Probleme avec explorasi.exe

Edcoco -  
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité -
Bonjour,
j'vais plein de virus dans mon ordi mais après avoir tout effacé avec un scan de Nod 32 et avast le message C/WINDOWS/Syst32/explorasi.exe" fichier introuvable s'affiche. J'ai fait un scan avec Hitjackis voici le rapport:
Logfile of HijackThis v1.99.1
Scan saved at 14:11:29, on 14/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\devldr32.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\DOCUME~1\MASSAM~2.FOU\LOCALS~1\Temp\Répertoire temporaire 1 pour hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*https://fr.search.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\eksplorasi.exe"
F2 - REG:system.ini: UserInit=userinit.exe explorer.exe
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Bron-Spizaetus] "C:\WINDOWS\ShellNew\bronstab.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [Tok-Cirrhatus] "C:\Documents and Settings\Massamba Badiane.FOUG-7E3E54FBC2\Local Settings\Application Data\smss.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.mail.live.com/mail/w1/resources/MSNPUpld.cab
O16 - DPF: {E7DBFB6C-113A-47CF-B278-F5C6AF4DE1BD} - http://download.abacast.com/download/files/abasetup162.cab
O16 - DPF: {E8EDB60C-951E-4130-93DC-FAF1AD25F8E7} - https://www.fling.com/tour-web/zradarquizbgthumb2b/?prg=1&id=flyingcroc&tour=zradarquizbgthumb2b&ot=best&utm_source=flyingcroc&utm_medium=_nocmp&utm_content=_noadid&utm_campaign=zradarquizbgthumb2b
O17 - HKLM\System\CCS\Services\Tcpip\..\{E1CCA3E7-2E80-41A2-8DDC-044E07EA2DD8}: NameServer = 213.154.64.13,213.154.95.126
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: OneCare AntiSpyware and AntiVirus (OneCareMP) - Unknown owner - C:\Program Files\Microsoft Windows OneCare Live\Antivirus\MsMpEng.exe (file missing)

Pouvez vous m'aider s'il vous plait?
Configuration: Windows XP
Firefox 2.0.0.11

28 réponses

  • 1
  • 2
  1. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    tu as choppé une vraie saleté.

    Je ne garantis pas le résultat.

    sauvegarde tes documents persos non infectés.

    Télécharge l'outil de sUBs (merci mOe) sur ton bureau.

    Le lien de téléchargement :
    http://download.bleepingcomputer.com/sUBs/CleanX-II.exe

    Déconnecte tes accès internet. Coupe tous les accès physiques (déébranchement du modem, ...).
    ferme toutes les applications.
    Désactive puis réactive ta restauration système.
    Double-clique sur CleanX-II.exe pour démarrer la réparation.
    Clique OK lorsque tu reçois un message d'avertissement.
    A la fin du scan (qui peut prendre plusieurs minutes, patiente le temps qu'il finisse), il va produire un rapport.Si ce rapport montre qu'il reste encore des fichiers infectés (en fin de rapport après "POST RUN ANALYSIS"), relance l'outil une nouvelle fois.
    Ouvre C:\REPORT.TXT et copie le dans ta réponse. S'il reste encore ds fichiers infectés, inutile de relancer encore l'outil. Il faut examiner le rapport.

    remets aussi un rapport Hijackthis.

    0
  2. Edcoco
     
    le Clean X II n'a pu générer de rapport le message suivant s'affiche: "Fixing registry Analysis Report le chemin d'accès est introuvable" suivi de la fenêtre "Windows ne trouve pas Desktop/CleanX-II.txt verifier si le fichier spécifié est correct" et le scan s'arrete.

    J'ai quand fais un nouveau scan avec hijackis dont voici le reapport
    Logfile of HijackThis v1.99.1
    Scan saved at 18:11, on 2007-12-14
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Unable to get Internet Explorer version!

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\Explorer.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\WINDOWS\system32\devldr32.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\DOCUME~1\MASSAM~2.FOU\LOCALS~1\Temp\Répertoire temporaire 1 pour hijackthis.zip\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*https://fr.search.yahoo.com/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.mail.live.com/mail/w1/resources/MSNPUpld.cab
    O16 - DPF: {E7DBFB6C-113A-47CF-B278-F5C6AF4DE1BD} - http://download.abacast.com/download/files/abasetup162.cab
    O16 - DPF: {E8EDB60C-951E-4130-93DC-FAF1AD25F8E7} - https://www.fling.com/tour-web/zradarquizbgthumb2b/?prg=1&id=flyingcroc&tour=zradarquizbgthumb2b&ot=best&utm_source=flyingcroc&utm_medium=_nocmp&utm_content=_noadid&utm_campaign=zradarquizbgthumb2b
    O17 - HKLM\System\CCS\Services\Tcpip\..\{E1CCA3E7-2E80-41A2-8DDC-044E07EA2DD8}: NameServer = 213.154.64.13,213.154.95.126
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
    O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: OneCare AntiSpyware and AntiVirus (OneCareMP) - Unknown owner - C:\Program Files\Microsoft Windows OneCare Live\Antivirus\MsMpEng.exe (file missing)
    0
  3. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    l'outil semble avoir fonctionné.

    Cherche C:\REPORT.TXT. Si tu le trouves, publie le contenu dans ta réponse (ouvre le avec le bloc notes).
    0
  4. moe
     
    Bonsoir Lyonnais, Edcoco

    Si ça peut aider, le rapport se trouve dans les fichiers temporaires :

    Démarrer > exécuter et tape %temp%\report.txt

    Le message d'erreur est du au fait que l'outil cherche à le copier des temp vers le dossier Desktop au lieu de Bureau.

    @++
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonsoir moe,

    j'ai perdu la référence du canned speech que j'ai traduit. Mais il semble faux.

    Si je te comprend bien, le nom prévu par l'outil est du type :

    C:\Documents & settings\nom_de_session\Desktop\report.txt

    Il devrait y avoir une erreur systématique sur un OS français car Desktop n'existe pas.

    Il faut alors le chercher systématiquement dans temp avec la manip ci-dessus ?

    Merci.

    EDcoco,

    tu fais ce que demande moe.

    C'est important pour vérifier ce qu'a fait l'outil.
    0
  7. moe
     
    Bonsoir lyonnais

    Oui, c'est exact.
    En toute fin de scan l'outil est sensé basculer le rapport des dossiers temporaire vers le bureau et c'est là que le message d'erreur intervient.
    sUBs a utilisé un script vbs, GetPath.vbs, pour récupérer dans le registre certains chemins de dossiers spécifiques, mais celui du bureau n'a pas été récupéré pour que l'outil puisse tourner sans aucune erreurs sur les OS autres qu'anglo-saxon.
    A la base il a du surement être prévu pour ne tourner que sur ce type d' OS
    En fait ça n'est pas trop pénalisant puisque ça ne concerne que la génération du rapport et pas la désinfection en elle même.
    Donc pour récupérer malgré tout le rapport, le plus facile est de taper ou copier/coller :
    %temp%\report.txt
    Soit dans démarrer > exécuter soit dans la barre d'adresse d'un dossier par exemple.

    Voilà.

    De rien.

    @+
    0
  8. Edcoco
     
    bonjour, excusez moi du silence des ces derniers jours.

    Voici le rapport en utilisant la commande exécuter... dont vous m'avez parlé:
    #######################################################################

    Brontok Worm Removal Tool - (Version - 06.09.17B)
    by sUBs

    #######################################################################

    Current date: 2007-12-14 Current time: 17:58:51.65

    === PRE RUN ANALYSIS ===================================

    === POST RUN ANALYSIS ==================================

    NOTE
    The post-run analysis portion should be empty. If it's not, reboot and run the tool a second time.
    18:01:19.32

    ======================================================

    ET le nouveau rapport Hijackis donne ceci:
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 13:24, on 2007-12-17
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Unable to get Internet Explorer version!
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\WINDOWS\system32\devldr32.exe
    C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
    C:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*https://fr.search.yahoo.com/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.mail.live.com/mail/w1/resources/MSNPUpld.cab
    O16 - DPF: {E7DBFB6C-113A-47CF-B278-F5C6AF4DE1BD} - http://download.abacast.com/download/files/abasetup162.cab
    O16 - DPF: {E8EDB60C-951E-4130-93DC-FAF1AD25F8E7} - https://www.fling.com/tour-web/zradarquizbgthumb2b/?prg=1&id=flyingcroc&tour=zradarquizbgthumb2b&ot=best&utm_source=flyingcroc&utm_medium=_nocmp&utm_content=_noadid&utm_campaign=zradarquizbgthumb2b
    O17 - HKLM\System\CCS\Services\Tcpip\..\{E1CCA3E7-2E80-41A2-8DDC-044E07EA2DD8}: NameServer = 213.154.64.13,213.154.95.126
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: OneCare AntiSpyware and AntiVirus (OneCareMP) - Unknown owner - C:\Program Files\Microsoft Windows OneCare Live\Antivirus\MsMpEng.exe (file missing)
    O24 - Desktop Component 0: (no name) - http://eur.a1.yimg.com/eur.yimg.com/a/eu/any/skybeyonce1.jpg
    0
  9. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    aucun problème pour le temps.

    Tu sembles ne pas avoir de parefeu contrôlant les connexions sortantes, ce qui est un risque de sécurité.

    Si c'est le cas tu as le choix entre ces deux possibilités :

    Zone Alarm Tuto et lien de téléchargement ici :
    https://www.malekal.com/tutoriel-zonealarm-firewall/

    Kerio Tuto et lien de téléchargement ici :
    http://www.malekal.com/kerio_firewall.php

    Il y en a d'autres que tu peux trouver en ouvrant ce lien :
    http://www.malekal.com/menu_tutorials_logiciels.php

    Il faut que tu désactives le parefeu de Windows (panneau de configuration, parefeu de Windows) après le téléchargement et avant l'installation (déconnecte toi du Net à ce moment là).

    ========================================
    -> Relance HijackThis cliques sur « scanner seulement » ou (« do a scan only »),
    coche les cases devant ces lignes :

    O16 - DPF: {E8EDB60C-951E-4130-93DC-FAF1AD25F8E7} - https://www.fling.com/tour-web/zradarquizbgthumb2b/?prg=1&id=flyingcroc&tour=zradarquizbgthumb2b&ot=best&utm_source=flyingcroc&utm_medium=_nocmp&utm_content=_noadid&utm_campaign=zradarquizbgthumb2b

    et ensuite ferme toutes les fenêtres actives autres que HijackThis!, navigateur inclus,
    puis clique "Fix checked"( ou « fixer objet »). Ferme HijackThis!
    ========================================

    On s'occupera de la lenteur au prochain coup.

    (ton hijackthis est mal placé mais je ne vais pas le faire enlever et retélécharger pour 1 ligne, mais je vais faire els choses en 2 fois).

    ==============

    Moe, si tu es dans les parages, il me semble que le rapport de l'outil de sUBs ne mentionne pas la destruction des fichiers de l'infection initiale (Spizaetus, ...) et des clés. Il ne mentionne pas non plus la suppression des restrictions telles que l'accès au registre.

    Tu peux me confirmer ces points, si tu as des informations ? Merci.
    0
    1. moe
       
      Bonsoir Lyonnais

      Ta remarque est exacte sur plusieurs points et après relecture du code faute d'avoir conservé un log explicite, voilà comment il fonctionne en détail, je pense que ça répondra à tes interrogations sur cet outil :

      1/ Le fix débute par l'arrêt des processus infectieux si actifs. (non mentionné dans le rapport)

      2/ Il effectue une recherche on va dire heuristique, pour être précis une recherche de chaine de caractère spécifique que l'on retrouve uniquement dans les fichiers infectieux, et ce, sur tout le DD (sauf dossier restau système) et à l'intérieur de fichiers de type EXE,SCR,COM,PIF,SYS,VBS dont la taille est comprise entre 34K et 80K.
      En utilisant le switch '/extended' on peut agrandir le champ de recherche sur les fichiers allant de 15K à 150K
      (Résultat des suppressions mentionnés dans le rapport)

      3/ Suppression des fichiers dossiers d'après une liste prédéfinie (Détection et suppression mentionnés dans le rapport):


      C:\Documents and Settings\tous les profils\Application Data
      smss.exe
      listhost*.txt
      csrss.exe
      inetinfo.exe
      jalak-93*15-bali.com
      lsass.exe
      services.exe
      listhost*.txt
      smss.exe
      winlogon.exe
      br*on.exe
      *bron*.*
      svchost.exe
      bron.tok*

      C:\Documents and Settings\tous les profils\local settings\Application Data
      *bron
      csrss.exe
      inetinfo.exe
      jalak-93*15-bali.com
      lsass.exe
      services.exe
      listhost*.txt
      smss.exe
      winlogon.exe
      br*on.exe
      *bron*.*
      svchost.exe
      bron.tok*

      C:\
      baca bro*.*
      dr.pluto.exe
      kangen.exe
      romantic_devil.r.htm

      C:\Windows
      berasjatah.exe
      cinderawasih-4*7.exe
      cinta buta.exe
      eksplorasi.exe
      fonts\tskmgr.exe
      iexplorer.exe
      kesenjangan sosial.exe
      komodo-6*2.exe
      lexplorer.exe
      mspatch.exe
      rundll32.exe
      sembako*.exe
      j6?????2.exe
      o4?????7.exe
      systray.exe

      C:\Windows\tasks
      at?.job
      at*.job

      C:\Windows\inf
      norbtok.exe

      C:\Windows\shellnew
      *urokrgic.exe
      bronstab.exe
      elnorb.exe
      rakyatkelaparan.exe
      sempalong.exe

      C:\Windows\system32
      *.s setting.scr
      3d animation.scr
      c_*k.com
      ccapps.exe
      i75-d2\dkernel.exe
      jangan dibuka.exe
      kangen.exe
      mspatch.exe
      my heart.exe
      myheart.exe
      sstray.exe
      syslove.exe
      untukmu.exe
      winword.exe
      cmd*bro*.exe
      dxblbs.exe
      sistem.sys
      c_?????k.com

      Concernant ces deux chemins, il ne sont pas compatibles avec les OS français :

      C:\Documents and Settings\profil\start menu\programs\startup\empty.pif
      en réalité : C:\Documents and Settings\profil\Menu Démarrer\Programmes\Démarrage\empty.pif

      C:\Documents and Settings\profil\templates
      en réalité : C:\Documents and Settings\profil\Modèles
      a.kotnorb.com
      brengkolang.com
      csrss.exe
      dokter_gila.vbs
      inetinfo.exe
      lsass.exe
      services.exe
      smss.exe
      sys_romantic-devil.r.vbs
      winlogon.exe
      wowtumpeh.com
      *nendang*.com

      Néanmoins la détection heuristique les repères assez bien, mais çà demande en le sachant de surveiller de près le contenu de ces deux dossiers après passage du fix.
      Par défaut sur un pc non infecté le dossier C:\Documents and Settings\profil\Modèles ne contient aucun fichiers d'extension *.com *.exe ou *.vbs

      Viens ensuite le recherche de dossiers au nom en partie aléatoire et ne concernant quelques variante spécifiques :
      En général le nom se compose d'une ou deux lettres connues et chaque fois les mêmes + séquence de chiffre aléatoire + chaine caractère aléatoire
      Ce qui donne :

      APPDATA et \local settings\application data :
      DV6*"

      C:\Windows\system32
      N[0-9]*
      S[0-9]*

      C:\Windows
      SY[0-9]*
      AD[0-9]*
      PA[0-9]*


      4/ Nettoyage du registre + restauration fichier hosts + nettoyage du fichier AUTOEXEC.BAT si besoin et si présent.
      (Non mentionné dans le rapport)


      Reset des clés à leur valeurs d'origine :

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
      Shell
      Userinit

      HKCU\software\Microsoft\windows\currentversion\explorer\advanced\hidden => 1
      HKCU\software\Microsoft\windows\currentversion\explorer\advanced\showsuperhidden => 1
      HKLM\system\currentcontrolset\control\safeboot\alternateshell", "cmd.exe"

      Suppresion des restrictions/run :

      HKCU\software\brontok\
      HKCU\software\Microsoft\windows\currentversion\policies\system\disableregistrytools
      HKCU\software\Microsoft\windows\currentversion\policies\system\disabletaskmgr
      HKCU\software\Microsoft\windows\currentversion\policies\system\disablecmd
      HKCU\software\Microsoft\windows\currentversion\policies\explorer\nofolderoptions
      HKCU\software\Microsoft\windows\currentversion\policies\explorer\nofind
      HKCU\software\Microsoft\windows\currentversion\policies\explorer\norun
      HKCU\software\Microsoft\windows\currentversion\policies\explorer\run\
      HKCU\software\Microsoft\windows\currentversion\policies\explorer\disablecmd
      HKCU\software\Microsoft\windows\currentversion\run\tok-cirrhatus
      HKCU\software\Microsoft\windows\currentversion\run\sysdiaz
      HKCU\software\Microsoft\windows\currentversion\run\f3444adm
      HKCU\software\Microsoft\windows\currentversion\run\sysyuni
      HKCU\software\Microsoft\windows\currentversion\run\sys_romantic-devil.r
      HKCU\software\policies\Microsoft\windows\system\disablecmd
      HKLM\software\Microsoft\windows\currentversion\policies\explorer\run\
      HKLM\software\Microsoft\windows\currentversion\policies\system\disableregistrytools
      HKLM\software\Microsoft\windows\currentversion\policies\system\disabletaskmgr
      HKLM\software\Microsoft\windows\currentversion\run\bron-spizaetus
      HKLM\software\Microsoft\windows\currentversion\run\pluto
      HKLM\software\Microsoft\windows\currentversion\run\sysria
      HKLM\software\Microsoft\windows\currentversion\run\n3678c
      HKLM\software\policies\Microsoft\windows\system\disablecmd

      Le nettoyage du registre se fait par l'intermédiaire d'un script vbs pour les clés et valeurs connues d'avance et ensuite via un fichier *.reg pour celles dont le contenu et en partie aléatoire.

      Par exemple pour ces trois clés de démarrage et pour chacune des valeurs contenues :

      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
      HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run

      Les mots 'Cirrhatus' et 'Spizaetus' seront recherchés dans chaques valeurs présentes et sytématiquement intégrées au *.reg si présent.
      Ca permet de repérer facilement les entrées de type "Bron-Spizaetus-4128", sans besoin de connaitre la séquence de chiffre aléatoire.

      5/ Génération du rapport.


      Si tu veux mon avis pour Edcoco, je crois qu'il ne restait dans son log que des traces d'infection et surement certaines modif du registre non nettoyées.
      j'vais plein de virus dans mon ordi mais après avoir tout effacé avec un scan de Nod 32 et avast le message C/WINDOWS/Syst32/explorasi.exe" fichier introuvable s'affiche.
      Brontok n'est quand même pas trop mal détecté et nettoyé par les AV maintenant, du moins si l'infection n'a pas eu le temps de trop se développer :-)
      A vérifier pour confirmation ou infirmation avec le résultat d'un scan en ligne par exemple :-)

      Voilà, @+ et bonne continuation

      nb :
      Petite précision pour les variantes qui génèrent un fichier exe qui porte exactement le même nom que le dossier parent ou il se réplique (Mes documents\Mes documents.exe, Mes images\Mes images.exe, etc...), c'est la détection "heuristique" du fix qui se charge de les débusquer et ma foi s'en sort pas mal au vu des tests que j'avais pu faire avec quelques variantes de Brontok)

      Pour les utilisateurs d'Antivir l'emploi du tool peut déclencher une alerte de la détection heuristique de l'av et peut être détecté comme étant : HEUR/Exploit.HTML
      Faux positif.
      0
      1. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537 > moe
         
        Bonsoir moe,

        et merci de ces précisions, je n'en espérais pas tant.

        Est ce que tu m'autorises à mettre ces infos sur mon forum (avec mention de l'auteur évidemment) ?

        Tant que le malware reste stable, finalement, cet outil semble remarquablement efficace.

        J'en tiendrai compte pour moins effrayer l'internaute la prochaine fois.
        0
      2. moe > Lyonnais92 Messages postés 25708 Statut Contributeur sécurité
         
        Bonsoir Lyonnais

        De rien... Je me doute mais autant être le plus précis possible sur son fonctionnement à y être (Edcoco, désolé pour ce squat !) à mon avis avoir le plus de renseignements possible sur un outil et comprendre comment il agit évite pas mal de doutes de questions et de contre-emplois.
        Oui bien sur pas de problèmes, fais ce que tu veux de ces infos et adaptes-les comme tu le souhaite, pas besoin de mention, c'est inutile !

        Oui, c'est ce que je pense aussi, efficace car même s'il ne prends pas toute les variantes au niveau fichiers, il permet mine de rien d'en désactiver du démarrage un nombre impressionnant, simplement à partir du registre et donc après reboot du pc de pouvoir envisager un nettoyage plus poussé avec des outils/AV/tools dont l'emploi jusque là provoquaient le reboot intempestif du pc entre autre.

        J'en tiendrai compte pour moins effrayer l'internaute la prochaine fois.
        Tant qu'il peut poster son hijack sans aucun soucis, c'est que le boulot à déjà été au moins à moitié fait :-)
        (Dans le cas contraire il y a un outil peu employé et moins connu qu'hijackthis mais qui permet en cas d'infection active de pouvoir générer un rapport similaire sans le moindre soucis ou d'arrêter les processus infectieux actifs, il s'appelle StartDreck, moins facile en prise en main surement mais qui vaut le detours...)

        @++
        0
  10. Edcoco
     
    J'ai installé le pare feu zone alarm et fixé la ligne que tu as spécifié lyonnais92. au démarrage le message avec explorasi.exe introuvable ne s'affiche plus. A cela s'est substitué une lenteur excessive. j'ai refais un scan hijackthis au cas où tu en aurais besoin; voici le rapport
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 15:41, on 2007-12-17
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Unable to get Internet Explorer version!
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\system32\devldr32.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
    C:\Program Files\Alwil Software\Avast4\setup\avast.setup
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://C:\Program%20Files\IE7Pro\IE7ProRs.dll/easyhome.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.yahoo.com
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*https://fr.search.yahoo.com/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.mail.live.com/mail/w1/resources/MSNPUpld.cab
    O16 - DPF: {E7DBFB6C-113A-47CF-B278-F5C6AF4DE1BD} - http://download.abacast.com/download/files/abasetup162.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{E1CCA3E7-2E80-41A2-8DDC-044E07EA2DD8}: NameServer = 213.154.64.13,213.154.95.126
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: OneCare AntiSpyware and AntiVirus (OneCareMP) - Unknown owner - C:\Program Files\Microsoft Windows OneCare Live\Antivirus\MsMpEng.exe (file missing)
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe
    O24 - Desktop Component 0: (no name) - http://eur.a1.yimg.com/eur.yimg.com/a/eu/any/skybeyonce1.jpg
    0
  11. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonsoir,

    Lis bien et exécute cette manip dans l’ordre.

    #Télécharge et installe ces logiciels (si tu ne les as pas) pour les 3 premiers
    mets les à jour, comme indiqué dans les démos ou tutos.

    Ne les utilise pas tout de suite.

    ========================================

    =======================================

    ->Démarre en mode sans échec :
    Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
    Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec
    puis tape « entrée ».
    Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
    (Si F8 ne marche pas utilise la touche F5).
    ========================================
    ->

    ========================================
    ->Lance CCleaner.

    Suppression des fichiers temporaires

    Va dans la section "Options" situé dans la marge gauche.
    Décoche "Avancé"
    Retourne ensuite dans la section "Nettoyeur"
    Fais bien attention de cocher toutes ces cases dans la marge gauche (Internet Explorer/Windows Explorer/Système)
    • Clique sur [Analyse]
    • Patiente le temps du scan, qui peut prendre un peu de temps si c'est la première fois.
    • Une fois le scan terminé, clique sur [Lancer le Nettoyage]

    ========================================
    ->Lance AVG pour un scan complet "Analyse" ->"Paramètres"

    Sous la question "Comment réagir ?" :

    -> clique sur "Actions recommandées" et choisis "Quarantaines"
    -> Re-clique sur l'onglet "Analyse" puis réalise une "Analyse complète du système"

    Si un fichier est infecté en fin d'analyse

    ->Clique sur "Appliquer toutes les actions "

    ->Clique sur "Enregistrer le rapport" puis sur "Enregistrer le rapport sous".

    ->Enregistre ce fichier texte sur ton bureau et [copie/colle le rapport en forum]
    ========================================
    ->Passe Ad-Aware et supprime tout ce qu’il trouve + supprime les quarantaines…
    ========================================
    ->Passe Spybot et corrige tout ce qu’il trouve + vaccine + supprime les quarantaines…
    ========================================
    ->Relance CCleaner.
    Suppression des incohérences du registre

    • Clique sur l'icône [Erreurs] situés dans la marge à gauche
    • Puis clique sur [Analyser les erreurs]
    • Patiente pendant que CCleaner scan ton registre.
    • Une fois le scan terminé, coche toutes les entrèes qu'il t'aura trouvée.
    • Tu peux cliquer ensuite sur [Corriger les erreurs].

    Si tu n'est pas sur de ce que tu fais, tu peux choisir de sauvegarder les entrées cochées pour les restaurer ultérieurement.
    ========================================
    ->Vide ta Corbeille.
    ========================================
    ->Redémarre en mode normal,

    - > Ouvre ce lien pour scanner ton PC avec un BitDefender en ligne (uniquement sous Internet Explorer) :

    https://www.bitdefender.com/toolbox/

    Utilisation :
    Cliquer sur "J'accepte" puis accepter également l'ActiveX bloqué par la barre anti-popup du SP2 qui clignotera en haut et l'installer.
    Ensuite, cliquer sur "Cliquez ici pour scanner".
    Patienter jusqu'à la fin du scan qui peut durer assez longtemps...

    Copier/coller le rapport entier sur le forum.

    Tutoriel en images ici : http://pageperso.aol.fr/rginformatique/mapage/defender.htm (merci à Balltrap34 pour cette réalisation)
    [Recoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »

    Relance Hijackthis et copie/colle un nouveau rapport sur le forum.

    Et dis moi ou en sont tes problèmes s’il t’en reste.
    0
  12. Edcoco
     
    Bonjour à tous!
    Activités de fin d'année obligent , j'ai éxécuté l'opération demandé par lyonnais 92 il ya deux jours mais je n'ai pu repondre. Navré. A priori je pense que je n'ai plus d'infections dans la machine. Le scan de avg je n'ai pu l'avoir comme tu vais dit lyonnais. J'ai du faire après le scans des screenshots. Je vous les envoie dans la journée. Le scan bitdefender ne signale aucune menace. Ni detectée, ni anciennement supprimée. En revanche je n'ai pu avoir le rapport non plus parce qu'il ya une problème avec internet explorer 5. Donc il n'a pu générer le rapport final. La machine est moins lente mais toujours lente quand même. C'est même ce pourquoi je suis obligé de vous répondre à partir d'un autre pc. A y voir de près je me suis dit que c'est peut être la ram qui n'est pas costaud (128 Mo). Voilà tout. Et merci de votre aide.
    0
  13. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    je lirai tes rapports quand tu les auras posté.

    128 c'est un peu juste (sic) pour Xp SP2 et devrait expliquer une bonne partie de la lenteur;

    Tu peux préciser la version de IE que tu as. Le mieux serair de mettre IE7, ce qui ne devrait pas poser de problèmes si ton Windows est légitime. Par contre, tu continues à surfer avec firefox. IE, c'est pour les mises à jour de Windows.

    Si tu es en retard, fais les. Ne prends que les critiques.
    0
  14. Edcoco
     
    Euh lyonnais j'ai un léger problème. C'est pas possible de coller des images sur le forum je crois. Si oui comment je procède? Sans cela je ne saurais te faire lire les rapports de AVG. a moins de pouvoir l'envoyer en pièce jointe? mais comment? Pour la ram t'as entièrement raison. En fait ce n'est pas mon pc mais celui d'un collègue de travail. Justement c'est ce pourquoi cela ne m'est pas venu plus tôt de vérifier la capacité de la ram. Mais bon je pense que si tous les problème sont réglés et que la lenteur n'est imputable qu'à la ram trop faible pour le service pack 2 bah tant mieux. Merci de ton aide.
    0
  15. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    refais tourner AVG antispy.

    Trouve t-il autre chose que des cookies ?
    0
  16. Edcoco
     
    Bonjour lyonnais92

    J'ai éxécuté à nouveau le scan de avg anti spy comme t'as suggéré et je ne vois plus d'infections a part des cookies que je supprime bien évidement. En outre deux nouveaux problèmes sont apparus:
    Primo: j'ai repassé un scan de adware, il voit une menace mais se plante lors du scan a l'étape de vérification des derniers fichiers temporaires. je ne sais pas pourquoi. J'ai fait exprès et j'ai laissé tourner toute un ejournée mais ça ne change rien.

    Deuxio: quand je tente de faire certaines opérations comme ouvrir un dossier ou un documentou lancer un application le message ci-après s'affiche: 80avp08.com
    L'instruction "ox10013ebc" emploie l'adresse mémoire "ox7d986bfd" la memoire ne peut pas être read.
    Ce qui m'inquiète le plus ce n'est plus le pc de mon collègue au boulot mais on dirait que le deuxième problème est dûe à un virus que j'ai transmis à mon laptop chez moi. Et sur un autre pc via ma clé usb. j'ai cherché sur le net mais tout ce que j'ai trouvé est en anglais. Mais visiblement c'est u virus. Je précise quue j'ai scanné avec avg, nod 32, avast, avg anti spy, spybot, adware mais aucun ne trouve de virus.

    Cela te dis quelque chose?
    0
  17. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    1) télécharge combofix (par sUBs)ici :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    et enregistre le sur le bureau.

    2 double-clique sur combofix.exe et suis les instructions

    3 à la fin, il va produire un rapport C:\ComboFix.txt

    4 copie/colle ce rapport dans ta prochaine réponse.

    Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

    2) (mais je ne suis pas sur qu'il ait été mis à jour)::

    Télécharge Flash_Disinfector de sUBs ici
    :
    http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe

    Enregistre le sur ton bureau.

    Double clique sur Flash_Disinfector.exe pour le lancer
    .
    Quand le message : "Plug in yours flash drive & clic Ok to begin disinfection" apparaitra :
    Connecte les clés USB et périphériques USB externes susceptibles d'avoir été infectés.

    Puis clique sur Ok

    Les icônes sur le bureau vont disparaitre jusqu'à l'apparition du message: "Done!!"

    Appuye sur "Ok", pour faire réapparaitre le bureau
    0
  18. Edcoco
     
    voici le rapport de mon pc de bureau:

    ComboFix 07-12-31.4 - Fougerolle 1446 2007-12-31 13:21:33.1 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.87 [GMT 0:00]
    Running from: C:\Documents and Settings\Fougerolle 1446\Bureau\ComboFix.exe
    * Created a new restore point
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\Autorun.inf
    C:\WINDOWS\system32\x64

    .
    ((((((((((((((((((((((((((((( Fichiers créés 2007-11-28 to 2007-12-31 ))))))))))))))))))))))))))))))))))))
    .

    2007-12-31 13:20 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
    2007-12-29 17:12 . 2007-12-31 11:22 105,216 -r-hs---- C:\80avp08.com
    2007-12-29 17:11 . 2007-12-31 11:22 105,216 -r-hs---- C:\WINDOWS\system32\amvo.exe
    2007-12-29 17:11 . 2007-12-29 10:42 104,472 -r-hs---- C:\xfoolavp.com
    2007-12-29 17:11 . 2007-12-31 11:22 54,272 -r-hs---- C:\WINDOWS\system32\amvo1.dll
    2007-12-27 18:34 . 2007-12-27 18:34 244 --ah----- C:\sqmnoopt00.sqm
    2007-12-27 18:34 . 2007-12-27 18:34 232 --ah----- C:\sqmdata00.sqm
    2007-12-24 14:57 . 2007-12-26 07:58 <REP> d-------- C:\Program Files\tuEagles
    2007-12-24 14:57 . 2007-12-24 14:57 9,522 --------- C:\WINDOWS\Retaften.bmp
    2007-12-24 14:57 . 2007-12-24 14:57 0 --------- C:\WINDOWS\system32\drivers\IsPubDrv.sys
    2007-12-24 14:57 . 2007-12-24 14:57 0 --------- C:\WINDOWS\system32\drivers\IsDrv118.sys
    2007-12-19 13:47 . 2007-12-19 13:47 <REP> d-------- C:\Documents and Settings\Fougerolle 1446\WINDOWS
    2007-12-19 13:47 . 1997-08-26 12:06 315,904 --------- C:\WINDOWS\IsUninst.exe
    2007-12-19 10:20 . 2007-12-19 10:20 <REP> d-------- C:\Program Files\Google
    2007-12-19 09:54 . 2007-12-19 09:54 <REP> d-------- C:\Program Files\Windows Defender
    2007-12-17 17:55 . 2007-12-17 17:55 151 --------- C:\WINDOWS\PhotoSnapViewer.INI
    2007-12-14 17:35 . 2006-08-21 09:14 128,896 --------- C:\WINDOWS\system32\dllcache\fltmgr.sys
    2007-12-14 17:35 . 2006-08-21 09:14 23,040 --------- C:\WINDOWS\system32\dllcache\fltmc.exe
    2007-12-14 17:35 . 2006-08-21 12:26 16,896 --------- C:\WINDOWS\system32\dllcache\fltlib.dll
    2007-12-14 15:41 . 2007-12-14 15:41 <REP> d-------- C:\Program Files\Trend Micro
    2007-12-13 12:12 . 2007-09-05 23:22 289,144 --------- C:\WINDOWS\system32\VCCLSID.exe
    2007-12-13 12:12 . 2006-04-27 16:49 288,417 --------- C:\WINDOWS\system32\SrchSTS.exe
    2007-12-13 12:12 . 2003-06-05 20:13 53,248 --------- C:\WINDOWS\system32\Process.exe
    2007-12-13 12:12 . 2004-07-31 17:50 51,200 --------- C:\WINDOWS\system32\dumphive.exe
    2007-12-13 12:12 . 2007-10-03 23:36 25,600 --------- C:\WINDOWS\system32\WS2Fix.exe
    2007-12-13 12:12 . 2007-12-13 12:12 4,248 --------- C:\WINDOWS\system32\tmp.reg
    2007-12-13 11:16 . 2007-07-07 10:07 418,318 ---h----- C:\WINDOWS\system32\ne0kS.exe
    2007-12-13 11:16 . 2007-07-07 20:01 5,537 --------- C:\WINDOWS\system32\ne0kS.dll.wsf
    2007-12-13 09:52 . 2007-12-14 08:04 <REP> d-------- C:\Documents and Settings\Fougerolle 1446\Contacts
    2007-12-13 09:25 . 2007-12-13 09:52 <REP> d-------- C:\Program Files\MSN Messenger
    2007-12-12 14:31 . 2007-12-12 14:31 <REP> d-------- C:\Program Files\Lavasoft
    2007-12-12 14:31 . 2007-12-12 14:31 <REP> d-------- C:\Documents and Settings\Fougerolle 1446\Application Data\Lavasoft
    2007-12-12 14:23 . 2007-12-12 14:25 <REP> d-------- C:\FIL
    2007-12-11 15:01 . 2007-12-11 15:13 <REP> d--h----- C:\DOCS
    2007-12-06 17:55 . 2007-12-06 17:55 <REP> d-------- C:\Documents and Settings\Fougerolle 1446\Application Data\InterVideo
    2007-12-06 11:27 . 2007-12-27 15:57 <REP> d-------- C:\Divers
    2007-12-04 11:34 . 2007-12-04 11:34 0 --------- C:\WINDOWS\graphedit.INI
    2007-11-30 07:54 . 2007-11-30 08:16 15,048 --------- C:\MACDR055.CST
    2007-11-29 15:48 . 2007-11-29 15:48 <REP> d-------- C:\Documents and Settings\Fougerolle 1446\Application Data\Ahead
    2007-11-24 10:48 . 2007-10-07 21:07 530,771,180 ---h----- C:\Program Files\AVSEQ01.DAT
    2007-11-24 10:30 . 2007-12-29 16:08 116 --a------ C:\WINDOWS\NeroDigital.ini
    2007-11-23 12:26 . 2007-11-23 12:26 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Ahead
    2007-11-23 12:26 . 2005-07-29 17:12 2,977,792 --------- C:\WINDOWS\UNNeroVision.exe
    2007-11-23 12:26 . 2004-07-09 09:43 364,544 --------- C:\WINDOWS\system32\TwnLib4.dll
    2007-11-23 12:26 . 2005-08-01 15:37 145,783 --------- C:\WINDOWS\UNNeroVision.cfg
    2007-11-23 12:26 . 2001-06-26 08:15 38,912 --------- C:\WINDOWS\system32\picn20.dll
    2007-11-23 12:26 . 2001-03-08 19:30 24,064 --------- C:\WINDOWS\system32\msxml3a.dll
    2007-11-23 12:24 . 2007-11-23 12:24 <REP> d-------- C:\Program Files\Fichiers communs\Ahead
    2007-11-23 12:24 . 2007-11-23 12:26 <REP> d-------- C:\Program Files\Ahead
    2007-11-23 12:24 . 2004-07-26 17:16 1,568,768 --------- C:\WINDOWS\system32\ImagX7.dll
    2007-11-23 12:24 . 2004-07-26 17:16 476,320 --------- C:\WINDOWS\system32\ImagXpr7.dll
    2007-11-23 12:24 . 2004-07-26 17:16 471,040 --------- C:\WINDOWS\system32\ImagXRA7.dll
    2007-11-23 12:24 . 2004-07-26 17:16 262,144 --------- C:\WINDOWS\system32\ImagXR7.dll
    2007-11-23 12:24 . 2001-07-09 11:50 155,648 --------- C:\WINDOWS\system32\NeroCheck.exe
    2007-11-23 12:24 . 2004-03-02 17:37 125,184 --------- C:\WINDOWS\system32\drivers\imagesrv.sys
    2007-11-23 12:24 . 2000-06-26 11:45 106,496 --------- C:\WINDOWS\system32\TwnLib20.dll
    2007-11-23 12:24 . 2004-03-02 17:37 5,504 --------- C:\WINDOWS\system32\drivers\imagedrv.sys
    2007-11-23 12:18 . 2007-11-23 12:18 <REP> d-------- C:\Program Files\DivX
    2007-11-14 18:26 . 2007-09-24 23:31 69,632 --------- C:\WINDOWS\system32\javacpl.cpl
    2007-11-14 18:12 . 2006-10-04 14:06 1,197,294 --------- C:\WINDOWS\system32\dllcache\sysmain.sdb
    2007-11-14 18:12 . 2006-10-04 14:06 764,868 --------- C:\WINDOWS\system32\dllcache\apph_sp.sdb
    2007-11-14 18:12 . 2006-10-04 14:06 217,118 --------- C:\WINDOWS\system32\dllcache\apphelp.sdb
    2007-11-14 18:09 . 2007-11-14 18:09 <REP> d-------- C:\WINDOWS\system32\LogFiles
    2007-11-14 18:09 . 2007-11-14 18:10 <REP> d-------- C:\WINDOWS\system32\drivers\UMDF
    2007-11-14 18:08 . 2007-12-31 09:45 <REP> d-------- C:\Program Files\Fichiers communs\Adobe
    2007-11-14 17:50 . 2007-12-04 14:51 42,912 --------- C:\WINDOWS\system32\drivers\aswTdi.sys
    2007-11-14 17:50 . 2007-12-04 14:49 26,624 --------- C:\WINDOWS\system32\drivers\aavmker4.sys
    2007-11-14 17:50 . 2007-12-04 14:53 23,152 --------- C:\WINDOWS\system32\drivers\aswRdr.sys
    2007-11-14 17:49 . 2007-11-14 17:49 <REP> d-------- C:\Program Files\Alwil Software
    2007-11-14 17:49 . 2007-12-04 13:04 837,496 --a------ C:\WINDOWS\system32\aswBoot.exe
    2007-11-14 17:49 . 2004-01-09 10:13 380,928 --a------ C:\WINDOWS\system32\actskin4.ocx
    2007-11-14 17:49 . 2007-12-04 12:54 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr
    2007-11-14 17:49 . 2007-12-04 14:55 94,544 --------- C:\WINDOWS\system32\drivers\aswmon2.sys
    2007-11-14 17:49 . 2007-12-04 14:56 93,264 --------- C:\WINDOWS\system32\drivers\aswmon.sys
    2007-11-14 17:48 . 2004-02-17 09:11 53,248 --------- C:\WINDOWS\system32\vp6dec_settings.cpl
    2007-11-14 17:47 . 2007-11-14 17:48 <REP> d-------- C:\Program Files\ACE Mega CoDecS Pack
    2007-11-14 17:45 . 2007-11-14 17:45 <REP> d-------- C:\Program Files\SuperCopier2
    2007-11-14 17:44 . 2007-11-14 18:07 <REP> d-------- C:\Documents and Settings\Fougerolle 1446\Application Data\U3
    2007-11-14 17:44 . 2004-08-03 22:08 26,496 --------- C:\WINDOWS\system32\dllcache\usbstor.sys
    2007-11-14 17:14 . 2007-11-14 17:16 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Microsoft Help
    2007-11-14 17:02 . 2003-06-19 00:31 17,920 --------- C:\WINDOWS\system32\mdimon.dll
    2007-11-14 17:02 . 2007-11-14 17:02 385 --------- C:\WINDOWS\ODBC.INI
    2007-11-14 17:00 . 2007-11-14 17:14 <REP> d-------- C:\WINDOWS\SHELLNEW
    2007-11-14 17:00 . 2007-11-14 17:16 <REP> d-------- C:\Program Files\Microsoft Works
    2007-11-14 16:59 . 2007-11-14 16:59 <REP> d-------- C:\Program Files\Microsoft.NET
    2007-11-14 16:58 . 2007-11-14 16:58 <REP> dr-h----- C:\MSOCache
    2007-11-14 16:49 . 2007-11-14 16:50 <REP> d-------- C:\Program Files\Windows Live Toolbar
    2007-11-14 16:49 . 2007-12-31 09:35 <REP> d--h----- C:\Documents and Settings\Fougerolle 1446\Voisinage réseau
    2007-11-14 16:49 . 2007-07-19 01:29 <REP> d--h----- C:\Documents and Settings\Fougerolle 1446\Voisinage d'impression
    2007-11-14 16:49 . 2007-07-19 01:29 <REP> d--h----- C:\Documents and Settings\Fougerolle 1446\Modèles
    2007-11-14 16:49 . 2007-12-28 11:29 <REP> dr------- C:\Documents and Settings\Fougerolle 1446\Mes documents
    2007-11-14 16:49 . 2007-07-19 01:29 <REP> dr------- C:\Documents and Settings\Fougerolle 1446\Menu Démarrer
    2007-11-14 16:49 . 2007-11-14 16:49 <REP> dr------- C:\Documents and Settings\Fougerolle 1446\Favoris
    2007-11-14 16:49 . 2007-12-31 13:09 <REP> d-------- C:\Documents and Settings\Fougerolle 1446\Bureau
    2007-11-14 16:49 . 2007-07-18 18:11 <REP> d-------- C:\Documents and Settings\Fougerolle 1446\Application Data\ThinkVantage
    2007-11-14 16:49 . 2007-07-18 17:59 <REP> d-------- C:\Documents and Settings\Fougerolle 1446\Application Data\Symantec
    2007-11-14 16:49 . 2007-07-18 18:11 <REP> d-------- C:\Documents and Settings\Fougerolle 1446\Application Data\Lenovo
    2007-11-14 16:49 . 2004-08-05 12:00 221,184 --------- C:\WINDOWS\system32\wmpns.dll
    2007-11-14 16:49 . 2007-11-14 16:49 50 --------- C:\WINDOWS\system32\drivers\LENOVO_9389_W6E.MRK
    2007-11-14 16:49 . 2007-11-14 16:49 10 --------- C:\WINDOWS\system32\firstboot.ibm

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2007-12-30 15:07 5,427 ----a-w C:\WINDOWS\system32\EGATHDRV.SYS
    2007-12-08 13:42 --------- d--h--w C:\Program Files\drivers
    2007-11-22 17:20 --------- d-----w C:\Program Files\Picasa2
    2007-11-14 18:26 --------- d-----w C:\Program Files\Java
    2007-11-14 18:11 --------- d-----w C:\Program Files\Windows Media Connect 2
    2007-11-14 16:57 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared
    2007-11-14 16:55 --------- d-----w C:\Program Files\Symantec Client Security
    2007-11-14 16:54 --------- d-----w C:\Documents and Settings\All Users\Application Data\Symantec
    2007-11-13 10:25 20,480 ------w C:\WINDOWS\system32\drivers\secdrv.sys
    2007-10-30 23:23 3,590,656 ------w C:\WINDOWS\system32\dllcache\mshtml.dll
    2007-10-29 22:43 1,293,824 ------w C:\WINDOWS\system32\quartz.dll
    2007-10-29 22:43 1,293,824 ------w C:\WINDOWS\system32\dllcache\quartz.dll
    2007-10-25 16:43 8,516,608 ------w C:\WINDOWS\system32\dllcache\shell32.dll
    2007-10-25 09:28 222,720 ------w C:\WINDOWS\system32\wmasf.dll
    2007-10-25 09:28 222,720 ------w C:\WINDOWS\system32\dllcache\wmasf.dll
    2007-10-10 23:49 824,832 ------w C:\WINDOWS\system32\dllcache\wininet.dll
    2007-10-10 23:49 671,232 ------w C:\WINDOWS\system32\dllcache\mstime.dll
    2007-10-10 23:49 63,488 ------w C:\WINDOWS\system32\dllcache\icardie.dll
    2007-10-10 23:49 6,065,664 ------w C:\WINDOWS\system32\dllcache\ieframe.dll
    2007-10-10 23:49 52,224 ------w C:\WINDOWS\system32\dllcache\msfeedsbs.dll
    2007-10-10 23:49 478,208 ------w C:\WINDOWS\system32\dllcache\mshtmled.dll
    2007-10-10 23:49 459,264 ------w C:\WINDOWS\system32\dllcache\msfeeds.dll
    2007-10-10 23:49 44,544 ------w C:\WINDOWS\system32\dllcache\iernonce.dll
    2007-10-10 23:49 384,512 ------w C:\WINDOWS\system32\dllcache\iedkcs32.dll
    2007-10-10 23:49 383,488 ------w C:\WINDOWS\system32\dllcache\ieapfltr.dll
    2007-10-10 23:49 27,648 ------w C:\WINDOWS\system32\dllcache\jsproxy.dll
    2007-10-10 23:49 267,776 ------w C:\WINDOWS\system32\dllcache\iertutil.dll
    2007-10-10 23:49 232,960 ------w C:\WINDOWS\system32\dllcache\webcheck.dll
    2007-10-10 23:49 230,400 ------w C:\WINDOWS\system32\dllcache\ieaksie.dll
    2007-10-10 23:49 214,528 ------w C:\WINDOWS\system32\dllcache\dxtrans.dll
    2007-10-10 23:49 193,024 ------w C:\WINDOWS\system32\dllcache\msrating.dll
    2007-10-10 23:49 153,088 ------w C:\WINDOWS\system32\dllcache\ieakeng.dll
    2007-10-10 23:49 132,608 ------w C:\WINDOWS\system32\dllcache\extmgr.dll
    2007-10-10 23:49 124,928 ------w C:\WINDOWS\system32\dllcache\advpack.dll
    2007-10-10 23:49 105,984 ------w C:\WINDOWS\system32\dllcache\url.dll
    2007-10-10 23:49 102,400 ------w C:\WINDOWS\system32\dllcache\occache.dll
    2007-10-10 23:49 1,159,680 ------w C:\WINDOWS\system32\dllcache\urlmon.dll
    2007-10-10 11:00 70,656 ------w C:\WINDOWS\system32\dllcache\ie4uinit.exe
    2007-10-10 11:00 625,152 ------w C:\WINDOWS\system32\dllcache\iexplore.exe
    2007-10-10 10:59 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe
    2007-10-10 05:46 161,792 ------w C:\WINDOWS\system32\dllcache\ieakui.dll
    .

    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 12:00 15360]
    "SuperCopier2.exe"="C:\Program Files\SuperCopier2\SuperCopier2.exe" [2006-07-07 16:45 1052672]
    "MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55 5674352]
    "amva"="C:\WINDOWS\system32\amvo.exe" [2007-12-31 11:22 105216]
    "WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-03 09:59 204288]
    "AdobeUpdater"="C:\Program Files\Fichiers communs\Adobe\Updater5\AdobeUpdater.exe" [2007-03-01 10:37 2321600]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Raccourci vers la page des propriétés de High Definition Audio"="HDAShCut.exe" [2005-01-07 15:07 61952 C:\WINDOWS\system32\HdAShCut.exe]
    "Mouse Suite 98 Daemon"="ICO.EXE" [2005-04-13 12:34 49152 C:\WINDOWS\system32\ico.exe]
    "SoundMAXPnP"="C:\Program Files\Analog Devices\Core\smax4pnp.exe" [2006-12-18 13:34 868352]
    "SoundMAX"="C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" [2006-07-13 05:12 729088]
    "IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2006-10-06 04:11 98304]
    "HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2006-10-06 04:13 114688]
    "Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2006-10-06 04:10 94208]
    "AMSG"="C:\Program Files\ThinkVantage\AMSG\Amsg.exe" [2005-11-14 06:23 487424]
    "LPManager"="C:\PROGRA~1\THINKV~1\PrdCtr\LPMGR.exe" [2006-03-22 16:10 106496]
    "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
    "DLA"="C:\WINDOWS\System32\DLA\DLACTRLW.EXE" [2006-02-02 03:20 122940]
    "ISUSPM Startup"="C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 14:50 221184]
    "ISUSScheduler"="C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2004-07-27 14:50 81920]
    "AwaySch"="C:\Program Files\Lenovo\AwayTask\AwaySch.EXE" [2006-04-18 17:05 69632]
    "TVT Scheduler Proxy"="C:\Program Files\Fichiers communs\Lenovo\Scheduler\scheduler_proxy.exe" [2006-03-28 02:01 503808]
    "DiskeeperSystray"="C:\Program Files\Diskeeper Corporation\Diskeeper\DkIcon.exe" [2006-05-18 14:24 196696]
    "Picasa Media Detector"="C:\Program Files\Picasa2\PicasaMediaDetector.exe" [2005-10-28 18:08 335872]
    "PDService.exe"="C:\Program Files\Lenovo\SafeGuard PrivateDisk\pdservice.exe" [2006-03-13 14:38 41472]
    "cssauth"="C:\Program Files\Lenovo\Client Security Solution\cssauth.exe" [2006-05-12 18:15 2333440]
    "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 13:00 79224]
    "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
    "Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [2006-11-03 19:20 866584]
    "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06 40048]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 12:00 15360]
    "DWQueuedReporting"="C:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2006-10-26 18:48 434528]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\AwayNotify]
    C:\Program Files\Lenovo\AwayTask\AwayNotify.dll 2006-04-18 17:05 49152 C:\Program Files\Lenovo\AwayTask\AwayNotify.dll

    R2 PrivateDisk;PrivateDisk;C:\Program Files\Lenovo\SafeGuard PrivateDisk\PrivateDiskM.sys [2006-03-13 14:05]
    R2 smi2;smi2;C:\Program Files\SMI2\smi2.sys [2006-05-12 16:10]
    R3 pelmouse;Mouse Suite Driver;C:\WINDOWS\system32\DRIVERS\pelmouse.sys [2003-01-10 11:55]
    R3 pelusblf;USB Mouse Low Filter Driver;C:\WINDOWS\system32\DRIVERS\pelusblf.sys [2003-02-11 11:25]
    R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 22:08]

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{48ad2dc0-b5fb-11dc-a5db-001558eccc91}]
    \Shell\AutoRun\command - E:\xfoolavp.com
    \Shell\explore\Command - E:\xfoolavp.com
    \Shell\open\Command - E:\xfoolavp.com

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{48d0409f-aa1b-11dc-a5cf-001558eccc91}]
    \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe WillPolo.vbs

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{609ddee6-9c1b-11dc-a5b7-001558eccc91}]
    \Shell\AutoRun\command - EXPLORER.EXE
    \Shell\explore\Command - EXPLORER.EXE
    \Shell\open\Command - EXPLORER.EXE

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{78cb9ede-a3d1-11dc-a5c2-001558eccc91}]
    \Shell\AutoRun\command - E:\80avp08.com
    \Shell\explore\Command - E:\80avp08.com
    \Shell\open\Command - E:\80avp08.com

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7d10d362-b1f9-11dc-a5d6-001558eccc91}]
    \Shell\AutoRun\command - E:\ntde1ect.com
    \Shell\explore\Command - E:\ntde1ect.com
    \Shell\open\Command - E:\ntde1ect.com

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{922ef5e8-a0e3-11dc-a5be-001558eccc91}]
    \Shell\Auto\command - wscript "Sex City.jpg.wsf"
    \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript "Sex City.jpg.wsf"

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{db86134e-991a-11dc-a5b2-001558eccc91}]
    \Shell\Auto\command - wscript "Sex City.jpg.wsf"
    \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript "Sex City.jpg.wsf"

    *Newly Created Service* - GFCVBM
    *Newly Created Service* - PROCEXP90
    .
    Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
    "2007-12-29 11:03:57 C:\WINDOWS\Tasks\MP Scheduled Scan.job"
    - C:\Program Files\Windows Defender\MpCmdRun.exe
    "2007-12-31 13:15:03 C:\WINDOWS\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job"
    - C:\Program Files\Windows Live Toolbar\MSNTBUP.EXE
    .
    **************************************************************************

    catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2007-12-31 13:24:10
    Windows 5.1.2600 Service Pack 2 NTFS

    scanning hidden processes ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully
    hidden files: 0

    **************************************************************************
    .
    Completion time: 2007-12-31 13:25:02
    C:\qoobox\ComboFix-quarantined-files.txt 2007-12-31 13:24:58
    .
    2007-12-28 07:55:19 --- E O F ---

    ET VOICI CELUI DE MON LAPTOP

    ComboFix 07-12-31.4 - EDORH Florence Véna 2007-12-31 13:21:23.1 - NTFSx86
    Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.187 [GMT 0:00]
    Running from: C:\Documents and Settings\EDORH Florence Véna\Mes documents\Mes fichiers reçus\ComboFix.exe
    * Created a new restore point
    .

    ((((((((((((((((((((((((((((( Fichiers créés 2007-11-28 to 2007-12-31 ))))))))))))))))))))))))))))))))))))
    .

    2007-12-31 13:17 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
    2007-12-31 13:14 . 2007-12-31 13:14 <REP> d-------- C:\WINDOWS\LastGood
    2007-12-26 22:13 . 2007-12-26 22:13 <REP> d-------- C:\Program Files\Virtools
    2007-12-26 20:50 . 2007-12-26 20:50 <REP> d-------- C:\Documents and Settings\All Users\Application Data\MailFrontier
    2007-12-26 20:50 . 2007-12-26 20:53 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat
    2007-12-26 20:48 . 2007-12-26 21:44 <REP> d-------- C:\WINDOWS\Internet Logs
    2007-12-26 19:45 . 2007-12-26 19:45 <REP> d-------- C:\Program Files\SuperCopier2
    2007-12-26 15:38 . 2007-12-26 15:38 502,368 --a------ C:\WINDOWS\system32\drivers\amon.sys
    2007-12-26 15:38 . 2007-12-26 15:38 270,336 --a------ C:\WINDOWS\system32\imon.dll
    2007-12-26 01:46 . 2007-12-26 01:46 0 --a------ C:\WINDOWS\system32\mapisvc.inf
    2007-12-20 09:17 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
    2007-12-19 15:38 . 2007-12-31 13:14 <REP> d-------- C:\Program Files\Windows Live Safety Center
    2007-12-17 08:09 . 2007-12-17 08:09 <REP> d-------- C:\Program Files\Veoh Networks
    2007-12-12 03:41 . 2007-10-10 23:49 6,065,664 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll
    2007-12-12 03:41 . 2007-07-01 03:31 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat
    2007-12-12 03:41 . 2007-07-01 03:36 1,048,576 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
    2007-12-12 03:41 . 2007-10-10 23:49 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll
    2007-12-12 03:41 . 2007-10-10 23:49 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll
    2007-12-12 03:41 . 2007-10-10 23:49 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll
    2007-12-12 03:41 . 2007-10-10 23:49 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll
    2007-12-12 03:41 . 2007-10-10 23:49 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
    2007-12-12 03:41 . 2007-10-10 10:59 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe
    2007-12-12 03:37 . 2007-12-12 03:44 <REP> d-------- C:\WINDOWS\system32\fr-fr
    2007-12-11 22:34 . 2007-12-11 22:34 1,044,480 --a------ C:\WINDOWS\system32\libdivx.dll
    2007-12-11 22:34 . 2007-12-11 22:34 200,704 --a------ C:\WINDOWS\system32\ssldivx.dll
    2007-12-11 03:26 . 2007-12-11 03:30 <REP> d-------- C:\Documents and Settings\EDORH Florence Véna\Application Data\SecondLife
    2007-12-11 03:04 . 2007-12-11 14:10 <REP> d-------- C:\Program Files\SecondLife
    2007-12-07 13:19 . 2007-12-17 08:38 <REP> d-------- C:\Program Files\DivX
    2007-12-07 04:00 . 2007-12-07 04:00 <REP> d-------- C:\Program Files\RedlightCenter
    2007-12-07 04:00 . 2007-12-07 04:00 <REP> d-------- C:\Program Files\Fichiers communs\PocketSoft
    2007-12-05 21:57 . 2007-12-21 11:17 38 --a------ C:\WINDOWS\avisplitter.INI
    2007-12-05 18:37 . 2007-12-05 18:37 <REP> d-------- C:\Program Files\Microsoft Silverlight
    2007-12-04 01:27 . 2004-05-14 16:53 462,848 --a------ C:\WINDOWS\system32\ltkrn13n.dll
    2007-12-04 01:27 . 2004-05-14 16:53 450,560 --a------ C:\WINDOWS\system32\ltimg13n.dll
    2007-12-04 01:27 . 2004-05-14 16:53 401,408 --a------ C:\WINDOWS\system32\lfcmp13n.dll
    2007-12-04 01:27 . 2004-05-14 16:53 299,008 --a------ C:\WINDOWS\system32\ltdis13n.dll
    2007-12-04 01:27 . 2004-01-12 02:09 206,336 --a------ C:\WINDOWS\system32\ltefx13n.dll
    2007-12-04 01:27 . 2004-05-14 16:53 163,840 --a------ C:\WINDOWS\system32\ltfil13n.dll
    2007-12-04 01:27 . 2003-11-04 15:10 69,632 --a------ C:\WINDOWS\system32\lfgif13n.dll
    2007-12-04 01:27 . 2004-05-14 16:53 57,344 --a------ C:\WINDOWS\system32\lfbmp13n.dll
    2007-11-30 15:10 . 2007-11-30 15:11 <REP> d-------- C:\Documents and Settings\EDORH Florence Véna\Application Data\Media Player Classic
    2007-11-29 03:11 . 2007-11-29 03:11 <REP> d-------- C:\Program Files\Fichiers communs\Sandlot Shared
    2007-11-29 03:11 . 2007-12-01 03:27 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Sandlot Games
    2007-11-29 02:37 . 2007-11-29 02:41 <REP> d-------- C:\Documents and Settings\EDORH Florence Véna\Application Data\Super-Cow
    2007-11-29 02:23 . 2007-11-29 09:19 <REP> d-------- C:\Documents and Settings\EDORH Florence Véna\Application Data\PlayFirst
    2007-11-29 02:23 . 2007-12-19 09:20 <REP> d-------- C:\Documents and Settings\EDORH Florence Véna\Application Data\GameHouse
    2007-11-29 02:23 . 2007-11-29 09:19 <REP> d-------- C:\Documents and Settings\All Users\Application Data\PlayFirst
    2007-11-29 02:23 . 2007-11-29 02:23 <REP> d-------- C:\Documents and Settings\All Users\Application Data\n7-89-o9-3r-4t-r9
    2007-11-28 23:53 . 2007-11-28 23:53 <REP> d-------- C:\Documents and Settings\All Users\Application Data\rs-95-47-2p-55-55
    2007-11-28 23:46 . 2007-12-19 11:56 <REP> d-------- C:\Program Files\GameHouse
    2007-11-28 23:46 . 2007-11-28 23:46 <REP> d-------- C:\Documents and Settings\All Users\Application Data\50-65-46-2p-57-55
    2007-11-28 22:49 . 2007-11-28 22:49 <REP> d-------- C:\WINDOWS\Sun
    2007-11-28 21:43 . 2007-11-28 21:43 <REP> d-------- C:\Program Files\Fichiers communs\Adobe
    2007-11-28 21:43 . 2007-11-28 21:43 <REP> d-------- C:\Documents and Settings\EDORH Florence Véna\Application Data\AdobeUM
    2007-11-28 20:11 . 2007-11-28 20:11 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Trymedia
    2007-11-28 20:10 . 2007-11-28 20:22 <REP> d-------- C:\Downloads
    2007-11-28 17:42 . 2007-12-17 08:07 <REP> d-------- C:\WINDOWS\Downloaded Installations
    2007-11-28 17:28 . 2007-11-28 17:34 <REP> d-------- C:\Program Files\PacificPoker
    2007-11-28 17:14 . 2007-11-28 20:11 <REP> d-------- C:\Program Files\Monopoly_at
    2007-11-28 17:11 . 2007-11-28 17:11 <REP> d-------- C:\Documents and Settings\EDORH Florence Véna\Application Data\Jane s Hotel
    2007-11-28 17:11 . 2007-11-28 20:24 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
    2007-11-28 15:55 . 2007-11-28 15:55 <REP> d-------- C:\Program Files\Ihsv
    2007-11-28 15:38 . 2007-11-28 15:38 <REP> d-------- C:\Documents and Settings\EDORH Florence Véna\Application Data\funkitron
    2007-11-28 15:28 . 2007-11-28 15:28 <REP> d-------- C:\Program Files\Trymedia
    2007-11-27 18:12 . 2007-11-27 18:12 <REP> d-------- C:\WINDOWS\Abra Academy - Returning Cast
    2007-11-27 18:12 . 2007-11-27 18:13 <REP> d-------- C:\Documents and Settings\EDORH Florence Véna\Application Data\Abra Academy2
    2007-11-26 11:03 . 2007-11-27 13:40 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Messenger Plus!
    2007-11-26 10:33 . 2007-11-26 13:02 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
    2007-11-26 05:57 . 2007-12-27 18:59 <REP> d-------- C:\Program Files\Google
    2007-11-26 05:51 . 2007-12-17 07:28 <REP> d-------- C:\Program Files\Messenger Plus! Live
    2007-11-26 04:53 . 2007-11-26 04:53 <REP> d-------- C:\Program Files\MSXML 4.0
    2007-11-26 01:12 . 2007-11-26 01:12 <REP> d-------- C:\Program Files\Windows Media Connect 2
    2007-11-26 01:10 . 2007-11-26 01:10 <REP> d-------- C:\WINDOWS\system32\LogFiles
    2007-11-26 01:10 . 2007-11-26 01:11 <REP> d-------- C:\WINDOWS\system32\drivers\UMDF
    2007-11-26 01:02 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
    2007-11-26 01:02 . 2007-07-30 19:19 207,736 --a------ C:\WINDOWS\system32\muweb.dll
    2007-11-26 01:02 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
    2007-11-26 00:34 . 2007-11-26 23:29 <REP> d-------- C:\Documents and Settings\EDORH Florence Véna\Contacts
    2007-11-26 00:34 . 2007-11-26 23:29 <REP> d-------- C:\Documents and Settings\EDORH Florence Véna\Contacts
    2007-11-25 23:58 . 2007-11-25 23:58 268 --ah----- C:\sqmdata05.sqm
    2007-11-25 23:58 . 2007-11-25 23:58 244 --ah----- C:\sqmnoopt05.sqm
    2007-11-25 23:25 . 2007-11-25 23:25 <REP> d-------- C:\Documents and Settings\EDORH Florence Véna\Application Data\OLYMPUS
    2007-11-25 22:48 . 2007-11-25 22:48 268 --ah----- C:\sqmdata04.sqm
    2007-11-25 22:48 . 2007-11-25 22:48 244 --ah----- C:\sqmnoopt04.sqm
    2007-11-25 22:41 . 2006-09-25 17:58 23,856 --a------ C:\WINDOWS\system32\spupdsvc.exe
    2007-11-25 22:35 . 2007-11-25 22:35 268 --ah----- C:\sqmdata03.sqm
    2007-11-25 22:35 . 2007-11-25 22:35 244 --ah----- C:\sqmnoopt03.sqm
    2007-11-25 22:27 . 2007-11-25 22:27 268 --ah----- C:\sqmdata02.sqm
    2007-11-25 22:27 . 2007-11-25 22:27 244 --ah----- C:\sqmnoopt02.sqm
    2007-11-25 20:58 . 2007-12-12 04:57 <REP> d--h----- C:\WINDOWS\$hf_mig$
    2007-11-25 20:51 . 2007-11-25 20:51 268 --ah----- C:\sqmdata01.sqm
    2007-11-25 20:51 . 2007-11-25 20:51 244 --ah----- C:\sqmnoopt01.sqm
    2007-11-25 20:48 . 2007-11-25 20:48 268 --ah----- C:\sqmdata00.sqm
    2007-11-25 20:48 . 2007-11-25 20:48 244 --ah----- C:\sqmnoopt00.sqm
    2007-11-25 20:44 . 2007-12-31 10:02 <REP> d-------- C:\Program Files\eMule
    2007-11-25 20:11 . 2007-11-25 20:18 <REP> d--hsc--- C:\Program Files\Fichiers communs\WindowsLiveInstaller
    2007-11-25 20:10 . 2007-11-25 20:32 <REP> d-------- C:\Program Files\Windows Live
    2007-11-25 20:10 . 2007-11-25 20:10 <REP> d-------- C:\Documents and Settings\All Users\Application Data\WLInstaller
    2007-11-25 19:42 . 2007-11-25 19:42 <REP> d--hs---- C:\Documents and Settings\EDORH Florence Véna\UserData
    2007-11-25 19:42 . 2007-11-25 19:42 <REP> d--hs---- C:\Documents and Settings\EDORH Florence Véna\UserData

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2007-12-24 17:00 --------- d--h--w C:\Program Files\InstallShield Installation Information
    2007-12-20 09:17 --------- d-----w C:\Program Files\Java
    2007-11-25 12:06 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
    2007-11-25 11:57 --------- d-----w C:\Program Files\Synaptics
    2007-11-25 11:56 --------- d-----w C:\Program Files\VIAudioi
    2007-11-25 11:55 --------- d-----w C:\Program Files\ATI Technologies
    2007-11-25 11:53 --------- d-----w C:\Program Files\Intel
    2007-11-25 11:39 --------- d-----w C:\Program Files\microsoft frontpage
    2007-11-25 11:39 --------- d-----w C:\Program Files\Fichiers communs\Java
    2007-11-25 11:36 --------- d-----w C:\Program Files\Services en ligne
    2007-11-25 11:35 --------- d-----w C:\Program Files\Fichiers communs\MSSoap
    2007-11-25 11:28 --------- d-----w C:\Program Files\Fichiers communs\SpeechEngines
    2007-11-25 11:28 --------- d-----w C:\Program Files\Fichiers communs\ODBC
    2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
    2007-10-29 22:43 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll
    2007-10-25 09:28 222,720 ----a-w C:\WINDOWS\system32\wmasf.dll
    2007-10-22 03:39 267,272 ----a-w C:\WINDOWS\system32\xactengine2_10.dll
    2007-10-22 03:37 17,928 ----a-w C:\WINDOWS\system32\X3DAudio1_2.dll
    2007-10-18 11:31 51,224 ----a-w C:\WINDOWS\system32\sirenacm.dll
    2007-10-12 15:14 3,734,536 ----a-w C:\WINDOWS\system32\d3dx9_36.dll
    2007-10-12 15:14 1,374,232 ----a-w C:\WINDOWS\system32\D3DCompiler_36.dll
    2007-10-02 09:56 444,776 ----a-w C:\WINDOWS\system32\d3dx10_36.dll
    2007-09-28 18:07 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
    2007-09-28 18:05 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll
    2007-09-28 18:05 739,840 ----a-w C:\WINDOWS\system32\divx.dll
    2007-09-04 18:56 164,352 ----a-w C:\WINDOWS\system32\unrar.dll
    .

    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 12:00 15360]
    "MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 11:34 5724184]
    "swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-11-27 00:15 68856]
    "SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 16:46 1460560]
    "Civ3GoldSetup.exe"="C:\DOCUME~1\EDORHF~1\MESDOC~1\jeux\LEMONA~1\CIVILI~1.COM\CIVILI~1.COM /r" [ ]
    "MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 16:24 1694208]
    "Veoh"="C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" [2007-12-03 13:21 3461120]
    "SuperCopier2.exe"="C:\Program Files\SuperCopier2\SuperCopier2.exe" [2006-07-07 16:45 1052672]
    "googletalk"="C:\Program Files\Google\Google Talk\googletalk.exe" [2007-01-01 21:22 3739648]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
    "ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-06-10 21:10 339968]
    "SynTPLpr"="C:\Program Files\Synaptics\SynTP\SynTPLpr.exe" [2004-05-07 10:49 98304]
    "SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2004-05-07 10:49 536576]
    "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-11-25 12:04 77824]
    "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
    "nod32kui"="C:\Program Files\Eset\nod32kui.exe" [2007-12-26 15:38 921600]
    "googletalk"="C:\Program Files\Google\Google Talk\googletalk.exe" [2007-01-01 21:22 3739648]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 12:00 15360]

    R3 CONAN;CONAN;C:\WINDOWS\system32\drivers\o2mmb.sys [2004-02-12 01:18]
    R3 MbxStby;MbxStby;C:\WINDOWS\system32\drivers\MbxStby.sys [2004-01-27 23:00]

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{173fd82b-9dee-11dc-baca-00030d1f9211}]
    \Shell\Auto\command - wscript "Sex City.jpg.wsf"
    \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript "Sex City.jpg.wsf"

    *Newly Created Service* - PROCEXP90
    .
    **************************************************************************

    catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2007-12-31 13:24:00
    Windows 5.1.2600 Service Pack 2 NTFS

    scanning hidden processes ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully
    hidden files: 0

    **************************************************************************
    .
    --------------------- DLLs Loaded Under Running Processes ---------------------

    PROCESS: C:\WINDOWS\system32\lsass.exe [5.01.2600.2180]
    -> C:\Program Files\Eset\pr_imon.dll
    .
    Completion time: 2007-12-31 13:24:35
    .
    2007-12-13 03:03:35 --- E O F ---

    Qu'en dis-tu? Le flash desinfector aussi a été exécuté.
    0
  19. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    pour ton laptop,

    démarrer, exécuter, tapes regedit dans la fenêtre et OK. Le registre s'ouvre.

    Cherches HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{173fd8 2b-9dee-11dc-baca-00030d1f9211} avec les + et les - (uniquement dans la colonne de gauche).

    Si tu vois un + devant la malette 173fd8 2b-9dee-11dc-baca-00030d1f9211 clique dessus et dis moi ce qui s'ouvre.

    Si non, ne vois tu que ces 2 lignes dans la fenêtre de droite

    Shell\Auto\command - wscript "Sex City.jpg.wsf"
    \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript "Sex City.jpg.wsf" ?

    On verra après pour l'autre.
    0
  20. Edcoco
     
    Bonjour lyonnais,

    J'ai exécuté ta démarce et j'ai effectivement retrouvé les répertoires que tu as spécifié. Quelle est l'autre étape?
    Au passage , bonne et heureuse année 2008.
    0
  21. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    merci, bonne année à toi aussi.

    J'ai besoin de précisions :

    devant la mallette 173fd8 2b-9dee-11dc-baca-00030d1f9211 il y a un + : oui non ?

    Si tu as répondu non, il n'y a que le 2 lignes spécifiées ci-dessus dans la colonne de droite : oui non ?
    0
  • 1
  • 2