Virus inconnus
Résolu/Fermé
pedrolanne
Messages postés
53
Date d'inscription
jeudi 23 août 2007
Statut
Membre
Dernière intervention
29 août 2007
-
23 août 2007 à 18:55
Utilisateur anonyme - 29 août 2007 à 18:22
Utilisateur anonyme - 29 août 2007 à 18:22
A voir également:
- Virus inconnus
- Youtu.be virus - Accueil - Guide virus
- Svchost.exe virus - Guide
- Faux message virus ordinateur - Accueil - Arnaque
- Faux message virus iphone ✓ - Forum iPhone
- Je viens de recevoir une alerte aux virus sur mon iphone - Forum iPhone
49 réponses
pedrolanne
Messages postés
53
Date d'inscription
jeudi 23 août 2007
Statut
Membre
Dernière intervention
29 août 2007
26 août 2007 à 10:11
26 août 2007 à 10:11
voila les infos souhaitée
pour ais tu m expliquer ce que l on fait car je suis un peut perdu si sa ne te derange pas si trop compliquer tampi je continuerais a avancé aveuglément!!! lol
merci encore de ta précieuse aide
SmitFraudFix v2.217
Rapport fait à 10:09:15,41, 26/08/2007
Executé à partir de C:\Documents and Settings\GAZEAU Pierre\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Canon\BJCard\Bjmcmng.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\system32\DVDRAMSV.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Microsoft LifeCam\MSCamS32.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Toshiba\TOSHIBA Applet\TAPPSRV.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\dllhost.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe
C:\WINDOWS\vVX3000.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Picasa2\PicasaMediaDetector.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\WINDOWS\system32\RAMASST.exe
C:\PROGRA~1\MICROS~4\rapimgr.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\GAZEAU Pierre
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\GAZEAU Pierre\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\GAZEAU~1\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Rustock
»»»»»»»»»»»»»»»»»»»»»»»» DNS
Description: Intel(R) PRO/Wireless 3945ABG Network Connection - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1
DNS Server Search Order: 0.0.0.0
HKLM\SYSTEM\CCS\Services\Tcpip\..\{00668B14-7863-44C6-A6C4-99A2DB418965}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\..\{00668B14-7863-44C6-A6C4-99A2DB418965}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS2\Services\Tcpip\..\{00668B14-7863-44C6-A6C4-99A2DB418965}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
pour ais tu m expliquer ce que l on fait car je suis un peut perdu si sa ne te derange pas si trop compliquer tampi je continuerais a avancé aveuglément!!! lol
merci encore de ta précieuse aide
SmitFraudFix v2.217
Rapport fait à 10:09:15,41, 26/08/2007
Executé à partir de C:\Documents and Settings\GAZEAU Pierre\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Canon\BJCard\Bjmcmng.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\system32\DVDRAMSV.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Microsoft LifeCam\MSCamS32.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Toshiba\TOSHIBA Applet\TAPPSRV.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\dllhost.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe
C:\WINDOWS\vVX3000.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Picasa2\PicasaMediaDetector.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\WINDOWS\system32\RAMASST.exe
C:\PROGRA~1\MICROS~4\rapimgr.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\GAZEAU Pierre
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\GAZEAU Pierre\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\GAZEAU~1\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Rustock
»»»»»»»»»»»»»»»»»»»»»»»» DNS
Description: Intel(R) PRO/Wireless 3945ABG Network Connection - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1
DNS Server Search Order: 0.0.0.0
HKLM\SYSTEM\CCS\Services\Tcpip\..\{00668B14-7863-44C6-A6C4-99A2DB418965}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\..\{00668B14-7863-44C6-A6C4-99A2DB418965}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS2\Services\Tcpip\..\{00668B14-7863-44C6-A6C4-99A2DB418965}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
rudyrital
Messages postés
6230
Date d'inscription
lundi 14 novembre 2005
Statut
Membre
Dernière intervention
10 octobre 2009
131
26 août 2007 à 13:59
26 août 2007 à 13:59
Utilisateur anonyme
26 août 2007 à 14:27
26 août 2007 à 14:27
Salut rudyrital ;-)
merci de ta remarque, j'en tiens donc compte.
-------------->ce que l'on fait...on essaye de résoudre ton soucis à l'aide d'outils spéciaux.( je ne peux pas ici dévellopper, la seule chose que tu dois savoir, c'est que je recherche ce qui cloche----->j ai un virus qui supprime les fichier .exe )
Seulement tu fais une erreur de taille.
tu fais un multi-post.(poster à deux endroits à la fois)
virus ressemblant a bagle#0
c'est ma faute je ne t'avais pas prévenu en <1>
jette un oeil averti ici----->
http://leblogdeclaude.blogspot.com/2007/06/bienvenue-sur-ccm.html
celà fait partie de mes conventions, en fait.
A toi de choisir donc à ce stade.
Je considère que tu ignorais ce fait et donc à ce stade je te donne le choix.
Ne fusse que par courtoisie entre helpeur, nous sommes tenu de se signaler à l'un l'autre ce fait (multi-post)
Deux soluces, soit tu continue ici, soit tu continues avec rudyrital,
ici:
virus ressemblant a bagle#0
Informes-nous de ta décision.
merci.
a+
merci de ta remarque, j'en tiens donc compte.
-------------->ce que l'on fait...on essaye de résoudre ton soucis à l'aide d'outils spéciaux.( je ne peux pas ici dévellopper, la seule chose que tu dois savoir, c'est que je recherche ce qui cloche----->j ai un virus qui supprime les fichier .exe )
Seulement tu fais une erreur de taille.
tu fais un multi-post.(poster à deux endroits à la fois)
virus ressemblant a bagle#0
c'est ma faute je ne t'avais pas prévenu en <1>
jette un oeil averti ici----->
http://leblogdeclaude.blogspot.com/2007/06/bienvenue-sur-ccm.html
celà fait partie de mes conventions, en fait.
A toi de choisir donc à ce stade.
Je considère que tu ignorais ce fait et donc à ce stade je te donne le choix.
Ne fusse que par courtoisie entre helpeur, nous sommes tenu de se signaler à l'un l'autre ce fait (multi-post)
Deux soluces, soit tu continue ici, soit tu continues avec rudyrital,
ici:
virus ressemblant a bagle#0
Informes-nous de ta décision.
merci.
a+
rudyrital
Messages postés
6230
Date d'inscription
lundi 14 novembre 2005
Statut
Membre
Dernière intervention
10 octobre 2009
131
26 août 2007 à 14:29
26 août 2007 à 14:29
vu ta progression sur ce topic je propose de te laisser la main :)
a bientot
a bientot
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Utilisateur anonyme
26 août 2007 à 14:39
26 août 2007 à 14:39
vu ta progression sur ce topic je propose de te laisser la main :)
ok, si c'est toi qui le souhaite pas de soucis...
-----------------------
Je me pose la question de savoir, il y a un truc qui te dirige vers la piste bagle ?
j'ai pas trouvé:
wintems
hldrrr.
ni
m_hook.sys
C:\Documents and Settings\%USERNAME%\Application Data\hidires\hidr.exe
;-)
a+
ok, si c'est toi qui le souhaite pas de soucis...
-----------------------
Je me pose la question de savoir, il y a un truc qui te dirige vers la piste bagle ?
j'ai pas trouvé:
wintems
hldrrr.
ni
m_hook.sys
C:\Documents and Settings\%USERNAME%\Application Data\hidires\hidr.exe
;-)
a+
pedrolanne
Messages postés
53
Date d'inscription
jeudi 23 août 2007
Statut
Membre
Dernière intervention
29 août 2007
26 août 2007 à 14:46
26 août 2007 à 14:46
non pas du tout ses pour sa que jai ouvert plusieur discution pour elimner les information ?? au fur et a mesures que j avancait j ai rechercher le nom d un virus qui avait les meme symptome et le type de virus que j ai trouver ses ce Bagle mais bon j en est pas la moindre idee moi ses vous les spécialiste moi je suis comme un jeune padawouan pour rester polie !!! lol
pedrolanne
Messages postés
53
Date d'inscription
jeudi 23 août 2007
Statut
Membre
Dernière intervention
29 août 2007
26 août 2007 à 15:56
26 août 2007 à 15:56
merci !! encore philo 2100 et encore dez de t avoir fait perdre du temps jusqu a maintenant car n avant pas lu tes conseil <1> on va dire que je n 'etais pas un bon jeune padawouan !! dez on va dire que j ai vraiment rien fait de bon depuis le debut
bon je pense qu a ce stade il faut que je choisise entre l un de vous deux
et je croit que sa sera toi si tu veut bien m accepter encore et que tu nen voit pas d inconveniant !!!
dez j avais pas vue ceci sous cette angle. ""multi croise ses vous les pro moi je m execute""
bon maintenant je suis tout a toi !!
bon je pense qu a ce stade il faut que je choisise entre l un de vous deux
et je croit que sa sera toi si tu veut bien m accepter encore et que tu nen voit pas d inconveniant !!!
dez j avais pas vue ceci sous cette angle. ""multi croise ses vous les pro moi je m execute""
bon maintenant je suis tout a toi !!
Utilisateur anonyme
26 août 2007 à 17:55
26 août 2007 à 17:55
ok, message reçu.
fais ceci et postes le rapport:
http://leblogdeclaude.blogspot.com/2007/07/utilisation-de-combofix.html
fais ceci et postes le rapport:
http://leblogdeclaude.blogspot.com/2007/07/utilisation-de-combofix.html
pedrolanne
Messages postés
53
Date d'inscription
jeudi 23 août 2007
Statut
Membre
Dernière intervention
29 août 2007
26 août 2007 à 18:33
26 août 2007 à 18:33
voici les infos souhautées
ComboFix 07-08-25.2 - "GAZEAU Pierre" 2007-08-26 18:05:10.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.619 [GMT 2:00]
Command switches used :: /wow
* Created a new restore point
[i] ADS removed - C:\WINDOWS\system32\ntoskrnl.exe: Le fichier spécifié est introuvable. [/i]
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\srosa.sys
((((((((((((((((((((((((( Files Created from 2007-07-26 to 2007-08-26 )))))))))))))))))))))))))))))))
2007-08-26 17:58 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-08-26 10:09 2,492 --a------ C:\WINDOWS\system32\tmp.reg
2007-08-26 10:07 53,248 --a------ C:\WINDOWS\system32\Process.exe
2007-08-26 10:07 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2007-08-26 10:07 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2007-08-25 17:23 <REP> d-------- C:\Program Files\Navilog1
2007-08-25 09:46 207,736 --a------ C:\WINDOWS\system32\muweb.dll
2007-08-24 23:33 135,936 --a------ C:\WINDOWS\system32\drivers\sp_rsdrv2.sys
2007-08-24 23:28 <REP> d-------- C:\Program Files\WinClamAVShield
2007-08-24 23:27 <REP> d-------- C:\Program Files\Spyware Terminator
2007-08-24 23:27 <REP> d-------- C:\DOCUME~1\GAZEAU~1\APPLIC~1\Spyware Terminator
2007-08-24 23:27 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spyware Terminator
2007-08-23 21:29 <REP> d-------- C:\WINDOWS\ERUNT
2007-08-23 19:05 <REP> d-------- C:\fsaua.data
2007-08-23 18:40 <REP> d-------- C:\WINDOWS\McAfee.com
2007-08-23 15:54 <REP> d-------- C:\WINDOWS\avxoscan
2007-08-23 15:23 <REP> d-------- C:\WINDOWS\system32\ActiveScan
2007-08-23 15:11 <REP> d-------- C:\Program Files\CCleaner
2007-08-23 14:25 <REP> d-------- C:\Program Files\Norton Security Scan
2007-08-23 14:25 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Google Updater
2007-08-23 13:40 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr
2007-08-23 13:40 94,416 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2007-08-23 13:40 92,848 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2007-08-23 13:40 783,224 --a------ C:\WINDOWS\system32\aswBoot.exe
2007-08-23 13:40 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2007-08-23 13:40 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2007-08-23 13:40 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2007-08-23 11:40 <REP> d-------- C:\WINDOWS\BDOSCAN8
2007-08-21 18:12 <REP> d-------- C:\Program Files\MASPware
2007-08-21 17:56 <REP> d-------- C:\Program Files\BVRP Software
2007-08-21 17:55 <REP> d-------- C:\Program Files\LiveUpdate
2007-08-21 16:55 <REP> d-------- C:\Program Files\PocketRAR
2007-08-16 11:28 <REP> d-------- C:\DOCUME~1\GAZEAU~1\APPLIC~1\Apple Computer
2007-08-16 11:27 <REP> d-------- C:\Program Files\iTunes
2007-08-16 11:27 <REP> d-------- C:\Program Files\iPod
2007-08-16 11:26 <REP> d-------- C:\Program Files\Fichiers communs\Apple
2007-08-07 20:27 <REP> d-------- C:\Program Files\CFWebAdvancedU
2007-08-07 20:27 <REP> d-------- C:\DOCUME~1\GAZEAU~1\APPLIC~1\CamfrogWEB
2007-08-07 16:57 <REP> d-------- C:\Program Files\Microsoft LifeCam
2007-08-07 16:56 2,297,552 --a------ C:\WINDOWS\system32\d3dx9_26.dll
2007-08-07 16:54 59,264 --a------ C:\WINDOWS\system32\drivers\USBAUDIO.sys
2007-08-07 16:19 <REP> d-------- C:\DOCUME~1\GAZEAU~1\OngameNetwork
2007-08-06 16:23 <REP> d-------- C:\Program Files\QuickTime
2007-08-06 16:23 <REP> d-------- C:\Program Files\Apple Software Update
2007-08-06 16:23 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Apple Computer
2007-08-06 16:23 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Apple
2007-08-06 14:19 <REP> d-------- C:\Program Files\Guitar Pro 5
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
2007-08-26 13:28 --------- d-------- C:\Program Files\Fichiers communs\Symantec Shared
2007-08-23 16:29 --------- d-------- C:\Program Files\Wanadoo
2007-08-23 15:17 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
2007-08-23 14:25 --------- d-------- C:\Program Files\Google
2007-08-23 13:40 --------- d-------- C:\Program Files\Alwil Software
2007-08-23 02:21 --------- d-------- C:\Program Files\eMule
2007-08-22 15:30 --------- d-------- C:\Program Files\WinamaxPoker
2007-08-21 18:25 --------- d-------- C:\Program Files\Microsoft.NET
2007-08-21 17:56 --------- d--h----- C:\Program Files\InstallShield Installation Information
2007-08-19 18:16 --------- d-------- C:\Program Files\Picasa2
2007-08-14 21:58 --------- d-------- C:\Program Files\EA Games
2007-08-06 14:43 --------- d-------- C:\Program Files\Guitar Pro 4
2007-08-05 20:06 --------- d-a------ C:\DOCUME~1\ALLUSE~1\APPLIC~1\TEMP
2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe
2007-07-30 19:19 43352 --a------ C:\WINDOWS\system32\wups2.dll
2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-07-30 19:19 271224 --a------ C:\WINDOWS\system32\mucltui.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll
2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\wups.dll
2007-07-21 13:49 --------- d-------- C:\Program Files\Microsoft ActiveSync
2007-07-07 14:45 --------- d-------- C:\Program Files\Microsoft CAPICOM 2.1.0.2
2007-07-07 14:10 --------- d-------- C:\Program Files\Windows Live
2007-07-07 14:10 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\WindowsLiveInstaller
2007-07-07 14:08 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\WLInstaller
2007-06-26 08:09 1104896 --a------ C:\WINDOWS\system32\msxml3.dll
2007-06-22 21:41 114688 --a------ C:\WINDOWS\system32\netlogun.exe
2007-06-19 15:32 282112 --a------ C:\WINDOWS\system32\gdi32.dll
2007-06-13 15:22 1037312 --a------ C:\WINDOWS\explorer.exe
2007-06-01 08:20 51568 --a------ C:\WINDOWS\system32\sirenacm.dll
2007-01-13 03:46 278528 --a------ C:\Program Files\Fichiers communs\FDEUnInstaller.exe
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries & legit default entries are not shown
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-05-01 22:04]
"SpywareTerminator"="C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe" [2007-08-24 23:27]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]
"nwiz"="nwiz.exe" [2006-05-01 22:04 C:\WINDOWS\system32\nwiz.exe]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2007-06-29 06:24]
"VX3000"="C:\WINDOWS\vVX3000.exe" [2006-10-13 17:04]
"LifeCam"="C:\Program Files\Microsoft LifeCam\LifeExp.exe" [2006-10-13 17:01]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2007-07-31 18:44]
"Picasa Media Detector"="C:\Program Files\Picasa2\PicasaMediaDetector.exe" [2007-06-16 01:15]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TOSCDSPD"="C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe" [2004-09-25 04:09]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-10 14:00]
"SuperCopier2.exe"="C:\Program Files\SuperCopier2\SuperCopier2.exe" [2006-07-07 18:45]
"msnmsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-06-01 08:21]
"H/PC Connection Agent"="C:\Program Files\Microsoft ActiveSync\wcescomm.exe" [2006-06-21 01:20]
"DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2007-04-04 00:29]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"=C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"=C:\WINDOWS\Resources\Themes\Royale.theme
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= C:\Program Files\Windows Desktop Search\MSNLNamespaceMgr.dll [2006-03-13 13:11 233472]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Bluetooth Monitor.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Bluetooth Monitor.lnk
backup=C:\WINDOWS\pss\Bluetooth Monitor.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools-1033]
"C:\Program Files\D-Tools\daemon.exe" -lang 1033
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\STYLEXP]
C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOKIT]
C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
R1 sp_rsdrv2;Spyware Terminator Driver 2;\??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys
R1 SSHDRV5C;SSHDRV5C;\??\C:\WINDOWS\system32\drivers\SSHDRV5C.sys
R2 MSCamSvc;MSCamSvc;"C:\Program Files\Microsoft LifeCam\MSCamS32.exe"
R3 NETw3x32;Pilote de carte réseau Intel(R) PRO/Wireless 3945ABG pour Windows XP 32 bits;C:\WINDOWS\system32\DRIVERS\NETw3x32.sys
R3 X10Hid;X10 Hid Device;C:\WINDOWS\system32\Drivers\x10hid.sys
S3 sffp_mmc;Pilote de protocole de stockage SFF pour MMC;C:\WINDOWS\system32\DRIVERS\sffp_mmc.sys
S3 tosrfec;Bluetooth ACPI from TOSHIBA;C:\WINDOWS\system32\DRIVERS\tosrfec.sys
S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
S3 VX3000;VX-3000;C:\WINDOWS\system32\DRIVERS\VX3000.sys
S4 Planificateur LiveUpdate automatique;Planificateur LiveUpdate automatique;"C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe"
*Newly Created Service* - CATCHME
Contents of the 'Scheduled Tasks' folder
2007-08-23 08:51:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
2007-08-26 15:20:00 C:\WINDOWS\Tasks\Check Updates for MSN Search Toolbar.job - C:\Program Files\MSN Toolbar Suite\MSNTBUP.EXE
**************************************************************************
catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-08-26 18:06:31
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\srosa]
"ImagePath"="\??\C:\WINDOWS\system32\drivers\srosa.sys"
Completion time: 2007-08-26 18:07:09
C:\ComboFix-quarantined-files.txt ... 2007-08-26 18:07
--- E O F ---
ComboFix 07-08-25.2 - "GAZEAU Pierre" 2007-08-26 18:05:10.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.619 [GMT 2:00]
Command switches used :: /wow
* Created a new restore point
[i] ADS removed - C:\WINDOWS\system32\ntoskrnl.exe: Le fichier spécifié est introuvable. [/i]
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\srosa.sys
((((((((((((((((((((((((( Files Created from 2007-07-26 to 2007-08-26 )))))))))))))))))))))))))))))))
2007-08-26 17:58 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-08-26 10:09 2,492 --a------ C:\WINDOWS\system32\tmp.reg
2007-08-26 10:07 53,248 --a------ C:\WINDOWS\system32\Process.exe
2007-08-26 10:07 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2007-08-26 10:07 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2007-08-25 17:23 <REP> d-------- C:\Program Files\Navilog1
2007-08-25 09:46 207,736 --a------ C:\WINDOWS\system32\muweb.dll
2007-08-24 23:33 135,936 --a------ C:\WINDOWS\system32\drivers\sp_rsdrv2.sys
2007-08-24 23:28 <REP> d-------- C:\Program Files\WinClamAVShield
2007-08-24 23:27 <REP> d-------- C:\Program Files\Spyware Terminator
2007-08-24 23:27 <REP> d-------- C:\DOCUME~1\GAZEAU~1\APPLIC~1\Spyware Terminator
2007-08-24 23:27 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spyware Terminator
2007-08-23 21:29 <REP> d-------- C:\WINDOWS\ERUNT
2007-08-23 19:05 <REP> d-------- C:\fsaua.data
2007-08-23 18:40 <REP> d-------- C:\WINDOWS\McAfee.com
2007-08-23 15:54 <REP> d-------- C:\WINDOWS\avxoscan
2007-08-23 15:23 <REP> d-------- C:\WINDOWS\system32\ActiveScan
2007-08-23 15:11 <REP> d-------- C:\Program Files\CCleaner
2007-08-23 14:25 <REP> d-------- C:\Program Files\Norton Security Scan
2007-08-23 14:25 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Google Updater
2007-08-23 13:40 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr
2007-08-23 13:40 94,416 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2007-08-23 13:40 92,848 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2007-08-23 13:40 783,224 --a------ C:\WINDOWS\system32\aswBoot.exe
2007-08-23 13:40 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2007-08-23 13:40 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2007-08-23 13:40 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2007-08-23 11:40 <REP> d-------- C:\WINDOWS\BDOSCAN8
2007-08-21 18:12 <REP> d-------- C:\Program Files\MASPware
2007-08-21 17:56 <REP> d-------- C:\Program Files\BVRP Software
2007-08-21 17:55 <REP> d-------- C:\Program Files\LiveUpdate
2007-08-21 16:55 <REP> d-------- C:\Program Files\PocketRAR
2007-08-16 11:28 <REP> d-------- C:\DOCUME~1\GAZEAU~1\APPLIC~1\Apple Computer
2007-08-16 11:27 <REP> d-------- C:\Program Files\iTunes
2007-08-16 11:27 <REP> d-------- C:\Program Files\iPod
2007-08-16 11:26 <REP> d-------- C:\Program Files\Fichiers communs\Apple
2007-08-07 20:27 <REP> d-------- C:\Program Files\CFWebAdvancedU
2007-08-07 20:27 <REP> d-------- C:\DOCUME~1\GAZEAU~1\APPLIC~1\CamfrogWEB
2007-08-07 16:57 <REP> d-------- C:\Program Files\Microsoft LifeCam
2007-08-07 16:56 2,297,552 --a------ C:\WINDOWS\system32\d3dx9_26.dll
2007-08-07 16:54 59,264 --a------ C:\WINDOWS\system32\drivers\USBAUDIO.sys
2007-08-07 16:19 <REP> d-------- C:\DOCUME~1\GAZEAU~1\OngameNetwork
2007-08-06 16:23 <REP> d-------- C:\Program Files\QuickTime
2007-08-06 16:23 <REP> d-------- C:\Program Files\Apple Software Update
2007-08-06 16:23 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Apple Computer
2007-08-06 16:23 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Apple
2007-08-06 14:19 <REP> d-------- C:\Program Files\Guitar Pro 5
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
2007-08-26 13:28 --------- d-------- C:\Program Files\Fichiers communs\Symantec Shared
2007-08-23 16:29 --------- d-------- C:\Program Files\Wanadoo
2007-08-23 15:17 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
2007-08-23 14:25 --------- d-------- C:\Program Files\Google
2007-08-23 13:40 --------- d-------- C:\Program Files\Alwil Software
2007-08-23 02:21 --------- d-------- C:\Program Files\eMule
2007-08-22 15:30 --------- d-------- C:\Program Files\WinamaxPoker
2007-08-21 18:25 --------- d-------- C:\Program Files\Microsoft.NET
2007-08-21 17:56 --------- d--h----- C:\Program Files\InstallShield Installation Information
2007-08-19 18:16 --------- d-------- C:\Program Files\Picasa2
2007-08-14 21:58 --------- d-------- C:\Program Files\EA Games
2007-08-06 14:43 --------- d-------- C:\Program Files\Guitar Pro 4
2007-08-05 20:06 --------- d-a------ C:\DOCUME~1\ALLUSE~1\APPLIC~1\TEMP
2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe
2007-07-30 19:19 43352 --a------ C:\WINDOWS\system32\wups2.dll
2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-07-30 19:19 271224 --a------ C:\WINDOWS\system32\mucltui.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll
2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\wups.dll
2007-07-21 13:49 --------- d-------- C:\Program Files\Microsoft ActiveSync
2007-07-07 14:45 --------- d-------- C:\Program Files\Microsoft CAPICOM 2.1.0.2
2007-07-07 14:10 --------- d-------- C:\Program Files\Windows Live
2007-07-07 14:10 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\WindowsLiveInstaller
2007-07-07 14:08 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\WLInstaller
2007-06-26 08:09 1104896 --a------ C:\WINDOWS\system32\msxml3.dll
2007-06-22 21:41 114688 --a------ C:\WINDOWS\system32\netlogun.exe
2007-06-19 15:32 282112 --a------ C:\WINDOWS\system32\gdi32.dll
2007-06-13 15:22 1037312 --a------ C:\WINDOWS\explorer.exe
2007-06-01 08:20 51568 --a------ C:\WINDOWS\system32\sirenacm.dll
2007-01-13 03:46 278528 --a------ C:\Program Files\Fichiers communs\FDEUnInstaller.exe
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries & legit default entries are not shown
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-05-01 22:04]
"SpywareTerminator"="C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe" [2007-08-24 23:27]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]
"nwiz"="nwiz.exe" [2006-05-01 22:04 C:\WINDOWS\system32\nwiz.exe]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2007-06-29 06:24]
"VX3000"="C:\WINDOWS\vVX3000.exe" [2006-10-13 17:04]
"LifeCam"="C:\Program Files\Microsoft LifeCam\LifeExp.exe" [2006-10-13 17:01]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2007-07-31 18:44]
"Picasa Media Detector"="C:\Program Files\Picasa2\PicasaMediaDetector.exe" [2007-06-16 01:15]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TOSCDSPD"="C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe" [2004-09-25 04:09]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-10 14:00]
"SuperCopier2.exe"="C:\Program Files\SuperCopier2\SuperCopier2.exe" [2006-07-07 18:45]
"msnmsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-06-01 08:21]
"H/PC Connection Agent"="C:\Program Files\Microsoft ActiveSync\wcescomm.exe" [2006-06-21 01:20]
"DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2007-04-04 00:29]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"=C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"=C:\WINDOWS\Resources\Themes\Royale.theme
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= C:\Program Files\Windows Desktop Search\MSNLNamespaceMgr.dll [2006-03-13 13:11 233472]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Bluetooth Monitor.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Bluetooth Monitor.lnk
backup=C:\WINDOWS\pss\Bluetooth Monitor.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools-1033]
"C:\Program Files\D-Tools\daemon.exe" -lang 1033
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\STYLEXP]
C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOKIT]
C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
R1 sp_rsdrv2;Spyware Terminator Driver 2;\??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys
R1 SSHDRV5C;SSHDRV5C;\??\C:\WINDOWS\system32\drivers\SSHDRV5C.sys
R2 MSCamSvc;MSCamSvc;"C:\Program Files\Microsoft LifeCam\MSCamS32.exe"
R3 NETw3x32;Pilote de carte réseau Intel(R) PRO/Wireless 3945ABG pour Windows XP 32 bits;C:\WINDOWS\system32\DRIVERS\NETw3x32.sys
R3 X10Hid;X10 Hid Device;C:\WINDOWS\system32\Drivers\x10hid.sys
S3 sffp_mmc;Pilote de protocole de stockage SFF pour MMC;C:\WINDOWS\system32\DRIVERS\sffp_mmc.sys
S3 tosrfec;Bluetooth ACPI from TOSHIBA;C:\WINDOWS\system32\DRIVERS\tosrfec.sys
S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
S3 VX3000;VX-3000;C:\WINDOWS\system32\DRIVERS\VX3000.sys
S4 Planificateur LiveUpdate automatique;Planificateur LiveUpdate automatique;"C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe"
*Newly Created Service* - CATCHME
Contents of the 'Scheduled Tasks' folder
2007-08-23 08:51:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
2007-08-26 15:20:00 C:\WINDOWS\Tasks\Check Updates for MSN Search Toolbar.job - C:\Program Files\MSN Toolbar Suite\MSNTBUP.EXE
**************************************************************************
catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-08-26 18:06:31
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\srosa]
"ImagePath"="\??\C:\WINDOWS\system32\drivers\srosa.sys"
Completion time: 2007-08-26 18:07:09
C:\ComboFix-quarantined-files.txt ... 2007-08-26 18:07
--- E O F ---
Utilisateur anonyme
26 août 2007 à 19:25
26 août 2007 à 19:25
parfait.
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\srosa.sys
effectivement le fumeux "worm bagle" semble avoir été supprimé ?
Mais ne crions pas trop vite victoire !
Bien, montre moi le contenu de ceci:
ComboFix-quarantined-files.txt
-----------------------------
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\srosa.sys
effectivement le fumeux "worm bagle" semble avoir été supprimé ?
Mais ne crions pas trop vite victoire !
Bien, montre moi le contenu de ceci:
ComboFix-quarantined-files.txt
-----------------------------
pedrolanne
Messages postés
53
Date d'inscription
jeudi 23 août 2007
Statut
Membre
Dernière intervention
29 août 2007
26 août 2007 à 19:42
26 août 2007 à 19:42
au faite j ai effectué un logiciel qui permettais de degager les baggle mais celui ci n a rien trouver
je t envois sa!!!
je t envois sa!!!
pedrolanne
Messages postés
53
Date d'inscription
jeudi 23 août 2007
Statut
Membre
Dernière intervention
29 août 2007
26 août 2007 à 19:45
26 août 2007 à 19:45
voila le fichier demandé..
[code]
2004-09-25 04:09 168319 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\hidr.exe.vir
2007-08-23 14:59 61528 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\srosa.sys.vir
Structure du dossier
Le num‚ro de s‚rie du volume est 546B-5988
C:\QOOBOX
\---Quarantine
+---C
| \---WINDOWS
| \---system32
| \---drivers
| hidr.exe.vir
| srosa.sys.vir
|
\---Registry_backups
[/code]
[code]
2004-09-25 04:09 168319 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\hidr.exe.vir
2007-08-23 14:59 61528 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\srosa.sys.vir
Structure du dossier
Le num‚ro de s‚rie du volume est 546B-5988
C:\QOOBOX
\---Quarantine
+---C
| \---WINDOWS
| \---system32
| \---drivers
| hidr.exe.vir
| srosa.sys.vir
|
\---Registry_backups
[/code]
pedrolanne
Messages postés
53
Date d'inscription
jeudi 23 août 2007
Statut
Membre
Dernière intervention
29 août 2007
26 août 2007 à 19:58
26 août 2007 à 19:58
bon je vient de relire ton contrat lol !!
bon PC toshiba
windows xp media center 2005 ou 6 je crois
achat chez un revendeur , pas de CD d'installation que des CD de restauration ce qui m enbette un peu sinon sa aurais été formatage direct je suis un peu de la vielle ecole et pour moi je me trompe peu etre mais il y a rien de mieux qu un D: FORMAT pour eradiquer ce genre de truc
malheureusement j ai pas le temps en ce moment de me pancher la dessus j ai pas mal de boulot a faire et ses sur infos ((redaction de rapport de fin d etude)) donc ten que le pc fonctionne j en profite des que j aurais terminer mon boulot je me pencherais sur cette solution si nous avons pas reussi a regler le probleme du moins si tu n as pas reussi !! mais je suis optimiste
dez si je suis mefiant de certains truc mais si mon pc venais a venir a planter dans la semaine a venir sa serais la mort totale surtout une perte de 2 ans pour moi car l echeance est maintenant tres proche !!
bon je te rajoute pas de stress lol mais je pense pas que les fichier word ou excel soit touché ((du moins je ne pense pas je me trompe???))
bon PC toshiba
windows xp media center 2005 ou 6 je crois
achat chez un revendeur , pas de CD d'installation que des CD de restauration ce qui m enbette un peu sinon sa aurais été formatage direct je suis un peu de la vielle ecole et pour moi je me trompe peu etre mais il y a rien de mieux qu un D: FORMAT pour eradiquer ce genre de truc
malheureusement j ai pas le temps en ce moment de me pancher la dessus j ai pas mal de boulot a faire et ses sur infos ((redaction de rapport de fin d etude)) donc ten que le pc fonctionne j en profite des que j aurais terminer mon boulot je me pencherais sur cette solution si nous avons pas reussi a regler le probleme du moins si tu n as pas reussi !! mais je suis optimiste
dez si je suis mefiant de certains truc mais si mon pc venais a venir a planter dans la semaine a venir sa serais la mort totale surtout une perte de 2 ans pour moi car l echeance est maintenant tres proche !!
bon je te rajoute pas de stress lol mais je pense pas que les fichier word ou excel soit touché ((du moins je ne pense pas je me trompe???))
Utilisateur anonyme
26 août 2007 à 21:03
26 août 2007 à 21:03
Bien, on avance,
fais ceci et colles le rapport
https://leblogdeclaude.blogspot.com/2007/08/scan-de-votre-machine-avec-genproc.html
fais ceci et colles le rapport
https://leblogdeclaude.blogspot.com/2007/08/scan-de-votre-machine-avec-genproc.html
pedrolanne
Messages postés
53
Date d'inscription
jeudi 23 août 2007
Statut
Membre
Dernière intervention
29 août 2007
26 août 2007 à 21:24
26 août 2007 à 21:24
rapport du logiciel
[1] Aucune infection caractéristique trouvée !
[1] Aucune infection caractéristique trouvée !
pedrolanne
Messages postés
53
Date d'inscription
jeudi 23 août 2007
Statut
Membre
Dernière intervention
29 août 2007
26 août 2007 à 21:29
26 août 2007 à 21:29
sachant qu il n as pas trouver d infection j ai verifier si probleme toujours la malheureusement il se porte mieux que jamais ja i tjrs le souci des .EXE qui disparaise
Utilisateur anonyme
27 août 2007 à 12:21
27 août 2007 à 12:21
fais ceci:
https://leblogdeclaude.blogspot.com/2007/08/eradiquer-le-worms-versbagle-et.html
--------------------
ensuite fais ceci:
télécharges et exécutes:
http://www.secuser.com/telechargement/desinfection.htm#MagistrB
poste le rapport
https://leblogdeclaude.blogspot.com/2007/08/eradiquer-le-worms-versbagle-et.html
--------------------
ensuite fais ceci:
télécharges et exécutes:
http://www.secuser.com/telechargement/desinfection.htm#MagistrB
poste le rapport
pedrolanne
Messages postés
53
Date d'inscription
jeudi 23 août 2007
Statut
Membre
Dernière intervention
29 août 2007
28 août 2007 à 04:58
28 août 2007 à 04:58
multivirus cleaner utilisation impossible je l ais deja sur PC et les ptit EXE OUT OF ORDER
pedrolanne
Messages postés
53
Date d'inscription
jeudi 23 août 2007
Statut
Membre
Dernière intervention
29 août 2007
28 août 2007 à 05:10
28 août 2007 à 05:10
concernant elibagla j avais deja fait : mais je les refait
il m'indique comme au premier coup un message d erreur :
ACCESO DENEGADO A LA CARPETA
C:/d99b70254681....................(16)
rapport elibagla : ((0 fichiers infectés))
je te file meme les anciens
Thu Aug 23 18:22:08 2007
EliBagle v10.47 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminada Carpeta "%WinDir%\exefld"
Restaurada Clave: "SafeBoot\Minimal y Network"
Thu Aug 23 18:24:51 2007
EliBagle v10.47 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Thu Aug 23 19:54:44 2007
EliBagle v10.47 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminada Carpeta "%WinDir%\exefld"
Thu Aug 23 19:54:57 2007
EliBagle v10.47 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Tue Aug 28 04:59:32 2007
EliBagle v10.47 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
Tue Aug 28 04:59:34 2007
EliBagle v10.47 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
il m'indique comme au premier coup un message d erreur :
ACCESO DENEGADO A LA CARPETA
C:/d99b70254681....................(16)
rapport elibagla : ((0 fichiers infectés))
je te file meme les anciens
Thu Aug 23 18:22:08 2007
EliBagle v10.47 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminada Carpeta "%WinDir%\exefld"
Restaurada Clave: "SafeBoot\Minimal y Network"
Thu Aug 23 18:24:51 2007
EliBagle v10.47 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Thu Aug 23 19:54:44 2007
EliBagle v10.47 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminada Carpeta "%WinDir%\exefld"
Thu Aug 23 19:54:57 2007
EliBagle v10.47 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Tue Aug 28 04:59:32 2007
EliBagle v10.47 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
Tue Aug 28 04:59:34 2007
EliBagle v10.47 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
pedrolanne
Messages postés
53
Date d'inscription
jeudi 23 août 2007
Statut
Membre
Dernière intervention
29 août 2007
28 août 2007 à 05:24
28 août 2007 à 05:24
concernant venger !!
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\dntavaaa
*******************
Script file located at: \??\C:\WINDOWS\system32\qmxvklux.txt
Script file opened successfully.
Script file read successfully
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Registry key \Registry\Machine\System\CurrentControlSet\Services\m_hook not found!
Unload of driver m_hook failed!
Could not process line:
m_hook
Status: 0xc0000034
Registry key HKLM\System\CurrentControlSet\Services\m_hook not found!
Deletion of registry key HKLM\System\CurrentControlSet\Services\m_hook failed!
Could not process line:
HKLM\System\CurrentControlSet\Services\m_hook
Status: 0xc0000034
File C:\WINDOWS\system32\wintems.exe not found!
Deletion of file C:\WINDOWS\system32\wintems.exe failed!
Could not process line:
C:\WINDOWS\system32\wintems.exe
Status: 0xc0000034
File C:\WINDOWS\system32\hldrrr.exe not found!
Deletion of file C:\WINDOWS\system32\hldrrr.exe failed!
Could not process line:
C:\WINDOWS\system32\hldrrr.exe
Status: 0xc0000034
Could not open file C:\Documents and Settings\GAZEAU Pierre\Application Data\hidires\hidr.exe for deletion
Deletion of file C:\Documents and Settings\GAZEAU Pierre\Application Data\hidires\hidr.exe failed!
Could not process line:
C:\Documents and Settings\GAZEAU Pierre\Application Data\hidires\hidr.exe
Status: 0xc000003a
Could not open file C:\Documents and Settings\GAZEAU Pierre\Application Data\hidires\m_hook.sys for deletion
Deletion of file C:\Documents and Settings\GAZEAU Pierre\Application Data\hidires\m_hook.sys failed!
Could not process line:
C:\Documents and Settings\GAZEAU Pierre\Application Data\hidires\m_hook.sys
Status: 0xc000003a
Folder c:\Documents and Settings\GAZEAU Pierre\Application Data\hidires not found!
Deletion of folder c:\Documents and Settings\GAZEAU Pierre\Application Data\hidires failed!
Could not process line:
c:\Documents and Settings\GAZEAU Pierre\Application Data\hidires
Status: 0xc0000034
Folder C:\WINDOWS\exefld not found!
Deletion of folder C:\WINDOWS\exefld failed!
Could not process line:
C:\WINDOWS\exefld
Status: 0xc0000034
Completed script processing.
*******************
Finished! Terminate.
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\dntavaaa
*******************
Script file located at: \??\C:\WINDOWS\system32\qmxvklux.txt
Script file opened successfully.
Script file read successfully
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Registry key \Registry\Machine\System\CurrentControlSet\Services\m_hook not found!
Unload of driver m_hook failed!
Could not process line:
m_hook
Status: 0xc0000034
Registry key HKLM\System\CurrentControlSet\Services\m_hook not found!
Deletion of registry key HKLM\System\CurrentControlSet\Services\m_hook failed!
Could not process line:
HKLM\System\CurrentControlSet\Services\m_hook
Status: 0xc0000034
File C:\WINDOWS\system32\wintems.exe not found!
Deletion of file C:\WINDOWS\system32\wintems.exe failed!
Could not process line:
C:\WINDOWS\system32\wintems.exe
Status: 0xc0000034
File C:\WINDOWS\system32\hldrrr.exe not found!
Deletion of file C:\WINDOWS\system32\hldrrr.exe failed!
Could not process line:
C:\WINDOWS\system32\hldrrr.exe
Status: 0xc0000034
Could not open file C:\Documents and Settings\GAZEAU Pierre\Application Data\hidires\hidr.exe for deletion
Deletion of file C:\Documents and Settings\GAZEAU Pierre\Application Data\hidires\hidr.exe failed!
Could not process line:
C:\Documents and Settings\GAZEAU Pierre\Application Data\hidires\hidr.exe
Status: 0xc000003a
Could not open file C:\Documents and Settings\GAZEAU Pierre\Application Data\hidires\m_hook.sys for deletion
Deletion of file C:\Documents and Settings\GAZEAU Pierre\Application Data\hidires\m_hook.sys failed!
Could not process line:
C:\Documents and Settings\GAZEAU Pierre\Application Data\hidires\m_hook.sys
Status: 0xc000003a
Folder c:\Documents and Settings\GAZEAU Pierre\Application Data\hidires not found!
Deletion of folder c:\Documents and Settings\GAZEAU Pierre\Application Data\hidires failed!
Could not process line:
c:\Documents and Settings\GAZEAU Pierre\Application Data\hidires
Status: 0xc0000034
Folder C:\WINDOWS\exefld not found!
Deletion of folder C:\WINDOWS\exefld failed!
Could not process line:
C:\WINDOWS\exefld
Status: 0xc0000034
Completed script processing.
*******************
Finished! Terminate.
