Virus chinois
nicolasbirrien
Messages postés
12
Date d'inscription
Statut
Membre
-
g!rly Messages postés 18462 Statut Contributeur -
g!rly Messages postés 18462 Statut Contributeur -
Bonjour,
J'ai des problèmes sur mon réseau, des pubs chinoises intempestives apparaissent.
Voici ce que j'ai trouvé sur ce virus à l'adresse suivante :
https://www.symantec.com?uid=ef3c617b-9bf8-409a-a535-cb4d653e35c8
Voici mon rapport Hijack :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:57:02, on 30/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\WINDOWS\system32\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\WINDOWS\TEMP\GFB413.EXE
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\1XConfig.exe
C:\WINDOWS\system32\NWTRAY.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\PrintKey 2000 Fr\Printkey 2000 Fr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [AAWTray] C:\Program Files\Lavasoft\Ad-Aware 2007\AAWTray.exe
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: PrintKey 2000 Fr.lnk = C:\Program Files\PrintKey 2000 Fr\Printkey 2000 Fr.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Send To &Bluetooth - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - http://10.79.27.27:2080/officescan/console/ClientInstall/WinNTChk.cab
O16 - DPF: {08D75BB0-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupINICtrl Class) - http://10.79.27.27:2080/officescan/console/ClientInstall/setupini.cab
O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - http://10.79.27.27:2080/officescan/console/ClientInstall/setup.cab
O16 - DPF: {35C3D91E-401A-4E45-88A5-F3B32CD72DF4} (Encrypt Class) - http://10.79.27.27:2080/officescan/console/html/AtxEnc.cab
O16 - DPF: {5EFE8CB1-D095-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment ObjRemoveCtrl Class) - http://10.79.27.27:2080/officescan/console/ClientInstall/RemoveCtrl.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {8990AFAD-D352-42AC-A72F-A660BBF6E209} (Console de management OfficeScan) - http://192.168.223.153:2080/officescan/console/html/AtxConsole.cab
O16 - DPF: {A050E865-64E3-431B-8079-F0DFCEA90A2D} (PieChart Class) - http://192.168.223.153:2080/officescan/console/html/AtxPie.cab
O16 - DPF: {E008A543-CEFB-4559-912F-C27C2B89F13B} (Domino Web Access 7 Control) - https://webmail.cr-poitou-charentes.fr/dwa7W.cab
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Client Update Service for Novell (cusrvc) - Novell, Inc. - C:\WINDOWS\system32\cusrvc.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Scan en temps réel OfficeScanNT (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: Pare-feu OfficeScanNT (OfcPfwSvc) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\system32\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\system32\S24EvMon.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
--
End of file - 6798 bytes
Pouvez vous m'aider
Merci d'avance
J'ai des problèmes sur mon réseau, des pubs chinoises intempestives apparaissent.
Voici ce que j'ai trouvé sur ce virus à l'adresse suivante :
https://www.symantec.com?uid=ef3c617b-9bf8-409a-a535-cb4d653e35c8
Voici mon rapport Hijack :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:57:02, on 30/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\WINDOWS\system32\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\WINDOWS\TEMP\GFB413.EXE
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\1XConfig.exe
C:\WINDOWS\system32\NWTRAY.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\PrintKey 2000 Fr\Printkey 2000 Fr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [AAWTray] C:\Program Files\Lavasoft\Ad-Aware 2007\AAWTray.exe
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: PrintKey 2000 Fr.lnk = C:\Program Files\PrintKey 2000 Fr\Printkey 2000 Fr.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Send To &Bluetooth - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - http://10.79.27.27:2080/officescan/console/ClientInstall/WinNTChk.cab
O16 - DPF: {08D75BB0-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupINICtrl Class) - http://10.79.27.27:2080/officescan/console/ClientInstall/setupini.cab
O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - http://10.79.27.27:2080/officescan/console/ClientInstall/setup.cab
O16 - DPF: {35C3D91E-401A-4E45-88A5-F3B32CD72DF4} (Encrypt Class) - http://10.79.27.27:2080/officescan/console/html/AtxEnc.cab
O16 - DPF: {5EFE8CB1-D095-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment ObjRemoveCtrl Class) - http://10.79.27.27:2080/officescan/console/ClientInstall/RemoveCtrl.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {8990AFAD-D352-42AC-A72F-A660BBF6E209} (Console de management OfficeScan) - http://192.168.223.153:2080/officescan/console/html/AtxConsole.cab
O16 - DPF: {A050E865-64E3-431B-8079-F0DFCEA90A2D} (PieChart Class) - http://192.168.223.153:2080/officescan/console/html/AtxPie.cab
O16 - DPF: {E008A543-CEFB-4559-912F-C27C2B89F13B} (Domino Web Access 7 Control) - https://webmail.cr-poitou-charentes.fr/dwa7W.cab
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Client Update Service for Novell (cusrvc) - Novell, Inc. - C:\WINDOWS\system32\cusrvc.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Scan en temps réel OfficeScanNT (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: Pare-feu OfficeScanNT (OfcPfwSvc) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\system32\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\system32\S24EvMon.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
--
End of file - 6798 bytes
Pouvez vous m'aider
Merci d'avance
Configuration: Windows XP Internet Explorer 6.0
20 réponses
-
salut nicolas,
on ca faire ceci :
Télécharge combofix.exe (par sUBs) sur ton Bureau.
-> http://download.bleepingcomputer.com/sUBs/ComboFix.exe
-> Double clique combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
et repost aussi un hijack this
@+ -
Quand je veux télécharger combofix, la page de téléchargement est ainsi :
Voulez vous éxécuter ou enregistrer ce fichier ?
Nom : setup.exe
Type : Application
Source : x.gxgxy.net
Donc j'annule car je télécharge encore ce virus -
C bon j'ai pu télécharger combofix je fais ce que tu m'a dit et je te tiens au courant
-
-
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question -
voici le rapport combofix :
ComboFix 08-01-30.6 - Administrateur 2008-01-30 14:14:45.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.155 [GMT 1:00]
Endroit: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe
* Création d'un nouveau point de restauration
[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-28 to 2008-01-30 ))))))))))))))))))))))))))))))))))))
.
2008-01-30 13:11 . 2008-01-30 13:15 <REP> d-------- C:\Program Files\Navilog1
2008-01-30 11:31 . 2008-01-30 11:31 <REP> d-------- C:\VundoFix Backups
2008-01-17 17:11 . 2008-01-17 17:11 3,842 --a------ C:\WINDOWS\cfgrt.ini
2008-01-17 15:24 . 2008-01-17 15:24 3,806 --a------ C:\WINDOWS\cfgms.ini
2008-01-17 13:30 . 2005-04-09 06:22 139,364 --a------ C:\Temp\wizard.exe
2008-01-17 13:30 . 2003-03-28 17:22 18,192 --a------ C:\Temp\psapi.dll
2008-01-17 13:29 . 2008-01-17 13:30 <REP> d-------- C:\Temp
2008-01-17 13:29 . 2005-04-09 06:31 282,720 --a------ C:\Temp\tmuninst.dll
2008-01-17 13:29 . 2003-09-15 14:31 159,744 --a------ C:\Temp\tmdbg20.dll
2008-01-17 13:29 . 2005-04-09 06:21 65,626 --a------ C:\Temp\tmuninst.exe
2008-01-17 13:29 . 2005-04-09 06:14 53,350 --a------ C:\Temp\InfoCollector.exe
2008-01-17 13:29 . 2005-04-09 06:20 45,138 --a------ C:\Temp\Svcrunap.exe
2008-01-16 09:21 . 2008-01-17 14:13 7,479 --a------ C:\WINDOWS\system32\computer
2008-01-15 17:22 . 2008-01-17 15:39 <REP> d-------- C:\pebuilder3110a
2008-01-10 16:32 . 2008-01-16 09:09 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab Setup Files
2008-01-09 14:36 . 2008-01-09 14:36 <REP> d-------- C:\Documents and Settings\Administrateur\DoctorWeb
2008-01-09 13:22 . 2008-01-14 13:43 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-01-09 11:53 . 2008-01-17 15:38 <REP> d-------- C:\Program Files\Lavasoft
2008-01-09 11:03 . 2008-01-09 11:19 <REP> d-------- C:\ProfNOTE 8
2008-01-07 08:55 . 2008-01-30 11:15 5,120 --ahs---- C:\WINDOWS\system32\Thumbs.db
2007-12-20 17:21 . 2007-12-20 17:21 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Ethereal
2007-12-20 17:11 . 2007-12-20 17:15 <REP> d-------- C:\Program Files\Internet Access Monitor
2007-12-20 16:41 . 2007-12-20 16:41 <REP> d-------- C:\Program Files\Ethereal
2007-12-20 16:40 . 2007-12-20 16:40 <REP> d-------- C:\Program Files\WinPcap
2007-12-20 16:20 . 2007-12-20 16:20 1,044 --a------ C:\WINDOWS\observer.INI
2007-12-20 15:21 . 2008-01-15 10:24 <REP> d-------- C:\Program Files\Observer
2007-12-20 11:00 . 2007-12-20 11:00 <REP> d-------- C:\Program Files\Dude
2007-12-19 09:22 . 2007-12-19 09:22 47,616 --a------ C:\WINDOWS\system32\drivers\VMONI.sys
2007-12-15 10:58 . 2007-12-15 10:58 91,136 --a------ C:\WINDOWS\system32\drivers\NiFr1D.SYS
2007-12-15 10:58 . 2007-12-15 10:58 90,624 --a------ C:\WINDOWS\system32\drivers\NiFr3D.SYS
2007-12-15 10:58 . 2007-12-15 10:58 84,992 --a------ C:\WINDOWS\system32\drivers\NiCaptureCard.sys
2007-12-15 10:58 . 2007-12-15 10:58 70,656 --a------ C:\WINDOWS\system32\drivers\NiFr1S.SYS
2007-12-15 10:58 . 2007-12-15 10:58 38,400 --a------ C:\WINDOWS\system32\drivers\NiProbeMem.SYS
2007-12-15 10:57 . 2007-12-15 10:57 94,208 --a------ C:\WINDOWS\system32\NiCaptureCardCoInst.dll
2007-12-15 10:57 . 2007-12-15 10:57 91,136 --a------ C:\WINDOWS\system32\drivers\NiFr1SD600.SYS
2007-12-15 10:57 . 2007-12-15 10:57 84,992 --a------ C:\WINDOWS\system32\drivers\NiFcCaptureCard.sys
2007-12-15 10:57 . 2007-12-15 10:57 73,728 --a------ C:\WINDOWS\system32\NiCaptureCardClsInst.dll
2007-12-13 13:45 . 2007-03-16 07:51 499,712 --a------ C:\WINDOWS\system32\msvcp71.dll
2007-12-13 13:43 . 2007-12-13 14:26 <REP> d-------- C:\Program Files\The Weather Channel FW
2007-12-13 13:42 . 2007-12-13 14:25 <REP> d-------- C:\Program Files\Camfrog
2007-12-11 15:07 . 2007-12-11 15:12 <REP> d-------- C:\Program Files\EoRezo
2007-12-11 15:07 . 2007-12-11 15:12 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\EoRezo
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-24 16:35 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\Skype
2008-01-17 12:30 --------- d-----w C:\Program Files\Trend Micro
2008-01-15 13:59 --------- d-----w C:\Program Files\nLite
2008-01-15 09:24 --------- d-----w C:\Program Files\Connexion SERV-PEDA XP
2008-01-09 14:05 --------- d-----w C:\Program Files\Windows Live
2008-01-09 14:04 --------- d-----w C:\Program Files\CamStudio
2008-01-09 13:36 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-01-09 10:02 30,336 ----a-w C:\WINDOWS\system32\drivers\npf.sys
2007-12-17 07:31 --------- d-----w C:\Program Files\Messenger Plus! Live
2007-12-11 16:42 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\dvdcss
2007-12-06 08:55 --------- d-----w C:\Program Files\Java
2007-12-05 10:17 --------- d-----w C:\Program Files\Intel
2007-12-05 08:02 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 13:00 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AAWTray"="C:\Program Files\Lavasoft\Ad-Aware 2007\AAWTray.exe" [ ]
"NWTRAY"="NWTRAY.EXE" [2002-03-12 09:37 28672 C:\WINDOWS\system32\nwtray.exe]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-06-21 12:56 282624]
"OfficeScanNT Monitor"="C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" [2005-04-09 06:18 335872]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 13:00 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"CompatibleRUPSecurity"= 1 (0x1)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Sebring]
C:\WINDOWS\system32\LgNotify.dll 2004-03-03 15:48 110592 C:\WINDOWS\system32\LgNotify.dll
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 nwv1_0
[color=red]Les cl‚s de registre SafeBoot doivent ˆtre r‚par‚es. Cette machine ne peut pas utiliser le Mode Sans chec.[/color]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"
R1 GhPciScan;GhostPciScanner;C:\Program Files\Symantec\Norton Ghost 2003\ghpciscan.sys [2002-08-14 14:11]
R2 NiProbeMem;NiProbeMem;C:\WINDOWS\system32\drivers\NiProbeMem.SYS [2007-12-15 10:58]
R2 VMONI;VMONI Protocol Analyzer;C:\WINDOWS\system32\DRIVERS\VMONI.sys [2007-12-19 09:22]
R3 CONAN;CONAN;C:\WINDOWS\system32\drivers\o2mmb.sys [2004-01-07 09:19]
R3 MbxStby;MbxStby;C:\WINDOWS\system32\drivers\MbxStby.sys [2003-08-26 02:46]
R3 O2SCBUS;O2Micro SmartCardBus Reader;C:\WINDOWS\system32\DRIVERS\ozscr.sys [2003-10-08 10:39]
S3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys [2008-01-09 11:02]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{08F0B490-68D1-262B-0008-040600080806}]
C:\WINDOWS\system32\computer.exe
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-30 14:19:33
Windows 5.1.2600 Service Pack 2 NTFS
Balayage processus cach‚s ...
Balayage cach‚ autostart entries ...
Balayage des fichiers cach‚s ...
Scan termin‚ avec succŠs
Les fichiers cach‚s: 0
**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\S24EvMon.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\WINDOWS\system32\RegSrvc.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\WINDOWS\TEMP\AKD9A6.EXE
C:\WINDOWS\system32\1XConfig.exe
C:\WINDOWS\system32\NWTRAY.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\PrintKey 2000 Fr\Printkey 2000 Fr.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-01-30 14:20:30 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-30 13:20:19
.
2008-01-23 02:06:31 --- E O F ---
et le nouveau rapport Hijack :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:24:35, on 30/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\WINDOWS\system32\RegSrvc.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\WINDOWS\TEMP\AKD9A6.EXE
C:\WINDOWS\system32\1XConfig.exe
C:\WINDOWS\system32\NWTRAY.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\PrintKey 2000 Fr\Printkey 2000 Fr.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [AAWTray] C:\Program Files\Lavasoft\Ad-Aware 2007\AAWTray.exe
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: PrintKey 2000 Fr.lnk = C:\Program Files\PrintKey 2000 Fr\Printkey 2000 Fr.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Send To &Bluetooth - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - http://10.79.27.27:2080/officescan/console/ClientInstall/WinNTChk.cab
O16 - DPF: {08D75BB0-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupINICtrl Class) - http://10.79.27.27:2080/officescan/console/ClientInstall/setupini.cab
O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - http://10.79.27.27:2080/officescan/console/ClientInstall/setup.cab
O16 - DPF: {35C3D91E-401A-4E45-88A5-F3B32CD72DF4} (Encrypt Class) - http://10.79.27.27:2080/officescan/console/html/AtxEnc.cab
O16 - DPF: {5EFE8CB1-D095-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment ObjRemoveCtrl Class) - http://10.79.27.27:2080/officescan/console/ClientInstall/RemoveCtrl.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {8990AFAD-D352-42AC-A72F-A660BBF6E209} (Console de management OfficeScan) - http://192.168.223.153:2080/officescan/console/html/AtxConsole.cab
O16 - DPF: {A050E865-64E3-431B-8079-F0DFCEA90A2D} (PieChart Class) - http://192.168.223.153:2080/officescan/console/html/AtxPie.cab
O16 - DPF: {E008A543-CEFB-4559-912F-C27C2B89F13B} (Domino Web Access 7 Control) - https://webmail.cr-poitou-charentes.fr/dwa7W.cab
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Client Update Service for Novell (cusrvc) - Novell, Inc. - C:\WINDOWS\system32\cusrvc.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Scan en temps réel OfficeScanNT (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: Pare-feu OfficeScanNT (OfcPfwSvc) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\system32\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\system32\S24EvMon.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
-
re,
Copie le texte ci-dessous :
File::
C:\WINDOWS\system32\Thumbs.db
C:\WINDOWS\cfgms.ini
C:\WINDOWS\cfgrt.ini
Folder::
C:\Program Files\EoRezo
C:\Documents and Settings\Administrateur\Application Data\EoRezo
C:\Program Files\The Weather Channel FW
C:\Program Files\Dude
C:\Program Files\Navilog1
C:\VundoFix Backups
C:\Temp
Registry::
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"=hex(7):6d,73,76,31,5f,30,00,00
Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt.
Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :
http://serveur1.archive-host.com/membres/up/1366464061/CFScript.gif
Cela va relancer Combofix,
Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Après redémarrage, poste le contenu du rapport Combofix.txt2.
S'il n'y a pas de rédémarrage, poste quand même le rapport.
@+ -
Voici le rapport :
ComboFix 08-01-30.6 - Administrateur 2008-01-30 15:25:31.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.189 [GMT 1:00]
Endroit: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\Administrateur\Bureau\CFScript.txt
* Création d'un nouveau point de restauration
[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
FILE
C:\WINDOWS\cfgms.ini
C:\WINDOWS\cfgrt.ini
C:\WINDOWS\system32\Thumbs.db
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Documents and Settings\Administrateur\Application Data\EoRezo
C:\Documents and Settings\Administrateur\Application Data\EoRezo\cmhost.cyp
C:\Documents and Settings\Administrateur\Application Data\EoRezo\ConfMedia.cyp
C:\Documents and Settings\Administrateur\Application Data\EoRezo\db\cat.cyp
C:\Documents and Settings\Administrateur\Application Data\EoRezo\eoDesktop\config.xml
C:\Documents and Settings\Administrateur\Application Data\EoRezo\eoDesktop\eoDesktop.html
C:\Documents and Settings\Administrateur\Application Data\EoRezo\eoDesktop\userConfig.xml
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather.cfg
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\EoWeatherVal_02EC282.cfg
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\67_day.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\67_night.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\69_day.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\69_night.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\70_day.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\70_night.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\78_day.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\78_night.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\82_day.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\82_night.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\83_day.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\83_night.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\84_day.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\84_night.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\85_day.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\85_night.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\89_day.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\89_night.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\back.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\background.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\background_1.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\background_1days.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\background_2days.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\background_7days.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\backPressed.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\band.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\band_small.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\close.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\closePressed.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\dayPrevisionBackground.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\dayPrevisionClose.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\earth.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\fonds_écran.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\help.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\helpPressed.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\minimise.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\minimisePressed.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\next.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\nextPressed.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\option.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\optionPressed.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\reflet_ecran.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\small_background.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_classic\Thumbs.db
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\67_day.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\67_night.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\69_day.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\69_night.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\70_day.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\70_night.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\78_day.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\78_night.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\82_day.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\82_night.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\83_day.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\83_night.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\84_day.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\84_night.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\85_day.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\85_night.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\89_day.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\89_night.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\about.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\back.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\background.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\background_1.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\background_1days.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\background_2days.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\background_7days.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\backPressed.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\close.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\closePressed.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\dayPrevisionBackground.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\dayPrevisionClose.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\earth.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\fonds_écran.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\help.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\helpPressed.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\minimise.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\minimisePressed.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\next.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\nextPressed.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\option.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\optionPressed.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\reflet_ecran.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\Thumbs.db
C:\Documents and Settings\Administrateur\Application Data\EoRezo\EoWeather\images_station_meteo\txt_14x13.png
C:\Documents and Settings\Administrateur\Application Data\EoRezo\host.cyp
C:\Documents and Settings\Administrateur\Application Data\EoRezo\user.cyp
C:\Program Files\Dude
C:\Program Files\Dude\data\dude-db.dat
C:\Program Files\Dude\data\dude-db.idx
C:\Program Files\Dude\data\dude.viw
C:\Program Files\Dude\data\files\.index
C:\Program Files\Dude\data\files\Action-2007.12.20-11.00.log
C:\Program Files\Dude\data\files\AGENTX-MIB.txt
C:\Program Files\Dude\data\files\ap.svg
C:\Program Files\Dude\data\files\bridge.svg
C:\Program Files\Dude\data\files\certificate.pem
C:\Program Files\Dude\data\files\client.svg
C:\Program Files\Dude\data\files\clock.svg
C:\Program Files\Dude\data\files\Debug-2007.12.20-11.00.log
C:\Program Files\Dude\data\files\DISMAN-EVENT-MIB.txt
C:\Program Files\Dude\data\files\DISMAN-SCHEDULE-MIB.txt
C:\Program Files\Dude\data\files\DISMAN-SCRIPT-MIB.txt
C:\Program Files\Dude\data\files\dns.svg
C:\Program Files\Dude\data\files\EtherLike-MIB.txt
C:\Program Files\Dude\data\files\Event-2007.12.20-11.00.log
C:\Program Files\Dude\data\files\file_server.svg
C:\Program Files\Dude\data\files\globe.svg
C:\Program Files\Dude\data\files\globe2.svg
C:\Program Files\Dude\data\files\grid.png
C:\Program Files\Dude\data\files\HCNUM-TC.txt
C:\Program Files\Dude\data\files\HOST-RESOURCES-MIB.txt
C:\Program Files\Dude\data\files\HOST-RESOURCES-TYPES.txt
C:\Program Files\Dude\data\files\IANA-ADDRESS-FAMILY-NUMBERS-MIB.txt
C:\Program Files\Dude\data\files\IANA-LANGUAGE-MIB.txt
C:\Program Files\Dude\data\files\IANAifType-MIB.txt
C:\Program Files\Dude\data\files\IF-INVERTED-STACK-MIB.txt
C:\Program Files\Dude\data\files\IF-MIB.txt
C:\Program Files\Dude\data\files\imac.svg
C:\Program Files\Dude\data\files\INET-ADDRESS-MIB.txt
C:\Program Files\Dude\data\files\IP-FORWARD-MIB.txt
C:\Program Files\Dude\data\files\IP-MIB.txt
C:\Program Files\Dude\data\files\IPV6-ICMP-MIB.txt
C:\Program Files\Dude\data\files\IPV6-MIB.txt
C:\Program Files\Dude\data\files\IPV6-TC.txt
C:\Program Files\Dude\data\files\IPV6-TCP-MIB.txt
C:\Program Files\Dude\data\files\IPV6-UDP-MIB.txt
C:\Program Files\Dude\data\files\laptop.svg
C:\Program Files\Dude\data\files\mail.svg
C:\Program Files\Dude\data\files\mikrotik.mib.txt
C:\Program Files\Dude\data\files\MTA-MIB.txt
C:\Program Files\Dude\data\files\NET-SNMP-AGENT-MIB.txt
C:\Program Files\Dude\data\files\NET-SNMP-EXAMPLES-MIB.txt
C:\Program Files\Dude\data\files\NET-SNMP-MIB.txt
C:\Program Files\Dude\data\files\NET-SNMP-MONITOR-MIB.txt
C:\Program Files\Dude\data\files\NET-SNMP-SYSTEM-MIB.txt
C:\Program Files\Dude\data\files\NET-SNMP-TC.txt
C:\Program Files\Dude\data\files\NETWORK-SERVICES-MIB.txt
C:\Program Files\Dude\data\files\news.svg
C:\Program Files\Dude\data\files\news_server.svg
C:\Program Files\Dude\data\files\NOTIFICATION-LOG-MIB.txt
C:\Program Files\Dude\data\files\ntp.svg
C:\Program Files\Dude\data\files\pc.svg
C:\Program Files\Dude\data\files\pc2.svg
C:\Program Files\Dude\data\files\pc3.svg
C:\Program Files\Dude\data\files\pop.svg
C:\Program Files\Dude\data\files\printer.svg
C:\Program Files\Dude\data\files\rack.svg
C:\Program Files\Dude\data\files\rb.svg
C:\Program Files\Dude\data\files\RFC-1215.txt
C:\Program Files\Dude\data\files\RFC1155-SMI.txt
C:\Program Files\Dude\data\files\RFC1213-MIB.txt
C:\Program Files\Dude\data\files\RMON-MIB.txt
C:\Program Files\Dude\data\files\router.svg
C:\Program Files\Dude\data\files\smtp.svg
C:\Program Files\Dude\data\files\SMUX-MIB.txt
C:\Program Files\Dude\data\files\SNMP-COMMUNITY-MIB.txt
C:\Program Files\Dude\data\files\SNMP-FRAMEWORK-MIB.txt
C:\Program Files\Dude\data\files\SNMP-MPD-MIB.txt
C:\Program Files\Dude\data\files\SNMP-NOTIFICATION-MIB.txt
C:\Program Files\Dude\data\files\SNMP-PROXY-MIB.txt
C:\Program Files\Dude\data\files\SNMP-TARGET-MIB.txt
C:\Program Files\Dude\data\files\SNMP-USER-BASED-SM-MIB.txt
C:\Program Files\Dude\data\files\SNMP-USM-AES-MIB.txt
C:\Program Files\Dude\data\files\SNMP-VIEW-BASED-ACM-MIB.txt
C:\Program Files\Dude\data\files\SNMPv2-CONF.txt
C:\Program Files\Dude\data\files\SNMPv2-MIB.txt
C:\Program Files\Dude\data\files\SNMPv2-SMI.txt
C:\Program Files\Dude\data\files\SNMPv2-TC.txt
C:\Program Files\Dude\data\files\SNMPv2-TM.txt
C:\Program Files\Dude\data\files\sql.svg
C:\Program Files\Dude\data\files\switch.svg
C:\Program Files\Dude\data\files\TCP-MIB.txt
C:\Program Files\Dude\data\files\TUNNEL-MIB.txt
C:\Program Files\Dude\data\files\UDP-MIB.txt
C:\Program Files\Dude\dude.exe
C:\Program Files\Dude\install.bat
C:\Program Files\Dude\uninstall.exe
C:\Program Files\EoRezo
C:\Program Files\EoRezo\EoAdv\eoAdv.url
C:\Program Files\EoRezo\EoAdv\EoRezoBho.old
C:\Program Files\Navilog1
C:\Program Files\Navilog1\catchme.exe
C:\Program Files\Navilog1\GetPaths.exe
C:\Program Files\Navilog1\gnc.exe
C:\Program Files\Navilog1\navilog1.bat
C:\Program Files\Navilog1\oem2ansi.exe
C:\Program Files\Navilog1\Process.exe
C:\Program Files\Navilog1\reboot.exe
C:\Program Files\Navilog1\recherok.txt
C:\Program Files\Navilog1\reg.exe
C:\Program Files\Navilog1\regnavi.reg
C:\Program Files\Navilog1\traite.bat
C:\Program Files\Navilog1\traite2.bat
C:\Program Files\Navilog1\unins000.dat
C:\Program Files\Navilog1\unins000.exe
C:\Program Files\The Weather Channel FW
C:\Temp
C:\Temp\InfoCollector.exe
C:\Temp\InfoCollector.ini
C:\Temp\psapi.dll
C:\Temp\Svcrunap.exe
C:\Temp\tmdbg20.dll
C:\Temp\tmuninst.dll
C:\Temp\tmuninst.exe
C:\Temp\tmuninst.ptn
C:\Temp\wizard.exe
C:\VundoFix Backups
C:\WINDOWS\cfgms.ini
C:\WINDOWS\cfgrt.ini
C:\WINDOWS\system32\Thumbs.db
.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-28 to 2008-01-30 ))))))))))))))))))))))))))))))))))))
.
2008-01-16 09:21 . 2008-01-17 14:13 7,479 --a------ C:\WINDOWS\system32\computer
2008-01-15 17:22 . 2008-01-17 15:39 <REP> d-------- C:\pebuilder3110a
2008-01-10 16:32 . 2008-01-16 09:09 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab Setup Files
2008-01-09 14:36 . 2008-01-09 14:36 <REP> d-------- C:\Documents and Settings\Administrateur\DoctorWeb
2008-01-09 13:22 . 2008-01-14 13:43 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-01-09 11:53 . 2008-01-17 15:38 <REP> d-------- C:\Program Files\Lavasoft
2008-01-09 11:03 . 2008-01-09 11:19 <REP> d-------- C:\ProfNOTE 8
2007-12-20 17:21 . 2007-12-20 17:21 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Ethereal
2007-12-20 17:11 . 2007-12-20 17:15 <REP> d-------- C:\Program Files\Internet Access Monitor
2007-12-20 16:41 . 2007-12-20 16:41 <REP> d-------- C:\Program Files\Ethereal
2007-12-20 16:40 . 2007-12-20 16:40 <REP> d-------- C:\Program Files\WinPcap
2007-12-20 16:20 . 2007-12-20 16:20 1,044 --a------ C:\WINDOWS\observer.INI
2007-12-20 15:21 . 2008-01-15 10:24 <REP> d-------- C:\Program Files\Observer
2007-12-19 09:22 . 2007-12-19 09:22 47,616 --a------ C:\WINDOWS\system32\drivers\VMONI.sys
2007-12-15 10:58 . 2007-12-15 10:58 91,136 --a------ C:\WINDOWS\system32\drivers\NiFr1D.SYS
2007-12-15 10:58 . 2007-12-15 10:58 90,624 --a------ C:\WINDOWS\system32\drivers\NiFr3D.SYS
2007-12-15 10:58 . 2007-12-15 10:58 84,992 --a------ C:\WINDOWS\system32\drivers\NiCaptureCard.sys
2007-12-15 10:58 . 2007-12-15 10:58 70,656 --a------ C:\WINDOWS\system32\drivers\NiFr1S.SYS
2007-12-15 10:58 . 2007-12-15 10:58 38,400 --a------ C:\WINDOWS\system32\drivers\NiProbeMem.SYS
2007-12-15 10:57 . 2007-12-15 10:57 94,208 --a------ C:\WINDOWS\system32\NiCaptureCardCoInst.dll
2007-12-15 10:57 . 2007-12-15 10:57 91,136 --a------ C:\WINDOWS\system32\drivers\NiFr1SD600.SYS
2007-12-15 10:57 . 2007-12-15 10:57 84,992 --a------ C:\WINDOWS\system32\drivers\NiFcCaptureCard.sys
2007-12-15 10:57 . 2007-12-15 10:57 73,728 --a------ C:\WINDOWS\system32\NiCaptureCardClsInst.dll
2007-12-13 13:45 . 2007-03-16 07:51 499,712 --a------ C:\WINDOWS\system32\msvcp71.dll
2007-12-13 13:42 . 2007-12-13 14:25 <REP> d-------- C:\Program Files\Camfrog
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-24 16:35 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\Skype
2008-01-17 12:30 --------- d-----w C:\Program Files\Trend Micro
2008-01-15 13:59 --------- d-----w C:\Program Files\nLite
2008-01-15 09:24 --------- d-----w C:\Program Files\Connexion SERV-PEDA XP
2008-01-09 14:05 --------- d-----w C:\Program Files\Windows Live
2008-01-09 14:04 --------- d-----w C:\Program Files\CamStudio
2008-01-09 13:36 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-01-09 10:02 30,336 ----a-w C:\WINDOWS\system32\drivers\npf.sys
2007-12-17 07:31 --------- d-----w C:\Program Files\Messenger Plus! Live
2007-12-11 16:42 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\dvdcss
2007-12-06 08:55 --------- d-----w C:\Program Files\Java
2007-12-05 10:17 --------- d-----w C:\Program Files\Intel
2007-12-05 08:02 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 13:00 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AAWTray"="C:\Program Files\Lavasoft\Ad-Aware 2007\AAWTray.exe" [ ]
"NWTRAY"="NWTRAY.EXE" [2002-03-12 09:37 28672 C:\WINDOWS\system32\nwtray.exe]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-06-21 12:56 282624]
"OfficeScanNT Monitor"="C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" [2005-04-09 06:18 335872]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 13:00 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"CompatibleRUPSecurity"= 1 (0x1)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Sebring]
C:\WINDOWS\system32\LgNotify.dll 2004-03-03 15:48 110592 C:\WINDOWS\system32\LgNotify.dll
[color=red]Les cl‚s de registre SafeBoot doivent ˆtre r‚par‚es. Cette machine ne peut pas utiliser le Mode Sans chec.[/color]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"
R1 GhPciScan;GhostPciScanner;C:\Program Files\Symantec\Norton Ghost 2003\ghpciscan.sys [2002-08-14 14:11]
R2 NiProbeMem;NiProbeMem;C:\WINDOWS\system32\drivers\NiProbeMem.SYS [2007-12-15 10:58]
R2 VMONI;VMONI Protocol Analyzer;C:\WINDOWS\system32\DRIVERS\VMONI.sys [2007-12-19 09:22]
R3 CONAN;CONAN;C:\WINDOWS\system32\drivers\o2mmb.sys [2004-01-07 09:19]
R3 MbxStby;MbxStby;C:\WINDOWS\system32\drivers\MbxStby.sys [2003-08-26 02:46]
R3 O2SCBUS;O2Micro SmartCardBus Reader;C:\WINDOWS\system32\DRIVERS\ozscr.sys [2003-10-08 10:39]
S3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys [2008-01-09 11:02]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{08F0B490-68D1-262B-0008-040600080806}]
C:\WINDOWS\system32\computer.exe
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-30 15:29:19
Windows 5.1.2600 Service Pack 2 NTFS
Balayage processus cach‚s ...
Balayage cach‚ autostart entries ...
Balayage des fichiers cach‚s ...
Scan termin‚ avec succŠs
Les fichiers cach‚s: 0
**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\S24EvMon.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\WINDOWS\system32\RegSrvc.exe
C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\TEMP\WN2C3A.EXE
C:\WINDOWS\system32\1XConfig.exe
C:\WINDOWS\system32\NWTRAY.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\PrintKey 2000 Fr\Printkey 2000 Fr.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-01-30 15:30:33 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-30 14:30:22
ComboFix2.txt 2008-01-30 13:20:30
.
2008-01-23 02:06:31 --- E O F --- -
re,
utilises tu ceci :
ProfNOTE 8 :
C:\ProfNOTE 8
BARTPE :
C:\pebuilder3110a
fais analyser ceci sur virustotal et post le rapport ici stp
C:\WINDOWS\system32\computer.exe
virustotal :
https://www.virustotal.com/gui/
ca va un peut mieux, non?
@+
-
oui çà va mieux déjà dans option des dossiers j'ai enfin la case à cochée "Masquer les fichiers protégés du système d'exploitation"
par contre profnote8 est un ancien logiciel de notes que j'avais (il ne sers plus donc je vais le supprimer)
pebuilder est un logiciel qui permet de créer des CD de XP modifié (je m'en sers pas mal)
et par contre computer.exe je le trouve pas
Je surf sur le net pour voir si j'ai encore mes pubs.
Il n'est pas possible de t'envoyer une capture d'ecran pour que tu voit ce que c'es ?
En tout cas merci de ton aide.
Par contre, je suis sur un parc informatique d'environ 550 PC, je vais etre obligé de faire çà sur toute les machines infectées ?
Car chose bizarre elles ne sont pas toutes infectées et celles qui le sont n'ont pas les pubs tous les jours . Bizar non ? -
re,
ok pour profane 8 et bartpe
pour trouver computer.exe essaie de le trouver en affichant les dossiers et fichiers cachés, et fais le analyser ensuite...
oui tu peux m´envoyer une capture d´ecran en utilisant image shack ou archive host.
550pc!!! je ne pourrait t´aider pour tous les desinfecter, ca c´est certain; il faudrait peut etre pensser a une solution de protection plus efficace!!!
@+ -
Pour une solution plus efficace je cherche, mais le firewall n'est pas gérer par nous et pour l'antivirus on a pas le choix non plus c'est Trend Micro
-
Salut g!rly
Regarde dans ComboFix :
[color=red]Les cl‚s de registre SafeBoot doivent ˆtre r‚par‚es. Cette machine ne peut pas utiliser le Mode Sans chec./color
Peut-être vérifier le MSE; sinon :
« Un lien pour réparer :
https://download.bleepingcomputer.com/sUBs/SafeBootKeyRepair.exe (c'est de sUbs)
Il recrée les clefs SabeBoot du registre. »
Bonne chance
Al
-
re,
pour securiser tous ce parc de pc, je ne serais pas vraiment te repondre...
des solutions comme la tienne doivent etre proposées par les leader dans le domaine...
bitdefender
kaspersky
mais revenons sur le pc que nous avons commencé a examiner :
tu as trouver computer.exe ?
le surf ca donne quoi?
@+ -
je pense que tu peux voir une capture d'ecran ici (si j'ai pas fait l'abruti)
http://imageshack.com/f/2hchinoists3g
je n'ai aucune certitude sur ce lien lol -
je n'ai pas trouvé computer.exe mais pour le surf çà à l'air bon
-
je viens de regarder dans le journal de l'antivirus et il me dit que computer.exe a été supprimer le 17/01/08 ???
-
ok tres bien alors, moi je le voie apparaitre dans combofix le 16.01...
par contre la clef de registre est peut etre encore visible, verifie :
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{08F0B490-68D1-262B-0008-040600080806}]
C:\WINDOWS\system32\computer.exe
supprime la si c´est le cas.
tu as essayé de surfer alors?
@+ -
La clé était encore présente donc je l'ai supprimée, et pour le surf çà à l'air d'etre bon
Si je refait la manip sur les autres postes, çà pourrai marcher ? -
Bon merci beaucoup, je pense que c'est bon, je vais fermer le post et si j'ai encore le souci je te retiens au courant. De toute façon je vais le rechopper car ils veulent pas que je déconnecte les machines avant les vacances, donc il va revenir sur mon PC je pense sauf si l'antivirus arrive à le détecter avant qu'il rentre dans le PC.
Encore mille fois merci -
re,
cool ;-)
pour les autres pc :
regarde si tu trouve :
C:\Program Files\EoRezo
C:\Documents and Settings\Administrateur\Application Data\EoRezo
C:\Program Files\The Weather Channel FW
C:\Program Files\Dude
C:\Temp
dis moi quoi
@+
