Sujet Précédent Sujet Suivant

Virus qui bloque l'acces aux postes clés (

samlagaure -  
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité -
Bonjour

J ai quasiment tout essayé rien n'y fait :-(

voici le rapport sachant que tous les acces sont refusés sans raisons apparentes:

C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\s3hotkey.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\Program Files\Lexmark X5100 Series\lxbabmgr.exe
C:\Program Files\Lexmark X5100 Series\lxbabmon.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\QUICKT~1\qttask.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\cmd.exe
C:\WINDOWS\system32\cscript.exe
A voir également:

139 réponses

Précédent
Réponse 101 / 139
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Bonsoir,

1) tu fais une recherche avec OAD sur la chaîne de caractère iexpedition

2) désinstalles :

- Ad-Aware 2007

- Internet expedition

- Kaspersky Online Scanner

- Spybot - Search & Destroy 1.4

3) ouvre C:\Program Files\Grisoft\AVG Anti-Spyware 7.5.

si tu vois une icône désinstalle, clique dessus et désinstalle.

Sinon, double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en gras ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5.

clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.

4) Relance ccleaner (nettoyage de fichier et correction d'erreurs du registre)

5) Relance HijackThis.

Choisis Do a scan only

Coche la case devant les lignes suivantes

O2 - BHO: (no name) - {0B3FE940-D86C-B10F-DEFD-0E10D5772B03} - (no file)
O2 - BHO: (no name) - {151FE88D-87B9-3874-E160-C39967AD4EEF} - (no file)
O2 - BHO: (no name) - {1711449D-1BC7-4EF2-4ABD-F232B2853AE8} - (no file)
O2 - BHO: (no name) - {1A4F489C-207C-A02F-2E5B-65769154252C} - (no file)
O2 - BHO: (no name) - {1A6C73BC-F02B-9148-3393-BE3C72B10CCF} - (no file)
O2 - BHO: (no name) - {1DC7D98F-A15C-6FCB-1604-8B29DAD31822} - (no file)
O2 - BHO: (no name) - {2912C8B2-64D9-3DD4-6CBD-88EDB5B90BB3} - (no file)
O2 - BHO: (no name) - {2C9FB350-1F61-9DFE-1F19-BA68037F1E85} - (no file)
O2 - BHO: (no name) - {316EFEAA-61D3-60D6-4001-92E3C805009C} - (no file)
O2 - BHO: (no name) - {31BD3B6A-B937-791E-3F3E-683DD5414CF4} - (no file)
O2 - BHO: (no name) - {3764A70B-08CA-A3C8-9F8B-1BABB4D566F5} - (no file)
O2 - BHO: (no name) - {37715160-D292-C8D2-C44E-850B64D43B7A} - (no file)
O2 - BHO: (no name) - {382544E1-147D-F605-A678-BBD18A0F3232} - (no file)
O2 - BHO: (no name) - {3E88D1C1-D2AA-00B7-292D-336AD60DA88E} - (no file)
O2 - BHO: (no name) - {3EB7C486-822C-B49A-76A8-C7CEBAA84985} - (no file)
O2 - BHO: (no name) - {41C07D8C-8EDF-B6D0-22A4-63477AD33BCB} - (no file)
O2 - BHO: (no name) - {41D02906-F44B-CF32-3373-65367914AB05} - (no file)
O2 - BHO: (no name) - {427B0070-6125-1D12-0821-13CFF8EAB8E9} - (no file)
O2 - BHO: (no name) - {455B8195-CE66-C38D-E2B1-00B56CE783D0} - (no file)
O2 - BHO: (no name) - {52334F6A-627E-7956-0AA5-A12FB2907845} - (no file)
O2 - BHO: (no name) - {624A4484-6BD2-E6A9-49B0-86D566CC592B} - (no file)
O2 - BHO: (no name) - {62883FE9-57A7-4A38-F908-7FA3F3C59429} - (no file)
O2 - BHO: (no name) - {66A15FEE-5E94-86FB-0CE6-EC4939529CDA} - (no file)
O2 - BHO: (no name) - {6F38738B-8F6B-B31B-D8EA-D1963ADEB7AE} - (no file)
O2 - BHO: (no name) - {73156990-7CC1-9E5B-7282-2852A986EDAB} - (no file)
O2 - BHO: (no name) - {757AA4A7-F824-258A-4257-5B822794FA60} - (no file)
O2 - BHO: (no name) - {7A00499E-BCBB-B127-9B94-C5DF5086E096} - (no file)
O2 - BHO: (no name) - {7A193F04-BFD4-8A44-1449-091C5B906307} - (no file)
O2 - BHO: (no name) - {7C5E4C71-68F4-DA79-59FA-82571771815D} - (no file)
O2 - BHO: (no name) - {7CDEF27B-3E79-6C65-25A5-15182309D6F7} - (no file)
O2 - BHO: (no name) - {8005338C-F6C8-1567-B7F1-510AA773BCF3} - (no file)
O2 - BHO: (no name) - {8BA66EA9-AC16-AD1A-286D-94CC1F4EF8C9} - (no file)
O2 - BHO: (no name) - {8D1B8200-45A1-2D24-646B-74ECF013AF0B} - (no file)
O2 - BHO: (no name) - {8D878BE1-0905-01F2-0036-DC98A483AEBA} - (no file)
O2 - BHO: (no name) - {9059FB41-2D6E-D563-B573-677DB010D9B1} - (no file)
O2 - BHO: (no name) - {94A53935-C204-C7E0-8510-27AEF27FEAB9} - (no file)
O2 - BHO: (no name) - {95C2E350-02E5-F766-2847-040897D53CA0} - (no file)
O2 - BHO: (no name) - {98B06E7B-7D84-30CB-A991-794990630F1F} - (no file)
O2 - BHO: (no name) - {99E07168-74E3-B338-C3F5-94CE8795954F} - (no file)
O2 - BHO: (no name) - {9A735E65-B77E-83B5-E2CE-86A183CD727B} - (no file)
O2 - BHO: (no name) - {9B5712EF-16A3-B05E-9899-29F9A66E3C67} - (no file)
O2 - BHO: (no name) - {9CD671F4-EDF9-74CB-0600-1C50A9A949DB} - (no file)
O2 - BHO: (no name) - {9F1DD262-0FBF-5CD9-BF68-7E9481D4F962} - (no file)
O2 - BHO: (no name) - {9FA24FCA-DF9E-A81C-0C1B-751A6D6EB4BC} - (no file)
O2 - BHO: (no name) - {A010DBE2-CC3D-9634-88DD-0AC37058D49B} - (no file)
O2 - BHO: (no name) - {A26538B0-8F5F-F0E6-7B55-44FA9E707CF1} - (no file)
O2 - BHO: (no name) - {A39786E1-B3F2-5AA0-9792-D30FF78E0B7B} - (no file)
O2 - BHO: (no name) - {AD4D75B9-68DD-52FB-F33A-64E5C0E44B5B} - (no file)
O2 - BHO: (no name) - {AF48F490-C5B3-4EE1-EDC9-6EDD7F4A76A8} - (no file)
O2 - BHO: (no name) - {B1D3FEAA-D001-0277-F30C-211B057CB3F4} - (no file)
O2 - BHO: (no name) - {B66EAEC2-2CE6-1697-9346-9B1E60E39650} - (no file)
O2 - BHO: (no name) - {BB351685-BDF3-457E-0617-2557AB040A1A} - (no file)
O2 - BHO: (no name) - {BF9AAF26-9064-6C4F-091C-07C0FEDA8044} - (no file)
O2 - BHO: (no name) - {C0B31B07-0714-A112-C7D5-F802D4606785} - (no file)
O2 - BHO: (no name) - {C25B819B-AC4E-4A6C-1C3C-94A75C05801D} - (no file)
O2 - BHO: (no name) - {C40122F1-A8B0-A3C3-6FB0-84B04256A6CB} - (no file)
O2 - BHO: (no name) - {C75F302C-5DED-C090-F779-5337D7567BC3} - (no file)
O2 - BHO: (no name) - {CA4A8F73-BA72-D97B-4C7D-0D52B4CF4542} - (no file)
O2 - BHO: (no name) - {D45F954C-7B53-AE0C-955A-307DD79D8456} - (no file)
O2 - BHO: (no name) - {E38ED9F3-91EA-355E-5715-27B3113CA15D} - (no file)
O2 - BHO: (no name) - {E4E213AC-6EE7-E7FD-1EB7-48256674F698} - (no file)
O2 - BHO: (no name) - {E7208CC8-AE73-3F51-D49A-64CDBD6A4258} - (no file)
O2 - BHO: (no name) - {E931541A-F610-204D-5340-6A7598B41F6B} - (no file)
O2 - BHO: (no name) - {F247658E-481B-CA46-2F1D-F487A19A8EF1} - (no file)
O2 - BHO: (no name) - {F49CC5FF-6067-F5F1-F9D8-B1264B43732F} - (no file)
O2 - BHO: (no name) - {FA0C2FA2-9533-02AC-2257-2C0FBDC0D6F5} - (no file)
O2 - BHO: (no name) - {FAF1B8E9-63E5-A24C-2E5E-87B83DF91450} - (no file)
O3 - Toolbar: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O20 - AppInit_DLLs: C:\WINDOWS\System32\hrum363.txt

Ferme toutes les fenêtres (hormis HijackThis), y compris ton navigateur.

Clique sur fix checked.

Ferme Hijackthis.

6) Redémarre l'ordi.

Poste un nouveau log hijackthis.

@+
0
Réponse 102 / 139
balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
 
salut fait se que ta mis lyonnais et ensuite retelecharge smitfraudfix une mise a jour a ete faite avec pris en compte de ton soucis
O20 - AppInit_DLLs: C:\WINDOWS\System32\hrum363.txt

imperatif desinstal la version que tu as
telecharge la nouvelle
Version 2.218 (August 30, 2007)

passe l option 1 sauvegarde le rapport et seulement ensuite passe l option 2 en mode sans echec et sauvegarde le rapport
et redemarre et donne moi les deux rapport stp merci

a++
0
Réponse 103 / 139
IBM
 
Reponse au post 102

Oui j'ai tenté en mode sans echec et en mode normal via regedit puis via explorer puis via un hijack fix je l'ai refait en mode normal je connais la procedure par coeur j'ai du la faire cinq fois.

A chaque fois que je lance hijack je tente 'eliminer les lignes O2 puis O20 j'essaie individuellement ca ne marche pas ! tous ensemble non plus!

J'y retourne une énième fois en mode sans exhec avant de faire la suite
0
Réponse 104 / 139
ibm
 
REPONSE POST 103

1)
31/08/2007 ---- 1:02:10,70

----------------------------------
§§§§§§ [iexpedition] §§§§§§
----------------------------------
[X] Registre

-------------- [ ] rapide
-- Fichier --- [ ] disque systeme
------------- [X] complete

********************
[Registre]
********************

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\iexpedition]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\iexpedition]

*******************
[Fichier]
*******************

*********************
[Même date]
*********************

Aucun fichier créé à la même date détecté

Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§
----------------------------------

2) Tous ceux desinstallent sauf iexpedition même après avoir desinstallé Spybot qui engendre un reboot
jJ'ai tenté de rechercher le fichier manuellement l'acces à Local settings est bloqué
J'ai essayé de retrouver la clef mais je ne la retrouve pas dans ARPCache

3
En ouvrant le grisoft je tombe sur un fichier qui ne donne rien en cliquant dessus, le programme a utiliser est à browser

Par OTMOVEIT Comme resultat d'operation j'ai "error I/O 1050 " meme en effacant le fichier ds AVG SPYWARE 7.5.== PAS DE RAPPORT OTmoveit donc.

CCleaner ok
redemarrage puis hijack

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:24:52, on 31/08/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\TomTom HOME\TomTomHOME.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = virus qui bloque l acces aux postes cles?appreciation= 1&key=8404b4ef0a3dc3c0727bd2cbeadcd0e3
O2 - BHO: (no name) - {0B3FE940-D86C-B10F-DEFD-0E10D5772B03} - (no file)
O2 - BHO: (no name) - {151FE88D-87B9-3874-E160-C39967AD4EEF} - (no file)
O2 - BHO: (no name) - {1711449D-1BC7-4EF2-4ABD-F232B2853AE8} - (no file)
O2 - BHO: (no name) - {1A4F489C-207C-A02F-2E5B-65769154252C} - (no file)
O2 - BHO: (no name) - {1A6C73BC-F02B-9148-3393-BE3C72B10CCF} - (no file)
O2 - BHO: (no name) - {1DC7D98F-A15C-6FCB-1604-8B29DAD31822} - (no file)
O2 - BHO: (no name) - {2912C8B2-64D9-3DD4-6CBD-88EDB5B90BB3} - (no file)
O2 - BHO: (no name) - {2C9FB350-1F61-9DFE-1F19-BA68037F1E85} - (no file)
O2 - BHO: (no name) - {316EFEAA-61D3-60D6-4001-92E3C805009C} - (no file)
O2 - BHO: (no name) - {31BD3B6A-B937-791E-3F3E-683DD5414CF4} - (no file)
O2 - BHO: (no name) - {3764A70B-08CA-A3C8-9F8B-1BABB4D566F5} - (no file)
O2 - BHO: (no name) - {37715160-D292-C8D2-C44E-850B64D43B7A} - (no file)
O2 - BHO: (no name) - {382544E1-147D-F605-A678-BBD18A0F3232} - (no file)
O2 - BHO: (no name) - {3E88D1C1-D2AA-00B7-292D-336AD60DA88E} - (no file)
O2 - BHO: (no name) - {3EB7C486-822C-B49A-76A8-C7CEBAA84985} - (no file)
O2 - BHO: (no name) - {41C07D8C-8EDF-B6D0-22A4-63477AD33BCB} - (no file)
O2 - BHO: (no name) - {41D02906-F44B-CF32-3373-65367914AB05} - (no file)
O2 - BHO: (no name) - {427B0070-6125-1D12-0821-13CFF8EAB8E9} - (no file)
O2 - BHO: (no name) - {455B8195-CE66-C38D-E2B1-00B56CE783D0} - (no file)
O2 - BHO: (no name) - {52334F6A-627E-7956-0AA5-A12FB2907845} - (no file)
O2 - BHO: (no name) - {624A4484-6BD2-E6A9-49B0-86D566CC592B} - (no file)
O2 - BHO: (no name) - {62883FE9-57A7-4A38-F908-7FA3F3C59429} - (no file)
O2 - BHO: (no name) - {66A15FEE-5E94-86FB-0CE6-EC4939529CDA} - (no file)
O2 - BHO: (no name) - {6F38738B-8F6B-B31B-D8EA-D1963ADEB7AE} - (no file)
O2 - BHO: (no name) - {73156990-7CC1-9E5B-7282-2852A986EDAB} - (no file)
O2 - BHO: (no name) - {757AA4A7-F824-258A-4257-5B822794FA60} - (no file)
O2 - BHO: (no name) - {7A00499E-BCBB-B127-9B94-C5DF5086E096} - (no file)
O2 - BHO: (no name) - {7A193F04-BFD4-8A44-1449-091C5B906307} - (no file)
O2 - BHO: (no name) - {7C5E4C71-68F4-DA79-59FA-82571771815D} - (no file)
O2 - BHO: (no name) - {7CDEF27B-3E79-6C65-25A5-15182309D6F7} - (no file)
O2 - BHO: (no name) - {8005338C-F6C8-1567-B7F1-510AA773BCF3} - (no file)
O2 - BHO: (no name) - {8BA66EA9-AC16-AD1A-286D-94CC1F4EF8C9} - (no file)
O2 - BHO: (no name) - {8D1B8200-45A1-2D24-646B-74ECF013AF0B} - (no file)
O2 - BHO: (no name) - {8D878BE1-0905-01F2-0036-DC98A483AEBA} - (no file)
O2 - BHO: (no name) - {9059FB41-2D6E-D563-B573-677DB010D9B1} - (no file)
O2 - BHO: (no name) - {94A53935-C204-C7E0-8510-27AEF27FEAB9} - (no file)
O2 - BHO: (no name) - {95C2E350-02E5-F766-2847-040897D53CA0} - (no file)
O2 - BHO: (no name) - {98B06E7B-7D84-30CB-A991-794990630F1F} - (no file)
O2 - BHO: (no name) - {99E07168-74E3-B338-C3F5-94CE8795954F} - (no file)
O2 - BHO: (no name) - {9A735E65-B77E-83B5-E2CE-86A183CD727B} - (no file)
O2 - BHO: (no name) - {9B5712EF-16A3-B05E-9899-29F9A66E3C67} - (no file)
O2 - BHO: (no name) - {9CD671F4-EDF9-74CB-0600-1C50A9A949DB} - (no file)
O2 - BHO: (no name) - {9F1DD262-0FBF-5CD9-BF68-7E9481D4F962} - (no file)
O2 - BHO: (no name) - {9FA24FCA-DF9E-A81C-0C1B-751A6D6EB4BC} - (no file)
O2 - BHO: (no name) - {A010DBE2-CC3D-9634-88DD-0AC37058D49B} - (no file)
O2 - BHO: (no name) - {A26538B0-8F5F-F0E6-7B55-44FA9E707CF1} - (no file)
O2 - BHO: (no name) - {A39786E1-B3F2-5AA0-9792-D30FF78E0B7B} - (no file)
O2 - BHO: (no name) - {AD4D75B9-68DD-52FB-F33A-64E5C0E44B5B} - (no file)
O2 - BHO: (no name) - {AF48F490-C5B3-4EE1-EDC9-6EDD7F4A76A8} - (no file)
O2 - BHO: (no name) - {B1D3FEAA-D001-0277-F30C-211B057CB3F4} - (no file)
O2 - BHO: (no name) - {B66EAEC2-2CE6-1697-9346-9B1E60E39650} - (no file)
O2 - BHO: (no name) - {BB351685-BDF3-457E-0617-2557AB040A1A} - (no file)
O2 - BHO: (no name) - {BF9AAF26-9064-6C4F-091C-07C0FEDA8044} - (no file)
O2 - BHO: (no name) - {C0B31B07-0714-A112-C7D5-F802D4606785} - (no file)
O2 - BHO: (no name) - {C25B819B-AC4E-4A6C-1C3C-94A75C05801D} - (no file)
O2 - BHO: (no name) - {C40122F1-A8B0-A3C3-6FB0-84B04256A6CB} - (no file)
O2 - BHO: (no name) - {C75F302C-5DED-C090-F779-5337D7567BC3} - (no file)
O2 - BHO: (no name) - {CA4A8F73-BA72-D97B-4C7D-0D52B4CF4542} - (no file)
O2 - BHO: (no name) - {D45F954C-7B53-AE0C-955A-307DD79D8456} - (no file)
O2 - BHO: (no name) - {E38ED9F3-91EA-355E-5715-27B3113CA15D} - (no file)
O2 - BHO: (no name) - {E4E213AC-6EE7-E7FD-1EB7-48256674F698} - (no file)
O2 - BHO: (no name) - {E7208CC8-AE73-3F51-D49A-64CDBD6A4258} - (no file)
O2 - BHO: (no name) - {E931541A-F610-204D-5340-6A7598B41F6B} - (no file)
O2 - BHO: (no name) - {F247658E-481B-CA46-2F1D-F487A19A8EF1} - (no file)
O2 - BHO: (no name) - {F49CC5FF-6067-F5F1-F9D8-B1264B43732F} - (no file)
O2 - BHO: (no name) - {FA0C2FA2-9533-02AC-2257-2C0FBDC0D6F5} - (no file)
O2 - BHO: (no name) - {FAF1B8E9-63E5-A24C-2E5E-87B83DF91450} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME\TomTomHOME.exe" -s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - http://download.bitdefender.com/resources/scan8/oscan8.cab
O20 - AppInit_DLLs: C:\WINDOWS\System32\hrum363.txt
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 105 / 139
ibm
 
SmitFraudFix v2.218

Rapport fait à 3:06:41,23, 31/08/2007
Executé à partir de C:\Documents and Settings\LAPTOP\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\TomTom HOME\TomTomHOME.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\LAPTOP

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\LAPTOP\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\LAPTOP\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"appinit_dlls"="C:\\WINDOWS\\System32\\hrum363.txt"

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Connexion réseau Intel(R) PRO/100 - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{FB9FB46D-23DC-4D36-B823-BABB625AA016}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{FB9FB46D-23DC-4D36-B823-BABB625AA016}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

__________________________________________________________________________________________________________
SmitFraudFix v2.218

Rapport fait à 3:14:59,07, 31/08/2007
Executé à partir de C:\Documents and Settings\LAPTOP\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{FB9FB46D-23DC-4D36-B823-BABB625AA016}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{FB9FB46D-23DC-4D36-B823-BABB625AA016}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin
0
Réponse 106 / 139
ibm
 
NOTA/ LES SCANS HIJACKS SONT IDENTIQUES AUX PRECEDENTS

Bonne nuit...
0
Réponse 107 / 139
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Bonjour,

ibm,

1) la ligne 020 est toujours là ?

2) Relance OAD sur FAF1B8E9-63E5-A24C-2E5E-87B83DF91450 et poste le rapport

3) Relance hijackthis, choisis open the misc tool section et open uninstall manager.

Clique sur save list et enregistre le fichier. Ouvre le avec le bloc-note pour le copier dans ta réponse.

balltrap,

Smitfraud fix n'a pas viré la ligne (pas de trace dans le log) ?!

que penses tu d'un script Avenger(plutôt qu'un bfu) pour tuer :

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"appinit_dlls"="C:\\WINDOWS\\System32\\hrum363.txt"

c:\_OTMoveIt\MovedFiles\WINDOWS\System32\hrum363.txt
c:\Documents and Settings\LAPTOP\Recent\hrum363.txt.lnk
c:\WINDOWS\system32\hrum363.txt

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\iexpedition]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\iexpedition]

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5.

Le dossier internet expedition (je sais comment les trouver)

les clés liés aux 02

si oui, tu peux préparer le terrain ( pour

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"appinit_dlls"="C:\\WINDOWS\\System32\\hrum363.txt"
c:\WINDOWS\system32\hrum363.txt
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\iexpedition]

je ferai les autres par imitation).

Merci.

@+
0
Réponse 108 / 139
IBM
 
Bjr,

Ligne O20 tjrs presente meme apres en avoir tenter un fix

31/08/2007 ---- 12:53:37,04

----------------------------------
§§§§§§ [FAF1B8E9-63E5-A24C-2E5E-87B83DF91450] §§§§§§
----------------------------------
[X] Registre

-------------- [ ] rapide
-- Fichier --- [ ] disque systeme
------------- [X] complete

********************
[Registre]
********************

Aucune entrée détectée

*******************
[Fichier]
*******************

*********************
[Même date]
*********************

Aucun fichier créé à la même date détecté

Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§
----------------------------------
0
Réponse 109 / 139
IBM
 
Adobe Download Manager 2.0 (Supprimer uniquement)
Adobe Reader 7.0.5
Adobe SVG Viewer 3.0
Alice ADSL - Installation principale
Avira AntiVir PersonalEdition Classic
Barre d'outils MSN
CCleaner (remove only)
Correctif pour le Lecteur Windows Media [Voir Q828026 pour plus d'informations]
Correctif Windows XP - KB820291
Correctif Windows XP - KB821253
Correctif Windows XP - KB822603
Correctif Windows XP - KB823182
Correctif Windows XP - KB824105
Correctif Windows XP - KB824141
Correctif Windows XP - KB825119
Correctif Windows XP - KB826939
Correctif Windows XP - KB826942
Correctif Windows XP - KB828028
Correctif Windows XP - KB828035
Correctif Windows XP - KB829558
Correctif Windows XP - KB842773
Correctif Windows XP (SP2) Q322011
Correctif Windows XP (SP2) Q327979
Correctif Windows XP (SP2) Q814995
HijackThis 2.0.2
IBM ThinkPad Power Management Driver
Intel(R) PRO Network Adapters and Drivers
Internet Expedition
Internet Explorer Q832894
InterVideo WinDVD 5
J2SE Runtime Environment 5.0 Update 6
jv16 PowerTools 1.3
Kit de connexion ADSL
kit de connexion NC NUMERICABLE 1.0
Lecteur Windows Media 10
Lexmark X5100 Series
Macromedia Flash Player 8
Micro Application - 36 Dictionnaires et Recueils de Correspondance
Microsoft Office XP Professional
Mise à jour pour Windows XP (KB898461)
Mise à jour pour Windows XP (KB927891)
MSN Messenger 7.5
Navilog1 Version 2.0.9
Outlook Express Q820223
Pack réseau avancé pour Windows XP
QuickTime
RealPlayer
SAMSUNG CDMA Modem Driver Set
SAMSUNG Mobile Composite Device Software
Samsung Mobile phone USB driver Software
SAMSUNG Mobile USB Modem 1.0 Software
SAMSUNG Mobile USB Modem Software
Samsung PC Studio
Samsung PC Studio 3 USB Driver Installer
TomTom HOME
VideoLAN VLC media player 0.8.1
Visionneuse Journal Windows Microsoft
Windows Genuine Advantage v1.3.0254.0
Windows Installer 3.1 (KB893803)
Windows Media Format Runtime
Yahoo! Install Manager
0
Réponse 110 / 139
balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
 
salut

c est pour lyonnais uniquement toi ne fait rien avec ceci

fait rapidement pas trop le temp lol
voici un lien des commandes
http://swandog46.geekstogo.com/avenger2/avenger2.html 

Files to delete:
c:\WINDOWS\system32\hrum363.txt 

Registry values to replace with dummy: 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs


a++
0
Réponse 111 / 139
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
RE,

1) ouvre la clé

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Dans la fenêtre de droite tu vois successivement et uniquement : ab par défaut puis REG_SZ puis valeur non définie ? oui - non

Dans la fenêtre de gauche, tu vois, en desous de Browser Helper Objects , la liste de tous les CLSI (cette longuse suite de caractères) que l'on voit aussi dans les lignes 02 du log Hijackthis ? oui - non

Si oui (je suis quasi sûr à 100%) :

clic droit sur la première. Tu as une ligne autorisation ? oui - non

Si oui, tu cliques sur autorisation. Une fenêtre s'ouvre avec une liste d'utilisateurs, dont le nom de ta session ? oui - non

Si oui, clique sur la ligne de ta session.

Est ce que contrôle total est coché ? oui - non

Si oui, ferme la fenêtre des autorisations, clic droit sur le CLSID et suppression. Ca marche ? oui - non

Si non, clique sur paramètres avancés, clique sur le nom de ta session, clique sur modifier. Peux tu cocher la case "contrôle total" "autoriser" ? Si oui tu le fais et tu essaies la maneuvre de suppression ci-dessus.

Sinon, tu démarres en mode sans échec et tu esayes les mêmes maneuvres avec ta session d'abord, avec la session administrateur en cas d'échec.

question complémentaire. Quand tu as clioqué sur apramètres avancés, est ce que la case devant "hérite de l'objet parent ..." est cochée ? Sinon, tu essayes de la cocher et de refaire les maneuvres d'attribution des droits de contrôle total puis de suppression.

Tu nous dit le résultat.
@+
-
0
Réponse 112 / 139
ibmm Messages postés 4 Statut Membre
 
RE : le lyonnais!

J'espère que t'es toujours effectif malgré le tps qui a passé, j'ai de bonnes news!

Voici ce qui s'est passé : Je me suis démené comme un fou à partir de ton dernier message voici ce qu'il en ressort :

Il a bien ce que tu décris en 1.
Grâce à toi, j'ai réussi à virer toutes les lignes O2 :
Voici le procédé.

Aller sur la lgne, puis clique droit: autorisations ---> Paramètres avancés--->Propriétaire---> la je selectionne la ligne qui correspond à ma session qui se trouve etre présente avec une ligne nommée "tous les utilisateurs"--->puis OK. : Ce qui nous raméne au panneau d'autorisation de base.
Là je coche Autoriser.

Ce protocole me permet alors d'enfin effacer la ligne. J'ai dû procéder a chaque fois de la sorte pour chaque ligne O2, laborieux et fastidieux mais efficace ;-)

Pour la valeur hrum363 il en va autrement car je ne peux agir sur elle séparément . QUe proposes-tu ?

Voici le hijack :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:26:52, on 12/11/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\QuickTime\QTTask.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\regedit.exe
C:\Documents and Settings\LAPTOP\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ww25.forums.spywareinfo.com/index.php?s=04b83a6361704b9c04430041122bc18c&showtopic=107849&st=15
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O20 - AppInit_DLLs: C:\WINDOWS\System32\hrum363.txt
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
0
Réponse 113 / 139
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Bonjour,

je t'avouerai que je t'avais un peu oublié lol.

Mais je suis toujours là.

Fais ça :

télécharge combofix (par sUBs)ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

et enregistre le sur le bureau.

2 double-clique sur combofix.exe et suis les instructions

3 à la fin, il va produire un rapport C:\ComboFix.txt

4 copie/colle ce rapport dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.
0
Réponse 114 / 139
ibmm Messages postés 4 Statut Membre
 
Voici le resultat au 1er lancement au bout de 10min une première fenetre appelée swreg.cfexe apparait où il est spécifié :"L'application ou la DLL:C\windows\systeme32\hrum363.txt n'est pas une image windows valide.verifez à l'aide de votre disquette d'installation". A chauqe fois que je ferme une autre aparait avec un autre titre "regedit.exe,net1.exe, RDNT.exe,catchme.cfexe" bref une quinzaine en tout.

AU redemarrage je lance regedit et procède à la manière des lignes O2 du hijack de départ sur les HKEYs cette fois (au passage je pense que si j'avais fais ça au début cela m'aurait épargné de le refaire pour chacune des lignes). Bref je donne le nom de ma section en propriétaire et refait un combofix sans accros cette fois.
tu as les deux ici :

Le 1er:
ComboFix 07-11-08.1 - LAPTOP 2007-11-11 23:28:39.1 - NTFSx86
Running from: C:\Documents and Settings\LAPTOP\Bureau\ComboFix.exe
* Created a new restore point
.

Incapable d'obtenir les privilèges Système

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\doll193.exe
C:\WINDOWS\g32.txt
C:\WINDOWS\gui
C:\WINDOWS\gui\drw43300.txt
C:\WINDOWS\gui\drw43300.vdb
C:\WINDOWS\gui\drw43301.txt
C:\WINDOWS\gui\drw43301.vdb
C:\WINDOWS\gui\drw43302.txt
C:\WINDOWS\gui\drw43302.vdb
C:\WINDOWS\gui\drw43303.txt
C:\WINDOWS\gui\drw43303.vdb
C:\WINDOWS\gui\drw43304.txt
C:\WINDOWS\gui\drw43304.vdb
C:\WINDOWS\gui\drw43305.txt
C:\WINDOWS\gui\drw43305.vdb
C:\WINDOWS\gui\drw43306.txt
C:\WINDOWS\gui\drw43306.vdb
C:\WINDOWS\gui\drw43307.txt
C:\WINDOWS\gui\drw43307.vdb
C:\WINDOWS\gui\drw43308.txt
C:\WINDOWS\gui\drw43308.vdb
C:\WINDOWS\gui\drw43309.txt
C:\WINDOWS\gui\drw43309.vdb
C:\WINDOWS\gui\drw43310.txt
C:\WINDOWS\gui\drw43310.vdb
C:\WINDOWS\gui\drw43311.txt
C:\WINDOWS\gui\drw43311.vdb
C:\WINDOWS\gui\drw43312.txt
C:\WINDOWS\gui\drw43312.vdb
C:\WINDOWS\gui\drw43313.txt
C:\WINDOWS\gui\drw43313.vdb
C:\WINDOWS\gui\drw43314.txt
C:\WINDOWS\gui\drw43314.vdb
C:\WINDOWS\gui\drw43315.txt
C:\WINDOWS\gui\drw43315.vdb
C:\WINDOWS\gui\drw43316.txt
C:\WINDOWS\gui\drw43316.vdb
C:\WINDOWS\gui\drw43317.txt
C:\WINDOWS\gui\drw43317.vdb
C:\WINDOWS\gui\drw43318.txt
C:\WINDOWS\gui\drw43318.vdb
C:\WINDOWS\gui\drw43319.txt
C:\WINDOWS\gui\drw43319.vdb
C:\WINDOWS\gui\drw43320.txt
C:\WINDOWS\gui\drw43320.vdb
C:\WINDOWS\gui\drw43321.txt
C:\WINDOWS\gui\drw43321.vdb
C:\WINDOWS\gui\drw43322.txt
C:\WINDOWS\gui\drw43322.vdb
C:\WINDOWS\gui\drw43323.txt
C:\WINDOWS\gui\drw43323.vdb
C:\WINDOWS\gui\drw43324.txt
C:\WINDOWS\gui\drw43324.vdb
C:\WINDOWS\gui\drw43325.txt
C:\WINDOWS\gui\drw43325.vdb
C:\WINDOWS\gui\drw43326.txt
C:\WINDOWS\gui\drw43326.vdb
C:\WINDOWS\gui\drw43327.txt
C:\WINDOWS\gui\drw43327.vdb
C:\WINDOWS\gui\drw43328.txt
C:\WINDOWS\gui\drw43328.vdb
C:\WINDOWS\gui\drw43329.txt
C:\WINDOWS\gui\drw43329.vdb
C:\WINDOWS\gui\drw43330.txt
C:\WINDOWS\gui\drw43330.vdb
C:\WINDOWS\gui\drw43331.txt
C:\WINDOWS\gui\drw43331.vdb
C:\WINDOWS\gui\drw43332.txt
C:\WINDOWS\gui\drw43332.vdb
C:\WINDOWS\gui\drw43333.txt
C:\WINDOWS\gui\drw43333.vdb
C:\WINDOWS\gui\drw43334.txt
C:\WINDOWS\gui\drw43334.vdb
C:\WINDOWS\gui\drw43335.txt
C:\WINDOWS\gui\drw43335.vdb
C:\WINDOWS\gui\drw43336.txt
C:\WINDOWS\gui\drw43336.vdb
C:\WINDOWS\gui\drw43337.txt
C:\WINDOWS\gui\drw43337.vdb
C:\WINDOWS\gui\drw43338.txt
C:\WINDOWS\gui\drw43338.vdb
C:\WINDOWS\gui\drw43339.txt
C:\WINDOWS\gui\drw43339.vdb
C:\WINDOWS\gui\drw43340.txt
C:\WINDOWS\gui\drw43340.vdb
C:\WINDOWS\gui\drw43341.txt
C:\WINDOWS\gui\drw43341.vdb
C:\WINDOWS\gui\drw43342.txt
C:\WINDOWS\gui\drw43342.vdb
C:\WINDOWS\gui\drw43343.txt
C:\WINDOWS\gui\drw43343.vdb
C:\WINDOWS\gui\drw43344.txt
C:\WINDOWS\gui\drw43344.vdb
C:\WINDOWS\gui\drw43345.txt
C:\WINDOWS\gui\drw43345.vdb
C:\WINDOWS\gui\drw43346.txt
C:\WINDOWS\gui\drw43346.vdb
C:\WINDOWS\gui\drw43347.txt
C:\WINDOWS\gui\drw43347.vdb
C:\WINDOWS\gui\drw43348.txt
C:\WINDOWS\gui\drw43348.vdb
C:\WINDOWS\gui\drw43349.txt
C:\WINDOWS\gui\drw43349.vdb
C:\WINDOWS\gui\drw43350.txt
C:\WINDOWS\gui\drw43350.vdb
C:\WINDOWS\gui\drw43351.txt
C:\WINDOWS\gui\drw43351.vdb
C:\WINDOWS\gui\drw43352.txt
C:\WINDOWS\gui\drw43352.vdb
C:\WINDOWS\gui\drw43353.txt
C:\WINDOWS\gui\drw43353.vdb
C:\WINDOWS\gui\drw43354.txt
C:\WINDOWS\gui\drw43354.vdb
C:\WINDOWS\gui\drw43355.txt
C:\WINDOWS\gui\drw43355.vdb
C:\WINDOWS\gui\drw43356.txt
C:\WINDOWS\gui\drw43356.vdb
C:\WINDOWS\gui\drw43357.txt
C:\WINDOWS\gui\drw43357.vdb
C:\WINDOWS\gui\drw43358.txt
C:\WINDOWS\gui\drw43358.vdb
C:\WINDOWS\gui\drw43359.txt
C:\WINDOWS\gui\drw43359.vdb
C:\WINDOWS\gui\drw43360.txt
C:\WINDOWS\gui\drw43360.vdb
C:\WINDOWS\gui\drw43361.txt
C:\WINDOWS\gui\drw43361.vdb
C:\WINDOWS\gui\drw43362.txt
C:\WINDOWS\gui\drw43362.vdb
C:\WINDOWS\gui\drw43363.txt
C:\WINDOWS\gui\drw43363.vdb
C:\WINDOWS\gui\drw43364.txt
C:\WINDOWS\gui\drw43364.vdb
C:\WINDOWS\gui\drw43365.txt
C:\WINDOWS\gui\drw43365.vdb
C:\WINDOWS\gui\drweb32.dll
C:\WINDOWS\gui\DrWeb32.key
C:\WINDOWS\gui\drwebase.vdb
C:\WINDOWS\gui\drwnasty.txt
C:\WINDOWS\gui\drwnasty.vdb
C:\WINDOWS\gui\drwrisky.txt
C:\WINDOWS\gui\drwrisky.vdb
C:\WINDOWS\gui\drwtoday.txt
C:\WINDOWS\gui\drwtoday.vdb
C:\WINDOWS\gui\dwebio16.dll
C:\WINDOWS\gui\dwebio32.dll
C:\WINDOWS\gui\dwebllio.dll
C:\WINDOWS\gui\dwn43301.txt
C:\WINDOWS\gui\dwn43301.vdb
C:\WINDOWS\gui\dwn43302.txt
C:\WINDOWS\gui\dwn43302.vdb
C:\WINDOWS\gui\dwn43303.txt
C:\WINDOWS\gui\dwn43303.vdb
C:\WINDOWS\gui\dwn43304.txt
C:\WINDOWS\gui\dwn43304.vdb
C:\WINDOWS\gui\dwn43305.txt
C:\WINDOWS\gui\dwn43305.vdb
C:\WINDOWS\gui\dwntoday.txt
C:\WINDOWS\gui\dwntoday.vdb
C:\WINDOWS\gui\dwr43301.txt
C:\WINDOWS\gui\dwr43301.vdb
C:\WINDOWS\gui\dwrtoday.txt
C:\WINDOWS\gui\dwrtoday.vdb
C:\WINDOWS\gui\gui.exe
C:\WINDOWS\gui\gui.list
C:\WINDOWS\gui\rar.exe
C:\WINDOWS\system32\7_exception.nls
C:\WINDOWS\system32\away.exe.exe
C:\WINDOWS\system32\bi.dll
C:\WINDOWS\system32\components
C:\WINDOWS\system32\drivers\alert_icon.gif
C:\WINDOWS\system32\drivers\blank.gif
C:\WINDOWS\system32\drivers\box_1.gif
C:\WINDOWS\system32\drivers\box_2.gif
C:\WINDOWS\system32\drivers\box_3.gif
C:\WINDOWS\system32\drivers\button_buynow.gif
C:\WINDOWS\system32\drivers\button_freescan.gif
C:\WINDOWS\system32\drivers\close_icon.gif
C:\WINDOWS\system32\drivers\detect.htm
C:\WINDOWS\system32\drivers\download_box.gif
C:\WINDOWS\system32\drivers\footer_back.jpg
C:\WINDOWS\system32\drivers\header_1.gif
C:\WINDOWS\system32\drivers\header_2.gif
C:\WINDOWS\system32\drivers\header_3.gif
C:\WINDOWS\system32\drivers\header_4.gif
C:\WINDOWS\system32\drivers\header_bg.gif
C:\WINDOWS\system32\drivers\icon_warning.gif
C:\WINDOWS\system32\drivers\infected.gif
C:\WINDOWS\system32\drivers\JIO45.sys
C:\WINDOWS\system32\drivers\main_back.gif
C:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\system32\drivers\perfect_cleaner_box.jpg
C:\WINDOWS\system32\drivers\product_1_header.gif
C:\WINDOWS\system32\drivers\product_1_name_small.gif
C:\WINDOWS\system32\drivers\product_2_header.gif
C:\WINDOWS\system32\drivers\product_2_name_small.gif
C:\WINDOWS\system32\drivers\product_3_header.gif
C:\WINDOWS\system32\drivers\product_3_name_small.gif
C:\WINDOWS\system32\drivers\product_features.gif
C:\WINDOWS\system32\drivers\pt.htm
C:\WINDOWS\system32\drivers\remove_spyware_button.gif
C:\WINDOWS\system32\drivers\s_detect.htm
C:\WINDOWS\system32\drivers\secuity_center_logo.gif
C:\WINDOWS\system32\drivers\sep_hor.gif
C:\WINDOWS\system32\drivers\sep_vert.gif
C:\WINDOWS\system32\drivers\shadow.jpg
C:\WINDOWS\system32\drivers\spacer.gif
C:\WINDOWS\system32\drivers\spy_away_box.jpg
C:\WINDOWS\system32\drivers\star.gif
C:\WINDOWS\system32\drivers\star_gray.gif
C:\WINDOWS\system32\drivers\star_gray_small.gif
C:\WINDOWS\system32\drivers\star_small.gif
C:\WINDOWS\system32\drivers\style.css
C:\WINDOWS\system32\drivers\symavc32.sys
C:\WINDOWS\system32\drivers\v.gif
C:\WINDOWS\system32\drivers\warning_icon.gif
C:\WINDOWS\system32\drivers\win_logo.gif
C:\WINDOWS\system32\drivers\x.gif
C:\WINDOWS\system32\gtv_sd.bin
C:\WINDOWS\system32\hrum363.txt
C:\WINDOWS\system32\koos.exe
C:\WINDOWS\system32\kprof
C:\WINDOWS\system32\lfd32.ini
C:\WINDOWS\system32\Packet.dll
C:\WINDOWS\system32\poof
C:\WINDOWS\system32\pthreadVC.dll
C:\WINDOWS\system32\svcp.csv
C:\WINDOWS\system32\WanPacket.dll
C:\WINDOWS\system32\winsub.xml
C:\WINDOWS\system32\wpcap.dll
C:\WINDOWS\trace
C:\WINDOWS\trace\trace.txt
C:\WINDOWS\wesre.exe
C:\WINDOWS\xlavba8.exe

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_JIO45
-------\LEGACY_NPF
-------\LEGACY_NTIO256
-------\LEGACY_POOF
-------\LEGACY_RUNTIME
-------\LEGACY_RUNTIME2
-------\NPF
-------\xlavba8

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-10-11 to 2007-11-11 ))))))))))))))))))))))))))))))))))))
.

2007-11-11 23:23 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-11-11 20:59 <REP> d-------- C:\WINDOWS\AU_Temp
2007-11-11 15:08 <REP> d-------- C:\Program Files\Avira
2007-11-11 15:08 <REP> d----c--- C:\Documents and Settings\All Users\Application Data\Avira
2007-11-11 02:53 <REP> d-------- C:\WINDOWS\report
2007-11-11 02:47 <REP> d-------- C:\WINDOWS\AU_Backup
2007-11-11 02:47 1,163,344 --a------ C:\WINDOWS\vsapi32.dll
2007-11-11 02:47 267,845 --a------ C:\WINDOWS\tsc.exe
2007-11-11 02:47 86,094 --a------ C:\WINDOWS\BPMNT.dll
2007-11-11 02:47 71,749 --a------ C:\WINDOWS\hcextoutput.dll
2007-11-11 02:42 <REP> d-------- C:\WINDOWS\AU_Log
2007-11-11 02:42 507,904 --a------ C:\WINDOWS\TMUPDATE.DLL
2007-11-11 02:41 286,720 --a------ C:\WINDOWS\PATCH.EXE
2007-11-11 02:41 69,689 --a------ C:\WINDOWS\UNZIP.DLL
2007-11-09 14:19 <REP> d-------- C:\Program Files\Enigma Software Group
2007-11-09 13:56 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2007-11-09 13:51 54,960 --a------ C:\WINDOWS\system32\vsutil_loc040c.dll
2007-11-09 13:50 <REP> d-------- C:\WINDOWS\system32\ZoneLabs
2007-11-09 13:49 <REP> d-------- C:\WINDOWS\Internet Logs
2007-11-09 13:12 <REP> d-------- C:\Program Files\NoAdware5.0
2007-11-09 02:05 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
2007-11-09 02:05 <REP> d----c--- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab
2007-11-08 23:57 124,266 --a------ C:\WINDOWS\noskrnl.exe
2007-11-08 23:57 12,960 --a------ C:\WINDOWS\system32\noskrnl.sys
2007-11-03 00:23 <REP> d-------- C:\WINDOWS\system32\CatRoot2
2007-11-01 00:52 <REP> d-------- C:\Program Files\InCode Solutions
2007-10-28 17:19 <REP> d-------- C:\Program Files\QuickTime
2007-10-28 17:18 <REP> d----c--- C:\Documents and Settings\All Users\Application Data\Apple Computer
2007-10-28 17:15 <REP> d-------- C:\Program Files\Apple Software Update
2007-10-28 17:15 <REP> d----c--- C:\Documents and Settings\All Users\Application Data\Apple
2007-10-27 03:31 <REP> d----c--- C:\Documents and Settings\LAPTOP\Application Data\BitTorrent
2007-10-27 03:27 <REP> d----c--- C:\Documents and Settings\LAPTOP\Application Data\DNA
2007-10-27 01:32 <REP> d----c--- C:\Documents and Settings\LAPTOP\Application Data\TomTom
2007-10-27 01:31 <REP> d----c--- C:\Documents and Settings\All Users\Application Data\TomTom
2007-10-27 01:30 <REP> d-------- C:\Program Files\TomTom HOME 2

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-11 10:52 --------- d-----w C:\Program Files\Windows Journal Viewer
2007-11-11 10:52 --------- d-----w C:\Program Files\Wanadoo
2007-11-11 10:52 --------- d-----w C:\Program Files\NC NUMERICABLE
2007-11-11 10:52 --------- d-----w C:\Program Files\MSN Messenger
2007-11-11 10:51 --------- d-----w C:\Program Files\Google
2007-11-11 10:51 --------- d-----w C:\Program Files\CCleaner
2007-11-02 17:23 --------- dc----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2007-11-01 20:30 --------- d-----w C:\Program Files\Trojan Remover
2007-11-01 20:28 --------- dc--a-w C:\Documents and Settings\All Users\Application Data\TEMP
2007-11-01 00:34 --------- d-----w C:\Program Files\Navilog1
2007-10-27 09:06 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-10-27 00:31 --------- d-----w C:\Program Files\TomTom HOME
2007-10-21 15:12 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2007-09-27 00:06 --------- dc----w C:\Documents and Settings\LAPTOP\Application Data\vlc
2007-09-23 23:30 --------- dc----w C:\Documents and Settings\LAPTOP\Application Data\TransRender
2007-09-23 23:29 --------- dc----w C:\Documents and Settings\LAPTOP\Application Data\Temporary
2007-09-23 23:29 --------- dc----w C:\Documents and Settings\LAPTOP\Application Data\Samsung
2007-09-23 23:29 --------- dc----w C:\Documents and Settings\LAPTOP\Application Data\ConvertTemp
2007-08-28 10:17 9,677 -c--a-w C:\dnsbak.reg
2004-06-25 10:19 1,785 ----a-r C:\Program Files\Lisezmoi.txt
2004-06-23 09:49 763,326 ----a-w C:\Program Files\MEDIADICO36.HLP
2004-06-08 10:37 81,920 ----a-r C:\Program Files\Installation de MediaDICO36 dans Word.doc
2004-06-08 10:37 49,664 ----a-r C:\Program Files\Désinstallation de MediaDICO36 dans Word.doc
2004-06-02 16:42 35,328 ----a-r C:\Program Files\MediaDICO4Word.doc
2004-06-02 16:41 34,304 ----a-r C:\Program Files\Désinstallation de MediaDICO4Word.doc
2004-06-02 14:10 217,171 ----a-w C:\Program Files\RAC36.exe
2004-05-28 13:48 278,623 ----a-w C:\Program Files\MediaDICO36Word.dll
2004-05-27 13:25 252,416 ----a-w C:\Program Files\LanceMediaDICO36.exe
2004-05-27 13:24 280,576 ----a-w C:\Program Files\MediaDico36.exe
2004-05-07 15:18 180,307 ----a-w C:\Program Files\DMW36.exe
2004-05-06 13:59 184,403 ----a-w C:\Program Files\RMW36.exe
2004-01-04 14:57 121,344 ----a-w C:\Program Files\IndexV2.dll
2001-11-13 19:08 1,408,486 ----a-w C:\Program Files\MediaR36.Pat
2006-06-05 01:11:44 88 --sh--r C:\WINDOWS\system32\3A9CB52BFF.sys
2005-04-17 15:20:23 56 --sh--r C:\WINDOWS\system32\FF2BB59C3A.sys
2006-06-05 01:11:58 4,184 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2007-06-29 06:24]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]
"Zone Labs Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2006-03-16 11:34]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-11-11 17:46]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"@"="" []

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"noskrnl"=C:\WINDOWS\noskrnl.exe

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2007-11-02 19:46:35 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
"2005-08-29 11:10:59 C:\WINDOWS\Tasks\Low Battery Alarm Program.job"
.
**************************************************************************

catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-11 23:53:57
Windows 5.1.2600 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

**************************************************************************
.
Completion time: 2007-11-11 23:58:34 - machine was rebooted
.
--- E O F ---

Le 2nd:

ComboFix 07-11-08.1 - LAPTOP 2007-11-12 0:06:18.2 - NTFSx86
Running from: C:\Documents and Settings\LAPTOP\Bureau\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\noskrnl.sys

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_NPF
-------\LEGACY_NTIO256
-------\LEGACY_POOF
-------\LEGACY_RUNTIME
-------\LEGACY_RUNTIME2

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-10-11 to 2007-11-11 ))))))))))))))))))))))))))))))))))))
.

2007-11-11 23:23 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-11-11 20:59 <REP> d-------- C:\WINDOWS\AU_Temp
2007-11-11 15:08 <REP> d-------- C:\Program Files\Avira
2007-11-11 15:08 <REP> d----c--- C:\Documents and Settings\All Users\Application Data\Avira
2007-11-11 02:53 <REP> d-------- C:\WINDOWS\report
2007-11-11 02:47 <REP> d-------- C:\WINDOWS\AU_Backup
2007-11-11 02:47 1,163,344 --a------ C:\WINDOWS\vsapi32.dll
2007-11-11 02:47 267,845 --a------ C:\WINDOWS\tsc.exe
2007-11-11 02:47 86,094 --a------ C:\WINDOWS\BPMNT.dll
2007-11-11 02:47 71,749 --a------ C:\WINDOWS\hcextoutput.dll
2007-11-11 02:42 <REP> d-------- C:\WINDOWS\AU_Log
2007-11-11 02:42 507,904 --a------ C:\WINDOWS\TMUPDATE.DLL
2007-11-11 02:41 286,720 --a------ C:\WINDOWS\PATCH.EXE
2007-11-11 02:41 69,689 --a------ C:\WINDOWS\UNZIP.DLL
2007-11-09 14:19 <REP> d-------- C:\Program Files\Enigma Software Group
2007-11-09 13:56 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2007-11-09 13:51 54,960 --a------ C:\WINDOWS\system32\vsutil_loc040c.dll
2007-11-09 13:50 <REP> d-------- C:\WINDOWS\system32\ZoneLabs
2007-11-09 13:49 <REP> d-------- C:\WINDOWS\Internet Logs
2007-11-09 13:12 <REP> d-------- C:\Program Files\NoAdware5.0
2007-11-09 02:05 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
2007-11-09 02:05 <REP> d----c--- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab
2007-11-08 23:57 124,266 --a------ C:\WINDOWS\noskrnl.exe
2007-11-03 00:23 <REP> d-------- C:\WINDOWS\system32\CatRoot2
2007-11-01 00:52 <REP> d-------- C:\Program Files\InCode Solutions
2007-10-28 17:19 <REP> d-------- C:\Program Files\QuickTime
2007-10-28 17:18 <REP> d----c--- C:\Documents and Settings\All Users\Application Data\Apple Computer
2007-10-28 17:15 <REP> d-------- C:\Program Files\Apple Software Update
2007-10-28 17:15 <REP> d----c--- C:\Documents and Settings\All Users\Application Data\Apple
2007-10-27 03:31 <REP> d----c--- C:\Documents and Settings\LAPTOP\Application Data\BitTorrent
2007-10-27 03:27 <REP> d----c--- C:\Documents and Settings\LAPTOP\Application Data\DNA
2007-10-27 01:32 <REP> d----c--- C:\Documents and Settings\LAPTOP\Application Data\TomTom
2007-10-27 01:31 <REP> d----c--- C:\Documents and Settings\All Users\Application Data\TomTom
2007-10-27 01:30 <REP> d-------- C:\Program Files\TomTom HOME 2

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-11 10:52 --------- d-----w C:\Program Files\Windows Journal Viewer
2007-11-11 10:52 --------- d-----w C:\Program Files\Wanadoo
2007-11-11 10:52 --------- d-----w C:\Program Files\NC NUMERICABLE
2007-11-11 10:52 --------- d-----w C:\Program Files\MSN Messenger
2007-11-11 10:51 --------- d-----w C:\Program Files\Google
2007-11-11 10:51 --------- d-----w C:\Program Files\CCleaner
2007-11-02 17:23 --------- dc----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2007-11-01 20:30 --------- d-----w C:\Program Files\Trojan Remover
2007-11-01 20:28 --------- dc--a-w C:\Documents and Settings\All Users\Application Data\TEMP
2007-11-01 00:34 --------- d-----w C:\Program Files\Navilog1
2007-10-27 09:06 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-10-27 00:31 --------- d-----w C:\Program Files\TomTom HOME
2007-10-21 15:12 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2007-09-27 00:06 --------- dc----w C:\Documents and Settings\LAPTOP\Application Data\vlc
2007-09-23 23:30 --------- dc----w C:\Documents and Settings\LAPTOP\Application Data\TransRender
2007-09-23 23:29 --------- dc----w C:\Documents and Settings\LAPTOP\Application Data\Temporary
2007-09-23 23:29 --------- dc----w C:\Documents and Settings\LAPTOP\Application Data\Samsung
2007-09-23 23:29 --------- dc----w C:\Documents and Settings\LAPTOP\Application Data\ConvertTemp
2007-08-28 10:17 9,677 -c--a-w C:\dnsbak.reg
2004-06-25 10:19 1,785 ----a-r C:\Program Files\Lisezmoi.txt
2004-06-23 09:49 763,326 ----a-w C:\Program Files\MEDIADICO36.HLP
2004-06-08 10:37 81,920 ----a-r C:\Program Files\Installation de MediaDICO36 dans Word.doc
2004-06-08 10:37 49,664 ----a-r C:\Program Files\Désinstallation de MediaDICO36 dans Word.doc
2004-06-02 16:42 35,328 ----a-r C:\Program Files\MediaDICO4Word.doc
2004-06-02 16:41 34,304 ----a-r C:\Program Files\Désinstallation de MediaDICO4Word.doc
2004-06-02 14:10 217,171 ----a-w C:\Program Files\RAC36.exe
2004-05-28 13:48 278,623 ----a-w C:\Program Files\MediaDICO36Word.dll
2004-05-27 13:25 252,416 ----a-w C:\Program Files\LanceMediaDICO36.exe
2004-05-27 13:24 280,576 ----a-w C:\Program Files\MediaDico36.exe
2004-05-07 15:18 180,307 ----a-w C:\Program Files\DMW36.exe
2004-05-06 13:59 184,403 ----a-w C:\Program Files\RMW36.exe
2004-01-04 14:57 121,344 ----a-w C:\Program Files\IndexV2.dll
2001-11-13 19:08 1,408,486 ----a-w C:\Program Files\MediaR36.Pat
2006-06-05 01:11:44 88 --sh--r C:\WINDOWS\system32\3A9CB52BFF.sys
2005-04-17 15:20:23 56 --sh--r C:\WINDOWS\system32\FF2BB59C3A.sys
2006-06-05 01:11:58 4,184 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((( snapshot@2007-11-11_23.56.13.66 )))))))))))))))))))))))))))))))))))))))))
.
- 2007-11-11 22:27:55 270,336 ----a-w C:\WINDOWS\system32\config\systemprofile\ntuser.dat
+ 2007-11-11 23:06:06 270,336 ----a-w C:\WINDOWS\system32\config\systemprofile\ntuser.dat
- 2007-08-05 10:30:45 121,336 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT
+ 2007-11-11 23:12:20 121,336 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2007-06-29 06:24]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]
"Zone Labs Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2006-03-16 11:34]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-11-11 17:46]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"noskrnl"=C:\WINDOWS\noskrnl.exe

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2007-11-02 19:46:35 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
"2005-08-29 11:10:59 C:\WINDOWS\Tasks\Low Battery Alarm Program.job"
.
**************************************************************************

catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-12 00:15:23
Windows 5.1.2600 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

**************************************************************************
.
Completion time: 2007-11-12 0:22:34 - machine was rebooted
C:\ComboFix2.txt ... 2007-11-11 23:58
.
--- E O F ---
0
Réponse 115 / 139
ibmm Messages postés 4 Statut Membre
 
Le hijack au cas où tu en aurais besoin, tu as fais un super boulot merci pour ta patience en tous cas.

Je suppose qu'il reste quelques miettes à nettoyer ;-)

Merci à toi! J'apprécie énormément les gens efficaces.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:43:25, on 12/11/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\QuickTime\QTTask.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\LAPTOP\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.commentcamarche.net/forum/affich 3448031 virus qui bloque l acces aux postes cles
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
0
Réponse 116 / 139
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Bonjour,

redémarre l'ordi

remets un log Hijackthis.
0
Réponse 117 / 139
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

il ne reste rien au sens du log Hijackthis.

tu as le scan en ligne de kaspersky. Fais le et poste le rapport.

Tu n'as pas d'anti spy. Volontaire ?

Le plus important, mais on fera ça en dernier, tu n'as pas le sp2. C'est une vraie faille de sécurité. C'est volontaire ?
0
Réponse 118 / 139
ibmm
 
Bonjour,

Je ne suis pas sur mon Pc sur lequel nous avons travaillé, qu'entends-tu par anti spy ?
J'ai "Antivir", puis un pare feu "ZoneAlarme"

Je n'ai jamais pu telecharger sp2 sans doute à cause de la copie windows que j'utilise. Si nos PCs étaient livrés avec le logiciel windows on aurait pas ce probléme mais c'est un autre débat.

Je hikack ce soir .

A+

Merci a balltrap également !
0
Réponse 119 / 139
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Bonjour,

un anti spsy : AVG anti spy, Spybot, Ad aware, Super antispy, SpySweeper.

Les 2 derniers sont récents.

Pour Windows, il y a des économies qui peuvent se révéler coûteuses. Les failles de sécurité ne sont pas comblées et sont exploitées par les créateurs de malwares.
0
Réponse 120 / 139
ibmm
 
Bonjour,

Certes, j'ai plusieurs Pcs à la maison, j'utilise celui-ci comme pc de fortune, les prix de logiciels d'exploitation sont tels qu'il devient inconsidéré d'aller s'en procurer en magasin lorsque l'on est pas une entreprise. :-(

Merci en tous cas !
0