IEXPLORER virus ?????

Résolu
drago0607 Messages postés 150 Statut Membre -  
g!rly Messages postés 18462 Statut Contributeur -
Bonjour,
Voila mon petit probleme j'ai utilise bon nombre de logiciel de securite en tous genre , Avast, Avg, Spybot, Ad-aware, AVG anti spyware. Apres cela mon pc a l'air clean mais dans mon gestionnaire j'ai plein de processus appeler IEXPLORER.EXE qui me mange de memoire et l'UC j'ai beau les refermer sa revient sans cesse. Le parefeu sunbelt me bloque deux prog MPEGMANE.EXE et un autre du style URTUKE.EXE qui apres recherche son introuvable. Je ne sais plus quoi faire. SVP un petit conseil me serais tres utile.
Je transmet un log hijackthis si saa peu etre utile merci d'avance

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:39:49, on 07/02/2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7D9362F8-77D8-4b29-97B5-621D550890C0} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [platform 32] C:\DOCUME~1\admin\APPLIC~1\GLUEDE~1\mpegamen.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://cid-cec3165cd19bae0e.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://copainsdavant.linternaute.com/...
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game08.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

--
End of file - 3423 bytes
Configuration: Windows XP
Internet Explorer 6.0

53 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Plusieurs éléments convergent vers une infection détectée après l’usage de nombreux outils de sécurité, avec des processus IEXPLORE.EXE consommant une grande partie de la mémoire et le pare-feu bloquant des programmes non identifiables. Des recommandations consistent à utiliser des outils spécialisés comme HijackThis et ComboFix pour analyser les éléments incongrus et démarrer une remise en état sans modifier manuellement des registres sensibles. Le rapport mentionne des entrées inhabituelles, telles que des programmes en exécution automatique (mpegamen.exe), des composants BHO et des DLL suspectes, ainsi que des services actifs typiques d’une compromission système. En complément, des indications sur l’utilisation prudente de commandes et sur la nécessité de sauvegarder les journaux d’analyse permettent de prévenir des dégâts supplémentaires lors d’un nettoyage avancé.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. moe
     
    Salut G!rly

    Rien que çà... !? mdr

    Pour ce soir se sera 6 sur les 9 (SnapShotB n'existe plus) si tu veux bien, ça marche pour toi ?
    Les 3 autres étants plus complexe à expliquer et là je dois t'avouer que ce soir je n'ai plus assez de temps et suis trop crevé pour pouvoir entrer dans les détails et te les décrire précisément donc je préfère m'abstenir.

    Je suppose que tu sais que l'emploi de certaines commandes dans une utilisation inadaptée peut engendrer de gros gros dégats et peuvent aussi être modifiées par l'auteur à tout moment...
    Donc prudence toujours et bonne lecture :-)

    @++

    FileLook::

    Permet à Combofix d'afficher dans le rapport les propriétés avancées d'un fichier d'extension exe, dll ou OCX
    En cas de doute sur un fichier repéré dans le rapport, ça donne la possibilité d'avoir un aperçu de la légitimité d'un fichier et de pouvoir plus facilement déterminer s'il est utile de le faire analyser par exemple.

    Contenu de CFscript.txt :

    Filelook::
    C:\SimCity 4.exe <- indiquer le chemin complet du fichier

    Résultat dans le rapport ComboFix :

    (((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
    .

    ---- C:\SimCity 4.exe ----

    Company: Maxis
    File Description: SimCity 4
    File Version: 1.1.610.0
    Product Name:
    Copyright: Copyright ¸ 2002 Maxis. All Rights Reserved
    Original file name: SimCity 4.exe

    DirLook::

    Cette commande permet d'afficher dans le rapport le listing du contenu d'un dossier.
    C'est à dire les fichiers qu'il contient ainsi que le contenu de tous ses sous-dossiers.

    Contenu de CFscript.txt :

    DirLook::
    C:\SDFix
    <- indiquer le chemin complet du dossier

    Résultat dans le rapport ComboFix :

    (((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
    .

    ---- Directory of C:\SDFix ----

    2007-10-25 17:32 12334648 --a------ C:\SDFix\sav32sfx.exe
    2007-10-23 02:32 94208 --a------ C:\SDFix\apps\Replace\XP.exe
    2007-10-23 02:32 94208 --a------ C:\SDFix\apps\Replace\W2K.exe
    2007-10-23 02:32 932 --a------ C:\SDFix\apps\FixWebCheck.reg
    2007-10-23 02:32 90112 --a------ C:\SDFix\apps\RegDACL.exe
    2007-10-23 02:32 8192 --a------ C:\SDFix\apps\RestartIt!.exe
    2007-10-23 02:32 814 --a------ C:\SDFix\apps\HPFix.reg
    2007-10-23 02:32 7599 --a------ C:\SDFix\apps\legacybk.txt
    2007-10-23 02:32 7599 --a------ C:\SDFix\apps\legacy.txt
    2007-10-23 02:32 6656 --a------ C:\SDFix\apps\MD5File.exe
    2007-10-23 02:32 61440 --a------ C:\SDFix\apps\psservice.exe
    2007-10-23 02:32 61440 --a------ C:\SDFix\apps\download.exe
    2007-10-23 02:32 59200 --a------ C:\SDFix\apps\FIXLM.reg
    2007-10-23 02:32 591 --a------ C:\SDFix\apps\FixRedir.reg
    2007-10-23 02:32 5768 --a------ C:\SDFix\apps\Restore_SharedAccess.reg
    2007-10-23 02:32 49152 --a------ C:\SDFix\apps\SF.exe
    2007-10-23 02:32 49152 --a------ C:\SDFix\apps\LS.exe
    2007-10-23 02:32 41472 --a------ C:\SDFix\apps\WINMSG.EXE
    2007-10-23 02:32 4120 --a------ C:\SDFix\apps\fix.reg
    2007-10-23 02:32 40960 --a------ C:\SDFix\apps\swsc.exe
    2007-10-23 02:32 4090 --a------ C:\SDFix\apps\ERUNT.LOC
    2007-10-23 02:32 38400 --a------ C:\SDFix\apps\moveex.exe
    2007-10-23 02:32 376 --a------ C:\SDFix\apps\FixXPsp2.reg
    2007-10-23 02:32 374 --a------ C:\SDFix\apps\MyGcpvFix.reg
    ...

    ADS::

    Cette commande permet de supprimer un flux ADS greffé sur un fichier porteur.

    Un peu de lecture avant, pour se familiariser avec la bête :-) :
    http://assiste.com.free.fr/p/abc/a/ads_alternate_data_stream.html
    http://www.heysoft.de/nt/ntfs-ads.htm

    Exemple:
    Le fichier C:\Porteur.exe contient un flux nommé "qetchua"
    (Souvent mentionnés de cette façon dans la plupart des rapport AV -> C:\Porteur.exe:qetchua )

    Contenu de CFscript.txt :

    ADS::
    C:\Porteur.exe
    <- Seul le chemin et le nom du fichier porteur doivent être mentionnés mais pas le nom du flux.

    Résultat dans le rapport ComboFix :

    Running from: C:\Documents and Settings\bOo\Bureau\ComboFix.exe
    Command switches used :: C:\Documents and Settings\bOo\Bureau\cfscript.txt
    * Created a new restore point
    .
    [i] ADS - Porteur.exe: deleted 21 bytes in 1 streams./i <- L'ADS a bien été détecté et supprimé par ComboFix

    NetSvc::

    Cette commande permet de supprimer un service infectieux de la liste du groupe NetSvc, chargé par Svchost.exe:

    Clé concerné:

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost]
    "NetSvc"


    http://support.microsoft.com/kb/314056/fr

    Exemple concret d'utilisation par Noahdfear ici :
    https://forum.adaware.com/index.php?/topic/14404-got-an-adware-yesterday/#entry62817

    Et d'un exemple récent ou il aurait pu être utilisé:
    http://www.commentcamarche.net/forum/affich 4773527 virus#2

    Contenu de CFscript.txt :

    NetSvc::
    ruupbrdg
    <- Seul le nom du service est accepté

    killall::

    Cette commande permet de tuer absolument tous les processus actifs, ceux des AV y compris.
    Exceptés les processus vitaux à Windows et utiles à Combofix :

    C:\Windows\explorer.exe
    C:\Windows\system32\smss.exe
    C:\Windows\system32\csrss.exe
    C:\Windows\system32\winlogon.exe
    C:\Windows\system32\services.exe
    C:\Windows\system32\lsass.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\dmadmin.exe
    C:\Windows\system32\kmd.exe
    C:\Combofix\catchme.cfexe

    + pour Vista

    C:\Windows\system32\wininit.exe
    C:\Windows\system32\lsm.exe
    C:\Windows\system32\dwm.exe

    Commande à placer en début de script, tel quel.

    Contenu de CFscript.txt :

    Killall::

    File::
    C:\virus_inconnu_en cours_d'utilisation.exe


    Cette commande entrainera un reboot systématique du pc à la fin du scan de Combofix.

    Suspect::

    Cette commande permet de pouvoir collecter un fichier suspect/inconnu repéré dans le rapport en vue de le soumettre à l'équipe de Bleeping Computer pour analyse.

    Contenu de CFscript.txt :

    Suspect::
    C:\bizaroïde.exe


    Le fichier en question ne sera pas supprimé ni renommé, mais une copie zippé en sera faite et enregistrée sur le bureau, sous le nom :
    [4]-Submit_aaaa-mm-jj@hh-mm.zip

    Un formulaire d'upload (CF-Submit.html) sera alors proposé par le biais du navigateur et d'une page html, pour transmettre le fichier :
    http://cjoint.com/data/ckxAULFjVY.htm
    Le fichier CF-Submit.html présent sur le bureau, peut ensuite être supprimé.

    La commande Collect:: très similaire à celle-ci, permet aussi de collecter un fichier à la différence que celui-ci sera supprimé de son emplacement (backupé ensuite dans le dossier C:\Qoobox\Quarantine) après que ComboFix en ait fait une copie zippé sur le bureau.
    10
  2. Utilisateur anonyme
     
    IEXPLORER = Internet Explorer = Navigateur web
    0
  3. drago0607 Messages postés 150 Statut Membre 27
     
    Je sais mais pourquoi j'ai trois quatre processus qui se mette en route alors qu'internet explorer n'est pas ouvert et que cela me bouffe tous ma memoire ??
    0
  4. Utilisateur anonyme
     
    peux etre que tu es espionné ou qu'un ou plusieurs téléchargements en fond de tache sont lancés...
    Au bûcher les hérétiques!!!
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. drago0607 Messages postés 150 Statut Membre 27
     
    Non rien de tous cela je ne fais strictement dans ces moments la
    0
  7. Utilisateur anonyme
     
    LOGICIEL ESPION CONTROLE TA MACHINE ATTENTION!!!!
    VIRUS SPYWARES!!!

    BE CAREFULL
    0
  8. moe
     
    Bonsoir drago0607

    Effectivement il y a infection et l'utilisation des processus iexplore.exe détournée doit te générer des pubs à la volée.

    → Télécharge Lopxp et enregistres-le sur ton bureau.
    http://sosvirus.changelog.fr/Green_day/Lopxpsetup.exe

    Double clic sur le fichier Lopxpsetup.exe pour lancer l'installation.
    Sur le bureau, double clic ensuite sur le raccourci nommé Lopxp, pour lancer le programme.
    Dans le menu, choisis l'option 1 et valide avec la touche entrée.
    Patiente un peu, en fin d'analyse il te sera demandé d'appuyer sur une touche pour faire apparaître le rapport, fais-le.

    Copie et colle ensuite tous son contenu dans ta prochaine réponse.

    @++
    0
  9. drago0607 Messages postés 150 Statut Membre 27
     
    Merci voici le rapoort lopxp

    # Rapport Lopxp fait le 08/02/2008 à 0:03:37
    # Exécuté dans : C:\Program Files\Lopxp
    # Version 3.06 - Maj du 05/02/2008

    Killing 'iexplore.exe'
    "C:\Program Files\Internet Explorer\IEXPLORE.EXE" (3132)

    ========== Listing des dossiers Application Data

    +- C:\Documents and Settings\admin\Application Data

    2008-02-07 à 10:14:13 - Adobe
    2008-01-27 à 10:36:19 - Ahead
    2008-01-23 à 12:05:05 - DivX
    2008-01-23 à 22:26:11 - eMule
    2008-02-04 à 16:56:35 - glue dead
    2008-02-05 à 16:13:49 - Google
    2008-01-22 à 21:43:54 - Grisoft
    2008-01-22 à 21:48:16 - Help
    2008-01-27 à 17:08:51 - Identities
    2008-01-22 à 17:59:55 - LGSync
    2008-02-07 à 10:22:42 - LimeWire
    2008-01-26 à 12:30:24 - Macromedia
    2008-02-07 à 17:36:40 - Microsoft
    2008-02-03 à 17:48:12 - Mozilla
    2008-01-25 à 15:30:37 - Sun
    2008-01-23 à 12:06:49 - vlc
    2008-01-27 à 10:11:28 - WinRAR
    2008-01-27 à 17:08:51 - Zylom

    +- C:\Documents and Settings\admin\Local Settings\Application Data

    2008-02-07 à 10:21:40 - Adobe
    2008-01-28 à 00:14:32 - Ahead
    2008-02-05 à 14:55:05 - Google
    2008-01-22 à 21:48:16 - Help
    2008-02-07 à 18:38:39 - Microsoft
    2008-02-03 à 17:48:12 - Mozilla

    +- C:\Documents and Settings\All Users\Application Data

    2008-02-07 à 17:36:42 - Avg7
    2008-01-22 à 16:28:02 - CanonBJ
    2008-02-07 à 17:38:47 - Google
    2008-02-07 à 17:36:20 - Grisoft
    2008-02-07 à 23:02:31 - Kaspersky Lab
    2008-02-07 à 18:14:42 - Lavasoft
    2008-02-04 à 16:56:30 - mapi nurb bat remote
    2008-02-01 à 15:39:17 - Microsoft
    2008-01-22 à 18:20:12 - NVIDIA
    2008-01-31 à 18:46:02 - nView_Profiles
    2008-02-07 à 17:32:40 - Spybot - Search & Destroy
    2008-02-05 à 16:53:02 - TEMP
    2008-01-27 à 11:04:07 - Zylom

    ========== Listing du dossier Program Files

    +- C:\Program Files

    2008-02-07 à 10:11:45 - Adobe
    2008-02-05 à 21:26:55 - Alwil Software
    2008-01-26 à 21:14:02 - Casio
    2008-01-22 à 16:44:24 - CCleaner
    2008-01-22 à 21:30:13 - CommentCaMarche
    2008-01-22 à 18:38:15 - directx
    2008-02-07 à 17:38:30 - DivX
    2008-01-23 à 22:26:50 - eMule
    2008-02-07 à 18:12:59 - Fichiers communs
    2008-02-07 à 22:33:33 - Google
    2008-02-07 à 17:36:42 - Grisoft
    2008-01-22 à 17:57:59 - InstallShield Installation Information
    2008-01-22 à 16:11:34 - Internet Explorer
    2008-01-23 à 12:18:30 - Java
    2008-02-07 à 23:02:31 - Kaspersky Lab
    2008-02-07 à 18:13:33 - Lavasoft
    2008-01-22 à 17:58:37 - LGE GSM PC Sync
    2008-02-07 à 23:04:01 - Lopxp
    2008-02-03 à 21:02:04 - Messenger
    2008-01-22 à 16:13:06 - microsoft frontpage
    2008-01-22 à 16:35:52 - Microsoft Office
    2008-01-22 à 16:10:50 - Movie Maker
    2008-01-22 à 16:08:53 - MSN
    2008-01-22 à 16:08:37 - MSN Gaming Zone
    2008-01-22 à 17:24:25 - MSN Messenger
    2008-01-27 à 10:34:13 - Nero
    2008-01-22 à 16:10:19 - NetMeeting
    2008-01-22 à 16:10:15 - Outlook Express
    2008-01-22 à 16:08:53 - Services en ligne
    2008-02-01 à 21:42:00 - Soldier of Fortune II - Double Helix
    2008-02-07 à 08:57:45 - Sunbelt Software
    2008-01-30 à 10:08:14 - Trend Micro
    2008-01-31 à 21:46:12 - Ubi Soft
    2008-01-22 à 16:18:36 - Uninstall Information
    2008-01-23 à 12:04:25 - VideoLAN
    2008-01-22 à 18:39:50 - VirtualDJ
    2008-01-23 à 07:51:52 - Windows Media Player
    2008-01-22 à 16:08:36 - Windows NT
    2008-01-26 à 21:09:00 - WindowsUpdate
    2008-02-01 à 15:32:44 - WinRAR
    2008-01-22 à 16:13:06 - xerox
    2008-01-31 à 21:50:16 - Zero G Registry
    2008-01-27 à 17:44:44 - Zylom Games

    ========== Tâches planifiées

    A02E24339189A14B.job: c:\docume~1\admin\applic~1\gluede~1\Media Wave Sect.exe
    At1.job: C:\WINDOWS\System32\l1u3DR8T.exe
    At10.job: C:\WINDOWS\System32\l1u3DR8T.exe
    At11.job: C:\WINDOWS\System32\l1u3DR8T.exe
    At12.job: C:\WINDOWS\System32\l1u3DR8T.exe
    At13.job: C:\WINDOWS\System32\l1u3DR8T.exe
    At14.job: C:\WINDOWS\System32\l1u3DR8T.exe
    At15.job: C:\WINDOWS\System32\l1u3DR8T.exe
    At16.job: C:\WINDOWS\System32\l1u3DR8T.exe
    At17.job: C:\WINDOWS\System32\l1u3DR8T.exe
    At18.job: C:\WINDOWS\System32\l1u3DR8T.exe
    At19.job: C:\WINDOWS\System32\l1u3DR8T.exe
    At2.job: C:\WINDOWS\System32\l1u3DR8T.exe
    At20.job: C:\WINDOWS\System32\l1u3DR8T.exe
    At21.job: C:\WINDOWS\System32\l1u3DR8T.exe
    At22.job: C:\WINDOWS\System32\l1u3DR8T.exe
    At23.job: C:\WINDOWS\System32\l1u3DR8T.exe
    At24.job: C:\WINDOWS\System32\l1u3DR8T.exe
    At3.job: C:\WINDOWS\System32\l1u3DR8T.exe
    At4.job: C:\WINDOWS\System32\l1u3DR8T.exe
    At5.job: C:\WINDOWS\System32\l1u3DR8T.exe
    At6.job: C:\WINDOWS\System32\l1u3DR8T.exe
    At7.job: C:\WINDOWS\System32\l1u3DR8T.exe
    At8.job: C:\WINDOWS\System32\l1u3DR8T.exe
    At9.job: C:\WINDOWS\System32\l1u3DR8T.exe

    ========== Clés registre

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "platform 32"="C:\DOCUME~1\admin\APPLIC~1\GLUEDE~1\mpegamen.exe"

    ========== Bloqueur popups Internet Explorer

    Blocage des popups non géré par cette version du navigateur.

    ========== Suggestion ( /!\ Nécessite une interprétation.) ==========

    C:\Documents and Settings\admin\Application Data\glue dead
    C:\Documents and Settings\All Users\Application Data\mapi nurb bat remote
    C:\WINDOWS\tasks\A02E24339189A14B.job

    +- Registre:

    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "platform 32"=-

    - Fin du rapport -
    0
  10. moe
     
    Ok, maintenant ouvre le menu demarrer, puis clic sur 'Exécuter'
    Copie/colle la ligne suivante en gras dans la boîte de dialogue :
    "%programfiles%\Lopxp\Lopxp.bat" /Fixme
    puis valide.
    Lopxp va se lancer et supprimer les fichiers/dossiers infecté, répond oui en tapant sur 'y' à toutes les demandes de confirmation de suppressions et poste le rapport.

    @++
    0
  11. drago0607 Messages postés 150 Statut Membre 27
     
    encore merci voici donc le rapport

    # Rapport Lopxp fait le 08/02/2008 à 0:20:52
    # Exécuté dans : C:\Program Files\Lopxp
    # Version 3.06 - Maj du 05/02/2008

    ========== FixLog ==========

    +- C:\Documents and Settings\admin\Application Data\glue dead
    Choix utilisateur : Suppression acceptée.
    Déplacé avec succès.

    +- C:\Documents and Settings\All Users\Application Data\mapi nurb bat remote
    Choix utilisateur : Suppression acceptée.
    Déplacé avec succès.

    +- C:\WINDOWS\tasks\A02E24339189A14B.job
    Choix utilisateur : Suppression acceptée.
    Déplacé avec succès.

    +- Registre :
    Nettoyage effectué.

    +- Fichiers temporaires :
    Nettoyage effectué.

    ========== Listing des dossiers Application Data

    +- C:\Documents and Settings\admin\Application Data

    2008-02-07 à 10:14:13 - Adobe
    2008-01-27 à 10:36:19 - Ahead
    2008-01-23 à 12:05:05 - DivX
    2008-01-23 à 22:26:11 - eMule
    2008-02-05 à 16:13:49 - Google
    2008-01-22 à 21:43:54 - Grisoft
    2008-01-22 à 21:48:16 - Help
    2008-01-27 à 17:08:51 - Identities
    2008-01-22 à 17:59:55 - LGSync
    2008-02-07 à 10:22:42 - LimeWire
    2008-01-26 à 12:30:24 - Macromedia
    2008-02-07 à 17:36:40 - Microsoft
    2008-02-03 à 17:48:12 - Mozilla
    2008-01-25 à 15:30:37 - Sun
    2008-01-23 à 12:06:49 - vlc
    2008-01-27 à 10:11:28 - WinRAR
    2008-01-27 à 17:08:51 - Zylom

    +- C:\Documents and Settings\admin\Local Settings\Application Data

    2008-02-07 à 10:21:40 - Adobe
    2008-01-28 à 00:14:32 - Ahead
    2008-02-05 à 14:55:05 - Google
    2008-01-22 à 21:48:16 - Help
    2008-02-07 à 18:38:39 - Microsoft
    2008-02-03 à 17:48:12 - Mozilla

    +- C:\Documents and Settings\All Users\Application Data

    2008-02-07 à 17:36:42 - Avg7
    2008-01-22 à 16:28:02 - CanonBJ
    2008-02-07 à 17:38:47 - Google
    2008-02-07 à 17:36:20 - Grisoft
    2008-02-07 à 23:02:31 - Kaspersky Lab
    2008-02-07 à 18:14:42 - Lavasoft
    2008-02-01 à 15:39:17 - Microsoft
    2008-01-22 à 18:20:12 - NVIDIA
    2008-01-31 à 18:46:02 - nView_Profiles
    2008-02-07 à 17:32:40 - Spybot - Search & Destroy
    2008-02-05 à 16:53:02 - TEMP
    2008-01-27 à 11:04:07 - Zylom

    ========== Listing du dossier Program Files

    +- C:\Program Files

    2008-02-07 à 10:11:45 - Adobe
    2008-02-05 à 21:26:55 - Alwil Software
    2008-01-26 à 21:14:02 - Casio
    2008-01-22 à 16:44:24 - CCleaner
    2008-01-22 à 21:30:13 - CommentCaMarche
    2008-01-22 à 18:38:15 - directx
    2008-02-07 à 17:38:30 - DivX
    2008-01-23 à 22:26:50 - eMule
    2008-02-07 à 18:12:59 - Fichiers communs
    2008-02-07 à 22:33:33 - Google
    2008-02-07 à 17:36:42 - Grisoft
    2008-01-22 à 17:57:59 - InstallShield Installation Information
    2008-01-22 à 16:11:34 - Internet Explorer
    2008-01-23 à 12:18:30 - Java
    2008-02-07 à 23:02:31 - Kaspersky Lab
    2008-02-07 à 18:13:33 - Lavasoft
    2008-01-22 à 17:58:37 - LGE GSM PC Sync
    2008-02-07 à 23:21:46 - Lopxp
    2008-02-03 à 21:02:04 - Messenger
    2008-01-22 à 16:13:06 - microsoft frontpage
    2008-01-22 à 16:35:52 - Microsoft Office
    2008-01-22 à 16:10:50 - Movie Maker
    2008-01-22 à 16:08:53 - MSN
    2008-01-22 à 16:08:37 - MSN Gaming Zone
    2008-01-22 à 17:24:25 - MSN Messenger
    2008-01-27 à 10:34:13 - Nero
    2008-01-22 à 16:10:19 - NetMeeting
    2008-01-22 à 16:10:15 - Outlook Express
    2008-01-22 à 16:08:53 - Services en ligne
    2008-02-01 à 21:42:00 - Soldier of Fortune II - Double Helix
    2008-02-07 à 08:57:45 - Sunbelt Software
    2008-01-30 à 10:08:14 - Trend Micro
    2008-01-31 à 21:46:12 - Ubi Soft
    2008-01-22 à 16:18:36 - Uninstall Information
    2008-01-23 à 12:04:25 - VideoLAN
    2008-01-22 à 18:39:50 - VirtualDJ
    2008-01-23 à 07:51:52 - Windows Media Player
    2008-01-22 à 16:08:36 - Windows NT
    2008-01-26 à 21:09:00 - WindowsUpdate
    2008-02-01 à 15:32:44 - WinRAR
    2008-01-22 à 16:13:06 - xerox
    2008-01-31 à 21:50:16 - Zero G Registry
    2008-01-27 à 17:44:44 - Zylom Games

    ========== Tâches planifiées

    At1.job: C:\WINDOWS\System32\l1u3DR8T.exe
    At10.job: C:\WINDOWS\System32\l1u3DR8T.exe
    At11.job: C:\WINDOWS\System32\l1u3DR8T.exe
    At12.job: C:\WINDOWS\System32\l1u3DR8T.exe
    At13.job: C:\WINDOWS\System32\l1u3DR8T.exe
    At14.job: C:\WINDOWS\System32\l1u3DR8T.exe
    At15.job: C:\WINDOWS\System32\l1u3DR8T.exe
    At16.job: C:\WINDOWS\System32\l1u3DR8T.exe
    At17.job: C:\WINDOWS\System32\l1u3DR8T.exe
    At18.job: C:\WINDOWS\System32\l1u3DR8T.exe
    At19.job: C:\WINDOWS\System32\l1u3DR8T.exe
    At2.job: C:\WINDOWS\System32\l1u3DR8T.exe
    At20.job: C:\WINDOWS\System32\l1u3DR8T.exe
    At21.job: C:\WINDOWS\System32\l1u3DR8T.exe
    At22.job: C:\WINDOWS\System32\l1u3DR8T.exe
    At23.job: C:\WINDOWS\System32\l1u3DR8T.exe
    At24.job: C:\WINDOWS\System32\l1u3DR8T.exe
    At3.job: C:\WINDOWS\System32\l1u3DR8T.exe
    At4.job: C:\WINDOWS\System32\l1u3DR8T.exe
    At5.job: C:\WINDOWS\System32\l1u3DR8T.exe
    At6.job: C:\WINDOWS\System32\l1u3DR8T.exe
    At7.job: C:\WINDOWS\System32\l1u3DR8T.exe
    At8.job: C:\WINDOWS\System32\l1u3DR8T.exe
    At9.job: C:\WINDOWS\System32\l1u3DR8T.exe

    ========== Clés registre

    ========== Bloqueur popups Internet Explorer

    Blocage des popups non géré par cette version du navigateur.

    ========== Suggestion ( /!\ Nécessite une interprétation.) ==========

    +- Dossiers\Fichiers : Aucune suggestion.

    +- Registre : Aucune suggestion.

    - Fin du rapport -
    0
  12. moe
     
    Parfait, maintenant tu ne devrais plus avoir de processus iexplore.exe superflus qui apparaissent dans le gestionnaire des taches, ni de pubs intempestives en surfant avec IE, tu confirmes ?

    Je vais devoir déconnecter pour ce soir, je repasserais demain pour la suite.

    En attendant,

    Rend visible les fichiers cachés et système
    Panneau de configuration > Options des dossiers > onglet Affichage
    Coches la case devant "Afficher les fichiers et dossiers cachés"
    Décoche la case devant "Masquer les fichiers protégés du système"
    Clic sur [Appliquer] puis sur [ok] pour valider

    Recherche manuellement ce fichier :
    C:\WINDOWS\System32\l1u3DR8T.exe
    et tu me diras demain si tu as pu le trouver ou pas.

    Bonne fin de soirée/début de nuit.

    @+=
    0
  13. drago0607 Messages postés 150 Statut Membre 27
     
    ok je me connecte demain des mon reveil en attendant ta reponse, oui je l'ai trouver manuellement sans trop de probleme
    merci bcp moe pour ta patience est ta gentillesse a demain bonne fin de soiree et de debut de nuit a toi aussi
    0
  14. moe
     
    Salut drago0607

    Rends toi sur https://www.virustotal.com/gui/
    Clique sur le bouton "Parcourir" puis recherche et selectionne :
    C:\WINDOWS\System32\l1u3DR8T.exe
    Valide et clique sur "Envoyer le fichier".
    Patiente jusqu'à la fin de l'analyse puis surligne et copie et colle le résultat du scan.

    @+ tard
    0
  15. drago0607 Messages postés 150 Statut Membre 27
     
    bonjour a toi moe

    Antivirus Version Dernière mise à jour Résultat
    AhnLab-V3 - - -
    AntiVir - - TR/Crypt.ULPM.Gen
    Authentium - - -
    Avast - - -
    AVG - - Downloader.Generic6.AGNB
    BitDefender - - Trojan.Downloader.Firu.C
    CAT-QuickHeal - - -
    ClamAV - - -
    DrWeb - - -
    eSafe - - suspicious Trojan/Worm
    eTrust-Vet - - -
    Ewido - - -
    FileAdvisor - - -
    Fortinet - - -
    F-Prot - - -
    F-Secure - - W32/DLoader.FMBR
    Ikarus - - Trojan-Downloader.Firu.C
    Kaspersky - - Trojan-Downloader.Win32.Firu.bc
    McAfee - - -
    Microsoft - - Trojan:Win32/Bohmini.A
    NOD32v2 - - a variant of Win32/TrojanDownloader.Firu
    Norman - - W32/DLoader.FMBR
    Panda - - Trj/Agent.HYB
    Prevx1 - - Covert.Sys.Exec
    Rising - - -
    Sophos - - Mal/HckPk-A
    Sunbelt - - -
    Symantec - - -
    TheHacker - - -
    VBA32 - - -
    VirusBuster - - -
    Webwasher-Gateway - - Trojan.Crypt.ULPM.Gen
    Information additionnelle
    MD5: c9721522e431f95a32ec84d3edef49ad
    SHA1: 28654e72fe729600e43a7070b066dcb1aa26a270
    SHA256: fd5fa5c111da00f7cc34b3237d66692a3889dfcfd4a7e0d9a66b630624333f40
    SHA512: a653ab6ed5affc891e003ff4d0f9283c1f37d280c948c8bb8691c6900eca2dde ecd573280ea47ecec0e689a0cea50891bae947cec616769dc6dccb6292337ffc
    0
  16. drago0607 Messages postés 150 Statut Membre 27
     
    petite nouveaute

    Ecran bleu erreur

    PAGE_FAULT_IN_NONPAGED_AREA

    technique : 0x00000050 0xE33D1043 0x 000000000 0xF77D8AAF 0x00000001

    Je ne sais pas si c'est liée ou pas

    0
  17. moe
     
    Salut drago0607

    Sincèrement je ne sais pas si l'écran bleu est lié, mais ce qui est sur c'est que ce fichier et à supprimer.
    Si tu as lu le rapport lopxp, tu auras remarqué qu'il utilise pas moins de 24 tâches planifiées pour s'assurer de son exécution.

    Avant de s'attaquer à ce fichier, on va faire quelques vérifications plus en profondeur grace à Combofix.

    Télécharges ComboFix ici:
    http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    Et important, enregistre le sur le bureau.

    Avant d'utiliser ComboFix :

    ► Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

    ► Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.

    Une fois fait, sur ton bureau double-clic sur Combofix.exe.

    - Clique sur 'Oui au message d'avertissement pour que le programme commence à procéder à l'analyse du pc.

    /!\ Pendant toute la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

    - En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

    - Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt est automatiquement sauvegardé et rangé à C:\Combofix.txt

    ► Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

    ► Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

    @+ tard !
    0
  18. drago0607 Messages postés 150 Statut Membre 27
     
    bonsoir moe voici le rapport que tu ma demander

    ComboFix 08-02.05.3 - admin 2008-02-08 18:32:05.1 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.0.1252.1.1036.18.578 [GMT 1:00]
    Endroit: C:\Documents and Settings\admin\Bureau\ComboFix.exe
    * Création d'un nouveau point de restauration

    [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\WINDOWS\system32\config\48222766.Evt
    C:\Documents and Settings\admin\Local Settings\Application Data\urtxukj.dat
    C:\Documents and Settings\admin\Local Settings\Application Data\urtxukj.exe
    C:\Documents and Settings\admin\Local Settings\Application Data\urtxukj_nav.dat
    C:\Documents and Settings\admin\Local Settings\Application Data\urtxukj_navps.dat
    C:\WINDOWS\system32\config\48222766.Evt
    C:\WINDOWS\system32\nstD.dll

    .
    ((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

    .
    -------\asc3550p

    ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-01-08 to 2008-02-08 ))))))))))))))))))))))))))))))))))))
    .

    2008-02-08 10:49 . 2008-02-08 16:21 <REP> d-------- C:\Program Files\BoontyGames
    2008-02-08 10:49 . 2008-02-08 10:49 <REP> d-------- C:\Program Files\Boonty
    2008-02-08 00:04 . 2008-02-08 00:04 91,492 --a------ C:\WINDOWS\system32\drivers\klin.dat
    2008-02-08 00:04 . 2008-02-08 00:04 85,860 --a------ C:\WINDOWS\system32\drivers\klick.dat
    2008-02-08 00:03 . 2008-02-08 01:13 <REP> d-------- C:\Program Files\Lopxp
    2008-02-08 00:02 . 2008-02-08 00:02 <REP> d-------- C:\Program Files\Kaspersky Lab
    2008-02-08 00:02 . 2008-02-08 18:36 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab
    2008-02-08 00:02 . 2008-02-08 18:34 524,320 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
    2008-02-08 00:02 . 2008-02-08 18:35 32,288 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
    2008-02-08 00:02 . 2008-02-08 18:34 7,172 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
    2008-02-08 00:02 . 2008-02-08 18:34 4,076 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
    2008-02-07 19:27 . 2008-02-07 19:27 <REP> dr------- C:\Documents and Settings\NetworkService\Favoris
    2008-02-07 19:13 . 2008-02-07 19:13 <REP> d-------- C:\Program Files\Lavasoft
    2008-02-07 19:13 . 2008-02-07 19:14 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
    2008-02-07 19:12 . 2008-02-07 19:13 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
    2008-02-07 18:36 . 2008-02-07 18:36 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avg7
    2008-02-07 09:57 . 2008-02-07 09:57 <REP> d-------- C:\Program Files\Sunbelt Software
    2008-02-05 22:26 . 2008-02-05 22:26 <REP> d-------- C:\Program Files\Alwil Software
    2008-02-05 17:50 . 2008-02-07 18:32 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
    2008-02-05 17:45 . 2008-02-05 17:45 <REP> dr------- C:\Documents and Settings\LocalService\Favoris
    2008-02-05 17:16 . 2008-02-05 17:53 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
    2008-02-05 17:15 . 2005-09-23 07:29 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
    2008-02-05 15:49 . 2008-02-07 23:33 <REP> d-------- C:\Program Files\Google
    2008-02-05 07:15 . 2008-02-05 07:15 78,848 -rahs---- C:\WINDOWS\taskmon.exe
    2008-02-05 07:15 . 2008-02-08 16:23 18,368 --a------ C:\WINDOWS\system32\taskmon.sys
    2008-02-04 18:14 . 2008-02-04 18:13 28,224 --a------ C:\WINDOWS\system32\l1u3DR8T.exe
    2008-02-04 18:14 . 2008-02-04 18:14 166 --a------ C:\key.shm
    2008-02-04 17:56 . 2008-02-04 17:56 <REP> d---s---- C:\WINDOWS\system32\Microsoft
    2008-02-04 17:55 . 2008-02-04 17:55 80,090 --a------ C:\WINDOWS\system32\adssite-remove.exe
    2008-02-04 17:28 . 2008-02-04 17:28 78,848 --a------ C:\WINDOWS\system32\drivers\SSHDRV85.sys
    2008-02-04 17:00 . 2008-02-05 11:04 <REP> d-------- C:\Sacred
    2008-02-04 13:31 . 2008-02-04 13:31 62 --a------ C:\WINDOWS\yesmessenger.ini
    2008-02-04 13:10 . 2008-02-04 13:10 1,158 --a------ C:\WINDOWS\mozver.dat
    2008-02-03 18:48 . 2008-02-03 18:48 0 --a------ C:\WINDOWS\nsreg.dat
    2008-02-02 19:38 . 1996-11-06 12:04 302,592 --a------ C:\WINDOWS\unin040c.exe
    2008-02-02 19:38 . 1996-11-05 16:13 299,008 --a------ C:\WINDOWS\uninst.exe
    2008-02-01 23:47 . 2008-02-01 23:47 <REP> d-------- C:\Documents and Settings\admin\WINDOWS
    2008-02-01 23:47 . 1998-07-30 13:51 305,152 --a------ C:\WINDOWS\IsUninst.exe
    2008-02-01 23:45 . 2008-02-01 23:45 <REP> d-------- C:\WINDOWS\Desktop
    2008-02-01 22:41 . 2008-02-01 22:42 <REP> d-------- C:\Program Files\Soldier of Fortune II - Double Helix
    2008-02-01 22:40 . 2008-02-01 23:56 770 --a------ C:\WINDOWS\Sof2.INI
    2008-02-01 11:39 . 2008-02-02 20:40 664 --a------ C:\WINDOWS\system32\d3d9caps.dat
    2008-01-31 22:46 . 2008-01-31 22:46 <REP> d-------- C:\Program Files\Ubi Soft
    2008-01-31 22:45 . 2008-01-31 22:50 <REP> d--h----- C:\Program Files\Zero G Registry
    2008-01-31 22:45 . 2008-01-31 22:45 <REP> d--h----- C:\Documents and Settings\admin\InstallAnywhere
    2008-01-31 19:36 . 2008-02-07 19:58 17,536 --a------ C:\Documents and Settings\admin\Application Data\GDIPFONTCACHEV1.DAT
    2008-01-30 11:08 . 2008-01-30 11:08 <REP> d-------- C:\Program Files\Trend Micro
    2008-01-28 01:01 . 2008-02-07 11:02 116 --a------ C:\WINDOWS\NeroDigital.ini
    2008-01-27 18:48 . 2008-01-27 18:48 0 --a------ C:\WINDOWS\popcinfo.dat
    2008-01-27 18:08 . 2008-01-27 18:44 <REP> d-------- C:\Program Files\Zylom Games
    2008-01-27 18:08 . 2008-01-27 18:08 <REP> d-------- C:\Documents and Settings\admin\Application Data\Zylom
    2008-01-27 12:04 . 2008-01-27 12:04 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Zylom
    2008-01-27 11:36 . 2008-01-27 11:36 <REP> d-------- C:\Documents and Settings\admin\Application Data\Ahead
    2008-01-27 11:34 . 2008-01-27 11:34 <REP> d-------- C:\Program Files\Nero
    2008-01-27 11:34 . 2008-01-28 21:09 <REP> d-------- C:\Program Files\Fichiers communs\Ahead
    2008-01-27 01:59 . 2008-01-27 01:59 38 --a------ C:\WINDOWS\BELOTEXP.INI
    2008-01-27 01:26 . 2008-01-27 01:33 57 --a------ C:\WINDOWS\Bbt97.INI
    2008-01-27 01:21 . 2004-03-08 23:00 212,240 --a------ C:\WINDOWS\system32\RICHTX32.OCX
    2008-01-27 01:21 . 1998-12-02 08:11 143,360 --a------ C:\WINDOWS\system32\fsuz.dll
    2008-01-27 01:21 . 2004-03-08 23:00 132,880 --a------ C:\WINDOWS\system32\MSINET.OCX
    2008-01-27 01:21 . 2003-09-25 09:00 107,560 --a------ C:\WINDOWS\system32\CSWSK32.OCX
    2008-01-27 01:21 . 1996-08-05 11:00 92,160 -ra------ C:\WINDOWS\system32\grid32.ocx
    2008-01-27 01:21 . 2006-10-22 14:25 81,920 --a------ C:\WINDOWS\system32\GkSui20.EXE
    2008-01-27 01:21 . 2002-03-13 15:46 53,248 --a------ C:\WINDOWS\system32\zlib.dll
    2008-01-26 22:14 . 2008-01-26 22:14 <REP> d-------- C:\WINDOWS\system\iosubsys
    2008-01-26 22:14 . 2008-01-26 22:14 <REP> d-------- C:\Program Files\Casio
    2008-01-26 16:19 . 2008-01-26 16:19 9,728 --ahs---- C:\WINDOWS\system32\Thumbs.db
    2008-01-25 16:30 . 2008-01-25 16:30 <REP> d-------- C:\WINDOWS\Sun
    2008-01-24 22:04 . 2001-08-17 22:03 21,760 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys
    2008-01-23 23:26 . 2008-01-23 23:26 <REP> d-------- C:\Documents and Settings\admin\Application Data\eMule
    2008-01-23 23:25 . 2008-01-23 23:26 <REP> d-------- C:\Program Files\eMule
    2008-01-23 18:53 . 2008-01-31 19:46 <REP> d-------- C:\Documents and Settings\All Users\Application Data\nView_Profiles
    2008-01-23 13:06 . 2008-01-23 13:06 <REP> d-------- C:\Documents and Settings\admin\Application Data\vlc
    2008-01-23 13:05 . 2008-01-23 13:05 <REP> d-------- C:\Documents and Settings\admin\Application Data\DivX
    2008-01-23 13:04 . 2008-01-23 13:04 <REP> d-------- C:\Program Files\VideoLAN
    2008-01-23 13:01 . 2008-02-07 18:38 <REP> d-------- C:\Program Files\DivX
    2008-01-23 08:51 . 2002-12-12 01:34 208,896 --a------ C:\WINDOWS\system32\wmpns.dll
    2008-01-23 08:48 . 2002-12-17 15:40 753,664 --a--c--- C:\WINDOWS\system32\dllcache\setup_wm.exe
    2008-01-23 08:48 . 2002-12-14 17:41 192,512 --a--c--- C:\WINDOWS\system32\dllcache\unregmp2.exe
    2008-01-23 08:35 . 2008-02-07 11:22 <REP> d-------- C:\Documents and Settings\admin\Application Data\LimeWire
    2008-01-23 08:34 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
    2008-01-23 08:32 . 2008-01-23 13:18 <REP> d-------- C:\Program Files\Java
    2008-01-23 08:32 . 2008-01-23 08:32 <REP> d-------- C:\Program Files\Fichiers communs\Java
    2008-01-22 22:43 . 2008-01-22 22:43 <REP> d-------- C:\Documents and Settings\admin\Application Data\Grisoft
    2008-01-22 22:38 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
    2008-01-22 22:29 . 2008-01-22 22:30 <REP> d-------- C:\Program Files\CommentCaMarche
    2008-01-22 22:23 . 2008-02-07 18:36 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
    2008-01-22 22:23 . 2008-01-22 22:23 499,712 --a------ C:\WINDOWS\system32\msvcp71.dll
    2008-01-22 22:23 . 2008-01-22 22:23 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll
    2008-01-22 21:25 . 2008-01-22 21:25 <REP> d---s---- C:\Documents and Settings\admin\UserData
    2008-01-22 19:41 . 2008-01-22 19:41 984 --a------ C:\WINDOWS\system32\d3d8caps.dat
    2008-01-22 19:38 . 2008-01-22 19:38 <REP> d-------- C:\Program Files\directx
    2008-01-22 19:32 . 2008-01-22 19:39 <REP> d-------- C:\Program Files\VirtualDJ
    2008-01-22 19:27 . 2008-01-22 19:27 <REP> d-------- C:\WINDOWS\Nouveau dossier
    2008-01-22 19:27 . 2008-01-22 19:27 25,600 --ahs---- C:\WINDOWS\Thumbs.db
    2008-01-22 19:20 . 2008-01-22 19:20 <REP> d-------- C:\Documents and Settings\All Users\Application Data\NVIDIA
    2008-01-22 19:14 . 2008-01-28 11:13 <REP> d-------- C:\WINDOWS\nview
    2008-01-22 19:14 . 2008-01-22 19:14 <REP> d-------- C:\NVIDIA
    2008-01-22 19:14 . 2006-10-22 15:06 208,896 --a------ C:\WINDOWS\system32\NVUNINST.EXE
    2008-01-22 19:14 . 2006-10-22 12:22 208,896 --a------ C:\WINDOWS\system32\nvudisp.exe

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-01-31 22:01 12,528 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
    2008-01-22 16:44 --------- d-----w C:\Program Files\CCleaner
    2008-01-22 16:28 --------- d--h--w C:\Documents and Settings\All Users\Application Data\CanonBJ
    2008-01-22 16:13 --------- d-----w C:\Program Files\microsoft frontpage
    2008-01-22 16:10 --------- d-----w C:\Program Files\Fichiers communs\MSSoap
    2008-01-22 16:08 --------- d-----w C:\Program Files\Services en ligne
    2008-01-04 21:56 156,992 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe
    2007-12-21 14:39 10,752 ----a-w C:\WINDOWS\system32\WhoisCL.exe
    2007-12-17 23:44 219,664 ----a-w C:\WINDOWS\system32\klogon.dll
    2007-12-17 23:43 23,396 ----a-w C:\WINDOWS\system32\drivers\klopp.dat
    2007-12-14 10:32 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
    2007-12-13 12:28 24,592 ----a-w C:\WINDOWS\system32\drivers\klim5.sys
    .

    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2006-10-22 12:22 7700480]
    "AVP"="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" [2007-12-18 00:43 227856]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-08-28 20:00 13312]

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\!AVG Anti-Spyware]
    --a------ 2007-06-11 10:25 6731312 C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\platform 32]
    C:\DOCUME~1\admin\APPLIC~1\GLUEDE~1\mpegamen.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
    "AVG Anti-Spyware Guard"=2 (0x2)
    "avast! Web Scanner"=3 (0x3)
    "avast! Mail Scanner"=3 (0x3)
    "avast! Antivirus"=2 (0x2)
    "aswUpdSv"=2 (0x2)
    "aawservice"=2 (0x2)

    R1 SSHDRV85;SSHDRV85;C:\WINDOWS\System32\drivers\SSHDRV85.sys [2008-02-04 17:28]
    R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\System32\DRIVERS\klim5.sys [2007-12-13 13:28]
    R3 ZSMC211;USB PC Camera (ZS0211);C:\WINDOWS\System32\Drivers\ZS211.sys [2006-10-18 02:23]
    S3 taskmon.sys;taskmon.sys;C:\WINDOWS\System32\taskmon.sys [2008-02-08 16:23]

    *Newly Created Service* - ALG
    *Newly Created Service* - IPNAT
    .
    Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
    "2008-02-07 23:00:08 C:\WINDOWS\Tasks\At1.job"
    - C:\WINDOWS\System32\l1u3DR8T.exe
    "2008-02-06 08:00:03 C:\WINDOWS\Tasks\At10.job"
    - C:\WINDOWS\System32\l1u3DR8T.exe
    "2008-02-07 09:00:06 C:\WINDOWS\Tasks\At11.job"
    - C:\WINDOWS\System32\l1u3DR8T.exe
    "2008-02-07 10:00:24 C:\WINDOWS\Tasks\At12.job"
    - C:\WINDOWS\System32\l1u3DR8T.exe
    "2008-02-07 11:00:04 C:\WINDOWS\Tasks\At13.job"
    - C:\WINDOWS\System32\l1u3DR8T.exe
    "2008-02-05 12:00:31 C:\WINDOWS\Tasks\At14.job"
    - C:\WINDOWS\System32\l1u3DR8T.exe
    "2008-02-05 13:00:04 C:\WINDOWS\Tasks\At15.job"
    - C:\WINDOWS\System32\l1u3DR8T.exe
    "2008-02-05 14:00:03 C:\WINDOWS\Tasks\At16.job"
    - C:\WINDOWS\System32\l1u3DR8T.exe
    "2008-02-08 15:00:01 C:\WINDOWS\Tasks\At17.job"
    - C:\WINDOWS\System32\l1u3DR8T.exe
    "2008-02-08 16:00:01 C:\WINDOWS\Tasks\At18.job"
    - C:\WINDOWS\System32\l1u3DR8T.exe
    "2008-02-08 17:00:01 C:\WINDOWS\Tasks\At19.job"
    - C:\WINDOWS\System32\l1u3DR8T.exe
    "2008-02-08 00:00:02 C:\WINDOWS\Tasks\At2.job"
    - C:\WINDOWS\System32\l1u3DR8T.exe
    "2008-02-07 18:00:09 C:\WINDOWS\Tasks\At20.job"
    - C:\WINDOWS\System32\l1u3DR8T.exe
    "2008-02-07 19:00:04 C:\WINDOWS\Tasks\At21.job"
    - C:\WINDOWS\System32\l1u3DR8T.exe
    "2008-02-07 20:00:02 C:\WINDOWS\Tasks\At22.job"
    - C:\WINDOWS\System32\l1u3DR8T.exe
    "2008-02-07 21:00:11 C:\WINDOWS\Tasks\At23.job"
    - C:\WINDOWS\System32\l1u3DR8T.exe
    "2008-02-07 22:00:11 C:\WINDOWS\Tasks\At24.job"
    - C:\WINDOWS\System32\l1u3DR8T.exe
    "2008-02-08 01:00:02 C:\WINDOWS\Tasks\At3.job"
    - C:\WINDOWS\System32\l1u3DR8T.exe
    "2008-02-05 02:00:03 C:\WINDOWS\Tasks\At4.job"
    - C:\WINDOWS\System32\l1u3DR8T.exe
    "2008-02-05 03:00:03 C:\WINDOWS\Tasks\At5.job"
    - C:\WINDOWS\System32\l1u3DR8T.exe
    "2008-02-05 04:00:02 C:\WINDOWS\Tasks\At6.job"
    - C:\WINDOWS\System32\l1u3DR8T.exe
    "2008-02-05 05:00:03 C:\WINDOWS\Tasks\At7.job"
    - C:\WINDOWS\System32\l1u3DR8T.exe
    "2008-02-06 06:00:07 C:\WINDOWS\Tasks\At8.job"
    - C:\WINDOWS\System32\l1u3DR8T.exe
    "2008-02-06 07:00:03 C:\WINDOWS\Tasks\At9.job"
    - C:\WINDOWS\System32\l1u3DR8T.exe
    .
    **************************************************************************

    catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-02-08 18:36:12
    Windows 5.1.2600 NTFS

    Balayage processus cach‚s ...

    Balayage cach‚ autostart entries ...

    Balayage des fichiers cach‚s ...

    Scan termin‚ avec succŠs
    Les fichiers cach‚s: 0

    **************************************************************************
    .
    ------------------------ Other Running Processes ------------------------
    .
    C:\WINDOWS\System32\nvsvc32.exe
    .
    **************************************************************************
    .
    Temps d'accomplissement: 2008-02-08 18:37:50 - machine was rebooted
    ComboFix-quarantined-files.txt 2008-02-08 17:37:38
    0
  19. drago0607 Messages postés 150 Statut Membre 27
     
    Mon antivirus kaspersky vient de decouvrir 2 autre fichiers a soucis sur lesquelles ils semblerait y avoir un cheval de troi

    cheval de Troie Trojan-Proxy.Win32.Agent.xo Le fichier: c:\windows\system32\taskmon.sys

    cheval de Troie Trojan-Downloader.Win32.Firu.bc Le fichier: c:\windows\system32\l1u3dr8t.exe

    cheval de Troie Trojan-Proxy.Win32.Agent.zd Le fichier: C:\WINDOWS\taskmon.exe

    oulalalala que de probleme :(
    0
  20. moe
     
    Re,

    Je vais devoir m'absenter et je ne pourrais repasser que demain, donc je vais te laisser quelques manips à faire d'ici là, n'hésites pas à poster les différents rapports une fois que tu auras terminé.

    L'utilisation de combo n'a pas été vaine car en plus de t'avoir déjà supprimé une infection, on peut voir qu'il reste encore du ménage à faire et notament les fichiers que te détecte Kaspersky.

    Allez, c'est parti pour la première vague de nettoyage :-)

    Ouvre le Menu Démarrer > Exécuter
    Dans la boîte de dialogue, copie/colle tout ce qui est ci-dessous en gras :
    fsutil file createnew "%userprofile%\bureau\CFScript.txt" 0
    Puis valide

    Reviens sur ton bureau puis ouvre le fichier CFScript.txt
    Copie et colle à l'intérieur absolument tout ce qui est en bleu ci-dessous :
    Driver::
    taskmon.sys
    
    Filelook::
    C:\key.shm
    
    Dirlook::
    C:\WINDOWS\system32\Microsoft
    
    File::
    C:\key.shm
    C:\WINDOWS\taskmon.exe
    C:\WINDOWS\system32\taskmon.sys
    C:\WINDOWS\system32\l1u3DR8T.exe
    C:\WINDOWS\Tasks\At1.job
    C:\WINDOWS\Tasks\At2.job
    C:\WINDOWS\Tasks\At3.job
    C:\WINDOWS\Tasks\At4.job
    C:\WINDOWS\Tasks\At5.job
    C:\WINDOWS\Tasks\At6.job
    C:\WINDOWS\Tasks\At7.job
    C:\WINDOWS\Tasks\At8.job
    C:\WINDOWS\Tasks\At9.job
    C:\WINDOWS\Tasks\At10.job
    C:\WINDOWS\Tasks\At11.job
    C:\WINDOWS\Tasks\At12.job
    C:\WINDOWS\Tasks\At13.job
    C:\WINDOWS\Tasks\At14.job
    C:\WINDOWS\Tasks\At15.job
    C:\WINDOWS\Tasks\At16.job
    C:\WINDOWS\Tasks\At17.job
    C:\WINDOWS\Tasks\At18.job
    C:\WINDOWS\Tasks\At19.job
    C:\WINDOWS\Tasks\At20.job
    C:\WINDOWS\Tasks\At21.job
    C:\WINDOWS\Tasks\At22.job
    C:\WINDOWS\Tasks\At23.job
    C:\WINDOWS\Tasks\At24.job
    C:\WINDOWS\system32\adssite-remove.exe

    Dans le menu du bloc notes, clic ensuite sur 'Fichier' puis sur "Enregistrer"

    Referme le bloc notes, puis déplace et relache le fichier CFScript.txt qui se trouve sur le bureau sur l'icône de combofix.exe, exactement comme si tu voulais déposer ce fichier dans un dossier.
    Laisse ensuite bosser Combofix et poste le rapport qui sera généré.

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-

    Ensuite Télécharges SDFix ici:
    http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
    Et enregistre le sur le bureau.

    Sur ton bureau double clic sur SDFix.exe
    Laisse le chemin d'installation proposé par défaut et clic sur install.

    Redémarre en mode sans échec
    Redemarre le pc, laisse passer l'écran du bios, puis tapote sur la touche F8 à intervales réguliers (1 fois par secondes) avant qu'apparaisse l'écran de chargement de windows.
    Dans la menu qui apparaitra et à l'aide des flêches du clavier, mets en surbrillance "mode sans échec" et valide avec entrée.

    Une fois en mode sans échec:

    Ouvre le Poste de travail et double clic sur l'icône de ton disque C:\
    Dans le dossier SDFix double-clic sur RunThis.bat.
    Appuies sur la touche Y pour lancer le script.
    Après l'analyse et de retour en mode normal le fix terminera son travail et affichera Finished.
    Appuies sur une touche et copie/colle le contenu du fichier qui s'ouvrira dans le bloc notes, dans ta prochaine réponse.
    (Le fichier Report.txt généré, est sauvegardé dans le dossier C:\SDFix)

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-

    Et pour terminer, fais un Scan en ligne chez Bitdefender :
    https://www.bitdefender.fr/
    ( fonctionne uniquement sous Internet Explorer en acceptant l’ activeX)

    * En bas, à gauche de la fenêtre, clique sur "BitDefender SCAN ONLINE"
    * Dans la nouvelle fenêtre, clique sur "I agree" (Accepte la licence )
    Accepte et installe le contrôle ActivesX
    * La fenêtre change encore, clique sur "Click here to scan"
    * Les signatures se chargent, etc.

    En fin de scan, sauvegarde sur ton bureau le rapport au format TEXTE

    L'aide : https://www.malekal.com/scan-antivirus-ligne-nod32/

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-

    Poste dans ta prochaine réponse le rapport Combofix, Sdfix et le rapport Bitdefender

    Désolé mais je dois vraiment filer, chui à la bourre !

    @++ et bonne soirée à toi.
    0
    1. g!rly Messages postés 18462 Statut Contributeur 407
       
      Bonsoir moe,

      Pour suivre ;-)
      0
  21. drago0607 Messages postés 150 Statut Membre 27
     
    Merci merci merci merci
    Si je pouvais je t'epouserai (mort de rire)

    Allez action premier rapport celui de combofix.exe

    ComboFix 08-02.05.3 - admin 2008-02-08 23:10:15.2 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.0.1252.1.1036.18.524 [GMT 1:00]
    Endroit: C:\Documents and Settings\admin\Bureau\ComboFix.exe
    Command switches used :: C:\Documents and Settings\admin\Bureau\CFScript.txt
    * Création d'un nouveau point de restauration

    [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]

    FILE
    C:\key.shm
    C:\WINDOWS\system32\adssite-remove.exe
    C:\WINDOWS\system32\l1u3DR8T.exe
    C:\WINDOWS\system32\taskmon.sys
    C:\WINDOWS\taskmon.exe
    C:\WINDOWS\Tasks\At1.job
    C:\WINDOWS\Tasks\At10.job
    C:\WINDOWS\Tasks\At11.job
    C:\WINDOWS\Tasks\At12.job
    C:\WINDOWS\Tasks\At13.job
    C:\WINDOWS\Tasks\At14.job
    C:\WINDOWS\Tasks\At15.job
    C:\WINDOWS\Tasks\At16.job
    C:\WINDOWS\Tasks\At17.job
    C:\WINDOWS\Tasks\At18.job
    C:\WINDOWS\Tasks\At19.job
    C:\WINDOWS\Tasks\At2.job
    C:\WINDOWS\Tasks\At20.job
    C:\WINDOWS\Tasks\At21.job
    C:\WINDOWS\Tasks\At22.job
    C:\WINDOWS\Tasks\At23.job
    C:\WINDOWS\Tasks\At24.job
    C:\WINDOWS\Tasks\At3.job
    C:\WINDOWS\Tasks\At4.job
    C:\WINDOWS\Tasks\At5.job
    C:\WINDOWS\Tasks\At6.job
    C:\WINDOWS\Tasks\At7.job
    C:\WINDOWS\Tasks\At8.job
    C:\WINDOWS\Tasks\At9.job
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\key.shm
    C:\WINDOWS\system32\adssite-remove.exe
    C:\WINDOWS\system32\drivers\asc3550p.sys
    C:\WINDOWS\system32\l1u3DR8T.exe
    C:\WINDOWS\system32\taskmon.sys
    C:\WINDOWS\taskmon.exe
    C:\WINDOWS\Tasks\At1.job
    C:\WINDOWS\Tasks\At10.job
    C:\WINDOWS\Tasks\At11.job
    C:\WINDOWS\Tasks\At12.job
    C:\WINDOWS\Tasks\At13.job
    C:\WINDOWS\Tasks\At14.job
    C:\WINDOWS\Tasks\At15.job
    C:\WINDOWS\Tasks\At16.job
    C:\WINDOWS\Tasks\At17.job
    C:\WINDOWS\Tasks\At18.job
    C:\WINDOWS\Tasks\At19.job
    C:\WINDOWS\Tasks\At2.job
    C:\WINDOWS\Tasks\At20.job
    C:\WINDOWS\Tasks\At21.job
    C:\WINDOWS\Tasks\At22.job
    C:\WINDOWS\Tasks\At23.job
    C:\WINDOWS\Tasks\At24.job
    C:\WINDOWS\Tasks\At3.job
    C:\WINDOWS\Tasks\At4.job
    C:\WINDOWS\Tasks\At5.job
    C:\WINDOWS\Tasks\At6.job
    C:\WINDOWS\Tasks\At7.job
    C:\WINDOWS\Tasks\At8.job
    C:\WINDOWS\Tasks\At9.job

    .
    ((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

    .
    -------\LEGACY_TASKMON.SYS
    -------\taskmon.sys

    ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-01-08 to 2008-02-08 ))))))))))))))))))))))))))))))))))))
    .

    2008-02-08 10:49 . 2008-02-08 16:21 <REP> d-------- C:\Program Files\BoontyGames
    2008-02-08 10:49 . 2008-02-08 10:49 <REP> d-------- C:\Program Files\Boonty
    2008-02-08 00:04 . 2008-02-08 18:45 91,700 --a------ C:\WINDOWS\system32\drivers\klin.dat
    2008-02-08 00:04 . 2008-02-08 00:04 85,860 --a------ C:\WINDOWS\system32\drivers\klick.dat
    2008-02-08 00:03 . 2008-02-08 01:13 <REP> d-------- C:\Program Files\Lopxp
    2008-02-08 00:02 . 2008-02-08 00:02 <REP> d-------- C:\Program Files\Kaspersky Lab
    2008-02-08 00:02 . 2008-02-08 18:41 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab
    2008-02-08 00:02 . 2008-02-08 23:13 1,275,936 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
    2008-02-08 00:02 . 2008-02-08 23:13 39,200 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
    2008-02-08 00:02 . 2008-02-08 23:13 18,140 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
    2008-02-08 00:02 . 2008-02-08 23:13 4,724 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
    2008-02-07 19:27 . 2008-02-07 19:27 <REP> dr------- C:\Documents and Settings\NetworkService\Favoris
    2008-02-07 19:13 . 2008-02-07 19:13 <REP> d-------- C:\Program Files\Lavasoft
    2008-02-07 19:13 . 2008-02-07 19:14 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
    2008-02-07 19:12 . 2008-02-07 19:13 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
    2008-02-07 18:36 . 2008-02-07 18:36 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avg7
    2008-02-07 09:57 . 2008-02-07 09:57 <REP> d-------- C:\Program Files\Sunbelt Software
    2008-02-05 22:26 . 2008-02-05 22:26 <REP> d-------- C:\Program Files\Alwil Software
    2008-02-05 17:50 . 2008-02-07 18:32 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
    2008-02-05 17:45 . 2008-02-05 17:45 <REP> dr------- C:\Documents and Settings\LocalService\Favoris
    2008-02-05 17:16 . 2008-02-05 17:53 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
    2008-02-05 17:15 . 2005-09-23 07:29 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
    2008-02-05 15:49 . 2008-02-07 23:33 <REP> d-------- C:\Program Files\Google
    2008-02-04 17:56 . 2008-02-04 17:56 <REP> d---s---- C:\WINDOWS\system32\Microsoft
    2008-02-04 17:28 . 2008-02-04 17:28 78,848 --a------ C:\WINDOWS\system32\drivers\SSHDRV85.sys
    2008-02-04 17:00 . 2008-02-05 11:04 <REP> d-------- C:\Sacred
    2008-02-04 13:31 . 2008-02-04 13:31 62 --a------ C:\WINDOWS\yesmessenger.ini
    2008-02-04 13:10 . 2008-02-04 13:10 1,158 --a------ C:\WINDOWS\mozver.dat
    2008-02-03 18:48 . 2008-02-03 18:48 0 --a------ C:\WINDOWS\nsreg.dat
    2008-02-02 19:38 . 1996-11-06 12:04 302,592 --a------ C:\WINDOWS\unin040c.exe
    2008-02-02 19:38 . 1996-11-05 16:13 299,008 --a------ C:\WINDOWS\uninst.exe
    2008-02-01 23:47 . 2008-02-01 23:47 <REP> d-------- C:\Documents and Settings\admin\WINDOWS
    2008-02-01 23:47 . 1998-07-30 13:51 305,152 --a------ C:\WINDOWS\IsUninst.exe
    2008-02-01 23:45 . 2008-02-01 23:45 <REP> d-------- C:\WINDOWS\Desktop
    2008-02-01 22:41 . 2008-02-01 22:42 <REP> d-------- C:\Program Files\Soldier of Fortune II - Double Helix
    2008-02-01 22:40 . 2008-02-01 23:56 770 --a------ C:\WINDOWS\Sof2.INI
    2008-02-01 11:39 . 2008-02-02 20:40 664 --a------ C:\WINDOWS\system32\d3d9caps.dat
    2008-01-31 22:46 . 2008-01-31 22:46 <REP> d-------- C:\Program Files\Ubi Soft
    2008-01-31 22:45 . 2008-01-31 22:50 <REP> d--h----- C:\Program Files\Zero G Registry
    2008-01-31 22:45 . 2008-01-31 22:45 <REP> d--h----- C:\Documents and Settings\admin\InstallAnywhere
    2008-01-31 19:36 . 2008-02-07 19:58 17,536 --a------ C:\Documents and Settings\admin\Application Data\GDIPFONTCACHEV1.DAT
    2008-01-30 11:08 . 2008-01-30 11:08 <REP> d-------- C:\Program Files\Trend Micro
    2008-01-28 01:01 . 2008-02-07 11:02 116 --a------ C:\WINDOWS\NeroDigital.ini
    2008-01-27 18:48 . 2008-01-27 18:48 0 --a------ C:\WINDOWS\popcinfo.dat
    2008-01-27 18:08 . 2008-01-27 18:44 <REP> d-------- C:\Program Files\Zylom Games
    2008-01-27 18:08 . 2008-01-27 18:08 <REP> d-------- C:\Documents and Settings\admin\Application Data\Zylom
    2008-01-27 12:04 . 2008-01-27 12:04 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Zylom
    2008-01-27 11:36 . 2008-01-27 11:36 <REP> d-------- C:\Documents and Settings\admin\Application Data\Ahead
    2008-01-27 11:34 . 2008-01-27 11:34 <REP> d-------- C:\Program Files\Nero
    2008-01-27 11:34 . 2008-01-28 21:09 <REP> d-------- C:\Program Files\Fichiers communs\Ahead
    2008-01-27 01:59 . 2008-01-27 01:59 38 --a------ C:\WINDOWS\BELOTEXP.INI
    2008-01-27 01:26 . 2008-01-27 01:33 57 --a------ C:\WINDOWS\Bbt97.INI
    2008-01-27 01:21 . 2004-03-08 23:00 212,240 --a------ C:\WINDOWS\system32\RICHTX32.OCX
    2008-01-27 01:21 . 1998-12-02 08:11 143,360 --a------ C:\WINDOWS\system32\fsuz.dll
    2008-01-27 01:21 . 2004-03-08 23:00 132,880 --a------ C:\WINDOWS\system32\MSINET.OCX
    2008-01-27 01:21 . 2003-09-25 09:00 107,560 --a------ C:\WINDOWS\system32\CSWSK32.OCX
    2008-01-27 01:21 . 1996-08-05 11:00 92,160 -ra------ C:\WINDOWS\system32\grid32.ocx
    2008-01-27 01:21 . 2006-10-22 14:25 81,920 --a------ C:\WINDOWS\system32\GkSui20.EXE
    2008-01-27 01:21 . 2002-03-13 15:46 53,248 --a------ C:\WINDOWS\system32\zlib.dll
    2008-01-26 22:14 . 2008-01-26 22:14 <REP> d-------- C:\WINDOWS\system\iosubsys
    2008-01-26 22:14 . 2008-01-26 22:14 <REP> d-------- C:\Program Files\Casio
    2008-01-26 16:19 . 2008-01-26 16:19 9,728 --ahs---- C:\WINDOWS\system32\Thumbs.db
    2008-01-25 16:30 . 2008-01-25 16:30 <REP> d-------- C:\WINDOWS\Sun
    2008-01-24 22:04 . 2001-08-17 22:03 21,760 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys
    2008-01-23 23:26 . 2008-01-23 23:26 <REP> d-------- C:\Documents and Settings\admin\Application Data\eMule
    2008-01-23 23:25 . 2008-01-23 23:26 <REP> d-------- C:\Program Files\eMule
    2008-01-23 18:53 . 2008-01-31 19:46 <REP> d-------- C:\Documents and Settings\All Users\Application Data\nView_Profiles
    2008-01-23 13:06 . 2008-01-23 13:06 <REP> d-------- C:\Documents and Settings\admin\Application Data\vlc
    2008-01-23 13:05 . 2008-01-23 13:05 <REP> d-------- C:\Documents and Settings\admin\Application Data\DivX
    2008-01-23 13:04 . 2008-01-23 13:04 <REP> d-------- C:\Program Files\VideoLAN
    2008-01-23 13:01 . 2008-02-07 18:38 <REP> d-------- C:\Program Files\DivX
    2008-01-23 08:51 . 2002-12-12 01:34 208,896 --a------ C:\WINDOWS\system32\wmpns.dll
    2008-01-23 08:48 . 2002-12-17 15:40 753,664 --a--c--- C:\WINDOWS\system32\dllcache\setup_wm.exe
    2008-01-23 08:48 . 2002-12-14 17:41 192,512 --a--c--- C:\WINDOWS\system32\dllcache\unregmp2.exe
    2008-01-23 08:35 . 2008-02-07 11:22 <REP> d-------- C:\Documents and Settings\admin\Application Data\LimeWire
    2008-01-23 08:34 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
    2008-01-23 08:32 . 2008-01-23 13:18 <REP> d-------- C:\Program Files\Java
    2008-01-23 08:32 . 2008-01-23 08:32 <REP> d-------- C:\Program Files\Fichiers communs\Java
    2008-01-22 22:43 . 2008-01-22 22:43 <REP> d-------- C:\Documents and Settings\admin\Application Data\Grisoft
    2008-01-22 22:38 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
    2008-01-22 22:29 . 2008-01-22 22:30 <REP> d-------- C:\Program Files\CommentCaMarche
    2008-01-22 22:23 . 2008-02-07 18:36 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
    2008-01-22 22:23 . 2008-01-22 22:23 499,712 --a------ C:\WINDOWS\system32\msvcp71.dll
    2008-01-22 22:23 . 2008-01-22 22:23 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll
    2008-01-22 21:25 . 2008-01-22 21:25 <REP> d---s---- C:\Documents and Settings\admin\UserData
    2008-01-22 19:41 . 2008-01-22 19:41 984 --a------ C:\WINDOWS\system32\d3d8caps.dat
    2008-01-22 19:38 . 2008-01-22 19:38 <REP> d-------- C:\Program Files\directx
    2008-01-22 19:32 . 2008-01-22 19:39 <REP> d-------- C:\Program Files\VirtualDJ
    2008-01-22 19:27 . 2008-01-22 19:27 <REP> d-------- C:\WINDOWS\Nouveau dossier
    2008-01-22 19:27 . 2008-01-22 19:27 25,600 --ahs---- C:\WINDOWS\Thumbs.db
    2008-01-22 19:20 . 2008-01-22 19:20 <REP> d-------- C:\Documents and Settings\All Users\Application Data\NVIDIA
    2008-01-22 19:14 . 2008-01-28 11:13 <REP> d-------- C:\WINDOWS\nview
    2008-01-22 19:14 . 2008-01-22 19:14 <REP> d-------- C:\NVIDIA
    2008-01-22 19:14 . 2006-10-22 15:06 208,896 --a------ C:\WINDOWS\system32\NVUNINST.EXE
    2008-01-22 19:14 . 2006-10-22 12:22 208,896 --a------ C:\WINDOWS\system32\nvudisp.exe
    2008-01-22 19:14 . 2008-02-08 23:14 88,566 --a------ C:\WINDOWS\system32\nvapps.xml
    2008-01-22 19:14 . 2006-10-22 12:22 17,056 --a------ C:\WINDOWS\system32\nvdisp.nvu
    2008-01-22 19:08 . 2008-01-22 19:08 <REP> d-------- C:\WUTemp
    2008-01-22 19:08 . 2003-08-25 18:06 182,880 --a------ C:\WINDOWS\system32\iuengine.dll
    2008-01-22 19:08 . 2003-08-25 18:06 182,880 --a--c--- C:\WINDOWS\system32\dllcache\iuengine.dll

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-01-31 22:01 12,528 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
    2008-01-22 16:44 --------- d-----w C:\Program Files\CCleaner
    2008-01-22 16:28 --------- d--h--w C:\Documents and Settings\All Users\Application Data\CanonBJ
    2008-01-22 16:13 --------- d-----w C:\Program Files\microsoft frontpage
    2008-01-22 16:10 --------- d-----w C:\Program Files\Fichiers communs\MSSoap
    2008-01-22 16:08 --------- d-----w C:\Program Files\Services en ligne
    2008-01-04 21:56 156,992 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe
    2007-12-21 14:39 10,752 ----a-w C:\WINDOWS\system32\WhoisCL.exe
    2007-12-17 23:44 219,664 ----a-w C:\WINDOWS\system32\klogon.dll
    2007-12-17 23:43 23,396 ----a-w C:\WINDOWS\system32\drivers\klopp.dat
    2007-12-14 10:32 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
    2007-12-13 12:28 24,592 ----a-w C:\WINDOWS\system32\drivers\klim5.sys
    .

    (((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
    .

    - Not a PE file.

    ---- Directory of C:\WINDOWS\system32\Microsoft ----

    2008-02-04 17:56 388 --ahs---- C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\99d13609-cfa3-4ed8-809e-cc3629f2d1be
    2008-02-04 17:56 24 --ahs---- C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\Preferred

    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2006-10-22 12:22 7700480]
    "AVP"="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" [2007-12-18 00:43 227856]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-08-28 20:00 13312]

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\!AVG Anti-Spyware]
    --a------ 2007-06-11 10:25 6731312 C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\platform 32]
    C:\DOCUME~1\admin\APPLIC~1\GLUEDE~1\mpegamen.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
    "AVG Anti-Spyware Guard"=2 (0x2)
    "avast! Web Scanner"=3 (0x3)
    "avast! Mail Scanner"=3 (0x3)
    "avast! Antivirus"=2 (0x2)
    "aswUpdSv"=2 (0x2)
    "aawservice"=2 (0x2)

    R1 SSHDRV85;SSHDRV85;C:\WINDOWS\System32\drivers\SSHDRV85.sys [2008-02-04 17:28]
    R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\System32\DRIVERS\klim5.sys [2007-12-13 13:28]
    R3 ZSMC211;USB PC Camera (ZS0211);C:\WINDOWS\System32\Drivers\ZS211.sys [2006-10-18 02:23]

    .
    **************************************************************************

    catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-02-08 23:14:19
    Windows 5.1.2600 NTFS

    Balayage processus cach‚s ...

    Balayage cach‚ autostart entries ...

    Balayage des fichiers cach‚s ...

    Scan termin‚ avec succŠs
    Les fichiers cach‚s: 0

    **************************************************************************
    .
    ------------------------ Other Running Processes ------------------------
    .
    C:\WINDOWS\System32\nvsvc32.exe
    .
    **************************************************************************
    .
    Temps d'accomplissement: 2008-02-08 23:16:37 - machine was rebooted
    ComboFix-quarantined-files.txt 2008-02-08 22:16:26
    ComboFix2.txt 2008-02-08 17:37:51
    0
  • 1
  • 2
  • 3