Diagnostic et post-prévention

Résolu
jipicy -  
green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Salut tout le monde,

Suite à un problème technique je ne peux poster de nouveaux message en étant identifié (par contre je peux y répondre), c'est pourquoi je poste ce message en anonyme, la question et problème principal se trouvant un message plus bas ;-))

Merci de votre compréhension.
A voir également:

62 réponses

Précédent
Réponse 21 / 62
green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 163
 
re

Mince, c'est vrai ...

Essaye au moins le 1er, pour le clavier : regarde au niveau des pilotes, mais il est bien possible que ce soit virale ...
mais je n'ai pas encore épuiser mon crédit d'outils ;-)

++
0
jipicy Messages postés 40842 Date d'inscription   Statut Modérateur Dernière intervention   4 896
 
pour le clavier : regarde au niveau des pilotes, mais il est bien possible que ce soit virale ...
Effectivement y'a un blème au niveau des pilotes dans le gestionnaire, mais je pense que ça doit être viral, parce que je vois pas pourquoi ça marcherait sur un système et pas sur l'autre ;-(
0
Réponse 22 / 62
jipicy Messages postés 40842 Date d'inscription   Statut Modérateur Dernière intervention   4 896
 
Bon me voilà de retour avec de bonnes nouvelles ;-))

Le clavier refonctionne ;-))

En fait, après le scan en ligne qui n'a fait que révélé la présence de :
F:\WINDOWS\system32\libweb.dll
Infecté par: Backdoor.IRCBot.ABEY
j'ai essayé de lancer ta procédure avec SDFix, mais malheureusement je ne pouvais rien faire dans la mesure où il faut valider par "Y" !!! Grrrrrrrrrrrrrrrrrrrr

J'ai donc redémarré en mode sans échec et j'ai viré le clavier dans les gestionnaire de périph (2 entrées) et j'ai redémarré. Là, le clavier fonctionnait mais pas la souris, j'ai alors redémarré et tout est rentré dans l'ordre.

A partir de là j'ai donc lancé SDFix dont voici le rapport :

SDFix: Version 1.100

Run by Administrateur on 24/08/2007 at 22:01

Microsoft Windows XP [version 5.1.2600]

Running From: F:\DOCUME~1\ADMINI~1\Bureau\SDFix

Safe Mode:
Checking Services: 


Restoring Windows Registry Values
Restoring Windows Default Hosts File
Restoring Missing Security Center Service 

Rebooting...


Normal Mode:
Checking Files: 

Trojan Files Found:

F:\Documents and Settings\Administrateur\auto.txt  - Deleted
F:\WINDOWS\beachpicture18.zip  - Deleted
F:\WINDOWS\beachpicture30.zip  - Deleted
F:\WINDOWS\beachpicture45.zip  - Deleted
F:\WINDOWS\beachpicture69.zip  - Deleted
F:\WINDOWS\beachpicture75.zip  - Deleted
F:\WINDOWS\beachpicture87.zip  - Deleted
F:\WINDOWS\beachpicture90.zip  - Deleted
F:\WINDOWS\DSC0343522.zip  - Deleted
F:\WINDOWS\DSC0343537.zip  - Deleted
F:\WINDOWS\DSC0343558.zip  - Deleted
F:\WINDOWS\DSC0343564.zip  - Deleted
F:\WINDOWS\DSC0343573.zip  - Deleted
F:\WINDOWS\DSC0343585.zip  - Deleted
F:\WINDOWS\DSC0343597.zip  - Deleted
F:\WINDOWS\IMG8438744.zip  - Deleted
F:\WINDOWS\IMG8438747.zip  - Deleted
F:\WINDOWS\IMG8438762.zip  - Deleted
F:\WINDOWS\IMG8438768.zip  - Deleted
F:\WINDOWS\IMG8438777.zip  - Deleted
F:\WINDOWS\IMG8438786.zip  - Deleted
F:\WINDOWS\love18.zip  - Deleted
F:\WINDOWS\love30.zip  - Deleted
F:\WINDOWS\love33.zip  - Deleted
F:\WINDOWS\love39.zip  - Deleted
F:\WINDOWS\love66.zip  - Deleted
F:\WINDOWS\love87.zip  - Deleted
F:\WINDOWS\love96.zip  - Deleted
F:\WINDOWS\Photo1.zip  - Deleted
F:\WINDOWS\Photo13.zip  - Deleted
F:\WINDOWS\Photo31.zip  - Deleted
F:\WINDOWS\Photo37.zip  - Deleted
F:\WINDOWS\Photo4.zip  - Deleted
F:\WINDOWS\Photo40.zip  - Deleted
F:\WINDOWS\Photo52.zip  - Deleted
F:\WINDOWS\Photo64.zip  - Deleted
F:\WINDOWS\Photo67.zip  - Deleted
F:\WINDOWS\Photo91.zip  - Deleted
F:\WINDOWS\secretimages32.zip  - Deleted
F:\WINDOWS\secretimages35.zip  - Deleted
F:\WINDOWS\secretimages41.zip  - Deleted
F:\WINDOWS\secretimages50.zip  - Deleted
F:\WINDOWS\secretimages62.zip  - Deleted
F:\WINDOWS\secretimages65.zip  - Deleted
F:\WINDOWS\secretimages68.zip  - Deleted
F:\WINDOWS\system32\libweb.dll  - Deleted
F:\WINDOWS\system32\svcp.csv  - Deleted
F:\WINDOWS\system32\winsub.xml  - Deleted



Removing Temp Files...

ADS Check:

F:\WINDOWS
No streams found. 

F:\WINDOWS\system32
No streams found. 

F:\WINDOWS\system32\svchost.exe
No streams found.
 
F:\WINDOWS\system32\ntoskrnl.exe
No streams found.
 


                                 Final Check:

Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"F:\\Program Files\\FlashFXP\\flashfxp.exe"="F:\\Program Files\\FlashFXP\\flashfxp.exe:*:Enabled:FlashFXP v3"
"F:\\Program Files\\MSN Messenger\\msnmsgr.exe"="F:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"F:\\Program Files\\MSN Messenger\\livecall.exe"="F:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"F:\\Program Files\\FlashFXP\\flashfxp.exe"="F:\\Program Files\\FlashFXP\\flashfxp.exe:*:Enabled:FlashFXP v3"
"F:\\Program Files\\MSN Messenger\\msnmsgr.exe"="F:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"F:\\Program Files\\MSN Messenger\\livecall.exe"="F:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

Remaining Files:
---------------

File Backups: - F:\DOCUME~1\ADMINI~1\Bureau\SDFix\backups\backups.zip

Files with Hidden Attributes:

F:\Program Files\Picasa2\setup.exe
F:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp

                                 Finished
et dans la foulée j'ai donc lancé son pot, Navilog, qui m'a donné ceci :
Search Navipromo version 2.0.9 commencé le 24/08/2007 à 22:12:52,57
 
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis F:\Program Files\navilog1
Mise a jour le 20.08.2007 a 22h30 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes *** 

 


*** Recherche dossiers dans F:\WINDOWS ***




*** Recherche dossiers dans F:\Program Files ***




*** Recherche dossiers dans F:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans F:\Documents and Settings\Administrateur\Application Data ***



*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en


F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================

Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of October, 2007.
Version information: 2.2.1064.

[+] Started on 08/24/07 at 22:12:53.
[+] Initializing ...
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items ................................................
[+] Scan complete.
[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 08/24/07 at 22:16:29 (return code = 0).


*** Recherche avec GenericNaviSearch ***
!!! Tous Ces résultats peuvent révéler des fichiers légitimes !!!
!!! A verifier impérativement avant toute suppression manuelle !!!

Fichiers trouvés :

Aucun Fichier trouvé !

Fichiers suspects :

Aucun Fichier suspect trouvé !



*** Recherche fichiers *** 




*** Recherche cles registre ***


Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs] 
 
 

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage] 
 
 

Recherche Clé Magic Control 
 


*** Module de Recherche complémentaire *** 
(Recherche fichiers spécifiques) 
 
1)Recherche fichiers connus:


2)Recherche Heuristique :
* 
** 
*** 
**** 
***** 
****** 
******* 
******** 


3)Recherche Certificats :

Certificat Egroup absent !


*** Analyse Terminé le 24/08/2007 à 22:16:41,92 ***
C'est grave docteur ?

Merci bien.

;-))
0
Réponse 23 / 62
green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 163
 
Ouf ! :)

Et bien finalement, c'était belle est bien la bébétte qui sévit actuellement sur MSN ! C'est pas bien grave, mais ça a engendré une belle pagaille, ce qui a été fatal je pense et lorsqu'elles ont déplacer les photos d'un système à l'autre ...

# Téléchargez MSNFix.zip (de !aur3n7) sur votre bureau:

* http://sosvirus.changelog.fr/MSNFix.zip

# Décompressez-le (clic droit >> Extraire ici) et double cliquer sur le fichier MSNFix.bat.
# Exécutez l'option R., et poste le rapport stp

@+

PS : ne les gronde pas trop fort, c'est de leur âge ;-)
0
Réponse 24 / 62
jipicy Messages postés 40842 Date d'inscription   Statut Modérateur Dernière intervention   4 896
 
Voila, voila...
MSN_Fix 1.471  
 
F:\Documents and Settings\Administrateur\Bureau\MSNFix 
Fix exécuté le 24/08/2007 - 22:44:59,18 By Administrateur 
mode normal    
    
************************ Recherche les fichiers présents      
    
Aucun Fichier trouvé 
 
************************ Recherche les dossiers présents       
 
Aucun dossier trouvé 
 
 
************************ Fichiers suspects 
 
/!\ ces fichiers nécessitent un avis expérimenté avant toute intervention 
 
[F:\WINDOWS\system32\mavideo.scr] 248673761FC26C974DA38D439054A5E2

PS : ne les gronde pas trop fort, c'est de leur âge ;-)
Si tous les tontons du monde étaient comme moi, ben moi plus tard je voudrai faire "NEVEU" à vie ;-DDDDD

Merci.

PS. C'est pas fini y'a encore du taf avec l'autre système, tu vas pas t'en tirer comme ça ;-)))
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 62
green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 163
 
ok, très bien :-)

Télécharge ComboFix (par sUBs) sur le Bureau :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Démarre en mode sans echec

* Double clique combofix.exe.
* Tape sur la touche Y (Yes) pour démarrer le scan.
* Le rapport sera crée dans: C:\Combofix.txt, poste le stp

++
0
Réponse 26 / 62
jipicy Messages postés 40842 Date d'inscription   Statut Modérateur Dernière intervention   4 896
 
V'la mamzelle ;-))
ComboFix 07-08-17.2 - "Administrateur" 2007-08-24 23:04:08.1 - NTFSx86 
Microsoft Windows XP Professionnel  5.1.2600.2.1252.1.1036.18.610 [GMT 2:00]


(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))


c:\RECYCLER\mxfilerelatedcache.mxc2
d:\RECYCLER\mxfilerelatedcache.mxc2
f:\RECYCLER\mxfilerelatedcache.mxc2
h:\RECYCLER\mxfilerelatedcache.mxc2


(((((((((((((((((((((((((   Files Created from 2007-07-24 to 2007-08-24  )))))))))))))))))))))))))))))))


2007-08-24 23:03	51,200	--a------	F:\WINDOWS\nircmd.exe
2007-08-24 22:11	<REP>	d--------	F:\Program Files\Navilog1
2007-08-24 22:04	<REP>	d--------	F:\WINDOWS\system32\xircom
2007-08-24 22:04	<REP>	d--------	F:\WINDOWS\system32\restore
2007-08-24 22:04	<REP>	d--------	F:\WINDOWS\system32\oobe
2007-08-24 22:04	<REP>	d--------	F:\WINDOWS\srchasst
2007-08-24 22:04	<REP>	d--------	F:\WINDOWS\msagent
2007-08-24 22:04	<REP>	d--------	F:\Program Files\msn gaming zone
2007-08-24 22:04	<REP>	d--------	F:\Program Files\movie maker
2007-08-24 22:04	<REP>	d--------	F:\Program Files\microsoft frontpage
2007-08-24 22:04	<REP>	d--------	F:\Program Files\Fichiers communs\speechengines
2007-08-24 22:00	<REP>	d--------	F:\WINDOWS\ERUNT
2007-08-24 21:57	25,216	--a------	F:\WINDOWS\system32\drivers\kbdclass.sys
2007-08-24 16:52	10,872	--a------	F:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-08-24 16:36	<REP>	d--------	F:\Program Files\CCleaner
2007-08-24 11:19	<REP>	d--------	F:\WINDOWS\BDOSCAN8
2007-08-21 23:14	127,488	--a------	F:\DOCUME~1\ADMINI~1\enhqti.exe
2007-08-21 13:03	5,587	--a------	F:\DOCUME~1\ADMINI~1\ceyvuk.exe
2007-07-30 08:50	5,632	--a------	F:\WINDOWS\system32\ptpusb.dll
2007-07-30 08:50	159,232	--a------	F:\WINDOWS\system32\ptpusd.dll
2007-07-28 00:48	120,200	--a------	F:\WINDOWS\system32\DLLDEV32i.dll
2007-07-27 23:41	108,768	--a------	F:\WINDOWS\system32\drivers\ACEDRV08.sys


((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-08-24 22:04	---------	d--------	F:\Program Files\Windows NT
2007-08-19 18:18	---------	d--------	F:\Program Files\Windows Live Safety Center
2007-07-30 19:19	92504	--a------	F:\WINDOWS\system32\cdm.dll
2007-07-30 19:19	549720	--a------	F:\WINDOWS\system32\wuapi.dll
2007-07-30 19:19	53080	--a------	F:\WINDOWS\system32\wuauclt.exe
2007-07-30 19:19	43352	--a------	F:\WINDOWS\system32\wups2.dll
2007-07-30 19:19	325976	--a------	F:\WINDOWS\system32\wucltui.dll
2007-07-30 19:19	203096	--a------	F:\WINDOWS\system32\wuweb.dll
2007-07-30 19:19	1712984	--a------	F:\WINDOWS\system32\wuaueng.dll
2007-07-30 19:18	33624	--a------	F:\WINDOWS\system32\wups.dll
2007-07-28 00:07	783224	--a------	F:\WINDOWS\system32\aswBoot.exe
2007-07-28 00:02	94416	--a------	F:\WINDOWS\system32\drivers\aswmon2.sys
2007-07-28 00:02	92848	--a------	F:\WINDOWS\system32\drivers\aswmon.sys
2007-07-28 00:00	23152	--a------	F:\WINDOWS\system32\drivers\aswRdr.sys
2007-07-27 23:59	42912	--a------	F:\WINDOWS\system32\drivers\aswTdi.sys
2007-07-27 23:58	26624	--a------	F:\WINDOWS\system32\drivers\aavmker4.sys
2007-07-27 23:57	95608	--a------	F:\WINDOWS\system32\AVASTSS.scr
2007-07-27 23:36	---------	d--------	F:\Program Files\MAGIX
2007-07-25 01:56	---------	d--------	F:\DOCUME~1\ADMINI~1\APPLIC~1\Drive Poll
2007-06-26 23:31	---------	d--h-----	F:\Program Files\InstallShield Installation Information
2007-06-26 23:31	---------	d--------	F:\DOCUME~1\ADMINI~1\APPLIC~1\Samsung
2007-06-26 16:36	669696	---------	F:\WINDOWS\system32\dllcache\wininet.dll
2007-06-26 15:56	851968	---------	F:\WINDOWS\system32\dllcache\vgx.dll
2007-06-26 08:09	1104896	--a------	F:\WINDOWS\system32\msxml3.dll
2007-06-26 08:09	1104896	---------	F:\WINDOWS\system32\dllcache\msxml3.dll
2007-06-19 15:41	282112	--a------	F:\WINDOWS\system32\gdi32.dll
2007-06-19 15:41	282112	---------	F:\WINDOWS\system32\dllcache\gdi32.dll
2007-06-15 10:12	96768	---------	F:\WINDOWS\system32\dllcache\inseng.dll
2007-06-15 10:12	619008	---------	F:\WINDOWS\system32\dllcache\urlmon.dll
2007-06-15 10:12	55808	---------	F:\WINDOWS\system32\dllcache\extmgr.dll
2007-06-15 10:12	532480	---------	F:\WINDOWS\system32\dllcache\mstime.dll
2007-06-15 10:12	474624	---------	F:\WINDOWS\system32\dllcache\shlwapi.dll
2007-06-15 10:12	449024	---------	F:\WINDOWS\system32\dllcache\mshtmled.dll
2007-06-15 10:12	39424	---------	F:\WINDOWS\system32\dllcache\pngfilt.dll
2007-06-15 10:12	357888	---------	F:\WINDOWS\system32\dllcache\dxtmsft.dll
2007-06-15 10:12	3085312	---------	F:\WINDOWS\system32\dllcache\mshtml.dll
2007-06-15 10:12	251904	---------	F:\WINDOWS\system32\dllcache\iepeers.dll
2007-06-15 10:12	205824	---------	F:\WINDOWS\system32\dllcache\dxtrans.dll
2007-06-15 10:12	16384	---------	F:\WINDOWS\system32\dllcache\jsproxy.dll
2007-06-15 10:12	152064	---------	F:\WINDOWS\system32\dllcache\cdfview.dll
2007-06-15 10:12	1498624	---------	F:\WINDOWS\system32\dllcache\shdocvw.dll
2007-06-15 10:12	146432	---------	F:\WINDOWS\system32\dllcache\msrating.dll
2007-06-15 10:12	1056768	---------	F:\WINDOWS\system32\dllcache\danim.dll
2007-06-15 10:12	1023488	---------	F:\WINDOWS\system32\dllcache\browseui.dll
2007-06-14 12:32	18432	---------	F:\WINDOWS\system32\dllcache\iedw.exe
2007-06-13 15:10	1037312	--a------	F:\WINDOWS\explorer.exe
2007-06-13 15:10	1037312	---------	F:\WINDOWS\system32\dllcache\explorer.exe
2007-05-06 14:51	16	--ah-----	F:\Program Files\mxfilerelatedcache.mxc2


(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
 
 
*Note* empty entries & legit default entries are not shown 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="F:\Program Files\Analog Devices\Core\smax4pnp.exe" [2006-05-01 04:07]
"SoundMAX"="F:\Program Files\Analog Devices\SoundMAX\Smax4.exe" [2006-04-10 10:19]
"avast!"="F:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-07-28 00:03]
"Zone Labs Client"="F:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2006-08-24 00:38]
"LWBMOUSE"="F:\Program Files\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe" [2001-03-26 06:35]
"LVCOMSX"="F:\WINDOWS\system32\LVCOMSX.EXE" [2004-10-08 12:52]
"LogitechVideoRepair"="F:\Program Files\Logitech\Video\ISStart.exe" [2005-01-18 18:47]
"LogitechVideoTray"="F:\Program Files\Logitech\Video\LogiTray.exe" [2005-01-18 18:37]
"EEventManager"="F:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe" [2005-04-08 15:09]
"REGSHAVE"="F:\Program Files\REGSHAVE\REGSHAVE.exe" [2002-02-04 23:32]
"EPSON Stylus Photo R240 Series"="F:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAHE.exe" [2005-04-25 06:00]
"NvCplDaemon"="F:\WINDOWS\system32\NvCpl.dll" [2006-08-11 15:43]
"nwiz"="nwiz.exe" [2006-08-11 15:43 F:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="F:\WINDOWS\system32\NvMcTray.dll" [2006-08-11 15:43]
"PinnacleDriverCheck"="F:\WINDOWS\system32\PSDrvCheck.exe" [2003-12-04 13:34]
"QuickTime Task"="F:\Program Files\QuickTime\qttask.exe" [2007-04-27 09:41]
"NeroFilterCheck"="F:\WINDOWS\system32\NeroCheck.exe" [2006-01-12 15:40]
"MultimediaKey"="C:\PROGRA~1\M290NT\DriBat32.exe" [1998-04-08 17:46]
"!AVG Anti-Spyware"="F:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LogitechSoftwareUpdate"="F:\Program Files\Logitech\Video\ManifestEngine.exe" [2005-01-18 18:07]
"MSMSGS"="F:\Program Files\Messenger\MSMSGS.exe" [2003-04-14 20:30]
"ctfmon.exe"="F:\WINDOWS\system32\ctfmon.exe" [2004-08-04 05:54]
"OM2_Monitor"="F:\Program Files\OLYMPUS\OLYMPUS Master 2\MMonitor.exe" [2007-05-23 10:40]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
"nlsf"=cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll"
"nlhr"=RunDll32.exe %SystemRoot%\System32\AdvPack.Dll,LaunchINFSection %SystemRoot%\inf\nlite.inf,C
"tscuninstall"=%systemroot%\system32\tscupgrd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoDesktopCleanupWizard"=1 (0x1)
"ForceClassicControlPanel"=1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"=1 (0x1)
"NoResolveTrack"=1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"=1 (0x1)
"NoResolveTrack"=1 (0x1)

R2 ACEDRV08;ACEDRV08;\??\F:\WINDOWS\system32\drivers\ACEDRV08.sys
R3 BENDER;Pinnacle DV/AV Capture;F:\WINDOWS\system32\drivers\bender.sys
R3 SenFiltService;SenFilt Service;F:\WINDOWS\system32\drivers\Senfilt.sys
S3 Asushwio;Asushwio;\??\F:\WINDOWS\system32\drivers\Asushwio.sys
S3 EL90X;Pilote de la carte EtherLink XL 90X 3Com;F:\WINDOWS\system32\DRIVERS\el90xnd5.sys
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;F:\MAGIX\Common\Database\bin\fbserver.exe
S3 ssm_bus;SAMSUNG Mobile USB Device II 1.0 driver (WDM);F:\WINDOWS\system32\DRIVERS\ssm_bus.sys
S3 ssm_mdfl;SAMSUNG Mobile USB Modem II 1.0 Filter;F:\WINDOWS\system32\DRIVERS\ssm_mdfl.sys
S3 ssm_mdm;SAMSUNG Mobile USB Modem II 1.0 Drivers;F:\WINDOWS\system32\DRIVERS\ssm_mdm.sys
S3 UPnPService;UPnPService;F:\Program Files\Fichiers communs\MAGIX Shared\UPnPService\UPnPService.exe
S3 Video3D;ASUS Video3D Service;F:\WINDOWS\system32\Drivers\Video3D32.sys

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalService	WebClient LmHosts upnphost SSDPSRV


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a9e40eb8-ade8-11db-9fda-0018f371434c}]
AutoRun\command- E:\start.exe /checksection


Contents of the 'Scheduled Tasks' folder
2007-08-18 18:27:00 F:\WINDOWS\Tasks\AppleSoftwareUpdate.job - F:\Program Files\Apple Software Update\SoftwareUpdate.exe
2007-08-24 20:56:00 F:\WINDOWS\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job 

**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-08-24 23:04:59
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-08-24 23:05:23
F:\ComboFix-quarantined-files.txt ... 2007-08-24 23:05

	--- E O F ---
Merci ;-))
0
Réponse 27 / 62
green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 163
  
Edit : impossible de continuer le poste, en postant plusieurs fois j'avais le message : "erreur, vous avez déjà posté ce message", mais le message n'apparaissait pas ?!


Suite :

Ok, comment évolue la situation ???

encore un pti nettoyage :

Télécharge clean.zip
http://www.malekal.com/download/clean.zip
Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.
Ouvre le dossier Clean qui se trouve sur ton bureau.
Double-clic sur clean.cmd.
Une fenêtre noire va apparaître, choisis l'option 1
Poste le rapport qui se trouve ici C:\rapport_clean.txt


ensuite :

# Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Double-clic sur clean.cmd.
Une fenêtre noire va apparaître, choisis l'option 2
Poste le rapport qui se trouve ici C:\rapport_clean.txt

pas d'quoi :-)

++
0
Réponse 28 / 62
jipicy Messages postés 40842 Date d'inscription   Statut Modérateur Dernière intervention   4 896
 
Voila la 1ère partie :
 24/08/2007 a 23:24:37,50 
 
*** Recherche des fichiers dans F: 
 
*** Recherche des fichiers dans F:\WINDOWS\ 
 
*** Recherche des fichiers dans F:\WINDOWS\system32 
 
*** Recherche des fichiers dans F:\Program Files 
"F:\Program Files\Adverts\" FOUND 
*** Fin du rapport !
Je redémarre et je reviens...
0
Réponse 29 / 62
jipicy Messages postés 40842 Date d'inscription   Statut Modérateur Dernière intervention   4 896
 
I'm back...
La suite :
Script execute en mode sans echec 
Rapport clean par Malekal_morte - http://www.malekal.com 
Script execute en mode sans echec 24/08/2007 a 23:28:34,15 

Microsoft Windows XP [version 5.1.2600]
 
*** Suppression des fichiers dans F: 
 
*** Suppression des fichiers dans F:\WINDOWS\ 
 
*** Suppression des fichiers dans F:\WINDOWS\system32 
 
*** Suppression des fichiers dans F:\Program Files 
tentative de suppression de "F:\Program Files\Adverts\" 
 
*** Suppression des clefs du registre effectuee.. 
*** Fin du rapport !
Thanks ;-)
0
Réponse 30 / 62
green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 163
 
ok,

Télécharge ceci sur ton bureau :

Lien : hijackthis

Démo : http://pageperso.aol.fr/balltrap34/demohijack.htm

Choisir l'option "do a scan and a logfile", et faire un copier/coller du rapport ainsi générer sur le forum stp

++
0
Réponse 31 / 62
jipicy Messages postés 40842 Date d'inscription   Statut Modérateur Dernière intervention   4 896
 
Et un scan de plus, un :
Logfile of HijackThis v1.99.1
Scan saved at 23:39:19, on 24/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\ZoneLabs\vsmon.exe
F:\WINDOWS\Explorer.EXE
F:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
F:\Program Files\Alwil Software\Avast4\ashServ.exe
F:\WINDOWS\system32\spoolsv.exe
F:\WINDOWS\ATKKBService.exe
F:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
F:\WINDOWS\SYSTEM32\GEARSEC.EXE
F:\WINDOWS\system32\nvsvc32.exe
F:\WINDOWS\system32\svchost.exe
F:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
F:\Program Files\Alwil Software\Avast4\ashWebSv.exe
F:\Program Files\Analog Devices\Core\smax4pnp.exe
F:\Program Files\Analog Devices\SoundMAX\Smax4.exe
F:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
F:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
F:\Program Files\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
F:\WINDOWS\system32\LVCOMSX.EXE
F:\Program Files\Logitech\Video\LogiTray.exe
F:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe
F:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAHE.EXE
F:\WINDOWS\system32\RUNDLL32.EXE
F:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\M290NT\RMTSTOCK.EXE
F:\Program Files\Logitech\Video\FxSvr2.exe
C:\PROGRA~1\M290NT\KBRmt32.Exe
C:\PROGRA~1\M290NT\MIXERCTL.EXE
C:\PROGRA~1\M290NT\KBOSDCTL.EXE
C:\PROGRA~1\M290NT\CDMng32.EXE
C:\PROGRA~1\M290NT\RmtConvt.EXE
C:\PROGRA~1\M290NT\BKGRD32.EXE
C:\PROGRA~1\M290NT\WheelMng.EXE
C:\PROGRA~1\M290NT\MxrCtl32.EXE
C:\PROGRA~1\M290NT\RMTSPECL.EXE
C:\PROGRA~1\M290NT\CALCMNG.EXE
C:\PROGRA~1\M290NT\RECMNG.EXE
F:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\PROGRA~1\M290NT\DKeyBEx.EXE
F:\Program Files\Messenger\MSMSGS.EXE
F:\WINDOWS\system32\ctfmon.exe
F:\Program Files\Mozilla Firefox\firefox.exe
F:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.emjysoft.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - F:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - F:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Ask Search Assistant BHO - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - F:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - F:\Program Files\Windows Live Toolbar\msntb.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - F:\PROGRA~1\FlashFXP\IEFlash.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - F:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - F:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - F:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: (no name) - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - (no file)
O4 - HKLM\..\Run: [SoundMAXPnP] F:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "F:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [avast!] F:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Zone Labs Client] "F:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [LWBMOUSE] F:\Program Files\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [LVCOMSX] F:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] F:\Program Files\Logitech\Video\ISStart.exe 
O4 - HKLM\..\Run: [LogitechVideoTray] F:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [EEventManager] F:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe
O4 - HKLM\..\Run: [REGSHAVE] F:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [EPSON Stylus Photo R240 Series] F:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAHE.EXE /P30 "EPSON Stylus Photo R240 Series" /O6 "USB001" /M "Stylus Photo R240"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [PinnacleDriverCheck] F:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [QuickTime Task] "F:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] F:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MultimediaKey] C:\PROGRA~1\M290NT\DriBat32.EXE DKBoot.INI
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "F:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "F:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [MSMSGS] "F:\Program Files\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [ctfmon.exe] F:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [OM2_Monitor] "F:\Program Files\OLYMPUS\OLYMPUS Master 2\MMonitor.exe" -NoStart
O8 - Extra context menu item: &Windows Live Search - res://F:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://F:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - F:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - F:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - F:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - F:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - F:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - F:\WINDOWS\ATKKBService.exe
O23 - Service: avast! Antivirus - ALWIL Software - F:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - F:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - F:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - F:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Indexing Service (CiSvc) - Unknown owner - F:\WINDOWS\system32\cisvc.exe (file missing)
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - F:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: GEARSecurity - GEAR Software - F:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: Google Updater Service (gusvc) - Google - F:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - F:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\system32\nvsvc32.exe
O23 - Service: UPnPService - Magix AG - F:\Program Files\Fichiers communs\MAGIX Shared\UPnPService\UPnPService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - F:\WINDOWS\system32\ZoneLabs\vsmon.exe
Et un merci de plus, un ;-))
0
Réponse 32 / 62
green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 163
 
bien, fais un scan avec avg et poste le stp

comment se comporte la bête ? :)

@+

;-)
0
Réponse 33 / 62
jipicy Messages postés 40842 Date d'inscription   Statut Modérateur Dernière intervention   4 896
 
bien, fais un scan avec avg et poste le stp
Un scan complet ? Euh... y'en a pour un moment là ;-(

comment se comporte la bête ? :)
Laquelle ? ;-))
Elle va bien, mais le pire est à venir avec l'autre système, celui-là n'ayant pas z'été trop rebelle tout compte fait...
0
Réponse 34 / 62
green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 163
 
oui, je sais, mais je suis là pour un moment encore :)

à mon avis, on a fait le tour là !

sinon, tu peux faire ça pour demain, encore un verif, et on passe à l'autre :

Télécharge ceci: (merci a S!RI pour ce petit programme).

http://siri.urz.free.fr/Fix/SmitfraudFix.zip

Exécute le, Double click sur Smitfraudfix.cmd choisit l’option 1,
voila a quoi cela ressemble : http://siri.urz.free.fr/Fix/SmitfraudFix.php
il va générer un rapport : copie/colle le sur le poste stp.


@+
0
Réponse 35 / 62
jipicy Messages postés 40842 Date d'inscription   Statut Modérateur Dernière intervention   4 896
 
Hi green (ou aie pas sur le tête ;-) ),

Bon désolé hier soir j'ai abandonné sans préavis. Je pensais laisser finir le scan d'AVG pour ensuite lancer SmitFraudFix, mais le scan était à peine à la moitié à 1h du mat, donc j'ai lachement quitté sans tambour ni trompette...

Donc mes humbles excuses.

Ceci dit, voici le résultat de SmitFraudFix :
SmitFraudFix v2.216

Rapport fait à  8:43:03,39, 25/08/2007
Executé à partir de F:\Documents and Settings\Administrateur\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\ZoneLabs\vsmon.exe
F:\WINDOWS\Explorer.EXE
F:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
F:\Program Files\Alwil Software\Avast4\ashServ.exe
F:\WINDOWS\system32\spoolsv.exe
F:\WINDOWS\ATKKBService.exe
F:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
F:\WINDOWS\SYSTEM32\GEARSEC.EXE
F:\WINDOWS\system32\nvsvc32.exe
F:\WINDOWS\system32\svchost.exe
F:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
F:\Program Files\Alwil Software\Avast4\ashWebSv.exe
F:\Program Files\Analog Devices\Core\smax4pnp.exe
F:\Program Files\Analog Devices\SoundMAX\Smax4.exe
F:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
F:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
F:\Program Files\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
F:\WINDOWS\system32\LVCOMSX.EXE
F:\Program Files\Logitech\Video\LogiTray.exe
F:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe
F:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAHE.EXE
F:\WINDOWS\system32\RUNDLL32.EXE
F:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\M290NT\RMTSTOCK.EXE
C:\PROGRA~1\M290NT\KBRmt32.Exe
F:\Program Files\Logitech\Video\FxSvr2.exe
C:\PROGRA~1\M290NT\MIXERCTL.EXE
C:\PROGRA~1\M290NT\KBOSDCTL.EXE
C:\PROGRA~1\M290NT\CDMng32.EXE
C:\PROGRA~1\M290NT\RmtConvt.EXE
C:\PROGRA~1\M290NT\BKGRD32.EXE
C:\PROGRA~1\M290NT\WheelMng.EXE
C:\PROGRA~1\M290NT\MxrCtl32.EXE
C:\PROGRA~1\M290NT\RMTSPECL.EXE
C:\PROGRA~1\M290NT\CALCMNG.EXE
F:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\PROGRA~1\M290NT\RECMNG.EXE
C:\PROGRA~1\M290NT\DKeyBEx.EXE
F:\Program Files\Messenger\MSMSGS.EXE
F:\WINDOWS\system32\ctfmon.exe
F:\Program Files\Mozilla Firefox\firefox.exe
F:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» F:\


»»»»»»»»»»»»»»»»»»»»»»»» F:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» F:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» F:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» F:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» F:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» F:\Documents and Settings\Administrateur


»»»»»»»»»»»»»»»»»»»»»»»» F:\Documents and Settings\Administrateur\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» F:\DOCUME~1\ADMINI~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» F:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: 3Com EtherLink 10/100 PCI For Complete PC Management NIC (3C905C-TX) - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.10.20

HKLM\SYSTEM\CCS\Services\Tcpip\..\{B70A327F-A2DC-4889-BAF6-1DC875D3611C}: DhcpNameServer=192.168.10.20
HKLM\SYSTEM\CCS\Services\Tcpip\..\{EA908121-8F44-4B89-A5F8-CA1C2E62C5E2}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS1\Services\Tcpip\..\{B70A327F-A2DC-4889-BAF6-1DC875D3611C}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS1\Services\Tcpip\..\{EA908121-8F44-4B89-A5F8-CA1C2E62C5E2}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS2\Services\Tcpip\..\{B70A327F-A2DC-4889-BAF6-1DC875D3611C}: DhcpNameServer=192.168.10.20
HKLM\SYSTEM\CS2\Services\Tcpip\..\{EA908121-8F44-4B89-A5F8-CA1C2E62C5E2}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS3\Services\Tcpip\..\{B70A327F-A2DC-4889-BAF6-1DC875D3611C}: DhcpNameServer=192.168.10.20
HKLM\SYSTEM\CS3\Services\Tcpip\..\{EA908121-8F44-4B89-A5F8-CA1C2E62C5E2}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.10.20
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.10.20
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.10.20


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin
Voilà, je relance en attendant le scan d'AVG, merci.
0
jipicy Messages postés 40842 Date d'inscription   Statut Modérateur Dernière intervention   4 896
 
Voilà le rapport d'AVG :
---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

 + Créé à:	11:36:23 25/08/2007

 + Résultat de l'analyse:	



D:\Documents and Settings\Administrateur\Local Settings\Temp\nsf26.tmp\Guard.dll -> Adware.Hotbar : Ignoré.
F:\Documents and Settings\Administrateur\Cookies\administrateur@ssl-hints.netflame[1].txt -> TrackingCookie.Netflame : Ignoré.
:mozilla.9:F:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\ygvzgwiv.default\cookies.txt -> TrackingCookie.Paypal : Ignoré.
:mozilla.14:F:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\ygvzgwiv.default\cookies.txt -> TrackingCookie.Tradedoubler : Ignoré.
:mozilla.15:F:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\ygvzgwiv.default\cookies.txt -> TrackingCookie.Weborama : Ignoré.


Fin du rapport
;-))
0
Réponse 36 / 62
green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 163
 
Salut

no soucy, je suis encore à "l'horaire d'été" :)

c'est tout bon à un détail près, as tu supprimé ce qu'agv a trouvé ? sinon, pas besion de le refaire, ce sont des cookies,

next !

@+
0
Réponse 37 / 62
jipicy Messages postés 40842 Date d'inscription   Statut Modérateur Dernière intervention   4 896
 
Salut,

Non j'ai rien supprimé, j'ai laissé faire le soft.

Bon entre temps j'ai redémarré sur l'autre système, et là c'est pas la joie ;-((

J'ai toujours pas d'accès à quoi que ce soit. Les termes exact sont :
Windows ne parvient pas à accéder au périphérique, au chemin d'accès ou au fichier spécifié. Vous ne disposez peut être pas des autorisations appropriées pour avoir accès à l'élément.

Donc j'ai ouvert le poste de travail, j'ai fait un clic droit sur le disque C et j'ai lancé une analyse via Avast qui m'a trouvé plusieurs instances de Win32.trojan-gen et que j'ai mis en quarantaine (vu que c'était l'option préconisée).

J'ai redémarré le système et j'en suis toujours au même point ;-((
0
Réponse 38 / 62
green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 163
 
ok, est-ce que les applications re-fonctionnent ??

peux-tu poster un hijack ??

++

0
Réponse 39 / 62
jipicy Messages postés 40842 Date d'inscription   Statut Modérateur Dernière intervention   4 896
 
Non, je peux rien faire aucun droit ! ;-((

Ça va pas être coton je le sens ;-))
0
Réponse 40 / 62
green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 163
 
même en mode sans échec : nada ??

++
0

Discussions similaires

Post it sur le bureau (Mac)
Romaneldrn -
Ma_dhu -

9 réponses