Analyse et avis

Résolu
leon95 Messages postés 1231 Statut Membre -  
leon95 Messages postés 1231 Statut Membre -
Bonjour,
pourriez vous me dire ce que ce rapport exprime et si y a danger?merci d avance

SDFix: Version 1.112

Run by Administrateur on 29/10/2007 at 16:37

Microsoft Windows XP [version 5.1.2600]

Running From: C:\DOCUME~1\ADMINI~1\Bureau\SDFix

Safe Mode:
Checking Services:

Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...

Normal Mode:
Checking Files:

Trojan Files Found:

C:\Windows\system32\1.tmp - Deleted
C:\Windows\system32\1.tmp - Deleted

Removing Temp Files...

ADS Check:

C:\Windows
No streams found.

C:\Windows\system32
No streams found.

C:\Windows\system32\svchost.exe
No streams found.

C:\Windows\system32\ntoskrnl.exe
No streams found.

Final Check:

Remaining Services:
------------------

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\\WINDOWS\\system32\\lxcrcoms.exe"="C:\\WINDOWS\\system32\\lxcrcoms.exe:*:Enabled:Lexmark Communications System"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

Remaining Files:
---------------

File Backups: - C:\DOCUME~1\ADMINI~1\Bureau\SDFix\backups\backups.zip

Files with Hidden Attributes:

Thu 5 Jun 2003 24,576 A..H. --- "C:\Program Files\RamBoost XP\StopRam.exe"
Mon 9 Apr 2007 5 A.SH. --- "C:\WINDOWS\system32\dedd9_g.dll"
Tue 23 Oct 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv02.tmp"

Finished!

Configuration: Windows XP
Firefox 2.0.0.8
Configuration: Windows XP
Firefox 2.0.0.8

99 réponses

  • 1
  • 2
  • 3
  • 4
  • 5
Résumé de la discussion

Rapport de détection et de nettoyage d’infection sur Windows XP, incluant SDFix et ComboFix, et la question du niveau de danger associé à ces éléments.
Plusieurs éléments indiquent la suppression de fichiers trojans et la restauration des valeurs du registre et du fichier hosts, avec des listes de programmes autorisés et des sauvegardes système.
Des réponses recommandent l’usage d’outils complémentaires tels que ComboFix, ATF Cleaner et NoLop et recommandent un redémarrage en mode sans échec pour approfondir l’analyse.
Des observations évoquent des modifications détectées dans des clés de démarrage et des éléments suspects dans la liste des applications autorisées, suggérant une vérification plus poussée mais sans conclure à une résolution définitive.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. leon95 Messages postés 1231 Statut Membre 22
     
    bon voila le rapport combofix je cherche l autre. ATF cleaner fait.;restauration desactivee et reactivee apres redemarrage

    ComboFix 07-10-30.5 - Administrateur 2007-10-31 20:46:59.3 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.45 [GMT 1:00]
    Running from: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe
    * Created a new restore point
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\Windows\msvrc20.dll

    .
    ((((((((((((((((((((((((((((( Fichiers créés 2007-09-28 to 2007-10-31 ))))))))))))))))))))))))))))))))))))
    .

    2007-10-31 20:43 51,200 --a------ C:\WINDOWS\NirCmd.exe
    2007-10-31 15:47 <REP> d-------- C:\Program Files\Panda Security
    2007-10-30 19:58 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
    2007-10-30 13:16 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Messenger Plus!
    2007-10-30 12:55 <REP> d-------- C:\Program Files\Windows Live
    2007-10-30 12:54 <REP> d-------- C:\Program Files\Messenger Plus! Live
    2007-10-30 11:19 3,968 --a------ C:\WINDOWS\system32\drivers\AvgArCln.sys
    2007-10-29 15:50 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Uniblue
    2007-10-29 11:24 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Grisoft
    2007-10-29 11:23 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
    2007-10-28 22:03 53 --a------ C:\WINDOWS\DelToolbox.bat
    2007-10-28 13:14 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\TuneUp Software
    2007-10-25 22:52 <REP> d-------- C:\Program Files\PyGrenouille
    2007-10-22 22:18 <REP> d----c--- C:\MILEC
    2007-10-22 14:27 <REP> d-------- C:\Program Files\RamBoost XP
    2007-10-20 10:35 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
    2007-10-19 11:08 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\HouseCall 6.6
    2007-10-18 09:10 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
    2007-10-14 12:01 <REP> d-------- C:\Program Files\Avira
    2007-10-14 12:01 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
    2007-10-08 09:27 <REP> d-------- C:\Program Files\Microsoft CAPICOM 2.1.0.2
    2007-10-07 21:21 0 --a------ C:\WINDOWS\system32\SBRC.dat
    2007-10-07 21:21 0 --a------ C:\WINDOWS\system32\SBFC.dat
    2007-10-07 20:39 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Sunbelt Software
    2007-10-07 16:22 <REP> d-------- C:\Documents and Settings\All Users\Application Data\SUPERAntiSpyware.com
    2007-10-07 16:21 <REP> d-------- C:\Program Files\SUPERAntiSpyware
    2007-10-07 16:21 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\SUPERAntiSpyware.com
    2007-10-04 14:10 <REP> d-------- C:\Program Files\IObit
    2007-10-04 13:45 <REP> d-------- C:\Program Files\RogueRemover FREE
    2007-10-01 22:42 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Prevx
    2007-10-01 21:37 <REP> d-------- C:\Program Files\EsetOnlineScanner
    2007-10-01 19:25 <REP> d-------- C:\Program Files\RegCleaner
    2007-09-29 23:10 <REP> d-------- C:\WINDOWS\ERUNT
    2007-09-29 19:31 <REP> d-------- C:\Program Files\Webutility
    2007-09-28 14:50 <REP> d-------- C:\Program Files\Crawler
    2007-09-22 23:13 76,560 --a------ C:\WINDOWS\system32\drivers\tmcomm.sys
    2007-09-22 22:37 <REP> d-------- C:\Program Files\Navilog1
    2007-09-22 19:36 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Jetico Personal Firewall
    2007-09-21 22:21 <REP> d-------- C:\Program Files\Lavalys
    2007-09-21 00:05 116,736 --a------ C:\WINDOWS\system32\dllcache\xrxwiadr.dll
    2007-09-21 00:05 99,865 --a------ C:\WINDOWS\system32\dllcache\xlog.exe
    2007-09-21 00:05 27,648 --a------ C:\WINDOWS\system32\dllcache\xrxftplt.exe
    2007-09-21 00:05 23,040 --a------ C:\WINDOWS\system32\dllcache\xrxwbtmp.dll
    2007-09-21 00:05 17,408 --a------ C:\WINDOWS\system32\dllcache\xrxscnui.dll
    2007-09-21 00:05 16,970 --a------ C:\WINDOWS\system32\dllcache\xem336n5.sys
    2007-09-21 00:05 4,608 --a------ C:\WINDOWS\system32\dllcache\xrxflnch.exe
    2007-09-21 00:04 19,455 --a------ C:\WINDOWS\system32\dllcache\wvchntxx.sys
    2007-09-21 00:04 12,063 --a------ C:\WINDOWS\system32\dllcache\wsiintxx.sys
    2007-09-21 00:04 8,832 --a------ C:\WINDOWS\system32\dllcache\wmiacpi.sys
    2007-09-20 23:49 98,304 --a------ C:\WINDOWS\system32\dllcache\msir3jp.dll
    2007-09-20 23:49 49,024 --a------ C:\WINDOWS\system32\dllcache\mstape.sys
    2007-09-20 23:49 12,416 --a------ C:\WINDOWS\system32\dllcache\msriffwv.sys
    2007-09-20 23:49 2,944 --a------ C:\WINDOWS\system32\dllcache\msmpu401.sys
    2007-09-20 23:48 51,328 --a------ C:\WINDOWS\system32\dllcache\msdv.sys
    2007-09-20 23:48 35,200 --a------ C:\WINDOWS\system32\dllcache\msgame.sys
    2007-09-20 23:48 17,280 --a------ C:\WINDOWS\system32\dllcache\mraid35x.sys
    2007-09-20 23:48 16,128 --a------ C:\WINDOWS\system32\dllcache\modemcsa.sys
    2007-09-20 23:48 15,360 --a------ C:\WINDOWS\system32\dllcache\mpe.sys
    2007-09-20 23:48 6,016 --a------ C:\WINDOWS\system32\dllcache\msfsio.sys
    2007-09-20 23:28 66,048 --a------ C:\WINDOWS\system32\dllcache\s3legacy.dll
    2007-09-20 23:28 7,168 --a------ C:\WINDOWS\system32\dllcache\wamregps.dll
    2007-09-20 23:27 173,056 --a------ C:\WINDOWS\system32\dllcache\iisui.dll
    2007-09-20 23:27 19,968 --a------ C:\WINDOWS\system32\dllcache\inetsloc.dll
    2007-09-20 23:27 14,848 --a------ C:\WINDOWS\system32\dllcache\iisreset.exe
    2007-09-20 23:27 7,680 --a------ C:\WINDOWS\system32\dllcache\inetmgr.exe
    2007-09-20 23:27 6,144 --a------ C:\WINDOWS\system32\dllcache\ftpsapi2.dll
    2007-09-20 23:27 5,632 --a------ C:\WINDOWS\system32\dllcache\iisrstap.dll
    2007-09-18 19:46 <REP> d-------- C:\Program Files\SpywareBlaster
    2007-09-16 22:58 <REP> d-------- C:\Program Files\Alwil Software
    2007-09-16 22:58 801,144 --a------ C:\WINDOWS\system32\aswBoot.exe
    2007-09-16 22:58 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
    2007-09-16 22:41 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avg7
    2007-09-16 14:40 <REP> d-------- C:\WINDOWS\system32\MyFirewall
    2007-09-16 10:39 207,736 --a------ C:\WINDOWS\system32\muweb.dll
    2007-09-15 18:53 <REP> d-------- C:\Program Files\a-squared Free
    2007-09-15 17:34 1,412,023 --a------ C:\WINDOWS\system32\drivers\v3engine.sys
    2007-09-15 17:18 77,921 --a------ C:\WINDOWS\system32\v3w32se2.dll
    2007-09-09 23:17 25,992 --a------ C:\WINDOWS\system32\pgdfgsvc.exe
    2007-09-09 11:09 <REP> d-------- C:\WINDOWS\AU_Temp
    2007-09-08 17:23 <REP> d-------- C:\WINDOWS\BDOSCAN8

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2007-10-31 13:11 --------- d-----w C:\Program Files\Hijackthis Version Française
    2007-10-31 11:55 --------- d-----w C:\Program Files\JkDefrag
    2007-10-30 11:55 --------- d-----w C:\Program Files\MSN Messenger
    2007-10-29 15:34 334 ----a-w C:\Windows\system32\drivers\fwdrv.err
    2007-10-29 14:55 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\Uniblue
    2007-10-28 21:03 --------- d--h--w C:\Program Files\InstallShield Installation Information
    2007-10-28 13:51 --------- d-----w C:\Program Files\lx_cats
    2007-10-28 12:53 --------- d-----w C:\Program Files\DupFile Shareware
    2007-10-21 17:46 --------- d-----w C:\Program Files\Lavasoft
    2007-10-16 10:48 --------- d-----w C:\Program Files\CFWebAdvancedU
    2007-10-15 09:19 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\CamfrogWEB
    2007-10-14 20:14 --------- d-----w C:\Program Files\DivX
    2007-10-14 11:09 --------- d-----w C:\Program Files\AxBx
    2007-10-07 22:03 --------- d-----w C:\Program Files\Java
    2007-10-07 18:36 --------- d-----w C:\Program Files\Sunbelt Software
    2007-10-03 21:49 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\ma-config.com
    2007-09-30 12:11 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
    2007-09-29 23:42 --------- d-----w C:\Program Files\MSECache
    2007-09-29 20:32 --------- d-----w C:\Program Files\ToniArts
    2007-09-16 21:40 --------- d-----w C:\Documents and Settings\All Users\Application Data\Grisoft
    2007-09-16 19:06 --------- d-----w C:\Program Files\Conference
    2007-09-11 07:54 --------- d-----w C:\Program Files\Microsoft SQL Server
    2007-09-10 15:44 --------- d-----w C:\Documents and Settings\All Users\Application Data\Microsoft Help
    2007-09-10 15:20 --------- d-----w C:\Program Files\Microsoft.NET
    2007-09-10 15:15 --------- d-----w C:\Program Files\Microsoft Small Business
    2007-09-10 15:05 --------- d-----w C:\Program Files\Zylom Games
    2007-09-09 10:10 86,094 -c--a-w C:\Windows\BPMNT.dll
    2007-09-09 10:10 71,749 -c--a-w C:\Windows\hcextoutput.dll
    2007-09-09 10:10 267,845 -c--a-w C:\Windows\tsc.exe
    2007-09-09 10:10 1,163,344 -c--a-w C:\Windows\vsapi32.dll
    2007-09-09 10:08 69,689 -c--a-w C:\Windows\UNZIP.DLL
    2007-09-09 10:08 507,904 -c--a-w C:\Windows\TMUPDATE.DLL
    2007-09-09 10:08 286,720 -c--a-w C:\Windows\PATCH.EXE
    2007-09-01 09:58 --------- d-----w C:\Program Files\DelThumbs
    2007-08-30 08:39 --------- d-----w C:\Documents and Settings\All Users\Application Data\Zylom
    2007-08-21 06:17 683,520 ----a-w C:\Windows\system32\inetcomm.dll
    2007-08-20 15:39 512 -c--a-w C:\ScanSectorLog.dat
    2007-08-08 14:30 19,456 ----a-w C:\Windows\system32\OnlineScannerLang.dll
    2007-08-02 16:11 253,952 ----a-w C:\Windows\system32\OnlineScannerDLLA.dll
    2007-08-02 16:11 241,664 ----a-w C:\Windows\system32\OnlineScannerDLLW.dll
    2007-07-30 17:19 92,504 ----a-w C:\Windows\system32\cdm.dll
    2007-07-30 17:19 549,720 ----a-w C:\Windows\system32\wuapi.dll
    2007-07-30 17:19 53,080 ----a-w C:\Windows\system32\wuauclt.exe
    2007-07-30 17:19 43,352 -c--a-w C:\Windows\system32\wups2.dll
    2007-07-30 17:19 325,976 ----a-w C:\Windows\system32\wucltui.dll
    2007-07-30 17:19 271,224 ----a-w C:\Windows\system32\mucltui.dll
    2007-07-30 17:19 203,096 ----a-w C:\Windows\system32\wuweb.dll
    2007-07-30 17:19 1,712,984 ----a-w C:\Windows\system32\wuaueng.dll
    2007-07-30 17:18 33,624 ----a-w C:\Windows\system32\wups.dll
    2007-07-27 13:49 225,355 ----a-w C:\Windows\system32\lnod32apiW.dll
    2007-07-27 13:49 196,683 ----a-w C:\Windows\system32\lnod32apiA.dll
    2007-07-09 13:19 582,656 ----a-w C:\Windows\system32\rpcrt4.dll
    2007-05-12 14:34 14 ----a-w C:\Documents and Settings\Administrateur\getfile.dat
    2006-01-12 10:27 72,344 -c--a-w C:\Documents and Settings\Administrateur\Application Data\GDIPFONTCACHEV1.DAT
    2005-12-25 21:42 278,528 -c--a-w C:\Program Files\Fichiers communs\FDEUnInstaller.exe
    2005-12-25 17:59 774,144 ----a-w C:\Program Files\RngInterstitial.dll
    2007-04-09 09:40:46 5 --sha-w C:\Windows\system32\dedd9_g.dll
    2007-07-01 20:43:38 16,384 --sha-w C:\Windows\system32\config\systemprofile\Cookies\index.dat
    2007-07-01 20:43:38 16,384 --sha-w C:\Windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
    2007-07-01 20:43:38 32,768 --sha-w C:\Windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
    .

    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-14 12:07]

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 15:46]
    "ctfmon.exe"="C:\Windows\system32\ctfmon.exe" [2004-08-20 00:09]

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
    "DelRecentsDocuments"=0 (0x0)
    "DelRun"=0 (0x0)
    "DelFindFiles"=0 (0x0)
    "DelFindComputer"=0 (0x0)
    "NoSecCPL"=0 (0x0)
    "NoPwdPage"=0 (0x0)
    "NoProfilePage"=0 (0x0)
    "NoDevMgrPage"=0 (0x0)
    "NoConfigPage"=0 (0x0)
    "NoFileSysPage"=0 (0x0)
    "NoVirtMemPage"=0 (0x0)

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
    "NoResolveSearch"=1 (0x1)

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
    "NoStartMenuSubFolders"=0 (0x0)
    "NoOpenDriveCD"=0 (0x0)
    "NoDirCopy"=0 (0x0)
    "NoDirDel"=0 (0x0)
    "NoDirMove"=0 (0x0)
    "NoDirRen"=0 (0x0)
    "NoPrinterTabs"=0 (0x0)
    "NoDeletePrinter"=0 (0x0)
    "NoAddPrinter"=0 (0x0)
    "NoInstrumentation"=1 (0x1)

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Program Files\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 13:55 77824]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
    C:\Program Files\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 13:41 294912 C:\Program Files\SUPERAntiSpyware\SASWINLO.dll

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
    "Authentication Packages"= msv1_0 nwprovau

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\fjotho]

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
    "ctfmon.exe"=C:\Windows\system32\ctfmon.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
    "KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k
    "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    "LXCRCATS"=rundll32 C:\Windows\System32\spool\DRIVERS\W32X86\3\LXCRtime.dll,_RunDLLEntry@16

    R1 fwdrv;Firewall Driver;C:\Windows\system32\drivers\fwdrv.sys
    R1 khips;Kerio HIPS Driver;C:\Windows\system32\drivers\khips.sys
    R3 ALiIRDA;Pilote de périphérique infrarouge ALi;C:\Windows\system32\DRIVERS\alifir.sys
    R3 Stmatm;ATM/ADSL miniport;C:\Windows\system32\DRIVERS\stmatm.sys
    R3 usbscan;Pilote de scanneur USB;C:\Windows\system32\DRIVERS\usbscan.sys
    S3 AlcrFilt;Alcor Micro Corp;\??\C:\Windows\System32\Drivers\AlcrFilt.sys
    S3 DarkSpy;DarkSpy;\??\C:\Windows\system32\DarkSpyKernel.sys
    S3 DCamUSBPremier;USB Video Camera;C:\Windows\system32\Drivers\mpixvid.sys
    S3 MEMSWEEP2;MEMSWEEP2;\??\C:\Windows\system32\96.tmp
    S3 netrcacm;RCA USB Digital Cable Modem Driver;C:\Windows\system32\DRIVERS\netrcacm.sys
    S3 SIS163u;SiS163 usb Wireless LAN Adapter Driver;C:\Windows\system32\DRIVERS\sis163u.sys
    S3 TaurusUsb;ADSL Modem USB Service;C:\Windows\system32\DRIVERS\torususb.sys
    S3 USBSTOR;Pilote de stockage de masse USB;C:\Windows\system32\DRIVERS\USBSTOR.SYS

    .
    Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
    "2007-10-28 12:14:59 C:\Windows\Tasks\Maintenance en 1 clic.job"
    - C:\Program Files\TuneUp Utilities 2007\SystemOptimizer.exe
    "2007-10-29 14:54:59 C:\Windows\Tasks\Uniblue SpyEraser Nag.job"
    - C:\Program Files\Uniblue\SpyEraser\SpyEraser.exe
    "2007-10-29 14:54:57 C:\Windows\Tasks\Uniblue SpyEraser.job"
    - C:\Program Files\Uniblue\SpyEraser\SpyEraser.exe
    .
    **************************************************************************

    catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2007-10-31 20:59:31
    Windows 5.1.2600 Service Pack 2 NTFS

    scanning hidden processes ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully
    hidden files: 0

    **************************************************************************
    .
    Completion time: 2007-10-31 21:04:26 - machine was rebooted
    .
    --- E O F ---
    1
  2. leon95 Messages postés 1231 Statut Membre 22
     
    personne ne connait??
    0
  3. leon95 Messages postés 1231 Statut Membre 22
     
    y a quelqun?
    0
  4. leon95 Messages postés 1231 Statut Membre 22
     
    je desespere
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. g!rly Messages postés 18462 Statut Contributeur 407
     
    salut leon,

    quel est ton souci a la base?

    Télécharge HijackThis version francaise ici :

    -> http://pchelpbordeaux.free.fr/logiciels.html

    Tutoriel d´installation (images) :

    -> http://pchelpbordeaux.free.fr/tuto.html

    Tutoriel d´utilisation (video) :

    -> http://pageperso.aol.fr/balltrap34/demohijack.htm

    Post le rapport généré ici stp...

    @+
    0
  7. leon95 Messages postés 1231 Statut Membre 22
     
    merci de ta reponse. voila le rapport demande. je te met aussi un rapport sophos et un sdfix

    Logfile of HijackThis v1.99.1
    Scan saved at 14:12:14, on 31/10/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16544)

    Running processes:
    C:\Windows\System32\smss.exe
    C:\Windows\system32\winlogon.exe
    C:\Windows\system32\services.exe
    C:\Windows\system32\lsass.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\system32\lxcrcoms.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
    C:\Windows\Explorer.EXE
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    C:\Windows\system32\ctfmon.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    C:\Program Files\MSN Messenger\usnsvc.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\Windows\system32\ctfmon.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O11 - Options group: [INTERNATIONAL] International*
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - (no file)
    O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
    O20 - Winlogon Notify: WgaLogon - C:\Windows\SYSTEM32\WgaLogon.dll
    O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\Windows\system32\WPDShServiceObj.dll
    O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: lxcr_device - - C:\Windows\system32\lxcrcoms.exe
    O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    0
  8. leon95 Messages postés 1231 Statut Membre 22
     
    voila sophos

    Area: Windows registry
    Description: Hidden registry value
    Location: \HKEY_USERS\S-1-5-21-257621693-4282951562-813958858-500\Software\Microsoft\Windows\CurrentVersion\Explorer\TrayNotify\PastIconsStream
    Removable: No
    Notes: (type 3, length 12709092) "\x14 \x05 \x01 \x01 \xa0- \x14 IL \x06\xa0-\xa1-\x04 \x10 \x10 \xff\xff\xff\xff! \xff\xff\xff\xff\xff\xff\xff\xffBM6 6 ( \x10 \x10\xda" ... "\xc6\x07 \xff\x0f "

    Area: Windows registry
    Description: Hidden registry value
    Location: \HKEY_USERS\S-1-5-21-257621693-4282951562-813958858-500\Software\Microsoft\Windows\CurrentVersion\Explorer\TrayNotify\IconStreams
    Removable: No
    Notes: (type 3, length 100832) "\x14 \x05 \x01 \x01 ] \x14 C : \ P r o g r a m F i l e s \ S p y b o t - " ... " "
    0
  9. leon95 Messages postés 1231 Statut Membre 22
     
    et voila sdfix

    SDFix: Version 1.112

    Run by Administrateur on 29/10/2007 at 16:37

    Microsoft Windows XP [version 5.1.2600]

    Running From: C:\DOCUME~1\ADMINI~1\Bureau\SDFix

    Safe Mode:
    Checking Services:

    Restoring Windows Registry Values
    Restoring Windows Default Hosts File

    Rebooting...

    Normal Mode:
    Checking Files:

    Trojan Files Found:

    C:\Windows\system32\1.tmp - Deleted
    C:\Windows\system32\1.tmp - Deleted

    Removing Temp Files...

    ADS Check:

    C:\Windows
    No streams found.

    C:\Windows\system32
    No streams found.

    C:\Windows\system32\svchost.exe
    No streams found.

    C:\Windows\system32\ntoskrnl.exe
    No streams found.

    Final Check:

    Remaining Services:
    ------------------

    Authorized Application Key Export:

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
    "C:\\WINDOWS\\system32\\lxcrcoms.exe"="C:\\WINDOWS\\system32\\lxcrcoms.exe:*:Enabled:Lexmark Communications System"
    "C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
    "C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
    "C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
    "C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

    Remaining Files:
    ---------------

    File Backups: - C:\DOCUME~1\ADMINI~1\Bureau\SDFix\backups\backups.zip

    Files with Hidden Attributes:

    Thu 5 Jun 2003 24,576 A..H. --- "C:\Program Files\RamBoost XP\StopRam.exe"
    Mon 9 Apr 2007 5 A.SH. --- "C:\WINDOWS\system32\dedd9_g.dll"
    Tue 23 Oct 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv02.tmp"

    Finished!

    Configuration: Windows XP
    Firefox 2.0.0.8
    0
  10. g!rly Messages postés 18462 Statut Contributeur 407
     
    Je ne voie rien de suspect dans le rapport hijack this

    y a ceci dans sdfix -> C:\WINDOWS\system32\dedd9_g.dll mais elle date -> Mon 9 Apr 2007

    tu peux faire analyser cette dll ici :

    https://www.virustotal.com/gui/

    puis

    Fais un scan Panda de ton disque dur en utilisant Internet Explorer (Pas avec Firefox ni Firebird)!

    http://pandasoftware.fr

    Acceptes l'Active X du site si nécessaire et désactive ton antivirus le temps du scan si necessaire.

    post le rapport generé...
    0
  11. leon95 Messages postés 1231 Statut Membre 22
     
    voila virustotal n a rien trouve par contre panda a trouve ce qui suit dans le rapport. j attends de savoir quoi faire..encore merci

    ;***********************************************************************************************************************************************************************************
    ANALYSIS: 2007-10-31 19:27:19
    PROTECTIONS: 2
    MALWARE: 2
    SUSPECTS: 0
    ;***********************************************************************************************************************************************************************************
    PROTECTIONS
    Description Version Active Updated
    ;===================================================================================================================================================================================
    Avira AntiVir PersonalEdition 7.0.0.158
    Yes Yes
    avast! antivirus 4.7.1043 [VPS 000781-1] 4.7.1043 Yes Yes
    ;===================================================================================================================================================================================
    MALWARE
    Id Description Type Active Severity Disinfectable Disinfected Location
    ;===================================================================================================================================================================================
    00139535 Application/Processor HackTools No 0 Yes No C:\System Volume Information\_restore{0D239C9C-6D8C-4EEB-AA90-B83F129BEE29}\RP19\A0000999.exe
    00139535 Application/Processor HackTools No 0 No No C:\System Volume Information\_restore{0D239C9C-6D8C-4EEB-AA90-B83F129BEE29}\RP19\A0000963.exe[SDFix\apps\Process.exe]
    01262593 Application/NirCmd.A HackTools No 0 Yes No C:\WINDOWS\nircmd.exe
    ;===================================================================================================================================================================================
    SUSPECTS
    Location
    ;===================================================================================================================================================================================
    ;===================================================================================================================================================================================
    0
  12. leon95 Messages postés 1231 Statut Membre 22
     
    je ne comprends pas j ai supprime avast pourtant
    0
  13. g!rly Messages postés 18462 Statut Contributeur 407
     
    re,

    Télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe (de Old_Timer) sur ton Bureau.
    double-click sur OTMoveIt.exe pour le lancer.
    copie la liste qui se trouve en citation ci-dessous,
    et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

    Citation :
    C:\WINDOWS\nircmd.exe

    Click sur MoveIt! pour lancer la suppression.
    le résultat apparaitra dans le cadre "Results".
    click sur Exit pour fermer.
    poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
    Ps : il te sera peut-être demander de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.
    http://img137.imageshack.us/img137/3558/refaitjk8.th.jpg

    nettoie tes fichiers temporaires avec ceci : atf cleaner, regarde le tuto...

    http://www.infosecu.fr/atf.html

    Désactive ta restauration système:
    pour cela :
    Click droit sur poste de travail, dans l´arborescence sur propriétés;
    dans la nouvelle fenettre click sur l´onglet restauration système;
    coche la case désactiver la restauration systèm et applique.
    puis redemarre le pc et click droit sur poste de travail, dans l´arborescence sur propriétés;
    dans la nouvelle fenettre click sur l´onglet restauration systèm
    décoche la case désactiver la restauration systèm et applique.

    passe ceci :

    Télécharge combofix.exe (par sUBs) sur ton Bureau.

    -> http://download.bleepingcomputer.com/sUBs/Beta/ComboFix.exe

    -> Double clique combofix.exe.
    -> Tape sur la touche 1 (Yes) pour démarrer le scan.
    -> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

    NOTE : Le rapport se trouve également ici : C:\Combofix.txt

    @+
    0
  14. leon95 Messages postés 1231 Statut Membre 22
     
    mais dis moi avec panda il me demande desinfecter a la fin du scan..je dis oui??merci d avance
    0
  15. g!rly Messages postés 18462 Statut Contributeur 407
     
    ok si il y arrive...

    dis moi quoi
    0
  16. leon95 Messages postés 1231 Statut Membre 22
     
    bon y veut pas faut devenir membre de chez pas quoi et payer.;je vais essayer ta methode
    0
  17. g!rly Messages postés 18462 Statut Contributeur 407
     
    oui ok
    0
  18. leon95 Messages postés 1231 Statut Membre 22
     
    et voila l autre rapport..j attends ton verdict et te remercie encore de ton assistance

    C:\WINDOWS\nircmd.exe moved successfully.

    Created on 10/31/2007 20:24:45
    0
  19. g!rly Messages postés 18462 Statut Contributeur 407
     
    as tu installé messener plus avec le sponssor?
    http://www.info-mods.com/divers/ftpdayswalker/messengerplus_installation.jpg
    0
  20. leon95 Messages postés 1231 Statut Membre 22
     
    messenger plus mais sans le sponsor.
    y a un lien entre mes problemes et ca?
    je pense etre sur mais comment verifier?
    0
  21. leon95 Messages postés 1231 Statut Membre 22
     
    bein je vais supprimer messenger plus..
    0
  • 1
  • 2
  • 3
  • 4
  • 5