Probleme avec explorasi.exe
Edcoco
-
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité -
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité -
Bonjour,
j'vais plein de virus dans mon ordi mais après avoir tout effacé avec un scan de Nod 32 et avast le message C/WINDOWS/Syst32/explorasi.exe" fichier introuvable s'affiche. J'ai fait un scan avec Hitjackis voici le rapport:
Logfile of HijackThis v1.99.1
Scan saved at 14:11:29, on 14/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\devldr32.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\DOCUME~1\MASSAM~2.FOU\LOCALS~1\Temp\Répertoire temporaire 1 pour hijackthis_199.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*https://fr.search.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\eksplorasi.exe"
F2 - REG:system.ini: UserInit=userinit.exe explorer.exe
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Bron-Spizaetus] "C:\WINDOWS\ShellNew\bronstab.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [Tok-Cirrhatus] "C:\Documents and Settings\Massamba Badiane.FOUG-7E3E54FBC2\Local Settings\Application Data\smss.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.mail.live.com/mail/w1/resources/MSNPUpld.cab
O16 - DPF: {E7DBFB6C-113A-47CF-B278-F5C6AF4DE1BD} - http://download.abacast.com/download/files/abasetup162.cab
O16 - DPF: {E8EDB60C-951E-4130-93DC-FAF1AD25F8E7} - https://www.fling.com/tour-web/zradarquizbgthumb2b/?prg=1&id=flyingcroc&tour=zradarquizbgthumb2b&ot=best&utm_source=flyingcroc&utm_medium=_nocmp&utm_content=_noadid&utm_campaign=zradarquizbgthumb2b
O17 - HKLM\System\CCS\Services\Tcpip\..\{E1CCA3E7-2E80-41A2-8DDC-044E07EA2DD8}: NameServer = 213.154.64.13,213.154.95.126
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: OneCare AntiSpyware and AntiVirus (OneCareMP) - Unknown owner - C:\Program Files\Microsoft Windows OneCare Live\Antivirus\MsMpEng.exe (file missing)
Pouvez vous m'aider s'il vous plait?
j'vais plein de virus dans mon ordi mais après avoir tout effacé avec un scan de Nod 32 et avast le message C/WINDOWS/Syst32/explorasi.exe" fichier introuvable s'affiche. J'ai fait un scan avec Hitjackis voici le rapport:
Logfile of HijackThis v1.99.1
Scan saved at 14:11:29, on 14/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\devldr32.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\DOCUME~1\MASSAM~2.FOU\LOCALS~1\Temp\Répertoire temporaire 1 pour hijackthis_199.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*https://fr.search.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\eksplorasi.exe"
F2 - REG:system.ini: UserInit=userinit.exe explorer.exe
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Bron-Spizaetus] "C:\WINDOWS\ShellNew\bronstab.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [Tok-Cirrhatus] "C:\Documents and Settings\Massamba Badiane.FOUG-7E3E54FBC2\Local Settings\Application Data\smss.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.mail.live.com/mail/w1/resources/MSNPUpld.cab
O16 - DPF: {E7DBFB6C-113A-47CF-B278-F5C6AF4DE1BD} - http://download.abacast.com/download/files/abasetup162.cab
O16 - DPF: {E8EDB60C-951E-4130-93DC-FAF1AD25F8E7} - https://www.fling.com/tour-web/zradarquizbgthumb2b/?prg=1&id=flyingcroc&tour=zradarquizbgthumb2b&ot=best&utm_source=flyingcroc&utm_medium=_nocmp&utm_content=_noadid&utm_campaign=zradarquizbgthumb2b
O17 - HKLM\System\CCS\Services\Tcpip\..\{E1CCA3E7-2E80-41A2-8DDC-044E07EA2DD8}: NameServer = 213.154.64.13,213.154.95.126
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: OneCare AntiSpyware and AntiVirus (OneCareMP) - Unknown owner - C:\Program Files\Microsoft Windows OneCare Live\Antivirus\MsMpEng.exe (file missing)
Pouvez vous m'aider s'il vous plait?
28 réponses
Bonjour,
tu as choppé une vraie saleté.
Je ne garantis pas le résultat.
sauvegarde tes documents persos non infectés.
Télécharge l'outil de sUBs (merci mOe) sur ton bureau.
Le lien de téléchargement :
http://download.bleepingcomputer.com/sUBs/CleanX-II.exe
Déconnecte tes accès internet. Coupe tous les accès physiques (déébranchement du modem, ...).
ferme toutes les applications.
Désactive puis réactive ta restauration système.
Double-clique sur CleanX-II.exe pour démarrer la réparation.
Clique OK lorsque tu reçois un message d'avertissement.
A la fin du scan (qui peut prendre plusieurs minutes, patiente le temps qu'il finisse), il va produire un rapport.Si ce rapport montre qu'il reste encore des fichiers infectés (en fin de rapport après "POST RUN ANALYSIS"), relance l'outil une nouvelle fois.
Ouvre C:\REPORT.TXT et copie le dans ta réponse. S'il reste encore ds fichiers infectés, inutile de relancer encore l'outil. Il faut examiner le rapport.
remets aussi un rapport Hijackthis.
tu as choppé une vraie saleté.
Je ne garantis pas le résultat.
sauvegarde tes documents persos non infectés.
Télécharge l'outil de sUBs (merci mOe) sur ton bureau.
Le lien de téléchargement :
http://download.bleepingcomputer.com/sUBs/CleanX-II.exe
Déconnecte tes accès internet. Coupe tous les accès physiques (déébranchement du modem, ...).
ferme toutes les applications.
Désactive puis réactive ta restauration système.
Double-clique sur CleanX-II.exe pour démarrer la réparation.
Clique OK lorsque tu reçois un message d'avertissement.
A la fin du scan (qui peut prendre plusieurs minutes, patiente le temps qu'il finisse), il va produire un rapport.Si ce rapport montre qu'il reste encore des fichiers infectés (en fin de rapport après "POST RUN ANALYSIS"), relance l'outil une nouvelle fois.
Ouvre C:\REPORT.TXT et copie le dans ta réponse. S'il reste encore ds fichiers infectés, inutile de relancer encore l'outil. Il faut examiner le rapport.
remets aussi un rapport Hijackthis.
le Clean X II n'a pu générer de rapport le message suivant s'affiche: "Fixing registry Analysis Report le chemin d'accès est introuvable" suivi de la fenêtre "Windows ne trouve pas Desktop/CleanX-II.txt verifier si le fichier spécifié est correct" et le scan s'arrete.
J'ai quand fais un nouveau scan avec hijackis dont voici le reapport
Logfile of HijackThis v1.99.1
Scan saved at 18:11, on 2007-12-14
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\devldr32.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\DOCUME~1\MASSAM~2.FOU\LOCALS~1\Temp\Répertoire temporaire 1 pour hijackthis.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*https://fr.search.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.mail.live.com/mail/w1/resources/MSNPUpld.cab
O16 - DPF: {E7DBFB6C-113A-47CF-B278-F5C6AF4DE1BD} - http://download.abacast.com/download/files/abasetup162.cab
O16 - DPF: {E8EDB60C-951E-4130-93DC-FAF1AD25F8E7} - https://www.fling.com/tour-web/zradarquizbgthumb2b/?prg=1&id=flyingcroc&tour=zradarquizbgthumb2b&ot=best&utm_source=flyingcroc&utm_medium=_nocmp&utm_content=_noadid&utm_campaign=zradarquizbgthumb2b
O17 - HKLM\System\CCS\Services\Tcpip\..\{E1CCA3E7-2E80-41A2-8DDC-044E07EA2DD8}: NameServer = 213.154.64.13,213.154.95.126
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: OneCare AntiSpyware and AntiVirus (OneCareMP) - Unknown owner - C:\Program Files\Microsoft Windows OneCare Live\Antivirus\MsMpEng.exe (file missing)
J'ai quand fais un nouveau scan avec hijackis dont voici le reapport
Logfile of HijackThis v1.99.1
Scan saved at 18:11, on 2007-12-14
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\devldr32.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\DOCUME~1\MASSAM~2.FOU\LOCALS~1\Temp\Répertoire temporaire 1 pour hijackthis.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*https://fr.search.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.mail.live.com/mail/w1/resources/MSNPUpld.cab
O16 - DPF: {E7DBFB6C-113A-47CF-B278-F5C6AF4DE1BD} - http://download.abacast.com/download/files/abasetup162.cab
O16 - DPF: {E8EDB60C-951E-4130-93DC-FAF1AD25F8E7} - https://www.fling.com/tour-web/zradarquizbgthumb2b/?prg=1&id=flyingcroc&tour=zradarquizbgthumb2b&ot=best&utm_source=flyingcroc&utm_medium=_nocmp&utm_content=_noadid&utm_campaign=zradarquizbgthumb2b
O17 - HKLM\System\CCS\Services\Tcpip\..\{E1CCA3E7-2E80-41A2-8DDC-044E07EA2DD8}: NameServer = 213.154.64.13,213.154.95.126
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: OneCare AntiSpyware and AntiVirus (OneCareMP) - Unknown owner - C:\Program Files\Microsoft Windows OneCare Live\Antivirus\MsMpEng.exe (file missing)
Re,
l'outil semble avoir fonctionné.
Cherche C:\REPORT.TXT. Si tu le trouves, publie le contenu dans ta réponse (ouvre le avec le bloc notes).
l'outil semble avoir fonctionné.
Cherche C:\REPORT.TXT. Si tu le trouves, publie le contenu dans ta réponse (ouvre le avec le bloc notes).
Bonsoir Lyonnais, Edcoco
Si ça peut aider, le rapport se trouve dans les fichiers temporaires :
Démarrer > exécuter et tape %temp%\report.txt
Le message d'erreur est du au fait que l'outil cherche à le copier des temp vers le dossier Desktop au lieu de Bureau.
@++
Si ça peut aider, le rapport se trouve dans les fichiers temporaires :
Démarrer > exécuter et tape %temp%\report.txt
Le message d'erreur est du au fait que l'outil cherche à le copier des temp vers le dossier Desktop au lieu de Bureau.
@++
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bonsoir moe,
j'ai perdu la référence du canned speech que j'ai traduit. Mais il semble faux.
Si je te comprend bien, le nom prévu par l'outil est du type :
C:\Documents & settings\nom_de_session\Desktop\report.txt
Il devrait y avoir une erreur systématique sur un OS français car Desktop n'existe pas.
Il faut alors le chercher systématiquement dans temp avec la manip ci-dessus ?
Merci.
EDcoco,
tu fais ce que demande moe.
C'est important pour vérifier ce qu'a fait l'outil.
j'ai perdu la référence du canned speech que j'ai traduit. Mais il semble faux.
Si je te comprend bien, le nom prévu par l'outil est du type :
C:\Documents & settings\nom_de_session\Desktop\report.txt
Il devrait y avoir une erreur systématique sur un OS français car Desktop n'existe pas.
Il faut alors le chercher systématiquement dans temp avec la manip ci-dessus ?
Merci.
EDcoco,
tu fais ce que demande moe.
C'est important pour vérifier ce qu'a fait l'outil.
Bonsoir lyonnais
Oui, c'est exact.
En toute fin de scan l'outil est sensé basculer le rapport des dossiers temporaire vers le bureau et c'est là que le message d'erreur intervient.
sUBs a utilisé un script vbs, GetPath.vbs, pour récupérer dans le registre certains chemins de dossiers spécifiques, mais celui du bureau n'a pas été récupéré pour que l'outil puisse tourner sans aucune erreurs sur les OS autres qu'anglo-saxon.
A la base il a du surement être prévu pour ne tourner que sur ce type d' OS
En fait ça n'est pas trop pénalisant puisque ça ne concerne que la génération du rapport et pas la désinfection en elle même.
Donc pour récupérer malgré tout le rapport, le plus facile est de taper ou copier/coller :
%temp%\report.txt
Soit dans démarrer > exécuter soit dans la barre d'adresse d'un dossier par exemple.
Voilà.
De rien.
@+
Oui, c'est exact.
En toute fin de scan l'outil est sensé basculer le rapport des dossiers temporaire vers le bureau et c'est là que le message d'erreur intervient.
sUBs a utilisé un script vbs, GetPath.vbs, pour récupérer dans le registre certains chemins de dossiers spécifiques, mais celui du bureau n'a pas été récupéré pour que l'outil puisse tourner sans aucune erreurs sur les OS autres qu'anglo-saxon.
A la base il a du surement être prévu pour ne tourner que sur ce type d' OS
En fait ça n'est pas trop pénalisant puisque ça ne concerne que la génération du rapport et pas la désinfection en elle même.
Donc pour récupérer malgré tout le rapport, le plus facile est de taper ou copier/coller :
%temp%\report.txt
Soit dans démarrer > exécuter soit dans la barre d'adresse d'un dossier par exemple.
Voilà.
De rien.
@+
bonjour, excusez moi du silence des ces derniers jours.
Voici le rapport en utilisant la commande exécuter... dont vous m'avez parlé:
#######################################################################
Brontok Worm Removal Tool - (Version - 06.09.17B)
by sUBs
#######################################################################
Current date: 2007-12-14 Current time: 17:58:51.65
=== PRE RUN ANALYSIS ===================================
=== POST RUN ANALYSIS ==================================
NOTE
The post-run analysis portion should be empty. If it's not, reboot and run the tool a second time.
18:01:19.32
======================================================
ET le nouveau rapport Hijackis donne ceci:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:24, on 2007-12-17
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\devldr32.exe
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*https://fr.search.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.mail.live.com/mail/w1/resources/MSNPUpld.cab
O16 - DPF: {E7DBFB6C-113A-47CF-B278-F5C6AF4DE1BD} - http://download.abacast.com/download/files/abasetup162.cab
O16 - DPF: {E8EDB60C-951E-4130-93DC-FAF1AD25F8E7} - https://www.fling.com/tour-web/zradarquizbgthumb2b/?prg=1&id=flyingcroc&tour=zradarquizbgthumb2b&ot=best&utm_source=flyingcroc&utm_medium=_nocmp&utm_content=_noadid&utm_campaign=zradarquizbgthumb2b
O17 - HKLM\System\CCS\Services\Tcpip\..\{E1CCA3E7-2E80-41A2-8DDC-044E07EA2DD8}: NameServer = 213.154.64.13,213.154.95.126
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: OneCare AntiSpyware and AntiVirus (OneCareMP) - Unknown owner - C:\Program Files\Microsoft Windows OneCare Live\Antivirus\MsMpEng.exe (file missing)
O24 - Desktop Component 0: (no name) - http://eur.a1.yimg.com/eur.yimg.com/a/eu/any/skybeyonce1.jpg
Voici le rapport en utilisant la commande exécuter... dont vous m'avez parlé:
#######################################################################
Brontok Worm Removal Tool - (Version - 06.09.17B)
by sUBs
#######################################################################
Current date: 2007-12-14 Current time: 17:58:51.65
=== PRE RUN ANALYSIS ===================================
=== POST RUN ANALYSIS ==================================
NOTE
The post-run analysis portion should be empty. If it's not, reboot and run the tool a second time.
18:01:19.32
======================================================
ET le nouveau rapport Hijackis donne ceci:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:24, on 2007-12-17
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\devldr32.exe
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*https://fr.search.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.mail.live.com/mail/w1/resources/MSNPUpld.cab
O16 - DPF: {E7DBFB6C-113A-47CF-B278-F5C6AF4DE1BD} - http://download.abacast.com/download/files/abasetup162.cab
O16 - DPF: {E8EDB60C-951E-4130-93DC-FAF1AD25F8E7} - https://www.fling.com/tour-web/zradarquizbgthumb2b/?prg=1&id=flyingcroc&tour=zradarquizbgthumb2b&ot=best&utm_source=flyingcroc&utm_medium=_nocmp&utm_content=_noadid&utm_campaign=zradarquizbgthumb2b
O17 - HKLM\System\CCS\Services\Tcpip\..\{E1CCA3E7-2E80-41A2-8DDC-044E07EA2DD8}: NameServer = 213.154.64.13,213.154.95.126
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: OneCare AntiSpyware and AntiVirus (OneCareMP) - Unknown owner - C:\Program Files\Microsoft Windows OneCare Live\Antivirus\MsMpEng.exe (file missing)
O24 - Desktop Component 0: (no name) - http://eur.a1.yimg.com/eur.yimg.com/a/eu/any/skybeyonce1.jpg
Bonjour,
aucun problème pour le temps.
Tu sembles ne pas avoir de parefeu contrôlant les connexions sortantes, ce qui est un risque de sécurité.
Si c'est le cas tu as le choix entre ces deux possibilités :
Zone Alarm Tuto et lien de téléchargement ici :
https://www.malekal.com/tutoriel-zonealarm-firewall/
Kerio Tuto et lien de téléchargement ici :
http://www.malekal.com/kerio_firewall.php
Il y en a d'autres que tu peux trouver en ouvrant ce lien :
http://www.malekal.com/menu_tutorials_logiciels.php
Il faut que tu désactives le parefeu de Windows (panneau de configuration, parefeu de Windows) après le téléchargement et avant l'installation (déconnecte toi du Net à ce moment là).
========================================
-> Relance HijackThis cliques sur « scanner seulement » ou (« do a scan only »),
coche les cases devant ces lignes :
O16 - DPF: {E8EDB60C-951E-4130-93DC-FAF1AD25F8E7} - https://www.fling.com/tour-web/zradarquizbgthumb2b/?prg=1&id=flyingcroc&tour=zradarquizbgthumb2b&ot=best&utm_source=flyingcroc&utm_medium=_nocmp&utm_content=_noadid&utm_campaign=zradarquizbgthumb2b
et ensuite ferme toutes les fenêtres actives autres que HijackThis!, navigateur inclus,
puis clique "Fix checked"( ou « fixer objet »). Ferme HijackThis!
========================================
On s'occupera de la lenteur au prochain coup.
(ton hijackthis est mal placé mais je ne vais pas le faire enlever et retélécharger pour 1 ligne, mais je vais faire els choses en 2 fois).
==============
Moe, si tu es dans les parages, il me semble que le rapport de l'outil de sUBs ne mentionne pas la destruction des fichiers de l'infection initiale (Spizaetus, ...) et des clés. Il ne mentionne pas non plus la suppression des restrictions telles que l'accès au registre.
Tu peux me confirmer ces points, si tu as des informations ? Merci.
aucun problème pour le temps.
Tu sembles ne pas avoir de parefeu contrôlant les connexions sortantes, ce qui est un risque de sécurité.
Si c'est le cas tu as le choix entre ces deux possibilités :
Zone Alarm Tuto et lien de téléchargement ici :
https://www.malekal.com/tutoriel-zonealarm-firewall/
Kerio Tuto et lien de téléchargement ici :
http://www.malekal.com/kerio_firewall.php
Il y en a d'autres que tu peux trouver en ouvrant ce lien :
http://www.malekal.com/menu_tutorials_logiciels.php
Il faut que tu désactives le parefeu de Windows (panneau de configuration, parefeu de Windows) après le téléchargement et avant l'installation (déconnecte toi du Net à ce moment là).
========================================
-> Relance HijackThis cliques sur « scanner seulement » ou (« do a scan only »),
coche les cases devant ces lignes :
O16 - DPF: {E8EDB60C-951E-4130-93DC-FAF1AD25F8E7} - https://www.fling.com/tour-web/zradarquizbgthumb2b/?prg=1&id=flyingcroc&tour=zradarquizbgthumb2b&ot=best&utm_source=flyingcroc&utm_medium=_nocmp&utm_content=_noadid&utm_campaign=zradarquizbgthumb2b
et ensuite ferme toutes les fenêtres actives autres que HijackThis!, navigateur inclus,
puis clique "Fix checked"( ou « fixer objet »). Ferme HijackThis!
========================================
On s'occupera de la lenteur au prochain coup.
(ton hijackthis est mal placé mais je ne vais pas le faire enlever et retélécharger pour 1 ligne, mais je vais faire els choses en 2 fois).
==============
Moe, si tu es dans les parages, il me semble que le rapport de l'outil de sUBs ne mentionne pas la destruction des fichiers de l'infection initiale (Spizaetus, ...) et des clés. Il ne mentionne pas non plus la suppression des restrictions telles que l'accès au registre.
Tu peux me confirmer ces points, si tu as des informations ? Merci.
Bonsoir Lyonnais
Ta remarque est exacte sur plusieurs points et après relecture du code faute d'avoir conservé un log explicite, voilà comment il fonctionne en détail, je pense que ça répondra à tes interrogations sur cet outil :
1/ Le fix débute par l'arrêt des processus infectieux si actifs. (non mentionné dans le rapport)
2/ Il effectue une recherche on va dire heuristique, pour être précis une recherche de chaine de caractère spécifique que l'on retrouve uniquement dans les fichiers infectieux, et ce, sur tout le DD (sauf dossier restau système) et à l'intérieur de fichiers de type EXE,SCR,COM,PIF,SYS,VBS dont la taille est comprise entre 34K et 80K.
En utilisant le switch '/extended' on peut agrandir le champ de recherche sur les fichiers allant de 15K à 150K
(Résultat des suppressions mentionnés dans le rapport)
3/ Suppression des fichiers dossiers d'après une liste prédéfinie (Détection et suppression mentionnés dans le rapport):
C:\Documents and Settings\tous les profils\Application Data
smss.exe
listhost*.txt
csrss.exe
inetinfo.exe
jalak-93*15-bali.com
lsass.exe
services.exe
listhost*.txt
smss.exe
winlogon.exe
br*on.exe
*bron*.*
svchost.exe
bron.tok*
C:\Documents and Settings\tous les profils\local settings\Application Data
*bron
csrss.exe
inetinfo.exe
jalak-93*15-bali.com
lsass.exe
services.exe
listhost*.txt
smss.exe
winlogon.exe
br*on.exe
*bron*.*
svchost.exe
bron.tok*
C:\
baca bro*.*
dr.pluto.exe
kangen.exe
romantic_devil.r.htm
C:\Windows
berasjatah.exe
cinderawasih-4*7.exe
cinta buta.exe
eksplorasi.exe
fonts\tskmgr.exe
iexplorer.exe
kesenjangan sosial.exe
komodo-6*2.exe
lexplorer.exe
mspatch.exe
rundll32.exe
sembako*.exe
j6?????2.exe
o4?????7.exe
systray.exe
C:\Windows\tasks
at?.job
at*.job
C:\Windows\inf
norbtok.exe
C:\Windows\shellnew
*urokrgic.exe
bronstab.exe
elnorb.exe
rakyatkelaparan.exe
sempalong.exe
C:\Windows\system32
*.s setting.scr
3d animation.scr
c_*k.com
ccapps.exe
i75-d2\dkernel.exe
jangan dibuka.exe
kangen.exe
mspatch.exe
my heart.exe
myheart.exe
sstray.exe
syslove.exe
untukmu.exe
winword.exe
cmd*bro*.exe
dxblbs.exe
sistem.sys
c_?????k.com
Concernant ces deux chemins, il ne sont pas compatibles avec les OS français :
C:\Documents and Settings\profil\start menu\programs\startup\empty.pif
en réalité : C:\Documents and Settings\profil\Menu Démarrer\Programmes\Démarrage\empty.pif
C:\Documents and Settings\profil\templates
en réalité : C:\Documents and Settings\profil\Modèles
a.kotnorb.com
brengkolang.com
csrss.exe
dokter_gila.vbs
inetinfo.exe
lsass.exe
services.exe
smss.exe
sys_romantic-devil.r.vbs
winlogon.exe
wowtumpeh.com
*nendang*.com
Néanmoins la détection heuristique les repères assez bien, mais çà demande en le sachant de surveiller de près le contenu de ces deux dossiers après passage du fix.
Par défaut sur un pc non infecté le dossier C:\Documents and Settings\profil\Modèles ne contient aucun fichiers d'extension *.com *.exe ou *.vbs
Viens ensuite le recherche de dossiers au nom en partie aléatoire et ne concernant quelques variante spécifiques :
En général le nom se compose d'une ou deux lettres connues et chaque fois les mêmes + séquence de chiffre aléatoire + chaine caractère aléatoire
Ce qui donne :
APPDATA et \local settings\application data :
DV6*"
C:\Windows\system32
N[0-9]*
S[0-9]*
C:\Windows
SY[0-9]*
AD[0-9]*
PA[0-9]*
4/ Nettoyage du registre + restauration fichier hosts + nettoyage du fichier AUTOEXEC.BAT si besoin et si présent.
(Non mentionné dans le rapport)
Reset des clés à leur valeurs d'origine :
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Shell
Userinit
HKCU\software\Microsoft\windows\currentversion\explorer\advanced\hidden => 1
HKCU\software\Microsoft\windows\currentversion\explorer\advanced\showsuperhidden => 1
HKLM\system\currentcontrolset\control\safeboot\alternateshell", "cmd.exe"
Suppresion des restrictions/run :
HKCU\software\brontok\
HKCU\software\Microsoft\windows\currentversion\policies\system\disableregistrytools
HKCU\software\Microsoft\windows\currentversion\policies\system\disabletaskmgr
HKCU\software\Microsoft\windows\currentversion\policies\system\disablecmd
HKCU\software\Microsoft\windows\currentversion\policies\explorer\nofolderoptions
HKCU\software\Microsoft\windows\currentversion\policies\explorer\nofind
HKCU\software\Microsoft\windows\currentversion\policies\explorer\norun
HKCU\software\Microsoft\windows\currentversion\policies\explorer\run\
HKCU\software\Microsoft\windows\currentversion\policies\explorer\disablecmd
HKCU\software\Microsoft\windows\currentversion\run\tok-cirrhatus
HKCU\software\Microsoft\windows\currentversion\run\sysdiaz
HKCU\software\Microsoft\windows\currentversion\run\f3444adm
HKCU\software\Microsoft\windows\currentversion\run\sysyuni
HKCU\software\Microsoft\windows\currentversion\run\sys_romantic-devil.r
HKCU\software\policies\Microsoft\windows\system\disablecmd
HKLM\software\Microsoft\windows\currentversion\policies\explorer\run\
HKLM\software\Microsoft\windows\currentversion\policies\system\disableregistrytools
HKLM\software\Microsoft\windows\currentversion\policies\system\disabletaskmgr
HKLM\software\Microsoft\windows\currentversion\run\bron-spizaetus
HKLM\software\Microsoft\windows\currentversion\run\pluto
HKLM\software\Microsoft\windows\currentversion\run\sysria
HKLM\software\Microsoft\windows\currentversion\run\n3678c
HKLM\software\policies\Microsoft\windows\system\disablecmd
Le nettoyage du registre se fait par l'intermédiaire d'un script vbs pour les clés et valeurs connues d'avance et ensuite via un fichier *.reg pour celles dont le contenu et en partie aléatoire.
Par exemple pour ces trois clés de démarrage et pour chacune des valeurs contenues :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
Les mots 'Cirrhatus' et 'Spizaetus' seront recherchés dans chaques valeurs présentes et sytématiquement intégrées au *.reg si présent.
Ca permet de repérer facilement les entrées de type "Bron-Spizaetus-4128", sans besoin de connaitre la séquence de chiffre aléatoire.
5/ Génération du rapport.
Si tu veux mon avis pour Edcoco, je crois qu'il ne restait dans son log que des traces d'infection et surement certaines modif du registre non nettoyées.
j'vais plein de virus dans mon ordi mais après avoir tout effacé avec un scan de Nod 32 et avast le message C/WINDOWS/Syst32/explorasi.exe" fichier introuvable s'affiche.
Brontok n'est quand même pas trop mal détecté et nettoyé par les AV maintenant, du moins si l'infection n'a pas eu le temps de trop se développer :-)
A vérifier pour confirmation ou infirmation avec le résultat d'un scan en ligne par exemple :-)
Voilà, @+ et bonne continuation
nb :
Petite précision pour les variantes qui génèrent un fichier exe qui porte exactement le même nom que le dossier parent ou il se réplique (Mes documents\Mes documents.exe, Mes images\Mes images.exe, etc...), c'est la détection "heuristique" du fix qui se charge de les débusquer et ma foi s'en sort pas mal au vu des tests que j'avais pu faire avec quelques variantes de Brontok)
Pour les utilisateurs d'Antivir l'emploi du tool peut déclencher une alerte de la détection heuristique de l'av et peut être détecté comme étant : HEUR/Exploit.HTML
Faux positif.
Ta remarque est exacte sur plusieurs points et après relecture du code faute d'avoir conservé un log explicite, voilà comment il fonctionne en détail, je pense que ça répondra à tes interrogations sur cet outil :
1/ Le fix débute par l'arrêt des processus infectieux si actifs. (non mentionné dans le rapport)
2/ Il effectue une recherche on va dire heuristique, pour être précis une recherche de chaine de caractère spécifique que l'on retrouve uniquement dans les fichiers infectieux, et ce, sur tout le DD (sauf dossier restau système) et à l'intérieur de fichiers de type EXE,SCR,COM,PIF,SYS,VBS dont la taille est comprise entre 34K et 80K.
En utilisant le switch '/extended' on peut agrandir le champ de recherche sur les fichiers allant de 15K à 150K
(Résultat des suppressions mentionnés dans le rapport)
3/ Suppression des fichiers dossiers d'après une liste prédéfinie (Détection et suppression mentionnés dans le rapport):
C:\Documents and Settings\tous les profils\Application Data
smss.exe
listhost*.txt
csrss.exe
inetinfo.exe
jalak-93*15-bali.com
lsass.exe
services.exe
listhost*.txt
smss.exe
winlogon.exe
br*on.exe
*bron*.*
svchost.exe
bron.tok*
C:\Documents and Settings\tous les profils\local settings\Application Data
*bron
csrss.exe
inetinfo.exe
jalak-93*15-bali.com
lsass.exe
services.exe
listhost*.txt
smss.exe
winlogon.exe
br*on.exe
*bron*.*
svchost.exe
bron.tok*
C:\
baca bro*.*
dr.pluto.exe
kangen.exe
romantic_devil.r.htm
C:\Windows
berasjatah.exe
cinderawasih-4*7.exe
cinta buta.exe
eksplorasi.exe
fonts\tskmgr.exe
iexplorer.exe
kesenjangan sosial.exe
komodo-6*2.exe
lexplorer.exe
mspatch.exe
rundll32.exe
sembako*.exe
j6?????2.exe
o4?????7.exe
systray.exe
C:\Windows\tasks
at?.job
at*.job
C:\Windows\inf
norbtok.exe
C:\Windows\shellnew
*urokrgic.exe
bronstab.exe
elnorb.exe
rakyatkelaparan.exe
sempalong.exe
C:\Windows\system32
*.s setting.scr
3d animation.scr
c_*k.com
ccapps.exe
i75-d2\dkernel.exe
jangan dibuka.exe
kangen.exe
mspatch.exe
my heart.exe
myheart.exe
sstray.exe
syslove.exe
untukmu.exe
winword.exe
cmd*bro*.exe
dxblbs.exe
sistem.sys
c_?????k.com
Concernant ces deux chemins, il ne sont pas compatibles avec les OS français :
C:\Documents and Settings\profil\start menu\programs\startup\empty.pif
en réalité : C:\Documents and Settings\profil\Menu Démarrer\Programmes\Démarrage\empty.pif
C:\Documents and Settings\profil\templates
en réalité : C:\Documents and Settings\profil\Modèles
a.kotnorb.com
brengkolang.com
csrss.exe
dokter_gila.vbs
inetinfo.exe
lsass.exe
services.exe
smss.exe
sys_romantic-devil.r.vbs
winlogon.exe
wowtumpeh.com
*nendang*.com
Néanmoins la détection heuristique les repères assez bien, mais çà demande en le sachant de surveiller de près le contenu de ces deux dossiers après passage du fix.
Par défaut sur un pc non infecté le dossier C:\Documents and Settings\profil\Modèles ne contient aucun fichiers d'extension *.com *.exe ou *.vbs
Viens ensuite le recherche de dossiers au nom en partie aléatoire et ne concernant quelques variante spécifiques :
En général le nom se compose d'une ou deux lettres connues et chaque fois les mêmes + séquence de chiffre aléatoire + chaine caractère aléatoire
Ce qui donne :
APPDATA et \local settings\application data :
DV6*"
C:\Windows\system32
N[0-9]*
S[0-9]*
C:\Windows
SY[0-9]*
AD[0-9]*
PA[0-9]*
4/ Nettoyage du registre + restauration fichier hosts + nettoyage du fichier AUTOEXEC.BAT si besoin et si présent.
(Non mentionné dans le rapport)
Reset des clés à leur valeurs d'origine :
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Shell
Userinit
HKCU\software\Microsoft\windows\currentversion\explorer\advanced\hidden => 1
HKCU\software\Microsoft\windows\currentversion\explorer\advanced\showsuperhidden => 1
HKLM\system\currentcontrolset\control\safeboot\alternateshell", "cmd.exe"
Suppresion des restrictions/run :
HKCU\software\brontok\
HKCU\software\Microsoft\windows\currentversion\policies\system\disableregistrytools
HKCU\software\Microsoft\windows\currentversion\policies\system\disabletaskmgr
HKCU\software\Microsoft\windows\currentversion\policies\system\disablecmd
HKCU\software\Microsoft\windows\currentversion\policies\explorer\nofolderoptions
HKCU\software\Microsoft\windows\currentversion\policies\explorer\nofind
HKCU\software\Microsoft\windows\currentversion\policies\explorer\norun
HKCU\software\Microsoft\windows\currentversion\policies\explorer\run\
HKCU\software\Microsoft\windows\currentversion\policies\explorer\disablecmd
HKCU\software\Microsoft\windows\currentversion\run\tok-cirrhatus
HKCU\software\Microsoft\windows\currentversion\run\sysdiaz
HKCU\software\Microsoft\windows\currentversion\run\f3444adm
HKCU\software\Microsoft\windows\currentversion\run\sysyuni
HKCU\software\Microsoft\windows\currentversion\run\sys_romantic-devil.r
HKCU\software\policies\Microsoft\windows\system\disablecmd
HKLM\software\Microsoft\windows\currentversion\policies\explorer\run\
HKLM\software\Microsoft\windows\currentversion\policies\system\disableregistrytools
HKLM\software\Microsoft\windows\currentversion\policies\system\disabletaskmgr
HKLM\software\Microsoft\windows\currentversion\run\bron-spizaetus
HKLM\software\Microsoft\windows\currentversion\run\pluto
HKLM\software\Microsoft\windows\currentversion\run\sysria
HKLM\software\Microsoft\windows\currentversion\run\n3678c
HKLM\software\policies\Microsoft\windows\system\disablecmd
Le nettoyage du registre se fait par l'intermédiaire d'un script vbs pour les clés et valeurs connues d'avance et ensuite via un fichier *.reg pour celles dont le contenu et en partie aléatoire.
Par exemple pour ces trois clés de démarrage et pour chacune des valeurs contenues :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
Les mots 'Cirrhatus' et 'Spizaetus' seront recherchés dans chaques valeurs présentes et sytématiquement intégrées au *.reg si présent.
Ca permet de repérer facilement les entrées de type "Bron-Spizaetus-4128", sans besoin de connaitre la séquence de chiffre aléatoire.
5/ Génération du rapport.
Si tu veux mon avis pour Edcoco, je crois qu'il ne restait dans son log que des traces d'infection et surement certaines modif du registre non nettoyées.
j'vais plein de virus dans mon ordi mais après avoir tout effacé avec un scan de Nod 32 et avast le message C/WINDOWS/Syst32/explorasi.exe" fichier introuvable s'affiche.
Brontok n'est quand même pas trop mal détecté et nettoyé par les AV maintenant, du moins si l'infection n'a pas eu le temps de trop se développer :-)
A vérifier pour confirmation ou infirmation avec le résultat d'un scan en ligne par exemple :-)
Voilà, @+ et bonne continuation
nb :
Petite précision pour les variantes qui génèrent un fichier exe qui porte exactement le même nom que le dossier parent ou il se réplique (Mes documents\Mes documents.exe, Mes images\Mes images.exe, etc...), c'est la détection "heuristique" du fix qui se charge de les débusquer et ma foi s'en sort pas mal au vu des tests que j'avais pu faire avec quelques variantes de Brontok)
Pour les utilisateurs d'Antivir l'emploi du tool peut déclencher une alerte de la détection heuristique de l'av et peut être détecté comme étant : HEUR/Exploit.HTML
Faux positif.
Bonsoir moe,
et merci de ces précisions, je n'en espérais pas tant.
Est ce que tu m'autorises à mettre ces infos sur mon forum (avec mention de l'auteur évidemment) ?
Tant que le malware reste stable, finalement, cet outil semble remarquablement efficace.
J'en tiendrai compte pour moins effrayer l'internaute la prochaine fois.
et merci de ces précisions, je n'en espérais pas tant.
Est ce que tu m'autorises à mettre ces infos sur mon forum (avec mention de l'auteur évidemment) ?
Tant que le malware reste stable, finalement, cet outil semble remarquablement efficace.
J'en tiendrai compte pour moins effrayer l'internaute la prochaine fois.
Bonsoir Lyonnais
De rien... Je me doute mais autant être le plus précis possible sur son fonctionnement à y être (Edcoco, désolé pour ce squat !) à mon avis avoir le plus de renseignements possible sur un outil et comprendre comment il agit évite pas mal de doutes de questions et de contre-emplois.
Oui bien sur pas de problèmes, fais ce que tu veux de ces infos et adaptes-les comme tu le souhaite, pas besoin de mention, c'est inutile !
Oui, c'est ce que je pense aussi, efficace car même s'il ne prends pas toute les variantes au niveau fichiers, il permet mine de rien d'en désactiver du démarrage un nombre impressionnant, simplement à partir du registre et donc après reboot du pc de pouvoir envisager un nettoyage plus poussé avec des outils/AV/tools dont l'emploi jusque là provoquaient le reboot intempestif du pc entre autre.
J'en tiendrai compte pour moins effrayer l'internaute la prochaine fois.
Tant qu'il peut poster son hijack sans aucun soucis, c'est que le boulot à déjà été au moins à moitié fait :-)
(Dans le cas contraire il y a un outil peu employé et moins connu qu'hijackthis mais qui permet en cas d'infection active de pouvoir générer un rapport similaire sans le moindre soucis ou d'arrêter les processus infectieux actifs, il s'appelle StartDreck, moins facile en prise en main surement mais qui vaut le detours...)
@++
De rien... Je me doute mais autant être le plus précis possible sur son fonctionnement à y être (Edcoco, désolé pour ce squat !) à mon avis avoir le plus de renseignements possible sur un outil et comprendre comment il agit évite pas mal de doutes de questions et de contre-emplois.
Oui bien sur pas de problèmes, fais ce que tu veux de ces infos et adaptes-les comme tu le souhaite, pas besoin de mention, c'est inutile !
Oui, c'est ce que je pense aussi, efficace car même s'il ne prends pas toute les variantes au niveau fichiers, il permet mine de rien d'en désactiver du démarrage un nombre impressionnant, simplement à partir du registre et donc après reboot du pc de pouvoir envisager un nettoyage plus poussé avec des outils/AV/tools dont l'emploi jusque là provoquaient le reboot intempestif du pc entre autre.
J'en tiendrai compte pour moins effrayer l'internaute la prochaine fois.
Tant qu'il peut poster son hijack sans aucun soucis, c'est que le boulot à déjà été au moins à moitié fait :-)
(Dans le cas contraire il y a un outil peu employé et moins connu qu'hijackthis mais qui permet en cas d'infection active de pouvoir générer un rapport similaire sans le moindre soucis ou d'arrêter les processus infectieux actifs, il s'appelle StartDreck, moins facile en prise en main surement mais qui vaut le detours...)
@++
J'ai installé le pare feu zone alarm et fixé la ligne que tu as spécifié lyonnais92. au démarrage le message avec explorasi.exe introuvable ne s'affiche plus. A cela s'est substitué une lenteur excessive. j'ai refais un scan hijackthis au cas où tu en aurais besoin; voici le rapport
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:41, on 2007-12-17
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\devldr32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\Program Files\Alwil Software\Avast4\setup\avast.setup
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://C:\Program%20Files\IE7Pro\IE7ProRs.dll/easyhome.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*https://fr.search.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.mail.live.com/mail/w1/resources/MSNPUpld.cab
O16 - DPF: {E7DBFB6C-113A-47CF-B278-F5C6AF4DE1BD} - http://download.abacast.com/download/files/abasetup162.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E1CCA3E7-2E80-41A2-8DDC-044E07EA2DD8}: NameServer = 213.154.64.13,213.154.95.126
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: OneCare AntiSpyware and AntiVirus (OneCareMP) - Unknown owner - C:\Program Files\Microsoft Windows OneCare Live\Antivirus\MsMpEng.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe
O24 - Desktop Component 0: (no name) - http://eur.a1.yimg.com/eur.yimg.com/a/eu/any/skybeyonce1.jpg
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:41, on 2007-12-17
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\devldr32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\Program Files\Alwil Software\Avast4\setup\avast.setup
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://C:\Program%20Files\IE7Pro\IE7ProRs.dll/easyhome.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*https://fr.search.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.mail.live.com/mail/w1/resources/MSNPUpld.cab
O16 - DPF: {E7DBFB6C-113A-47CF-B278-F5C6AF4DE1BD} - http://download.abacast.com/download/files/abasetup162.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E1CCA3E7-2E80-41A2-8DDC-044E07EA2DD8}: NameServer = 213.154.64.13,213.154.95.126
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: OneCare AntiSpyware and AntiVirus (OneCareMP) - Unknown owner - C:\Program Files\Microsoft Windows OneCare Live\Antivirus\MsMpEng.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe
O24 - Desktop Component 0: (no name) - http://eur.a1.yimg.com/eur.yimg.com/a/eu/any/skybeyonce1.jpg
Bonsoir,
Lis bien et exécute cette manip dans l’ordre.
#Télécharge et installe ces logiciels (si tu ne les as pas) pour les 3 premiers
mets les à jour, comme indiqué dans les démos ou tutos.
Ne les utilise pas tout de suite.
========================================
=======================================
->Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec
puis tape « entrée ».
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).
========================================
->
========================================
->Lance CCleaner.
Suppression des fichiers temporaires
Va dans la section "Options" situé dans la marge gauche.
Décoche "Avancé"
Retourne ensuite dans la section "Nettoyeur"
Fais bien attention de cocher toutes ces cases dans la marge gauche (Internet Explorer/Windows Explorer/Système)
• Clique sur [Analyse]
• Patiente le temps du scan, qui peut prendre un peu de temps si c'est la première fois.
• Une fois le scan terminé, clique sur [Lancer le Nettoyage]
========================================
->Lance AVG pour un scan complet "Analyse" ->"Paramètres"
Sous la question "Comment réagir ?" :
-> clique sur "Actions recommandées" et choisis "Quarantaines"
-> Re-clique sur l'onglet "Analyse" puis réalise une "Analyse complète du système"
Si un fichier est infecté en fin d'analyse
->Clique sur "Appliquer toutes les actions "
->Clique sur "Enregistrer le rapport" puis sur "Enregistrer le rapport sous".
->Enregistre ce fichier texte sur ton bureau et [copie/colle le rapport en forum]
========================================
->Passe Ad-Aware et supprime tout ce qu’il trouve + supprime les quarantaines…
========================================
->Passe Spybot et corrige tout ce qu’il trouve + vaccine + supprime les quarantaines…
========================================
->Relance CCleaner.
Suppression des incohérences du registre
• Clique sur l'icône [Erreurs] situés dans la marge à gauche
• Puis clique sur [Analyser les erreurs]
• Patiente pendant que CCleaner scan ton registre.
• Une fois le scan terminé, coche toutes les entrèes qu'il t'aura trouvée.
• Tu peux cliquer ensuite sur [Corriger les erreurs].
Si tu n'est pas sur de ce que tu fais, tu peux choisir de sauvegarder les entrées cochées pour les restaurer ultérieurement.
========================================
->Vide ta Corbeille.
========================================
->Redémarre en mode normal,
- > Ouvre ce lien pour scanner ton PC avec un BitDefender en ligne (uniquement sous Internet Explorer) :
https://www.bitdefender.com/toolbox/
Utilisation :
Cliquer sur "J'accepte" puis accepter également l'ActiveX bloqué par la barre anti-popup du SP2 qui clignotera en haut et l'installer.
Ensuite, cliquer sur "Cliquez ici pour scanner".
Patienter jusqu'à la fin du scan qui peut durer assez longtemps...
Copier/coller le rapport entier sur le forum.
Tutoriel en images ici : http://pageperso.aol.fr/rginformatique/mapage/defender.htm (merci à Balltrap34 pour cette réalisation)
[Recoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »
Relance Hijackthis et copie/colle un nouveau rapport sur le forum.
Et dis moi ou en sont tes problèmes s’il t’en reste.
Lis bien et exécute cette manip dans l’ordre.
#Télécharge et installe ces logiciels (si tu ne les as pas) pour les 3 premiers
mets les à jour, comme indiqué dans les démos ou tutos.
Ne les utilise pas tout de suite.
========================================
=======================================
->Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec
puis tape « entrée ».
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).
========================================
->
========================================
->Lance CCleaner.
Suppression des fichiers temporaires
Va dans la section "Options" situé dans la marge gauche.
Décoche "Avancé"
Retourne ensuite dans la section "Nettoyeur"
Fais bien attention de cocher toutes ces cases dans la marge gauche (Internet Explorer/Windows Explorer/Système)
• Clique sur [Analyse]
• Patiente le temps du scan, qui peut prendre un peu de temps si c'est la première fois.
• Une fois le scan terminé, clique sur [Lancer le Nettoyage]
========================================
->Lance AVG pour un scan complet "Analyse" ->"Paramètres"
Sous la question "Comment réagir ?" :
-> clique sur "Actions recommandées" et choisis "Quarantaines"
-> Re-clique sur l'onglet "Analyse" puis réalise une "Analyse complète du système"
Si un fichier est infecté en fin d'analyse
->Clique sur "Appliquer toutes les actions "
->Clique sur "Enregistrer le rapport" puis sur "Enregistrer le rapport sous".
->Enregistre ce fichier texte sur ton bureau et [copie/colle le rapport en forum]
========================================
->Passe Ad-Aware et supprime tout ce qu’il trouve + supprime les quarantaines…
========================================
->Passe Spybot et corrige tout ce qu’il trouve + vaccine + supprime les quarantaines…
========================================
->Relance CCleaner.
Suppression des incohérences du registre
• Clique sur l'icône [Erreurs] situés dans la marge à gauche
• Puis clique sur [Analyser les erreurs]
• Patiente pendant que CCleaner scan ton registre.
• Une fois le scan terminé, coche toutes les entrèes qu'il t'aura trouvée.
• Tu peux cliquer ensuite sur [Corriger les erreurs].
Si tu n'est pas sur de ce que tu fais, tu peux choisir de sauvegarder les entrées cochées pour les restaurer ultérieurement.
========================================
->Vide ta Corbeille.
========================================
->Redémarre en mode normal,
- > Ouvre ce lien pour scanner ton PC avec un BitDefender en ligne (uniquement sous Internet Explorer) :
https://www.bitdefender.com/toolbox/
Utilisation :
Cliquer sur "J'accepte" puis accepter également l'ActiveX bloqué par la barre anti-popup du SP2 qui clignotera en haut et l'installer.
Ensuite, cliquer sur "Cliquez ici pour scanner".
Patienter jusqu'à la fin du scan qui peut durer assez longtemps...
Copier/coller le rapport entier sur le forum.
Tutoriel en images ici : http://pageperso.aol.fr/rginformatique/mapage/defender.htm (merci à Balltrap34 pour cette réalisation)
[Recoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »
Relance Hijackthis et copie/colle un nouveau rapport sur le forum.
Et dis moi ou en sont tes problèmes s’il t’en reste.
Bonjour à tous!
Activités de fin d'année obligent , j'ai éxécuté l'opération demandé par lyonnais 92 il ya deux jours mais je n'ai pu repondre. Navré. A priori je pense que je n'ai plus d'infections dans la machine. Le scan de avg je n'ai pu l'avoir comme tu vais dit lyonnais. J'ai du faire après le scans des screenshots. Je vous les envoie dans la journée. Le scan bitdefender ne signale aucune menace. Ni detectée, ni anciennement supprimée. En revanche je n'ai pu avoir le rapport non plus parce qu'il ya une problème avec internet explorer 5. Donc il n'a pu générer le rapport final. La machine est moins lente mais toujours lente quand même. C'est même ce pourquoi je suis obligé de vous répondre à partir d'un autre pc. A y voir de près je me suis dit que c'est peut être la ram qui n'est pas costaud (128 Mo). Voilà tout. Et merci de votre aide.
Activités de fin d'année obligent , j'ai éxécuté l'opération demandé par lyonnais 92 il ya deux jours mais je n'ai pu repondre. Navré. A priori je pense que je n'ai plus d'infections dans la machine. Le scan de avg je n'ai pu l'avoir comme tu vais dit lyonnais. J'ai du faire après le scans des screenshots. Je vous les envoie dans la journée. Le scan bitdefender ne signale aucune menace. Ni detectée, ni anciennement supprimée. En revanche je n'ai pu avoir le rapport non plus parce qu'il ya une problème avec internet explorer 5. Donc il n'a pu générer le rapport final. La machine est moins lente mais toujours lente quand même. C'est même ce pourquoi je suis obligé de vous répondre à partir d'un autre pc. A y voir de près je me suis dit que c'est peut être la ram qui n'est pas costaud (128 Mo). Voilà tout. Et merci de votre aide.
Bonjour,
je lirai tes rapports quand tu les auras posté.
128 c'est un peu juste (sic) pour Xp SP2 et devrait expliquer une bonne partie de la lenteur;
Tu peux préciser la version de IE que tu as. Le mieux serair de mettre IE7, ce qui ne devrait pas poser de problèmes si ton Windows est légitime. Par contre, tu continues à surfer avec firefox. IE, c'est pour les mises à jour de Windows.
Si tu es en retard, fais les. Ne prends que les critiques.
je lirai tes rapports quand tu les auras posté.
128 c'est un peu juste (sic) pour Xp SP2 et devrait expliquer une bonne partie de la lenteur;
Tu peux préciser la version de IE que tu as. Le mieux serair de mettre IE7, ce qui ne devrait pas poser de problèmes si ton Windows est légitime. Par contre, tu continues à surfer avec firefox. IE, c'est pour les mises à jour de Windows.
Si tu es en retard, fais les. Ne prends que les critiques.
Euh lyonnais j'ai un léger problème. C'est pas possible de coller des images sur le forum je crois. Si oui comment je procède? Sans cela je ne saurais te faire lire les rapports de AVG. a moins de pouvoir l'envoyer en pièce jointe? mais comment? Pour la ram t'as entièrement raison. En fait ce n'est pas mon pc mais celui d'un collègue de travail. Justement c'est ce pourquoi cela ne m'est pas venu plus tôt de vérifier la capacité de la ram. Mais bon je pense que si tous les problème sont réglés et que la lenteur n'est imputable qu'à la ram trop faible pour le service pack 2 bah tant mieux. Merci de ton aide.
Bonjour lyonnais92
J'ai éxécuté à nouveau le scan de avg anti spy comme t'as suggéré et je ne vois plus d'infections a part des cookies que je supprime bien évidement. En outre deux nouveaux problèmes sont apparus:
Primo: j'ai repassé un scan de adware, il voit une menace mais se plante lors du scan a l'étape de vérification des derniers fichiers temporaires. je ne sais pas pourquoi. J'ai fait exprès et j'ai laissé tourner toute un ejournée mais ça ne change rien.
Deuxio: quand je tente de faire certaines opérations comme ouvrir un dossier ou un documentou lancer un application le message ci-après s'affiche: 80avp08.com
L'instruction "ox10013ebc" emploie l'adresse mémoire "ox7d986bfd" la memoire ne peut pas être read.
Ce qui m'inquiète le plus ce n'est plus le pc de mon collègue au boulot mais on dirait que le deuxième problème est dûe à un virus que j'ai transmis à mon laptop chez moi. Et sur un autre pc via ma clé usb. j'ai cherché sur le net mais tout ce que j'ai trouvé est en anglais. Mais visiblement c'est u virus. Je précise quue j'ai scanné avec avg, nod 32, avast, avg anti spy, spybot, adware mais aucun ne trouve de virus.
Cela te dis quelque chose?
J'ai éxécuté à nouveau le scan de avg anti spy comme t'as suggéré et je ne vois plus d'infections a part des cookies que je supprime bien évidement. En outre deux nouveaux problèmes sont apparus:
Primo: j'ai repassé un scan de adware, il voit une menace mais se plante lors du scan a l'étape de vérification des derniers fichiers temporaires. je ne sais pas pourquoi. J'ai fait exprès et j'ai laissé tourner toute un ejournée mais ça ne change rien.
Deuxio: quand je tente de faire certaines opérations comme ouvrir un dossier ou un documentou lancer un application le message ci-après s'affiche: 80avp08.com
L'instruction "ox10013ebc" emploie l'adresse mémoire "ox7d986bfd" la memoire ne peut pas être read.
Ce qui m'inquiète le plus ce n'est plus le pc de mon collègue au boulot mais on dirait que le deuxième problème est dûe à un virus que j'ai transmis à mon laptop chez moi. Et sur un autre pc via ma clé usb. j'ai cherché sur le net mais tout ce que j'ai trouvé est en anglais. Mais visiblement c'est u virus. Je précise quue j'ai scanné avec avg, nod 32, avast, avg anti spy, spybot, adware mais aucun ne trouve de virus.
Cela te dis quelque chose?
Re,
1) télécharge combofix (par sUBs)ici :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
et enregistre le sur le bureau.
2 double-clique sur combofix.exe et suis les instructions
3 à la fin, il va produire un rapport C:\ComboFix.txt
4 copie/colle ce rapport dans ta prochaine réponse.
Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.
2) (mais je ne suis pas sur qu'il ait été mis à jour)::
Télécharge Flash_Disinfector de sUBs ici
:
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe
Enregistre le sur ton bureau.
Double clique sur Flash_Disinfector.exe pour le lancer
.
Quand le message : "Plug in yours flash drive & clic Ok to begin disinfection" apparaitra :
Connecte les clés USB et périphériques USB externes susceptibles d'avoir été infectés.
Puis clique sur Ok
Les icônes sur le bureau vont disparaitre jusqu'à l'apparition du message: "Done!!"
Appuye sur "Ok", pour faire réapparaitre le bureau
1) télécharge combofix (par sUBs)ici :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
et enregistre le sur le bureau.
2 double-clique sur combofix.exe et suis les instructions
3 à la fin, il va produire un rapport C:\ComboFix.txt
4 copie/colle ce rapport dans ta prochaine réponse.
Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.
2) (mais je ne suis pas sur qu'il ait été mis à jour)::
Télécharge Flash_Disinfector de sUBs ici
:
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe
Enregistre le sur ton bureau.
Double clique sur Flash_Disinfector.exe pour le lancer
.
Quand le message : "Plug in yours flash drive & clic Ok to begin disinfection" apparaitra :
Connecte les clés USB et périphériques USB externes susceptibles d'avoir été infectés.
Puis clique sur Ok
Les icônes sur le bureau vont disparaitre jusqu'à l'apparition du message: "Done!!"
Appuye sur "Ok", pour faire réapparaitre le bureau
voici le rapport de mon pc de bureau:
ComboFix 07-12-31.4 - Fougerolle 1446 2007-12-31 13:21:33.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.87 [GMT 0:00]
Running from: C:\Documents and Settings\Fougerolle 1446\Bureau\ComboFix.exe
* Created a new restore point
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Autorun.inf
C:\WINDOWS\system32\x64
.
((((((((((((((((((((((((((((( Fichiers créés 2007-11-28 to 2007-12-31 ))))))))))))))))))))))))))))))))))))
.
2007-12-31 13:20 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-12-29 17:12 . 2007-12-31 11:22 105,216 -r-hs---- C:\80avp08.com
2007-12-29 17:11 . 2007-12-31 11:22 105,216 -r-hs---- C:\WINDOWS\system32\amvo.exe
2007-12-29 17:11 . 2007-12-29 10:42 104,472 -r-hs---- C:\xfoolavp.com
2007-12-29 17:11 . 2007-12-31 11:22 54,272 -r-hs---- C:\WINDOWS\system32\amvo1.dll
2007-12-27 18:34 . 2007-12-27 18:34 244 --ah----- C:\sqmnoopt00.sqm
2007-12-27 18:34 . 2007-12-27 18:34 232 --ah----- C:\sqmdata00.sqm
2007-12-24 14:57 . 2007-12-26 07:58 <REP> d-------- C:\Program Files\tuEagles
2007-12-24 14:57 . 2007-12-24 14:57 9,522 --------- C:\WINDOWS\Retaften.bmp
2007-12-24 14:57 . 2007-12-24 14:57 0 --------- C:\WINDOWS\system32\drivers\IsPubDrv.sys
2007-12-24 14:57 . 2007-12-24 14:57 0 --------- C:\WINDOWS\system32\drivers\IsDrv118.sys
2007-12-19 13:47 . 2007-12-19 13:47 <REP> d-------- C:\Documents and Settings\Fougerolle 1446\WINDOWS
2007-12-19 13:47 . 1997-08-26 12:06 315,904 --------- C:\WINDOWS\IsUninst.exe
2007-12-19 10:20 . 2007-12-19 10:20 <REP> d-------- C:\Program Files\Google
2007-12-19 09:54 . 2007-12-19 09:54 <REP> d-------- C:\Program Files\Windows Defender
2007-12-17 17:55 . 2007-12-17 17:55 151 --------- C:\WINDOWS\PhotoSnapViewer.INI
2007-12-14 17:35 . 2006-08-21 09:14 128,896 --------- C:\WINDOWS\system32\dllcache\fltmgr.sys
2007-12-14 17:35 . 2006-08-21 09:14 23,040 --------- C:\WINDOWS\system32\dllcache\fltmc.exe
2007-12-14 17:35 . 2006-08-21 12:26 16,896 --------- C:\WINDOWS\system32\dllcache\fltlib.dll
2007-12-14 15:41 . 2007-12-14 15:41 <REP> d-------- C:\Program Files\Trend Micro
2007-12-13 12:12 . 2007-09-05 23:22 289,144 --------- C:\WINDOWS\system32\VCCLSID.exe
2007-12-13 12:12 . 2006-04-27 16:49 288,417 --------- C:\WINDOWS\system32\SrchSTS.exe
2007-12-13 12:12 . 2003-06-05 20:13 53,248 --------- C:\WINDOWS\system32\Process.exe
2007-12-13 12:12 . 2004-07-31 17:50 51,200 --------- C:\WINDOWS\system32\dumphive.exe
2007-12-13 12:12 . 2007-10-03 23:36 25,600 --------- C:\WINDOWS\system32\WS2Fix.exe
2007-12-13 12:12 . 2007-12-13 12:12 4,248 --------- C:\WINDOWS\system32\tmp.reg
2007-12-13 11:16 . 2007-07-07 10:07 418,318 ---h----- C:\WINDOWS\system32\ne0kS.exe
2007-12-13 11:16 . 2007-07-07 20:01 5,537 --------- C:\WINDOWS\system32\ne0kS.dll.wsf
2007-12-13 09:52 . 2007-12-14 08:04 <REP> d-------- C:\Documents and Settings\Fougerolle 1446\Contacts
2007-12-13 09:25 . 2007-12-13 09:52 <REP> d-------- C:\Program Files\MSN Messenger
2007-12-12 14:31 . 2007-12-12 14:31 <REP> d-------- C:\Program Files\Lavasoft
2007-12-12 14:31 . 2007-12-12 14:31 <REP> d-------- C:\Documents and Settings\Fougerolle 1446\Application Data\Lavasoft
2007-12-12 14:23 . 2007-12-12 14:25 <REP> d-------- C:\FIL
2007-12-11 15:01 . 2007-12-11 15:13 <REP> d--h----- C:\DOCS
2007-12-06 17:55 . 2007-12-06 17:55 <REP> d-------- C:\Documents and Settings\Fougerolle 1446\Application Data\InterVideo
2007-12-06 11:27 . 2007-12-27 15:57 <REP> d-------- C:\Divers
2007-12-04 11:34 . 2007-12-04 11:34 0 --------- C:\WINDOWS\graphedit.INI
2007-11-30 07:54 . 2007-11-30 08:16 15,048 --------- C:\MACDR055.CST
2007-11-29 15:48 . 2007-11-29 15:48 <REP> d-------- C:\Documents and Settings\Fougerolle 1446\Application Data\Ahead
2007-11-24 10:48 . 2007-10-07 21:07 530,771,180 ---h----- C:\Program Files\AVSEQ01.DAT
2007-11-24 10:30 . 2007-12-29 16:08 116 --a------ C:\WINDOWS\NeroDigital.ini
2007-11-23 12:26 . 2007-11-23 12:26 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Ahead
2007-11-23 12:26 . 2005-07-29 17:12 2,977,792 --------- C:\WINDOWS\UNNeroVision.exe
2007-11-23 12:26 . 2004-07-09 09:43 364,544 --------- C:\WINDOWS\system32\TwnLib4.dll
2007-11-23 12:26 . 2005-08-01 15:37 145,783 --------- C:\WINDOWS\UNNeroVision.cfg
2007-11-23 12:26 . 2001-06-26 08:15 38,912 --------- C:\WINDOWS\system32\picn20.dll
2007-11-23 12:26 . 2001-03-08 19:30 24,064 --------- C:\WINDOWS\system32\msxml3a.dll
2007-11-23 12:24 . 2007-11-23 12:24 <REP> d-------- C:\Program Files\Fichiers communs\Ahead
2007-11-23 12:24 . 2007-11-23 12:26 <REP> d-------- C:\Program Files\Ahead
2007-11-23 12:24 . 2004-07-26 17:16 1,568,768 --------- C:\WINDOWS\system32\ImagX7.dll
2007-11-23 12:24 . 2004-07-26 17:16 476,320 --------- C:\WINDOWS\system32\ImagXpr7.dll
2007-11-23 12:24 . 2004-07-26 17:16 471,040 --------- C:\WINDOWS\system32\ImagXRA7.dll
2007-11-23 12:24 . 2004-07-26 17:16 262,144 --------- C:\WINDOWS\system32\ImagXR7.dll
2007-11-23 12:24 . 2001-07-09 11:50 155,648 --------- C:\WINDOWS\system32\NeroCheck.exe
2007-11-23 12:24 . 2004-03-02 17:37 125,184 --------- C:\WINDOWS\system32\drivers\imagesrv.sys
2007-11-23 12:24 . 2000-06-26 11:45 106,496 --------- C:\WINDOWS\system32\TwnLib20.dll
2007-11-23 12:24 . 2004-03-02 17:37 5,504 --------- C:\WINDOWS\system32\drivers\imagedrv.sys
2007-11-23 12:18 . 2007-11-23 12:18 <REP> d-------- C:\Program Files\DivX
2007-11-14 18:26 . 2007-09-24 23:31 69,632 --------- C:\WINDOWS\system32\javacpl.cpl
2007-11-14 18:12 . 2006-10-04 14:06 1,197,294 --------- C:\WINDOWS\system32\dllcache\sysmain.sdb
2007-11-14 18:12 . 2006-10-04 14:06 764,868 --------- C:\WINDOWS\system32\dllcache\apph_sp.sdb
2007-11-14 18:12 . 2006-10-04 14:06 217,118 --------- C:\WINDOWS\system32\dllcache\apphelp.sdb
2007-11-14 18:09 . 2007-11-14 18:09 <REP> d-------- C:\WINDOWS\system32\LogFiles
2007-11-14 18:09 . 2007-11-14 18:10 <REP> d-------- C:\WINDOWS\system32\drivers\UMDF
2007-11-14 18:08 . 2007-12-31 09:45 <REP> d-------- C:\Program Files\Fichiers communs\Adobe
2007-11-14 17:50 . 2007-12-04 14:51 42,912 --------- C:\WINDOWS\system32\drivers\aswTdi.sys
2007-11-14 17:50 . 2007-12-04 14:49 26,624 --------- C:\WINDOWS\system32\drivers\aavmker4.sys
2007-11-14 17:50 . 2007-12-04 14:53 23,152 --------- C:\WINDOWS\system32\drivers\aswRdr.sys
2007-11-14 17:49 . 2007-11-14 17:49 <REP> d-------- C:\Program Files\Alwil Software
2007-11-14 17:49 . 2007-12-04 13:04 837,496 --a------ C:\WINDOWS\system32\aswBoot.exe
2007-11-14 17:49 . 2004-01-09 10:13 380,928 --a------ C:\WINDOWS\system32\actskin4.ocx
2007-11-14 17:49 . 2007-12-04 12:54 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr
2007-11-14 17:49 . 2007-12-04 14:55 94,544 --------- C:\WINDOWS\system32\drivers\aswmon2.sys
2007-11-14 17:49 . 2007-12-04 14:56 93,264 --------- C:\WINDOWS\system32\drivers\aswmon.sys
2007-11-14 17:48 . 2004-02-17 09:11 53,248 --------- C:\WINDOWS\system32\vp6dec_settings.cpl
2007-11-14 17:47 . 2007-11-14 17:48 <REP> d-------- C:\Program Files\ACE Mega CoDecS Pack
2007-11-14 17:45 . 2007-11-14 17:45 <REP> d-------- C:\Program Files\SuperCopier2
2007-11-14 17:44 . 2007-11-14 18:07 <REP> d-------- C:\Documents and Settings\Fougerolle 1446\Application Data\U3
2007-11-14 17:44 . 2004-08-03 22:08 26,496 --------- C:\WINDOWS\system32\dllcache\usbstor.sys
2007-11-14 17:14 . 2007-11-14 17:16 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Microsoft Help
2007-11-14 17:02 . 2003-06-19 00:31 17,920 --------- C:\WINDOWS\system32\mdimon.dll
2007-11-14 17:02 . 2007-11-14 17:02 385 --------- C:\WINDOWS\ODBC.INI
2007-11-14 17:00 . 2007-11-14 17:14 <REP> d-------- C:\WINDOWS\SHELLNEW
2007-11-14 17:00 . 2007-11-14 17:16 <REP> d-------- C:\Program Files\Microsoft Works
2007-11-14 16:59 . 2007-11-14 16:59 <REP> d-------- C:\Program Files\Microsoft.NET
2007-11-14 16:58 . 2007-11-14 16:58 <REP> dr-h----- C:\MSOCache
2007-11-14 16:49 . 2007-11-14 16:50 <REP> d-------- C:\Program Files\Windows Live Toolbar
2007-11-14 16:49 . 2007-12-31 09:35 <REP> d--h----- C:\Documents and Settings\Fougerolle 1446\Voisinage réseau
2007-11-14 16:49 . 2007-07-19 01:29 <REP> d--h----- C:\Documents and Settings\Fougerolle 1446\Voisinage d'impression
2007-11-14 16:49 . 2007-07-19 01:29 <REP> d--h----- C:\Documents and Settings\Fougerolle 1446\Modèles
2007-11-14 16:49 . 2007-12-28 11:29 <REP> dr------- C:\Documents and Settings\Fougerolle 1446\Mes documents
2007-11-14 16:49 . 2007-07-19 01:29 <REP> dr------- C:\Documents and Settings\Fougerolle 1446\Menu Démarrer
2007-11-14 16:49 . 2007-11-14 16:49 <REP> dr------- C:\Documents and Settings\Fougerolle 1446\Favoris
2007-11-14 16:49 . 2007-12-31 13:09 <REP> d-------- C:\Documents and Settings\Fougerolle 1446\Bureau
2007-11-14 16:49 . 2007-07-18 18:11 <REP> d-------- C:\Documents and Settings\Fougerolle 1446\Application Data\ThinkVantage
2007-11-14 16:49 . 2007-07-18 17:59 <REP> d-------- C:\Documents and Settings\Fougerolle 1446\Application Data\Symantec
2007-11-14 16:49 . 2007-07-18 18:11 <REP> d-------- C:\Documents and Settings\Fougerolle 1446\Application Data\Lenovo
2007-11-14 16:49 . 2004-08-05 12:00 221,184 --------- C:\WINDOWS\system32\wmpns.dll
2007-11-14 16:49 . 2007-11-14 16:49 50 --------- C:\WINDOWS\system32\drivers\LENOVO_9389_W6E.MRK
2007-11-14 16:49 . 2007-11-14 16:49 10 --------- C:\WINDOWS\system32\firstboot.ibm
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-30 15:07 5,427 ----a-w C:\WINDOWS\system32\EGATHDRV.SYS
2007-12-08 13:42 --------- d--h--w C:\Program Files\drivers
2007-11-22 17:20 --------- d-----w C:\Program Files\Picasa2
2007-11-14 18:26 --------- d-----w C:\Program Files\Java
2007-11-14 18:11 --------- d-----w C:\Program Files\Windows Media Connect 2
2007-11-14 16:57 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared
2007-11-14 16:55 --------- d-----w C:\Program Files\Symantec Client Security
2007-11-14 16:54 --------- d-----w C:\Documents and Settings\All Users\Application Data\Symantec
2007-11-13 10:25 20,480 ------w C:\WINDOWS\system32\drivers\secdrv.sys
2007-10-30 23:23 3,590,656 ------w C:\WINDOWS\system32\dllcache\mshtml.dll
2007-10-29 22:43 1,293,824 ------w C:\WINDOWS\system32\quartz.dll
2007-10-29 22:43 1,293,824 ------w C:\WINDOWS\system32\dllcache\quartz.dll
2007-10-25 16:43 8,516,608 ------w C:\WINDOWS\system32\dllcache\shell32.dll
2007-10-25 09:28 222,720 ------w C:\WINDOWS\system32\wmasf.dll
2007-10-25 09:28 222,720 ------w C:\WINDOWS\system32\dllcache\wmasf.dll
2007-10-10 23:49 824,832 ------w C:\WINDOWS\system32\dllcache\wininet.dll
2007-10-10 23:49 671,232 ------w C:\WINDOWS\system32\dllcache\mstime.dll
2007-10-10 23:49 63,488 ------w C:\WINDOWS\system32\dllcache\icardie.dll
2007-10-10 23:49 6,065,664 ------w C:\WINDOWS\system32\dllcache\ieframe.dll
2007-10-10 23:49 52,224 ------w C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2007-10-10 23:49 478,208 ------w C:\WINDOWS\system32\dllcache\mshtmled.dll
2007-10-10 23:49 459,264 ------w C:\WINDOWS\system32\dllcache\msfeeds.dll
2007-10-10 23:49 44,544 ------w C:\WINDOWS\system32\dllcache\iernonce.dll
2007-10-10 23:49 384,512 ------w C:\WINDOWS\system32\dllcache\iedkcs32.dll
2007-10-10 23:49 383,488 ------w C:\WINDOWS\system32\dllcache\ieapfltr.dll
2007-10-10 23:49 27,648 ------w C:\WINDOWS\system32\dllcache\jsproxy.dll
2007-10-10 23:49 267,776 ------w C:\WINDOWS\system32\dllcache\iertutil.dll
2007-10-10 23:49 232,960 ------w C:\WINDOWS\system32\dllcache\webcheck.dll
2007-10-10 23:49 230,400 ------w C:\WINDOWS\system32\dllcache\ieaksie.dll
2007-10-10 23:49 214,528 ------w C:\WINDOWS\system32\dllcache\dxtrans.dll
2007-10-10 23:49 193,024 ------w C:\WINDOWS\system32\dllcache\msrating.dll
2007-10-10 23:49 153,088 ------w C:\WINDOWS\system32\dllcache\ieakeng.dll
2007-10-10 23:49 132,608 ------w C:\WINDOWS\system32\dllcache\extmgr.dll
2007-10-10 23:49 124,928 ------w C:\WINDOWS\system32\dllcache\advpack.dll
2007-10-10 23:49 105,984 ------w C:\WINDOWS\system32\dllcache\url.dll
2007-10-10 23:49 102,400 ------w C:\WINDOWS\system32\dllcache\occache.dll
2007-10-10 23:49 1,159,680 ------w C:\WINDOWS\system32\dllcache\urlmon.dll
2007-10-10 11:00 70,656 ------w C:\WINDOWS\system32\dllcache\ie4uinit.exe
2007-10-10 11:00 625,152 ------w C:\WINDOWS\system32\dllcache\iexplore.exe
2007-10-10 10:59 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe
2007-10-10 05:46 161,792 ------w C:\WINDOWS\system32\dllcache\ieakui.dll
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 12:00 15360]
"SuperCopier2.exe"="C:\Program Files\SuperCopier2\SuperCopier2.exe" [2006-07-07 16:45 1052672]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55 5674352]
"amva"="C:\WINDOWS\system32\amvo.exe" [2007-12-31 11:22 105216]
"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-03 09:59 204288]
"AdobeUpdater"="C:\Program Files\Fichiers communs\Adobe\Updater5\AdobeUpdater.exe" [2007-03-01 10:37 2321600]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Raccourci vers la page des propriétés de High Definition Audio"="HDAShCut.exe" [2005-01-07 15:07 61952 C:\WINDOWS\system32\HdAShCut.exe]
"Mouse Suite 98 Daemon"="ICO.EXE" [2005-04-13 12:34 49152 C:\WINDOWS\system32\ico.exe]
"SoundMAXPnP"="C:\Program Files\Analog Devices\Core\smax4pnp.exe" [2006-12-18 13:34 868352]
"SoundMAX"="C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" [2006-07-13 05:12 729088]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2006-10-06 04:11 98304]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2006-10-06 04:13 114688]
"Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2006-10-06 04:10 94208]
"AMSG"="C:\Program Files\ThinkVantage\AMSG\Amsg.exe" [2005-11-14 06:23 487424]
"LPManager"="C:\PROGRA~1\THINKV~1\PrdCtr\LPMGR.exe" [2006-03-22 16:10 106496]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"DLA"="C:\WINDOWS\System32\DLA\DLACTRLW.EXE" [2006-02-02 03:20 122940]
"ISUSPM Startup"="C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 14:50 221184]
"ISUSScheduler"="C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2004-07-27 14:50 81920]
"AwaySch"="C:\Program Files\Lenovo\AwayTask\AwaySch.EXE" [2006-04-18 17:05 69632]
"TVT Scheduler Proxy"="C:\Program Files\Fichiers communs\Lenovo\Scheduler\scheduler_proxy.exe" [2006-03-28 02:01 503808]
"DiskeeperSystray"="C:\Program Files\Diskeeper Corporation\Diskeeper\DkIcon.exe" [2006-05-18 14:24 196696]
"Picasa Media Detector"="C:\Program Files\Picasa2\PicasaMediaDetector.exe" [2005-10-28 18:08 335872]
"PDService.exe"="C:\Program Files\Lenovo\SafeGuard PrivateDisk\pdservice.exe" [2006-03-13 14:38 41472]
"cssauth"="C:\Program Files\Lenovo\Client Security Solution\cssauth.exe" [2006-05-12 18:15 2333440]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 13:00 79224]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [2006-11-03 19:20 866584]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06 40048]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 12:00 15360]
"DWQueuedReporting"="C:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2006-10-26 18:48 434528]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\AwayNotify]
C:\Program Files\Lenovo\AwayTask\AwayNotify.dll 2006-04-18 17:05 49152 C:\Program Files\Lenovo\AwayTask\AwayNotify.dll
R2 PrivateDisk;PrivateDisk;C:\Program Files\Lenovo\SafeGuard PrivateDisk\PrivateDiskM.sys [2006-03-13 14:05]
R2 smi2;smi2;C:\Program Files\SMI2\smi2.sys [2006-05-12 16:10]
R3 pelmouse;Mouse Suite Driver;C:\WINDOWS\system32\DRIVERS\pelmouse.sys [2003-01-10 11:55]
R3 pelusblf;USB Mouse Low Filter Driver;C:\WINDOWS\system32\DRIVERS\pelusblf.sys [2003-02-11 11:25]
R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 22:08]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{48ad2dc0-b5fb-11dc-a5db-001558eccc91}]
\Shell\AutoRun\command - E:\xfoolavp.com
\Shell\explore\Command - E:\xfoolavp.com
\Shell\open\Command - E:\xfoolavp.com
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{48d0409f-aa1b-11dc-a5cf-001558eccc91}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe WillPolo.vbs
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{609ddee6-9c1b-11dc-a5b7-001558eccc91}]
\Shell\AutoRun\command - EXPLORER.EXE
\Shell\explore\Command - EXPLORER.EXE
\Shell\open\Command - EXPLORER.EXE
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{78cb9ede-a3d1-11dc-a5c2-001558eccc91}]
\Shell\AutoRun\command - E:\80avp08.com
\Shell\explore\Command - E:\80avp08.com
\Shell\open\Command - E:\80avp08.com
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7d10d362-b1f9-11dc-a5d6-001558eccc91}]
\Shell\AutoRun\command - E:\ntde1ect.com
\Shell\explore\Command - E:\ntde1ect.com
\Shell\open\Command - E:\ntde1ect.com
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{922ef5e8-a0e3-11dc-a5be-001558eccc91}]
\Shell\Auto\command - wscript "Sex City.jpg.wsf"
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript "Sex City.jpg.wsf"
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{db86134e-991a-11dc-a5b2-001558eccc91}]
\Shell\Auto\command - wscript "Sex City.jpg.wsf"
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript "Sex City.jpg.wsf"
*Newly Created Service* - GFCVBM
*Newly Created Service* - PROCEXP90
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2007-12-29 11:03:57 C:\WINDOWS\Tasks\MP Scheduled Scan.job"
- C:\Program Files\Windows Defender\MpCmdRun.exe
"2007-12-31 13:15:03 C:\WINDOWS\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job"
- C:\Program Files\Windows Live Toolbar\MSNTBUP.EXE
.
**************************************************************************
catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-31 13:24:10
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
Completion time: 2007-12-31 13:25:02
C:\qoobox\ComboFix-quarantined-files.txt 2007-12-31 13:24:58
.
2007-12-28 07:55:19 --- E O F ---
ET VOICI CELUI DE MON LAPTOP
ComboFix 07-12-31.4 - EDORH Florence Véna 2007-12-31 13:21:23.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.187 [GMT 0:00]
Running from: C:\Documents and Settings\EDORH Florence Véna\Mes documents\Mes fichiers reçus\ComboFix.exe
* Created a new restore point
.
((((((((((((((((((((((((((((( Fichiers créés 2007-11-28 to 2007-12-31 ))))))))))))))))))))))))))))))))))))
.
2007-12-31 13:17 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-12-31 13:14 . 2007-12-31 13:14 <REP> d-------- C:\WINDOWS\LastGood
2007-12-26 22:13 . 2007-12-26 22:13 <REP> d-------- C:\Program Files\Virtools
2007-12-26 20:50 . 2007-12-26 20:50 <REP> d-------- C:\Documents and Settings\All Users\Application Data\MailFrontier
2007-12-26 20:50 . 2007-12-26 20:53 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2007-12-26 20:48 . 2007-12-26 21:44 <REP> d-------- C:\WINDOWS\Internet Logs
2007-12-26 19:45 . 2007-12-26 19:45 <REP> d-------- C:\Program Files\SuperCopier2
2007-12-26 15:38 . 2007-12-26 15:38 502,368 --a------ C:\WINDOWS\system32\drivers\amon.sys
2007-12-26 15:38 . 2007-12-26 15:38 270,336 --a------ C:\WINDOWS\system32\imon.dll
2007-12-26 01:46 . 2007-12-26 01:46 0 --a------ C:\WINDOWS\system32\mapisvc.inf
2007-12-20 09:17 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2007-12-19 15:38 . 2007-12-31 13:14 <REP> d-------- C:\Program Files\Windows Live Safety Center
2007-12-17 08:09 . 2007-12-17 08:09 <REP> d-------- C:\Program Files\Veoh Networks
2007-12-12 03:41 . 2007-10-10 23:49 6,065,664 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll
2007-12-12 03:41 . 2007-07-01 03:31 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat
2007-12-12 03:41 . 2007-07-01 03:36 1,048,576 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2007-12-12 03:41 . 2007-10-10 23:49 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll
2007-12-12 03:41 . 2007-10-10 23:49 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2007-12-12 03:41 . 2007-10-10 23:49 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll
2007-12-12 03:41 . 2007-10-10 23:49 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll
2007-12-12 03:41 . 2007-10-10 23:49 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2007-12-12 03:41 . 2007-10-10 10:59 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe
2007-12-12 03:37 . 2007-12-12 03:44 <REP> d-------- C:\WINDOWS\system32\fr-fr
2007-12-11 22:34 . 2007-12-11 22:34 1,044,480 --a------ C:\WINDOWS\system32\libdivx.dll
2007-12-11 22:34 . 2007-12-11 22:34 200,704 --a------ C:\WINDOWS\system32\ssldivx.dll
2007-12-11 03:26 . 2007-12-11 03:30 <REP> d-------- C:\Documents and Settings\EDORH Florence Véna\Application Data\SecondLife
2007-12-11 03:04 . 2007-12-11 14:10 <REP> d-------- C:\Program Files\SecondLife
2007-12-07 13:19 . 2007-12-17 08:38 <REP> d-------- C:\Program Files\DivX
2007-12-07 04:00 . 2007-12-07 04:00 <REP> d-------- C:\Program Files\RedlightCenter
2007-12-07 04:00 . 2007-12-07 04:00 <REP> d-------- C:\Program Files\Fichiers communs\PocketSoft
2007-12-05 21:57 . 2007-12-21 11:17 38 --a------ C:\WINDOWS\avisplitter.INI
2007-12-05 18:37 . 2007-12-05 18:37 <REP> d-------- C:\Program Files\Microsoft Silverlight
2007-12-04 01:27 . 2004-05-14 16:53 462,848 --a------ C:\WINDOWS\system32\ltkrn13n.dll
2007-12-04 01:27 . 2004-05-14 16:53 450,560 --a------ C:\WINDOWS\system32\ltimg13n.dll
2007-12-04 01:27 . 2004-05-14 16:53 401,408 --a------ C:\WINDOWS\system32\lfcmp13n.dll
2007-12-04 01:27 . 2004-05-14 16:53 299,008 --a------ C:\WINDOWS\system32\ltdis13n.dll
2007-12-04 01:27 . 2004-01-12 02:09 206,336 --a------ C:\WINDOWS\system32\ltefx13n.dll
2007-12-04 01:27 . 2004-05-14 16:53 163,840 --a------ C:\WINDOWS\system32\ltfil13n.dll
2007-12-04 01:27 . 2003-11-04 15:10 69,632 --a------ C:\WINDOWS\system32\lfgif13n.dll
2007-12-04 01:27 . 2004-05-14 16:53 57,344 --a------ C:\WINDOWS\system32\lfbmp13n.dll
2007-11-30 15:10 . 2007-11-30 15:11 <REP> d-------- C:\Documents and Settings\EDORH Florence Véna\Application Data\Media Player Classic
2007-11-29 03:11 . 2007-11-29 03:11 <REP> d-------- C:\Program Files\Fichiers communs\Sandlot Shared
2007-11-29 03:11 . 2007-12-01 03:27 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Sandlot Games
2007-11-29 02:37 . 2007-11-29 02:41 <REP> d-------- C:\Documents and Settings\EDORH Florence Véna\Application Data\Super-Cow
2007-11-29 02:23 . 2007-11-29 09:19 <REP> d-------- C:\Documents and Settings\EDORH Florence Véna\Application Data\PlayFirst
2007-11-29 02:23 . 2007-12-19 09:20 <REP> d-------- C:\Documents and Settings\EDORH Florence Véna\Application Data\GameHouse
2007-11-29 02:23 . 2007-11-29 09:19 <REP> d-------- C:\Documents and Settings\All Users\Application Data\PlayFirst
2007-11-29 02:23 . 2007-11-29 02:23 <REP> d-------- C:\Documents and Settings\All Users\Application Data\n7-89-o9-3r-4t-r9
2007-11-28 23:53 . 2007-11-28 23:53 <REP> d-------- C:\Documents and Settings\All Users\Application Data\rs-95-47-2p-55-55
2007-11-28 23:46 . 2007-12-19 11:56 <REP> d-------- C:\Program Files\GameHouse
2007-11-28 23:46 . 2007-11-28 23:46 <REP> d-------- C:\Documents and Settings\All Users\Application Data\50-65-46-2p-57-55
2007-11-28 22:49 . 2007-11-28 22:49 <REP> d-------- C:\WINDOWS\Sun
2007-11-28 21:43 . 2007-11-28 21:43 <REP> d-------- C:\Program Files\Fichiers communs\Adobe
2007-11-28 21:43 . 2007-11-28 21:43 <REP> d-------- C:\Documents and Settings\EDORH Florence Véna\Application Data\AdobeUM
2007-11-28 20:11 . 2007-11-28 20:11 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Trymedia
2007-11-28 20:10 . 2007-11-28 20:22 <REP> d-------- C:\Downloads
2007-11-28 17:42 . 2007-12-17 08:07 <REP> d-------- C:\WINDOWS\Downloaded Installations
2007-11-28 17:28 . 2007-11-28 17:34 <REP> d-------- C:\Program Files\PacificPoker
2007-11-28 17:14 . 2007-11-28 20:11 <REP> d-------- C:\Program Files\Monopoly_at
2007-11-28 17:11 . 2007-11-28 17:11 <REP> d-------- C:\Documents and Settings\EDORH Florence Véna\Application Data\Jane s Hotel
2007-11-28 17:11 . 2007-11-28 20:24 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2007-11-28 15:55 . 2007-11-28 15:55 <REP> d-------- C:\Program Files\Ihsv
2007-11-28 15:38 . 2007-11-28 15:38 <REP> d-------- C:\Documents and Settings\EDORH Florence Véna\Application Data\funkitron
2007-11-28 15:28 . 2007-11-28 15:28 <REP> d-------- C:\Program Files\Trymedia
2007-11-27 18:12 . 2007-11-27 18:12 <REP> d-------- C:\WINDOWS\Abra Academy - Returning Cast
2007-11-27 18:12 . 2007-11-27 18:13 <REP> d-------- C:\Documents and Settings\EDORH Florence Véna\Application Data\Abra Academy2
2007-11-26 11:03 . 2007-11-27 13:40 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Messenger Plus!
2007-11-26 10:33 . 2007-11-26 13:02 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2007-11-26 05:57 . 2007-12-27 18:59 <REP> d-------- C:\Program Files\Google
2007-11-26 05:51 . 2007-12-17 07:28 <REP> d-------- C:\Program Files\Messenger Plus! Live
2007-11-26 04:53 . 2007-11-26 04:53 <REP> d-------- C:\Program Files\MSXML 4.0
2007-11-26 01:12 . 2007-11-26 01:12 <REP> d-------- C:\Program Files\Windows Media Connect 2
2007-11-26 01:10 . 2007-11-26 01:10 <REP> d-------- C:\WINDOWS\system32\LogFiles
2007-11-26 01:10 . 2007-11-26 01:11 <REP> d-------- C:\WINDOWS\system32\drivers\UMDF
2007-11-26 01:02 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2007-11-26 01:02 . 2007-07-30 19:19 207,736 --a------ C:\WINDOWS\system32\muweb.dll
2007-11-26 01:02 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2007-11-26 00:34 . 2007-11-26 23:29 <REP> d-------- C:\Documents and Settings\EDORH Florence Véna\Contacts
2007-11-26 00:34 . 2007-11-26 23:29 <REP> d-------- C:\Documents and Settings\EDORH Florence Véna\Contacts
2007-11-25 23:58 . 2007-11-25 23:58 268 --ah----- C:\sqmdata05.sqm
2007-11-25 23:58 . 2007-11-25 23:58 244 --ah----- C:\sqmnoopt05.sqm
2007-11-25 23:25 . 2007-11-25 23:25 <REP> d-------- C:\Documents and Settings\EDORH Florence Véna\Application Data\OLYMPUS
2007-11-25 22:48 . 2007-11-25 22:48 268 --ah----- C:\sqmdata04.sqm
2007-11-25 22:48 . 2007-11-25 22:48 244 --ah----- C:\sqmnoopt04.sqm
2007-11-25 22:41 . 2006-09-25 17:58 23,856 --a------ C:\WINDOWS\system32\spupdsvc.exe
2007-11-25 22:35 . 2007-11-25 22:35 268 --ah----- C:\sqmdata03.sqm
2007-11-25 22:35 . 2007-11-25 22:35 244 --ah----- C:\sqmnoopt03.sqm
2007-11-25 22:27 . 2007-11-25 22:27 268 --ah----- C:\sqmdata02.sqm
2007-11-25 22:27 . 2007-11-25 22:27 244 --ah----- C:\sqmnoopt02.sqm
2007-11-25 20:58 . 2007-12-12 04:57 <REP> d--h----- C:\WINDOWS\$hf_mig$
2007-11-25 20:51 . 2007-11-25 20:51 268 --ah----- C:\sqmdata01.sqm
2007-11-25 20:51 . 2007-11-25 20:51 244 --ah----- C:\sqmnoopt01.sqm
2007-11-25 20:48 . 2007-11-25 20:48 268 --ah----- C:\sqmdata00.sqm
2007-11-25 20:48 . 2007-11-25 20:48 244 --ah----- C:\sqmnoopt00.sqm
2007-11-25 20:44 . 2007-12-31 10:02 <REP> d-------- C:\Program Files\eMule
2007-11-25 20:11 . 2007-11-25 20:18 <REP> d--hsc--- C:\Program Files\Fichiers communs\WindowsLiveInstaller
2007-11-25 20:10 . 2007-11-25 20:32 <REP> d-------- C:\Program Files\Windows Live
2007-11-25 20:10 . 2007-11-25 20:10 <REP> d-------- C:\Documents and Settings\All Users\Application Data\WLInstaller
2007-11-25 19:42 . 2007-11-25 19:42 <REP> d--hs---- C:\Documents and Settings\EDORH Florence Véna\UserData
2007-11-25 19:42 . 2007-11-25 19:42 <REP> d--hs---- C:\Documents and Settings\EDORH Florence Véna\UserData
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-24 17:00 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-12-20 09:17 --------- d-----w C:\Program Files\Java
2007-11-25 12:06 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
2007-11-25 11:57 --------- d-----w C:\Program Files\Synaptics
2007-11-25 11:56 --------- d-----w C:\Program Files\VIAudioi
2007-11-25 11:55 --------- d-----w C:\Program Files\ATI Technologies
2007-11-25 11:53 --------- d-----w C:\Program Files\Intel
2007-11-25 11:39 --------- d-----w C:\Program Files\microsoft frontpage
2007-11-25 11:39 --------- d-----w C:\Program Files\Fichiers communs\Java
2007-11-25 11:36 --------- d-----w C:\Program Files\Services en ligne
2007-11-25 11:35 --------- d-----w C:\Program Files\Fichiers communs\MSSoap
2007-11-25 11:28 --------- d-----w C:\Program Files\Fichiers communs\SpeechEngines
2007-11-25 11:28 --------- d-----w C:\Program Files\Fichiers communs\ODBC
2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2007-10-29 22:43 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll
2007-10-25 09:28 222,720 ----a-w C:\WINDOWS\system32\wmasf.dll
2007-10-22 03:39 267,272 ----a-w C:\WINDOWS\system32\xactengine2_10.dll
2007-10-22 03:37 17,928 ----a-w C:\WINDOWS\system32\X3DAudio1_2.dll
2007-10-18 11:31 51,224 ----a-w C:\WINDOWS\system32\sirenacm.dll
2007-10-12 15:14 3,734,536 ----a-w C:\WINDOWS\system32\d3dx9_36.dll
2007-10-12 15:14 1,374,232 ----a-w C:\WINDOWS\system32\D3DCompiler_36.dll
2007-10-02 09:56 444,776 ----a-w C:\WINDOWS\system32\d3dx10_36.dll
2007-09-28 18:07 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2007-09-28 18:05 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll
2007-09-28 18:05 739,840 ----a-w C:\WINDOWS\system32\divx.dll
2007-09-04 18:56 164,352 ----a-w C:\WINDOWS\system32\unrar.dll
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 12:00 15360]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 11:34 5724184]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-11-27 00:15 68856]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 16:46 1460560]
"Civ3GoldSetup.exe"="C:\DOCUME~1\EDORHF~1\MESDOC~1\jeux\LEMONA~1\CIVILI~1.COM\CIVILI~1.COM /r" [ ]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 16:24 1694208]
"Veoh"="C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" [2007-12-03 13:21 3461120]
"SuperCopier2.exe"="C:\Program Files\SuperCopier2\SuperCopier2.exe" [2006-07-07 16:45 1052672]
"googletalk"="C:\Program Files\Google\Google Talk\googletalk.exe" [2007-01-01 21:22 3739648]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-06-10 21:10 339968]
"SynTPLpr"="C:\Program Files\Synaptics\SynTP\SynTPLpr.exe" [2004-05-07 10:49 98304]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2004-05-07 10:49 536576]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-11-25 12:04 77824]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"nod32kui"="C:\Program Files\Eset\nod32kui.exe" [2007-12-26 15:38 921600]
"googletalk"="C:\Program Files\Google\Google Talk\googletalk.exe" [2007-01-01 21:22 3739648]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 12:00 15360]
R3 CONAN;CONAN;C:\WINDOWS\system32\drivers\o2mmb.sys [2004-02-12 01:18]
R3 MbxStby;MbxStby;C:\WINDOWS\system32\drivers\MbxStby.sys [2004-01-27 23:00]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{173fd82b-9dee-11dc-baca-00030d1f9211}]
\Shell\Auto\command - wscript "Sex City.jpg.wsf"
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript "Sex City.jpg.wsf"
*Newly Created Service* - PROCEXP90
.
**************************************************************************
catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-31 13:24:00
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
PROCESS: C:\WINDOWS\system32\lsass.exe [5.01.2600.2180]
-> C:\Program Files\Eset\pr_imon.dll
.
Completion time: 2007-12-31 13:24:35
.
2007-12-13 03:03:35 --- E O F ---
Qu'en dis-tu? Le flash desinfector aussi a été exécuté.
ComboFix 07-12-31.4 - Fougerolle 1446 2007-12-31 13:21:33.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.87 [GMT 0:00]
Running from: C:\Documents and Settings\Fougerolle 1446\Bureau\ComboFix.exe
* Created a new restore point
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Autorun.inf
C:\WINDOWS\system32\x64
.
((((((((((((((((((((((((((((( Fichiers créés 2007-11-28 to 2007-12-31 ))))))))))))))))))))))))))))))))))))
.
2007-12-31 13:20 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-12-29 17:12 . 2007-12-31 11:22 105,216 -r-hs---- C:\80avp08.com
2007-12-29 17:11 . 2007-12-31 11:22 105,216 -r-hs---- C:\WINDOWS\system32\amvo.exe
2007-12-29 17:11 . 2007-12-29 10:42 104,472 -r-hs---- C:\xfoolavp.com
2007-12-29 17:11 . 2007-12-31 11:22 54,272 -r-hs---- C:\WINDOWS\system32\amvo1.dll
2007-12-27 18:34 . 2007-12-27 18:34 244 --ah----- C:\sqmnoopt00.sqm
2007-12-27 18:34 . 2007-12-27 18:34 232 --ah----- C:\sqmdata00.sqm
2007-12-24 14:57 . 2007-12-26 07:58 <REP> d-------- C:\Program Files\tuEagles
2007-12-24 14:57 . 2007-12-24 14:57 9,522 --------- C:\WINDOWS\Retaften.bmp
2007-12-24 14:57 . 2007-12-24 14:57 0 --------- C:\WINDOWS\system32\drivers\IsPubDrv.sys
2007-12-24 14:57 . 2007-12-24 14:57 0 --------- C:\WINDOWS\system32\drivers\IsDrv118.sys
2007-12-19 13:47 . 2007-12-19 13:47 <REP> d-------- C:\Documents and Settings\Fougerolle 1446\WINDOWS
2007-12-19 13:47 . 1997-08-26 12:06 315,904 --------- C:\WINDOWS\IsUninst.exe
2007-12-19 10:20 . 2007-12-19 10:20 <REP> d-------- C:\Program Files\Google
2007-12-19 09:54 . 2007-12-19 09:54 <REP> d-------- C:\Program Files\Windows Defender
2007-12-17 17:55 . 2007-12-17 17:55 151 --------- C:\WINDOWS\PhotoSnapViewer.INI
2007-12-14 17:35 . 2006-08-21 09:14 128,896 --------- C:\WINDOWS\system32\dllcache\fltmgr.sys
2007-12-14 17:35 . 2006-08-21 09:14 23,040 --------- C:\WINDOWS\system32\dllcache\fltmc.exe
2007-12-14 17:35 . 2006-08-21 12:26 16,896 --------- C:\WINDOWS\system32\dllcache\fltlib.dll
2007-12-14 15:41 . 2007-12-14 15:41 <REP> d-------- C:\Program Files\Trend Micro
2007-12-13 12:12 . 2007-09-05 23:22 289,144 --------- C:\WINDOWS\system32\VCCLSID.exe
2007-12-13 12:12 . 2006-04-27 16:49 288,417 --------- C:\WINDOWS\system32\SrchSTS.exe
2007-12-13 12:12 . 2003-06-05 20:13 53,248 --------- C:\WINDOWS\system32\Process.exe
2007-12-13 12:12 . 2004-07-31 17:50 51,200 --------- C:\WINDOWS\system32\dumphive.exe
2007-12-13 12:12 . 2007-10-03 23:36 25,600 --------- C:\WINDOWS\system32\WS2Fix.exe
2007-12-13 12:12 . 2007-12-13 12:12 4,248 --------- C:\WINDOWS\system32\tmp.reg
2007-12-13 11:16 . 2007-07-07 10:07 418,318 ---h----- C:\WINDOWS\system32\ne0kS.exe
2007-12-13 11:16 . 2007-07-07 20:01 5,537 --------- C:\WINDOWS\system32\ne0kS.dll.wsf
2007-12-13 09:52 . 2007-12-14 08:04 <REP> d-------- C:\Documents and Settings\Fougerolle 1446\Contacts
2007-12-13 09:25 . 2007-12-13 09:52 <REP> d-------- C:\Program Files\MSN Messenger
2007-12-12 14:31 . 2007-12-12 14:31 <REP> d-------- C:\Program Files\Lavasoft
2007-12-12 14:31 . 2007-12-12 14:31 <REP> d-------- C:\Documents and Settings\Fougerolle 1446\Application Data\Lavasoft
2007-12-12 14:23 . 2007-12-12 14:25 <REP> d-------- C:\FIL
2007-12-11 15:01 . 2007-12-11 15:13 <REP> d--h----- C:\DOCS
2007-12-06 17:55 . 2007-12-06 17:55 <REP> d-------- C:\Documents and Settings\Fougerolle 1446\Application Data\InterVideo
2007-12-06 11:27 . 2007-12-27 15:57 <REP> d-------- C:\Divers
2007-12-04 11:34 . 2007-12-04 11:34 0 --------- C:\WINDOWS\graphedit.INI
2007-11-30 07:54 . 2007-11-30 08:16 15,048 --------- C:\MACDR055.CST
2007-11-29 15:48 . 2007-11-29 15:48 <REP> d-------- C:\Documents and Settings\Fougerolle 1446\Application Data\Ahead
2007-11-24 10:48 . 2007-10-07 21:07 530,771,180 ---h----- C:\Program Files\AVSEQ01.DAT
2007-11-24 10:30 . 2007-12-29 16:08 116 --a------ C:\WINDOWS\NeroDigital.ini
2007-11-23 12:26 . 2007-11-23 12:26 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Ahead
2007-11-23 12:26 . 2005-07-29 17:12 2,977,792 --------- C:\WINDOWS\UNNeroVision.exe
2007-11-23 12:26 . 2004-07-09 09:43 364,544 --------- C:\WINDOWS\system32\TwnLib4.dll
2007-11-23 12:26 . 2005-08-01 15:37 145,783 --------- C:\WINDOWS\UNNeroVision.cfg
2007-11-23 12:26 . 2001-06-26 08:15 38,912 --------- C:\WINDOWS\system32\picn20.dll
2007-11-23 12:26 . 2001-03-08 19:30 24,064 --------- C:\WINDOWS\system32\msxml3a.dll
2007-11-23 12:24 . 2007-11-23 12:24 <REP> d-------- C:\Program Files\Fichiers communs\Ahead
2007-11-23 12:24 . 2007-11-23 12:26 <REP> d-------- C:\Program Files\Ahead
2007-11-23 12:24 . 2004-07-26 17:16 1,568,768 --------- C:\WINDOWS\system32\ImagX7.dll
2007-11-23 12:24 . 2004-07-26 17:16 476,320 --------- C:\WINDOWS\system32\ImagXpr7.dll
2007-11-23 12:24 . 2004-07-26 17:16 471,040 --------- C:\WINDOWS\system32\ImagXRA7.dll
2007-11-23 12:24 . 2004-07-26 17:16 262,144 --------- C:\WINDOWS\system32\ImagXR7.dll
2007-11-23 12:24 . 2001-07-09 11:50 155,648 --------- C:\WINDOWS\system32\NeroCheck.exe
2007-11-23 12:24 . 2004-03-02 17:37 125,184 --------- C:\WINDOWS\system32\drivers\imagesrv.sys
2007-11-23 12:24 . 2000-06-26 11:45 106,496 --------- C:\WINDOWS\system32\TwnLib20.dll
2007-11-23 12:24 . 2004-03-02 17:37 5,504 --------- C:\WINDOWS\system32\drivers\imagedrv.sys
2007-11-23 12:18 . 2007-11-23 12:18 <REP> d-------- C:\Program Files\DivX
2007-11-14 18:26 . 2007-09-24 23:31 69,632 --------- C:\WINDOWS\system32\javacpl.cpl
2007-11-14 18:12 . 2006-10-04 14:06 1,197,294 --------- C:\WINDOWS\system32\dllcache\sysmain.sdb
2007-11-14 18:12 . 2006-10-04 14:06 764,868 --------- C:\WINDOWS\system32\dllcache\apph_sp.sdb
2007-11-14 18:12 . 2006-10-04 14:06 217,118 --------- C:\WINDOWS\system32\dllcache\apphelp.sdb
2007-11-14 18:09 . 2007-11-14 18:09 <REP> d-------- C:\WINDOWS\system32\LogFiles
2007-11-14 18:09 . 2007-11-14 18:10 <REP> d-------- C:\WINDOWS\system32\drivers\UMDF
2007-11-14 18:08 . 2007-12-31 09:45 <REP> d-------- C:\Program Files\Fichiers communs\Adobe
2007-11-14 17:50 . 2007-12-04 14:51 42,912 --------- C:\WINDOWS\system32\drivers\aswTdi.sys
2007-11-14 17:50 . 2007-12-04 14:49 26,624 --------- C:\WINDOWS\system32\drivers\aavmker4.sys
2007-11-14 17:50 . 2007-12-04 14:53 23,152 --------- C:\WINDOWS\system32\drivers\aswRdr.sys
2007-11-14 17:49 . 2007-11-14 17:49 <REP> d-------- C:\Program Files\Alwil Software
2007-11-14 17:49 . 2007-12-04 13:04 837,496 --a------ C:\WINDOWS\system32\aswBoot.exe
2007-11-14 17:49 . 2004-01-09 10:13 380,928 --a------ C:\WINDOWS\system32\actskin4.ocx
2007-11-14 17:49 . 2007-12-04 12:54 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr
2007-11-14 17:49 . 2007-12-04 14:55 94,544 --------- C:\WINDOWS\system32\drivers\aswmon2.sys
2007-11-14 17:49 . 2007-12-04 14:56 93,264 --------- C:\WINDOWS\system32\drivers\aswmon.sys
2007-11-14 17:48 . 2004-02-17 09:11 53,248 --------- C:\WINDOWS\system32\vp6dec_settings.cpl
2007-11-14 17:47 . 2007-11-14 17:48 <REP> d-------- C:\Program Files\ACE Mega CoDecS Pack
2007-11-14 17:45 . 2007-11-14 17:45 <REP> d-------- C:\Program Files\SuperCopier2
2007-11-14 17:44 . 2007-11-14 18:07 <REP> d-------- C:\Documents and Settings\Fougerolle 1446\Application Data\U3
2007-11-14 17:44 . 2004-08-03 22:08 26,496 --------- C:\WINDOWS\system32\dllcache\usbstor.sys
2007-11-14 17:14 . 2007-11-14 17:16 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Microsoft Help
2007-11-14 17:02 . 2003-06-19 00:31 17,920 --------- C:\WINDOWS\system32\mdimon.dll
2007-11-14 17:02 . 2007-11-14 17:02 385 --------- C:\WINDOWS\ODBC.INI
2007-11-14 17:00 . 2007-11-14 17:14 <REP> d-------- C:\WINDOWS\SHELLNEW
2007-11-14 17:00 . 2007-11-14 17:16 <REP> d-------- C:\Program Files\Microsoft Works
2007-11-14 16:59 . 2007-11-14 16:59 <REP> d-------- C:\Program Files\Microsoft.NET
2007-11-14 16:58 . 2007-11-14 16:58 <REP> dr-h----- C:\MSOCache
2007-11-14 16:49 . 2007-11-14 16:50 <REP> d-------- C:\Program Files\Windows Live Toolbar
2007-11-14 16:49 . 2007-12-31 09:35 <REP> d--h----- C:\Documents and Settings\Fougerolle 1446\Voisinage réseau
2007-11-14 16:49 . 2007-07-19 01:29 <REP> d--h----- C:\Documents and Settings\Fougerolle 1446\Voisinage d'impression
2007-11-14 16:49 . 2007-07-19 01:29 <REP> d--h----- C:\Documents and Settings\Fougerolle 1446\Modèles
2007-11-14 16:49 . 2007-12-28 11:29 <REP> dr------- C:\Documents and Settings\Fougerolle 1446\Mes documents
2007-11-14 16:49 . 2007-07-19 01:29 <REP> dr------- C:\Documents and Settings\Fougerolle 1446\Menu Démarrer
2007-11-14 16:49 . 2007-11-14 16:49 <REP> dr------- C:\Documents and Settings\Fougerolle 1446\Favoris
2007-11-14 16:49 . 2007-12-31 13:09 <REP> d-------- C:\Documents and Settings\Fougerolle 1446\Bureau
2007-11-14 16:49 . 2007-07-18 18:11 <REP> d-------- C:\Documents and Settings\Fougerolle 1446\Application Data\ThinkVantage
2007-11-14 16:49 . 2007-07-18 17:59 <REP> d-------- C:\Documents and Settings\Fougerolle 1446\Application Data\Symantec
2007-11-14 16:49 . 2007-07-18 18:11 <REP> d-------- C:\Documents and Settings\Fougerolle 1446\Application Data\Lenovo
2007-11-14 16:49 . 2004-08-05 12:00 221,184 --------- C:\WINDOWS\system32\wmpns.dll
2007-11-14 16:49 . 2007-11-14 16:49 50 --------- C:\WINDOWS\system32\drivers\LENOVO_9389_W6E.MRK
2007-11-14 16:49 . 2007-11-14 16:49 10 --------- C:\WINDOWS\system32\firstboot.ibm
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-30 15:07 5,427 ----a-w C:\WINDOWS\system32\EGATHDRV.SYS
2007-12-08 13:42 --------- d--h--w C:\Program Files\drivers
2007-11-22 17:20 --------- d-----w C:\Program Files\Picasa2
2007-11-14 18:26 --------- d-----w C:\Program Files\Java
2007-11-14 18:11 --------- d-----w C:\Program Files\Windows Media Connect 2
2007-11-14 16:57 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared
2007-11-14 16:55 --------- d-----w C:\Program Files\Symantec Client Security
2007-11-14 16:54 --------- d-----w C:\Documents and Settings\All Users\Application Data\Symantec
2007-11-13 10:25 20,480 ------w C:\WINDOWS\system32\drivers\secdrv.sys
2007-10-30 23:23 3,590,656 ------w C:\WINDOWS\system32\dllcache\mshtml.dll
2007-10-29 22:43 1,293,824 ------w C:\WINDOWS\system32\quartz.dll
2007-10-29 22:43 1,293,824 ------w C:\WINDOWS\system32\dllcache\quartz.dll
2007-10-25 16:43 8,516,608 ------w C:\WINDOWS\system32\dllcache\shell32.dll
2007-10-25 09:28 222,720 ------w C:\WINDOWS\system32\wmasf.dll
2007-10-25 09:28 222,720 ------w C:\WINDOWS\system32\dllcache\wmasf.dll
2007-10-10 23:49 824,832 ------w C:\WINDOWS\system32\dllcache\wininet.dll
2007-10-10 23:49 671,232 ------w C:\WINDOWS\system32\dllcache\mstime.dll
2007-10-10 23:49 63,488 ------w C:\WINDOWS\system32\dllcache\icardie.dll
2007-10-10 23:49 6,065,664 ------w C:\WINDOWS\system32\dllcache\ieframe.dll
2007-10-10 23:49 52,224 ------w C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2007-10-10 23:49 478,208 ------w C:\WINDOWS\system32\dllcache\mshtmled.dll
2007-10-10 23:49 459,264 ------w C:\WINDOWS\system32\dllcache\msfeeds.dll
2007-10-10 23:49 44,544 ------w C:\WINDOWS\system32\dllcache\iernonce.dll
2007-10-10 23:49 384,512 ------w C:\WINDOWS\system32\dllcache\iedkcs32.dll
2007-10-10 23:49 383,488 ------w C:\WINDOWS\system32\dllcache\ieapfltr.dll
2007-10-10 23:49 27,648 ------w C:\WINDOWS\system32\dllcache\jsproxy.dll
2007-10-10 23:49 267,776 ------w C:\WINDOWS\system32\dllcache\iertutil.dll
2007-10-10 23:49 232,960 ------w C:\WINDOWS\system32\dllcache\webcheck.dll
2007-10-10 23:49 230,400 ------w C:\WINDOWS\system32\dllcache\ieaksie.dll
2007-10-10 23:49 214,528 ------w C:\WINDOWS\system32\dllcache\dxtrans.dll
2007-10-10 23:49 193,024 ------w C:\WINDOWS\system32\dllcache\msrating.dll
2007-10-10 23:49 153,088 ------w C:\WINDOWS\system32\dllcache\ieakeng.dll
2007-10-10 23:49 132,608 ------w C:\WINDOWS\system32\dllcache\extmgr.dll
2007-10-10 23:49 124,928 ------w C:\WINDOWS\system32\dllcache\advpack.dll
2007-10-10 23:49 105,984 ------w C:\WINDOWS\system32\dllcache\url.dll
2007-10-10 23:49 102,400 ------w C:\WINDOWS\system32\dllcache\occache.dll
2007-10-10 23:49 1,159,680 ------w C:\WINDOWS\system32\dllcache\urlmon.dll
2007-10-10 11:00 70,656 ------w C:\WINDOWS\system32\dllcache\ie4uinit.exe
2007-10-10 11:00 625,152 ------w C:\WINDOWS\system32\dllcache\iexplore.exe
2007-10-10 10:59 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe
2007-10-10 05:46 161,792 ------w C:\WINDOWS\system32\dllcache\ieakui.dll
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 12:00 15360]
"SuperCopier2.exe"="C:\Program Files\SuperCopier2\SuperCopier2.exe" [2006-07-07 16:45 1052672]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55 5674352]
"amva"="C:\WINDOWS\system32\amvo.exe" [2007-12-31 11:22 105216]
"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-03 09:59 204288]
"AdobeUpdater"="C:\Program Files\Fichiers communs\Adobe\Updater5\AdobeUpdater.exe" [2007-03-01 10:37 2321600]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Raccourci vers la page des propriétés de High Definition Audio"="HDAShCut.exe" [2005-01-07 15:07 61952 C:\WINDOWS\system32\HdAShCut.exe]
"Mouse Suite 98 Daemon"="ICO.EXE" [2005-04-13 12:34 49152 C:\WINDOWS\system32\ico.exe]
"SoundMAXPnP"="C:\Program Files\Analog Devices\Core\smax4pnp.exe" [2006-12-18 13:34 868352]
"SoundMAX"="C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" [2006-07-13 05:12 729088]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2006-10-06 04:11 98304]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2006-10-06 04:13 114688]
"Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2006-10-06 04:10 94208]
"AMSG"="C:\Program Files\ThinkVantage\AMSG\Amsg.exe" [2005-11-14 06:23 487424]
"LPManager"="C:\PROGRA~1\THINKV~1\PrdCtr\LPMGR.exe" [2006-03-22 16:10 106496]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"DLA"="C:\WINDOWS\System32\DLA\DLACTRLW.EXE" [2006-02-02 03:20 122940]
"ISUSPM Startup"="C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 14:50 221184]
"ISUSScheduler"="C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2004-07-27 14:50 81920]
"AwaySch"="C:\Program Files\Lenovo\AwayTask\AwaySch.EXE" [2006-04-18 17:05 69632]
"TVT Scheduler Proxy"="C:\Program Files\Fichiers communs\Lenovo\Scheduler\scheduler_proxy.exe" [2006-03-28 02:01 503808]
"DiskeeperSystray"="C:\Program Files\Diskeeper Corporation\Diskeeper\DkIcon.exe" [2006-05-18 14:24 196696]
"Picasa Media Detector"="C:\Program Files\Picasa2\PicasaMediaDetector.exe" [2005-10-28 18:08 335872]
"PDService.exe"="C:\Program Files\Lenovo\SafeGuard PrivateDisk\pdservice.exe" [2006-03-13 14:38 41472]
"cssauth"="C:\Program Files\Lenovo\Client Security Solution\cssauth.exe" [2006-05-12 18:15 2333440]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 13:00 79224]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [2006-11-03 19:20 866584]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06 40048]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 12:00 15360]
"DWQueuedReporting"="C:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2006-10-26 18:48 434528]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\AwayNotify]
C:\Program Files\Lenovo\AwayTask\AwayNotify.dll 2006-04-18 17:05 49152 C:\Program Files\Lenovo\AwayTask\AwayNotify.dll
R2 PrivateDisk;PrivateDisk;C:\Program Files\Lenovo\SafeGuard PrivateDisk\PrivateDiskM.sys [2006-03-13 14:05]
R2 smi2;smi2;C:\Program Files\SMI2\smi2.sys [2006-05-12 16:10]
R3 pelmouse;Mouse Suite Driver;C:\WINDOWS\system32\DRIVERS\pelmouse.sys [2003-01-10 11:55]
R3 pelusblf;USB Mouse Low Filter Driver;C:\WINDOWS\system32\DRIVERS\pelusblf.sys [2003-02-11 11:25]
R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 22:08]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{48ad2dc0-b5fb-11dc-a5db-001558eccc91}]
\Shell\AutoRun\command - E:\xfoolavp.com
\Shell\explore\Command - E:\xfoolavp.com
\Shell\open\Command - E:\xfoolavp.com
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{48d0409f-aa1b-11dc-a5cf-001558eccc91}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe WillPolo.vbs
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{609ddee6-9c1b-11dc-a5b7-001558eccc91}]
\Shell\AutoRun\command - EXPLORER.EXE
\Shell\explore\Command - EXPLORER.EXE
\Shell\open\Command - EXPLORER.EXE
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{78cb9ede-a3d1-11dc-a5c2-001558eccc91}]
\Shell\AutoRun\command - E:\80avp08.com
\Shell\explore\Command - E:\80avp08.com
\Shell\open\Command - E:\80avp08.com
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7d10d362-b1f9-11dc-a5d6-001558eccc91}]
\Shell\AutoRun\command - E:\ntde1ect.com
\Shell\explore\Command - E:\ntde1ect.com
\Shell\open\Command - E:\ntde1ect.com
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{922ef5e8-a0e3-11dc-a5be-001558eccc91}]
\Shell\Auto\command - wscript "Sex City.jpg.wsf"
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript "Sex City.jpg.wsf"
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{db86134e-991a-11dc-a5b2-001558eccc91}]
\Shell\Auto\command - wscript "Sex City.jpg.wsf"
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript "Sex City.jpg.wsf"
*Newly Created Service* - GFCVBM
*Newly Created Service* - PROCEXP90
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2007-12-29 11:03:57 C:\WINDOWS\Tasks\MP Scheduled Scan.job"
- C:\Program Files\Windows Defender\MpCmdRun.exe
"2007-12-31 13:15:03 C:\WINDOWS\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job"
- C:\Program Files\Windows Live Toolbar\MSNTBUP.EXE
.
**************************************************************************
catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-31 13:24:10
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
Completion time: 2007-12-31 13:25:02
C:\qoobox\ComboFix-quarantined-files.txt 2007-12-31 13:24:58
.
2007-12-28 07:55:19 --- E O F ---
ET VOICI CELUI DE MON LAPTOP
ComboFix 07-12-31.4 - EDORH Florence Véna 2007-12-31 13:21:23.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.187 [GMT 0:00]
Running from: C:\Documents and Settings\EDORH Florence Véna\Mes documents\Mes fichiers reçus\ComboFix.exe
* Created a new restore point
.
((((((((((((((((((((((((((((( Fichiers créés 2007-11-28 to 2007-12-31 ))))))))))))))))))))))))))))))))))))
.
2007-12-31 13:17 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-12-31 13:14 . 2007-12-31 13:14 <REP> d-------- C:\WINDOWS\LastGood
2007-12-26 22:13 . 2007-12-26 22:13 <REP> d-------- C:\Program Files\Virtools
2007-12-26 20:50 . 2007-12-26 20:50 <REP> d-------- C:\Documents and Settings\All Users\Application Data\MailFrontier
2007-12-26 20:50 . 2007-12-26 20:53 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2007-12-26 20:48 . 2007-12-26 21:44 <REP> d-------- C:\WINDOWS\Internet Logs
2007-12-26 19:45 . 2007-12-26 19:45 <REP> d-------- C:\Program Files\SuperCopier2
2007-12-26 15:38 . 2007-12-26 15:38 502,368 --a------ C:\WINDOWS\system32\drivers\amon.sys
2007-12-26 15:38 . 2007-12-26 15:38 270,336 --a------ C:\WINDOWS\system32\imon.dll
2007-12-26 01:46 . 2007-12-26 01:46 0 --a------ C:\WINDOWS\system32\mapisvc.inf
2007-12-20 09:17 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2007-12-19 15:38 . 2007-12-31 13:14 <REP> d-------- C:\Program Files\Windows Live Safety Center
2007-12-17 08:09 . 2007-12-17 08:09 <REP> d-------- C:\Program Files\Veoh Networks
2007-12-12 03:41 . 2007-10-10 23:49 6,065,664 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll
2007-12-12 03:41 . 2007-07-01 03:31 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat
2007-12-12 03:41 . 2007-07-01 03:36 1,048,576 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2007-12-12 03:41 . 2007-10-10 23:49 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll
2007-12-12 03:41 . 2007-10-10 23:49 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2007-12-12 03:41 . 2007-10-10 23:49 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll
2007-12-12 03:41 . 2007-10-10 23:49 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll
2007-12-12 03:41 . 2007-10-10 23:49 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2007-12-12 03:41 . 2007-10-10 10:59 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe
2007-12-12 03:37 . 2007-12-12 03:44 <REP> d-------- C:\WINDOWS\system32\fr-fr
2007-12-11 22:34 . 2007-12-11 22:34 1,044,480 --a------ C:\WINDOWS\system32\libdivx.dll
2007-12-11 22:34 . 2007-12-11 22:34 200,704 --a------ C:\WINDOWS\system32\ssldivx.dll
2007-12-11 03:26 . 2007-12-11 03:30 <REP> d-------- C:\Documents and Settings\EDORH Florence Véna\Application Data\SecondLife
2007-12-11 03:04 . 2007-12-11 14:10 <REP> d-------- C:\Program Files\SecondLife
2007-12-07 13:19 . 2007-12-17 08:38 <REP> d-------- C:\Program Files\DivX
2007-12-07 04:00 . 2007-12-07 04:00 <REP> d-------- C:\Program Files\RedlightCenter
2007-12-07 04:00 . 2007-12-07 04:00 <REP> d-------- C:\Program Files\Fichiers communs\PocketSoft
2007-12-05 21:57 . 2007-12-21 11:17 38 --a------ C:\WINDOWS\avisplitter.INI
2007-12-05 18:37 . 2007-12-05 18:37 <REP> d-------- C:\Program Files\Microsoft Silverlight
2007-12-04 01:27 . 2004-05-14 16:53 462,848 --a------ C:\WINDOWS\system32\ltkrn13n.dll
2007-12-04 01:27 . 2004-05-14 16:53 450,560 --a------ C:\WINDOWS\system32\ltimg13n.dll
2007-12-04 01:27 . 2004-05-14 16:53 401,408 --a------ C:\WINDOWS\system32\lfcmp13n.dll
2007-12-04 01:27 . 2004-05-14 16:53 299,008 --a------ C:\WINDOWS\system32\ltdis13n.dll
2007-12-04 01:27 . 2004-01-12 02:09 206,336 --a------ C:\WINDOWS\system32\ltefx13n.dll
2007-12-04 01:27 . 2004-05-14 16:53 163,840 --a------ C:\WINDOWS\system32\ltfil13n.dll
2007-12-04 01:27 . 2003-11-04 15:10 69,632 --a------ C:\WINDOWS\system32\lfgif13n.dll
2007-12-04 01:27 . 2004-05-14 16:53 57,344 --a------ C:\WINDOWS\system32\lfbmp13n.dll
2007-11-30 15:10 . 2007-11-30 15:11 <REP> d-------- C:\Documents and Settings\EDORH Florence Véna\Application Data\Media Player Classic
2007-11-29 03:11 . 2007-11-29 03:11 <REP> d-------- C:\Program Files\Fichiers communs\Sandlot Shared
2007-11-29 03:11 . 2007-12-01 03:27 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Sandlot Games
2007-11-29 02:37 . 2007-11-29 02:41 <REP> d-------- C:\Documents and Settings\EDORH Florence Véna\Application Data\Super-Cow
2007-11-29 02:23 . 2007-11-29 09:19 <REP> d-------- C:\Documents and Settings\EDORH Florence Véna\Application Data\PlayFirst
2007-11-29 02:23 . 2007-12-19 09:20 <REP> d-------- C:\Documents and Settings\EDORH Florence Véna\Application Data\GameHouse
2007-11-29 02:23 . 2007-11-29 09:19 <REP> d-------- C:\Documents and Settings\All Users\Application Data\PlayFirst
2007-11-29 02:23 . 2007-11-29 02:23 <REP> d-------- C:\Documents and Settings\All Users\Application Data\n7-89-o9-3r-4t-r9
2007-11-28 23:53 . 2007-11-28 23:53 <REP> d-------- C:\Documents and Settings\All Users\Application Data\rs-95-47-2p-55-55
2007-11-28 23:46 . 2007-12-19 11:56 <REP> d-------- C:\Program Files\GameHouse
2007-11-28 23:46 . 2007-11-28 23:46 <REP> d-------- C:\Documents and Settings\All Users\Application Data\50-65-46-2p-57-55
2007-11-28 22:49 . 2007-11-28 22:49 <REP> d-------- C:\WINDOWS\Sun
2007-11-28 21:43 . 2007-11-28 21:43 <REP> d-------- C:\Program Files\Fichiers communs\Adobe
2007-11-28 21:43 . 2007-11-28 21:43 <REP> d-------- C:\Documents and Settings\EDORH Florence Véna\Application Data\AdobeUM
2007-11-28 20:11 . 2007-11-28 20:11 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Trymedia
2007-11-28 20:10 . 2007-11-28 20:22 <REP> d-------- C:\Downloads
2007-11-28 17:42 . 2007-12-17 08:07 <REP> d-------- C:\WINDOWS\Downloaded Installations
2007-11-28 17:28 . 2007-11-28 17:34 <REP> d-------- C:\Program Files\PacificPoker
2007-11-28 17:14 . 2007-11-28 20:11 <REP> d-------- C:\Program Files\Monopoly_at
2007-11-28 17:11 . 2007-11-28 17:11 <REP> d-------- C:\Documents and Settings\EDORH Florence Véna\Application Data\Jane s Hotel
2007-11-28 17:11 . 2007-11-28 20:24 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2007-11-28 15:55 . 2007-11-28 15:55 <REP> d-------- C:\Program Files\Ihsv
2007-11-28 15:38 . 2007-11-28 15:38 <REP> d-------- C:\Documents and Settings\EDORH Florence Véna\Application Data\funkitron
2007-11-28 15:28 . 2007-11-28 15:28 <REP> d-------- C:\Program Files\Trymedia
2007-11-27 18:12 . 2007-11-27 18:12 <REP> d-------- C:\WINDOWS\Abra Academy - Returning Cast
2007-11-27 18:12 . 2007-11-27 18:13 <REP> d-------- C:\Documents and Settings\EDORH Florence Véna\Application Data\Abra Academy2
2007-11-26 11:03 . 2007-11-27 13:40 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Messenger Plus!
2007-11-26 10:33 . 2007-11-26 13:02 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2007-11-26 05:57 . 2007-12-27 18:59 <REP> d-------- C:\Program Files\Google
2007-11-26 05:51 . 2007-12-17 07:28 <REP> d-------- C:\Program Files\Messenger Plus! Live
2007-11-26 04:53 . 2007-11-26 04:53 <REP> d-------- C:\Program Files\MSXML 4.0
2007-11-26 01:12 . 2007-11-26 01:12 <REP> d-------- C:\Program Files\Windows Media Connect 2
2007-11-26 01:10 . 2007-11-26 01:10 <REP> d-------- C:\WINDOWS\system32\LogFiles
2007-11-26 01:10 . 2007-11-26 01:11 <REP> d-------- C:\WINDOWS\system32\drivers\UMDF
2007-11-26 01:02 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2007-11-26 01:02 . 2007-07-30 19:19 207,736 --a------ C:\WINDOWS\system32\muweb.dll
2007-11-26 01:02 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2007-11-26 00:34 . 2007-11-26 23:29 <REP> d-------- C:\Documents and Settings\EDORH Florence Véna\Contacts
2007-11-26 00:34 . 2007-11-26 23:29 <REP> d-------- C:\Documents and Settings\EDORH Florence Véna\Contacts
2007-11-25 23:58 . 2007-11-25 23:58 268 --ah----- C:\sqmdata05.sqm
2007-11-25 23:58 . 2007-11-25 23:58 244 --ah----- C:\sqmnoopt05.sqm
2007-11-25 23:25 . 2007-11-25 23:25 <REP> d-------- C:\Documents and Settings\EDORH Florence Véna\Application Data\OLYMPUS
2007-11-25 22:48 . 2007-11-25 22:48 268 --ah----- C:\sqmdata04.sqm
2007-11-25 22:48 . 2007-11-25 22:48 244 --ah----- C:\sqmnoopt04.sqm
2007-11-25 22:41 . 2006-09-25 17:58 23,856 --a------ C:\WINDOWS\system32\spupdsvc.exe
2007-11-25 22:35 . 2007-11-25 22:35 268 --ah----- C:\sqmdata03.sqm
2007-11-25 22:35 . 2007-11-25 22:35 244 --ah----- C:\sqmnoopt03.sqm
2007-11-25 22:27 . 2007-11-25 22:27 268 --ah----- C:\sqmdata02.sqm
2007-11-25 22:27 . 2007-11-25 22:27 244 --ah----- C:\sqmnoopt02.sqm
2007-11-25 20:58 . 2007-12-12 04:57 <REP> d--h----- C:\WINDOWS\$hf_mig$
2007-11-25 20:51 . 2007-11-25 20:51 268 --ah----- C:\sqmdata01.sqm
2007-11-25 20:51 . 2007-11-25 20:51 244 --ah----- C:\sqmnoopt01.sqm
2007-11-25 20:48 . 2007-11-25 20:48 268 --ah----- C:\sqmdata00.sqm
2007-11-25 20:48 . 2007-11-25 20:48 244 --ah----- C:\sqmnoopt00.sqm
2007-11-25 20:44 . 2007-12-31 10:02 <REP> d-------- C:\Program Files\eMule
2007-11-25 20:11 . 2007-11-25 20:18 <REP> d--hsc--- C:\Program Files\Fichiers communs\WindowsLiveInstaller
2007-11-25 20:10 . 2007-11-25 20:32 <REP> d-------- C:\Program Files\Windows Live
2007-11-25 20:10 . 2007-11-25 20:10 <REP> d-------- C:\Documents and Settings\All Users\Application Data\WLInstaller
2007-11-25 19:42 . 2007-11-25 19:42 <REP> d--hs---- C:\Documents and Settings\EDORH Florence Véna\UserData
2007-11-25 19:42 . 2007-11-25 19:42 <REP> d--hs---- C:\Documents and Settings\EDORH Florence Véna\UserData
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-24 17:00 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-12-20 09:17 --------- d-----w C:\Program Files\Java
2007-11-25 12:06 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
2007-11-25 11:57 --------- d-----w C:\Program Files\Synaptics
2007-11-25 11:56 --------- d-----w C:\Program Files\VIAudioi
2007-11-25 11:55 --------- d-----w C:\Program Files\ATI Technologies
2007-11-25 11:53 --------- d-----w C:\Program Files\Intel
2007-11-25 11:39 --------- d-----w C:\Program Files\microsoft frontpage
2007-11-25 11:39 --------- d-----w C:\Program Files\Fichiers communs\Java
2007-11-25 11:36 --------- d-----w C:\Program Files\Services en ligne
2007-11-25 11:35 --------- d-----w C:\Program Files\Fichiers communs\MSSoap
2007-11-25 11:28 --------- d-----w C:\Program Files\Fichiers communs\SpeechEngines
2007-11-25 11:28 --------- d-----w C:\Program Files\Fichiers communs\ODBC
2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2007-10-29 22:43 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll
2007-10-25 09:28 222,720 ----a-w C:\WINDOWS\system32\wmasf.dll
2007-10-22 03:39 267,272 ----a-w C:\WINDOWS\system32\xactengine2_10.dll
2007-10-22 03:37 17,928 ----a-w C:\WINDOWS\system32\X3DAudio1_2.dll
2007-10-18 11:31 51,224 ----a-w C:\WINDOWS\system32\sirenacm.dll
2007-10-12 15:14 3,734,536 ----a-w C:\WINDOWS\system32\d3dx9_36.dll
2007-10-12 15:14 1,374,232 ----a-w C:\WINDOWS\system32\D3DCompiler_36.dll
2007-10-02 09:56 444,776 ----a-w C:\WINDOWS\system32\d3dx10_36.dll
2007-09-28 18:07 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2007-09-28 18:05 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll
2007-09-28 18:05 739,840 ----a-w C:\WINDOWS\system32\divx.dll
2007-09-04 18:56 164,352 ----a-w C:\WINDOWS\system32\unrar.dll
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 12:00 15360]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 11:34 5724184]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-11-27 00:15 68856]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 16:46 1460560]
"Civ3GoldSetup.exe"="C:\DOCUME~1\EDORHF~1\MESDOC~1\jeux\LEMONA~1\CIVILI~1.COM\CIVILI~1.COM /r" [ ]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 16:24 1694208]
"Veoh"="C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" [2007-12-03 13:21 3461120]
"SuperCopier2.exe"="C:\Program Files\SuperCopier2\SuperCopier2.exe" [2006-07-07 16:45 1052672]
"googletalk"="C:\Program Files\Google\Google Talk\googletalk.exe" [2007-01-01 21:22 3739648]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-06-10 21:10 339968]
"SynTPLpr"="C:\Program Files\Synaptics\SynTP\SynTPLpr.exe" [2004-05-07 10:49 98304]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2004-05-07 10:49 536576]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-11-25 12:04 77824]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"nod32kui"="C:\Program Files\Eset\nod32kui.exe" [2007-12-26 15:38 921600]
"googletalk"="C:\Program Files\Google\Google Talk\googletalk.exe" [2007-01-01 21:22 3739648]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 12:00 15360]
R3 CONAN;CONAN;C:\WINDOWS\system32\drivers\o2mmb.sys [2004-02-12 01:18]
R3 MbxStby;MbxStby;C:\WINDOWS\system32\drivers\MbxStby.sys [2004-01-27 23:00]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{173fd82b-9dee-11dc-baca-00030d1f9211}]
\Shell\Auto\command - wscript "Sex City.jpg.wsf"
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript "Sex City.jpg.wsf"
*Newly Created Service* - PROCEXP90
.
**************************************************************************
catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-31 13:24:00
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
PROCESS: C:\WINDOWS\system32\lsass.exe [5.01.2600.2180]
-> C:\Program Files\Eset\pr_imon.dll
.
Completion time: 2007-12-31 13:24:35
.
2007-12-13 03:03:35 --- E O F ---
Qu'en dis-tu? Le flash desinfector aussi a été exécuté.
Bonjour,
pour ton laptop,
démarrer, exécuter, tapes regedit dans la fenêtre et OK. Le registre s'ouvre.
Cherches HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{173fd8 2b-9dee-11dc-baca-00030d1f9211} avec les + et les - (uniquement dans la colonne de gauche).
Si tu vois un + devant la malette 173fd8 2b-9dee-11dc-baca-00030d1f9211 clique dessus et dis moi ce qui s'ouvre.
Si non, ne vois tu que ces 2 lignes dans la fenêtre de droite
Shell\Auto\command - wscript "Sex City.jpg.wsf"
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript "Sex City.jpg.wsf" ?
On verra après pour l'autre.
pour ton laptop,
démarrer, exécuter, tapes regedit dans la fenêtre et OK. Le registre s'ouvre.
Cherches HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{173fd8 2b-9dee-11dc-baca-00030d1f9211} avec les + et les - (uniquement dans la colonne de gauche).
Si tu vois un + devant la malette 173fd8 2b-9dee-11dc-baca-00030d1f9211 clique dessus et dis moi ce qui s'ouvre.
Si non, ne vois tu que ces 2 lignes dans la fenêtre de droite
Shell\Auto\command - wscript "Sex City.jpg.wsf"
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript "Sex City.jpg.wsf" ?
On verra après pour l'autre.
Bonjour lyonnais,
J'ai exécuté ta démarce et j'ai effectivement retrouvé les répertoires que tu as spécifié. Quelle est l'autre étape?
Au passage , bonne et heureuse année 2008.
J'ai exécuté ta démarce et j'ai effectivement retrouvé les répertoires que tu as spécifié. Quelle est l'autre étape?
Au passage , bonne et heureuse année 2008.
