Sujet Précédent Sujet Suivant

"Russo turisto.b" et "Surveil"

Résolu/Fermé
Pascal-33-37 Messages postés 112 Date d'inscription jeudi 7 juillet 2005 Statut Membre Dernière intervention 3 avril 2008 - 1 oct. 2007 à 19:55
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 - 27 oct. 2007 à 15:04
Bonjour,

Longtemps que je ne n'avais appelé "à l'aide" dans votre site... (il a bien changé... ). Malgré tous les bons conseils et astuces que j'ai pu apprendre ici, je ne me sors pas d'une infection des 2 parasites sités en objet.

- Pour info, seul Maleware sweeper les a trouvé ;
- Je dispose en outre de :

- Spybot
- AVG anti-spyware
- ...A squarred à disparu de mon ordi !!!! (sans doute à cause du virus)
- Ccleaner
- cleanup40
- Revo
- Super antispyware
- AVG comme anti-virus en veil...
- et Hijack this...

A propos, si ma mémoire est bonne, je dois poster un log de ce dernier ici pour me faire aider...

Logfile of HijackThis v1.99.1
Scan saved at 19:52:42, on 01/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\VeriSign\NAVI\naviagent.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\HP\KBD\KBD.EXE
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\WINDOWS\vsnpstd.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Fichiers communs\ACD Systems\FR\DevDetect.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Garmin\gStart.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Propriétaire\Bureau\NETTOYAGE\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.free.fr/freebox/index.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.free.fr/freebox/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.free.fr:3128;ftp=proxy.free.fr:3128
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [Device Detector] "C:\Program Files\Fichiers communs\ACD Systems\FR\DevDetect.exe" -autorun
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [gStart] C:\Garmin\gStart.exe
O4 - HKCU\..\Run: [Malware Sweeper] C:\Program Files\MalwareSweeper.com\MalwareSweeper\MalSwep.exe
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
O9 - Extra 'Tools' menuitem: Options i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=https://www.free.fr/freebox/index.html
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O18 - Protocol: ActLink - {2A0C35F4-82A3-4C80-919D-7879FEE79DF6} - C:\Program Files\Sage Contact\actlink.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: a-squared Free Service (a2free) - Unknown owner - c:\program files\a-squared free\a2service.exe (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Service de l'iPod (iPod Service) - Unknown owner - C:\Program Files\iPod\bin\iPodService.exe (file missing)
O23 - Service: VeriSign Updater (navi) - VeriSign, Inc. - C:\Program Files\VeriSign\NAVI\naviagent.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


Je me tiens pret à passer à l'action de vos consignes avisées et efficaces... en vous remerciant par avance...

39 réponses

  • 1
  • 2
Réponse 1 / 39
Utilisateur anonyme
1 oct. 2007 à 20:05
Bonsoir,

1. Internet Explorer n'est pas à jour !

2.Supprime :

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)


3.Connecte toi sur www.virustotal.com et analyse : C:\WINDOWS\system32\drivers\CDAC11BA.EXE

S'il s'agit d'un virus supprime:
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
0
Réponse 2 / 39
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
1 oct. 2007 à 21:00
Bonsoir à tous les 2,

je n'avais jamais entendu parler ni de l'un ni de l'autre.

Pour surveill, je crois qu'il s'agit de Remacc.surveill.

Pour Russo turisto, les références sont en russe !! Aurais tu le nom d'un fichier infecté ?

@+
0
Réponse 3 / 39
Pascal-33-37 Messages postés 112 Date d'inscription jeudi 7 juillet 2005 Statut Membre Dernière intervention 3 avril 2008
1 oct. 2007 à 23:51
Bonsoir Lyonnais92...

Tout d'abord, rapport de l'opération:

J'ai bien supprimé la première occurence ; et il n'y avait pas d'infection sur le fichier .EXE en question...

Par contre, suite à cela, AVG m'a signalé qu'un fichier _restore.... du "system volume information" était infesté. Je l'ai mis en quarantaine, et depuis, tout à l'air d'aller mieux.

Quand au nom du fichier infesté, je ne l'ai pas gardé! (pour info, je fais toujours une impression écran (sauvegarde en JPG) lorsque j'ai un message d'alerte à une infection quelconque ; mais cette fois-ci, j'ai juste eu le nom du virus).

Tout ce que je peux te dire, c'est que pour Russo turisto.b, le risque a été évalué par Maleware sweeper à "High" et pour Surveil à "severe" (rien de bien rassurant tout ça!).



Merci pour ton aide dorgane (...ce fut bref et efficace!!!) ;-)
0
Réponse 4 / 39
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
2 oct. 2007 à 07:59
Bonjour,

pour russo, je ne sais pas, pour surveil, c'est une bebete pas sympa qui surveille tout ce que tu fais sur l'ordi.

C'est pour ça que j'aimerai bien avoir le nom du malware de russo (suggestion, refais tourner malaware sweeper). Ils sont arrivés en

nmême temps ?

Je te redonne le tuto de Zone Alarm

https://www.malekal.com/tutoriel-zonealarm-firewall/

Je te conseille de revoir tout ton paramétrage et de réduire au strict minimum les autorisations et de garder "demander" dans le maximum de cas. Et même refuser pour la partie serveur.

1) - Télécharge DiagHelp.zip sur ton bureau - Tuto : http://www.malekal.com/DiagHelp/DiagHelp.php
- Ne double-clic pas dessus !! Fais un clic droit sur le fichier et extraire tout
- Un nouveau dossier chercher va être créé DiagHelp
- Ouvre le et double-clic sur go.cmd (le .cmd peut ne pas apparaître)
- Une fenêtre va s'ouvrir, choisis l'option 1
- L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande.

ATTENTION : pendant l'analyse, après le rapport catchme, il te sera demandé d'appuyer sur une touche afin de poursuivre le scan, suis bien les instructions à l'écran !

- A la fin de l'analyse, il peut-être (pas obligatoire) demandé de redemanderl'ordinateur... Une fois l'ordinateur redémarré le rapport va apparaître sur le bloc-note.. Ce dernier se trouve sur C:\resultat.txt
- Copie/colle le contenu du bloc-note qui s'ouvre, pour cela :
-- Dans le bloc-note, cliquez sur le menu Edition / Selectionner tout
-- A nouveau menu Edition / copier
-- Dans un nouveau message ici, faire un clic droit / coller

2) ========================================
->Affiche tous les fichiers et dossiers :
clique sur démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage

[Coche] « afficher les dossiers et fichiers cachés »

[Décoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »

[Décoche] « masquer les extensions dont le type est connu »

Puis fais [appliquer] pour valider les changements.

Et [Ok]
========================================
3) Déconnecte toi du net entièrement.

Démarrer panneau de configuration ajout/suppression de programmes si tu trouves e-Surveiller, tu désinstalles

Sinon, si tu trouves e-Surveiller\uninstall.exe dans C:\Program Files, tu désinstalles

4) tu me dis ce qui s'est passé.

@+
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 39
Pascal-33-37 Messages postés 112 Date d'inscription jeudi 7 juillet 2005 Statut Membre Dernière intervention 3 avril 2008
4 oct. 2007 à 00:44
Merci pour ta perspicacité Lyonnais92, car effectivement, je n'avais rien résolu (ça a l'air sérieux comme infection) !!!

J'ai imprimé toutes tes consignes ; je les appliquerais quand je serai plus tranquille niveau travail (dans quelques jours)

...Mieux vaut être reposé et avoir le temps pour ce genre de chose!

...@ +
0
Réponse 6 / 39
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
4 oct. 2007 à 07:04
Bonjour,

surveil est certainement une saleté dont il vaut mieux se débarasser vite (il t'espionne).

Pour l'autre, tant que jen n'ai pas un début de nom de fichier, je ne sais pas ce qu'iil fait.

je suis absent jusqu'à demain soir.
0
Réponse 7 / 39
Pascal-33-37 Messages postés 112 Date d'inscription jeudi 7 juillet 2005 Statut Membre Dernière intervention 3 avril 2008
6 oct. 2007 à 16:23
Bonjour Lyonnais92...

(enfin 1 jour pour bien m'occuper de ce problème)


...tout d'abord, un petit détail (peut-être important) que je ne t'avais pas précisé : Depuis quelques temps, je reçois de façon intempestive le message "vous êtres sur le point de quitter un site sécurisé..." (le genre de message que l'on reçoit lorsqu'on quitte un site "https://", genre pour payer en carte bleue) ...alors que je n'y étais pas du tout (en passant d'une page web classique à une autre, par exemple) !!!


Sinon, je viens d'éxécuter la première partie de tes consignes ; rapport du "DiagHelp" :

------------------------------------------------------------------------------------------------------------------------------------

DiagHelp version v1.2 - http://www.malekal.com
excute le 06/10/2007 à 16:07:22.68


Liste des derniers fichies modifies/crees dans windir\system32 et prefetch
C:\WINDOWS\prefetch\CHCP.COM-17EDBDC9.pf -->06/10/2007 16:07:20
C:\WINDOWS\prefetch\VERCLSID.EXE-28F52AD2.pf -->06/10/2007 16:06:57
C:\WINDOWS\prefetch\NOTEPAD.EXE-2F2D61E1.pf -->06/10/2007 16:06:34
C:\WINDOWS\prefetch\WMIPRVSE.EXE-0D449B4F.pf -->06/10/2007 16:06:29
C:\WINDOWS\prefetch\READER_SL.EXE-2FCCA463.pf -->06/10/2007 16:04:36
C:\WINDOWS\prefetch\ALG.EXE-275708CF.pf -->06/10/2007 16:03:27
C:\WINDOWS\prefetch\WUAUCLT.EXE-1360D60A.pf -->06/10/2007 16:03:09
C:\WINDOWS\prefetch\WGATRAY.EXE-350D4455.pf -->06/10/2007 16:03:06
C:\WINDOWS\prefetch\DWWIN.EXE-2C373FB7.pf -->06/10/2007 16:02:55
C:\WINDOWS\prefetch\VSMON.EXE-39246213.pf -->06/10/2007 16:02:31

C:\WINDOWS\System32\drivers\KProcCheck.sys -->06/10/2007 15:55:25
C:\WINDOWS\System32\drivers\avg7core.sys -->23/09/2007 09:29:07
C:\WINDOWS\System32\drivers\avg7rsxp.sys -->25/02/2007 10:42:50
C:\WINDOWS\System32\drivers\ntfs.sys -->09/02/2007 13:10:35
C:\WINDOWS\System32\drivers\grmngen.sys -->08/01/2007 23:18:20
C:\WINDOWS\System32\drivers\grmnusb.sys -->08/01/2007 23:18:18
C:\WINDOWS\System32\drivers\avgclean.sys -->08/11/2006 21:36:17

C:\WINDOWS\System32\vsconfig.xml -->06/10/2007 16:04:51
C:\WINDOWS\System32\wpa.dbl -->06/10/2007 16:03:44
C:\WINDOWS\System32\mapisvc.inf -->07/09/2007 14:38:44
C:\WINDOWS\System32\MRT.exe -->05/09/2007 19:50:44
C:\WINDOWS\System32\TZLog.log -->30/08/2007 09:32:58
C:\WINDOWS\System32\wuaucpl.cpl.mui -->30/07/2007 19:20:06
C:\WINDOWS\System32\wuapi.dll.mui -->30/07/2007 19:19:52
C:\WINDOWS\System32\wuaueng.dll -->30/07/2007 19:19:42
C:\WINDOWS\System32\wuapi.dll -->30/07/2007 19:19:36
C:\WINDOWS\System32\wucltui.dll -->30/07/2007 19:19:32
C:\WINDOWS\System32\wuweb.dll -->30/07/2007 19:19:28
C:\WINDOWS\System32\wuaucpl.cpl -->30/07/2007 19:19:28
C:\WINDOWS\System32\cdm.dll -->30/07/2007 19:19:20
C:\WINDOWS\System32\wuauclt.exe -->30/07/2007 19:19:16
C:\WINDOWS\System32\wups2.dll -->30/07/2007 19:19:12
C:\WINDOWS\System32\mucltui.dll -->30/07/2007 19:19:10
C:\WINDOWS\System32\wucltui.dll.mui -->30/07/2007 19:19:04
C:\WINDOWS\System32\muweb.dll -->30/07/2007 19:19:04
C:\WINDOWS\System32\mucltui.dll.mui -->30/07/2007 19:18:58
C:\WINDOWS\System32\wuaueng.dll.mui -->30/07/2007 19:18:48
C:\WINDOWS\System32\wups.dll -->30/07/2007 19:18:40
C:\WINDOWS\System32\tzchange.exe -->18/07/2007 14:42:22
C:\WINDOWS\System32\wininet.dll -->26/06/2007 16:12:55
C:\WINDOWS\System32\msxml3.dll -->26/06/2007 08:09:14
C:\WINDOWS\System32\gdi32.dll -->19/06/2007 15:32:25

C:\WINDOWS\WindowsUpdate.log -->06/10/2007 16:05:58
C:\WINDOWS\0.log -->06/10/2007 16:02:04
C:\WINDOWS\ModemLog_HSP56 World MicroModem.txt -->06/10/2007 16:01:53
C:\WINDOWS\wiadebug.log -->06/10/2007 16:01:03
C:\WINDOWS\wiaservc.log -->06/10/2007 16:00:59
C:\WINDOWS\bootstat.dat -->06/10/2007 16:00:22
C:\WINDOWS\SchedLgU.Txt -->06/10/2007 09:40:06
C:\WINDOWS\wpd99.drv -->04/10/2007 11:12:42
C:\WINDOWS\Sti_Trace.log -->03/10/2007 19:36:26
C:\WINDOWS\RPCD.ini -->02/10/2007 15:38:17
C:\WINDOWS\wininit.ini -->22/09/2007 13:51:31
C:\WINDOWS\win.ini -->09/09/2007 10:25:45
C:\WINDOWS\Tsc.ini -->09/07/2007 12:07:14
C:\WINDOWS\TSC.PTN -->09/07/2007 10:38:41
C:\WINDOWS\Tsc.exe -->09/07/2007 10:38:40


MD5 des fichiers sensibles
tcpip.sys 1dbf125862891817f374f407626967f4
ndis.sys 558635d3af1c7546d26067d5d9b6959e
null.sys 73c1e1f395918bc2c6dd67af7591a3ad
svchost.exe 2979b03d5382a602623c0535b16ab9c0


Le volume dans le lecteur C s'appelle HP_PAVILION
Le numéro de série du volume est E05F-8FE7

Répertoire de C:\WINDOWS\system

07/05/1998 16:04 52 736 hpsysdrv.exe
1 fichier(s) 52 736 octets
0 Rép(s) 17 092 194 304 octets libres
Le volume dans le lecteur C s'appelle HP_PAVILION
Le numéro de série du volume est E05F-8FE7

Répertoire de C:\WINDOWS\system32

20/08/2004 01:09 6 144 csrss.exe
1 fichier(s) 6 144 octets
0 Rép(s) 17 092 190 208 octets libres
Le volume dans le lecteur C s'appelle HP_PAVILION
Le numéro de série du volume est E05F-8FE7

Répertoire de C:\WINDOWS\system32

25/03/2002 23:29 266 240 dmcpl.exe
1 fichier(s) 266 240 octets
0 Rép(s) 17 092 190 208 octets libres

Contenu de Downloaded Program Files
Le volume dans le lecteur C s'appelle HP_PAVILION
Le numéro de série du volume est E05F-8FE7

Répertoire de C:\WINDOWS\Downloaded Program Files

28/09/2007 12:16 <REP> .
28/09/2007 12:16 <REP> ..
30/09/2006 11:52 <REP> CONFLICT.1
11/03/2006 14:22 <REP> CONFLICT.2
11/03/2006 14:22 <REP> CONFLICT.3
10/05/2002 05:14 65 desktop.ini
23/03/2007 12:17 1 292 erma.inf
14/02/2003 10:32 283 296 IDrop.ocx
14/02/2003 10:34 114 848 IDropENU.dll
13/03/2003 10:58 114 600 IDropFRA.dll
01/03/2005 14:08 53 248 ipsupd.dll
25/08/2003 18:12 1 096 iuctl.inf
16/03/2005 11:34 7 407 lang.ini
13/02/2006 19:03 367 LegitCheckControl.inf
07/12/2004 16:07 32 libfn.dll
14/03/2005 13:38 126 live.ini
20/01/2000 15:25 1 162 Microsoft XML Parser for Java.osd
21/04/2004 14:55 740 msdlupd.inf
26/05/2005 04:19 293 muweb.inf
14/03/2005 13:58 7 073 scanoptions.tsi
27/08/2005 14:30 5 065 swflash.inf
04/02/2000 15:01 685 tdserver.inf
04/02/2000 15:00 356 352 tdserver.ocx
08/06/2006 18:19 4 590 496 WebCleaner.dll
08/06/2006 18:33 318 WebCleaner.inf
11/08/2004 03:22 2 399 wmsp9dmo.inf
30/06/2003 22:41 1 689 WMV9VCM.inf
02/11/2005 19:01 1 777 xscan.inf
02/11/2005 19:07 435 712 xscan53.ocx
24 fichier(s) 5 980 138 octets

Répertoire de C:\WINDOWS\Downloaded Program Files\CONFLICT.1

30/09/2006 11:52 <REP> .
30/09/2006 11:52 <REP> ..
07/12/2004 16:07 32 bdcore.dll
01/03/2005 14:08 118 784 bdupd.dll
01/03/2005 14:08 53 248 ipsupd.dll
09/03/2005 15:42 6 742 lang.ini
07/12/2004 16:07 32 libfn.dll
18/02/2005 16:22 126 live.ini
01/06/2006 02:57 1 331 oscan8.inf
01/06/2006 02:54 471 040 oscan8.ocx
31/05/2006 04:15 10 oscan81.ocx_x
09/03/2005 15:43 6 828 scanoptions.tsi
10 fichier(s) 658 173 octets

Répertoire de C:\WINDOWS\Downloaded Program Files\CONFLICT.2

11/03/2006 14:22 <REP> .
11/03/2006 14:22 <REP> ..
0 fichier(s) 0 octets

Répertoire de C:\WINDOWS\Downloaded Program Files\CONFLICT.3

11/03/2006 14:22 <REP> .
11/03/2006 14:22 <REP> ..
0 fichier(s) 0 octets

Total des fichiers listés :
34 fichier(s) 6 638 311 octets
11 Rép(s) 17 092 190 208 octets libres

Recherche de rootkit! (Merci S!Ri)

Recherche d'infections connues

Export des clefs sensibles..

Liste des fichiers en exception sur le pare-feu XP SP2

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\hp center\\137903\\Program\\BackWeb-137903.exe"="C:\\Program Files\\hp center\\137903\\Program\\BackWeb-137903.exe:*:Enabled:BackWeb-137903"
"C:\\WINDOWS\\system32\\P2P Networking\\P2P Networking.exe"="C:\\WINDOWS\\system32\\P2P Networking\\P2P Networking.exe:*:Enabled:P2P Networking"
"C:\\Program Files\\StreamCast\\Morpheus\\MorphEXE.exe"="C:\\Program Files\\StreamCast\\Morpheus\\MorphEXE.exe:*:Enabled:Morpheus"
"C:\\Program Files\\Xolox\\mldonkey\\mlnet.exe"="C:\\Program Files\\Xolox\\mldonkey\\mlnet.exe:*:Enabled:MLdonkey - multiuser P2P daemon"
"C:\\Program Files\\Xolox\\XoloxEXE.exe"="C:\\Program Files\\Xolox\\XoloxEXE.exe:*:Enabled:Xolox"
"C:\\Program Files\\NetMeeting\\conf.exe"="C:\\Program Files\\NetMeeting\\conf.exe:*:Enabled:Windows® NetMeeting®"
"C:\\Program Files\\morpheus\\Morpheus.exe"="C:\\Program Files\\morpheus\\Morpheus.exe:*:Enabled:M5Shell"
"C:\\Program Files\\Grisoft\\AVG Free\\avginet.exe"="C:\\Program Files\\Grisoft\\AVG Free\\avginet.exe:*:Enabled:avginet.exe"
"C:\\Program Files\\Grisoft\\AVG Free\\avgamsvr.exe"="C:\\Program Files\\Grisoft\\AVG Free\\avgamsvr.exe:*:Enabled:avgamsvr.exe"
"C:\\Program Files\\Grisoft\\AVG Free\\avgcc.exe"="C:\\Program Files\\Grisoft\\AVG Free\\avgcc.exe:*:Enabled:avgcc.exe"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

Export de la clef SharedTaskScheduler

[SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"



exports des policies
REGEDIT4

[system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001



Export des clefs sensibles..
Rechercher adresses sensibles dans le fichier HOSTS...
catchme 0.3.1160 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-06 16:08:14
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden services & system hive ...

scanning hidden registry entries ...

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{377F8C1C-A954-BF03-7657-DA4D5C3A885A}]
"dbddeailgpnhkkhgfpbbglmacikdmkoejnbideoc"=hex:6a,61,68,69,6b,62,68,6b,61,64,69,6f,64,6c,69,6d,6f,6b,6f,61,00,..
"cbnekbnfcmjaeeiedfkegobiigjkpfcofgmneh"=hex:6a,61,68,69,6a,62,6f,6a,62,68,67,62,6d,63,6c,70,6d,66,66,6a,00,..
"iaddeailgpnhkkhgfp"=hex:61,61,00,00
"hanekbnfcmjaeeie"=hex:61,61,00,00
"iahcmdffoonpenamef"=hex:61,61,00,00
"abhcmcofmoldnhkjoomdcpijjfhobbifij"=hex:61,61,00,00
"maidfckmachjgcklfmogbeiceb"=hex:61,61,00,00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{B35FF83D-DD3E-41D7-0BF4-05383F6B530D}]
"dbinnbjihpnmijcphbgmmcaglgoimgmpejjbnmgg"=hex:6a,61,65,63,65,62,65,6c,6d,6e,6d,66,61,68,6d,68,6c,6e,69,65,00,..
"cbcmjgceeaokopkbfkjhfjbbjcpnjdnahndjpg"=hex:6a,61,65,63,70,62,62,6a,66,6c,62,63,64,6b,63,67,68,6f,70,70,00,..
"iainnbjihpnmijcphb"=hex:61,61,00,00
"hacmjgceeaokopkb"=hex:61,61,00,00
"iaemdhfddankgheioi"=hex:61,61,00,00
"abemdmnflmhfoabjffdpmipiciklhigkcb"=hex:61,61,00,00
"madmimljffjfgngnllbiencnnj"=hex:61,61,00,00

scanning hidden files ...

scan completed successfully
hidden services: 0
hidden files: 0

-------------------------------------------------------------------------------------------------------------

A présent ; 2ème étape... à la recherche de e-Surveiller !! (je te tiens au courant)


@ +
0
Réponse 8 / 39
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
6 oct. 2007 à 17:04
Bonjour,

1 question :

est ce toi qui a installé XoloxEXE.exe sur ton ordi ?

1 vérif :
Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : C:\WINDOWS\System32\drivers\avg7core.sys
Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.
0
Réponse 9 / 39
Pascal-33-37 Messages postés 112 Date d'inscription jeudi 7 juillet 2005 Statut Membre Dernière intervention 3 avril 2008
6 oct. 2007 à 17:40
...Rapport des opérations :


1) Je n'ai pas trouvé de fichier e-Surveiller (ni dans Program Files, ni ailleurs)..

2) J'ai relancé Maleware sweeper afin d'avoir le nom et l'emplacement des fichiers infestés :

Pour Surveil :

HKEY_CLASSES_ROOT\.zlg
HKEY_CLASSES_ROOT\.zlg
HKEY_CLASSES_ROOT\.zlg=Original Extension

Pour Russo Turisto.b :

HKEY_CURRENT_USER\Software\Microsoft\windows\Current version\Explorer\Advanced=ShowSuperHidden

3) Rapport du fichier avg7core.sys sous virustotal.com :

Antivirus Version Dernière mise à jour Résultat

AhnLab-V3 2007.10.6.0 2007.10.05 -
AntiVir 7.6.0.20 2007.10.05 -
Authentium 4.93.8 2007.10.05 -
Avast 4.7.1051.0 2007.10.05 -
AVG 7.5.0.488 2007.10.06 -
BitDefender 7.2 2007.10.06 -
CAT-QuickHeal 9.00 2007.10.06 -
ClamAV 0.91.2 2007.10.06 -
DrWeb 4.44.0.09170 2007.10.06 -
eSafe 7.0.15.0 2007.10.04 -
eTrust-Vet 31.2.5190 2007.10.06 -
Ewido 4.0 2007.10.06 -
FileAdvisor 1 2007.10.06 -
Fortinet 3.11.0.0 2007.10.06 -
F-Prot 4.3.2.48 2007.10.05 -
F-Secure 6.70.13030.0 2007.10.05 -
Ikarus T3.1.1.12 2007.10.06 -
Kaspersky 7.0.0.125 2007.10.06 -
McAfee 5135 2007.10.05 -
Microsoft 1.2908 2007.10.06 -
NOD32v2 2575 2007.10.06 -
Norman 5.80.02 2007.10.05 -
Panda 9.0.0.4 2007.10.06 -
Prevx1 V2 2007.10.06 -
Rising 19.43.50.00 2007.10.06 -
Sophos 4.22.0 2007.10.06 -
Sunbelt 2.2.907.0 2007.10.06 -
Symantec 10 2007.10.06 -
TheHacker 6.2.6.078 2007.10.06 -
VBA32 3.12.2.4 2007.10.05 -
VirusBuster 4.3.26:9 2007.10.06 -
Webwasher-Gateway 6.0.1 2007.10.05 -

Information additionnelle

File size: 821728 bytes
MD5: 6d9c7b03877ef17da7c1cd45fa4835d4
SHA1: a02c3fcbb8142f9e114883297fe9a568d443616a

...
0
Réponse 10 / 39
Pascal-33-37 Messages postés 112 Date d'inscription jeudi 7 juillet 2005 Statut Membre Dernière intervention 3 avril 2008
6 oct. 2007 à 17:53
ah oui, j'oubliais...

J'ai bien installé "xolox" il y a fort longtemps sur mon ordi (je l'ai désinstallé depuis.... en principe!).
0
Réponse 11 / 39
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
6 oct. 2007 à 18:37
Bonjour,

Ouvre ce lien :
https://www.bleepingcomputer.com/download/linux/
pour télécharger regsearch.zip.

Choisis Enregistrer puis Bureau.

A la fin du déchargement fais un clic droit sur l'icône de regsearch.zip créée sur le bureau,choisis Extraire tout et suis les instructions.

Exécute Regsearch.exe qui se trouve dans le dossier qui vient d'être créé en double-cliquant et clique sur exécuter.

Dans la fenêtre qui s'ouvre vérifie que toutes les cases sont cochées.

Ensuite écris HKEY_CLASSES_ROOT\.zlg dans la première ligne de la fenêtre et HKEY_CURRENT_USER\Software\Microsoft\windows\Current version\Explorer\ dans la seconde.

Clique sur OK pour rechercher dans le registre.

En fin de recherche, le bloc-note s'ouvre. Copie-colle le contenu du rapport dans ta réponse.

Le rapport se trouve dans le même dossier que Regsearch.exe sous le nom RegSearch.txt.
0
Réponse 12 / 39
Pascal-33-37 Messages postés 112 Date d'inscription jeudi 7 juillet 2005 Statut Membre Dernière intervention 3 avril 2008
6 oct. 2007 à 20:56
Re-bonjour...

Rapport de "Regsearch" :

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 06/10/2007 20:52:26 for strings:
; 'hkey_classes_root\.zlg'
; 'hkey_current_user\software\microsoft\current version\explorer'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...
0
Réponse 13 / 39
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
7 oct. 2007 à 21:54
Re,

Regsearch ne m'a pas donné ce que je voulais.

On fait comme ça :

démarrer, exécuter, regedit et OK.

Tu cherches (avec les + et les - ) HKEY_CLASSES_ROOT\.zlg

Dans la fenêtre de droite, tu dois avoir une ligne avec Original extension puis REG_SZ puis ? Je veus être sur que tu as REG_SZ et savoir ce qu'il y a à la place du ?

Même chose pour :


HKEY_CURRENT_USER\Software\Microsoft\windows\Current version\Explorer\Advanced

à droite, sur la ligne de super hidden, tu as quoi ? REG_DWORD ? et ensuite ?
0
Réponse 14 / 39
Pascal-33-37 Messages postés 112 Date d'inscription jeudi 7 juillet 2005 Statut Membre Dernière intervention 3 avril 2008
7 oct. 2007 à 23:54
re...

En ouvrant le répertoire ".zlg", j'obtiens :

- ab (par defaut) / type : REG_SZ / Données : ZAMailSafe
- ab (original extension) / type : REG_SZ / Données : LNK

En double-cliquant sur ces entités, cela donne pour "super hidden" :

- SuperHidden / type: REG_DWORD / Données : 0x00000001 (1)

...



0
Réponse 15 / 39
Pascal-33-37 Messages postés 112 Date d'inscription jeudi 7 juillet 2005 Statut Membre Dernière intervention 3 avril 2008
8 oct. 2007 à 00:14
...je viens de découvrir de e-surveiller était un logiciel pour espionner d'autres ordis !!! ....c'est légal ça ???

...quand à russo turisto, c'est le nom d'un jeu de rôle (mais rien concernant un virus...)
0
Réponse 16 / 39
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
8 oct. 2007 à 16:23
Bonjour,

pas d'affolement, je ne crois pas qu'il se soit passé des choses.J'ai les mêmes clés de registre que toi sur mon ordi.

On va nettoyer un peu :

Télécharge « clean.zip »
http://www.malekal.com/download/clean.zip
•- Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier dénommé "clean ".

•- Redémarre en mode sans échec. ( note bien ce que tu as à faire ).
•- Ouvre le dossier « clean » qui se trouve sur ton bureau.
•- Double-clic sur « clean.cmd ».
Une fenêtre noire va apparaître, choisis l’option 2.

Clean va travailler.
•- Redémarre normalement
•- Poste qui se trouve ici C:\rapport_clean.txt.

et voir si quelque chose m'a échappé :

¤ Télécharge ce programme puis double clic dessus (ferme ton antivirus s'il te détecte quoi que ce soit)
http://www.suspectfile.com/systemscan/

* Coche uniquement ces cases, décoche tout le reste :

- Recent Files, 30 days

Puis clic sur scan now, soit patient.
Une fois qu'il aura terminé, un rapport va s'ouvrir, copie et colle son contenu ici

@+
0
Réponse 17 / 39
Pascal-33-37 Messages postés 112 Date d'inscription jeudi 7 juillet 2005 Statut Membre Dernière intervention 3 avril 2008
8 oct. 2007 à 17:21
Bonjour...


Euuuhhh.... petit problème pour télécharger le 2ème programme.

Après avoir cliqué sur "télécharger le fichier", j'obtiens le message suivant :

---------------------------------------------------------------------------------------------------------------
Warning! You should have already downloaded the last Systemscan version (sys99578.exe).
If you can't download it probably your browser or your firewall is blocking popups.
Please enable popup on your PC and try again.
If you have already popup enabled, hold down the CTRL key and click on this link

Systemscan will be available within 73 seconds.
-------------------------------------------------------------------------------------------------------------

Comment fait-on pour débloquer les "popup" ? (depuis Zone alarme je suppose...)
0
Réponse 18 / 39
Pascal-33-37 Messages postés 112 Date d'inscription jeudi 7 juillet 2005 Statut Membre Dernière intervention 3 avril 2008
8 oct. 2007 à 17:34
...en attendant, voici deja le rapport de "clean" :


----------------------------------------------------------------------------------------------------------
Script execute en mode sans echec
Rapport clean par Malekal_morte - http://www.malekal.com
Script execute en mode sans echec 08/10/2007 a 17:04:40.34

Microsoft Windows XP [version 5.1.2600]

*** Suppression des fichiers dans C:

*** Suppression des fichiers dans C:\WINDOWS\
tentative de suppression de C:\WINDOWS\app??32.exe
tentative de suppression de C:\WINDOWS\sys???????????.exe
tentative de suppression de C:\WINDOWS\UnGins.exe
tentative de suppression de C:\WINDOWS\windb.exe

*** Suppression des fichiers dans C:\WINDOWS\system32
tentative de suppression de C:\WINDOWS\system32\bdod.bin
tentative de suppression de "C:\WINDOWS\Downloaded Program Files\CONFLICT.1"
tentative de suppression de "C:\WINDOWS\Downloaded Program Files\CONFLICT.2"
tentative de suppression de "C:\WINDOWS\Downloaded Program Files\CONFLICT.3"

*** Suppression des fichiers dans C:\Program Files
tentative de suppression de "C:\Program Files\MalwareSweeper.com\" - [b]ATTENTION[/b] il est recommandé d'utiliser SmitFraudfix!

*** Suppression des clefs du registre effectuee..
*** Fin du rapport !
----------------------------------------------------------------------------------------------------------------------------------------

@ +
0
Réponse 19 / 39
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
8 oct. 2007 à 17:46
Re,

Ouvre ce lien (merci a S!RI pour ce programme). http://siri.urz.free.fr/Fix/SmitfraudFix.php
et télécharge SmitfraudFix.exe.

Regarde le tuto
Exécute le en choisissant l’option 1, il va générer un rapport
Copie/colle le sur le poste stp.

On verra pour Suspect Files après;
0
Réponse 20 / 39
Pascal-33-37 Messages postés 112 Date d'inscription jeudi 7 juillet 2005 Statut Membre Dernière intervention 3 avril 2008
8 oct. 2007 à 17:51
Rapport "Smitfraudfix" :


SmitFraudFix v2.239

Rapport fait à 17:50:30.68, 08/10/2007
Executé à partir de C:\Documents and Settings\Propri‚taire\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
c:\program files\a-squared free\a2service.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\HP\KBD\KBD.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Garmin\gStart.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files\VeriSign\NAVI\naviagent.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Propri‚taire


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Propri‚taire\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\PROPRI~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: NVIDIA nForce MCP Networking Adapter - Miniport d'ordonnancement de paquets
DNS Server Search Order: 212.27.53.252
DNS Server Search Order: 212.27.54.252

HKLM\SYSTEM\CCS\Services\Tcpip\..\{4BD0529D-9345-4004-AEF2-F006C74673AE}: DhcpNameServer=212.27.53.252 212.27.54.252
HKLM\SYSTEM\CS1\Services\Tcpip\..\{4BD0529D-9345-4004-AEF2-F006C74673AE}: DhcpNameServer=212.27.53.252 212.27.54.252
HKLM\SYSTEM\CS2\Services\Tcpip\..\{4BD0529D-9345-4004-AEF2-F006C74673AE}: DhcpNameServer=212.27.53.252 212.27.54.252
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.53.252 212.27.54.252
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.53.252 212.27.54.252
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.53.252 212.27.54.252


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin
0

Discussions similaires

Pourquoi mse affiche 'votre pc est protégé et sous surveillance?
Eddy -
Eddy -

2 réponses
Mon PC est surveillé, que faire ?
AnonymeDeCCM -
Malekal_morte- -

5 réponses
Comment savoir mon ordinateur s'il est surveillé
Bet1960 -
Jojolaguitare -

2 réponses
PC sous surveillance !!!
sabrinalafraise -
kevin05 -

3 réponses
J'ai peur que mon ordi soit surveillé.
969anonyme -
irongege -

9 réponses