Trojan-spy.win32@mx
Résolu
ZORB80
Messages postés
5
Statut
Membre
-
g!rly Messages postés 18462 Statut Contributeur -
g!rly Messages postés 18462 Statut Contributeur -
Bonjour,je suis victime du virus trojan-spy32@mx.
j'ai tente pas mal de chose pour m'en debarasse mais sans resultat.
que dois je faire ?
merci de m'aider.
j'ai tente pas mal de chose pour m'en debarasse mais sans resultat.
que dois je faire ?
merci de m'aider.
A voir également:
- 0fcd0g.exe
- Trojan remover - Télécharger - Antivirus & Antimalwares
- Anti trojan - Télécharger - Antivirus & Antimalwares
- Trojan agent ✓ - Forum Virus
- Virus trojan al11 ✓ - Forum Virus
- Trojan b901 system32 win config 34 ✓ - Forum Virus
40 réponses
VOICI LE RAPPORT DE COMBOFIX
ComboFix 07-11-08.3 - jerome 2007-11-19 16:39:15.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.98 [GMT 1:00]
Running from: C:\Documents and Settings\jerome.DOMAPACA\Bureau\ComboFix.exe
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Documents and Settings\jerome.DOMAPACA\Application Data\SpamBlocker
C:\WINDOWS\system32\bbadd.ini
C:\WINDOWS\system32\bbadd.ini2
C:\WINDOWS\System32\ddabb.dll
.
---- Previous Run -------
.
C:\DOCUME~1\JEROME~1.DOM\LOCALS~1\Temp\gebcd.dll
C:\Documents and Settings\jerome.DOMAPACA\Application Data\SpamBlocker
C:\Documents and Settings\jerome.DOMAPACA\Application Data\SpamBlocker\SAFE
C:\Documents and Settings\jerome.DOMAPACA\Favoris\Online Security Guide.lnk
C:\Documents and Settings\jerome\Bureau\Live Safety Center.lnk
C:\Documents and Settings\jerome\Bureau\Online Security Guide.lnk
C:\Documents and Settings\jerome\Favoris\Online Security Guide.lnk
C:\Documents and Settings\jerome\ResErrors.log
C:\Documents and Settings\tele\Application Data\install.dat
C:\UGA6P
C:\WINDOWS\system32\Cache
C:\WINDOWS\system32\sysdl132.exe
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\LEGACY_IPRIP
-------\Iprip
-------\nm
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-10-19 to 2007-11-19 ))))))))))))))))))))))))))))))))))))
.
2007-11-19 16:43 <REP> d-------- C:\Documents and Settings\jerome.DOMAPACA\Application Data\SpamBlocker
2007-11-19 15:17 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-11-19 12:48 <REP> d-------- C:\VundoFix Backups
2007-11-19 12:18 16,384 --a------ C:\WINDOWS\system32\restart.exe
2007-11-19 10:59 184,320 --a------ C:\WINDOWS\system32\delnext.exe
2007-11-19 10:59 82,188 --a------ C:\WINDOWS\system32\zip.exe
2007-11-19 09:34 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2007-11-19 09:21 0 --a------ C:\WINDOWS\test.dat
2007-11-19 09:18 <REP> d-------- C:\WINDOWS\XMicro Internet Security
2007-11-19 09:18 <REP> d-------- C:\WINDOWS\SpamClassDLL SDK
2007-11-19 09:18 <REP> d-------- C:\WINDOWS\AntiSpam
2007-11-19 09:18 <REP> d-------- C:\Program Files\XMicro Internet Security
2007-11-19 09:18 78 --------- C:\WINDOWS\winomnifile.dat
2007-11-19 09:12 <REP> d-------- C:\Program Files\Hijackthis Version Fran‡aise
2007-11-19 09:02 <REP> d-------- C:\WINDOWS\system32\bits
2007-11-19 08:53 <REP> d-------- C:\Program Files\Fichiers communs\ODBC
2007-11-19 08:45 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2007-11-16 16:46 10,816 --a------ C:\Documents and Settings\jerome.DOMAPACA\Application Data\__c0017EC4.dat
2007-11-15 17:00 <REP> d-------- C:\Program Files\Ghost Navigator2_8_1
2007-11-15 12:03 79,872 --a--c--- C:\WINDOWS\system32\dllcache\srvsvc.dll
2007-11-15 12:03 36,864 --a------ C:\WINDOWS\system32\mf3216.dll
2007-11-15 12:03 36,864 --a--c--- C:\WINDOWS\system32\dllcache\mf3216.dll
2007-11-15 12:01 8,408,064 --a--c--- C:\WINDOWS\system32\dllcache\shell32.dll
2007-11-15 12:01 704,512 --a------ C:\WINDOWS\system32\sxs.dll
2007-11-15 12:01 704,512 --a--c--- C:\WINDOWS\system32\dllcache\sxs.dll
2007-11-15 12:01 83,456 --a------ C:\WINDOWS\system32\mtxoci.dll
2007-11-15 12:01 82,944 --a------ C:\WINDOWS\system32\fldrclnr.dll
2007-11-15 12:01 82,944 --a--c--- C:\WINDOWS\system32\dllcache\fldrclnr.dll
2007-11-15 12:01 64,512 --a------ C:\WINDOWS\system32\mtxclu.dll
2007-11-15 12:01 25,600 --------- C:\WINDOWS\system32\verclsid.exe
2007-11-15 12:00 433,152 -----c--- C:\WINDOWS\system32\dllcache\mrxsmb.sys
2007-11-15 12:00 166,656 --a--c--- C:\WINDOWS\system32\dllcache\rdbss.sys
2007-11-15 12:00 93,184 --a--c--- C:\WINDOWS\system32\dllcache\cscdll.dll
2007-11-15 12:00 93,184 --a------ C:\WINDOWS\system32\cscdll.dll
2007-11-15 11:57 <REP> d---s---- C:\Documents and Settings\jerome.DOMAPACA\UserData
2007-11-15 11:53 <REP> d-------- C:\Program Files\Lavasoft
2007-11-15 11:53 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\Lavasoft
2007-11-15 10:10 <REP> d-------- C:\WINDOWS\$hf_mig$
2007-11-15 10:06 <REP> d-------- C:\WINDOWS\system32\ZoneLabs
2007-11-15 10:05 <REP> d-------- C:\WINDOWS\Internet Logs
2007-11-15 09:59 <REP> d-------- C:\Documents and Settings\administrateur.DOMAPACA\ModŠles
2007-11-14 16:36 <REP> d--h----- C:\Program Files\FShow
2007-11-14 16:36 35,328 --------- C:\WINDOWS\system32\urqppno.dll
2007-11-14 16:26 <REP> d-------- C:\Documents and Settings\jerome.DOMAPACA\Application Data\POP Peeper
2007-11-14 16:16 549,720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-11-14 16:16 325,976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-11-14 16:16 203,096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-11-14 16:16 187,160 --a------ C:\WINDOWS\system32\wuaueng1.dll
2007-11-14 16:16 170,776 --a------ C:\WINDOWS\system32\wuauclt1.exe
2007-11-14 16:16 33,624 --a------ C:\WINDOWS\system32\wups.dll
2007-11-14 16:11 <REP> d-------- C:\Documents and Settings\jerome.DOMAPACA\Application Data\ICAClient
2007-11-14 12:49 <REP> d--h----- C:\Documents and Settings\Administrateur.APACA\Voisinage r‚seau
2007-11-14 12:49 <REP> d--h----- C:\Documents and Settings\Administrateur.APACA\Voisinage d'impression
2007-11-14 12:49 <REP> d--h----- C:\Documents and Settings\Administrateur.APACA\ModŠles
2007-11-14 12:49 <REP> dr------- C:\Documents and Settings\Administrateur.APACA\Mes documents
2007-11-14 12:49 <REP> dr------- C:\Documents and Settings\Administrateur.APACA\Menu D‚marrer
2007-11-14 12:49 <REP> dr------- C:\Documents and Settings\Administrateur.APACA\Favoris
2007-11-14 12:49 <REP> d-------- C:\Documents and Settings\Administrateur.APACA\Bureau
2007-11-14 12:42 <REP> d--h----- C:\Documents and Settings\jerome.DOMAPACA\Voisinage r‚seau
2007-11-14 12:42 <REP> d--h----- C:\Documents and Settings\jerome.DOMAPACA\Voisinage d'impression
2007-11-14 12:42 <REP> d--h----- C:\Documents and Settings\jerome.DOMAPACA\ModŠles
2007-11-14 12:42 <REP> dr------- C:\Documents and Settings\jerome.DOMAPACA\Mes documents
2007-11-14 12:42 <REP> dr------- C:\Documents and Settings\jerome.DOMAPACA\Menu D‚marrer
2007-11-14 12:42 <REP> dr------- C:\Documents and Settings\jerome.DOMAPACA\Favoris
2007-11-14 12:42 <REP> d-------- C:\Documents and Settings\jerome.DOMAPACA\Bureau
2007-11-14 11:51 <REP> d-------- C:\WINDOWS\Hewlett-Packard
2007-11-14 11:50 <REP> d--h----- C:\Program Files\Zero G Registry
2007-11-14 11:50 74,752 --a------ C:\WINDOWS\system32\jst.dll
2007-11-14 11:50 61,440 --a------ C:\WINDOWS\system32\PMLJNI.dll
2007-11-14 11:50 40,960 --a------ C:\WINDOWS\system32\d4channel.dll
2007-11-14 11:50 36,864 --a------ C:\WINDOWS\system32\hpbmmjno.dll
2007-11-14 11:49 <REP> d-------- C:\Program Files\Hewlett-Packard
2007-11-14 11:48 <REP> d-------- C:\Program Files\Fichiers communs\SWF Studio
2007-11-14 11:48 266,240 -ra------ C:\WINDOWS\system32\HPZc3212.dll
2007-11-14 11:34 170,880 -ra------ C:\WINDOWS\system32\drivers\b57xp32.sys
2007-11-14 11:34 170,880 --a--c--- C:\WINDOWS\system32\dllcache\b57xp32.sys
2007-11-14 11:11 <REP> d-------- C:\Program Files\Support Tools
2007-11-14 11:02 <REP> d-------- C:\WINDOWS\system32\URTTemp
2007-11-14 10:53 <REP> d-------- C:\Inetpub
2007-11-14 10:46 <REP> d-------- C:\WINDOWS\system32\Adobe
2007-11-14 10:46 <REP> d-------- C:\WINDOWS\Profiles
2007-11-14 10:44 <REP> d-------- C:\Documents and Settings\APACA~1~JER\LOCALS~1
2007-11-14 10:39 308,224 --a------ C:\WINDOWS\IsUn040c.exe
2007-11-14 09:45 <REP> d--hs---- C:\Documents and Settings\All Users.WINDOWS\DRM
2007-11-14 09:45 3,346,432 --a--c--- C:\WINDOWS\system32\dllcache\msgr3en.dll
2007-11-14 09:45 106,562 --a--c--- C:\WINDOWS\system32\dllcache\srchctls.dll
2007-11-14 09:33 12,928 --a------ C:\WINDOWS\system32\drivers\Dot4Prt.sys
2007-11-14 09:33 3,072 --a------ C:\WINDOWS\system32\drivers\audstub.sys
2007-11-14 09:32 608,896 --a------ C:\WINDOWS\system32\drivers\ltmdmnt.sys
2007-11-14 09:32 205,056 --a------ C:\WINDOWS\system32\drivers\Dot4.sys
2007-11-14 09:32 70,144 --a------ C:\WINDOWS\system32\usbui.dll
2007-11-14 09:32 57,728 --a------ C:\WINDOWS\system32\drivers\redbook.sys
2007-11-14 09:32 24,960 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2007-11-14 09:32 24,064 --a------ C:\WINDOWS\system32\drivers\Dot4usb.sys
2007-11-14 09:32 6,400 --a------ C:\WINDOWS\system32\drivers\enum1394.sys
2007-11-14 09:29 <REP> d--h----- C:\Documents and Settings\Default User.WINDOWS\Voisinage r‚seau
2007-11-14 09:29 <REP> d--h----- C:\Documents and Settings\Default User.WINDOWS\Voisinage d'impression
2007-11-14 09:29 <REP> d--h----- C:\Documents and Settings\Default User.WINDOWS\ModŠles
2007-11-14 09:29 <REP> d-------- C:\Documents and Settings\Default User.WINDOWS\Mes documents
2007-11-14 09:29 <REP> dr------- C:\Documents and Settings\Default User.WINDOWS\Menu D‚marrer
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-19 13:20 --------- d-----w C:\Program Files\Hijackthis Version Française
2007-11-16 15:42 --------- d-----w C:\Program Files\LAME
2007-11-15 09:17 9,760 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2007-11-15 09:17 3,860 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2007-11-15 09:17 237,600 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2007-11-15 09:17 1,988 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2007-11-15 09:08 75,932 ----a-w C:\WINDOWS\system32\drivers\klick.dat
2007-11-15 09:08 74,396 ----a-w C:\WINDOWS\system32\drivers\klin.dat
2007-11-14 15:26 --------- d-----w C:\Program Files\POP Peeper
2007-11-14 15:17 --------- d-----w C:\Program Files\Audacity
2007-11-14 10:54 --------- d-----w C:\Program Files\RMClient
2007-11-14 10:54 --------- d-----w C:\Program Files\Fichiers communs\RDPrint
2007-11-14 09:46 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2007-11-12 15:41 --------- d-----w C:\Program Files\K-Lite Codec Pack
2007-09-20 08:21 132 ----a-w C:\sauvegarde CAISSE RESEAU APACA.BAT
.
((((((((((((((((((((((((((((( snapshot@2007-11-19_15.23.43.49 )))))))))))))))))))))))))))))))))))))))))
.
- 2007-11-19 14:18:23 253,952 ----a-w C:\WINDOWS\system32\config\systemprofile\ntuser.dat
+ 2007-11-19 15:39:09 253,952 ----a-w C:\WINDOWS\system32\config\systemprofile\ntuser.dat
- 2007-11-19 14:22:11 208,508 ----a-w C:\WINDOWS\system32\inetsrv\MetaBase.bin
+ 2007-11-19 15:42:39 208,509 ----a-w C:\WINDOWS\system32\inetsrv\MetaBase.bin
+ 2007-11-19 15:42:17 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_78c.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0DD98BA3-25B7-4913-88AF-CFBDB28DA4CE}]
2007-11-14 16:36 35328 --------- C:\WINDOWS\system32\urqppno.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{BC17409F-7FD4-4C43-AD05-31B5181DB9FD}]
C:\WINDOWS\System32\ddaya.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F28ED85C-A8AE-4e69-B92E-6279C02010DC}]
2007-11-14 16:36 97280 --a------ C:\Program Files\FShow\win-browser.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2003-05-02 21:19]
"StatusClient 2.6"="C:\Program Files\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe" [2004-02-27 18:29]
"TomcatStartup 2.5"="C:\Program Files\Hewlett-Packard\Toolbox\hpbpsttp.exe" [2004-05-11 16:10]
"HP Software Update"="C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" [2004-01-07 13:02]
"JobHisInit"="C:\Program Files\RMClient\JobHisInit.exe" [2004-03-17 23:47]
"MplSetUp"="C:\Program Files\RMClient\MplSetUp.exe" [2000-11-03 11:09]
"OfficeScanNT Monitor"="C:\Program Files\Trend Micro\Client Server Security Agent\pccntmon.exe" [2005-12-16 05:09]
"Total Security"="C:\Program Files\XMicro Internet Security\TScutyNT.exe" [2007-08-17 13:38]
"TotalSecurityUpdate"="C:\Program Files\XMicro Internet Security\TSAtUdt.exe" [2006-05-08 13:11]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-08-30 15:00]
"POP Peeper"="C:\Program Files\POP Peeper\POPPeeper.exe" [2006-11-16 05:02]
"MSMSGS"="C:\Program Files\Messenger\MSMSGS.exe" [2004-11-15 16:18]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{0DD98BA3-25B7-4913-88AF-CFBDB28DA4CE}"= C:\WINDOWS\system32\urqppno.dll [2007-11-14 16:36 35328]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 C:\WINDOWS\System32\ddabb.dll
R2 SMTPSVC;Simple Mail Transfer Protocol (SMTP);C:\WINDOWS\System32\inetsrv\inetinfo.exe
.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2007-11-19 08:25:00 C:\WINDOWS\Tasks\CODEUSE.job"
"2007-11-19 08:31:01 C:\WINDOWS\Tasks\RELEVE PHOTOCOP.job"
- U:\Jerome\APACA\Archivage\RELEVE PHOTOCOP.doc
"2007-11-19 15:32:15 C:\WINDOWS\Tasks\sauvegarde CAISSE RESEAU APACA.job"
.
**************************************************************************
catchme 0.3.1262 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-19 16:43:30
Windows 5.1.2600 Service Pack 1 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
Completion time: 2007-11-19 16:44:31 - machine was rebooted
.
--- E O F ---
ComboFix 07-11-08.3 - jerome 2007-11-19 16:39:15.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.98 [GMT 1:00]
Running from: C:\Documents and Settings\jerome.DOMAPACA\Bureau\ComboFix.exe
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Documents and Settings\jerome.DOMAPACA\Application Data\SpamBlocker
C:\WINDOWS\system32\bbadd.ini
C:\WINDOWS\system32\bbadd.ini2
C:\WINDOWS\System32\ddabb.dll
.
---- Previous Run -------
.
C:\DOCUME~1\JEROME~1.DOM\LOCALS~1\Temp\gebcd.dll
C:\Documents and Settings\jerome.DOMAPACA\Application Data\SpamBlocker
C:\Documents and Settings\jerome.DOMAPACA\Application Data\SpamBlocker\SAFE
C:\Documents and Settings\jerome.DOMAPACA\Favoris\Online Security Guide.lnk
C:\Documents and Settings\jerome\Bureau\Live Safety Center.lnk
C:\Documents and Settings\jerome\Bureau\Online Security Guide.lnk
C:\Documents and Settings\jerome\Favoris\Online Security Guide.lnk
C:\Documents and Settings\jerome\ResErrors.log
C:\Documents and Settings\tele\Application Data\install.dat
C:\UGA6P
C:\WINDOWS\system32\Cache
C:\WINDOWS\system32\sysdl132.exe
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\LEGACY_IPRIP
-------\Iprip
-------\nm
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-10-19 to 2007-11-19 ))))))))))))))))))))))))))))))))))))
.
2007-11-19 16:43 <REP> d-------- C:\Documents and Settings\jerome.DOMAPACA\Application Data\SpamBlocker
2007-11-19 15:17 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-11-19 12:48 <REP> d-------- C:\VundoFix Backups
2007-11-19 12:18 16,384 --a------ C:\WINDOWS\system32\restart.exe
2007-11-19 10:59 184,320 --a------ C:\WINDOWS\system32\delnext.exe
2007-11-19 10:59 82,188 --a------ C:\WINDOWS\system32\zip.exe
2007-11-19 09:34 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2007-11-19 09:21 0 --a------ C:\WINDOWS\test.dat
2007-11-19 09:18 <REP> d-------- C:\WINDOWS\XMicro Internet Security
2007-11-19 09:18 <REP> d-------- C:\WINDOWS\SpamClassDLL SDK
2007-11-19 09:18 <REP> d-------- C:\WINDOWS\AntiSpam
2007-11-19 09:18 <REP> d-------- C:\Program Files\XMicro Internet Security
2007-11-19 09:18 78 --------- C:\WINDOWS\winomnifile.dat
2007-11-19 09:12 <REP> d-------- C:\Program Files\Hijackthis Version Fran‡aise
2007-11-19 09:02 <REP> d-------- C:\WINDOWS\system32\bits
2007-11-19 08:53 <REP> d-------- C:\Program Files\Fichiers communs\ODBC
2007-11-19 08:45 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2007-11-16 16:46 10,816 --a------ C:\Documents and Settings\jerome.DOMAPACA\Application Data\__c0017EC4.dat
2007-11-15 17:00 <REP> d-------- C:\Program Files\Ghost Navigator2_8_1
2007-11-15 12:03 79,872 --a--c--- C:\WINDOWS\system32\dllcache\srvsvc.dll
2007-11-15 12:03 36,864 --a------ C:\WINDOWS\system32\mf3216.dll
2007-11-15 12:03 36,864 --a--c--- C:\WINDOWS\system32\dllcache\mf3216.dll
2007-11-15 12:01 8,408,064 --a--c--- C:\WINDOWS\system32\dllcache\shell32.dll
2007-11-15 12:01 704,512 --a------ C:\WINDOWS\system32\sxs.dll
2007-11-15 12:01 704,512 --a--c--- C:\WINDOWS\system32\dllcache\sxs.dll
2007-11-15 12:01 83,456 --a------ C:\WINDOWS\system32\mtxoci.dll
2007-11-15 12:01 82,944 --a------ C:\WINDOWS\system32\fldrclnr.dll
2007-11-15 12:01 82,944 --a--c--- C:\WINDOWS\system32\dllcache\fldrclnr.dll
2007-11-15 12:01 64,512 --a------ C:\WINDOWS\system32\mtxclu.dll
2007-11-15 12:01 25,600 --------- C:\WINDOWS\system32\verclsid.exe
2007-11-15 12:00 433,152 -----c--- C:\WINDOWS\system32\dllcache\mrxsmb.sys
2007-11-15 12:00 166,656 --a--c--- C:\WINDOWS\system32\dllcache\rdbss.sys
2007-11-15 12:00 93,184 --a--c--- C:\WINDOWS\system32\dllcache\cscdll.dll
2007-11-15 12:00 93,184 --a------ C:\WINDOWS\system32\cscdll.dll
2007-11-15 11:57 <REP> d---s---- C:\Documents and Settings\jerome.DOMAPACA\UserData
2007-11-15 11:53 <REP> d-------- C:\Program Files\Lavasoft
2007-11-15 11:53 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\Lavasoft
2007-11-15 10:10 <REP> d-------- C:\WINDOWS\$hf_mig$
2007-11-15 10:06 <REP> d-------- C:\WINDOWS\system32\ZoneLabs
2007-11-15 10:05 <REP> d-------- C:\WINDOWS\Internet Logs
2007-11-15 09:59 <REP> d-------- C:\Documents and Settings\administrateur.DOMAPACA\ModŠles
2007-11-14 16:36 <REP> d--h----- C:\Program Files\FShow
2007-11-14 16:36 35,328 --------- C:\WINDOWS\system32\urqppno.dll
2007-11-14 16:26 <REP> d-------- C:\Documents and Settings\jerome.DOMAPACA\Application Data\POP Peeper
2007-11-14 16:16 549,720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-11-14 16:16 325,976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-11-14 16:16 203,096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-11-14 16:16 187,160 --a------ C:\WINDOWS\system32\wuaueng1.dll
2007-11-14 16:16 170,776 --a------ C:\WINDOWS\system32\wuauclt1.exe
2007-11-14 16:16 33,624 --a------ C:\WINDOWS\system32\wups.dll
2007-11-14 16:11 <REP> d-------- C:\Documents and Settings\jerome.DOMAPACA\Application Data\ICAClient
2007-11-14 12:49 <REP> d--h----- C:\Documents and Settings\Administrateur.APACA\Voisinage r‚seau
2007-11-14 12:49 <REP> d--h----- C:\Documents and Settings\Administrateur.APACA\Voisinage d'impression
2007-11-14 12:49 <REP> d--h----- C:\Documents and Settings\Administrateur.APACA\ModŠles
2007-11-14 12:49 <REP> dr------- C:\Documents and Settings\Administrateur.APACA\Mes documents
2007-11-14 12:49 <REP> dr------- C:\Documents and Settings\Administrateur.APACA\Menu D‚marrer
2007-11-14 12:49 <REP> dr------- C:\Documents and Settings\Administrateur.APACA\Favoris
2007-11-14 12:49 <REP> d-------- C:\Documents and Settings\Administrateur.APACA\Bureau
2007-11-14 12:42 <REP> d--h----- C:\Documents and Settings\jerome.DOMAPACA\Voisinage r‚seau
2007-11-14 12:42 <REP> d--h----- C:\Documents and Settings\jerome.DOMAPACA\Voisinage d'impression
2007-11-14 12:42 <REP> d--h----- C:\Documents and Settings\jerome.DOMAPACA\ModŠles
2007-11-14 12:42 <REP> dr------- C:\Documents and Settings\jerome.DOMAPACA\Mes documents
2007-11-14 12:42 <REP> dr------- C:\Documents and Settings\jerome.DOMAPACA\Menu D‚marrer
2007-11-14 12:42 <REP> dr------- C:\Documents and Settings\jerome.DOMAPACA\Favoris
2007-11-14 12:42 <REP> d-------- C:\Documents and Settings\jerome.DOMAPACA\Bureau
2007-11-14 11:51 <REP> d-------- C:\WINDOWS\Hewlett-Packard
2007-11-14 11:50 <REP> d--h----- C:\Program Files\Zero G Registry
2007-11-14 11:50 74,752 --a------ C:\WINDOWS\system32\jst.dll
2007-11-14 11:50 61,440 --a------ C:\WINDOWS\system32\PMLJNI.dll
2007-11-14 11:50 40,960 --a------ C:\WINDOWS\system32\d4channel.dll
2007-11-14 11:50 36,864 --a------ C:\WINDOWS\system32\hpbmmjno.dll
2007-11-14 11:49 <REP> d-------- C:\Program Files\Hewlett-Packard
2007-11-14 11:48 <REP> d-------- C:\Program Files\Fichiers communs\SWF Studio
2007-11-14 11:48 266,240 -ra------ C:\WINDOWS\system32\HPZc3212.dll
2007-11-14 11:34 170,880 -ra------ C:\WINDOWS\system32\drivers\b57xp32.sys
2007-11-14 11:34 170,880 --a--c--- C:\WINDOWS\system32\dllcache\b57xp32.sys
2007-11-14 11:11 <REP> d-------- C:\Program Files\Support Tools
2007-11-14 11:02 <REP> d-------- C:\WINDOWS\system32\URTTemp
2007-11-14 10:53 <REP> d-------- C:\Inetpub
2007-11-14 10:46 <REP> d-------- C:\WINDOWS\system32\Adobe
2007-11-14 10:46 <REP> d-------- C:\WINDOWS\Profiles
2007-11-14 10:44 <REP> d-------- C:\Documents and Settings\APACA~1~JER\LOCALS~1
2007-11-14 10:39 308,224 --a------ C:\WINDOWS\IsUn040c.exe
2007-11-14 09:45 <REP> d--hs---- C:\Documents and Settings\All Users.WINDOWS\DRM
2007-11-14 09:45 3,346,432 --a--c--- C:\WINDOWS\system32\dllcache\msgr3en.dll
2007-11-14 09:45 106,562 --a--c--- C:\WINDOWS\system32\dllcache\srchctls.dll
2007-11-14 09:33 12,928 --a------ C:\WINDOWS\system32\drivers\Dot4Prt.sys
2007-11-14 09:33 3,072 --a------ C:\WINDOWS\system32\drivers\audstub.sys
2007-11-14 09:32 608,896 --a------ C:\WINDOWS\system32\drivers\ltmdmnt.sys
2007-11-14 09:32 205,056 --a------ C:\WINDOWS\system32\drivers\Dot4.sys
2007-11-14 09:32 70,144 --a------ C:\WINDOWS\system32\usbui.dll
2007-11-14 09:32 57,728 --a------ C:\WINDOWS\system32\drivers\redbook.sys
2007-11-14 09:32 24,960 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2007-11-14 09:32 24,064 --a------ C:\WINDOWS\system32\drivers\Dot4usb.sys
2007-11-14 09:32 6,400 --a------ C:\WINDOWS\system32\drivers\enum1394.sys
2007-11-14 09:29 <REP> d--h----- C:\Documents and Settings\Default User.WINDOWS\Voisinage r‚seau
2007-11-14 09:29 <REP> d--h----- C:\Documents and Settings\Default User.WINDOWS\Voisinage d'impression
2007-11-14 09:29 <REP> d--h----- C:\Documents and Settings\Default User.WINDOWS\ModŠles
2007-11-14 09:29 <REP> d-------- C:\Documents and Settings\Default User.WINDOWS\Mes documents
2007-11-14 09:29 <REP> dr------- C:\Documents and Settings\Default User.WINDOWS\Menu D‚marrer
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-19 13:20 --------- d-----w C:\Program Files\Hijackthis Version Française
2007-11-16 15:42 --------- d-----w C:\Program Files\LAME
2007-11-15 09:17 9,760 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2007-11-15 09:17 3,860 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2007-11-15 09:17 237,600 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2007-11-15 09:17 1,988 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2007-11-15 09:08 75,932 ----a-w C:\WINDOWS\system32\drivers\klick.dat
2007-11-15 09:08 74,396 ----a-w C:\WINDOWS\system32\drivers\klin.dat
2007-11-14 15:26 --------- d-----w C:\Program Files\POP Peeper
2007-11-14 15:17 --------- d-----w C:\Program Files\Audacity
2007-11-14 10:54 --------- d-----w C:\Program Files\RMClient
2007-11-14 10:54 --------- d-----w C:\Program Files\Fichiers communs\RDPrint
2007-11-14 09:46 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2007-11-12 15:41 --------- d-----w C:\Program Files\K-Lite Codec Pack
2007-09-20 08:21 132 ----a-w C:\sauvegarde CAISSE RESEAU APACA.BAT
.
((((((((((((((((((((((((((((( snapshot@2007-11-19_15.23.43.49 )))))))))))))))))))))))))))))))))))))))))
.
- 2007-11-19 14:18:23 253,952 ----a-w C:\WINDOWS\system32\config\systemprofile\ntuser.dat
+ 2007-11-19 15:39:09 253,952 ----a-w C:\WINDOWS\system32\config\systemprofile\ntuser.dat
- 2007-11-19 14:22:11 208,508 ----a-w C:\WINDOWS\system32\inetsrv\MetaBase.bin
+ 2007-11-19 15:42:39 208,509 ----a-w C:\WINDOWS\system32\inetsrv\MetaBase.bin
+ 2007-11-19 15:42:17 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_78c.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0DD98BA3-25B7-4913-88AF-CFBDB28DA4CE}]
2007-11-14 16:36 35328 --------- C:\WINDOWS\system32\urqppno.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{BC17409F-7FD4-4C43-AD05-31B5181DB9FD}]
C:\WINDOWS\System32\ddaya.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F28ED85C-A8AE-4e69-B92E-6279C02010DC}]
2007-11-14 16:36 97280 --a------ C:\Program Files\FShow\win-browser.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2003-05-02 21:19]
"StatusClient 2.6"="C:\Program Files\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe" [2004-02-27 18:29]
"TomcatStartup 2.5"="C:\Program Files\Hewlett-Packard\Toolbox\hpbpsttp.exe" [2004-05-11 16:10]
"HP Software Update"="C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" [2004-01-07 13:02]
"JobHisInit"="C:\Program Files\RMClient\JobHisInit.exe" [2004-03-17 23:47]
"MplSetUp"="C:\Program Files\RMClient\MplSetUp.exe" [2000-11-03 11:09]
"OfficeScanNT Monitor"="C:\Program Files\Trend Micro\Client Server Security Agent\pccntmon.exe" [2005-12-16 05:09]
"Total Security"="C:\Program Files\XMicro Internet Security\TScutyNT.exe" [2007-08-17 13:38]
"TotalSecurityUpdate"="C:\Program Files\XMicro Internet Security\TSAtUdt.exe" [2006-05-08 13:11]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-08-30 15:00]
"POP Peeper"="C:\Program Files\POP Peeper\POPPeeper.exe" [2006-11-16 05:02]
"MSMSGS"="C:\Program Files\Messenger\MSMSGS.exe" [2004-11-15 16:18]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{0DD98BA3-25B7-4913-88AF-CFBDB28DA4CE}"= C:\WINDOWS\system32\urqppno.dll [2007-11-14 16:36 35328]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 C:\WINDOWS\System32\ddabb.dll
R2 SMTPSVC;Simple Mail Transfer Protocol (SMTP);C:\WINDOWS\System32\inetsrv\inetinfo.exe
.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2007-11-19 08:25:00 C:\WINDOWS\Tasks\CODEUSE.job"
"2007-11-19 08:31:01 C:\WINDOWS\Tasks\RELEVE PHOTOCOP.job"
- U:\Jerome\APACA\Archivage\RELEVE PHOTOCOP.doc
"2007-11-19 15:32:15 C:\WINDOWS\Tasks\sauvegarde CAISSE RESEAU APACA.job"
.
**************************************************************************
catchme 0.3.1262 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-19 16:43:30
Windows 5.1.2600 Service Pack 1 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
Completion time: 2007-11-19 16:44:31 - machine was rebooted
.
--- E O F ---
Fix.reg
Ouvre le bloc-notes (click droit sur le bureau > dans l´arborescence choisie nouveau et nouveau fichier texte) et fais un copier coller de ce qui est en citation ci-dessous (copie tout d'un trait) : note regedit 4 doir etre sur la premiere ligne dans le bloc note
REGEDIT4
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0DD98BA3-25B7-4913-88AF-CFBDB28DA4CE}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{BC17409F-7FD4-4C43-AD05-31B5181DB9FD}]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{0DD98BA3-25B7-4913-88AF-CFBDB28DA4CE}"=-
Puis click sur "fichier"/"enregistrer sous" :
dans : sur le bureau
Nom du fichier : fix.reg
Type de fichier : "tous les fichiers"
clique sur "enregistrer"
ca doit ressembler a ca une fois enrregistré :
http://img520.imageshack.us/img520/4251/screenshot005ps2.png
quitte internet et double clique sur fix.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "oui"
et repost un nouveau hijack this stp
@+
Ouvre le bloc-notes (click droit sur le bureau > dans l´arborescence choisie nouveau et nouveau fichier texte) et fais un copier coller de ce qui est en citation ci-dessous (copie tout d'un trait) : note regedit 4 doir etre sur la premiere ligne dans le bloc note
REGEDIT4
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0DD98BA3-25B7-4913-88AF-CFBDB28DA4CE}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{BC17409F-7FD4-4C43-AD05-31B5181DB9FD}]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{0DD98BA3-25B7-4913-88AF-CFBDB28DA4CE}"=-
Puis click sur "fichier"/"enregistrer sous" :
dans : sur le bureau
Nom du fichier : fix.reg
Type de fichier : "tous les fichiers"
clique sur "enregistrer"
ca doit ressembler a ca une fois enrregistré :
http://img520.imageshack.us/img520/4251/screenshot005ps2.png
quitte internet et double clique sur fix.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "oui"
et repost un nouveau hijack this stp
@+
Bonjour, CELA FAIT 2 JOURS QU AUCUN VIRUS N 'EST REAPARRU.IL SEMBLERAIS QU ON N'EN SOIT VENU A BOUT.MERCI A TOUS POUR VOTRE AIDE.
salut zorb80
je suis bien contente pour toi mais :
peux tu refaire ceci car j´ai oublié le crochet devant la ligne...
Ouvre le bloc-notes (click droit sur le bureau > dans l´arborescence choisie nouveau et nouveau fichier texte) et fais un copier coller de ce qui est en citation ci-dessous (copie tout d'un trait) : note regedit 4 doir etre sur la premiere ligne dans le bloc note
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{0DD98BA3-25B7-4913-88AF-CFBDB28DA4CE}"=-
Puis click sur "fichier"/"enregistrer sous" :
dans : sur le bureau
Nom du fichier : fix.reg
Type de fichier : "tous les fichiers"
clique sur "enregistrer"
ca doit ressembler a ca une fois enrregistré :
http://img520.imageshack.us/img520/4251/screenshot005ps2.png
quitte internet et double clique sur fix.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "oui"
et post un nouveau hijack this stp
@+
je suis bien contente pour toi mais :
peux tu refaire ceci car j´ai oublié le crochet devant la ligne...
Ouvre le bloc-notes (click droit sur le bureau > dans l´arborescence choisie nouveau et nouveau fichier texte) et fais un copier coller de ce qui est en citation ci-dessous (copie tout d'un trait) : note regedit 4 doir etre sur la premiere ligne dans le bloc note
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{0DD98BA3-25B7-4913-88AF-CFBDB28DA4CE}"=-
Puis click sur "fichier"/"enregistrer sous" :
dans : sur le bureau
Nom du fichier : fix.reg
Type de fichier : "tous les fichiers"
clique sur "enregistrer"
ca doit ressembler a ca une fois enrregistré :
http://img520.imageshack.us/img520/4251/screenshot005ps2.png
quitte internet et double clique sur fix.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "oui"
et post un nouveau hijack this stp
@+
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
LE RAPPORT HIJACK
Logfile of HijackThis v1.99.1
Scan saved at 11:39, on 2007-11-21
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Trend Micro\Client Server Security Agent\ntrtscan.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\Program Files\Trend Micro\Client Server Security Agent\tmlisten.exe
C:\Program Files\Trend Micro\Client Server Security Agent\OfcPfwSvc.exe
C:\PROGRAM FILES\TREND MICRO\CLIENT SERVER SECURITY AGENT\0FCD0G.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Program Files\Trend Micro\Client Server Security Agent\pccntmon.exe
C:\Program Files\XMicro Internet Security\TScutyNT.exe
C:\Program Files\XMicro Internet Security\TSAtUdt.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\POP Peeper\POPPeeper.exe
C:\Program Files\Messenger\MSMSGS.EXE
C:\Program Files\XMicro Internet Security\AntiSpam\OEInject.exe
C:\Program Files\XMicro Internet Security\AntiSpam\Tray.exe
C:\Program Files\Trend Micro\Client Server Security Agent\Pop3Trap.exe
C:\Program Files\Hewlett-Packard\Toolbox\jre\bin\javaw.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [StatusClient 2.6] C:\Program Files\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Program Files\Hewlett-Packard\Toolbox\hpbpsttp.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [JobHisInit] C:\Program Files\RMClient\JobHisInit.exe
O4 - HKLM\..\Run: [MplSetUp] C:\Program Files\RMClient\MplSetUp.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\Client Server Security Agent\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [Total Security] C:\Program Files\XMicro Internet Security\TScutyNT.exe
O4 - HKLM\..\Run: [TotalSecurityUpdate] C:\Program Files\XMicro Internet Security\TSAtUdt.exe
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [POP Peeper] "C:\Program Files\POP Peeper\POPPeeper.exe" -min
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - Startup: AntiSpam Express.lnk = C:\Program Files\XMicro Internet Security\AntiSpam\OEInject.exe
O4 - Startup: AntiSpam.lnk = C:\Program Files\XMicro Internet Security\AntiSpam\Tray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = DomAPACA.local
O17 - HKLM\Software\..\Telephony: DomainName = DomAPACA.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{F2856D9B-97E7-4B54-A943-96E6E366A960}: NameServer = 194.2.0.20,194.2.0.50
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = DomAPACA.local
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Scan en temps réel Trend Micro Client/Server Security Agent (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\Client Server Security Agent\ntrtscan.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pare-feu personnel Trend Micro Client/Server Security Agent (OfcPfwSvc) - Trend Micro Inc. - C:\Program Files\Trend Micro\Client Server Security Agent\OfcPfwSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Trend Micro Client-Server Security Agent Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\Client Server Security Agent\tmlisten.exe
CECI N A RIEN A VOIR : JE VOUDRAIS INSTALLER HIMACHI SUR UN PC N'AYANT PAS D'ACCES A INTERNET.Y A T IL UNE SOLUTION PUISQU'IL SE CONNECTE APRES SON INSTALL POUR DONNER L'IP VIRTUEL.
Logfile of HijackThis v1.99.1
Scan saved at 11:39, on 2007-11-21
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Trend Micro\Client Server Security Agent\ntrtscan.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\Program Files\Trend Micro\Client Server Security Agent\tmlisten.exe
C:\Program Files\Trend Micro\Client Server Security Agent\OfcPfwSvc.exe
C:\PROGRAM FILES\TREND MICRO\CLIENT SERVER SECURITY AGENT\0FCD0G.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Program Files\Trend Micro\Client Server Security Agent\pccntmon.exe
C:\Program Files\XMicro Internet Security\TScutyNT.exe
C:\Program Files\XMicro Internet Security\TSAtUdt.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\POP Peeper\POPPeeper.exe
C:\Program Files\Messenger\MSMSGS.EXE
C:\Program Files\XMicro Internet Security\AntiSpam\OEInject.exe
C:\Program Files\XMicro Internet Security\AntiSpam\Tray.exe
C:\Program Files\Trend Micro\Client Server Security Agent\Pop3Trap.exe
C:\Program Files\Hewlett-Packard\Toolbox\jre\bin\javaw.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [StatusClient 2.6] C:\Program Files\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Program Files\Hewlett-Packard\Toolbox\hpbpsttp.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [JobHisInit] C:\Program Files\RMClient\JobHisInit.exe
O4 - HKLM\..\Run: [MplSetUp] C:\Program Files\RMClient\MplSetUp.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\Client Server Security Agent\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [Total Security] C:\Program Files\XMicro Internet Security\TScutyNT.exe
O4 - HKLM\..\Run: [TotalSecurityUpdate] C:\Program Files\XMicro Internet Security\TSAtUdt.exe
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [POP Peeper] "C:\Program Files\POP Peeper\POPPeeper.exe" -min
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - Startup: AntiSpam Express.lnk = C:\Program Files\XMicro Internet Security\AntiSpam\OEInject.exe
O4 - Startup: AntiSpam.lnk = C:\Program Files\XMicro Internet Security\AntiSpam\Tray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = DomAPACA.local
O17 - HKLM\Software\..\Telephony: DomainName = DomAPACA.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{F2856D9B-97E7-4B54-A943-96E6E366A960}: NameServer = 194.2.0.20,194.2.0.50
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = DomAPACA.local
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Scan en temps réel Trend Micro Client/Server Security Agent (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\Client Server Security Agent\ntrtscan.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pare-feu personnel Trend Micro Client/Server Security Agent (OfcPfwSvc) - Trend Micro Inc. - C:\Program Files\Trend Micro\Client Server Security Agent\OfcPfwSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Trend Micro Client-Server Security Agent Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\Client Server Security Agent\tmlisten.exe
CECI N A RIEN A VOIR : JE VOUDRAIS INSTALLER HIMACHI SUR UN PC N'AYANT PAS D'ACCES A INTERNET.Y A T IL UNE SOLUTION PUISQU'IL SE CONNECTE APRES SON INSTALL POUR DONNER L'IP VIRTUEL.
re,
tu connais ceci :
C:\Program Files\XMicro Internet Security
pour himachi, je voie mal comment il pourrait te refiler l´ip virtuelle si tu n´as pas de connection...
tu connais ceci :
C:\Program Files\XMicro Internet Security
pour himachi, je voie mal comment il pourrait te refiler l´ip virtuelle si tu n´as pas de connection...
POUR C:\Program Files\XMicro Internet Security , C'EST UN ANTI SPAM POUR OUTLOOK.INSTALLE APRES LE DEBUT DE LA CONTAMINATION.
ok tres bien,
ca me parait propre alors...
sinon fais les mises a jour windows, pour le moment tu surf avec ie 6.0 tu veux la 7.0 car failles de securi´te importantes
et pourquoi pas opter pour firefox = plus sur que ie tout en gardant ie 7.0 pour les mises jour windows,
http://www.firefox.fr/
@+
ca me parait propre alors...
sinon fais les mises a jour windows, pour le moment tu surf avec ie 6.0 tu veux la 7.0 car failles de securi´te importantes
et pourquoi pas opter pour firefox = plus sur que ie tout en gardant ie 7.0 pour les mises jour windows,
http://www.firefox.fr/
@+
Bonjour vous deux
G!rly ==>attention
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 C:\WINDOWS\System32\ddabb.dll
ATTENTION C'est un cas spécial, il y a un détournement Vundo! ==> Voici ce que dit Microsoft: « Do not change the value of this entry. Windows cannot operate with authentication packages other than MSV 1_0. If you change this value or delete the entry, no one will be able to log on to Windows »
La clé légitime doit être :
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"=msv1_0
L'infection a rajouté son fichier derrière, c'est tout.
Si tu fais un fix reg, tu supprimes ou réinitialise OK. Mais il faut s'assurer que soit recréée cette "sous clé" avec les paramètres légitimes, ou la recréer en même temps avant le reboot.
Car dans le cas où cela ne se fait pas, le User risque d'avoir de grandes difficultés à se loguer dans sa session, voir plus du tout. Même en session admin sans mot de passe, au reboot Windows va le bloquer et lui demander d'un coup un mot de passe.
Commence par ceci: ==> Si tu as le moindre doute, stoppe et demande.
(c'est simple -comme souvent avec ces PC- mais il faut déjà l'avoir fait) ==> je te fais confiance.
Première action: Vérifier si cette donnée C:\WINDOWS\System32\ddabb.dll existe encore.
Deuxième action: Si elle existe encore, il nous faut supprimer la donnée C:\WINDOWS\System32\ddabb.dll dans cette clé HKEY_LOCAL_MACHINE, en suivant ce chemin [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
À gauche dans le panneau de droite, il y a cette valeur : "Authentication Packages"
À droite de cette valeur, et sur la même ligne, il y a cette donnée : C:\WINDOWS\System32\ddabb.dll qu'il va falloir supprimer.
Mais ATTENTION; fais comme ceci :
(Si la donnée citée ci-avant n'existe plus, tu stoppes et tu me l'annonces). Merci.
Vas dans "démarrer"/"exécuter" et tape regedit puis valide avec [OK].
Dans le panneau de gauche, navigue en cochant sur le signe "+" depuis HKEY_LOCAL_MACHINE jusqu'à la sous-clé en gras "lsa", puis clique une fois sur le petit dossier jaune "lsa" pour l'ouvrir :
Dans le panneau de droite, double-clique sur "Authentication Packages" .
Dans le champ "données" (à droite sur la même ligne), tu dois avoir msv1_0 C:\WINDOWS\System32\ddabb.dll
Supprime tout ce qui est derrière (à la suite de) msv1_0
==> ATTENTION: Ne supprime surtout pas msv1_0
Donc, ne supprime que C:\WINDOWS\System32\ddabb.dll (Sélectionner/Clic-droit/Supprimer)
Valide par [OK] ou [Enter]
Vérifie dans le panneau de droite que pour la valeur "Authentication Packages" il soit toujours bien inscrit tout à droite la donnée: msv1_0 .
C'est très important, si tu as le moindre doute pour la modification de cette sous-clé, ou des questions, demande-moi.
Si c'est bon, referme l'éditeur de registre et redémarre ton PC.
(Si tu as suivi correctement ces instructions, tu ne devrais avoir aucun problème au redémarrage).
Bonne chance
Al
G!rly ==>attention
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 C:\WINDOWS\System32\ddabb.dll
ATTENTION C'est un cas spécial, il y a un détournement Vundo! ==> Voici ce que dit Microsoft: « Do not change the value of this entry. Windows cannot operate with authentication packages other than MSV 1_0. If you change this value or delete the entry, no one will be able to log on to Windows »
La clé légitime doit être :
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"=msv1_0
L'infection a rajouté son fichier derrière, c'est tout.
Si tu fais un fix reg, tu supprimes ou réinitialise OK. Mais il faut s'assurer que soit recréée cette "sous clé" avec les paramètres légitimes, ou la recréer en même temps avant le reboot.
Car dans le cas où cela ne se fait pas, le User risque d'avoir de grandes difficultés à se loguer dans sa session, voir plus du tout. Même en session admin sans mot de passe, au reboot Windows va le bloquer et lui demander d'un coup un mot de passe.
Commence par ceci: ==> Si tu as le moindre doute, stoppe et demande.
(c'est simple -comme souvent avec ces PC- mais il faut déjà l'avoir fait) ==> je te fais confiance.
Première action: Vérifier si cette donnée C:\WINDOWS\System32\ddabb.dll existe encore.
Deuxième action: Si elle existe encore, il nous faut supprimer la donnée C:\WINDOWS\System32\ddabb.dll dans cette clé HKEY_LOCAL_MACHINE, en suivant ce chemin [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
À gauche dans le panneau de droite, il y a cette valeur : "Authentication Packages"
À droite de cette valeur, et sur la même ligne, il y a cette donnée : C:\WINDOWS\System32\ddabb.dll qu'il va falloir supprimer.
Mais ATTENTION; fais comme ceci :
(Si la donnée citée ci-avant n'existe plus, tu stoppes et tu me l'annonces). Merci.
Vas dans "démarrer"/"exécuter" et tape regedit puis valide avec [OK].
Dans le panneau de gauche, navigue en cochant sur le signe "+" depuis HKEY_LOCAL_MACHINE jusqu'à la sous-clé en gras "lsa", puis clique une fois sur le petit dossier jaune "lsa" pour l'ouvrir :
Dans le panneau de droite, double-clique sur "Authentication Packages" .
Dans le champ "données" (à droite sur la même ligne), tu dois avoir msv1_0 C:\WINDOWS\System32\ddabb.dll
Supprime tout ce qui est derrière (à la suite de) msv1_0
==> ATTENTION: Ne supprime surtout pas msv1_0
Donc, ne supprime que C:\WINDOWS\System32\ddabb.dll (Sélectionner/Clic-droit/Supprimer)
Valide par [OK] ou [Enter]
Vérifie dans le panneau de droite que pour la valeur "Authentication Packages" il soit toujours bien inscrit tout à droite la donnée: msv1_0 .
C'est très important, si tu as le moindre doute pour la modification de cette sous-clé, ou des questions, demande-moi.
Si c'est bon, referme l'éditeur de registre et redémarre ton PC.
(Si tu as suivi correctement ces instructions, tu ne devrais avoir aucun problème au redémarrage).
Bonne chance
Al
LE FICHIER ddabb.dll DANS C:\WINDOWS\System32 EST INTROUVABLE MAIS IL EST DANS LE REPERTOIRE DE QUARANTAINE DE QOOBOX
CI JOINT SON RAPPORT.SON NOUVEAU NOM DOIT ETRE bbadd.ini.vir
[code]
2007-05-22 19:05 1174356 --a------ C:\Qoobox\Quarantine\C\Documents and Settings\tele\Application Data\Install.dat.vir
2007-11-12 14:51 65592 --a------ C:\Qoobox\Quarantine\C\Documents and Settings\jerome\ResErrors.log.vir
2007-11-14 09:13 1258 --a------ C:\Qoobox\Quarantine\C\Documents and Settings\jerome\Bureau\Live Safety Center.lnk.vir
2007-11-14 09:13 1258 --a------ C:\Qoobox\Quarantine\C\Documents and Settings\jerome\Bureau\Online Security Guide.lnk.vir
2007-11-14 09:13 1258 --a------ C:\Qoobox\Quarantine\C\Documents and Settings\jerome\Favoris\Online Security Guide.lnk.vir
2007-11-14 16:36 148489 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\sysdl132.exe.vir
2007-11-14 16:46 317536 --a------ C:\Qoobox\Quarantine\C\Documents and Settings\jerome.DOMAPACA\LOCALS~1\Temp\gebcd.dll.vir
2007-11-19 08:02 1278 --a------ C:\Qoobox\Quarantine\C\Documents and Settings\jerome.DOMAPACA\Favoris\Online Security Guide.lnk.vir
2007-11-19 09:48 116 --a------ C:\Qoobox\Quarantine\C\Documents and Settings\jerome.DOMAPACA\Application Data\SpamBlocker\SAFE.vir
2007-11-19 15:19 1016 --a------ C:\Qoobox\Quarantine\Registry_backups\LEGACY_IPRIP.reg.dat
2007-11-19 15:19 352 --a------ C:\Qoobox\Quarantine\Registry_backups\services_nm.reg.dat
2007-11-19 15:19 3738 --a------ C:\Qoobox\Quarantine\Registry_backups\services_Iprip.reg.dat
2007-11-19 16:39 329824 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\ddabb.dll.vir
2007-11-19 16:40 317 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\bbadd.ini2.vir
2007-11-19 16:40 6465 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\bbadd.ini.vir
Structure du dossier
Le num‚ro de s‚rie du volume est 71F1E346 7CB5:6681
C:\QOOBOX\QUARANTINE
+---C
| +---Documents and Settings
| | +---jerome
| | | | ResErrors.log.vir
| | | |
| | | +---Bureau
| | | | Live Safety Center.lnk.vir
| | | | Online Security Guide.lnk.vir
| | | |
| | | \---Favoris
| | | Online Security Guide.lnk.vir
| | |
| | +---jerome.DOMAPACA
| | | +---Application Data
| | | | \---SpamBlocker
| | | | SAFE.vir
| | | |
| | | +---Favoris
| | | | Online Security Guide.lnk.vir
| | | |
| | | \---LOCALS~1
| | | \---Temp
| | | gebcd.dll.vir
| | |
| | \---tele
| | \---Application Data
| | Install.dat.vir
| |
| \---WINDOWS
| \---system32
| bbadd.ini.vir
| bbadd.ini2.vir
| ddabb.dll.vir
| sysdl132.exe.vir
|
\---Registry_backups
LEGACY_IPRIP.reg.dat
services_Iprip.reg.dat
services_nm.reg.dat
[/code]
CI JOINT SON RAPPORT.SON NOUVEAU NOM DOIT ETRE bbadd.ini.vir
[code]
2007-05-22 19:05 1174356 --a------ C:\Qoobox\Quarantine\C\Documents and Settings\tele\Application Data\Install.dat.vir
2007-11-12 14:51 65592 --a------ C:\Qoobox\Quarantine\C\Documents and Settings\jerome\ResErrors.log.vir
2007-11-14 09:13 1258 --a------ C:\Qoobox\Quarantine\C\Documents and Settings\jerome\Bureau\Live Safety Center.lnk.vir
2007-11-14 09:13 1258 --a------ C:\Qoobox\Quarantine\C\Documents and Settings\jerome\Bureau\Online Security Guide.lnk.vir
2007-11-14 09:13 1258 --a------ C:\Qoobox\Quarantine\C\Documents and Settings\jerome\Favoris\Online Security Guide.lnk.vir
2007-11-14 16:36 148489 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\sysdl132.exe.vir
2007-11-14 16:46 317536 --a------ C:\Qoobox\Quarantine\C\Documents and Settings\jerome.DOMAPACA\LOCALS~1\Temp\gebcd.dll.vir
2007-11-19 08:02 1278 --a------ C:\Qoobox\Quarantine\C\Documents and Settings\jerome.DOMAPACA\Favoris\Online Security Guide.lnk.vir
2007-11-19 09:48 116 --a------ C:\Qoobox\Quarantine\C\Documents and Settings\jerome.DOMAPACA\Application Data\SpamBlocker\SAFE.vir
2007-11-19 15:19 1016 --a------ C:\Qoobox\Quarantine\Registry_backups\LEGACY_IPRIP.reg.dat
2007-11-19 15:19 352 --a------ C:\Qoobox\Quarantine\Registry_backups\services_nm.reg.dat
2007-11-19 15:19 3738 --a------ C:\Qoobox\Quarantine\Registry_backups\services_Iprip.reg.dat
2007-11-19 16:39 329824 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\ddabb.dll.vir
2007-11-19 16:40 317 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\bbadd.ini2.vir
2007-11-19 16:40 6465 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\bbadd.ini.vir
Structure du dossier
Le num‚ro de s‚rie du volume est 71F1E346 7CB5:6681
C:\QOOBOX\QUARANTINE
+---C
| +---Documents and Settings
| | +---jerome
| | | | ResErrors.log.vir
| | | |
| | | +---Bureau
| | | | Live Safety Center.lnk.vir
| | | | Online Security Guide.lnk.vir
| | | |
| | | \---Favoris
| | | Online Security Guide.lnk.vir
| | |
| | +---jerome.DOMAPACA
| | | +---Application Data
| | | | \---SpamBlocker
| | | | SAFE.vir
| | | |
| | | +---Favoris
| | | | Online Security Guide.lnk.vir
| | | |
| | | \---LOCALS~1
| | | \---Temp
| | | gebcd.dll.vir
| | |
| | \---tele
| | \---Application Data
| | Install.dat.vir
| |
| \---WINDOWS
| \---system32
| bbadd.ini.vir
| bbadd.ini2.vir
| ddabb.dll.vir
| sysdl132.exe.vir
|
\---Registry_backups
LEGACY_IPRIP.reg.dat
services_Iprip.reg.dat
services_nm.reg.dat
[/code]
OK
Il reste alors à faire ceci:
Supprimer les outils utilisés devenus inutiles, ainsi que les quarantaines éventuelles; comme ceci:
•- Clique sur "Démarrer" - Clic droit sur le "Poste de Travail" > dans "Propriétés" > onglet "Restauration du système" - Cocher la case "Désactiver la restauration du système" et cliquer sur "Appliquer".
•- Télécharger _OTMoveIt sur ton bureau > < http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe >
•- Lance OTMoveIt.exe par double-clic
[*]Clique sur CleanUp! (le programme va télécharger un fichier texte qui servira à nettoyer les programmes que l'on a téléchargés).
NOTE : Normalement, ton Firewall (parefeu) devrait te demander si _OTMoveIt peut accéder à Internet. Autorise-le.
[*]Une liste apparaît dans la partie gauche d' _OTMoveIt.
[*]Un message apparaît pour confirmer le nettoyage. Confirme
Ce programme supprime les outils utilisés ainsi que les quarantaines éventuelles.
•- Clique sur "Démarrer" - Clic droit sur le "Poste de Travail" > dans "Propriétés" > onglet "Restauration du système" - Décocher la case "Désactiver la restauration du système" et cliquer sur "Appliquer".
La manoeuvre nécessitera un reboot (=redémarrage) initié par le programme.
Termine en supprimant le contenu de la poubelle RECYCLER de Windows qui est située en C:\ (fichier caché du système)
Si tu dois afficher ces fichiers et dossiers cachés , voici comment faire:
Soit en faisant « Démarrer »/ »PanneauConfiguration/OptionsDossiers /onglet « Affichage »
et là :
cocher la case devant les lignes:
- afficher les fichiers et dossier cachés
- afficher contenu dossier système
décocher la case devant les lignes:
- masquer les extensions des fichiers dont le type est connu
- masquer les fichiers protégés du système d'exploitation
Tu vas recevoir un message qui te dit que cela peut endommager le système, n'en tiens pas compte.
Puis cliquer APPLIQUER à TOUS les Dossiers > [OK]
Si tu n'es pas à l'aise dans la navigation des dossiers, je t'invite à suivre ce tutorial : < http://www.malekal.com/rechercher_fichiers.php >
Bonne chance
Al.
Il reste alors à faire ceci:
Supprimer les outils utilisés devenus inutiles, ainsi que les quarantaines éventuelles; comme ceci:
•- Clique sur "Démarrer" - Clic droit sur le "Poste de Travail" > dans "Propriétés" > onglet "Restauration du système" - Cocher la case "Désactiver la restauration du système" et cliquer sur "Appliquer".
•- Télécharger _OTMoveIt sur ton bureau > < http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe >
•- Lance OTMoveIt.exe par double-clic
[*]Clique sur CleanUp! (le programme va télécharger un fichier texte qui servira à nettoyer les programmes que l'on a téléchargés).
NOTE : Normalement, ton Firewall (parefeu) devrait te demander si _OTMoveIt peut accéder à Internet. Autorise-le.
[*]Une liste apparaît dans la partie gauche d' _OTMoveIt.
[*]Un message apparaît pour confirmer le nettoyage. Confirme
Ce programme supprime les outils utilisés ainsi que les quarantaines éventuelles.
•- Clique sur "Démarrer" - Clic droit sur le "Poste de Travail" > dans "Propriétés" > onglet "Restauration du système" - Décocher la case "Désactiver la restauration du système" et cliquer sur "Appliquer".
La manoeuvre nécessitera un reboot (=redémarrage) initié par le programme.
Termine en supprimant le contenu de la poubelle RECYCLER de Windows qui est située en C:\ (fichier caché du système)
Si tu dois afficher ces fichiers et dossiers cachés , voici comment faire:
Soit en faisant « Démarrer »/ »PanneauConfiguration/OptionsDossiers /onglet « Affichage »
et là :
cocher la case devant les lignes:
- afficher les fichiers et dossier cachés
- afficher contenu dossier système
décocher la case devant les lignes:
- masquer les extensions des fichiers dont le type est connu
- masquer les fichiers protégés du système d'exploitation
Tu vas recevoir un message qui te dit que cela peut endommager le système, n'en tiens pas compte.
Puis cliquer APPLIQUER à TOUS les Dossiers > [OK]
Si tu n'es pas à l'aise dans la navigation des dossiers, je t'invite à suivre ce tutorial : < http://www.malekal.com/rechercher_fichiers.php >
Bonne chance
Al.
De rien g!rly
Pour cette clé [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
• , il n'y a plus qu'à vérifier dans la valeur "Authentication Packages" elle-même
• si la donnée msv1_0
• est débarrassée de l'infection C:\WINDOWS\System32\ddabb.dll
En final, il doit rester la clé légitime, qui doit être :
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"=msv1_0
Est-ce clair ainsi ?
Pour cette clé [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
• , il n'y a plus qu'à vérifier dans la valeur "Authentication Packages" elle-même
• si la donnée msv1_0
• est débarrassée de l'infection C:\WINDOWS\System32\ddabb.dll
En final, il doit rester la clé légitime, qui doit être :
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"=msv1_0
Est-ce clair ainsi ?
