB externes susceptibles d'avoir été infectés, soient bien connectés.
Puis clique sur Ok
Les icônes sur le bureau vont disparaitre jusqu'à l'apparition du message: "Done!!"
Appuies sur OK, pour faire réapparaitre le bureau.
2/
Lance hijackthis et clic sur [Do a system scan only]
coche la case au début des lignes suivantes:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Piraté par WillPolo ---- Ingénieur en hacking -------- fuck u ---------- F3 - REG:win.ini: load=C:\WINDOWS\svchost.exe O4 - HKLM\..\Run: [WillPolo] C:\WINDOWS\WillPolo.vbs O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Mswinword] C:\Windows\KAMARA.exe
Valide en cliquant sur le bouton [Fix checked]
La plupart de ces lignes auront surement disparues après le passage de Flash_Disinfector, mais par mesure de précaution vérifie avec hijackthis et supprime les si elles existent.
/!\ A partir de maintenant, ne double clique surtout pas sur les icônes pour ouvrir un DD ou périphérique externe, et n'utilise pas le clic droit >> ouvrir
Sous peine de relancer l'infection et de devoir tout recommencer.
3/
Rend visible les fichiers cachés et systeme
panneau de configuration > options des dossiers > onglet affichage
Cocher la case devant " afficher les fichiers et dossiers cachés "
Décocher la case devant " masquer les extentions des fichiers dont le type est connu"
Décocher la case devant " masquer les fichiers protégés du système"
clic sur [Appliquer] puis sur [ok] pour valider
4/
Ouvre le Poste de travail.
Fais un clic droit >> Explorer sur l'icône du disque dur principal ou est installé Windows (C:):
Supprime si présent:
C:\WillPolo.vbs
C:\WINDOWS\WillPolo.vbs
C:\autorun.inf
Ceux-là auront normalement déjà été supprimé par Flash_Disinfector, mais vérifie et suppriment les s'ils existent:
C:\copy.exe
C:\host.exe
C:\WINDOWS\xcopy.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\system32\temp1.exe
C:\WINDOWS\system32\temp2.exe
5/
Reviens dans le Poste de travail:
Fais un clic droit >> Explorer sur l'icône du disque/clé -> T:\
Supprime si présent:
T:\WillPolo.vbs
T:\host.exe
T:\copy.exe
T:\autorun.inf
6/
Redemarre le pc.
7/
Reconnectes toi au net si tu t'étais déco, puis va sur ce site:
www.virustotal.com
Clic sur parcourir, puis recherche et selectionnes
C:\Windows\KAMARA.exe
Clic sur Send file
Le fichier sera analysé par plusieurs AV simultanément, poste dans ton prochain message le rapport de fin d'analyse.
8/
Reposte un rapport hijackthis et autosearch.bat
Et enfin 9...
Bon courage et à plus tard :-)
PS:
Penses si tu peux à m'envoyer une copie zippé de WillPolo.vbs et C:\Windows\KAMARA.exe
Possible que le second infecte les fichiers word (*.doc) et j'aimerais bien pouvoir le vérifier en faisant quelques tests sur une machine virtuelle...
newtech83
Messages postés
187
Date d'inscription
mercredi 11 juillet 2007
Statut
Membre
Dernière intervention
10 avril 2011
15
11 juil. 2007 à 20:38
11 juil. 2007 à 20:38
salut
la je crois que le message a disparu dans ma fenetre . le seul probleme sait qu'il ya des restriction sur ma session quand je suis dans executer rien ne passe .
ps : je ne sais pas si j'ai supprimer le fichier c:\windows\kamara mais je ne le vois plus nulle part
voila les rapport
Logfile of HijackThis v1.97.7
Scan saved at 18:36:33, on 11/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\progra~1\mcafee\mcafee antispyware\massrv.exe
c:\program files\mcafee.com\agent\mcdetect.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
C:\WINDOWS\system32\Ati2evxx.exe
c:\PROGRA~1\mcafee.com\vso\OasClnt.exe
c:\program files\mcafee.com\vso\mcvsshld.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\program files\mcafee.com\agent\mcagent.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\McAfee.com\Agent\mcregwiz.exe
C:\progra~1\mcafee\MCAFEE~1\masalert.exe
C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Messenger\msmsgs.exe
C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Fichiers communs\Sonic Shared\CineTray.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
c:\progra~1\mcafee.com\vso\mcvsftsn.exe
C:\Program Files\TP-LINK\TL-WN321G Wireless Utility\Installer\WINXP\TWCU.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Administrateur\Application Data\U3\0000184FC860FDE2\LaunchPad.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = https://www8.hp.com/fr/fr/home.html
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SetRefresh] C:\Program Files\Compaq\SetRefresh\SetRefresh.exe
O4 - HKLM\..\Run: [McRegWiz] C:\PROGRA~1\McAfee.com\Agent\mcregwiz.exe /autorun
O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] C:\Program Files\McAfee.com\VSO\mcvsshld.exe
O4 - HKLM\..\Run: [OASClnt] C:\Program Files\McAfee.com\VSO\oasclnt.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\McUpdate.exe
O4 - HKLM\..\Run: [_AntiSpyware] c:\progra~1\mcafee\MCAFEE~1\masalert.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [OrderReminder] C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Display LiteSaver Startup.lnk = C:\WINDOWS\HPLiteSaver.exe
O4 - Global Startup: Sonic CinePlayer Quick Launch.lnk = C:\Program Files\Fichiers communs\Sonic Shared\CineTray.exe
O4 - Global Startup: TL-WN321G Wireless Utility.lnk = C:\Program Files\TP-LINK\TL-WN321G Wireless Utility\Installer\WINXP\TWCU.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM)
O9 - Extra button: Recherche (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7F468D68-877E-4579-A77A-9D0371755C0B}: NameServer = 213.136.96.2,213.136.96.37
O17 - HKLM\System\CCS\Services\Tcpip\..\{AB78C74D-AE54-4DC3-A069-BCDEFB3763F7}: NameServer = 213.138.96.12
et l'autre
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\R‚pertoire temporaire 1 pour Autosrch.zip\Autosrch\autosearch.bat
Exécuté le 11/07/2007 à 18:37:26
###########################################################################
Listing des fichier *.vbs *.exe du dossier C:\WINDOWS
:. Fichiers *.vbs : Néant
C:\WINDOWS\apptune1020.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\hh.exe
C:\WINDOWS\HPLiteSaver.exe
C:\WINDOWS\NOTEPAD.EXE
C:\WINDOWS\regedit.exe
C:\WINDOWS\RtlUpd.exe
C:\WINDOWS\ST5UNST.EXE
C:\WINDOWS\TASKMAN.EXE
C:\WINDOWS\twunk_16.exe
C:\WINDOWS\twunk_32.exe
C:\WINDOWS\UNNeroBackItUp.exe
C:\WINDOWS\UNNeroMediaHome.exe
C:\WINDOWS\UNNeroShowTime.exe
C:\WINDOWS\UNNeroVision.exe
C:\WINDOWS\UNRecode.exe
C:\WINDOWS\winhelp.exe
C:\WINDOWS\winhlp32.exe
Listing des fichier *.vbs autorun.* du dossier C:\WINDOWS\System32
:. Fichiers autorun.* : Néant
C:\WINDOWS\System32\eventquery.vbs
C:\WINDOWS\System32\OeApi.vbs
C:\WINDOWS\System32\pagefileconfig.vbs
C:\WINDOWS\System32\prncnfg.vbs
C:\WINDOWS\System32\prndrvr.vbs
C:\WINDOWS\System32\prnjobs.vbs
C:\WINDOWS\System32\prnmngr.vbs
C:\WINDOWS\System32\prnport.vbs
C:\WINDOWS\System32\prnqctl.vbs
C:\WINDOWS\System32\pubprn.vbs
###########################################################################
C: - Lecteur fixe
Recherche des fichiers *.vbs et *.exe...
:. Fichiers vbs: Néant
:. Fichiers *.exe: Néant
Recherche des fichiers autorun.*...
:. Dossier autorun.inf Présent: Flash_Disinfector a été utilisé.
###########################################################################
D: - Lecteur de CD-ROM
Recherche des fichiers *.vbs et *.exe...
:. Fichiers vbs: Néant
-> D:\LaunchU3.exe
Recherche des fichiers autorun.*...
D:\autorun.inf
Contenu de D:\autorun.inf :
[AutoRun]
open=LaunchU3.exe
icon=LaunchU3.exe,0
[Definitions]
Launchpad=LaunchPad.exe
[CopyFiles]
FileNumber=1
File1=LaunchPad.zip
###########################################################################
G: - Lecteur amovible
Recherche des fichiers *.vbs et *.exe...
:. Fichiers vbs: Néant
-> G:\LaunchU3.exe
Recherche des fichiers autorun.*...
:. Dossier autorun.inf Présent: Flash_Disinfector a été utilisé.
###########################################################################
M: - Lecteur amovible
Recherche des fichiers *.vbs et *.exe...
:. Fichiers vbs: Néant
-> M:\INVITATION.exe
-> M:\Keygen Swish V2.EXE
Recherche des fichiers autorun.*...
:. Dossier autorun.inf Présent: Flash_Disinfector a été utilisé.
###########################################################################
T: - Lecteur amovible
Recherche des fichiers *.vbs et *.exe...
:. Fichiers vbs: Néant
:. Fichiers *.exe: Néant
Recherche des fichiers autorun.*...
:. Fichier autorun.* : Néant
###########################################################################
U: - Lecteur de CD-ROM
Recherche des fichiers *.vbs et *.exe...
:. Fichiers vbs: Néant
-> U:\LaunchU3.exe
Recherche des fichiers autorun.*...
U:\autorun.inf
Contenu de U:\autorun.inf :
[AutoRun]
open=LaunchU3.exe -a
icon=LaunchU3.exe,0
[Definitions]
Launchpad=LaunchPad.exe
Vtype=1
[CopyFiles]
FileNumber=1
File1=LaunchPad.zip
[Update]
URL=http://u3.sandisk.com/download/lp_installer.asp?custom=1.1.0.2&brand=cruzer
[Comment]
brand=cruzer
###########################################################################
Registre :
################################# END ###################################
la je crois que le message a disparu dans ma fenetre . le seul probleme sait qu'il ya des restriction sur ma session quand je suis dans executer rien ne passe .
ps : je ne sais pas si j'ai supprimer le fichier c:\windows\kamara mais je ne le vois plus nulle part
voila les rapport
Logfile of HijackThis v1.97.7
Scan saved at 18:36:33, on 11/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\progra~1\mcafee\mcafee antispyware\massrv.exe
c:\program files\mcafee.com\agent\mcdetect.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
C:\WINDOWS\system32\Ati2evxx.exe
c:\PROGRA~1\mcafee.com\vso\OasClnt.exe
c:\program files\mcafee.com\vso\mcvsshld.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\program files\mcafee.com\agent\mcagent.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\McAfee.com\Agent\mcregwiz.exe
C:\progra~1\mcafee\MCAFEE~1\masalert.exe
C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Messenger\msmsgs.exe
C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Fichiers communs\Sonic Shared\CineTray.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
c:\progra~1\mcafee.com\vso\mcvsftsn.exe
C:\Program Files\TP-LINK\TL-WN321G Wireless Utility\Installer\WINXP\TWCU.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Administrateur\Application Data\U3\0000184FC860FDE2\LaunchPad.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = https://www8.hp.com/fr/fr/home.html
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SetRefresh] C:\Program Files\Compaq\SetRefresh\SetRefresh.exe
O4 - HKLM\..\Run: [McRegWiz] C:\PROGRA~1\McAfee.com\Agent\mcregwiz.exe /autorun
O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] C:\Program Files\McAfee.com\VSO\mcvsshld.exe
O4 - HKLM\..\Run: [OASClnt] C:\Program Files\McAfee.com\VSO\oasclnt.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\McUpdate.exe
O4 - HKLM\..\Run: [_AntiSpyware] c:\progra~1\mcafee\MCAFEE~1\masalert.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [OrderReminder] C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Display LiteSaver Startup.lnk = C:\WINDOWS\HPLiteSaver.exe
O4 - Global Startup: Sonic CinePlayer Quick Launch.lnk = C:\Program Files\Fichiers communs\Sonic Shared\CineTray.exe
O4 - Global Startup: TL-WN321G Wireless Utility.lnk = C:\Program Files\TP-LINK\TL-WN321G Wireless Utility\Installer\WINXP\TWCU.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM)
O9 - Extra button: Recherche (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7F468D68-877E-4579-A77A-9D0371755C0B}: NameServer = 213.136.96.2,213.136.96.37
O17 - HKLM\System\CCS\Services\Tcpip\..\{AB78C74D-AE54-4DC3-A069-BCDEFB3763F7}: NameServer = 213.138.96.12
et l'autre
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\R‚pertoire temporaire 1 pour Autosrch.zip\Autosrch\autosearch.bat
Exécuté le 11/07/2007 à 18:37:26
###########################################################################
Listing des fichier *.vbs *.exe du dossier C:\WINDOWS
:. Fichiers *.vbs : Néant
C:\WINDOWS\apptune1020.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\hh.exe
C:\WINDOWS\HPLiteSaver.exe
C:\WINDOWS\NOTEPAD.EXE
C:\WINDOWS\regedit.exe
C:\WINDOWS\RtlUpd.exe
C:\WINDOWS\ST5UNST.EXE
C:\WINDOWS\TASKMAN.EXE
C:\WINDOWS\twunk_16.exe
C:\WINDOWS\twunk_32.exe
C:\WINDOWS\UNNeroBackItUp.exe
C:\WINDOWS\UNNeroMediaHome.exe
C:\WINDOWS\UNNeroShowTime.exe
C:\WINDOWS\UNNeroVision.exe
C:\WINDOWS\UNRecode.exe
C:\WINDOWS\winhelp.exe
C:\WINDOWS\winhlp32.exe
Listing des fichier *.vbs autorun.* du dossier C:\WINDOWS\System32
:. Fichiers autorun.* : Néant
C:\WINDOWS\System32\eventquery.vbs
C:\WINDOWS\System32\OeApi.vbs
C:\WINDOWS\System32\pagefileconfig.vbs
C:\WINDOWS\System32\prncnfg.vbs
C:\WINDOWS\System32\prndrvr.vbs
C:\WINDOWS\System32\prnjobs.vbs
C:\WINDOWS\System32\prnmngr.vbs
C:\WINDOWS\System32\prnport.vbs
C:\WINDOWS\System32\prnqctl.vbs
C:\WINDOWS\System32\pubprn.vbs
###########################################################################
C: - Lecteur fixe
Recherche des fichiers *.vbs et *.exe...
:. Fichiers vbs: Néant
:. Fichiers *.exe: Néant
Recherche des fichiers autorun.*...
:. Dossier autorun.inf Présent: Flash_Disinfector a été utilisé.
###########################################################################
D: - Lecteur de CD-ROM
Recherche des fichiers *.vbs et *.exe...
:. Fichiers vbs: Néant
-> D:\LaunchU3.exe
Recherche des fichiers autorun.*...
D:\autorun.inf
Contenu de D:\autorun.inf :
[AutoRun]
open=LaunchU3.exe
icon=LaunchU3.exe,0
[Definitions]
Launchpad=LaunchPad.exe
[CopyFiles]
FileNumber=1
File1=LaunchPad.zip
###########################################################################
G: - Lecteur amovible
Recherche des fichiers *.vbs et *.exe...
:. Fichiers vbs: Néant
-> G:\LaunchU3.exe
Recherche des fichiers autorun.*...
:. Dossier autorun.inf Présent: Flash_Disinfector a été utilisé.
###########################################################################
M: - Lecteur amovible
Recherche des fichiers *.vbs et *.exe...
:. Fichiers vbs: Néant
-> M:\INVITATION.exe
-> M:\Keygen Swish V2.EXE
Recherche des fichiers autorun.*...
:. Dossier autorun.inf Présent: Flash_Disinfector a été utilisé.
###########################################################################
T: - Lecteur amovible
Recherche des fichiers *.vbs et *.exe...
:. Fichiers vbs: Néant
:. Fichiers *.exe: Néant
Recherche des fichiers autorun.*...
:. Fichier autorun.* : Néant
###########################################################################
U: - Lecteur de CD-ROM
Recherche des fichiers *.vbs et *.exe...
:. Fichiers vbs: Néant
-> U:\LaunchU3.exe
Recherche des fichiers autorun.*...
U:\autorun.inf
Contenu de U:\autorun.inf :
[AutoRun]
open=LaunchU3.exe -a
icon=LaunchU3.exe,0
[Definitions]
Launchpad=LaunchPad.exe
Vtype=1
[CopyFiles]
FileNumber=1
File1=LaunchPad.zip
[Update]
URL=http://u3.sandisk.com/download/lp_installer.asp?custom=1.1.0.2&brand=cruzer
[Comment]
brand=cruzer
###########################################################################
Registre :
################################# END ###################################
C'est beaucoup mieux cette fois !!
Apparement tout à l'heure, tu n'avais pas branché M:\ et il y a deux fichiers à l'intérieur dont le nom est assez suspect:
M:\INVITATION.exe
M:\Keygen Swish V2.EXE
Tu connais ?
Rends toi sur http:\\www.virustotal.com
Clic sur parcourir, puis recherche et selectionnes
M:\INVITATION.exe
Clic sur Send file
Fais pareil avec:
M:\Keygen Swish V2.EXE
Et poste les deux rapports.
Pour les restrictions, t'inquiètes on y arrive, mais vu que tu ne peux pas utiliser regedit.exe pour aller dans le registre, je pensais utiliser un utilitaire de remplacement qui est d'ailleur dans le dossier autosrch.
Mais je vois dans le dernier rapport autosrch.bat qu'il n'y a aucun topo du registre comme prévu, ton AV à bloqué un de ces fichiers ?
C'est important de les autoriser tous, sinon il va manquer pas mal d'infos et de moyens d'action en conséquence.
Reposte donc un rapport autosrch.bat, que je puisse voir les restrictions qu'à déjà levé Flash_disinfector et celles qui restent à virer.
a++
Apparement tout à l'heure, tu n'avais pas branché M:\ et il y a deux fichiers à l'intérieur dont le nom est assez suspect:
M:\INVITATION.exe
M:\Keygen Swish V2.EXE
Tu connais ?
Rends toi sur http:\\www.virustotal.com
Clic sur parcourir, puis recherche et selectionnes
M:\INVITATION.exe
Clic sur Send file
Fais pareil avec:
M:\Keygen Swish V2.EXE
Et poste les deux rapports.
Pour les restrictions, t'inquiètes on y arrive, mais vu que tu ne peux pas utiliser regedit.exe pour aller dans le registre, je pensais utiliser un utilitaire de remplacement qui est d'ailleur dans le dossier autosrch.
Mais je vois dans le dernier rapport autosrch.bat qu'il n'y a aucun topo du registre comme prévu, ton AV à bloqué un de ces fichiers ?
C'est important de les autoriser tous, sinon il va manquer pas mal d'infos et de moyens d'action en conséquence.
Reposte donc un rapport autosrch.bat, que je puisse voir les restrictions qu'à déjà levé Flash_disinfector et celles qui restent à virer.
a++
newtech83
Messages postés
187
Date d'inscription
mercredi 11 juillet 2007
Statut
Membre
Dernière intervention
10 avril 2011
15
11 juil. 2007 à 21:35
11 juil. 2007 à 21:35
bon je ne sais pas comment mon AV aurait bloqué le fichier
beh voici le rapport des 2 fichiers suspect
AhnLab-V3 2007.7.11.1 20070711 no virus found
AntiVir 7.4.0.39 20070711 no virus found
Authentium 4.93.8 20070711 no virus found
Avast 4.7.997.0 20070711 no virus found
AVG 7.5.0.476 20070711 no virus found
BitDefender 7.2 20070711 no virus found
CAT-QuickHeal 9.00 20070711 (Suspicious) - DNAScan
ClamAV devel-20070416 20070711 no virus found
DrWeb 4.33 20070711 no virus found
eSafe 7.0.15.0 20070710 Suspicious Trojan/Worm
eTrust-Vet 30.8.3779 20070711 no virus found
Ewido 4.0 20070711 no virus found
FileAdvisor 1 20070711 no virus found
Fortinet 2.91.0.0 20070711 no virus found
F-Prot 4.3.2.48 20070710 no virus found
Ikarus T3.1.1.8 20070711 no virus found
Kaspersky 4.0.2.24 20070711 no virus found
McAfee 5072 20070711 no virus found
Microsoft 1.2704 20070711 no virus found
NOD32v2 2394 20070711 no virus found
Norman 5.80.02 20070711 no virus found
Panda 9.0.0.4 20070711 Suspicious file
Sophos 4.19.0 20070706 no virus found
Sunbelt 2.2.907.0 20070711 VIPRE.Suspicious
Symantec 10 20070711 no virus found
TheHacker 6.1.6.144 20070709 no virus found
VBA32 3.12.0.2 20070710 no virus found
VirusBuster 4.3.23:9 20070711 no virus found
Webwasher-Gateway 6.0.1 20070711 Win32.Malware.gen#Petite!94 (suspicious)
Aditional information
File size: 5578 bytes
MD5: 438778b92532ad7efaff3967ded070d1
SHA1: b9901d8a162090f74d01d85c947bb31f637eeed7
packers: PETITE
packers: Petite
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.
l'autre fichier
Antivirus Versión Last Update Result
AhnLab-V3 2007.7.11.1 20070711 Win-Trojan/Disabler.53248
AntiVir 7.4.0.39 20070711 HEUR/Malware
Authentium 4.93.8 20070711 no virus found
Avast 4.7.997.0 20070711 no virus found
AVG 7.5.0.476 20070711 Generic.YZW
BitDefender 7.2 20070711 Trojan.Disabler.K
CAT-QuickHeal 9.00 20070711 no virus found
ClamAV devel-20070416 20070711 no virus found
DrWeb 4.33 20070711 BackDoor.Generic.1497
eSafe 7.0.15.0 20070710 no virus found
eTrust-Vet 30.8.3779 20070711 Win32/Disackt.A
Ewido 4.0 20070711 Trojan.Disabler.k
FileAdvisor 1 20070711 no virus found
Fortinet 2.91.0.0 20070711 no virus found
F-Prot 4.3.2.48 20070710 no virus found
Ikarus T3.1.1.8 20070711 no virus found
Kaspersky 4.0.2.24 20070711 Virus.Win32.VB.fm
McAfee 5072 20070711 Disackt
Microsoft 1.2704 20070711 Trojan:Win32/Disabler
NOD32v2 2394 20070711 Win32/VB.AMN
Norman 5.80.02 20070711 no virus found
Panda 9.0.0.4 20070711 Trj/WindowsDisabler.C
Sophos 4.19.0 20070706 no virus found
Sunbelt 2.2.907.0 20070711 no virus found
Symantec 10 20070711 Trojan.Killfiles
TheHacker 6.1.6.144 20070709 Trojan/generic
VBA32 3.12.0.2 20070710 Trojan.Win32.VB.AMN
VirusBuster 4.3.23:9 20070711 Trojan.Disabler.H
Webwasher-Gateway 6.0.1 20070711 Heuristic.Malware
Aditional information
File size: 73728 bytes
MD5: cded169fc6fc617431efb8f5c13e512f
SHA1: c622f0d0e20174abd9721d7b199da565249479dd
pour hijackthis
Logfile of HijackThis v1.97.7
Scan saved at 19:33:28, on 11/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\progra~1\mcafee\mcafee antispyware\massrv.exe
c:\program files\mcafee.com\agent\mcdetect.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
C:\WINDOWS\system32\Ati2evxx.exe
c:\PROGRA~1\mcafee.com\vso\OasClnt.exe
c:\program files\mcafee.com\vso\mcvsshld.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\program files\mcafee.com\agent\mcagent.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\McAfee.com\Agent\mcregwiz.exe
C:\progra~1\mcafee\MCAFEE~1\masalert.exe
C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Messenger\msmsgs.exe
C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Fichiers communs\Sonic Shared\CineTray.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
c:\progra~1\mcafee.com\vso\mcvsftsn.exe
C:\Program Files\TP-LINK\TL-WN321G Wireless Utility\Installer\WINXP\TWCU.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Administrateur\Application Data\U3\0C803360F172D894\LaunchPad.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = https://www8.hp.com/fr/fr/home.html
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SetRefresh] C:\Program Files\Compaq\SetRefresh\SetRefresh.exe
O4 - HKLM\..\Run: [McRegWiz] C:\PROGRA~1\McAfee.com\Agent\mcregwiz.exe /autorun
O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] C:\Program Files\McAfee.com\VSO\mcvsshld.exe
O4 - HKLM\..\Run: [OASClnt] C:\Program Files\McAfee.com\VSO\oasclnt.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] c:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [_AntiSpyware] c:\progra~1\mcafee\MCAFEE~1\masalert.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [OrderReminder] C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Display LiteSaver Startup.lnk = C:\WINDOWS\HPLiteSaver.exe
O4 - Global Startup: Sonic CinePlayer Quick Launch.lnk = C:\Program Files\Fichiers communs\Sonic Shared\CineTray.exe
O4 - Global Startup: TL-WN321G Wireless Utility.lnk = C:\Program Files\TP-LINK\TL-WN321G Wireless Utility\Installer\WINXP\TWCU.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM)
O9 - Extra button: Recherche (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7F468D68-877E-4579-A77A-9D0371755C0B}: NameServer = 213.136.96.2,213.136.96.37
O17 - HKLM\System\CCS\Services\Tcpip\..\{AB78C74D-AE54-4DC3-A069-BCDEFB3763F7}: NameServer = 213.138.96.12
et enfin pour autosrch
C:\Documents and Settings\Administrateur\Bureau\Autosrch\Autosrch\autosearch.bat
Exécuté le 11/07/2007 à 19:34:16
###########################################################################
Listing des fichier *.vbs *.exe du dossier C:\WINDOWS
:. Fichiers *.vbs : Néant
C:\WINDOWS\apptune1020.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\hh.exe
C:\WINDOWS\HPLiteSaver.exe
C:\WINDOWS\NOTEPAD.EXE
C:\WINDOWS\regedit.exe
C:\WINDOWS\RtlUpd.exe
C:\WINDOWS\ST5UNST.EXE
C:\WINDOWS\TASKMAN.EXE
C:\WINDOWS\twunk_16.exe
C:\WINDOWS\twunk_32.exe
C:\WINDOWS\UNNeroBackItUp.exe
C:\WINDOWS\UNNeroMediaHome.exe
C:\WINDOWS\UNNeroShowTime.exe
C:\WINDOWS\UNNeroVision.exe
C:\WINDOWS\UNRecode.exe
C:\WINDOWS\winhelp.exe
C:\WINDOWS\winhlp32.exe
Listing des fichier *.vbs autorun.* du dossier C:\WINDOWS\System32
:. Fichiers autorun.* : Néant
C:\WINDOWS\System32\eventquery.vbs
C:\WINDOWS\System32\OeApi.vbs
C:\WINDOWS\System32\pagefileconfig.vbs
C:\WINDOWS\System32\prncnfg.vbs
C:\WINDOWS\System32\prndrvr.vbs
C:\WINDOWS\System32\prnjobs.vbs
C:\WINDOWS\System32\prnmngr.vbs
C:\WINDOWS\System32\prnport.vbs
C:\WINDOWS\System32\prnqctl.vbs
C:\WINDOWS\System32\pubprn.vbs
###########################################################################
C: - Lecteur fixe
Recherche des fichiers *.vbs et *.exe...
:. Fichiers vbs: Néant
:. Fichiers *.exe: Néant
Recherche des fichiers autorun.*...
:. Fichier autorun.* : Néant
###########################################################################
D: - Lecteur de CD-ROM
Recherche des fichiers *.vbs et *.exe...
:. Fichiers vbs: Néant
-> D:\LaunchU3.exe
Recherche des fichiers autorun.*...
D:\autorun.inf
Contenu de D:\autorun.inf :
[AutoRun]
open=LaunchU3.exe
icon=LaunchU3.exe,0
[Definitions]
Launchpad=LaunchPad.exe
[CopyFiles]
FileNumber=1
File1=LaunchPad.zip
###########################################################################
F: - Lecteur amovible
Recherche des fichiers *.vbs et *.exe...
:. Fichiers vbs: Néant
-> F:\LaunchU3.exe
Recherche des fichiers autorun.*...
:. Fichier autorun.* : Néant
###########################################################################
M: - Lecteur amovible
Recherche des fichiers *.vbs et *.exe...
:. Fichiers vbs: Néant
-> M:\INVITATION.exe
-> M:\Keygen Swish V2.EXE
Recherche des fichiers autorun.*...
:. Fichier autorun.* : Néant
###########################################################################
Registre :
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run
CTFMON.EXE REG_SZ C:\WINDOWS\system32\ctfmon.exe
swg REG_SZ C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
MSMSGS REG_SZ "C:\Program Files\Messenger\msmsgs.exe" /background
SsAAD.exe REG_SZ C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} REG_SZ "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
Yahoo! Pager REG_SZ "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
updateMgr REG_SZ C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run
ATIPTA REG_SZ "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
SetRefresh REG_SZ C:\Program Files\Compaq\SetRefresh\SetRefresh.exe
McRegWiz REG_SZ C:\PROGRA~1\McAfee.com\Agent\mcregwiz.exe /autorun
VSOCheckTask REG_SZ "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
VirusScan Online REG_SZ C:\Program Files\McAfee.com\VSO\mcvsshld.exe
OASClnt REG_SZ C:\Program Files\McAfee.com\VSO\oasclnt.exe
MCAgentExe REG_SZ c:\PROGRA~1\mcafee.com\agent\mcagent.exe
MCUpdateExe REG_SZ c:\PROGRA~1\mcafee.com\agent\mcupdate.exe
_AntiSpyware REG_SZ c:\progra~1\mcafee\MCAFEE~1\masalert.exe
NeroFilterCheck REG_SZ C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
OrderReminder REG_SZ C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL
Installed REG_SZ 1
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI
Installed REG_SZ 1
NoChange REG_SZ 1
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS
Installed REG_SZ 1
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
Shell REG_SZ Explorer.exe
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
Userinit REG_SZ C:\WINDOWS\system32\userinit.exe,
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer
NoDriveTypeAutoRun REG_DWORD 36 (0x24)
DisallowRun REG_DWORD 1 (0x1)
NoDriveAutoRun REG_BINARY ffffffff
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\DisallowRun
1 REG_SZ Regedit.exe
2 REG_SZ MSConfig.exe
3 REG_SZ taskmgr.exe
4 REG_SZ MMC.exe
5 REG_SZ gpedit.msc
6 REG_SZ Cmd.exe
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\run
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\Run
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system
dontdisplaylastusername REG_DWORD 0 (0x0)
legalnoticecaption REG_SZ
legalnoticetext REG_SZ
shutdownwithoutlogon REG_DWORD 1 (0x1)
undockwithoutlogon REG_DWORD 1 (0x1)
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot
AlternateShell REG_SZ cmd.exe
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\your image file name here without a path
Debugger REG_SZ ntsd -d
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C\Shell
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C\Shell\AutoRun
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C\Shell\AutoRun\command
<NO NAME> REG_SZ C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe WillPolo.vbs
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{12419f80-e0f0-11db-9cd6-0019db2d0e5c}\Shell
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{12419f80-e0f0-11db-9cd6-0019db2d0e5c}\Shell\AutoRun
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{12419f80-e0f0-11db-9cd6-0019db2d0e5c}\Shell\AutoRun\command
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{12419f80-e0f0-11db-9cd6-0019db2d0e5c}\Shell\explore
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{12419f80-e0f0-11db-9cd6-0019db2d0e5c}\Shell\explore\Command
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{12419f80-e0f0-11db-9cd6-0019db2d0e5c}\Shell\open
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{12419f80-e0f0-11db-9cd6-0019db2d0e5c}\Shell\open\Command
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{12419f80-e0f0-11db-9cd6-0019db2d0e5c}\Shell\open\Default
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1486aa76-d087-11db-9cb9-0019db2d0e5c}\Shell
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1486aa76-d087-11db-9cb9-0019db2d0e5c}\Shell\Autoplay
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1486aa76-d087-11db-9cb9-0019db2d0e5c}\Shell\Autoplay\DropTarget
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1486aa76-d087-11db-9cb9-0019db2d0e5c}\Shell\AutoRun
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1486aa76-d087-11db-9cb9-0019db2d0e5c}\Shell\AutoRun\command
<NO NAME> REG_SZ C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9ce5bf44-d21c-11db-9cbe-0019db2d0e5c}\Shell
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9ce5bf44-d21c-11db-9cbe-0019db2d0e5c}\Shell\Autoplay
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9ce5bf44-d21c-11db-9cbe-0019db2d0e5c}\Shell\Autoplay\DropTarget
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9ce5bf44-d21c-11db-9cbe-0019db2d0e5c}\Shell\AutoRun
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9ce5bf44-d21c-11db-9cbe-0019db2d0e5c}\Shell\AutoRun\command
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bdad4024-ee57-11db-9cdd-0019db2d0e5c}\Shell
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bdad4024-ee57-11db-9cdd-0019db2d0e5c}\Shell\Autoplay
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bdad4024-ee57-11db-9cdd-0019db2d0e5c}\Shell\Autoplay\DropTarget
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bdad4024-ee57-11db-9cdd-0019db2d0e5c}\Shell\AutoRun
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bdad4024-ee57-11db-9cdd-0019db2d0e5c}\Shell\AutoRun\command
<NO NAME> REG_SZ C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c70ab1a0-0d0d-11dc-9ce8-0019db2d0e5c}\Shell
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c70ab1a0-0d0d-11dc-9ce8-0019db2d0e5c}\Shell\Autoplay
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c70ab1a0-0d0d-11dc-9ce8-0019db2d0e5c}\Shell\Autoplay\DropTarget
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c70ab1a0-0d0d-11dc-9ce8-0019db2d0e5c}\Shell\AutoRun
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c70ab1a0-0d0d-11dc-9ce8-0019db2d0e5c}\Shell\AutoRun\command
<NO NAME> REG_SZ C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe
################################# END ###################################
merci beaucoup j'attend
beh voici le rapport des 2 fichiers suspect
AhnLab-V3 2007.7.11.1 20070711 no virus found
AntiVir 7.4.0.39 20070711 no virus found
Authentium 4.93.8 20070711 no virus found
Avast 4.7.997.0 20070711 no virus found
AVG 7.5.0.476 20070711 no virus found
BitDefender 7.2 20070711 no virus found
CAT-QuickHeal 9.00 20070711 (Suspicious) - DNAScan
ClamAV devel-20070416 20070711 no virus found
DrWeb 4.33 20070711 no virus found
eSafe 7.0.15.0 20070710 Suspicious Trojan/Worm
eTrust-Vet 30.8.3779 20070711 no virus found
Ewido 4.0 20070711 no virus found
FileAdvisor 1 20070711 no virus found
Fortinet 2.91.0.0 20070711 no virus found
F-Prot 4.3.2.48 20070710 no virus found
Ikarus T3.1.1.8 20070711 no virus found
Kaspersky 4.0.2.24 20070711 no virus found
McAfee 5072 20070711 no virus found
Microsoft 1.2704 20070711 no virus found
NOD32v2 2394 20070711 no virus found
Norman 5.80.02 20070711 no virus found
Panda 9.0.0.4 20070711 Suspicious file
Sophos 4.19.0 20070706 no virus found
Sunbelt 2.2.907.0 20070711 VIPRE.Suspicious
Symantec 10 20070711 no virus found
TheHacker 6.1.6.144 20070709 no virus found
VBA32 3.12.0.2 20070710 no virus found
VirusBuster 4.3.23:9 20070711 no virus found
Webwasher-Gateway 6.0.1 20070711 Win32.Malware.gen#Petite!94 (suspicious)
Aditional information
File size: 5578 bytes
MD5: 438778b92532ad7efaff3967ded070d1
SHA1: b9901d8a162090f74d01d85c947bb31f637eeed7
packers: PETITE
packers: Petite
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.
l'autre fichier
Antivirus Versión Last Update Result
AhnLab-V3 2007.7.11.1 20070711 Win-Trojan/Disabler.53248
AntiVir 7.4.0.39 20070711 HEUR/Malware
Authentium 4.93.8 20070711 no virus found
Avast 4.7.997.0 20070711 no virus found
AVG 7.5.0.476 20070711 Generic.YZW
BitDefender 7.2 20070711 Trojan.Disabler.K
CAT-QuickHeal 9.00 20070711 no virus found
ClamAV devel-20070416 20070711 no virus found
DrWeb 4.33 20070711 BackDoor.Generic.1497
eSafe 7.0.15.0 20070710 no virus found
eTrust-Vet 30.8.3779 20070711 Win32/Disackt.A
Ewido 4.0 20070711 Trojan.Disabler.k
FileAdvisor 1 20070711 no virus found
Fortinet 2.91.0.0 20070711 no virus found
F-Prot 4.3.2.48 20070710 no virus found
Ikarus T3.1.1.8 20070711 no virus found
Kaspersky 4.0.2.24 20070711 Virus.Win32.VB.fm
McAfee 5072 20070711 Disackt
Microsoft 1.2704 20070711 Trojan:Win32/Disabler
NOD32v2 2394 20070711 Win32/VB.AMN
Norman 5.80.02 20070711 no virus found
Panda 9.0.0.4 20070711 Trj/WindowsDisabler.C
Sophos 4.19.0 20070706 no virus found
Sunbelt 2.2.907.0 20070711 no virus found
Symantec 10 20070711 Trojan.Killfiles
TheHacker 6.1.6.144 20070709 Trojan/generic
VBA32 3.12.0.2 20070710 Trojan.Win32.VB.AMN
VirusBuster 4.3.23:9 20070711 Trojan.Disabler.H
Webwasher-Gateway 6.0.1 20070711 Heuristic.Malware
Aditional information
File size: 73728 bytes
MD5: cded169fc6fc617431efb8f5c13e512f
SHA1: c622f0d0e20174abd9721d7b199da565249479dd
pour hijackthis
Logfile of HijackThis v1.97.7
Scan saved at 19:33:28, on 11/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\progra~1\mcafee\mcafee antispyware\massrv.exe
c:\program files\mcafee.com\agent\mcdetect.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
C:\WINDOWS\system32\Ati2evxx.exe
c:\PROGRA~1\mcafee.com\vso\OasClnt.exe
c:\program files\mcafee.com\vso\mcvsshld.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\program files\mcafee.com\agent\mcagent.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\McAfee.com\Agent\mcregwiz.exe
C:\progra~1\mcafee\MCAFEE~1\masalert.exe
C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Messenger\msmsgs.exe
C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Fichiers communs\Sonic Shared\CineTray.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
c:\progra~1\mcafee.com\vso\mcvsftsn.exe
C:\Program Files\TP-LINK\TL-WN321G Wireless Utility\Installer\WINXP\TWCU.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Administrateur\Application Data\U3\0C803360F172D894\LaunchPad.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = https://www8.hp.com/fr/fr/home.html
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SetRefresh] C:\Program Files\Compaq\SetRefresh\SetRefresh.exe
O4 - HKLM\..\Run: [McRegWiz] C:\PROGRA~1\McAfee.com\Agent\mcregwiz.exe /autorun
O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] C:\Program Files\McAfee.com\VSO\mcvsshld.exe
O4 - HKLM\..\Run: [OASClnt] C:\Program Files\McAfee.com\VSO\oasclnt.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] c:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [_AntiSpyware] c:\progra~1\mcafee\MCAFEE~1\masalert.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [OrderReminder] C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Display LiteSaver Startup.lnk = C:\WINDOWS\HPLiteSaver.exe
O4 - Global Startup: Sonic CinePlayer Quick Launch.lnk = C:\Program Files\Fichiers communs\Sonic Shared\CineTray.exe
O4 - Global Startup: TL-WN321G Wireless Utility.lnk = C:\Program Files\TP-LINK\TL-WN321G Wireless Utility\Installer\WINXP\TWCU.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM)
O9 - Extra button: Recherche (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7F468D68-877E-4579-A77A-9D0371755C0B}: NameServer = 213.136.96.2,213.136.96.37
O17 - HKLM\System\CCS\Services\Tcpip\..\{AB78C74D-AE54-4DC3-A069-BCDEFB3763F7}: NameServer = 213.138.96.12
et enfin pour autosrch
C:\Documents and Settings\Administrateur\Bureau\Autosrch\Autosrch\autosearch.bat
Exécuté le 11/07/2007 à 19:34:16
###########################################################################
Listing des fichier *.vbs *.exe du dossier C:\WINDOWS
:. Fichiers *.vbs : Néant
C:\WINDOWS\apptune1020.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\hh.exe
C:\WINDOWS\HPLiteSaver.exe
C:\WINDOWS\NOTEPAD.EXE
C:\WINDOWS\regedit.exe
C:\WINDOWS\RtlUpd.exe
C:\WINDOWS\ST5UNST.EXE
C:\WINDOWS\TASKMAN.EXE
C:\WINDOWS\twunk_16.exe
C:\WINDOWS\twunk_32.exe
C:\WINDOWS\UNNeroBackItUp.exe
C:\WINDOWS\UNNeroMediaHome.exe
C:\WINDOWS\UNNeroShowTime.exe
C:\WINDOWS\UNNeroVision.exe
C:\WINDOWS\UNRecode.exe
C:\WINDOWS\winhelp.exe
C:\WINDOWS\winhlp32.exe
Listing des fichier *.vbs autorun.* du dossier C:\WINDOWS\System32
:. Fichiers autorun.* : Néant
C:\WINDOWS\System32\eventquery.vbs
C:\WINDOWS\System32\OeApi.vbs
C:\WINDOWS\System32\pagefileconfig.vbs
C:\WINDOWS\System32\prncnfg.vbs
C:\WINDOWS\System32\prndrvr.vbs
C:\WINDOWS\System32\prnjobs.vbs
C:\WINDOWS\System32\prnmngr.vbs
C:\WINDOWS\System32\prnport.vbs
C:\WINDOWS\System32\prnqctl.vbs
C:\WINDOWS\System32\pubprn.vbs
###########################################################################
C: - Lecteur fixe
Recherche des fichiers *.vbs et *.exe...
:. Fichiers vbs: Néant
:. Fichiers *.exe: Néant
Recherche des fichiers autorun.*...
:. Fichier autorun.* : Néant
###########################################################################
D: - Lecteur de CD-ROM
Recherche des fichiers *.vbs et *.exe...
:. Fichiers vbs: Néant
-> D:\LaunchU3.exe
Recherche des fichiers autorun.*...
D:\autorun.inf
Contenu de D:\autorun.inf :
[AutoRun]
open=LaunchU3.exe
icon=LaunchU3.exe,0
[Definitions]
Launchpad=LaunchPad.exe
[CopyFiles]
FileNumber=1
File1=LaunchPad.zip
###########################################################################
F: - Lecteur amovible
Recherche des fichiers *.vbs et *.exe...
:. Fichiers vbs: Néant
-> F:\LaunchU3.exe
Recherche des fichiers autorun.*...
:. Fichier autorun.* : Néant
###########################################################################
M: - Lecteur amovible
Recherche des fichiers *.vbs et *.exe...
:. Fichiers vbs: Néant
-> M:\INVITATION.exe
-> M:\Keygen Swish V2.EXE
Recherche des fichiers autorun.*...
:. Fichier autorun.* : Néant
###########################################################################
Registre :
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run
CTFMON.EXE REG_SZ C:\WINDOWS\system32\ctfmon.exe
swg REG_SZ C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
MSMSGS REG_SZ "C:\Program Files\Messenger\msmsgs.exe" /background
SsAAD.exe REG_SZ C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} REG_SZ "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
Yahoo! Pager REG_SZ "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
updateMgr REG_SZ C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run
ATIPTA REG_SZ "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
SetRefresh REG_SZ C:\Program Files\Compaq\SetRefresh\SetRefresh.exe
McRegWiz REG_SZ C:\PROGRA~1\McAfee.com\Agent\mcregwiz.exe /autorun
VSOCheckTask REG_SZ "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
VirusScan Online REG_SZ C:\Program Files\McAfee.com\VSO\mcvsshld.exe
OASClnt REG_SZ C:\Program Files\McAfee.com\VSO\oasclnt.exe
MCAgentExe REG_SZ c:\PROGRA~1\mcafee.com\agent\mcagent.exe
MCUpdateExe REG_SZ c:\PROGRA~1\mcafee.com\agent\mcupdate.exe
_AntiSpyware REG_SZ c:\progra~1\mcafee\MCAFEE~1\masalert.exe
NeroFilterCheck REG_SZ C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
OrderReminder REG_SZ C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL
Installed REG_SZ 1
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI
Installed REG_SZ 1
NoChange REG_SZ 1
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS
Installed REG_SZ 1
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
Shell REG_SZ Explorer.exe
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
Userinit REG_SZ C:\WINDOWS\system32\userinit.exe,
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer
NoDriveTypeAutoRun REG_DWORD 36 (0x24)
DisallowRun REG_DWORD 1 (0x1)
NoDriveAutoRun REG_BINARY ffffffff
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\DisallowRun
1 REG_SZ Regedit.exe
2 REG_SZ MSConfig.exe
3 REG_SZ taskmgr.exe
4 REG_SZ MMC.exe
5 REG_SZ gpedit.msc
6 REG_SZ Cmd.exe
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\run
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\Run
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system
dontdisplaylastusername REG_DWORD 0 (0x0)
legalnoticecaption REG_SZ
legalnoticetext REG_SZ
shutdownwithoutlogon REG_DWORD 1 (0x1)
undockwithoutlogon REG_DWORD 1 (0x1)
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot
AlternateShell REG_SZ cmd.exe
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\your image file name here without a path
Debugger REG_SZ ntsd -d
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C\Shell
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C\Shell\AutoRun
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C\Shell\AutoRun\command
<NO NAME> REG_SZ C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe WillPolo.vbs
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{12419f80-e0f0-11db-9cd6-0019db2d0e5c}\Shell
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{12419f80-e0f0-11db-9cd6-0019db2d0e5c}\Shell\AutoRun
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{12419f80-e0f0-11db-9cd6-0019db2d0e5c}\Shell\AutoRun\command
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{12419f80-e0f0-11db-9cd6-0019db2d0e5c}\Shell\explore
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{12419f80-e0f0-11db-9cd6-0019db2d0e5c}\Shell\explore\Command
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{12419f80-e0f0-11db-9cd6-0019db2d0e5c}\Shell\open
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{12419f80-e0f0-11db-9cd6-0019db2d0e5c}\Shell\open\Command
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{12419f80-e0f0-11db-9cd6-0019db2d0e5c}\Shell\open\Default
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1486aa76-d087-11db-9cb9-0019db2d0e5c}\Shell
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1486aa76-d087-11db-9cb9-0019db2d0e5c}\Shell\Autoplay
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1486aa76-d087-11db-9cb9-0019db2d0e5c}\Shell\Autoplay\DropTarget
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1486aa76-d087-11db-9cb9-0019db2d0e5c}\Shell\AutoRun
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1486aa76-d087-11db-9cb9-0019db2d0e5c}\Shell\AutoRun\command
<NO NAME> REG_SZ C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9ce5bf44-d21c-11db-9cbe-0019db2d0e5c}\Shell
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9ce5bf44-d21c-11db-9cbe-0019db2d0e5c}\Shell\Autoplay
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9ce5bf44-d21c-11db-9cbe-0019db2d0e5c}\Shell\Autoplay\DropTarget
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9ce5bf44-d21c-11db-9cbe-0019db2d0e5c}\Shell\AutoRun
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9ce5bf44-d21c-11db-9cbe-0019db2d0e5c}\Shell\AutoRun\command
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bdad4024-ee57-11db-9cdd-0019db2d0e5c}\Shell
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bdad4024-ee57-11db-9cdd-0019db2d0e5c}\Shell\Autoplay
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bdad4024-ee57-11db-9cdd-0019db2d0e5c}\Shell\Autoplay\DropTarget
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bdad4024-ee57-11db-9cdd-0019db2d0e5c}\Shell\AutoRun
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bdad4024-ee57-11db-9cdd-0019db2d0e5c}\Shell\AutoRun\command
<NO NAME> REG_SZ C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c70ab1a0-0d0d-11dc-9ce8-0019db2d0e5c}\Shell
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c70ab1a0-0d0d-11dc-9ce8-0019db2d0e5c}\Shell\Autoplay
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c70ab1a0-0d0d-11dc-9ce8-0019db2d0e5c}\Shell\Autoplay\DropTarget
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c70ab1a0-0d0d-11dc-9ce8-0019db2d0e5c}\Shell\AutoRun
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c70ab1a0-0d0d-11dc-9ce8-0019db2d0e5c}\Shell\AutoRun\command
<NO NAME> REG_SZ C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe
################################# END ###################################
merci beaucoup j'attend
Désolé d'insister mais, tu pourrais m'envoyer une copie zippé de ces deux:
M:\INVITATION.exe
M:\Keygen Swish V2.EXE
Dis moi franchement si tu n'as pas envie , je le comprendrais très bien et j'insisterais plus :-).
Ils sont vérolés tout les deux et très peu d'AV sont en mesure de les détecter si on en crois le faible taux de détection sur virustotal.
Bon, sinon laisse moi quelques minutes et je te poste la suite des manips.
A plus tard !
M:\INVITATION.exe
M:\Keygen Swish V2.EXE
Dis moi franchement si tu n'as pas envie , je le comprendrais très bien et j'insisterais plus :-).
Ils sont vérolés tout les deux et très peu d'AV sont en mesure de les détecter si on en crois le faible taux de détection sur virustotal.
Bon, sinon laisse moi quelques minutes et je te poste la suite des manips.
A plus tard !
newtech83
Messages postés
187
Date d'inscription
mercredi 11 juillet 2007
Statut
Membre
Dernière intervention
10 avril 2011
15
11 juil. 2007 à 21:54
11 juil. 2007 à 21:54
ok j'attend car je part dans quelques minutes
Merci Newtech83, c'est reçu :-)
Télécharge newtech.bat et enregistre le sur ton bureau.
Important, place ce fichier dans le dossier autosrch, sinon il ne fonctionnera pas.
Il permettra de lever certaines restriction comme l'accès à:
Regedit.exe
MSConfig.exe
taskmgr.exe
MMC.exe
gpedit.msc
Cmd.exe
Pour l'instant, n'utilise pas ce fichier.
D'abord, vas dans le Poste de travail:
Fais un clic droit >> Explorer sur l'icône du disque/clé -> M:\
Et supprime:
M:\INVITATION.exe
M:\Keygen Swish V2.EXE
(n'oublies pas de vider la corbeille ensuite ;-) )
Sur le bureau et dans le dossier autosrch, lance le fichier que tu viens de télécharger, newtech.bat.
Une fenêtre va tres rapidement s'ouvrir et se refermer, c'est normal.
Redémarre le pc pour que les modifications soit prises en compte.
Après avoir redémarré, fais moi le point sur les restrictions:
Du gestionnaire des tâches
De l'éditeur du registre
De l'invite de commande (demarrer > executer > tape cmd)
De l'utilitaire de configuration système (demarrer > executer > tape msconfig)
De l'éditeur de stratégies (demarrer > executer > tape gpedit.msc) <- Uniquement si tu es sous XP Pro
De la console de Management (demarrer > executer > tape mmc)
En me disant si tu y as de nouveau accès ou pas...Et si tu as d'autres restrictions et lesquelles.
A+ tard
Télécharge newtech.bat et enregistre le sur ton bureau.
Important, place ce fichier dans le dossier autosrch, sinon il ne fonctionnera pas.
Il permettra de lever certaines restriction comme l'accès à:
Regedit.exe
MSConfig.exe
taskmgr.exe
MMC.exe
gpedit.msc
Cmd.exe
Pour l'instant, n'utilise pas ce fichier.
D'abord, vas dans le Poste de travail:
Fais un clic droit >> Explorer sur l'icône du disque/clé -> M:\
Et supprime:
M:\INVITATION.exe
M:\Keygen Swish V2.EXE
(n'oublies pas de vider la corbeille ensuite ;-) )
Sur le bureau et dans le dossier autosrch, lance le fichier que tu viens de télécharger, newtech.bat.
Une fenêtre va tres rapidement s'ouvrir et se refermer, c'est normal.
Redémarre le pc pour que les modifications soit prises en compte.
Après avoir redémarré, fais moi le point sur les restrictions:
Du gestionnaire des tâches
De l'éditeur du registre
De l'invite de commande (demarrer > executer > tape cmd)
De l'utilitaire de configuration système (demarrer > executer > tape msconfig)
De l'éditeur de stratégies (demarrer > executer > tape gpedit.msc) <- Uniquement si tu es sous XP Pro
De la console de Management (demarrer > executer > tape mmc)
En me disant si tu y as de nouveau accès ou pas...Et si tu as d'autres restrictions et lesquelles.
A+ tard
newtech83
Messages postés
187
Date d'inscription
mercredi 11 juillet 2007
Statut
Membre
Dernière intervention
10 avril 2011
15
11 juil. 2007 à 22:29
11 juil. 2007 à 22:29
salut
Tous marche a merveille tous les restrictions ont disparu . bon jusuqe la tous je crois bien .
merci bien à demain
Tous marche a merveille tous les restrictions ont disparu . bon jusuqe la tous je crois bien .
merci bien à demain
newtech83
Messages postés
187
Date d'inscription
mercredi 11 juillet 2007
Statut
Membre
Dernière intervention
10 avril 2011
15
11 juil. 2007 à 22:32
11 juil. 2007 à 22:32
j'oubliai je voulais que tu me donne des conseils pour un tres bon antivirus selon toi car tous sont bon mais chacun a une preference car le poste que j'utilise est connecter en permanence et je crois que Macaffe ne fais pas trop le poids en plus il es en reseau avec d'autres poste
merci et a demain
merci et a demain