Comment se débarasser de Win32.Cuter.A & Gene
Résolu
Kokoy
Messages postés
59
Statut
Membre
-
green day Messages postés 26722 Statut Modérateur, Contributeur sécurité -
green day Messages postés 26722 Statut Modérateur, Contributeur sécurité -
Bonjour quelqu'un peut il me dire comment se débarrasser de Win32.Cuter.A Generic.Malware.Fdld.8CE39CF2 (voir d'autres) voir rapport de bitdefender de ce jour:
BitDefender Online Scanner
Rapport d'analyse généré à: Wed, Aug 22, 2007 - 14:30:22
Voie d'analyse: C:\;D:\;E:\;F:\;G:\;H:\;
Statistiques
Temps
01:49:57
Fichiers
283801
Directoires
4401
Secteurs de boot
7
Archives
8696
Paquets programmes
10793
Résultats
Virus identifiés
17
Fichiers infectés
22
Fichiers suspects
1
Avertissements
0
Désinfectés
0
Fichiers effacés
20
Info sur les moteurs
Définition virus
749496
Version des moteurs
AVCORE v1.0 (build 2411) (i386) (Jul 9 2007 12:10:22)
Analyse des plugins
14
Archive des plugins
37
Unpack des plugins
6
E-mail plugins
6
Système plugins
1
Paramètres d'analyse
Première action
Désinfecté
Seconde Action
Supprimé
Heuristique
Oui
Acceptez les avertissements
Oui
Extensions analysées
*;
Excludez les extensions
Analyse d'emails
Oui
Analyse des Archives
Oui
Analyser paquets programmes
Oui
Analyse des fichiers
Oui
Analyse de boot
Oui
Fichier analysé
Statut
C:\WINDOWS\system32\perfc000.dat
Infecté par: Trojan.Agent.AWX
C:\WINDOWS\system32\perfc000.dat
Echec de la désinfection
C:\WINDOWS\system32\perfc000.dat
Supprimé
C:\WINDOWS\system32\winservcs32.dll
Suspecté de: Generic.Malware.Fdld.8CE39CF2
C:\WINDOWS\system32\winservcs32.dll
Echec de la désinfection
C:\WINDOWS\system32\winservcs32.dll
Echec de la suppression
C:\Program Files\Wanadoo\Watch.exe
Infecté par: Win32.Cuter.A
C:\Program Files\Wanadoo\Watch.exe
Echec de la désinfection
C:\Program Files\Wanadoo\Watch.exe
Echec de la suppression
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
Infecté par: Win32.Cuter.A
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
Echec de la désinfection
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
Echec de la suppression
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029700.exe
Infecté par: Trojan.Peed.IFR
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029700.exe
Echec de la désinfection
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029700.exe
Supprimé
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029726.exe
Infecté par: DeepScan:Generic.Malware.SMYddldoe.23E153E0
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029726.exe
Supprimé
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029727.exe
Infecté par: GenPack:Trojan.Peed.NG
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029727.exe
Echec de la désinfection
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029727.exe
Supprimé
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029728.exe
Infecté par: DeepScan:Generic.Malware.SMYddldoe.23E153E0
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029728.exe
Supprimé
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029729.exe
Infecté par: Trojan.Proxy.Xorpix.BH
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029729.exe
Echec de la désinfection
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029729.exe
Supprimé
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029730.exe
Infecté par: Trojan.Peed.Gen
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029730.exe
Echec de la désinfection
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029730.exe
Supprimé
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029731.exe
Infecté par: GenPack:Trojan.Peed.IET
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029731.exe
Echec de la désinfection
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029731.exe
Supprimé
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029732.exe
Infecté par: Trojan.Peed.IFL
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029732.exe
Echec de la désinfection
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029732.exe
Supprimé
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029733.exe
Infecté par: Trojan.Peed.Gen
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029733.exe
Echec de la désinfection
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029733.exe
Supprimé
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029734.exe
Infecté par: Trojan.Peed.IFS
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029734.exe
Echec de la désinfection
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029734.exe
Supprimé
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029735.exe
Infecté par: Trojan.Pandex.H
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029735.exe
Echec de la désinfection
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029735.exe
Supprimé
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029745.exe
Infecté par: Trojan.Peed.IGD
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029745.exe
Supprimé
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP87\A0029864.exe
Infecté par: Trojan.PWS.LDPinch.TAW
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP87\A0029864.exe
Echec de la désinfection
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP87\A0029864.exe
Supprimé
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP87\A0029865.exe
Infecté par: Trojan.Krotten.B
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP87\A0029865.exe
Echec de la désinfection
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP87\A0029865.exe
Supprimé
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP87\A0029866.exe
Infecté par: Trojan.Obfuscated.HF
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP87\A0029866.exe
Echec de la désinfection
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP87\A0029866.exe
Supprimé
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP87\A0029867.exe
Infecté par: GenPack:Trojan.Patched.Constructor.A
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP87\A0029867.exe
Echec de la désinfection
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP87\A0029867.exe
Supprimé
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP87\A0029868.exe
Infecté par: Win32.Cuter.A
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP87\A0029868.exe
Echec de la désinfection
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP87\A0029868.exe
Supprimé
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP87\A0029869.exe
Infecté par: GenPack:Trojan.Downloader.Tibs.BS
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP87\A0029869.exe
Echec de la désinfection
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP87\A0029869.exe
Supprimé
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP87\A0029870.exe
Infecté par: Trojan.Peed.IFS
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP87\A0029870.exe
Echec de la désinfection
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP87\A0029870.exe
Supprimé
D'avance merci.
BitDefender Online Scanner
Rapport d'analyse généré à: Wed, Aug 22, 2007 - 14:30:22
Voie d'analyse: C:\;D:\;E:\;F:\;G:\;H:\;
Statistiques
Temps
01:49:57
Fichiers
283801
Directoires
4401
Secteurs de boot
7
Archives
8696
Paquets programmes
10793
Résultats
Virus identifiés
17
Fichiers infectés
22
Fichiers suspects
1
Avertissements
0
Désinfectés
0
Fichiers effacés
20
Info sur les moteurs
Définition virus
749496
Version des moteurs
AVCORE v1.0 (build 2411) (i386) (Jul 9 2007 12:10:22)
Analyse des plugins
14
Archive des plugins
37
Unpack des plugins
6
E-mail plugins
6
Système plugins
1
Paramètres d'analyse
Première action
Désinfecté
Seconde Action
Supprimé
Heuristique
Oui
Acceptez les avertissements
Oui
Extensions analysées
*;
Excludez les extensions
Analyse d'emails
Oui
Analyse des Archives
Oui
Analyser paquets programmes
Oui
Analyse des fichiers
Oui
Analyse de boot
Oui
Fichier analysé
Statut
C:\WINDOWS\system32\perfc000.dat
Infecté par: Trojan.Agent.AWX
C:\WINDOWS\system32\perfc000.dat
Echec de la désinfection
C:\WINDOWS\system32\perfc000.dat
Supprimé
C:\WINDOWS\system32\winservcs32.dll
Suspecté de: Generic.Malware.Fdld.8CE39CF2
C:\WINDOWS\system32\winservcs32.dll
Echec de la désinfection
C:\WINDOWS\system32\winservcs32.dll
Echec de la suppression
C:\Program Files\Wanadoo\Watch.exe
Infecté par: Win32.Cuter.A
C:\Program Files\Wanadoo\Watch.exe
Echec de la désinfection
C:\Program Files\Wanadoo\Watch.exe
Echec de la suppression
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
Infecté par: Win32.Cuter.A
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
Echec de la désinfection
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
Echec de la suppression
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029700.exe
Infecté par: Trojan.Peed.IFR
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029700.exe
Echec de la désinfection
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029700.exe
Supprimé
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029726.exe
Infecté par: DeepScan:Generic.Malware.SMYddldoe.23E153E0
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029726.exe
Supprimé
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029727.exe
Infecté par: GenPack:Trojan.Peed.NG
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029727.exe
Echec de la désinfection
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029727.exe
Supprimé
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029728.exe
Infecté par: DeepScan:Generic.Malware.SMYddldoe.23E153E0
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029728.exe
Supprimé
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029729.exe
Infecté par: Trojan.Proxy.Xorpix.BH
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029729.exe
Echec de la désinfection
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029729.exe
Supprimé
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029730.exe
Infecté par: Trojan.Peed.Gen
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029730.exe
Echec de la désinfection
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029730.exe
Supprimé
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029731.exe
Infecté par: GenPack:Trojan.Peed.IET
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029731.exe
Echec de la désinfection
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029731.exe
Supprimé
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029732.exe
Infecté par: Trojan.Peed.IFL
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029732.exe
Echec de la désinfection
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029732.exe
Supprimé
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029733.exe
Infecté par: Trojan.Peed.Gen
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029733.exe
Echec de la désinfection
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029733.exe
Supprimé
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029734.exe
Infecté par: Trojan.Peed.IFS
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029734.exe
Echec de la désinfection
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029734.exe
Supprimé
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029735.exe
Infecté par: Trojan.Pandex.H
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029735.exe
Echec de la désinfection
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029735.exe
Supprimé
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029745.exe
Infecté par: Trojan.Peed.IGD
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP85\A0029745.exe
Supprimé
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP87\A0029864.exe
Infecté par: Trojan.PWS.LDPinch.TAW
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP87\A0029864.exe
Echec de la désinfection
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP87\A0029864.exe
Supprimé
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP87\A0029865.exe
Infecté par: Trojan.Krotten.B
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP87\A0029865.exe
Echec de la désinfection
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP87\A0029865.exe
Supprimé
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP87\A0029866.exe
Infecté par: Trojan.Obfuscated.HF
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP87\A0029866.exe
Echec de la désinfection
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP87\A0029866.exe
Supprimé
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP87\A0029867.exe
Infecté par: GenPack:Trojan.Patched.Constructor.A
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP87\A0029867.exe
Echec de la désinfection
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP87\A0029867.exe
Supprimé
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP87\A0029868.exe
Infecté par: Win32.Cuter.A
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP87\A0029868.exe
Echec de la désinfection
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP87\A0029868.exe
Supprimé
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP87\A0029869.exe
Infecté par: GenPack:Trojan.Downloader.Tibs.BS
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP87\A0029869.exe
Echec de la désinfection
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP87\A0029869.exe
Supprimé
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP87\A0029870.exe
Infecté par: Trojan.Peed.IFS
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP87\A0029870.exe
Echec de la désinfection
C:\System Volume Information\_restore{DF74D1A7-CBF5-4102-ACFD-543171745187}\RP87\A0029870.exe
Supprimé
D'avance merci.
A voir également:
- Comment se débarasser de Win32.Cuter.A & Gene
- Win32:pup-gen ✓ - Forum Virus
- Win32:malware-gen - Forum Virus
- Télécharger win32 valide pour windows 7 gratuit - Forum Windows
- Trojan win32 - Forum Virus
- Dans le fichier, générez ce tableau automatiquement (tableau croisé dynamique ou table de pilote) à partir des quatre premières colonnes. - Guide
75 réponses
Avast ne détecte rien mais Kapersky et bitdefender oui mais avec un nom légerement différents:
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
Infecté par: Win32.Cuter.A pour bit défender et Trojan.Win32.Patched.af pour Kapersky
Idem pour C:\Program Files\Wanadoo\Watch.exe
++
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
Infecté par: Win32.Cuter.A pour bit défender et Trojan.Win32.Patched.af pour Kapersky
Idem pour C:\Program Files\Wanadoo\Watch.exe
++
Salut
# Télécharge ceci: (merci a S!RI pour ce petit programme).
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Exécute le, Double click sur Smitfraudfix.cmd choisit l’option 1,
voila a quoi cela ressemble : http://siri.urz.free.fr/Fix/SmitfraudFix.php
il va générer un rapport : copie/colle le sur le poste stp.
++
# Télécharge ceci: (merci a S!RI pour ce petit programme).
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Exécute le, Double click sur Smitfraudfix.cmd choisit l’option 1,
voila a quoi cela ressemble : http://siri.urz.free.fr/Fix/SmitfraudFix.php
il va générer un rapport : copie/colle le sur le poste stp.
++
Voila le rapport:
SmitFraudFix v2.216
Rapport fait à 0:10:56,07, 25/08/2007
Executé à partir de C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est FAT32
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe
C:\Program Files\TomTom HOME\TomTomHOME.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\12018SC Multimedia Mouse Driver\MouseDrv.exe
C:\PROGRA~1\WANADOO\TaskBarIcon.exe
C:\Program Files\Microsoft Money\System\mnyexpr.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\Program Files\HP\Digital Imaging\bin\hpqnrs08.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\WINDOWS\system32\HPZinw12.exe
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPBOID.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPBOID.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPBPRO.EXE
C:\PROGRA~1\WANADOO\WOOBrowser\WOOBrowser.exe
C:\PROGRA~1\WANADOO\WOOBRO~1\DownloadManager.exe
C:\WINDOWS\system32\cmd.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
C:\WINDOWS\Tasks\At?.job PRESENT !
C:\WINDOWS\Tasks\At??.job PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\FAVORIS
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Rustock
»»»»»»»»»»»»»»»»»»»»»»»» DNS
Description: 802.11 USB Wireless LAN Adapter #4 - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1
DNS Server Search Order: 0.0.0.0
HKLM\SYSTEM\CCS\Services\Tcpip\..\{2CCE921F-247F-4DA2-BE38-C8974D24A68E}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\..\{2CCE921F-247F-4DA2-BE38-C8974D24A68E}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
++
SmitFraudFix v2.216
Rapport fait à 0:10:56,07, 25/08/2007
Executé à partir de C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est FAT32
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe
C:\Program Files\TomTom HOME\TomTomHOME.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\12018SC Multimedia Mouse Driver\MouseDrv.exe
C:\PROGRA~1\WANADOO\TaskBarIcon.exe
C:\Program Files\Microsoft Money\System\mnyexpr.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\Program Files\HP\Digital Imaging\bin\hpqnrs08.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\WINDOWS\system32\HPZinw12.exe
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPBOID.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPBOID.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPBPRO.EXE
C:\PROGRA~1\WANADOO\WOOBrowser\WOOBrowser.exe
C:\PROGRA~1\WANADOO\WOOBRO~1\DownloadManager.exe
C:\WINDOWS\system32\cmd.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
C:\WINDOWS\Tasks\At?.job PRESENT !
C:\WINDOWS\Tasks\At??.job PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\FAVORIS
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Rustock
»»»»»»»»»»»»»»»»»»»»»»»» DNS
Description: 802.11 USB Wireless LAN Adapter #4 - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1
DNS Server Search Order: 0.0.0.0
HKLM\SYSTEM\CCS\Services\Tcpip\..\{2CCE921F-247F-4DA2-BE38-C8974D24A68E}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\..\{2CCE921F-247F-4DA2-BE38-C8974D24A68E}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
++
En plus j'ai avast qui me signal un cheval de troie et que je choisisse de le mettre en quanrantaine ou de le supprimer il me dit qu'il ne peut pas y acceder ou qu'il est utilisé par un autre processus!!
C'est Win32-Agent-KCT {Trj]
++
C'est Win32-Agent-KCT {Trj]
++
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
ok,
# Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).
----------------------------------------------------------------------------
# Relance le programme Smitfraud :
Cette fois choisit l’option 2, répond oui a tous ;
Sauvegarde le rapport, Redémarre en mode normal, copie/colle le rapport sauvegardé sur le forum
et poste un nouveau hijack stp
++
# Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).
----------------------------------------------------------------------------
# Relance le programme Smitfraud :
Cette fois choisit l’option 2, répond oui a tous ;
Sauvegarde le rapport, Redémarre en mode normal, copie/colle le rapport sauvegardé sur le forum
et poste un nouveau hijack stp
++
Voici le rapport smit:
SmitFraudFix v2.216
Rapport fait à 0:51:20,06, 25/08/2007
Executé à partir de C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est FAT32
Fix executé en mode sans echec
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
»»»»»»»»»»»»»»»»»»»»»»»» hosts
127.0.0.1 localhost
192.168.1.11 HP0019BBF3C897
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
GenericRenosFix by S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
C:\WINDOWS\Tasks\At?.job supprimé
C:\WINDOWS\Tasks\At??.job supprimé
»»»»»»»»»»»»»»»»»»»»»»»» DNS
HKLM\SYSTEM\CCS\Services\Tcpip\..\{2CCE921F-247F-4DA2-BE38-C8974D24A68E}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\..\{2CCE921F-247F-4DA2-BE38-C8974D24A68E}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
Nettoyage terminé.
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
Le hitjack:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:59, on 25/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\12018SC Multimedia Mouse Driver\MouseDrv.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Program Files\TomTom HOME\TomTomHOME.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\WANADOO\TaskBarIcon.exe
C:\Program Files\Microsoft Money\System\mnyexpr.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\HP\Digital Imaging\bin\hpqnrs08.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\PROGRA~1\WANADOO\WOOBrowser\WOOBrowser.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\MICROS~2\OFFICE11\OUTLOOK.EXE
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Microsoft Money\System\mnyside.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [WireLessMouse] C:\Program Files\12018SC Multimedia Mouse Driver\StartAutorun.exe MouseDrv.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast!] "C:\Program Files\Alwil Software\Avast4\ashDisp.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME\TomTomHOME.exe" -s
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\mnyexpr.exe"
O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Tout télécharger avec FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Unibet Poker - {C53BFCFC-7A54-4627-AEBA-2CD4871FCA97} - C:\Microgaming\Poker\UnibetpokerMPP\MPPoker.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - https://www.touslesdrivers.com/index.php?v_page=29
O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://a532.g.akamai.net/...
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: HP Port Resolver - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBPRO.EXE
O23 - Service: HP Status Server - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBOID.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe
SmitFraudFix v2.216
Rapport fait à 0:51:20,06, 25/08/2007
Executé à partir de C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est FAT32
Fix executé en mode sans echec
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
»»»»»»»»»»»»»»»»»»»»»»»» hosts
127.0.0.1 localhost
192.168.1.11 HP0019BBF3C897
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
GenericRenosFix by S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
C:\WINDOWS\Tasks\At?.job supprimé
C:\WINDOWS\Tasks\At??.job supprimé
»»»»»»»»»»»»»»»»»»»»»»»» DNS
HKLM\SYSTEM\CCS\Services\Tcpip\..\{2CCE921F-247F-4DA2-BE38-C8974D24A68E}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\..\{2CCE921F-247F-4DA2-BE38-C8974D24A68E}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
Nettoyage terminé.
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
Le hitjack:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:59, on 25/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\12018SC Multimedia Mouse Driver\MouseDrv.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Program Files\TomTom HOME\TomTomHOME.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\WANADOO\TaskBarIcon.exe
C:\Program Files\Microsoft Money\System\mnyexpr.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\HP\Digital Imaging\bin\hpqnrs08.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\PROGRA~1\WANADOO\WOOBrowser\WOOBrowser.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\MICROS~2\OFFICE11\OUTLOOK.EXE
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Microsoft Money\System\mnyside.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [WireLessMouse] C:\Program Files\12018SC Multimedia Mouse Driver\StartAutorun.exe MouseDrv.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast!] "C:\Program Files\Alwil Software\Avast4\ashDisp.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME\TomTomHOME.exe" -s
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\mnyexpr.exe"
O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Tout télécharger avec FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Unibet Poker - {C53BFCFC-7A54-4627-AEBA-2CD4871FCA97} - C:\Microgaming\Poker\UnibetpokerMPP\MPPoker.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - https://www.touslesdrivers.com/index.php?v_page=29
O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://a532.g.akamai.net/...
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: HP Port Resolver - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBPRO.EXE
O23 - Service: HP Status Server - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBOID.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe
oui, c'est normal l'écran bleu, il suffit de remettre ton fond d'ecran !
ce qui me chagrine, c'est que les fichiers touchés sont assez sensibles :/
http://www.virustotal.com/xhtml/virustotal_en.html
tu cliques sur le bouton parcourir, tu sélectionnes le fichier Watch.exe et tu cliques sur Send.
C:\Program Files\Wanadoo\Watch.exe
de même pour :
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
et poste les rapport stp
++
ce qui me chagrine, c'est que les fichiers touchés sont assez sensibles :/
http://www.virustotal.com/xhtml/virustotal_en.html
tu cliques sur le bouton parcourir, tu sélectionnes le fichier Watch.exe et tu cliques sur Send.
C:\Program Files\Wanadoo\Watch.exe
de même pour :
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
et poste les rapport stp
++
Fichier HPWuSchd2.exe reçu le 2007.08.25 01:21:12 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 16/32 (50%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 1.
L'heure estimée de démarrage est entre 39 et 56 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.
Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2007.8.25.0 2007.08.24 Win32/Duel.B
AntiVir 7.4.1.63 2007.08.24 HEUR/Malware
Authentium 4.93.8 2007.08.24 -
Avast 4.7.1029.0 2007.08.24 -
AVG 7.5.0.484 2007.08.24 Win32/PEPatch
BitDefender 7.2 2007.08.25 Win32.Cuter.A
CAT-QuickHeal 9.00 2007.08.23 W32.Luder.C
ClamAV 0.91 2007.08.24 W32.Cuter
DrWeb 4.33 2007.08.25 Trojan.Inject.351
eSafe 7.0.15.0 2007.08.23 -
eTrust-Vet 31.1.5085 2007.08.24 -
Ewido 4.0 2007.08.24 -
FileAdvisor 1 2007.08.25 -
Fortinet 2.91.0.0 2007.08.24 -
F-Prot 4.3.2.48 2007.08.24 -
F-Secure 6.70.13030.0 2007.08.24 Trojan.Win32.Patched.af
Ikarus T3.1.1.12 2007.08.25 -
Kaspersky 4.0.2.24 2007.08.24 Trojan.Win32.Patched.af
McAfee 5105 2007.08.24 W32/Resourcer
Microsoft 1.2803 2007.08.24 -
NOD32v2 2483 2007.08.24 Win32/Agent.AB
Norman 5.80.02 2007.08.24 -
Panda 9.0.0.4 2007.08.24 W32/ZlFake.A
Prevx1 V2 2007.08.25 -
Rising 19.37.42.00 2007.08.24 Virus.Win32.Agent.b
Sophos 4.21.0 2007.08.24 -
Sunbelt 2.2.907.0 2007.08.25 VIPRE.Suspicious
Symantec 10 2007.08.25 -
TheHacker 6.1.8.172 2007.08.24 -
VBA32 3.12.2.3 2007.08.24 -
VirusBuster 4.3.26:9 2007.08.24 Trojan.Patched.S
Webwasher-Gateway 6.0.1 2007.08.24 Heuristic.Malware
Information additionnelle
File size: 57344 bytes
MD5: beddecebef4f60cde0fba002af6cfa83
SHA1: 6b34110b4da901842450b12b4c387efae98c278f
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.
Fichier Watch.exe reçu le 2007.08.25 01:20:33 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 16/32 (50%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 3.
L'heure estimée de démarrage est entre 48 et 68 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.
Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2007.8.25.0 2007.08.24 Win32/Duel.B
AntiVir 7.4.1.63 2007.08.24 HEUR/Malware
Authentium 4.93.8 2007.08.24 -
Avast 4.7.1029.0 2007.08.24 -
AVG 7.5.0.484 2007.08.24 Win32/PEPatch
BitDefender 7.2 2007.08.25 Win32.Cuter.A
CAT-QuickHeal 9.00 2007.08.23 W32.Luder.C
ClamAV 0.91 2007.08.24 W32.Cuter
DrWeb 4.33 2007.08.25 Trojan.Inject.351
eSafe 7.0.15.0 2007.08.23 -
eTrust-Vet 31.1.5085 2007.08.24 -
Ewido 4.0 2007.08.24 -
FileAdvisor 1 2007.08.25 -
Fortinet 2.91.0.0 2007.08.24 -
F-Prot 4.3.2.48 2007.08.24 -
F-Secure 6.70.13030.0 2007.08.24 Trojan.Win32.Patched.af
Ikarus T3.1.1.12 2007.08.25 -
Kaspersky 4.0.2.24 2007.08.24 Trojan.Win32.Patched.af
McAfee 5105 2007.08.24 W32/Resourcer
Microsoft 1.2803 2007.08.24 -
NOD32v2 2483 2007.08.24 Win32/Agent.AB
Norman 5.80.02 2007.08.24 -
Panda 9.0.0.4 2007.08.24 W32/ZlFake.A
Prevx1 V2 2007.08.25 -
Rising 19.37.42.00 2007.08.24 Virus.Win32.Agent.b
Sophos 4.21.0 2007.08.24 -
Sunbelt 2.2.907.0 2007.08.25 VIPRE.Suspicious
Symantec 10 2007.08.25 -
TheHacker 6.1.8.172 2007.08.24 -
VBA32 3.12.2.3 2007.08.24 -
VirusBuster 4.3.26:9 2007.08.24 Trojan.Patched.S
Webwasher-Gateway 6.0.1 2007.08.24 Heuristic.Malware
Information additionnelle
File size: 28672 bytes
MD5: 6211ee4f7ad0ca042422e8c6ff877bb2
SHA1: 0d4d50ca352590267af855afd66899c084271e85
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.
Alors??
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 16/32 (50%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 1.
L'heure estimée de démarrage est entre 39 et 56 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.
Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2007.8.25.0 2007.08.24 Win32/Duel.B
AntiVir 7.4.1.63 2007.08.24 HEUR/Malware
Authentium 4.93.8 2007.08.24 -
Avast 4.7.1029.0 2007.08.24 -
AVG 7.5.0.484 2007.08.24 Win32/PEPatch
BitDefender 7.2 2007.08.25 Win32.Cuter.A
CAT-QuickHeal 9.00 2007.08.23 W32.Luder.C
ClamAV 0.91 2007.08.24 W32.Cuter
DrWeb 4.33 2007.08.25 Trojan.Inject.351
eSafe 7.0.15.0 2007.08.23 -
eTrust-Vet 31.1.5085 2007.08.24 -
Ewido 4.0 2007.08.24 -
FileAdvisor 1 2007.08.25 -
Fortinet 2.91.0.0 2007.08.24 -
F-Prot 4.3.2.48 2007.08.24 -
F-Secure 6.70.13030.0 2007.08.24 Trojan.Win32.Patched.af
Ikarus T3.1.1.12 2007.08.25 -
Kaspersky 4.0.2.24 2007.08.24 Trojan.Win32.Patched.af
McAfee 5105 2007.08.24 W32/Resourcer
Microsoft 1.2803 2007.08.24 -
NOD32v2 2483 2007.08.24 Win32/Agent.AB
Norman 5.80.02 2007.08.24 -
Panda 9.0.0.4 2007.08.24 W32/ZlFake.A
Prevx1 V2 2007.08.25 -
Rising 19.37.42.00 2007.08.24 Virus.Win32.Agent.b
Sophos 4.21.0 2007.08.24 -
Sunbelt 2.2.907.0 2007.08.25 VIPRE.Suspicious
Symantec 10 2007.08.25 -
TheHacker 6.1.8.172 2007.08.24 -
VBA32 3.12.2.3 2007.08.24 -
VirusBuster 4.3.26:9 2007.08.24 Trojan.Patched.S
Webwasher-Gateway 6.0.1 2007.08.24 Heuristic.Malware
Information additionnelle
File size: 57344 bytes
MD5: beddecebef4f60cde0fba002af6cfa83
SHA1: 6b34110b4da901842450b12b4c387efae98c278f
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.
Fichier Watch.exe reçu le 2007.08.25 01:20:33 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 16/32 (50%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 3.
L'heure estimée de démarrage est entre 48 et 68 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.
Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2007.8.25.0 2007.08.24 Win32/Duel.B
AntiVir 7.4.1.63 2007.08.24 HEUR/Malware
Authentium 4.93.8 2007.08.24 -
Avast 4.7.1029.0 2007.08.24 -
AVG 7.5.0.484 2007.08.24 Win32/PEPatch
BitDefender 7.2 2007.08.25 Win32.Cuter.A
CAT-QuickHeal 9.00 2007.08.23 W32.Luder.C
ClamAV 0.91 2007.08.24 W32.Cuter
DrWeb 4.33 2007.08.25 Trojan.Inject.351
eSafe 7.0.15.0 2007.08.23 -
eTrust-Vet 31.1.5085 2007.08.24 -
Ewido 4.0 2007.08.24 -
FileAdvisor 1 2007.08.25 -
Fortinet 2.91.0.0 2007.08.24 -
F-Prot 4.3.2.48 2007.08.24 -
F-Secure 6.70.13030.0 2007.08.24 Trojan.Win32.Patched.af
Ikarus T3.1.1.12 2007.08.25 -
Kaspersky 4.0.2.24 2007.08.24 Trojan.Win32.Patched.af
McAfee 5105 2007.08.24 W32/Resourcer
Microsoft 1.2803 2007.08.24 -
NOD32v2 2483 2007.08.24 Win32/Agent.AB
Norman 5.80.02 2007.08.24 -
Panda 9.0.0.4 2007.08.24 W32/ZlFake.A
Prevx1 V2 2007.08.25 -
Rising 19.37.42.00 2007.08.24 Virus.Win32.Agent.b
Sophos 4.21.0 2007.08.24 -
Sunbelt 2.2.907.0 2007.08.25 VIPRE.Suspicious
Symantec 10 2007.08.25 -
TheHacker 6.1.8.172 2007.08.24 -
VBA32 3.12.2.3 2007.08.24 -
VirusBuster 4.3.26:9 2007.08.24 Trojan.Patched.S
Webwasher-Gateway 6.0.1 2007.08.24 Heuristic.Malware
Information additionnelle
File size: 28672 bytes
MD5: 6211ee4f7ad0ca042422e8c6ff877bb2
SHA1: 0d4d50ca352590267af855afd66899c084271e85
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.
Alors??
je me couche!!!
Donne moi la marche à suivre je te répondrais ce week!!!
Merci de ton zide deouis le début.
++
Donne moi la marche à suivre je te répondrais ce week!!!
Merci de ton zide deouis le début.
++
Le problème, c'est que je ne pense pas que l'on puisse les supprimer ... faut voir !
je te tiens au courant !
@+
je te tiens au courant !
@+
slt,
de ou as tu installé ces fichiers ?
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
désinstalle Flashget (C:\PROGRAm FILES\FLASHGET) , via ajout/supression de programmes, il contient un spyware ...
================================
Télécharge et installe ce log :
* AVG AS
AVG anti spyware
avg antispyware
Met le a jour avant de lancer le scan.
Tuto :
http://www.kachouri.com/tuto/tuto-161-avg-anti-spyware-75-pour-votre-securite.html
->Relance AVG AS -> "Analyse" ->"Paramètres"
Sous la question "Comment réagir ?" :
-> clique sur "Actions recommandées" et choisis "Quarantaines"
-> Re-clique sur l'onglet "Analyse" puis réalise une "Analyse complète du système"
Si un fichier est infecté en fin d'analyse
->Clique sur "Appliquer toutes les actions "
->Clique sur "Enregistrer le rapport" puis sur "Enregistrer le rapport sous".
->Enregistre ce fichier texte sur ton bureau ensuite colle le rapport ici
A+
de ou as tu installé ces fichiers ?
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
désinstalle Flashget (C:\PROGRAm FILES\FLASHGET) , via ajout/supression de programmes, il contient un spyware ...
================================
Télécharge et installe ce log :
* AVG AS
AVG anti spyware
avg antispyware
Met le a jour avant de lancer le scan.
Tuto :
http://www.kachouri.com/tuto/tuto-161-avg-anti-spyware-75-pour-votre-securite.html
->Relance AVG AS -> "Analyse" ->"Paramètres"
Sous la question "Comment réagir ?" :
-> clique sur "Actions recommandées" et choisis "Quarantaines"
-> Re-clique sur l'onglet "Analyse" puis réalise une "Analyse complète du système"
Si un fichier est infecté en fin d'analyse
->Clique sur "Appliquer toutes les actions "
->Clique sur "Enregistrer le rapport" puis sur "Enregistrer le rapport sous".
->Enregistre ce fichier texte sur ton bureau ensuite colle le rapport ici
A+
J'ai desinstallé Flashget et voici le rapport d'AVG
---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------
+ Créé à: 12:33 25/08/2007
+ Résultat de l'analyse:
C:\Documents and Settings\Administrateur\Cookies\administrateur@247realmedia[2].txt -> TrackingCookie.247realmedia : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@adtech[2].txt -> TrackingCookie.Adtech : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@estat[1].txt -> TrackingCookie.Estat : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@adopt.euroclick[1].txt -> TrackingCookie.Euroclick : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@ilead.itrack[1].txt -> TrackingCookie.Itrack : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@ssl-hints.netflame[2].txt -> TrackingCookie.Netflame : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@overture[1].txt -> TrackingCookie.Overture : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@bs.serving-sys[2].txt -> TrackingCookie.Serving-sys : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@serving-sys[2].txt -> TrackingCookie.Serving-sys : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@smartadserver[2].txt -> TrackingCookie.Smartadserver : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@tribalfusion[1].txt -> TrackingCookie.Tribalfusion : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@weborama[1].txt -> TrackingCookie.Weborama : Nettoyé.
Fin du rapport
Par contre depuis hier soir j'ai un Cheval de Troie Win32:Agent-KCT [Trj] qui est détecté par avast mais qui n'arrive pas à le supprimer ou le mettre en quarantaine, j'ai message qui m'indique qu'il ne peut pas acceder au fichier car il est utilisé par un processus et le redetecte à nouveau et ainsi de suite.
La localisation du fichier donné par avast je ne le trouve pas sur mon pc!!!!
++ et merci
---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------
+ Créé à: 12:33 25/08/2007
+ Résultat de l'analyse:
C:\Documents and Settings\Administrateur\Cookies\administrateur@247realmedia[2].txt -> TrackingCookie.247realmedia : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@adtech[2].txt -> TrackingCookie.Adtech : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@estat[1].txt -> TrackingCookie.Estat : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@adopt.euroclick[1].txt -> TrackingCookie.Euroclick : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@ilead.itrack[1].txt -> TrackingCookie.Itrack : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@ssl-hints.netflame[2].txt -> TrackingCookie.Netflame : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@overture[1].txt -> TrackingCookie.Overture : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@bs.serving-sys[2].txt -> TrackingCookie.Serving-sys : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@serving-sys[2].txt -> TrackingCookie.Serving-sys : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@smartadserver[2].txt -> TrackingCookie.Smartadserver : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@tribalfusion[1].txt -> TrackingCookie.Tribalfusion : Nettoyé.
C:\Documents and Settings\Administrateur\Cookies\administrateur@weborama[1].txt -> TrackingCookie.Weborama : Nettoyé.
Fin du rapport
Par contre depuis hier soir j'ai un Cheval de Troie Win32:Agent-KCT [Trj] qui est détecté par avast mais qui n'arrive pas à le supprimer ou le mettre en quarantaine, j'ai message qui m'indique qu'il ne peut pas acceder au fichier car il est utilisé par un processus et le redetecte à nouveau et ainsi de suite.
La localisation du fichier donné par avast je ne le trouve pas sur mon pc!!!!
++ et merci
Salut
il jour a cache-cache :) ... il y a du rootkit dans l'air à mon avis
télécharge rootkit unhooker
tu vas dans l'onglet : "hidden processes detectro", tu lances un scan et poste le rapport stp
@+
il jour a cache-cache :) ... il y a du rootkit dans l'air à mon avis
télécharge rootkit unhooker
tu vas dans l'onglet : "hidden processes detectro", tu lances un scan et poste le rapport stp
@+
J'ai pas trouvé l'onglet : "hidden processes detectro" j'ai été dans report et j'ai lancé un scan, c'est bon???
LE voila
>SSDT State
NtClose
Actual Address 0xF84FB028
Hooked by: a347bus.sys
NtConnectPort
Actual Address 0xF68D2EB0
Hooked by: C:\WINDOWS\System32\vsdatant.sys
NtCreateFile
Actual Address 0xF68CF870
Hooked by: C:\WINDOWS\System32\vsdatant.sys
NtCreateKey
Actual Address 0xF68DA700
Hooked by: C:\WINDOWS\System32\vsdatant.sys
NtCreatePagingFile
Actual Address 0xF84EEB00
Hooked by: a347bus.sys
NtCreatePort
Actual Address 0xF68D3270
Hooked by: C:\WINDOWS\System32\vsdatant.sys
NtCreateWaitablePort
Actual Address 0xF68D3350
Hooked by: C:\WINDOWS\System32\vsdatant.sys
NtDeleteFile
Actual Address 0xF68CFEF0
Hooked by: C:\WINDOWS\System32\vsdatant.sys
NtDeleteKey
Actual Address 0xF68DB720
Hooked by: C:\WINDOWS\System32\vsdatant.sys
NtDeleteValueKey
Actual Address 0xF68DB360
Hooked by: C:\WINDOWS\System32\vsdatant.sys
NtEnumerateKey
Actual Address 0xF84EF5DC
Hooked by: a347bus.sys
NtEnumerateValueKey
Actual Address 0xF84FB120
Hooked by: a347bus.sys
NtLoadKey
Actual Address 0xF68DBA60
Hooked by: C:\WINDOWS\System32\vsdatant.sys
NtOpenFile
Actual Address 0xF68CFD40
Hooked by: C:\WINDOWS\System32\vsdatant.sys
NtOpenKey
Actual Address 0xF84FAFA4
Hooked by: a347bus.sys
NtOpenProcess
Actual Address 0xF8B018AC
Hooked by: C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.sys
NtQueryKey
Actual Address 0xF84EF5FC
Hooked by: a347bus.sys
NtQueryValueKey
Actual Address 0xF84FB076
Hooked by: a347bus.sys
NtRenameKey
Actual Address 0xF68DC1D0
Hooked by: C:\WINDOWS\System32\vsdatant.sys
NtReplaceKey
Actual Address 0xF68DBD50
Hooked by: C:\WINDOWS\System32\vsdatant.sys
NtRequestWaitReplyPort
Actual Address 0xF68D2B50
Hooked by: C:\WINDOWS\System32\vsdatant.sys
NtRestoreKey
Actual Address 0xF68DC000
Hooked by: C:\WINDOWS\System32\vsdatant.sys
NtSetInformationFile
Actual Address 0xF68D0060
Hooked by: C:\WINDOWS\System32\vsdatant.sys
NtSetSystemPowerState
Actual Address 0xF84FA550
Hooked by: a347bus.sys
NtSetValueKey
Actual Address 0xF68DAED7
Hooked by: C:\WINDOWS\System32\vsdatant.sys
NtTerminateProcess
Actual Address 0xF8B01812
Hooked by: C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.sys
>Shadow
>Processes
>Drivers
>Stealth
Unknown page with executable code
Address: 0x821399EE
Size: 1554
Unknown page with executable code
Address: 0x82139706
Size: 2298
Unknown page with executable code
Address: 0x8213FDE2
Size: 542
Unknown page with executable code
Address: 0x82166D92
Size: 622
>Files
>Hooks
ntfs.sys-->ntoskrnl.exe-->IoCreateDevice, Type: IAT modification at address 0xF676DC8C hook handler located in [unknown_code_page]
ntoskrnl.exe-->IoCreateDevice, Type: EAT modification at address 0x80681C70 hook handler located in [unknown_code_page]
tcpip.sys-->ndis.sys-->NdisCloseAdapter, Type: IAT modification at address 0xF69AFFB4 hook handler located in [vsdatant.sys]
tcpip.sys-->ndis.sys-->NdisOpenAdapter, Type: IAT modification at address 0xF69AFFD4 hook handler located in [vsdatant.sys]
tcpip.sys-->ndis.sys-->NdisRegisterProtocol, Type: IAT modification at address 0xF69AFFCC hook handler located in [vsdatant.sys]
tcpip.sys-->ntoskrnl.exe-->IoCreateDevice, Type: IAT modification at address 0xF69AFE68 hook handler located in [unknown_code_page]
wanarp.sys-->ndis.sys-->NdisCloseAdapter, Type: IAT modification at address 0xF869BB4C hook handler located in [vsdatant.sys]
wanarp.sys-->ndis.sys-->NdisDeregisterProtocol, Type: IAT modification at address 0xF869BB1C hook handler located in [vsdatant.sys]
wanarp.sys-->ndis.sys-->NdisOpenAdapter, Type: IAT modification at address 0xF869BB3C hook handler located in [vsdatant.sys]
wanarp.sys-->ndis.sys-->NdisRegisterProtocol, Type: IAT modification at address 0xF869BB28 hook handler located in [vsdatant.sys]
wanarp.sys-->ntoskrnl.exe-->IoCreateDevice, Type: IAT modification at address 0xF869BC08 hook handler located in [unknown_code_page]
!!POSSIBLE ROOTKIT ACTIVITY DETECTED!! =)
LE voila
>SSDT State
NtClose
Actual Address 0xF84FB028
Hooked by: a347bus.sys
NtConnectPort
Actual Address 0xF68D2EB0
Hooked by: C:\WINDOWS\System32\vsdatant.sys
NtCreateFile
Actual Address 0xF68CF870
Hooked by: C:\WINDOWS\System32\vsdatant.sys
NtCreateKey
Actual Address 0xF68DA700
Hooked by: C:\WINDOWS\System32\vsdatant.sys
NtCreatePagingFile
Actual Address 0xF84EEB00
Hooked by: a347bus.sys
NtCreatePort
Actual Address 0xF68D3270
Hooked by: C:\WINDOWS\System32\vsdatant.sys
NtCreateWaitablePort
Actual Address 0xF68D3350
Hooked by: C:\WINDOWS\System32\vsdatant.sys
NtDeleteFile
Actual Address 0xF68CFEF0
Hooked by: C:\WINDOWS\System32\vsdatant.sys
NtDeleteKey
Actual Address 0xF68DB720
Hooked by: C:\WINDOWS\System32\vsdatant.sys
NtDeleteValueKey
Actual Address 0xF68DB360
Hooked by: C:\WINDOWS\System32\vsdatant.sys
NtEnumerateKey
Actual Address 0xF84EF5DC
Hooked by: a347bus.sys
NtEnumerateValueKey
Actual Address 0xF84FB120
Hooked by: a347bus.sys
NtLoadKey
Actual Address 0xF68DBA60
Hooked by: C:\WINDOWS\System32\vsdatant.sys
NtOpenFile
Actual Address 0xF68CFD40
Hooked by: C:\WINDOWS\System32\vsdatant.sys
NtOpenKey
Actual Address 0xF84FAFA4
Hooked by: a347bus.sys
NtOpenProcess
Actual Address 0xF8B018AC
Hooked by: C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.sys
NtQueryKey
Actual Address 0xF84EF5FC
Hooked by: a347bus.sys
NtQueryValueKey
Actual Address 0xF84FB076
Hooked by: a347bus.sys
NtRenameKey
Actual Address 0xF68DC1D0
Hooked by: C:\WINDOWS\System32\vsdatant.sys
NtReplaceKey
Actual Address 0xF68DBD50
Hooked by: C:\WINDOWS\System32\vsdatant.sys
NtRequestWaitReplyPort
Actual Address 0xF68D2B50
Hooked by: C:\WINDOWS\System32\vsdatant.sys
NtRestoreKey
Actual Address 0xF68DC000
Hooked by: C:\WINDOWS\System32\vsdatant.sys
NtSetInformationFile
Actual Address 0xF68D0060
Hooked by: C:\WINDOWS\System32\vsdatant.sys
NtSetSystemPowerState
Actual Address 0xF84FA550
Hooked by: a347bus.sys
NtSetValueKey
Actual Address 0xF68DAED7
Hooked by: C:\WINDOWS\System32\vsdatant.sys
NtTerminateProcess
Actual Address 0xF8B01812
Hooked by: C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.sys
>Shadow
>Processes
>Drivers
>Stealth
Unknown page with executable code
Address: 0x821399EE
Size: 1554
Unknown page with executable code
Address: 0x82139706
Size: 2298
Unknown page with executable code
Address: 0x8213FDE2
Size: 542
Unknown page with executable code
Address: 0x82166D92
Size: 622
>Files
>Hooks
ntfs.sys-->ntoskrnl.exe-->IoCreateDevice, Type: IAT modification at address 0xF676DC8C hook handler located in [unknown_code_page]
ntoskrnl.exe-->IoCreateDevice, Type: EAT modification at address 0x80681C70 hook handler located in [unknown_code_page]
tcpip.sys-->ndis.sys-->NdisCloseAdapter, Type: IAT modification at address 0xF69AFFB4 hook handler located in [vsdatant.sys]
tcpip.sys-->ndis.sys-->NdisOpenAdapter, Type: IAT modification at address 0xF69AFFD4 hook handler located in [vsdatant.sys]
tcpip.sys-->ndis.sys-->NdisRegisterProtocol, Type: IAT modification at address 0xF69AFFCC hook handler located in [vsdatant.sys]
tcpip.sys-->ntoskrnl.exe-->IoCreateDevice, Type: IAT modification at address 0xF69AFE68 hook handler located in [unknown_code_page]
wanarp.sys-->ndis.sys-->NdisCloseAdapter, Type: IAT modification at address 0xF869BB4C hook handler located in [vsdatant.sys]
wanarp.sys-->ndis.sys-->NdisDeregisterProtocol, Type: IAT modification at address 0xF869BB1C hook handler located in [vsdatant.sys]
wanarp.sys-->ndis.sys-->NdisOpenAdapter, Type: IAT modification at address 0xF869BB3C hook handler located in [vsdatant.sys]
wanarp.sys-->ndis.sys-->NdisRegisterProtocol, Type: IAT modification at address 0xF869BB28 hook handler located in [vsdatant.sys]
wanarp.sys-->ntoskrnl.exe-->IoCreateDevice, Type: IAT modification at address 0xF869BC08 hook handler located in [unknown_code_page]
!!POSSIBLE ROOTKIT ACTIVITY DETECTED!! =)
J'ai pas le meme
Et dans l'onglet Process ne génère pas de rapport quand je scan
A moins que ce ne soit ça??
RkUnhooker report generator v0.7
==============================================
Rootkit Unhooker kernel version: 3.7.300.503
==============================================
Windows Major Version: 5
Windows Minor Version: 1
Windows Build Number: 2600
==============================================
Process: System
Process Id: 4
EPROCESS Address: 0x823CA830
Process: C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
Process Id: 440
EPROCESS Address: 0x8162F5B8
Process: C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
Process Id: 468
EPROCESS Address: 0x81632408
Process: C:\WINDOWS\System32\ALG.EXE
Process Id: 496
EPROCESS Address: 0x81602418
Process: C:\WINDOWS\System32\SMSS.EXE
Process Id: 632
EPROCESS Address: 0x821B1DA0
Process: C:\WINDOWS\System32\CSRSS.EXE
Process Id: 896
EPROCESS Address: 0x82243600
Process: C:\WINDOWS\System32\WINLOGON.EXE
Process Id: 920
EPROCESS Address: 0x82261958
Process: C:\WINDOWS\System32\SERVICES.EXE
Process Id: 964
EPROCESS Address: 0x8225C728
Process: C:\WINDOWS\System32\LSASS.EXE
Process Id: 976
EPROCESS Address: 0x82267A38
Process: C:\WINDOWS\System32\SVCHOST.EXE
Process Id: 1124
EPROCESS Address: 0x81A68750
Process: C:\WINDOWS\System32\SVCHOST.EXE
Process Id: 1168
EPROCESS Address: 0x81A02750
Process: C:\WINDOWS\System32\SVCHOST.EXE
Process Id: 1208
EPROCESS Address: 0x81E1A758
Process: C:\WINDOWS\System32\SVCHOST.EXE
Process Id: 1256
EPROCESS Address: 0x82183500
Process: C:\WINDOWS\System32\SVCHOST.EXE
Process Id: 1332
EPROCESS Address: 0x818A1BC0
Process: C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
Process Id: 1492
EPROCESS Address: 0x81891B28
Process: C:\Program Files\Alwil Software\Avast4\ashServ.exe
Process Id: 1564
EPROCESS Address: 0x82217538
Process: C:\WINDOWS\System32\SPOOLSV.EXE
Process Id: 1732
EPROCESS Address: 0x817C5DA0
Process: C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
Process Id: 1824
EPROCESS Address: 0x81791B98
Process: C:\WINDOWS\System32\FTRTSVC.exe
Process Id: 1852
EPROCESS Address: 0x817BFB98
Process: C:\WINDOWS\System32\SVCHOST.EXE
Process Id: 1928
EPROCESS Address: 0x8175C9E0
Process: C:\WINDOWS\System32\WSCNTFY.EXE
Process Id: 2260
EPROCESS Address: 0x81550AE8
Process: C:\WINDOWS\EXPLORER.EXE
Process Id: 2312
EPROCESS Address: 0x81537B00
Process: C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
Process Id: 2392
EPROCESS Address: 0x822F3A48
Process: C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
Process Id: 2424
EPROCESS Address: 0x816B1400
Process: C:\WINDOWS\SOUNDMAN.EXE
Process Id: 2432
EPROCESS Address: 0x81674B90
Process: C:\Program Files\Alwil Software\Avast4\ashDisp.exe
Process Id: 2440
EPROCESS Address: 0x822F3410
Process: C:\Program Files\12018SC Multimedia Mouse Driver\MouseDrv.exe
Process Id: 2448
EPROCESS Address: 0x8166A020
Process: C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe
Process Id: 2472
EPROCESS Address: 0x81660DA0
Process: C:\Program Files\Wanadoo\TaskBarIcon.exe
Process Id: 2500
EPROCESS Address: 0x816A49A0
Process: C:\Program Files\TomTom HOME\TomTomHOME.exe
Process Id: 2560
EPROCESS Address: 0x816BFDA0
Process: C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\AVGAS.EXE
Process Id: 2604
EPROCESS Address: 0xFF5215B0
Process: C:\Program Files\Microsoft Money\System\MNYEXPR.EXE
Process Id: 2612
EPROCESS Address: 0xFF31BDA0
Process: C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
Process Id: 2644
EPROCESS Address: 0xFF3123A8
Process: C:\Program Files\Wanadoo\GestionnaireInternet.exe
Process Id: 2696
EPROCESS Address: 0x822F6BC0
Process: C:\Program Files\Wanadoo\ComComp.exe
Process Id: 2756
EPROCESS Address: 0x816BE398
Process: C:\Program Files\Wanadoo\Toaster.exe
Process Id: 2776
EPROCESS Address: 0x81670BA0
Process: C:\Program Files\Wanadoo\Inactivity.exe
Process Id: 2784
EPROCESS Address: 0xFF149DA0
Process: C:\Program Files\Wanadoo\PollingModule.exe
Process Id: 2800
EPROCESS Address: 0x822F95B0
Process: C:\Program Files\Wanadoo\WOOBrowser\DownloadManager.exe
Process Id: 2824
EPROCESS Address: 0xFA84E0F8
Process: C:\WINDOWS\System32\AlertModule\ALERTM~1.EXE
Process Id: 2852
EPROCESS Address: 0xFEFF0B50
Process: C:\Program Files\HP\Digital Imaging\bin\hpqnrs08.exe
Process Id: 2948
EPROCESS Address: 0xFEEFF5B8
Process: C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
Process Id: 3032
EPROCESS Address: 0xFF1415B0
Process: C:\Program Files\Wanadoo\WOOBrowser\WOOBrowser.exe
Process Id: 3100
EPROCESS Address: 0xFB71E5B0
Process: C:\Program Files\HP\Digital Imaging\bin\hpqste08.exe
Process Id: 3232
EPROCESS Address: 0xFE8FEAD0
Process: C:\Program Files\Wanadoo\Watch.exe
Process Id: 3268
EPROCESS Address: 0xFE504020
Process: C:\WINDOWS\System32\HPZinw12.exe
Process Id: 3476
EPROCESS Address: 0xF9CE0020
Process: C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
Process Id: 3644
EPROCESS Address: 0xFA184228
Process: C:\RkUnhooker\TUSg1n37Dn7qhdf0.exe
Process Id: 3744
EPROCESS Address: 0xFCE97020
Et dans l'onglet Process ne génère pas de rapport quand je scan
A moins que ce ne soit ça??
RkUnhooker report generator v0.7
==============================================
Rootkit Unhooker kernel version: 3.7.300.503
==============================================
Windows Major Version: 5
Windows Minor Version: 1
Windows Build Number: 2600
==============================================
Process: System
Process Id: 4
EPROCESS Address: 0x823CA830
Process: C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
Process Id: 440
EPROCESS Address: 0x8162F5B8
Process: C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
Process Id: 468
EPROCESS Address: 0x81632408
Process: C:\WINDOWS\System32\ALG.EXE
Process Id: 496
EPROCESS Address: 0x81602418
Process: C:\WINDOWS\System32\SMSS.EXE
Process Id: 632
EPROCESS Address: 0x821B1DA0
Process: C:\WINDOWS\System32\CSRSS.EXE
Process Id: 896
EPROCESS Address: 0x82243600
Process: C:\WINDOWS\System32\WINLOGON.EXE
Process Id: 920
EPROCESS Address: 0x82261958
Process: C:\WINDOWS\System32\SERVICES.EXE
Process Id: 964
EPROCESS Address: 0x8225C728
Process: C:\WINDOWS\System32\LSASS.EXE
Process Id: 976
EPROCESS Address: 0x82267A38
Process: C:\WINDOWS\System32\SVCHOST.EXE
Process Id: 1124
EPROCESS Address: 0x81A68750
Process: C:\WINDOWS\System32\SVCHOST.EXE
Process Id: 1168
EPROCESS Address: 0x81A02750
Process: C:\WINDOWS\System32\SVCHOST.EXE
Process Id: 1208
EPROCESS Address: 0x81E1A758
Process: C:\WINDOWS\System32\SVCHOST.EXE
Process Id: 1256
EPROCESS Address: 0x82183500
Process: C:\WINDOWS\System32\SVCHOST.EXE
Process Id: 1332
EPROCESS Address: 0x818A1BC0
Process: C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
Process Id: 1492
EPROCESS Address: 0x81891B28
Process: C:\Program Files\Alwil Software\Avast4\ashServ.exe
Process Id: 1564
EPROCESS Address: 0x82217538
Process: C:\WINDOWS\System32\SPOOLSV.EXE
Process Id: 1732
EPROCESS Address: 0x817C5DA0
Process: C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
Process Id: 1824
EPROCESS Address: 0x81791B98
Process: C:\WINDOWS\System32\FTRTSVC.exe
Process Id: 1852
EPROCESS Address: 0x817BFB98
Process: C:\WINDOWS\System32\SVCHOST.EXE
Process Id: 1928
EPROCESS Address: 0x8175C9E0
Process: C:\WINDOWS\System32\WSCNTFY.EXE
Process Id: 2260
EPROCESS Address: 0x81550AE8
Process: C:\WINDOWS\EXPLORER.EXE
Process Id: 2312
EPROCESS Address: 0x81537B00
Process: C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
Process Id: 2392
EPROCESS Address: 0x822F3A48
Process: C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
Process Id: 2424
EPROCESS Address: 0x816B1400
Process: C:\WINDOWS\SOUNDMAN.EXE
Process Id: 2432
EPROCESS Address: 0x81674B90
Process: C:\Program Files\Alwil Software\Avast4\ashDisp.exe
Process Id: 2440
EPROCESS Address: 0x822F3410
Process: C:\Program Files\12018SC Multimedia Mouse Driver\MouseDrv.exe
Process Id: 2448
EPROCESS Address: 0x8166A020
Process: C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe
Process Id: 2472
EPROCESS Address: 0x81660DA0
Process: C:\Program Files\Wanadoo\TaskBarIcon.exe
Process Id: 2500
EPROCESS Address: 0x816A49A0
Process: C:\Program Files\TomTom HOME\TomTomHOME.exe
Process Id: 2560
EPROCESS Address: 0x816BFDA0
Process: C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\AVGAS.EXE
Process Id: 2604
EPROCESS Address: 0xFF5215B0
Process: C:\Program Files\Microsoft Money\System\MNYEXPR.EXE
Process Id: 2612
EPROCESS Address: 0xFF31BDA0
Process: C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
Process Id: 2644
EPROCESS Address: 0xFF3123A8
Process: C:\Program Files\Wanadoo\GestionnaireInternet.exe
Process Id: 2696
EPROCESS Address: 0x822F6BC0
Process: C:\Program Files\Wanadoo\ComComp.exe
Process Id: 2756
EPROCESS Address: 0x816BE398
Process: C:\Program Files\Wanadoo\Toaster.exe
Process Id: 2776
EPROCESS Address: 0x81670BA0
Process: C:\Program Files\Wanadoo\Inactivity.exe
Process Id: 2784
EPROCESS Address: 0xFF149DA0
Process: C:\Program Files\Wanadoo\PollingModule.exe
Process Id: 2800
EPROCESS Address: 0x822F95B0
Process: C:\Program Files\Wanadoo\WOOBrowser\DownloadManager.exe
Process Id: 2824
EPROCESS Address: 0xFA84E0F8
Process: C:\WINDOWS\System32\AlertModule\ALERTM~1.EXE
Process Id: 2852
EPROCESS Address: 0xFEFF0B50
Process: C:\Program Files\HP\Digital Imaging\bin\hpqnrs08.exe
Process Id: 2948
EPROCESS Address: 0xFEEFF5B8
Process: C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
Process Id: 3032
EPROCESS Address: 0xFF1415B0
Process: C:\Program Files\Wanadoo\WOOBrowser\WOOBrowser.exe
Process Id: 3100
EPROCESS Address: 0xFB71E5B0
Process: C:\Program Files\HP\Digital Imaging\bin\hpqste08.exe
Process Id: 3232
EPROCESS Address: 0xFE8FEAD0
Process: C:\Program Files\Wanadoo\Watch.exe
Process Id: 3268
EPROCESS Address: 0xFE504020
Process: C:\WINDOWS\System32\HPZinw12.exe
Process Id: 3476
EPROCESS Address: 0xF9CE0020
Process: C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
Process Id: 3644
EPROCESS Address: 0xFA184228
Process: C:\RkUnhooker\TUSg1n37Dn7qhdf0.exe
Process Id: 3744
EPROCESS Address: 0xFCE97020
apparemment, pas grand chose :/
essaye avec hidden files detector, ou un truc similaire ! et poste se qu'il donne stp
++
essaye avec hidden files detector, ou un truc similaire ! et poste se qu'il donne stp
++
Efface tes points de resto ils sont infectés pour ça, fais cette manip
Si resto infecté :
¤Désactive ta restauration système (uniquement si tu es sous XP):
Clic droit sur poste de travail puis,
propriété, tu cliques sur onglet restauration système
tu coches la case « désactiver la restauration » et applique.
Puis,
¤Réactive ta restauration système (uniquement si tu es sous XP):
Clic droit sur poste de travail puis,
propriété, tu cliques sur onglet restauration système
tu décoches la case « désactiver la restauration » et applique.
http://www.libellules.ch/desactiver_restauration.php
===================
Dis moi est ce que tu as téléchargé ces fichiers (en gras) via le net ?
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
Ca me parait bizarre mais je préfère poser la question ...
a+
Si resto infecté :
¤Désactive ta restauration système (uniquement si tu es sous XP):
Clic droit sur poste de travail puis,
propriété, tu cliques sur onglet restauration système
tu coches la case « désactiver la restauration » et applique.
Puis,
¤Réactive ta restauration système (uniquement si tu es sous XP):
Clic droit sur poste de travail puis,
propriété, tu cliques sur onglet restauration système
tu décoches la case « désactiver la restauration » et applique.
http://www.libellules.ch/desactiver_restauration.php
===================
Dis moi est ce que tu as téléchargé ces fichiers (en gras) via le net ?
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
Ca me parait bizarre mais je préfère poser la question ...
a+
