Trojan.virtumonde
Fermé
emiliano
-
4 déc. 2007 à 21:07
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 - 19 déc. 2007 à 18:29
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 - 19 déc. 2007 à 18:29
56 réponses
g!rly
Messages postés
18209
Date d'inscription
vendredi 17 août 2007
Statut
Contributeur
Dernière intervention
30 novembre 2014
406
5 déc. 2007 à 17:06
5 déc. 2007 à 17:06
oui
emiliendiego
Messages postés
45
Date d'inscription
mardi 4 décembre 2007
Statut
Membre
Dernière intervention
19 janvier 2008
4
5 déc. 2007 à 17:08
5 déc. 2007 à 17:08
voila je le fais je devrais vous donner un rapport?
g!rly
Messages postés
18209
Date d'inscription
vendredi 17 août 2007
Statut
Contributeur
Dernière intervention
30 novembre 2014
406
5 déc. 2007 à 17:11
5 déc. 2007 à 17:11
si possible oui
emiliendiego
Messages postés
45
Date d'inscription
mardi 4 décembre 2007
Statut
Membre
Dernière intervention
19 janvier 2008
4
5 déc. 2007 à 17:14
5 déc. 2007 à 17:14
ok pas de probleme mais je pense que ça va prendre du temps et je dois partir donc je vous l'enverrer plus tard
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
g!rly
Messages postés
18209
Date d'inscription
vendredi 17 août 2007
Statut
Contributeur
Dernière intervention
30 novembre 2014
406
5 déc. 2007 à 17:15
5 déc. 2007 à 17:15
ok pas de probleme'
@+
@+
david1970
Messages postés
55
Date d'inscription
dimanche 2 décembre 2007
Statut
Membre
Dernière intervention
5 janvier 2008
5 déc. 2007 à 18:38
5 déc. 2007 à 18:38
bonjour girly dis moi comment on peux suppremer tous les fichiers cacher et les cles et sous cles de norton antivirus merci
g!rly
Messages postés
18209
Date d'inscription
vendredi 17 août 2007
Statut
Contributeur
Dernière intervention
30 novembre 2014
406
5 déc. 2007 à 18:58
5 déc. 2007 à 18:58
salut david,
Desinstalleur Norton:
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20050414110429924
@+
Desinstalleur Norton:
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20050414110429924
@+
david1970
Messages postés
55
Date d'inscription
dimanche 2 décembre 2007
Statut
Membre
Dernière intervention
5 janvier 2008
5 déc. 2007 à 19:31
5 déc. 2007 à 19:31
merci pour le lien mais ils reste toujours des ficher et les cles dans la base de registre
g!rly
Messages postés
18209
Date d'inscription
vendredi 17 août 2007
Statut
Contributeur
Dernière intervention
30 novembre 2014
406
5 déc. 2007 à 19:32
5 déc. 2007 à 19:32
meme en passant l´outil ?
sinon supprime les manuellement
oublie pas les services...
sinon supprime les manuellement
oublie pas les services...
david1970
Messages postés
55
Date d'inscription
dimanche 2 décembre 2007
Statut
Membre
Dernière intervention
5 janvier 2008
5 déc. 2007 à 19:35
5 déc. 2007 à 19:35
comment supptimer
g!rly
Messages postés
18209
Date d'inscription
vendredi 17 août 2007
Statut
Contributeur
Dernière intervention
30 novembre 2014
406
5 déc. 2007 à 19:38
5 déc. 2007 à 19:38
peux tu creer un nouveau topik sur le forum stp, car j´en ai pas fini avec emiliano, ca va etre le bordel sinon...
merci
http://pageperso.aol.fr/balltrap34/demofairesontmessage.htm
@+
merci
http://pageperso.aol.fr/balltrap34/demofairesontmessage.htm
@+
david1970
Messages postés
55
Date d'inscription
dimanche 2 décembre 2007
Statut
Membre
Dernière intervention
5 janvier 2008
5 déc. 2007 à 21:09
5 déc. 2007 à 21:09
ok
emiliendiego
Messages postés
45
Date d'inscription
mardi 4 décembre 2007
Statut
Membre
Dernière intervention
19 janvier 2008
4
5 déc. 2007 à 22:05
5 déc. 2007 à 22:05
rapport de Mcafee virus scan
votre ordinateur contient plusieurs fichiers infectés.
nombre de fichiers analyser: 96492
nombre de fichiers infectés: 6
nombre de programmes potentiellement indésirable: 0
nombre de fichiers détectés nettoyés automatiquement: 5
Certains fichiers n'ont pas été nettoyés. Supprimez-les ou mettez-les en quarantaine.
votre ordinateur contient plusieurs fichiers infectés.
nombre de fichiers analyser: 96492
nombre de fichiers infectés: 6
nombre de programmes potentiellement indésirable: 0
nombre de fichiers détectés nettoyés automatiquement: 5
Certains fichiers n'ont pas été nettoyés. Supprimez-les ou mettez-les en quarantaine.
emiliendiego
Messages postés
45
Date d'inscription
mardi 4 décembre 2007
Statut
Membre
Dernière intervention
19 janvier 2008
4
5 déc. 2007 à 22:13
5 déc. 2007 à 22:13
C:/Program Files/Adverts/uninst.exe supprimer
C:/qoobox/Quarantine/C/d.exe.vir supprimer
C:/qoobox/Quarantine/C/WINDOWS/system32/_c00F4678.dat.vir supprimer
C:/qoobox/Quarantine/C/WINDOWS/system32/hgagupat.exe.vir supprimer
C:/qoobox/Quarantine/C/WINDOWS/system32/rnrequdm.dll.vir supprimer
C:/qoobox/Quarantine/catchme2007-12-05_124953.84.zip mis en quarantaine
C:/qoobox/Quarantine/C/d.exe.vir supprimer
C:/qoobox/Quarantine/C/WINDOWS/system32/_c00F4678.dat.vir supprimer
C:/qoobox/Quarantine/C/WINDOWS/system32/hgagupat.exe.vir supprimer
C:/qoobox/Quarantine/C/WINDOWS/system32/rnrequdm.dll.vir supprimer
C:/qoobox/Quarantine/catchme2007-12-05_124953.84.zip mis en quarantaine
g!rly
Messages postés
18209
Date d'inscription
vendredi 17 août 2007
Statut
Contributeur
Dernière intervention
30 novembre 2014
406
5 déc. 2007 à 22:32
5 déc. 2007 à 22:32
re,
ce sont les fichiers de la quarantaine de combofix que nous avons utiliser sauf le premier
fais ceci :
Télécharge Clean:
-> http://www.malekal.com/download/clean.zip
-> Dézippe tout le contenu dans un dossier que tu auras cré au préalable (sur ton bureau par exemple). Double clic sur clean ou clean.cmd choisie l'option 1.
Un rapport va s'ouvrir, copie et colle le contenu sur le forum.
-> pour ceux ou celles qui auraient un doute sur comment deziper un fichier :
http://www.tutopat.com/viewtopic.php?t=933&sid=34215b238376bfb22ef9e8eca9995914
@+
ce sont les fichiers de la quarantaine de combofix que nous avons utiliser sauf le premier
fais ceci :
Télécharge Clean:
-> http://www.malekal.com/download/clean.zip
-> Dézippe tout le contenu dans un dossier que tu auras cré au préalable (sur ton bureau par exemple). Double clic sur clean ou clean.cmd choisie l'option 1.
Un rapport va s'ouvrir, copie et colle le contenu sur le forum.
-> pour ceux ou celles qui auraient un doute sur comment deziper un fichier :
http://www.tutopat.com/viewtopic.php?t=933&sid=34215b238376bfb22ef9e8eca9995914
@+
j'ai toujours le meme soucis d'internet explorer le rapport ne se met pas sur mozilla mais sur internet explorer et vu que je n'ai pas de connexion je ne reçoit pas le rapport
C:\WINDOWS\System32\vsconfig.xml -->7/12/2007 17:35:51
C:\WINDOWS\System32\PerfStringBackup.INI -->4/12/2007 17:06:37
C:\WINDOWS\System32\perfh00C.dat -->4/12/2007 17:06:37
C:\WINDOWS\System32\perfh009.dat -->4/12/2007 17:06:37
C:\WINDOWS\System32\perfc00C.dat -->4/12/2007 17:06:37
C:\WINDOWS\System32\perfc009.dat -->4/12/2007 17:06:37
C:\WINDOWS\System32\wpa.dbl -->1/12/2007 17:22:31
C:\WINDOWS\System32\CmdLineExt.dll -->28/11/2007 13:46:20
C:\WINDOWS\System32\FNTCACHE.DAT -->11/11/2007 11:39:51
C:\WINDOWS\System32\nscompat.tlb -->2/11/2007 11:59:45
C:\WINDOWS\System32\amcompat.tlb -->2/11/2007 11:59:45
C:\WINDOWS\System32\MRT.exe -->2/11/2007 8:12:57
C:\WINDOWS\System32\xpsp3res.dll -->29/10/2007 16:07:16
C:\WINDOWS\System32\shell32.dll -->25/10/2007 17:43:25
C:\WINDOWS\System32\sirenacm.dll -->18/10/2007 11:31:46
C:\WINDOWS\System32\TZLog.log -->12/09/2007 14:43:42
C:\WINDOWS\System32\shlwapi.dll -->22/08/2007 14:13:08
C:\WINDOWS\System32\shdocvw.dll -->22/08/2007 14:13:08
C:\WINDOWS\System32\danim.dll -->22/08/2007 14:13:05
C:\WINDOWS\System32\cdfview.dll -->22/08/2007 14:13:05
C:\WINDOWS\System32\browseui.dll -->22/08/2007 14:13:05
C:\WINDOWS\System32\inetcomm.dll -->21/08/2007 7:17:23
C:\WINDOWS\System32\mshtml.dll -->20/08/2007 15:29:32
C:\WINDOWS\System32\wininet.dll -->20/08/2007 10:59:31
C:\WINDOWS\System32\webcheck.dll -->20/08/2007 10:59:31
C:\WINDOWS\QTFont.qfn -->7/12/2007 17:39:52
C:\WINDOWS\WindowsUpdate.log -->7/12/2007 17:38:21
C:\WINDOWS\0.log -->7/12/2007 17:35:12
C:\WINDOWS\bootstat.dat -->7/12/2007 17:33:46
C:\WINDOWS\SchedLgU.Txt -->7/12/2007 17:32:39
C:\WINDOWS\setupapi.log -->7/12/2007 17:31:33
C:\WINDOWS\tsoc.log -->5/12/2007 16:47:38
C:\WINDOWS\tabletoc.log -->5/12/2007 16:47:38
C:\WINDOWS\ocmsn.log -->5/12/2007 16:47:38
C:\WINDOWS\ntdtcsetup.log -->5/12/2007 16:47:38
C:\WINDOWS\KB938127-IE7.log -->5/12/2007 16:47:38
C:\WINDOWS\imsins.log -->5/12/2007 16:47:38
C:\WINDOWS\iis6.log -->5/12/2007 16:47:38
C:\WINDOWS\comsetup.log -->5/12/2007 16:47:38
C:\WINDOWS\ocgen.log -->5/12/2007 16:47:37
C:\WINDOWS\System32\PerfStringBackup.INI -->4/12/2007 17:06:37
C:\WINDOWS\System32\perfh00C.dat -->4/12/2007 17:06:37
C:\WINDOWS\System32\perfh009.dat -->4/12/2007 17:06:37
C:\WINDOWS\System32\perfc00C.dat -->4/12/2007 17:06:37
C:\WINDOWS\System32\perfc009.dat -->4/12/2007 17:06:37
C:\WINDOWS\System32\wpa.dbl -->1/12/2007 17:22:31
C:\WINDOWS\System32\CmdLineExt.dll -->28/11/2007 13:46:20
C:\WINDOWS\System32\FNTCACHE.DAT -->11/11/2007 11:39:51
C:\WINDOWS\System32\nscompat.tlb -->2/11/2007 11:59:45
C:\WINDOWS\System32\amcompat.tlb -->2/11/2007 11:59:45
C:\WINDOWS\System32\MRT.exe -->2/11/2007 8:12:57
C:\WINDOWS\System32\xpsp3res.dll -->29/10/2007 16:07:16
C:\WINDOWS\System32\shell32.dll -->25/10/2007 17:43:25
C:\WINDOWS\System32\sirenacm.dll -->18/10/2007 11:31:46
C:\WINDOWS\System32\TZLog.log -->12/09/2007 14:43:42
C:\WINDOWS\System32\shlwapi.dll -->22/08/2007 14:13:08
C:\WINDOWS\System32\shdocvw.dll -->22/08/2007 14:13:08
C:\WINDOWS\System32\danim.dll -->22/08/2007 14:13:05
C:\WINDOWS\System32\cdfview.dll -->22/08/2007 14:13:05
C:\WINDOWS\System32\browseui.dll -->22/08/2007 14:13:05
C:\WINDOWS\System32\inetcomm.dll -->21/08/2007 7:17:23
C:\WINDOWS\System32\mshtml.dll -->20/08/2007 15:29:32
C:\WINDOWS\System32\wininet.dll -->20/08/2007 10:59:31
C:\WINDOWS\System32\webcheck.dll -->20/08/2007 10:59:31
C:\WINDOWS\QTFont.qfn -->7/12/2007 17:39:52
C:\WINDOWS\WindowsUpdate.log -->7/12/2007 17:38:21
C:\WINDOWS\0.log -->7/12/2007 17:35:12
C:\WINDOWS\bootstat.dat -->7/12/2007 17:33:46
C:\WINDOWS\SchedLgU.Txt -->7/12/2007 17:32:39
C:\WINDOWS\setupapi.log -->7/12/2007 17:31:33
C:\WINDOWS\tsoc.log -->5/12/2007 16:47:38
C:\WINDOWS\tabletoc.log -->5/12/2007 16:47:38
C:\WINDOWS\ocmsn.log -->5/12/2007 16:47:38
C:\WINDOWS\ntdtcsetup.log -->5/12/2007 16:47:38
C:\WINDOWS\KB938127-IE7.log -->5/12/2007 16:47:38
C:\WINDOWS\imsins.log -->5/12/2007 16:47:38
C:\WINDOWS\iis6.log -->5/12/2007 16:47:38
C:\WINDOWS\comsetup.log -->5/12/2007 16:47:38
C:\WINDOWS\ocgen.log -->5/12/2007 16:47:37
g!rly
Messages postés
18209
Date d'inscription
vendredi 17 août 2007
Statut
Contributeur
Dernière intervention
30 novembre 2014
406
7 déc. 2007 à 18:31
7 déc. 2007 à 18:31
salut emiliano
fais ceci :
Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum
@+
fais ceci :
Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum
@+
emiliendiego
Messages postés
45
Date d'inscription
mardi 4 décembre 2007
Statut
Membre
Dernière intervention
19 janvier 2008
4
7 déc. 2007 à 22:52
7 déc. 2007 à 22:52
SDFix: Version 1.117
Run by Emilien on ven. 07/12/2007 at 22:25
Microsoft Windows XP [version 5.1.2600]
Running From: C:\DOCUME~1\Emilien\Bureau\SDFix
Safe Mode:
Checking Services:
Restoring Windows Registry Values
Restoring Windows Default Hosts File
Rebooting...
Normal Mode:
Checking Files:
Trojan Files Found:
C:\Documents and Settings\Emilien\Favoris\Online Security Guide.lnk - Deleted
C:\Documents and Settings\Emilien\new.txt - Deleted
Removing Temp Files...
ADS Check:
C:\WINDOWS
No streams found.
C:\WINDOWS\system32
No streams found.
C:\WINDOWS\system32\svchost.exe
No streams found.
C:\WINDOWS\system32\ntoskrnl.exe
No streams found.
Final Check:
catchme 0.3.1262.1 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-07 22:41:05
Windows 5.1.2600 Service Pack 2 NTFS
detected NTDLL code modification:
ZwClose
scanning hidden processes ...
scanning hidden services & system hive ...
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:e1,16,65,b7,89,4a,06,f8,21,e4,f5,64,9e,46,70,d2,1f,c2,53,ab,e3,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,27,dd,09,a2,3c,f3,63,ee,3b,24,68,3d,79,dc,22,d7,39,..
"khjeh"=hex:20,00,84,c6,8d,e8,7b,b6,02,42,28,e1,96,19,c2,d2,5c,a5,89,39,80,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:ef,54,63,d8,95,66,77,22,f0,66,59,b2,46,d2,66,2a,d0,03,39,e2,d8,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:e1,16,65,b7,89,4a,06,f8,21,e4,f5,64,9e,46,70,d2,1f,c2,53,ab,e3,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,27,dd,09,a2,3c,f3,63,ee,3b,24,68,3d,79,dc,22,d7,39,..
"khjeh"=hex:20,00,84,c6,8d,e8,7b,b6,02,42,28,e1,96,19,c2,d2,5c,a5,89,39,80,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:ef,54,63,d8,95,66,77,22,f0,66,59,b2,46,d2,66,2a,d0,03,39,e2,d8,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:e1,16,65,b7,89,4a,06,f8,21,e4,f5,64,9e,46,70,d2,1f,c2,53,ab,e3,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,27,dd,09,a2,3c,f3,63,ee,3b,24,68,3d,79,dc,22,d7,39,..
"khjeh"=hex:20,00,84,c6,8d,e8,7b,b6,02,42,28,e1,96,19,c2,d2,5c,a5,89,39,80,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:ef,54,63,d8,95,66,77,22,f0,66,59,b2,46,d2,66,2a,d0,03,39,e2,d8,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:e1,16,65,b7,89,4a,06,f8,21,e4,f5,64,9e,46,70,d2,1f,c2,53,ab,e3,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,27,dd,09,a2,3c,f3,63,ee,3b,24,68,3d,79,dc,22,d7,39,..
"khjeh"=hex:20,00,84,c6,8d,e8,7b,b6,02,42,28,e1,96,19,c2,d2,5c,a5,89,39,80,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:ef,54,63,d8,95,66,77,22,f0,66,59,b2,46,d2,66,2a,d0,03,39,e2,d8,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:e1,16,65,b7,89,4a,06,f8,21,e4,f5,64,9e,46,70,d2,1f,c2,53,ab,e3,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,27,dd,09,a2,3c,f3,63,ee,3b,24,68,3d,79,dc,22,d7,39,..
"khjeh"=hex:20,00,84,c6,8d,e8,7b,b6,02,42,28,e1,96,19,c2,d2,5c,a5,89,39,80,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:ef,54,63,d8,95,66,77,22,f0,66,59,b2,46,d2,66,2a,d0,03,39,e2,d8,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\ESENT]
"EventMessageFile"=str(2):"c:\windows\system32\ESENT.dll"
"CategoryMessageFile"=str(2):"c:\windows\system32\ESENT.dll"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:74,b7,9e,4a,c3,b3,ae,cb,b2,2c,39,ca,44,90,41,5e,5d,44,a2,c4,92,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,27,dd,09,a2,3c,f3,63,ee,3b,24,68,3d,79,dc,22,d7,39,..
"khjeh"=hex:09,66,77,61,b2,b4,34,fb,43,61,f3,b8,82,7b,12,51,c6,a1,1a,1a,f6,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:c0,c3,e4,34,11,47,7c,69,46,6d,c4,67,f3,9e,6b,02,62,c8,01,81,10,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:00,64,00,03,94,95,8e,d7,8e,aa,d6,b1,cd,4b,c9,6c,cb,db,84,eb,1c,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet007\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:74,b7,9e,4a,c3,b3,ae,cb,b2,2c,39,ca,44,90,41,5e,5d,44,a2,c4,92,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet007\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,27,dd,09,a2,3c,f3,63,ee,3b,24,68,3d,79,dc,22,d7,39,..
"khjeh"=hex:09,66,77,61,b2,b4,34,fb,43,61,f3,b8,82,7b,12,51,c6,a1,1a,1a,f6,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet007\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:c0,c3,e4,34,11,47,7c,69,46,6d,c4,67,f3,9e,6b,02,62,c8,01,81,10,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet007\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:00,64,00,03,94,95,8e,d7,8e,aa,d6,b1,cd,4b,c9,6c,cb,db,84,eb,1c,..
scanning hidden registry entries ...
scanning hidden files ...
C:\Documents and Settings\Emilien\Local Settings\Application Data\Microsoft\Messenger\bullrot111@hotmail.com\SharingMetadata\didil333@hotmail.com\DFSR\Staging\CS{3CA97CFB-72D5-4569-73C4-D43CC8A8CBBC}\01\15-{3CA97CFB-72D5-4569-73C4-D43CC8A8CBBC}-v1-{41DF30AC-7CAA-44F7-867F-27E2327EB055}-v15-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS 8 bytes hidden from API
C:\Documents and Settings\Emilien\Local Settings\Application Data\Microsoft\Messenger\bullrot111@hotmail.com\SharingMetadata\jeanrobertbrogniet@hotmail.com\DFSR\Staging\CS{0BA9F22A-74CA-14AB-8226-CBEEF9DEF4C2}\01\10-{0BA9F22A-74CA-14AB-8226-CBEEF9DEF4C2}-v1-{41DF30AC-7CAA-44F7-867F-27E2327EB055}-v10-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS 8 bytes hidden from API
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 2
Remaining Services:
------------------
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Firefly Studios\\CivCity Rome\\CivCity Rome.exe"="C:\\Program Files\\Firefly Studios\\CivCity Rome\\CivCity Rome.exe:*:Enabled:CivCity Rome"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
Remaining Files:
---------------
File Backups: - C:\DOCUME~1\Emilien\Bureau\SDFix\backups\backups.zip
Files with Hidden Attributes:
Thu 21 Dec 2006 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Thu 3 May 2007 45,056 ...H. --- "C:\Documents and Settings\myriam\Mes documents\~WRL0003.tmp"
Sat 30 Jun 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Sun 30 Sep 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv02.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\388e66e644283db0233c4a98f2fd08a0\BIT146.tmp"
Thu 20 Sep 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\778fd2fc3fe6b905e366b5ddbba384c8\BIT3.tmp"
Wed 28 Nov 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\895429730abf1e933cbabe1c3fad3173\BIT3.tmp"
Finished!
Run by Emilien on ven. 07/12/2007 at 22:25
Microsoft Windows XP [version 5.1.2600]
Running From: C:\DOCUME~1\Emilien\Bureau\SDFix
Safe Mode:
Checking Services:
Restoring Windows Registry Values
Restoring Windows Default Hosts File
Rebooting...
Normal Mode:
Checking Files:
Trojan Files Found:
C:\Documents and Settings\Emilien\Favoris\Online Security Guide.lnk - Deleted
C:\Documents and Settings\Emilien\new.txt - Deleted
Removing Temp Files...
ADS Check:
C:\WINDOWS
No streams found.
C:\WINDOWS\system32
No streams found.
C:\WINDOWS\system32\svchost.exe
No streams found.
C:\WINDOWS\system32\ntoskrnl.exe
No streams found.
Final Check:
catchme 0.3.1262.1 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-07 22:41:05
Windows 5.1.2600 Service Pack 2 NTFS
detected NTDLL code modification:
ZwClose
scanning hidden processes ...
scanning hidden services & system hive ...
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:e1,16,65,b7,89,4a,06,f8,21,e4,f5,64,9e,46,70,d2,1f,c2,53,ab,e3,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,27,dd,09,a2,3c,f3,63,ee,3b,24,68,3d,79,dc,22,d7,39,..
"khjeh"=hex:20,00,84,c6,8d,e8,7b,b6,02,42,28,e1,96,19,c2,d2,5c,a5,89,39,80,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:ef,54,63,d8,95,66,77,22,f0,66,59,b2,46,d2,66,2a,d0,03,39,e2,d8,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:e1,16,65,b7,89,4a,06,f8,21,e4,f5,64,9e,46,70,d2,1f,c2,53,ab,e3,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,27,dd,09,a2,3c,f3,63,ee,3b,24,68,3d,79,dc,22,d7,39,..
"khjeh"=hex:20,00,84,c6,8d,e8,7b,b6,02,42,28,e1,96,19,c2,d2,5c,a5,89,39,80,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:ef,54,63,d8,95,66,77,22,f0,66,59,b2,46,d2,66,2a,d0,03,39,e2,d8,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:e1,16,65,b7,89,4a,06,f8,21,e4,f5,64,9e,46,70,d2,1f,c2,53,ab,e3,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,27,dd,09,a2,3c,f3,63,ee,3b,24,68,3d,79,dc,22,d7,39,..
"khjeh"=hex:20,00,84,c6,8d,e8,7b,b6,02,42,28,e1,96,19,c2,d2,5c,a5,89,39,80,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:ef,54,63,d8,95,66,77,22,f0,66,59,b2,46,d2,66,2a,d0,03,39,e2,d8,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:e1,16,65,b7,89,4a,06,f8,21,e4,f5,64,9e,46,70,d2,1f,c2,53,ab,e3,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,27,dd,09,a2,3c,f3,63,ee,3b,24,68,3d,79,dc,22,d7,39,..
"khjeh"=hex:20,00,84,c6,8d,e8,7b,b6,02,42,28,e1,96,19,c2,d2,5c,a5,89,39,80,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:ef,54,63,d8,95,66,77,22,f0,66,59,b2,46,d2,66,2a,d0,03,39,e2,d8,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:e1,16,65,b7,89,4a,06,f8,21,e4,f5,64,9e,46,70,d2,1f,c2,53,ab,e3,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,27,dd,09,a2,3c,f3,63,ee,3b,24,68,3d,79,dc,22,d7,39,..
"khjeh"=hex:20,00,84,c6,8d,e8,7b,b6,02,42,28,e1,96,19,c2,d2,5c,a5,89,39,80,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:ef,54,63,d8,95,66,77,22,f0,66,59,b2,46,d2,66,2a,d0,03,39,e2,d8,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\ESENT]
"EventMessageFile"=str(2):"c:\windows\system32\ESENT.dll"
"CategoryMessageFile"=str(2):"c:\windows\system32\ESENT.dll"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:74,b7,9e,4a,c3,b3,ae,cb,b2,2c,39,ca,44,90,41,5e,5d,44,a2,c4,92,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,27,dd,09,a2,3c,f3,63,ee,3b,24,68,3d,79,dc,22,d7,39,..
"khjeh"=hex:09,66,77,61,b2,b4,34,fb,43,61,f3,b8,82,7b,12,51,c6,a1,1a,1a,f6,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:c0,c3,e4,34,11,47,7c,69,46,6d,c4,67,f3,9e,6b,02,62,c8,01,81,10,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:00,64,00,03,94,95,8e,d7,8e,aa,d6,b1,cd,4b,c9,6c,cb,db,84,eb,1c,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet007\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:74,b7,9e,4a,c3,b3,ae,cb,b2,2c,39,ca,44,90,41,5e,5d,44,a2,c4,92,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet007\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,27,dd,09,a2,3c,f3,63,ee,3b,24,68,3d,79,dc,22,d7,39,..
"khjeh"=hex:09,66,77,61,b2,b4,34,fb,43,61,f3,b8,82,7b,12,51,c6,a1,1a,1a,f6,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet007\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:c0,c3,e4,34,11,47,7c,69,46,6d,c4,67,f3,9e,6b,02,62,c8,01,81,10,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet007\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:00,64,00,03,94,95,8e,d7,8e,aa,d6,b1,cd,4b,c9,6c,cb,db,84,eb,1c,..
scanning hidden registry entries ...
scanning hidden files ...
C:\Documents and Settings\Emilien\Local Settings\Application Data\Microsoft\Messenger\bullrot111@hotmail.com\SharingMetadata\didil333@hotmail.com\DFSR\Staging\CS{3CA97CFB-72D5-4569-73C4-D43CC8A8CBBC}\01\15-{3CA97CFB-72D5-4569-73C4-D43CC8A8CBBC}-v1-{41DF30AC-7CAA-44F7-867F-27E2327EB055}-v15-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS 8 bytes hidden from API
C:\Documents and Settings\Emilien\Local Settings\Application Data\Microsoft\Messenger\bullrot111@hotmail.com\SharingMetadata\jeanrobertbrogniet@hotmail.com\DFSR\Staging\CS{0BA9F22A-74CA-14AB-8226-CBEEF9DEF4C2}\01\10-{0BA9F22A-74CA-14AB-8226-CBEEF9DEF4C2}-v1-{41DF30AC-7CAA-44F7-867F-27E2327EB055}-v10-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS 8 bytes hidden from API
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 2
Remaining Services:
------------------
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Firefly Studios\\CivCity Rome\\CivCity Rome.exe"="C:\\Program Files\\Firefly Studios\\CivCity Rome\\CivCity Rome.exe:*:Enabled:CivCity Rome"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
Remaining Files:
---------------
File Backups: - C:\DOCUME~1\Emilien\Bureau\SDFix\backups\backups.zip
Files with Hidden Attributes:
Thu 21 Dec 2006 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Thu 3 May 2007 45,056 ...H. --- "C:\Documents and Settings\myriam\Mes documents\~WRL0003.tmp"
Sat 30 Jun 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Sun 30 Sep 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv02.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\388e66e644283db0233c4a98f2fd08a0\BIT146.tmp"
Thu 20 Sep 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\778fd2fc3fe6b905e366b5ddbba384c8\BIT3.tmp"
Wed 28 Nov 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\895429730abf1e933cbabe1c3fad3173\BIT3.tmp"
Finished!
g!rly
Messages postés
18209
Date d'inscription
vendredi 17 août 2007
Statut
Contributeur
Dernière intervention
30 novembre 2014
406
7 déc. 2007 à 23:28
7 déc. 2007 à 23:28
re,
bien joué ,-)
peux tu reposter un combofix stp
@+
bien joué ,-)
peux tu reposter un combofix stp
@+