Sujet Précédent Sujet Suivant

Win32 Agent LNK

Infodelph Messages postés 43 Statut Membre -  
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
Bonjour,
Je suis mal prise avec un virus depuis 2 jours : le Win32 agent LNK.
Mon système de protection est Avast.
J'ai fait une analyse avec HijackThis. Mon résultat suit le message.
Y aurait-il quelqu'un qui pourrait m'aider?... Je ne sais plus quoi faire pour m'en débarasser...
Merci beaucoup...
Delphine

Résultat HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 13:26:43, on 30/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Avast\aswUpdSv.exe
C:\Program Files\Avast\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\system32\DVDRAMSV.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\ProShowGold\ScsiAccess.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Toshiba\TOSHIBA Applet\TAPPSRV.exe
C:\Program Files\Viewpoint\Common\ViewpointService.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
C:\Program Files\Avast\ashMaiSv.exe
C:\Program Files\TOSHIBA\Tvs\TvsTray.exe
C:\Program Files\Toshiba\Toshiba Applet\thotkey.exe
C:\Program Files\Avast\ashWebSv.exe
C:\Program Files\TOSHIBA\Commandes TOSHIBA\TFncKy.exe
C:\WINDOWS\system32\TDispVol.exe
C:\Program Files\ltmoh\Ltmoh.exe
C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\BroadJump\Client Foundation\CFD.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\PROGRA~1\Avast\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\AIM6\aim6.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICDA.EXE
C:\Program Files\Fichiers communs\AOL\Loader\aolload.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\system32\RAMASST.exe

Merci beaucoup...

57 réponses

Précédent
Réponse 21 / 57
Rabinho
 
je vous conseil d'installer bitdefender total security 2008
0
philae83 Messages postés 12854 Statut Contributeur sécurité 206
 
bonsoir,

déjà bien assez complexe de s'y retrouver, ton idée est certainement très bonne, mais sur ce pc infecté, je ne pense pas que ce soit suffisant.
0
Réponse 22 / 57
jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 040
 
oui je suis d'accord avec philae83 comme toujours!

bonne année!
0
Réponse 23 / 57
Infodelph Messages postés 43 Statut Membre 1
 
Voici mon rapport comboFix:

ComboFix 08-01-03.3 - Delphine GENTAIS 2008-01-03 15:51:03.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.2.1036.18.452 [GMT -5:00]
Running from: C:\Documents and Settings\Delphine GENTAIS\Bureau\ComboFix.exe
* Created a new restore point
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\pack.epk
C:\WINDOWS\system32\4_exception.nls

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_SMTPDRV
-------\smtpdrv

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-03 to 2008-01-03 ))))))))))))))))))))))))))))))))))))
.

2008-01-03 16:01 . 2008-01-03 16:01 0 --a------ C:\WINDOWS\system32\[u]0[/u]_exception.nls
2008-01-03 15:50 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-03 11:44 . 2008-01-03 11:44 <REP> d-------- C:\Program Files\Avira
2008-01-03 11:44 . 2008-01-03 11:44 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-01-03 11:18 . 2008-01-03 11:18 18,725,216 --a------ C:\upload_moi_NOM-38AB163A8B7.tar.gz
2007-12-30 16:03 . 2008-01-03 00:05 <REP> d-------- C:\WINDOWS\BDOSCAN8
2007-12-30 15:42 . 2007-12-30 15:42 <REP> d-------- C:\Documents and Settings\Delphine GENTAIS\Application Data\Grisoft
2007-12-30 15:41 . 2007-12-30 15:52 <REP> d-------- C:\Program Files\AVG Anti-Spyware 7.5
2007-12-30 15:41 . 2007-12-30 15:41 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2007-12-30 15:41 . 2007-05-30 07:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-12-29 18:25 . 2007-12-29 18:25 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Yahoo! Companion
2007-12-29 18:23 . 2007-12-29 18:23 <REP> d-------- C:\Program Files\Yahoo!
2007-12-29 18:23 . 2007-12-29 18:24 <REP> d-------- C:\Program Files\CCleaner
2007-12-29 10:50 . 2007-12-29 10:51 <REP> d-------- C:\Program Files\Ad-Aware SE Personal
2007-12-29 10:50 . 2007-12-29 10:50 <REP> d-------- C:\Documents and Settings\Delphine GENTAIS\Application Data\Lavasoft
2007-12-25 16:42 . 2007-12-25 16:42 <REP> d-------- C:\WINDOWS\system32\Profiles
2007-12-25 16:42 . 2007-12-25 16:42 <REP> d-------- C:\Program Files\WMVConverter
2007-12-25 16:41 . 2007-12-25 16:41 249,856 --------- C:\WINDOWS\Setup1.exe
2007-12-25 16:41 . 2007-12-25 16:41 73,216 --a------ C:\WINDOWS\ST6UNST.EXE
2007-12-24 18:26 . 2007-12-24 18:26 <REP> d-------- C:\EPSONREG
2007-12-24 18:25 . 2007-12-24 18:25 <REP> d-------- C:\Program Files\Fichiers communs\ArcSoft
2007-12-24 18:25 . 2007-12-24 18:25 <REP> d-------- C:\Documents and Settings\Delphine GENTAIS\Application Data\ArcSoft
2007-12-24 18:25 . 1995-08-01 04:44 212,480 --a------ C:\WINDOWS\PCDLIB32.DLL
2007-12-24 18:25 . 2005-02-23 14:58 11,776 --a------ C:\WINDOWS\system32\drivers\afc.sys
2007-12-24 18:24 . 2007-12-24 18:24 <REP> d-------- C:\WINDOWS\system32\PhotoImpression Slideshow
2007-12-24 18:24 . 2007-12-24 18:24 <REP> d-------- C:\Program Files\ArcSoft
2007-12-24 18:24 . 2006-10-26 09:34 126,976 --a------ C:\WINDOWS\system32\PhotoImpression Slideshow.scr
2007-12-24 18:23 . 2007-12-24 18:23 <REP> d-------- C:\Documents and Settings\All Users\Application Data\EPSON
2007-12-24 18:21 . 2007-12-24 18:25 <REP> d-------- C:\Program Files\epson
2007-12-24 18:21 . 2007-12-24 18:21 <REP> d-------- C:\Documents and Settings\Delphine GENTAIS\Application Data\InstallShield
2007-12-24 18:20 . 2007-12-24 18:26 79 --a------ C:\WINDOWS\EPSCX7400.ini
2007-12-21 20:08 . 2008-01-03 11:49 21,760 --a------ C:\WINDOWS\Kry53.sys
2007-12-21 12:41 . 2007-12-21 12:41 21,760 --a------ C:\WINDOWS\system32\drivers\Kry53.sys
2007-12-21 12:40 . 2004-08-05 07:00 29,056 --a------ C:\WINDOWS\system32\drivers\ip6fw.sys
2007-12-14 11:56 . 2007-12-14 11:56 <REP> d-------- C:\Documents and Settings\Delphine GENTAIS\Application Data\Viewpoint
2007-12-09 17:41 . 2007-12-09 17:41 <REP> d-------- C:\Documents and Settings\Delphine GENTAIS\Application Data\acccore
2007-12-09 17:40 . 2007-12-09 17:40 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Viewpoint
2007-12-09 17:40 . 2007-12-09 17:41 <REP> d-------- C:\Documents and Settings\All Users\Application Data\AOL OCP
2007-12-09 17:40 . 2007-12-09 17:40 <REP> d-------- C:\Documents and Settings\All Users\Application Data\AOL
2007-12-09 17:39 . 2007-12-09 17:39 <REP> d-------- C:\Program Files\Fichiers communs\AOL
2007-12-09 17:39 . 2007-12-09 17:40 <REP> d-------- C:\Program Files\AIM6
2007-12-09 17:39 . 2007-12-09 17:40 533 --ah----- C:\IPH.PH
2007-12-09 00:30 . 2007-12-09 00:30 <REP> d-------- C:\Documents and Settings\All Users\Application Data\FLEXnet
2007-12-09 00:21 . 2007-12-09 00:21 <REP> d-------- C:\Program Files\Fichiers communs\Macrovision Shared
2007-12-09 00:20 . 2007-12-09 00:20 <REP> d-------- C:\Program Files\Rosetta Stone
2007-12-09 00:20 . 2007-12-09 00:36 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Rosetta Stone DEMO

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-03 20:58 --------- d-----w C:\Documents and Settings\Delphine GENTAIS\Application Data\Skype
2008-01-03 16:49 --------- d-----w C:\Program Files\Avast
2008-01-02 15:59 --------- d-----w C:\Program Files\eMule48
2007-12-29 23:28 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2007-12-29 14:22 --------- d-----w C:\Program Files\Spybot
2007-12-24 23:24 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-11-13 15:28 --------- d-----w C:\Program Files\iTunes
2007-11-13 15:28 --------- d-----w C:\Program Files\iPod
2007-11-13 15:26 --------- d-----w C:\Program Files\QuickTime
2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2006-10-11 17:21 447 -c--a-w C:\Program Files\INSTALL.LOG
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 07:00 15360]
"TOSCDSPD"="C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe" [2005-04-11 16:08 65536]
"IncrediMail"="C:\Program Files\IncrediMail\bin\IncMail.exe" [2006-10-31 14:06 204843]
"Skype"="C:\Program Files\Skype\Phone\Skype.exe" [2006-10-13 17:20 20058152]
"NBJ"="C:\Program Files\Nero\Nero BackItUp\NBJ.exe" [2005-07-14 15:35 1961984]
"WOOKIT"="C:\PROGRA~1\Wanadoo\GestMaj.exe" [ ]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-08-14 04:22 68856]
"Aim6"="C:\Program Files\AIM6\aim6.exe" [2007-10-04 10:20 50528]
"EPSON Stylus CX7400 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICDA.exe" [2007-02-15 06:00 179200]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 16:46 1460560]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2005-12-09 02:49 15691264 C:\WINDOWS\RTHDCPL.exe]
"AGRSMMSG"="AGRSMMSG.exe" [2005-10-14 17:29 88203 C:\WINDOWS\agrsmmsg.exe]
"NDSTray.exe"="NDSTray.exe" []
"DLA"="C:\WINDOWS\System32\DLA\DLACTRLW.EXE" [2005-10-06 05:20 122940]
"SmoothView"="C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe" [2005-05-17 09:24 118784]
"Tvs"="C:\Program Files\TOSHIBA\Tvs\TvsTray.exe" [2005-11-30 12:25 73728]
"THotkey"="C:\Program Files\Toshiba\Toshiba Applet\thotkey.exe" [2006-01-05 14:02 352256]
"TFncKy"="TFncKy.exe" []
"TDispVol"="TDispVol.exe" [2005-09-15 14:19 73728 C:\WINDOWS\system32\TDispVol.exe]
"LtMoh"="C:\Program Files\ltmoh\Ltmoh.exe" [2004-08-17 14:37 184320]
"IntelZeroConfig"="C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe" [2005-12-05 11:37 667718]
"IntelWireless"="C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" [2005-11-28 10:41 602182]
"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2005-11-28 00:55 98304]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2005-11-28 00:52 77824]
"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2005-11-28 00:55 118784]
"TPSMain"="TPSMain.exe" [2005-08-03 15:09 266240 C:\WINDOWS\system32\TPSMain.exe]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2006-09-12 22:26 180269]
"BJCFD"="C:\Program Files\BroadJump\Client Foundation\CFD.exe" [2003-01-27 17:16 376912]
"HP Component Manager"="C:\Program Files\HP\hpcoretech\hpcmpmgr.exe" [2005-01-12 14:54 241664]
"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2005-02-16 23:11 49152]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 05:50 155648]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-10-19 20:16 286720]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-01-03 11:46 249896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 07:00 15360]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Kry53.sys]
@="Driver"

R0 Kry53;Kry53;C:\WINDOWS\system32\Drivers\Kry53.sys [2007-12-21 12:41]
S3 P1130VID;Creative WebCam NX Pro;C:\WINDOWS\system32\DRIVERS\P1130Vid.sys [2003-06-10 20:00]
S3 tosrfec;Bluetooth ACPI from TOSHIBA;C:\WINDOWS\system32\DRIVERS\tosrfec.sys [2005-09-09 14:47]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0b6c4f4c-03bb-11dc-93a9-0013025de766}]
\Shell\AutoRun\command - E:\JDSecure\Windows\JDSecure31.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2dc619e5-48bc-11dc-9447-0013025de766}]
\Shell\AutoRun\command - F:\RavMon.exe
\Shell\explore\Command - F:\RavMon.exe -e
\Shell\open\Command - F:\RavMon.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2dc619e6-48bc-11dc-9447-0013025de766}]
\Shell\AutoRun\command - RavMon.exe
\Shell\explore\Command - RavMon.exe -e
\Shell\open\Command - RavMon.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{33f512e5-afcf-11dc-953d-0013025de766}]
\shell\Setup\command - E:\setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{800beb00-e903-11db-935d-0013025de766}]
\shell\Setup\command - F:\setup.exe

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2007-12-21 23:10:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
"2008-01-03 20:00:00 C:\WINDOWS\Tasks\Spybot - Search & Destroy - Scheduled Task.job"
- C:\Program Files\Spybot\SpybotSD.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-03 16:01:57
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-01-03 16:08:19 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-03 21:08:16
.
2007-12-11 22:08:34 --- E O F ---
0
Réponse 24 / 57
philae83 Messages postés 12854 Statut Contributeur sécurité 206
 
re

Si tu as une clé USB, disque dur externe, etc, branche-les sans les ouvrir avant de lancer ce FIX

Télécharge Rav antivirus:
http://ww25.evosla.com/compteur.php?soft=rav_antivirus

* Clique droit sur le fichier .ZIP > Extraire sur > le Bureau
* Doucle clic sur >> RAV.exe << afin de lancer l'outil.
* Une fois RAV ANTIVIRUS lancé, laissez-le réagir , il scanne automatiquement tout les lecteurs (disques fixes et amovibles)
* Si infection > un log s'établira, sinon le soft affichera (très rapide) ==>Votre Ordinateur est sain .
* Retirez vos disques amovibles et redémarrez votre ordinateur en mode normal.

et

Télécharge navilog1 (Merci il.mafioso!)

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

* Ensuite double clique sur navilog1.exe pour lancer l'installation.

* Une fois l'installation terminée, le fix s'exécutera automatiquement.

* (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

* Laisse-toi guider. Au menu principal, choisis 1 et valides.

/*\ Ne fais pas le choix 2,3 ou 4 sans notre avis/accord /*\

* Patiente jusqu'au message : *** Analyse terminée le ..... ***

* Appuie sur une touche comme demandé, le Bloc-notes va s'ouvrir.

* Copie-colle l'intégralité du rapport dans ta prochaine réponse. Referme le Bloc-notes.

* Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 57
jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 040
 
branche tes clés usb:

# Téléchargez ce tool de sUBs : http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe
# Double-cliquez dessus et laissez-vous guider.

______________

analyse aussi ces 2 fichiers sur virus total et colle les rapports: https://www.virustotal.com/gui/

C:\WINDOWS\Kry53.sys
C:\WINDOWS\system32\drivers\Kry53.sys
________________

Fais un clic droit sur ce lien : (IL-MAFIOSO)
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

________________
colle un rapport antivir
et
recolle hijackthis

et dis tes soucis

a plus
0
Réponse 26 / 57
jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 040
 
slt
philae 83, je vois que tu suis!

parfait si je suis pas dispo demain et que tu a toi le temps je te serais grée de poursuivre

pas de souci avec toi...

a plus
0
Réponse 27 / 57
philae83 Messages postés 12854 Statut Contributeur sécurité 206
 
ok jlpjlp

nous avons casi les même idées, tu as rajouté 

analyse aussi ces 2 fichiers sur virus total et colle les rapports: https://www.virustotal.com/gui/

C:\WINDOWS\Kry53.sys
C:\WINDOWS\system32\drivers\Kry53.sys
________________

je maintiens aussi

0
Réponse 28 / 57
Infodelph Messages postés 43 Statut Membre 1
 
Réponse au message 27 :
Rapport fixnavi:
Search Navipromo version 3.3.8 commencé le 03/01/2008 à 17:19:29,29

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 11.12.2007 à 18h00 par IL-MAFIOSO

Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***

*** Recherche dossiers dans C:\WINDOWS ***

*** Recherche dossiers dans C:\Program Files ***

*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***

*** Recherche dossiers dans "C:\Documents and Settings\Delphine GENTAIS\application data" ***

*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé

*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

* Recherche dans "C:\Documents and Settings\Delphine GENTAIS\local settings\application data" *

*** Recherche fichiers ***

*** Recherche clés spécifiques dans le Registre ***

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :

2)Recherche Heuristique :

* Dans C:\WINDOWS\system32 :

* Dans "C:\Documents and Settings\Delphine GENTAIS\local settings\application data" :

3)Recherche Certificats :

Certificat Egroup absent !

4)Recherche fichiers connus :

*** Analyse terminée le 03/01/2008 à 17:30:05,43 ***

Rapport Antivirus:

AntiVir PersonalEdition Classic
Report file date: jeudi 3 janvier 2008 17:43

Scanning for 999937 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 2) [5.1.2600]
Username: SYSTEM
Computer name: NOM-38AB163A8B7

Version information:
BUILD.DAT : 270 15603 Bytes 2007-09-19 13:32:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 2007-08-23 19:16:29
AVSCAN.DLL : 7.0.6.0 49192 Bytes 2007-08-16 18:23:51
LUKE.DLL : 7.0.5.3 147496 Bytes 2007-08-14 21:32:47
LUKERES.DLL : 7.0.6.1 10280 Bytes 2007-08-21 18:35:20
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 2007-07-18 20:27:15
ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 2007-12-14 16:46:24
ANTIVIR2.VDF : 7.0.1.170 311296 Bytes 2007-12-28 16:46:24
ANTIVIR3.VDF : 7.0.1.190 81920 Bytes 2008-01-03 16:46:24
AVEWIN32.DLL : 7.6.0.46 3084800 Bytes 2008-01-03 16:46:24
AVWINLL.DLL : 1.0.0.7 14376 Bytes 2007-02-26 16:36:26
AVPREF.DLL : 7.0.2.2 25640 Bytes 2007-07-18 13:39:17
AVREP.DLL : 7.0.0.1 155688 Bytes 2007-04-16 19:16:24
AVPACK32.DLL : 7.6.0.2 360488 Bytes 2008-01-03 16:46:24
AVREG.DLL : 7.0.1.6 30760 Bytes 2007-07-18 13:17:06
AVARKT.DLL : 1.0.0.20 278568 Bytes 2007-08-28 18:26:33
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 2007-07-18 13:10:18
NETNT.DLL : 7.0.0.0 7720 Bytes 2007-03-08 17:09:42
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 2007-08-07 18:38:13
RCTEXT.DLL : 7.0.62.0 86056 Bytes 2007-08-21 18:50:37
SQLITE3.DLL : 3.3.17.1 339968 Bytes 2007-07-23 15:37:21

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: C:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: jeudi 3 janvier 2008 17:43

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'notepad.exe' - '1' Module(s) have been scanned
Scan process 'iexplore.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'hpqgalry.exe' - '1' Module(s) have been scanned
Scan process 'RAMASST.exe' - '1' Module(s) have been scanned
Scan process 'hpqtra08.exe' - '1' Module(s) have been scanned
Scan process 'Dot1XCfg.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'aolsoftware.exe' - '1' Module(s) have been scanned
Scan process 'CALMAIN.exe' - '1' Module(s) have been scanned
Scan process 'TAPPSRV.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'scsiaccess.exe' - '1' Module(s) have been scanned
Scan process 'RegSrvc.exe' - '1' Module(s) have been scanned
Scan process 'DVDRAMSV.exe' - '1' Module(s) have been scanned
Scan process 'CFSvcs.exe' - '1' Module(s) have been scanned
Scan process 'guard.exe' - '0' Module(s) have been scanned
Scan process 'AppleMobileDeviceService.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'IMApp.exe' - '1' Module(s) have been scanned
Scan process 'aim6.exe' - '1' Module(s) have been scanned
Scan process 'GoogleToolbarNotifier.exe' - '1' Module(s) have been scanned
Scan process 'Skype.exe' - '1' Module(s) have been scanned
Scan process 'TOSCDSPD.exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'TPSBattM.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'hpwuSchd2.exe' - '1' Module(s) have been scanned
Scan process 'hpcmpmgr.exe' - '1' Module(s) have been scanned
Scan process 'CFD.exe' - '1' Module(s) have been scanned
Scan process 'realsched.exe' - '1' Module(s) have been scanned
Scan process 'TPSMain.exe' - '1' Module(s) have been scanned
Scan process 'igfxpers.exe' - '1' Module(s) have been scanned
Scan process 'hkcmd.exe' - '1' Module(s) have been scanned
Scan process 'igfxtray.exe' - '1' Module(s) have been scanned
Scan process 'iFrmewrk.exe' - '1' Module(s) have been scanned
Scan process 'ZCfgSvc.exe' - '1' Module(s) have been scanned
Scan process 'ltmoh.exe' - '1' Module(s) have been scanned
Scan process 'TFncKy.exe' - '1' Module(s) have been scanned
Scan process 'THotkey.exe' - '1' Module(s) have been scanned
Scan process 'TvsTray.exe' - '1' Module(s) have been scanned
Scan process 'SmoothView.exe' - '1' Module(s) have been scanned
Scan process 'DLACTRLW.EXE' - '1' Module(s) have been scanned
Scan process 'NDSTray.exe' - '1' Module(s) have been scanned
Scan process 'agrsmmsg.exe' - '1' Module(s) have been scanned
Scan process 'RTHDCPL.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'S24EvMon.exe' - '1' Module(s) have been scanned
Scan process 'EvtEng.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
63 processes with 63 modules were scanned

Start scanning boot sectors:
Boot sector 'C:\'
[NOTE] No virus was found!

Starting to scan the registry.
The registry was scanned ( '40' files ).

Starting the file scan:

Begin scan in 'C:\' <S3A2422D002FR>
C:\hiberfil.sys
[WARNING] The file could not be opened!
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\System Volume Information\_restore{22191401-F8EB-403E-A525-F6F527A36804}\RP2\A0000092.sys
[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
[INFO] The file was moved to '47ad9327.qua'!
C:\WINDOWS\Kry53.sys
[WARNING] The file could not be opened!
C:\WINDOWS\system32\drivers\Kry53.sys
[WARNING] The file could not be opened!

End of the scan: jeudi 3 janvier 2008 21:14
Used time: 3:30:28 min

The scan has been done completely.

13231 Scanning directories
341364 Files were scanned
1 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
1 files were moved to quarantine
0 files were renamed
4 Files cannot be scanned
341363 Files not concerned
8110 Archives were scanned
14 Warnings
0 Notes

Rapport HijackThis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:21:40, on 03/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
C:\Program Files\TOSHIBA\Tvs\TvsTray.exe
C:\Program Files\Toshiba\Toshiba Applet\thotkey.exe
C:\Program Files\TOSHIBA\Commandes TOSHIBA\TFncKy.exe
C:\Program Files\ltmoh\Ltmoh.exe
C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\BroadJump\Client Foundation\CFD.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\AIM6\aim6.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\system32\DVDRAMSV.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\ProShowGold\ScsiAccess.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Toshiba\TOSHIBA Applet\TAPPSRV.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\Program Files\AIM6\aolsoftware.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\system32\RAMASST.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.ca/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [SmoothView] C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
O4 - HKLM\..\Run: [Tvs] C:\Program Files\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [THotkey] C:\Program Files\Toshiba\Toshiba Applet\thotkey.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [TDispVol] TDispVol.exe
O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [BJCFD] C:\Program Files\BroadJump\Client Foundation\CFD.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Nero\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe GestionnaireInternet.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Aim6] "C:\Program Files\AIM6\aim6.exe" /d locale=en-US ee://aol/imApp
O4 - HKCU\..\Run: [EPSON Stylus CX7400 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICDA.EXE /FU "C:\WINDOWS\TEMP\E_S2BE.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5C6698D9-7BE4-4122-8EC5-291D84DBD4A0} (Facebook Photo Uploader 4 Control) - http://upload.facebook.com/controls/FacebookPhotoUploader3.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {5F8469B4-B055-49DD-83F7-62B522420ECC} (Facebook Photo Uploader Control) - http://upload.facebook.com/controls/FacebookPhotoUploader.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: ScsiAccess - Unknown owner - C:\Program Files\ProShowGold\ScsiAccess.exe
O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Program Files\Toshiba\TOSHIBA Applet\TAPPSRV.exe
O23 - Service: Viewpoint Manager Service - Unknown owner - C:\Program Files\Viewpoint\Common\ViewpointService.exe (file missing)
0
Réponse 29 / 57
Infodelph Messages postés 43 Statut Membre 1
 
C:\WINDOWS\Kry53.sys
C:\WINDOWS\system32\drivers\Kry53.sys
Ces fichiers sont comme inexistants. Je les trouve dans C mais je ne peux pas les envoyer au scan à Virus Total.

Pour les autres questions je ne m’en étais pas rendu compte que c’était la même chose alors j’ai recommencé Navilog1 :
Search Navipromo version 3.3.8 commencé le 03/01/2008 à 21:39:27,00

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 11.12.2007 à 18h00 par IL-MAFIOSO

Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***

*** Recherche dossiers dans C:\WINDOWS ***

*** Recherche dossiers dans C:\Program Files ***

*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***

*** Recherche dossiers dans "C:\Documents and Settings\Delphine GENTAIS\application data" ***

*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé

*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

* Recherche dans "C:\Documents and Settings\Delphine GENTAIS\local settings\application data" *

*** Recherche fichiers ***

*** Recherche clés spécifiques dans le Registre ***

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :

2)Recherche Heuristique :

* Dans C:\WINDOWS\system32 :

* Dans "C:\Documents and Settings\Delphine GENTAIS\local settings\application data" :

3)Recherche Certificats :

Certificat Egroup absent !

4)Recherche fichiers connus :

*** Analyse terminée le 03/01/2008 à 21:49:42,70 ***

NOUVEAU BILAN
Après redémarrage j’ai les virus suivants :TR/Crypt.XPACK.Gen et TR/Pandex.L.2 (dossier drivers de system 32). Ils n'ont plus les mêmes noms depuis que j'ai Avira Antivir comme antivirus...

Je ne pourrais plus me connecter à compter de demain 18h30 heure française… Je serai absente toute la fin de semaine…
0
Réponse 30 / 57
jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 040
 
colle nous les rapports virus total comme demandé pour voir si les deux fichiers sont infectés. Pour le virus trouvé par antivir il est dans ta restauration système . Pour le viré il suffit de désactiver ta restauration système puis de redémarrer ton ordi puis la réactiver. À plus
0
philae83 Messages postés 12854 Statut Contributeur sécurité 206
 
hello 
Ces fichiers sont comme inexistants. Je les trouve dans C mais je ne peux pas les envoyer au scan à Virus Total.


visiblement introuvable....ou impossible à mettre sur virus total ..??? c'est bien ce que j'ai compris. ?
0
Infodelph Messages postés 43 Statut Membre 1 > philae83 Messages postés 12854 Statut Contributeur sécurité
 
oui c'est exactement ça...
0
Réponse 31 / 57
jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 040
 
desactiver la restauration systeme le temps du redemarrage dans DEMARRER puis TOUS LES PROG puis ACCESOIRE puis OUTILS SYSTEME puis DANS RESTAURATION SYSTEME aller dans parametre et desactiver la restauration

puis refaire les scan
redemarrer et reactiver la restauration systeme

__________________

analyse en ligne sur kaspersky et colle un rapport

https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr

_________________

recolle un rapport combofix
0
Réponse 32 / 57
Infodelph Messages postés 43 Statut Membre 1
 
Quels scan je rafais?
0
Réponse 33 / 57
jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 040
 
recolle un rapport combofix . Et un rapport kaspersky. Puis dis tes soucis.
0
Réponse 34 / 57
Infodelph Messages postés 43 Statut Membre 1
 
Dans un premier temps Combo fix puis je lance Kaspensy
ComboFix 08-01-03.3 - Delphine GENTAIS 2008-01-04 11:14:45.2 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.2.1036.18.502 [GMT -5:00]
Running from: C:\Documents and Settings\Delphine GENTAIS\Bureau\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\[u]0[/u]_exception.nls

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\smtpdrv

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-04 to 2008-01-04 ))))))))))))))))))))))))))))))))))))
.

2008-01-04 11:25 . 2008-01-04 11:25 0 --a------ C:\WINDOWS\system32\8_exception.nls
2008-01-03 22:43 . 2008-01-04 10:21 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-01-03 22:43 . 2008-01-03 22:43 1,409 --a------ C:\WINDOWS\QTFont.for
2008-01-03 22:42 . 2008-01-03 22:43 <REP> d-------- C:\Program Files\iTunes
2008-01-03 22:37 . 2008-01-03 22:37 <REP> d-------- C:\Program Files\QuickTime
2008-01-03 17:18 . 2008-01-03 21:53 <REP> d-------- C:\Program Files\Navilog1
2008-01-03 15:50 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-03 11:44 . 2008-01-03 11:44 <REP> d-------- C:\Program Files\Avira
2008-01-03 11:44 . 2008-01-03 11:44 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-01-03 11:18 . 2008-01-03 11:18 18,725,216 --a------ C:\upload_moi_NOM-38AB163A8B7.tar.gz
2007-12-30 16:03 . 2008-01-03 00:05 <REP> d-------- C:\WINDOWS\BDOSCAN8
2007-12-30 15:42 . 2007-12-30 15:42 <REP> d-------- C:\Documents and Settings\Delphine GENTAIS\Application Data\Grisoft
2007-12-30 15:41 . 2007-12-30 15:52 <REP> d-------- C:\Program Files\AVG Anti-Spyware 7.5
2007-12-30 15:41 . 2007-12-30 15:41 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2007-12-30 15:41 . 2007-05-30 07:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-12-29 18:25 . 2007-12-29 18:25 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Yahoo! Companion
2007-12-29 18:23 . 2007-12-29 18:23 <REP> d-------- C:\Program Files\Yahoo!
2007-12-29 18:23 . 2007-12-29 18:24 <REP> d-------- C:\Program Files\CCleaner
2007-12-29 10:50 . 2007-12-29 10:51 <REP> d-------- C:\Program Files\Ad-Aware SE Personal
2007-12-29 10:50 . 2007-12-29 10:50 <REP> d-------- C:\Documents and Settings\Delphine GENTAIS\Application Data\Lavasoft
2007-12-25 16:42 . 2007-12-25 16:42 <REP> d-------- C:\WINDOWS\system32\Profiles
2007-12-25 16:42 . 2007-12-25 16:42 <REP> d-------- C:\Program Files\WMVConverter
2007-12-25 16:41 . 2007-12-25 16:41 249,856 --------- C:\WINDOWS\Setup1.exe
2007-12-25 16:41 . 2007-12-25 16:41 73,216 --a------ C:\WINDOWS\ST6UNST.EXE
2007-12-24 18:26 . 2007-12-24 18:26 <REP> d-------- C:\EPSONREG
2007-12-24 18:25 . 2007-12-24 18:25 <REP> d-------- C:\Program Files\Fichiers communs\ArcSoft
2007-12-24 18:25 . 2007-12-24 18:25 <REP> d-------- C:\Documents and Settings\Delphine GENTAIS\Application Data\ArcSoft
2007-12-24 18:25 . 1995-08-01 04:44 212,480 --a------ C:\WINDOWS\PCDLIB32.DLL
2007-12-24 18:25 . 2005-02-23 14:58 11,776 --a------ C:\WINDOWS\system32\drivers\afc.sys
2007-12-24 18:24 . 2007-12-24 18:24 <REP> d-------- C:\WINDOWS\system32\PhotoImpression Slideshow
2007-12-24 18:24 . 2007-12-24 18:24 <REP> d-------- C:\Program Files\ArcSoft
2007-12-24 18:24 . 2006-10-26 09:34 126,976 --a------ C:\WINDOWS\system32\PhotoImpression Slideshow.scr
2007-12-24 18:23 . 2007-12-24 18:23 <REP> d-------- C:\Documents and Settings\All Users\Application Data\EPSON
2007-12-24 18:21 . 2007-12-24 18:25 <REP> d-------- C:\Program Files\epson
2007-12-24 18:21 . 2007-12-24 18:21 <REP> d-------- C:\Documents and Settings\Delphine GENTAIS\Application Data\InstallShield
2007-12-24 18:20 . 2007-12-24 18:26 79 --a------ C:\WINDOWS\EPSCX7400.ini
2007-12-21 20:08 . 2008-01-03 11:49 21,760 --a------ C:\WINDOWS\Kry53.sys
2007-12-21 12:41 . 2007-12-21 12:41 21,760 --a------ C:\WINDOWS\system32\drivers\Kry53.sys
2007-12-21 12:40 . 2004-08-05 07:00 29,056 --a------ C:\WINDOWS\system32\drivers\ip6fw.sys
2007-12-14 11:56 . 2007-12-14 11:56 <REP> d-------- C:\Documents and Settings\Delphine GENTAIS\Application Data\Viewpoint
2007-12-11 10:57 . 2007-12-11 10:57 65,536 --a------ C:\WINDOWS\system32\QuickTimeVR.qtx
2007-12-11 10:57 . 2007-12-11 10:57 49,152 --a------ C:\WINDOWS\system32\QuickTime.qts
2007-12-09 17:41 . 2007-12-09 17:41 <REP> d-------- C:\Documents and Settings\Delphine GENTAIS\Application Data\acccore
2007-12-09 17:40 . 2007-12-09 17:40 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Viewpoint
2007-12-09 17:40 . 2007-12-09 17:41 <REP> d-------- C:\Documents and Settings\All Users\Application Data\AOL OCP
2007-12-09 17:40 . 2007-12-09 17:40 <REP> d-------- C:\Documents and Settings\All Users\Application Data\AOL
2007-12-09 17:39 . 2007-12-09 17:39 <REP> d-------- C:\Program Files\Fichiers communs\AOL
2007-12-09 17:39 . 2007-12-09 17:40 <REP> d-------- C:\Program Files\AIM6
2007-12-09 17:39 . 2007-12-09 17:40 533 --ah----- C:\IPH.PH
2007-12-09 00:30 . 2007-12-09 00:30 <REP> d-------- C:\Documents and Settings\All Users\Application Data\FLEXnet
2007-12-09 00:21 . 2007-12-09 00:21 <REP> d-------- C:\Program Files\Fichiers communs\Macrovision Shared
2007-12-09 00:20 . 2007-12-09 00:20 <REP> d-------- C:\Program Files\Rosetta Stone
2007-12-09 00:20 . 2007-12-09 00:36 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Rosetta Stone DEMO

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-04 15:48 --------- d-----w C:\Documents and Settings\Delphine GENTAIS\Application Data\Skype
2008-01-04 03:42 --------- d-----w C:\Program Files\iPod
2008-01-03 16:49 --------- d-----w C:\Program Files\Avast
2008-01-02 15:59 --------- d-----w C:\Program Files\eMule48
2007-12-29 23:28 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2007-12-29 14:22 --------- d-----w C:\Program Files\Spybot
2007-12-24 23:24 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2006-10-11 17:21 447 -c--a-w C:\Program Files\INSTALL.LOG
.

((((((((((((((((((((((((((((( snapshot@2008-01-03_16.08.00.00 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-01-04 03:43:17 102,400 ----a-r C:\WINDOWS\Installer\{18388EF8-E0A3-442B-8BFE-E2F1B3D05C91}\iTunesIco.exe
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 07:00 15360]
"TOSCDSPD"="C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe" [2005-04-11 16:08 65536]
"IncrediMail"="C:\Program Files\IncrediMail\bin\IncMail.exe" [2006-10-31 14:06 204843]
"Skype"="C:\Program Files\Skype\Phone\Skype.exe" [2006-10-13 17:20 20058152]
"NBJ"="C:\Program Files\Nero\Nero BackItUp\NBJ.exe" [2005-07-14 15:35 1961984]
"WOOKIT"="C:\PROGRA~1\Wanadoo\GestMaj.exe" [ ]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-08-14 04:22 68856]
"Aim6"="C:\Program Files\AIM6\aim6.exe" [2007-10-04 10:20 50528]
"EPSON Stylus CX7400 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICDA.exe" [2007-02-15 06:00 179200]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 16:46 1460560]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2005-12-09 02:49 15691264 C:\WINDOWS\RTHDCPL.exe]
"AGRSMMSG"="AGRSMMSG.exe" [2005-10-14 17:29 88203 C:\WINDOWS\agrsmmsg.exe]
"NDSTray.exe"="NDSTray.exe" []
"DLA"="C:\WINDOWS\System32\DLA\DLACTRLW.EXE" [2005-10-06 05:20 122940]
"SmoothView"="C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe" [2005-05-17 09:24 118784]
"Tvs"="C:\Program Files\TOSHIBA\Tvs\TvsTray.exe" [2005-11-30 12:25 73728]
"THotkey"="C:\Program Files\Toshiba\Toshiba Applet\thotkey.exe" [2006-01-05 14:02 352256]
"TFncKy"="TFncKy.exe" []
"TDispVol"="TDispVol.exe" [2005-09-15 14:19 73728 C:\WINDOWS\system32\TDispVol.exe]
"LtMoh"="C:\Program Files\ltmoh\Ltmoh.exe" [2004-08-17 14:37 184320]
"IntelZeroConfig"="C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe" [2005-12-05 11:37 667718]
"IntelWireless"="C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" [2005-11-28 10:41 602182]
"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2005-11-28 00:55 98304]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2005-11-28 00:52 77824]
"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2005-11-28 00:55 118784]
"TPSMain"="TPSMain.exe" [2005-08-03 15:09 266240 C:\WINDOWS\system32\TPSMain.exe]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2006-09-12 22:26 180269]
"BJCFD"="C:\Program Files\BroadJump\Client Foundation\CFD.exe" [2003-01-27 17:16 376912]
"HP Component Manager"="C:\Program Files\HP\hpcoretech\hpcmpmgr.exe" [2005-01-12 14:54 241664]
"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2005-02-16 23:11 49152]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 05:50 155648]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-01-03 11:46 249896]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2007-12-11 10:56 286720]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2007-12-11 12:10 267048]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 07:00 15360]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Kry53.sys]
@="Driver"

R0 Kry53;Kry53;C:\WINDOWS\system32\Drivers\Kry53.sys [2007-12-21 12:41]
S3 P1130VID;Creative WebCam NX Pro;C:\WINDOWS\system32\DRIVERS\P1130Vid.sys [2003-06-10 20:00]
S3 tosrfec;Bluetooth ACPI from TOSHIBA;C:\WINDOWS\system32\DRIVERS\tosrfec.sys [2005-09-09 14:47]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0b6c4f4c-03bb-11dc-93a9-0013025de766}]
\Shell\AutoRun\command - E:\JDSecure\Windows\JDSecure31.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2dc619e5-48bc-11dc-9447-0013025de766}]
\Shell\AutoRun\command - F:\RavMon.exe
\Shell\explore\Command - F:\RavMon.exe -e
\Shell\open\Command - F:\RavMon.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2dc619e6-48bc-11dc-9447-0013025de766}]
\Shell\AutoRun\command - RavMon.exe
\Shell\explore\Command - RavMon.exe -e
\Shell\open\Command - RavMon.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{33f512e5-afcf-11dc-953d-0013025de766}]
\shell\Setup\command - E:\setup.exe

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2007-12-21 23:10:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
"2008-01-03 20:00:00 C:\WINDOWS\Tasks\Spybot - Search & Destroy - Scheduled Task.job"
- C:\Program Files\Spybot\SpybotSD.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-04 11:26:01
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-01-04 11:33:11 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-04 16:33:08
ComboFix2.txt 2008-01-03 21:08:19
.
2007-12-11 22:08:34 --- E O F ---

Les virus sont toujours là...
0
Réponse 35 / 57
jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 040
 
ok . Colle un rapport kaspersky et explique bien tes problèmes . Si tu as antivir que te donne le nom d'un fichier infecté donne le nom .....
0
Réponse 36 / 57
Infodelph Messages postés 43 Statut Membre 1
 
Voici mon Rapport Kaspersy :
KASPERSKY ON-LINE SCANNER REPORT
Friday, January 04, 2008 12:33:42 PM
Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 4/01/2008
Enregistrements dans la base antivirus Kaspersky : 469447

Paramètres d'analyse
Analyser avec la base antivirus suivante standard
Analyser les archives vrai
Analyser les bases de messagerie vrai

Cible de l'analyse Zones critiques
C:\WINDOWS
C:\DOCUME~1\DELPHI~1\LOCALS~1\Temp\

Statistiques de l'analyse
Total d'objets analysés 21985
Nombre de virus trouvés 0
Nombre d'objets infectés 0 / 0
Nombre d'objets suspects 0
Durée de l'analyse 00:19:58

Nom de l'objet infecté Nom du virus Dernière action
C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

C:\WINDOWS\Kry53.sys L'objet est verrouillé ignoré

C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré

C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\Internet.evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\drivers\Kry53.sys L'objet est verrouillé ignoré

C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré

C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré

C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré

C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré

C:\DOCUME~1\DELPHI~1\LOCALS~1\Temp\hpodvd09.log L'objet est verrouillé ignoré

C:\DOCUME~1\DELPHI~1\LOCALS~1\Temp\~DFC33C.tmp L'objet est verrouillé ignoré

Analyse terminée.

Après redémarrage :
Trojan : TR/Crypt.XPACK.Gen Localisé : C:/WINDOWS/Temp/1475000.exe
et
Trojan : TR/Pandes.L.2 Localisé : C:/WINDOWS/system32/drivers/smtpdrv.sys

Je serai maintenant absente jusqu'à lundi matin...
Merci pour votre aide
Bon weekend
Delphine
0
Réponse 37 / 57
jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 040
 
télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe (de Old_Timer) sur ton Bureau.
double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

Citation :

C:/WINDOWS/Temp/1475000.exe
C:/WINDOWS/system32/drivers/smtpdrv.sys

clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.

__________________
tu as le logiciels
SafeBoot?

_________________

Vas sur le site https://virusscan.jotti.org/

- Clic en haut à droite sur "Parcourir", navigue dans les dossiers et sélectionne ces fichiers

C:\WINDOWS\Kry53.sys
C:\WINDOWS\system32\drivers\Kry53.sys
C:\WINDOWS\system32\drivers\ip6fw.sys
0
Réponse 38 / 57
Infodelph Messages postés 43 Statut Membre 1
 
Bonjour...

- Rapport MoveIt!:
File/Folder C:/WINDOWS/Temp/1475000.exe not found.
File/Folder C:/WINDOWS/system32/drivers/smtpdrv.sys not found.

Created on 01/06/2008 21:26:10

- Scan en ligne :
C:\WINDOWS\Kry53.sys
The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file

C:\WINDOWS\system32\drivers\Kry53.sys
The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file

C:\WINDOWS\system32\drivers\ip6fw.sys
File: ip6fw.sys
Status: OK(Note: file has been scanned before. Therefore, this file's scan results will not be stored in the database)
MD5: 4448006b6bc60e6c027932cfc38d6855
Packers detected: -
Bit9 reports: No threat detected (more info)

Scanner results
Scan taken on 07 Jan 2008 02:36:49 (GMT)
A-Squared Found nothing
AntiVir Found nothing
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found nothing
ClamAV Found nothing
CPsecure Found nothing
Dr.Web Found nothing
F-Prot Antivirus Found nothing
F-Secure Anti-Virus Found nothing
Fortinet Found nothing
Ikarus Found nothing
Kaspersky Anti-Virus Found nothing
NOD32 Found nothing
Norman Virus Control Found nothing
Panda Antivirus Found nothing
Rising Antivirus Found nothing
Sophos Antivirus Found nothing
VirusBuster Found nothing
VBA32 Found nothing

- Je n’ai pas le logiciel SafeBoot.

Est ce que je devrais commencer à m'inquiéter?...
0
Réponse 39 / 57
Infodelph Messages postés 43 Statut Membre 1
 
Le Trojan : TR/Crypt.XPACK.Gen s'est déplacé... il est maintenant localisé : C:/WINDOWS/Temp/125578.exe
0
Réponse 40 / 57
Infodelph Messages postés 43 Statut Membre 1
 
Et il a encore bouger... mais il reste toujours dans le dossier C:/WINDOWS/Temp/
0

Discussions similaires

Comment ouvrir fichier avec extension .lnk
Cyberdarlac -
gr79 -

4 réponses
ouvrir les fichiers lnk
Elinux -
Elinux -

18 réponses
Fichiers avec extension lnk
mfprk -
mikJS -

2 réponses
QuickShare c'est quoi ce truc
edelweiss2604 -
edelweiss2604 -

41 réponses
application pour fichiers "lnk"
mc102 -
Utilisateur anonyme -

2 réponses