Sujet Précédent Sujet Suivant

IEXPLORER virus ?????

Résolu/Fermé
drago0607 Messages postés 146 Date d'inscription lundi 21 janvier 2008 Statut Membre Dernière intervention 10 avril 2016 - 7 févr. 2008 à 23:42
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 - 20 avril 2008 à 16:10
Bonjour,
Voila mon petit probleme j'ai utilise bon nombre de logiciel de securite en tous genre , Avast, Avg, Spybot, Ad-aware, AVG anti spyware. Apres cela mon pc a l'air clean mais dans mon gestionnaire j'ai plein de processus appeler IEXPLORER.EXE qui me mange de memoire et l'UC j'ai beau les refermer sa revient sans cesse. Le parefeu sunbelt me bloque deux prog MPEGMANE.EXE et un autre du style URTUKE.EXE qui apres recherche son introuvable. Je ne sais plus quoi faire. SVP un petit conseil me serais tres utile.
Je transmet un log hijackthis si saa peu etre utile merci d'avance

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:39:49, on 07/02/2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7D9362F8-77D8-4b29-97B5-621D550890C0} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [platform 32] C:\DOCUME~1\admin\APPLIC~1\GLUEDE~1\mpegamen.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://cid-cec3165cd19bae0e.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://copainsdavant.linternaute.com/...
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game08.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
A voir également:

53 réponses

Réponse 1 / 53
moe
10 févr. 2008 à 23:51
Salut G!rly

Rien que çà... !? mdr

Pour ce soir se sera 6 sur les 9 (SnapShotB n'existe plus) si tu veux bien, ça marche pour toi ?
Les 3 autres étants plus complexe à expliquer et là je dois t'avouer que ce soir je n'ai plus assez de temps et suis trop crevé pour pouvoir entrer dans les détails et te les décrire précisément donc je préfère m'abstenir.

Je suppose que tu sais que l'emploi de certaines commandes dans une utilisation inadaptée peut engendrer de gros gros dégats et peuvent aussi être modifiées par l'auteur à tout moment...
Donc prudence toujours et bonne lecture :-)

@++


FileLook::

Permet à Combofix d'afficher dans le rapport les propriétés avancées d'un fichier d'extension exe, dll ou OCX
En cas de doute sur un fichier repéré dans le rapport, ça donne la possibilité d'avoir un aperçu de la légitimité d'un fichier et de pouvoir plus facilement déterminer s'il est utile de le faire analyser par exemple.

Contenu de CFscript.txt :

Filelook::
C:\SimCity 4.exe <- indiquer le chemin complet du fichier

Résultat dans le rapport ComboFix :

(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.

---- C:\SimCity 4.exe ----

Company: Maxis
File Description: SimCity 4
File Version: 1.1.610.0
Product Name:
Copyright: Copyright ¸ 2002 Maxis. All Rights Reserved
Original file name: SimCity 4.exe


DirLook::

Cette commande permet d'afficher dans le rapport le listing du contenu d'un dossier.
C'est à dire les fichiers qu'il contient ainsi que le contenu de tous ses sous-dossiers.

Contenu de CFscript.txt :

DirLook::
C:\SDFix <- indiquer le chemin complet du dossier

Résultat dans le rapport ComboFix :

(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.

---- Directory of C:\SDFix ----

2007-10-25 17:32 12334648 --a------ C:\SDFix\sav32sfx.exe
2007-10-23 02:32 94208 --a------ C:\SDFix\apps\Replace\XP.exe
2007-10-23 02:32 94208 --a------ C:\SDFix\apps\Replace\W2K.exe
2007-10-23 02:32 932 --a------ C:\SDFix\apps\FixWebCheck.reg
2007-10-23 02:32 90112 --a------ C:\SDFix\apps\RegDACL.exe
2007-10-23 02:32 8192 --a------ C:\SDFix\apps\RestartIt!.exe
2007-10-23 02:32 814 --a------ C:\SDFix\apps\HPFix.reg
2007-10-23 02:32 7599 --a------ C:\SDFix\apps\legacybk.txt
2007-10-23 02:32 7599 --a------ C:\SDFix\apps\legacy.txt
2007-10-23 02:32 6656 --a------ C:\SDFix\apps\MD5File.exe
2007-10-23 02:32 61440 --a------ C:\SDFix\apps\psservice.exe
2007-10-23 02:32 61440 --a------ C:\SDFix\apps\download.exe
2007-10-23 02:32 59200 --a------ C:\SDFix\apps\FIXLM.reg
2007-10-23 02:32 591 --a------ C:\SDFix\apps\FixRedir.reg
2007-10-23 02:32 5768 --a------ C:\SDFix\apps\Restore_SharedAccess.reg
2007-10-23 02:32 49152 --a------ C:\SDFix\apps\SF.exe
2007-10-23 02:32 49152 --a------ C:\SDFix\apps\LS.exe
2007-10-23 02:32 41472 --a------ C:\SDFix\apps\WINMSG.EXE
2007-10-23 02:32 4120 --a------ C:\SDFix\apps\fix.reg
2007-10-23 02:32 40960 --a------ C:\SDFix\apps\swsc.exe
2007-10-23 02:32 4090 --a------ C:\SDFix\apps\ERUNT.LOC
2007-10-23 02:32 38400 --a------ C:\SDFix\apps\moveex.exe
2007-10-23 02:32 376 --a------ C:\SDFix\apps\FixXPsp2.reg
2007-10-23 02:32 374 --a------ C:\SDFix\apps\MyGcpvFix.reg
...



ADS::

Cette commande permet de supprimer un flux ADS greffé sur un fichier porteur.

Un peu de lecture avant, pour se familiariser avec la bête :-) :
http://assiste.com.free.fr/p/abc/a/ads_alternate_data_stream.html
http://www.heysoft.de/nt/ntfs-ads.htm

Exemple:
Le fichier C:\Porteur.exe contient un flux nommé "qetchua"
(Souvent mentionnés de cette façon dans la plupart des rapport AV -> C:\Porteur.exe:qetchua )

Contenu de CFscript.txt :

ADS::
C:\Porteur.exe <- Seul le chemin et le nom du fichier porteur doivent être mentionnés mais pas le nom du flux.

Résultat dans le rapport ComboFix :

Running from: C:\Documents and Settings\bOo\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\bOo\Bureau\cfscript.txt
* Created a new restore point
.
[i] ADS - Porteur.exe: deleted 21 bytes in 1 streams./i <- L'ADS a bien été détecté et supprimé par ComboFix




NetSvc::

Cette commande permet de supprimer un service infectieux de la liste du groupe NetSvc, chargé par Svchost.exe:

Clé concerné:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost]
"NetSvc"

http://support.microsoft.com/kb/314056/fr

Exemple concret d'utilisation par Noahdfear ici :
https://forum.adaware.com/index.php?/topic/14404-got-an-adware-yesterday/#entry62817

Et d'un exemple récent ou il aurait pu être utilisé:
http://www.commentcamarche.net/forum/affich 4773527 virus#2

Contenu de CFscript.txt :

NetSvc::
ruupbrdg <- Seul le nom du service est accepté




killall::

Cette commande permet de tuer absolument tous les processus actifs, ceux des AV y compris.
Exceptés les processus vitaux à Windows et utiles à Combofix :

C:\Windows\explorer.exe
C:\Windows\system32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\dmadmin.exe
C:\Windows\system32\kmd.exe
C:\Combofix\catchme.cfexe

+ pour Vista

C:\Windows\system32\wininit.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\dwm.exe

Commande à placer en début de script, tel quel.


Contenu de CFscript.txt :

Killall::

File::
C:\virus_inconnu_en cours_d'utilisation.exe

Cette commande entrainera un reboot systématique du pc à la fin du scan de Combofix.




Suspect::

Cette commande permet de pouvoir collecter un fichier suspect/inconnu repéré dans le rapport en vue de le soumettre à l'équipe de Bleeping Computer pour analyse.

Contenu de CFscript.txt :

Suspect::
C:\bizaroïde.exe

Le fichier en question ne sera pas supprimé ni renommé, mais une copie zippé en sera faite et enregistrée sur le bureau, sous le nom :
[4]-Submit_aaaa-mm-jj@hh-mm.zip

Un formulaire d'upload (CF-Submit.html) sera alors proposé par le biais du navigateur et d'une page html, pour transmettre le fichier :
http://cjoint.com/data/ckxAULFjVY.htm
Le fichier CF-Submit.html présent sur le bureau, peut ensuite être supprimé.

La commande Collect:: très similaire à celle-ci, permet aussi de collecter un fichier à la différence que celui-ci sera supprimé de son emplacement (backupé ensuite dans le dossier C:\Qoobox\Quarantine) après que ComboFix en ait fait une copie zippé sur le bureau.
10
Réponse 2 / 53
Utilisateur anonyme
7 févr. 2008 à 23:44
IEXPLORER = Internet Explorer = Navigateur web
0
Réponse 3 / 53
drago0607 Messages postés 146 Date d'inscription lundi 21 janvier 2008 Statut Membre Dernière intervention 10 avril 2016 27
7 févr. 2008 à 23:46
Je sais mais pourquoi j'ai trois quatre processus qui se mette en route alors qu'internet explorer n'est pas ouvert et que cela me bouffe tous ma memoire ??
0
Réponse 4 / 53
Utilisateur anonyme
7 févr. 2008 à 23:53
peux etre que tu es espionné ou qu'un ou plusieurs téléchargements en fond de tache sont lancés...
Au bûcher les hérétiques!!!
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 53
drago0607 Messages postés 146 Date d'inscription lundi 21 janvier 2008 Statut Membre Dernière intervention 10 avril 2016 27
7 févr. 2008 à 23:57
Non rien de tous cela je ne fais strictement dans ces moments la
0
Réponse 6 / 53
Utilisateur anonyme
7 févr. 2008 à 23:59
LOGICIEL ESPION CONTROLE TA MACHINE ATTENTION!!!!
VIRUS SPYWARES!!!

BE CAREFULL
0
Réponse 7 / 53
moe
8 févr. 2008 à 00:01
Bonsoir drago0607

Effectivement il y a infection et l'utilisation des processus iexplore.exe détournée doit te générer des pubs à la volée.

→ Télécharge Lopxp et enregistres-le sur ton bureau.
http://sosvirus.changelog.fr/Green_day/Lopxpsetup.exe

Double clic sur le fichier Lopxpsetup.exe pour lancer l'installation.
Sur le bureau, double clic ensuite sur le raccourci nommé Lopxp, pour lancer le programme.
Dans le menu, choisis l'option 1 et valide avec la touche entrée.
Patiente un peu, en fin d'analyse il te sera demandé d'appuyer sur une touche pour faire apparaître le rapport, fais-le.

Copie et colle ensuite tous son contenu dans ta prochaine réponse.

@++
0
Réponse 8 / 53
drago0607 Messages postés 146 Date d'inscription lundi 21 janvier 2008 Statut Membre Dernière intervention 10 avril 2016 27
8 févr. 2008 à 00:07
Merci voici le rapoort lopxp

# Rapport Lopxp fait le 08/02/2008 à 0:03:37
# Exécuté dans : C:\Program Files\Lopxp
# Version 3.06 - Maj du 05/02/2008

Killing 'iexplore.exe'
"C:\Program Files\Internet Explorer\IEXPLORE.EXE" (3132)


========== Listing des dossiers Application Data

+- C:\Documents and Settings\admin\Application Data

2008-02-07 à 10:14:13 - Adobe
2008-01-27 à 10:36:19 - Ahead
2008-01-23 à 12:05:05 - DivX
2008-01-23 à 22:26:11 - eMule
2008-02-04 à 16:56:35 - glue dead
2008-02-05 à 16:13:49 - Google
2008-01-22 à 21:43:54 - Grisoft
2008-01-22 à 21:48:16 - Help
2008-01-27 à 17:08:51 - Identities
2008-01-22 à 17:59:55 - LGSync
2008-02-07 à 10:22:42 - LimeWire
2008-01-26 à 12:30:24 - Macromedia
2008-02-07 à 17:36:40 - Microsoft
2008-02-03 à 17:48:12 - Mozilla
2008-01-25 à 15:30:37 - Sun
2008-01-23 à 12:06:49 - vlc
2008-01-27 à 10:11:28 - WinRAR
2008-01-27 à 17:08:51 - Zylom

+- C:\Documents and Settings\admin\Local Settings\Application Data

2008-02-07 à 10:21:40 - Adobe
2008-01-28 à 00:14:32 - Ahead
2008-02-05 à 14:55:05 - Google
2008-01-22 à 21:48:16 - Help
2008-02-07 à 18:38:39 - Microsoft
2008-02-03 à 17:48:12 - Mozilla

+- C:\Documents and Settings\All Users\Application Data

2008-02-07 à 17:36:42 - Avg7
2008-01-22 à 16:28:02 - CanonBJ
2008-02-07 à 17:38:47 - Google
2008-02-07 à 17:36:20 - Grisoft
2008-02-07 à 23:02:31 - Kaspersky Lab
2008-02-07 à 18:14:42 - Lavasoft
2008-02-04 à 16:56:30 - mapi nurb bat remote
2008-02-01 à 15:39:17 - Microsoft
2008-01-22 à 18:20:12 - NVIDIA
2008-01-31 à 18:46:02 - nView_Profiles
2008-02-07 à 17:32:40 - Spybot - Search & Destroy
2008-02-05 à 16:53:02 - TEMP
2008-01-27 à 11:04:07 - Zylom

========== Listing du dossier Program Files

+- C:\Program Files

2008-02-07 à 10:11:45 - Adobe
2008-02-05 à 21:26:55 - Alwil Software
2008-01-26 à 21:14:02 - Casio
2008-01-22 à 16:44:24 - CCleaner
2008-01-22 à 21:30:13 - CommentCaMarche
2008-01-22 à 18:38:15 - directx
2008-02-07 à 17:38:30 - DivX
2008-01-23 à 22:26:50 - eMule
2008-02-07 à 18:12:59 - Fichiers communs
2008-02-07 à 22:33:33 - Google
2008-02-07 à 17:36:42 - Grisoft
2008-01-22 à 17:57:59 - InstallShield Installation Information
2008-01-22 à 16:11:34 - Internet Explorer
2008-01-23 à 12:18:30 - Java
2008-02-07 à 23:02:31 - Kaspersky Lab
2008-02-07 à 18:13:33 - Lavasoft
2008-01-22 à 17:58:37 - LGE GSM PC Sync
2008-02-07 à 23:04:01 - Lopxp
2008-02-03 à 21:02:04 - Messenger
2008-01-22 à 16:13:06 - microsoft frontpage
2008-01-22 à 16:35:52 - Microsoft Office
2008-01-22 à 16:10:50 - Movie Maker
2008-01-22 à 16:08:53 - MSN
2008-01-22 à 16:08:37 - MSN Gaming Zone
2008-01-22 à 17:24:25 - MSN Messenger
2008-01-27 à 10:34:13 - Nero
2008-01-22 à 16:10:19 - NetMeeting
2008-01-22 à 16:10:15 - Outlook Express
2008-01-22 à 16:08:53 - Services en ligne
2008-02-01 à 21:42:00 - Soldier of Fortune II - Double Helix
2008-02-07 à 08:57:45 - Sunbelt Software
2008-01-30 à 10:08:14 - Trend Micro
2008-01-31 à 21:46:12 - Ubi Soft
2008-01-22 à 16:18:36 - Uninstall Information
2008-01-23 à 12:04:25 - VideoLAN
2008-01-22 à 18:39:50 - VirtualDJ
2008-01-23 à 07:51:52 - Windows Media Player
2008-01-22 à 16:08:36 - Windows NT
2008-01-26 à 21:09:00 - WindowsUpdate
2008-02-01 à 15:32:44 - WinRAR
2008-01-22 à 16:13:06 - xerox
2008-01-31 à 21:50:16 - Zero G Registry
2008-01-27 à 17:44:44 - Zylom Games

========== Tâches planifiées

A02E24339189A14B.job: c:\docume~1\admin\applic~1\gluede~1\Media Wave Sect.exe
At1.job: C:\WINDOWS\System32\l1u3DR8T.exe
At10.job: C:\WINDOWS\System32\l1u3DR8T.exe
At11.job: C:\WINDOWS\System32\l1u3DR8T.exe
At12.job: C:\WINDOWS\System32\l1u3DR8T.exe
At13.job: C:\WINDOWS\System32\l1u3DR8T.exe
At14.job: C:\WINDOWS\System32\l1u3DR8T.exe
At15.job: C:\WINDOWS\System32\l1u3DR8T.exe
At16.job: C:\WINDOWS\System32\l1u3DR8T.exe
At17.job: C:\WINDOWS\System32\l1u3DR8T.exe
At18.job: C:\WINDOWS\System32\l1u3DR8T.exe
At19.job: C:\WINDOWS\System32\l1u3DR8T.exe
At2.job: C:\WINDOWS\System32\l1u3DR8T.exe
At20.job: C:\WINDOWS\System32\l1u3DR8T.exe
At21.job: C:\WINDOWS\System32\l1u3DR8T.exe
At22.job: C:\WINDOWS\System32\l1u3DR8T.exe
At23.job: C:\WINDOWS\System32\l1u3DR8T.exe
At24.job: C:\WINDOWS\System32\l1u3DR8T.exe
At3.job: C:\WINDOWS\System32\l1u3DR8T.exe
At4.job: C:\WINDOWS\System32\l1u3DR8T.exe
At5.job: C:\WINDOWS\System32\l1u3DR8T.exe
At6.job: C:\WINDOWS\System32\l1u3DR8T.exe
At7.job: C:\WINDOWS\System32\l1u3DR8T.exe
At8.job: C:\WINDOWS\System32\l1u3DR8T.exe
At9.job: C:\WINDOWS\System32\l1u3DR8T.exe

========== Clés registre

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"platform 32"="C:\DOCUME~1\admin\APPLIC~1\GLUEDE~1\mpegamen.exe"


========== Bloqueur popups Internet Explorer

Blocage des popups non géré par cette version du navigateur.

========== Suggestion ( /!\ Nécessite une interprétation.) ==========

C:\Documents and Settings\admin\Application Data\glue dead
C:\Documents and Settings\All Users\Application Data\mapi nurb bat remote
C:\WINDOWS\tasks\A02E24339189A14B.job

+- Registre:

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"platform 32"=-




- Fin du rapport -
0
Réponse 9 / 53
moe
8 févr. 2008 à 00:18
Ok, maintenant ouvre le menu demarrer, puis clic sur 'Exécuter'
Copie/colle la ligne suivante en gras dans la boîte de dialogue :
"%programfiles%\Lopxp\Lopxp.bat" /Fixme
puis valide.
Lopxp va se lancer et supprimer les fichiers/dossiers infecté, répond oui en tapant sur 'y' à toutes les demandes de confirmation de suppressions et poste le rapport.

@++
0
Réponse 10 / 53
drago0607 Messages postés 146 Date d'inscription lundi 21 janvier 2008 Statut Membre Dernière intervention 10 avril 2016 27
8 févr. 2008 à 00:24
encore merci voici donc le rapport

# Rapport Lopxp fait le 08/02/2008 à 0:20:52
# Exécuté dans : C:\Program Files\Lopxp
# Version 3.06 - Maj du 05/02/2008


========== FixLog ==========


+- C:\Documents and Settings\admin\Application Data\glue dead
Choix utilisateur : Suppression acceptée.
Déplacé avec succès.

+- C:\Documents and Settings\All Users\Application Data\mapi nurb bat remote
Choix utilisateur : Suppression acceptée.
Déplacé avec succès.

+- C:\WINDOWS\tasks\A02E24339189A14B.job
Choix utilisateur : Suppression acceptée.
Déplacé avec succès.

+- Registre :
Nettoyage effectué.

+- Fichiers temporaires :
Nettoyage effectué.



========== Listing des dossiers Application Data

+- C:\Documents and Settings\admin\Application Data

2008-02-07 à 10:14:13 - Adobe
2008-01-27 à 10:36:19 - Ahead
2008-01-23 à 12:05:05 - DivX
2008-01-23 à 22:26:11 - eMule
2008-02-05 à 16:13:49 - Google
2008-01-22 à 21:43:54 - Grisoft
2008-01-22 à 21:48:16 - Help
2008-01-27 à 17:08:51 - Identities
2008-01-22 à 17:59:55 - LGSync
2008-02-07 à 10:22:42 - LimeWire
2008-01-26 à 12:30:24 - Macromedia
2008-02-07 à 17:36:40 - Microsoft
2008-02-03 à 17:48:12 - Mozilla
2008-01-25 à 15:30:37 - Sun
2008-01-23 à 12:06:49 - vlc
2008-01-27 à 10:11:28 - WinRAR
2008-01-27 à 17:08:51 - Zylom

+- C:\Documents and Settings\admin\Local Settings\Application Data

2008-02-07 à 10:21:40 - Adobe
2008-01-28 à 00:14:32 - Ahead
2008-02-05 à 14:55:05 - Google
2008-01-22 à 21:48:16 - Help
2008-02-07 à 18:38:39 - Microsoft
2008-02-03 à 17:48:12 - Mozilla

+- C:\Documents and Settings\All Users\Application Data

2008-02-07 à 17:36:42 - Avg7
2008-01-22 à 16:28:02 - CanonBJ
2008-02-07 à 17:38:47 - Google
2008-02-07 à 17:36:20 - Grisoft
2008-02-07 à 23:02:31 - Kaspersky Lab
2008-02-07 à 18:14:42 - Lavasoft
2008-02-01 à 15:39:17 - Microsoft
2008-01-22 à 18:20:12 - NVIDIA
2008-01-31 à 18:46:02 - nView_Profiles
2008-02-07 à 17:32:40 - Spybot - Search & Destroy
2008-02-05 à 16:53:02 - TEMP
2008-01-27 à 11:04:07 - Zylom

========== Listing du dossier Program Files

+- C:\Program Files

2008-02-07 à 10:11:45 - Adobe
2008-02-05 à 21:26:55 - Alwil Software
2008-01-26 à 21:14:02 - Casio
2008-01-22 à 16:44:24 - CCleaner
2008-01-22 à 21:30:13 - CommentCaMarche
2008-01-22 à 18:38:15 - directx
2008-02-07 à 17:38:30 - DivX
2008-01-23 à 22:26:50 - eMule
2008-02-07 à 18:12:59 - Fichiers communs
2008-02-07 à 22:33:33 - Google
2008-02-07 à 17:36:42 - Grisoft
2008-01-22 à 17:57:59 - InstallShield Installation Information
2008-01-22 à 16:11:34 - Internet Explorer
2008-01-23 à 12:18:30 - Java
2008-02-07 à 23:02:31 - Kaspersky Lab
2008-02-07 à 18:13:33 - Lavasoft
2008-01-22 à 17:58:37 - LGE GSM PC Sync
2008-02-07 à 23:21:46 - Lopxp
2008-02-03 à 21:02:04 - Messenger
2008-01-22 à 16:13:06 - microsoft frontpage
2008-01-22 à 16:35:52 - Microsoft Office
2008-01-22 à 16:10:50 - Movie Maker
2008-01-22 à 16:08:53 - MSN
2008-01-22 à 16:08:37 - MSN Gaming Zone
2008-01-22 à 17:24:25 - MSN Messenger
2008-01-27 à 10:34:13 - Nero
2008-01-22 à 16:10:19 - NetMeeting
2008-01-22 à 16:10:15 - Outlook Express
2008-01-22 à 16:08:53 - Services en ligne
2008-02-01 à 21:42:00 - Soldier of Fortune II - Double Helix
2008-02-07 à 08:57:45 - Sunbelt Software
2008-01-30 à 10:08:14 - Trend Micro
2008-01-31 à 21:46:12 - Ubi Soft
2008-01-22 à 16:18:36 - Uninstall Information
2008-01-23 à 12:04:25 - VideoLAN
2008-01-22 à 18:39:50 - VirtualDJ
2008-01-23 à 07:51:52 - Windows Media Player
2008-01-22 à 16:08:36 - Windows NT
2008-01-26 à 21:09:00 - WindowsUpdate
2008-02-01 à 15:32:44 - WinRAR
2008-01-22 à 16:13:06 - xerox
2008-01-31 à 21:50:16 - Zero G Registry
2008-01-27 à 17:44:44 - Zylom Games

========== Tâches planifiées

At1.job: C:\WINDOWS\System32\l1u3DR8T.exe
At10.job: C:\WINDOWS\System32\l1u3DR8T.exe
At11.job: C:\WINDOWS\System32\l1u3DR8T.exe
At12.job: C:\WINDOWS\System32\l1u3DR8T.exe
At13.job: C:\WINDOWS\System32\l1u3DR8T.exe
At14.job: C:\WINDOWS\System32\l1u3DR8T.exe
At15.job: C:\WINDOWS\System32\l1u3DR8T.exe
At16.job: C:\WINDOWS\System32\l1u3DR8T.exe
At17.job: C:\WINDOWS\System32\l1u3DR8T.exe
At18.job: C:\WINDOWS\System32\l1u3DR8T.exe
At19.job: C:\WINDOWS\System32\l1u3DR8T.exe
At2.job: C:\WINDOWS\System32\l1u3DR8T.exe
At20.job: C:\WINDOWS\System32\l1u3DR8T.exe
At21.job: C:\WINDOWS\System32\l1u3DR8T.exe
At22.job: C:\WINDOWS\System32\l1u3DR8T.exe
At23.job: C:\WINDOWS\System32\l1u3DR8T.exe
At24.job: C:\WINDOWS\System32\l1u3DR8T.exe
At3.job: C:\WINDOWS\System32\l1u3DR8T.exe
At4.job: C:\WINDOWS\System32\l1u3DR8T.exe
At5.job: C:\WINDOWS\System32\l1u3DR8T.exe
At6.job: C:\WINDOWS\System32\l1u3DR8T.exe
At7.job: C:\WINDOWS\System32\l1u3DR8T.exe
At8.job: C:\WINDOWS\System32\l1u3DR8T.exe
At9.job: C:\WINDOWS\System32\l1u3DR8T.exe

========== Clés registre


========== Bloqueur popups Internet Explorer

Blocage des popups non géré par cette version du navigateur.

========== Suggestion ( /!\ Nécessite une interprétation.) ==========

+- Dossiers\Fichiers : Aucune suggestion.

+- Registre : Aucune suggestion.


- Fin du rapport -
0
Réponse 11 / 53
moe
8 févr. 2008 à 00:32
Parfait, maintenant tu ne devrais plus avoir de processus iexplore.exe superflus qui apparaissent dans le gestionnaire des taches, ni de pubs intempestives en surfant avec IE, tu confirmes ?

Je vais devoir déconnecter pour ce soir, je repasserais demain pour la suite.

En attendant,

Rend visible les fichiers cachés et système
Panneau de configuration > Options des dossiers > onglet Affichage
Coches la case devant "Afficher les fichiers et dossiers cachés"
Décoche la case devant "Masquer les fichiers protégés du système"
Clic sur [Appliquer] puis sur [ok] pour valider

Recherche manuellement ce fichier :
C:\WINDOWS\System32\l1u3DR8T.exe
et tu me diras demain si tu as pu le trouver ou pas.

Bonne fin de soirée/début de nuit.

@+=
0
Réponse 12 / 53
drago0607 Messages postés 146 Date d'inscription lundi 21 janvier 2008 Statut Membre Dernière intervention 10 avril 2016 27
8 févr. 2008 à 00:36
ok je me connecte demain des mon reveil en attendant ta reponse, oui je l'ai trouver manuellement sans trop de probleme
merci bcp moe pour ta patience est ta gentillesse a demain bonne fin de soiree et de debut de nuit a toi aussi
0
Réponse 13 / 53
moe
8 févr. 2008 à 12:22
Salut drago0607

Rends toi sur https://www.virustotal.com/gui/
Clique sur le bouton "Parcourir" puis recherche et selectionne :
C:\WINDOWS\System32\l1u3DR8T.exe
Valide et clique sur "Envoyer le fichier".
Patiente jusqu'à la fin de l'analyse puis surligne et copie et colle le résultat du scan.

@+ tard
0
Réponse 14 / 53
drago0607 Messages postés 146 Date d'inscription lundi 21 janvier 2008 Statut Membre Dernière intervention 10 avril 2016 27
8 févr. 2008 à 15:38
bonjour a toi moe

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 - - -
AntiVir - - TR/Crypt.ULPM.Gen
Authentium - - -
Avast - - -
AVG - - Downloader.Generic6.AGNB
BitDefender - - Trojan.Downloader.Firu.C
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - -
eSafe - - suspicious Trojan/Worm
eTrust-Vet - - -
Ewido - - -
FileAdvisor - - -
Fortinet - - -
F-Prot - - -
F-Secure - - W32/DLoader.FMBR
Ikarus - - Trojan-Downloader.Firu.C
Kaspersky - - Trojan-Downloader.Win32.Firu.bc
McAfee - - -
Microsoft - - Trojan:Win32/Bohmini.A
NOD32v2 - - a variant of Win32/TrojanDownloader.Firu
Norman - - W32/DLoader.FMBR
Panda - - Trj/Agent.HYB
Prevx1 - - Covert.Sys.Exec
Rising - - -
Sophos - - Mal/HckPk-A
Sunbelt - - -
Symantec - - -
TheHacker - - -
VBA32 - - -
VirusBuster - - -
Webwasher-Gateway - - Trojan.Crypt.ULPM.Gen
Information additionnelle
MD5: c9721522e431f95a32ec84d3edef49ad
SHA1: 28654e72fe729600e43a7070b066dcb1aa26a270
SHA256: fd5fa5c111da00f7cc34b3237d66692a3889dfcfd4a7e0d9a66b630624333f40
SHA512: a653ab6ed5affc891e003ff4d0f9283c1f37d280c948c8bb8691c6900eca2dde ecd573280ea47ecec0e689a0cea50891bae947cec616769dc6dccb6292337ffc
0
Réponse 15 / 53
drago0607 Messages postés 146 Date d'inscription lundi 21 janvier 2008 Statut Membre Dernière intervention 10 avril 2016 27
8 févr. 2008 à 15:41
petite nouveaute

Ecran bleu erreur

PAGE_FAULT_IN_NONPAGED_AREA

technique : 0x00000050 0xE33D1043 0x 000000000 0xF77D8AAF 0x00000001

Je ne sais pas si c'est liée ou pas

0
Réponse 16 / 53
moe
8 févr. 2008 à 18:02
Salut drago0607

Sincèrement je ne sais pas si l'écran bleu est lié, mais ce qui est sur c'est que ce fichier et à supprimer.
Si tu as lu le rapport lopxp, tu auras remarqué qu'il utilise pas moins de 24 tâches planifiées pour s'assurer de son exécution.

Avant de s'attaquer à ce fichier, on va faire quelques vérifications plus en profondeur grace à Combofix.

Télécharges ComboFix ici:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Et important, enregistre le sur le bureau.

Avant d'utiliser ComboFix :

► Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

► Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.

Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Clique sur 'Oui au message d'avertissement pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant toute la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt est automatiquement sauvegardé et rangé à C:\Combofix.txt

► Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

► Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

@+ tard !
0
Réponse 17 / 53
drago0607 Messages postés 146 Date d'inscription lundi 21 janvier 2008 Statut Membre Dernière intervention 10 avril 2016 27
8 févr. 2008 à 18:38
bonsoir moe voici le rapport que tu ma demander


ComboFix 08-02.05.3 - admin 2008-02-08 18:32:05.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.0.1252.1.1036.18.578 [GMT 1:00]
Endroit: C:\Documents and Settings\admin\Bureau\ComboFix.exe
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\config\48222766.Evt
C:\Documents and Settings\admin\Local Settings\Application Data\urtxukj.dat
C:\Documents and Settings\admin\Local Settings\Application Data\urtxukj.exe
C:\Documents and Settings\admin\Local Settings\Application Data\urtxukj_nav.dat
C:\Documents and Settings\admin\Local Settings\Application Data\urtxukj_navps.dat
C:\WINDOWS\system32\config\48222766.Evt
C:\WINDOWS\system32\nstD.dll

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\asc3550p


((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-01-08 to 2008-02-08 ))))))))))))))))))))))))))))))))))))
.

2008-02-08 10:49 . 2008-02-08 16:21 <REP> d-------- C:\Program Files\BoontyGames
2008-02-08 10:49 . 2008-02-08 10:49 <REP> d-------- C:\Program Files\Boonty
2008-02-08 00:04 . 2008-02-08 00:04 91,492 --a------ C:\WINDOWS\system32\drivers\klin.dat
2008-02-08 00:04 . 2008-02-08 00:04 85,860 --a------ C:\WINDOWS\system32\drivers\klick.dat
2008-02-08 00:03 . 2008-02-08 01:13 <REP> d-------- C:\Program Files\Lopxp
2008-02-08 00:02 . 2008-02-08 00:02 <REP> d-------- C:\Program Files\Kaspersky Lab
2008-02-08 00:02 . 2008-02-08 18:36 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab
2008-02-08 00:02 . 2008-02-08 18:34 524,320 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-02-08 00:02 . 2008-02-08 18:35 32,288 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2008-02-08 00:02 . 2008-02-08 18:34 7,172 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-02-08 00:02 . 2008-02-08 18:34 4,076 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2008-02-07 19:27 . 2008-02-07 19:27 <REP> dr------- C:\Documents and Settings\NetworkService\Favoris
2008-02-07 19:13 . 2008-02-07 19:13 <REP> d-------- C:\Program Files\Lavasoft
2008-02-07 19:13 . 2008-02-07 19:14 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-02-07 19:12 . 2008-02-07 19:13 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-02-07 18:36 . 2008-02-07 18:36 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avg7
2008-02-07 09:57 . 2008-02-07 09:57 <REP> d-------- C:\Program Files\Sunbelt Software
2008-02-05 22:26 . 2008-02-05 22:26 <REP> d-------- C:\Program Files\Alwil Software
2008-02-05 17:50 . 2008-02-07 18:32 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-02-05 17:45 . 2008-02-05 17:45 <REP> dr------- C:\Documents and Settings\LocalService\Favoris
2008-02-05 17:16 . 2008-02-05 17:53 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2008-02-05 17:15 . 2005-09-23 07:29 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2008-02-05 15:49 . 2008-02-07 23:33 <REP> d-------- C:\Program Files\Google
2008-02-05 07:15 . 2008-02-05 07:15 78,848 -rahs---- C:\WINDOWS\taskmon.exe
2008-02-05 07:15 . 2008-02-08 16:23 18,368 --a------ C:\WINDOWS\system32\taskmon.sys
2008-02-04 18:14 . 2008-02-04 18:13 28,224 --a------ C:\WINDOWS\system32\l1u3DR8T.exe
2008-02-04 18:14 . 2008-02-04 18:14 166 --a------ C:\key.shm
2008-02-04 17:56 . 2008-02-04 17:56 <REP> d---s---- C:\WINDOWS\system32\Microsoft
2008-02-04 17:55 . 2008-02-04 17:55 80,090 --a------ C:\WINDOWS\system32\adssite-remove.exe
2008-02-04 17:28 . 2008-02-04 17:28 78,848 --a------ C:\WINDOWS\system32\drivers\SSHDRV85.sys
2008-02-04 17:00 . 2008-02-05 11:04 <REP> d-------- C:\Sacred
2008-02-04 13:31 . 2008-02-04 13:31 62 --a------ C:\WINDOWS\yesmessenger.ini
2008-02-04 13:10 . 2008-02-04 13:10 1,158 --a------ C:\WINDOWS\mozver.dat
2008-02-03 18:48 . 2008-02-03 18:48 0 --a------ C:\WINDOWS\nsreg.dat
2008-02-02 19:38 . 1996-11-06 12:04 302,592 --a------ C:\WINDOWS\unin040c.exe
2008-02-02 19:38 . 1996-11-05 16:13 299,008 --a------ C:\WINDOWS\uninst.exe
2008-02-01 23:47 . 2008-02-01 23:47 <REP> d-------- C:\Documents and Settings\admin\WINDOWS
2008-02-01 23:47 . 1998-07-30 13:51 305,152 --a------ C:\WINDOWS\IsUninst.exe
2008-02-01 23:45 . 2008-02-01 23:45 <REP> d-------- C:\WINDOWS\Desktop
2008-02-01 22:41 . 2008-02-01 22:42 <REP> d-------- C:\Program Files\Soldier of Fortune II - Double Helix
2008-02-01 22:40 . 2008-02-01 23:56 770 --a------ C:\WINDOWS\Sof2.INI
2008-02-01 11:39 . 2008-02-02 20:40 664 --a------ C:\WINDOWS\system32\d3d9caps.dat
2008-01-31 22:46 . 2008-01-31 22:46 <REP> d-------- C:\Program Files\Ubi Soft
2008-01-31 22:45 . 2008-01-31 22:50 <REP> d--h----- C:\Program Files\Zero G Registry
2008-01-31 22:45 . 2008-01-31 22:45 <REP> d--h----- C:\Documents and Settings\admin\InstallAnywhere
2008-01-31 19:36 . 2008-02-07 19:58 17,536 --a------ C:\Documents and Settings\admin\Application Data\GDIPFONTCACHEV1.DAT
2008-01-30 11:08 . 2008-01-30 11:08 <REP> d-------- C:\Program Files\Trend Micro
2008-01-28 01:01 . 2008-02-07 11:02 116 --a------ C:\WINDOWS\NeroDigital.ini
2008-01-27 18:48 . 2008-01-27 18:48 0 --a------ C:\WINDOWS\popcinfo.dat
2008-01-27 18:08 . 2008-01-27 18:44 <REP> d-------- C:\Program Files\Zylom Games
2008-01-27 18:08 . 2008-01-27 18:08 <REP> d-------- C:\Documents and Settings\admin\Application Data\Zylom
2008-01-27 12:04 . 2008-01-27 12:04 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Zylom
2008-01-27 11:36 . 2008-01-27 11:36 <REP> d-------- C:\Documents and Settings\admin\Application Data\Ahead
2008-01-27 11:34 . 2008-01-27 11:34 <REP> d-------- C:\Program Files\Nero
2008-01-27 11:34 . 2008-01-28 21:09 <REP> d-------- C:\Program Files\Fichiers communs\Ahead
2008-01-27 01:59 . 2008-01-27 01:59 38 --a------ C:\WINDOWS\BELOTEXP.INI
2008-01-27 01:26 . 2008-01-27 01:33 57 --a------ C:\WINDOWS\Bbt97.INI
2008-01-27 01:21 . 2004-03-08 23:00 212,240 --a------ C:\WINDOWS\system32\RICHTX32.OCX
2008-01-27 01:21 . 1998-12-02 08:11 143,360 --a------ C:\WINDOWS\system32\fsuz.dll
2008-01-27 01:21 . 2004-03-08 23:00 132,880 --a------ C:\WINDOWS\system32\MSINET.OCX
2008-01-27 01:21 . 2003-09-25 09:00 107,560 --a------ C:\WINDOWS\system32\CSWSK32.OCX
2008-01-27 01:21 . 1996-08-05 11:00 92,160 -ra------ C:\WINDOWS\system32\grid32.ocx
2008-01-27 01:21 . 2006-10-22 14:25 81,920 --a------ C:\WINDOWS\system32\GkSui20.EXE
2008-01-27 01:21 . 2002-03-13 15:46 53,248 --a------ C:\WINDOWS\system32\zlib.dll
2008-01-26 22:14 . 2008-01-26 22:14 <REP> d-------- C:\WINDOWS\system\iosubsys
2008-01-26 22:14 . 2008-01-26 22:14 <REP> d-------- C:\Program Files\Casio
2008-01-26 16:19 . 2008-01-26 16:19 9,728 --ahs---- C:\WINDOWS\system32\Thumbs.db
2008-01-25 16:30 . 2008-01-25 16:30 <REP> d-------- C:\WINDOWS\Sun
2008-01-24 22:04 . 2001-08-17 22:03 21,760 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys
2008-01-23 23:26 . 2008-01-23 23:26 <REP> d-------- C:\Documents and Settings\admin\Application Data\eMule
2008-01-23 23:25 . 2008-01-23 23:26 <REP> d-------- C:\Program Files\eMule
2008-01-23 18:53 . 2008-01-31 19:46 <REP> d-------- C:\Documents and Settings\All Users\Application Data\nView_Profiles
2008-01-23 13:06 . 2008-01-23 13:06 <REP> d-------- C:\Documents and Settings\admin\Application Data\vlc
2008-01-23 13:05 . 2008-01-23 13:05 <REP> d-------- C:\Documents and Settings\admin\Application Data\DivX
2008-01-23 13:04 . 2008-01-23 13:04 <REP> d-------- C:\Program Files\VideoLAN
2008-01-23 13:01 . 2008-02-07 18:38 <REP> d-------- C:\Program Files\DivX
2008-01-23 08:51 . 2002-12-12 01:34 208,896 --a------ C:\WINDOWS\system32\wmpns.dll
2008-01-23 08:48 . 2002-12-17 15:40 753,664 --a--c--- C:\WINDOWS\system32\dllcache\setup_wm.exe
2008-01-23 08:48 . 2002-12-14 17:41 192,512 --a--c--- C:\WINDOWS\system32\dllcache\unregmp2.exe
2008-01-23 08:35 . 2008-02-07 11:22 <REP> d-------- C:\Documents and Settings\admin\Application Data\LimeWire
2008-01-23 08:34 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-01-23 08:32 . 2008-01-23 13:18 <REP> d-------- C:\Program Files\Java
2008-01-23 08:32 . 2008-01-23 08:32 <REP> d-------- C:\Program Files\Fichiers communs\Java
2008-01-22 22:43 . 2008-01-22 22:43 <REP> d-------- C:\Documents and Settings\admin\Application Data\Grisoft
2008-01-22 22:38 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2008-01-22 22:29 . 2008-01-22 22:30 <REP> d-------- C:\Program Files\CommentCaMarche
2008-01-22 22:23 . 2008-02-07 18:36 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2008-01-22 22:23 . 2008-01-22 22:23 499,712 --a------ C:\WINDOWS\system32\msvcp71.dll
2008-01-22 22:23 . 2008-01-22 22:23 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll
2008-01-22 21:25 . 2008-01-22 21:25 <REP> d---s---- C:\Documents and Settings\admin\UserData
2008-01-22 19:41 . 2008-01-22 19:41 984 --a------ C:\WINDOWS\system32\d3d8caps.dat
2008-01-22 19:38 . 2008-01-22 19:38 <REP> d-------- C:\Program Files\directx
2008-01-22 19:32 . 2008-01-22 19:39 <REP> d-------- C:\Program Files\VirtualDJ
2008-01-22 19:27 . 2008-01-22 19:27 <REP> d-------- C:\WINDOWS\Nouveau dossier
2008-01-22 19:27 . 2008-01-22 19:27 25,600 --ahs---- C:\WINDOWS\Thumbs.db
2008-01-22 19:20 . 2008-01-22 19:20 <REP> d-------- C:\Documents and Settings\All Users\Application Data\NVIDIA
2008-01-22 19:14 . 2008-01-28 11:13 <REP> d-------- C:\WINDOWS\nview
2008-01-22 19:14 . 2008-01-22 19:14 <REP> d-------- C:\NVIDIA
2008-01-22 19:14 . 2006-10-22 15:06 208,896 --a------ C:\WINDOWS\system32\NVUNINST.EXE
2008-01-22 19:14 . 2006-10-22 12:22 208,896 --a------ C:\WINDOWS\system32\nvudisp.exe

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-31 22:01 12,528 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2008-01-22 16:44 --------- d-----w C:\Program Files\CCleaner
2008-01-22 16:28 --------- d--h--w C:\Documents and Settings\All Users\Application Data\CanonBJ
2008-01-22 16:13 --------- d-----w C:\Program Files\microsoft frontpage
2008-01-22 16:10 --------- d-----w C:\Program Files\Fichiers communs\MSSoap
2008-01-22 16:08 --------- d-----w C:\Program Files\Services en ligne
2008-01-04 21:56 156,992 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2007-12-21 14:39 10,752 ----a-w C:\WINDOWS\system32\WhoisCL.exe
2007-12-17 23:44 219,664 ----a-w C:\WINDOWS\system32\klogon.dll
2007-12-17 23:43 23,396 ----a-w C:\WINDOWS\system32\drivers\klopp.dat
2007-12-14 10:32 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
2007-12-13 12:28 24,592 ----a-w C:\WINDOWS\system32\drivers\klim5.sys
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2006-10-22 12:22 7700480]
"AVP"="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" [2007-12-18 00:43 227856]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-08-28 20:00 13312]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\!AVG Anti-Spyware]
--a------ 2007-06-11 10:25 6731312 C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\platform 32]
C:\DOCUME~1\admin\APPLIC~1\GLUEDE~1\mpegamen.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"AVG Anti-Spyware Guard"=2 (0x2)
"avast! Web Scanner"=3 (0x3)
"avast! Mail Scanner"=3 (0x3)
"avast! Antivirus"=2 (0x2)
"aswUpdSv"=2 (0x2)
"aawservice"=2 (0x2)

R1 SSHDRV85;SSHDRV85;C:\WINDOWS\System32\drivers\SSHDRV85.sys [2008-02-04 17:28]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\System32\DRIVERS\klim5.sys [2007-12-13 13:28]
R3 ZSMC211;USB PC Camera (ZS0211);C:\WINDOWS\System32\Drivers\ZS211.sys [2006-10-18 02:23]
S3 taskmon.sys;taskmon.sys;C:\WINDOWS\System32\taskmon.sys [2008-02-08 16:23]

*Newly Created Service* - ALG
*Newly Created Service* - IPNAT
.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-02-07 23:00:08 C:\WINDOWS\Tasks\At1.job"
- C:\WINDOWS\System32\l1u3DR8T.exe
"2008-02-06 08:00:03 C:\WINDOWS\Tasks\At10.job"
- C:\WINDOWS\System32\l1u3DR8T.exe
"2008-02-07 09:00:06 C:\WINDOWS\Tasks\At11.job"
- C:\WINDOWS\System32\l1u3DR8T.exe
"2008-02-07 10:00:24 C:\WINDOWS\Tasks\At12.job"
- C:\WINDOWS\System32\l1u3DR8T.exe
"2008-02-07 11:00:04 C:\WINDOWS\Tasks\At13.job"
- C:\WINDOWS\System32\l1u3DR8T.exe
"2008-02-05 12:00:31 C:\WINDOWS\Tasks\At14.job"
- C:\WINDOWS\System32\l1u3DR8T.exe
"2008-02-05 13:00:04 C:\WINDOWS\Tasks\At15.job"
- C:\WINDOWS\System32\l1u3DR8T.exe
"2008-02-05 14:00:03 C:\WINDOWS\Tasks\At16.job"
- C:\WINDOWS\System32\l1u3DR8T.exe
"2008-02-08 15:00:01 C:\WINDOWS\Tasks\At17.job"
- C:\WINDOWS\System32\l1u3DR8T.exe
"2008-02-08 16:00:01 C:\WINDOWS\Tasks\At18.job"
- C:\WINDOWS\System32\l1u3DR8T.exe
"2008-02-08 17:00:01 C:\WINDOWS\Tasks\At19.job"
- C:\WINDOWS\System32\l1u3DR8T.exe
"2008-02-08 00:00:02 C:\WINDOWS\Tasks\At2.job"
- C:\WINDOWS\System32\l1u3DR8T.exe
"2008-02-07 18:00:09 C:\WINDOWS\Tasks\At20.job"
- C:\WINDOWS\System32\l1u3DR8T.exe
"2008-02-07 19:00:04 C:\WINDOWS\Tasks\At21.job"
- C:\WINDOWS\System32\l1u3DR8T.exe
"2008-02-07 20:00:02 C:\WINDOWS\Tasks\At22.job"
- C:\WINDOWS\System32\l1u3DR8T.exe
"2008-02-07 21:00:11 C:\WINDOWS\Tasks\At23.job"
- C:\WINDOWS\System32\l1u3DR8T.exe
"2008-02-07 22:00:11 C:\WINDOWS\Tasks\At24.job"
- C:\WINDOWS\System32\l1u3DR8T.exe
"2008-02-08 01:00:02 C:\WINDOWS\Tasks\At3.job"
- C:\WINDOWS\System32\l1u3DR8T.exe
"2008-02-05 02:00:03 C:\WINDOWS\Tasks\At4.job"
- C:\WINDOWS\System32\l1u3DR8T.exe
"2008-02-05 03:00:03 C:\WINDOWS\Tasks\At5.job"
- C:\WINDOWS\System32\l1u3DR8T.exe
"2008-02-05 04:00:02 C:\WINDOWS\Tasks\At6.job"
- C:\WINDOWS\System32\l1u3DR8T.exe
"2008-02-05 05:00:03 C:\WINDOWS\Tasks\At7.job"
- C:\WINDOWS\System32\l1u3DR8T.exe
"2008-02-06 06:00:07 C:\WINDOWS\Tasks\At8.job"
- C:\WINDOWS\System32\l1u3DR8T.exe
"2008-02-06 07:00:03 C:\WINDOWS\Tasks\At9.job"
- C:\WINDOWS\System32\l1u3DR8T.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-08 18:36:12
Windows 5.1.2600 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\System32\nvsvc32.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-02-08 18:37:50 - machine was rebooted
ComboFix-quarantined-files.txt 2008-02-08 17:37:38
0
Réponse 18 / 53
drago0607 Messages postés 146 Date d'inscription lundi 21 janvier 2008 Statut Membre Dernière intervention 10 avril 2016 27
8 févr. 2008 à 18:54
Mon antivirus kaspersky vient de decouvrir 2 autre fichiers a soucis sur lesquelles ils semblerait y avoir un cheval de troi


cheval de Troie Trojan-Proxy.Win32.Agent.xo Le fichier: c:\windows\system32\taskmon.sys

cheval de Troie Trojan-Downloader.Win32.Firu.bc Le fichier: c:\windows\system32\l1u3dr8t.exe

cheval de Troie Trojan-Proxy.Win32.Agent.zd Le fichier: C:\WINDOWS\taskmon.exe


oulalalala que de probleme :(
0
Réponse 19 / 53
moe
8 févr. 2008 à 19:38
Re,

Je vais devoir m'absenter et je ne pourrais repasser que demain, donc je vais te laisser quelques manips à faire d'ici là, n'hésites pas à poster les différents rapports une fois que tu auras terminé.

L'utilisation de combo n'a pas été vaine car en plus de t'avoir déjà supprimé une infection, on peut voir qu'il reste encore du ménage à faire et notament les fichiers que te détecte Kaspersky.

Allez, c'est parti pour la première vague de nettoyage :-)

Ouvre le Menu Démarrer > Exécuter
Dans la boîte de dialogue, copie/colle tout ce qui est ci-dessous en gras :
fsutil file createnew "%userprofile%\bureau\CFScript.txt" 0
Puis valide

Reviens sur ton bureau puis ouvre le fichier CFScript.txt
Copie et colle à l'intérieur absolument tout ce qui est en bleu ci-dessous : 
Driver::
taskmon.sys

Filelook::
C:\key.shm

Dirlook::
C:\WINDOWS\system32\Microsoft

File::
C:\key.shm
C:\WINDOWS\taskmon.exe
C:\WINDOWS\system32\taskmon.sys
C:\WINDOWS\system32\l1u3DR8T.exe
C:\WINDOWS\Tasks\At1.job
C:\WINDOWS\Tasks\At2.job
C:\WINDOWS\Tasks\At3.job
C:\WINDOWS\Tasks\At4.job
C:\WINDOWS\Tasks\At5.job
C:\WINDOWS\Tasks\At6.job
C:\WINDOWS\Tasks\At7.job
C:\WINDOWS\Tasks\At8.job
C:\WINDOWS\Tasks\At9.job
C:\WINDOWS\Tasks\At10.job
C:\WINDOWS\Tasks\At11.job
C:\WINDOWS\Tasks\At12.job
C:\WINDOWS\Tasks\At13.job
C:\WINDOWS\Tasks\At14.job
C:\WINDOWS\Tasks\At15.job
C:\WINDOWS\Tasks\At16.job
C:\WINDOWS\Tasks\At17.job
C:\WINDOWS\Tasks\At18.job
C:\WINDOWS\Tasks\At19.job
C:\WINDOWS\Tasks\At20.job
C:\WINDOWS\Tasks\At21.job
C:\WINDOWS\Tasks\At22.job
C:\WINDOWS\Tasks\At23.job
C:\WINDOWS\Tasks\At24.job
C:\WINDOWS\system32\adssite-remove.exe

Dans le menu du bloc notes, clic ensuite sur 'Fichier' puis sur "Enregistrer"

Referme le bloc notes, puis déplace et relache le fichier CFScript.txt qui se trouve sur le bureau sur l'icône de combofix.exe, exactement comme si tu voulais déposer ce fichier dans un dossier.
Laisse ensuite bosser Combofix et poste le rapport qui sera généré.

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-

Ensuite Télécharges SDFix ici:
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Et enregistre le sur le bureau.

Sur ton bureau double clic sur SDFix.exe
Laisse le chemin d'installation proposé par défaut et clic sur install.

Redémarre en mode sans échec
Redemarre le pc, laisse passer l'écran du bios, puis tapote sur la touche F8 à intervales réguliers (1 fois par secondes) avant qu'apparaisse l'écran de chargement de windows.
Dans la menu qui apparaitra et à l'aide des flêches du clavier, mets en surbrillance "mode sans échec" et valide avec entrée.

Une fois en mode sans échec:

Ouvre le Poste de travail et double clic sur l'icône de ton disque C:\
Dans le dossier SDFix double-clic sur RunThis.bat.
Appuies sur la touche Y pour lancer le script.
Après l'analyse et de retour en mode normal le fix terminera son travail et affichera Finished.
Appuies sur une touche et copie/colle le contenu du fichier qui s'ouvrira dans le bloc notes, dans ta prochaine réponse.
(Le fichier Report.txt généré, est sauvegardé dans le dossier C:\SDFix)

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-

Et pour terminer, fais un Scan en ligne chez Bitdefender :
https://www.bitdefender.fr/
( fonctionne uniquement sous Internet Explorer en acceptant l’ activeX)

* En bas, à gauche de la fenêtre, clique sur "BitDefender SCAN ONLINE"
* Dans la nouvelle fenêtre, clique sur "I agree" (Accepte la licence )
Accepte et installe le contrôle ActivesX
* La fenêtre change encore, clique sur "Click here to scan"
* Les signatures se chargent, etc.

En fin de scan, sauvegarde sur ton bureau le rapport au format TEXTE

L'aide : https://www.malekal.com/scan-antivirus-ligne-nod32/

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-

Poste dans ta prochaine réponse le rapport Combofix, Sdfix et le rapport Bitdefender

Désolé mais je dois vraiment filer, chui à la bourre !

@++ et bonne soirée à toi.
0
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
8 févr. 2008 à 23:24
Bonsoir moe,

Pour suivre ;-)
0
Réponse 20 / 53
drago0607 Messages postés 146 Date d'inscription lundi 21 janvier 2008 Statut Membre Dernière intervention 10 avril 2016 27
8 févr. 2008 à 23:19
Merci merci merci merci
Si je pouvais je t'epouserai (mort de rire)

Allez action premier rapport celui de combofix.exe

ComboFix 08-02.05.3 - admin 2008-02-08 23:10:15.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.0.1252.1.1036.18.524 [GMT 1:00]
Endroit: C:\Documents and Settings\admin\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\admin\Bureau\CFScript.txt
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]

FILE
C:\key.shm
C:\WINDOWS\system32\adssite-remove.exe
C:\WINDOWS\system32\l1u3DR8T.exe
C:\WINDOWS\system32\taskmon.sys
C:\WINDOWS\taskmon.exe
C:\WINDOWS\Tasks\At1.job
C:\WINDOWS\Tasks\At10.job
C:\WINDOWS\Tasks\At11.job
C:\WINDOWS\Tasks\At12.job
C:\WINDOWS\Tasks\At13.job
C:\WINDOWS\Tasks\At14.job
C:\WINDOWS\Tasks\At15.job
C:\WINDOWS\Tasks\At16.job
C:\WINDOWS\Tasks\At17.job
C:\WINDOWS\Tasks\At18.job
C:\WINDOWS\Tasks\At19.job
C:\WINDOWS\Tasks\At2.job
C:\WINDOWS\Tasks\At20.job
C:\WINDOWS\Tasks\At21.job
C:\WINDOWS\Tasks\At22.job
C:\WINDOWS\Tasks\At23.job
C:\WINDOWS\Tasks\At24.job
C:\WINDOWS\Tasks\At3.job
C:\WINDOWS\Tasks\At4.job
C:\WINDOWS\Tasks\At5.job
C:\WINDOWS\Tasks\At6.job
C:\WINDOWS\Tasks\At7.job
C:\WINDOWS\Tasks\At8.job
C:\WINDOWS\Tasks\At9.job
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\key.shm
C:\WINDOWS\system32\adssite-remove.exe
C:\WINDOWS\system32\drivers\asc3550p.sys
C:\WINDOWS\system32\l1u3DR8T.exe
C:\WINDOWS\system32\taskmon.sys
C:\WINDOWS\taskmon.exe
C:\WINDOWS\Tasks\At1.job
C:\WINDOWS\Tasks\At10.job
C:\WINDOWS\Tasks\At11.job
C:\WINDOWS\Tasks\At12.job
C:\WINDOWS\Tasks\At13.job
C:\WINDOWS\Tasks\At14.job
C:\WINDOWS\Tasks\At15.job
C:\WINDOWS\Tasks\At16.job
C:\WINDOWS\Tasks\At17.job
C:\WINDOWS\Tasks\At18.job
C:\WINDOWS\Tasks\At19.job
C:\WINDOWS\Tasks\At2.job
C:\WINDOWS\Tasks\At20.job
C:\WINDOWS\Tasks\At21.job
C:\WINDOWS\Tasks\At22.job
C:\WINDOWS\Tasks\At23.job
C:\WINDOWS\Tasks\At24.job
C:\WINDOWS\Tasks\At3.job
C:\WINDOWS\Tasks\At4.job
C:\WINDOWS\Tasks\At5.job
C:\WINDOWS\Tasks\At6.job
C:\WINDOWS\Tasks\At7.job
C:\WINDOWS\Tasks\At8.job
C:\WINDOWS\Tasks\At9.job

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_TASKMON.SYS
-------\taskmon.sys


((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-01-08 to 2008-02-08 ))))))))))))))))))))))))))))))))))))
.

2008-02-08 10:49 . 2008-02-08 16:21 <REP> d-------- C:\Program Files\BoontyGames
2008-02-08 10:49 . 2008-02-08 10:49 <REP> d-------- C:\Program Files\Boonty
2008-02-08 00:04 . 2008-02-08 18:45 91,700 --a------ C:\WINDOWS\system32\drivers\klin.dat
2008-02-08 00:04 . 2008-02-08 00:04 85,860 --a------ C:\WINDOWS\system32\drivers\klick.dat
2008-02-08 00:03 . 2008-02-08 01:13 <REP> d-------- C:\Program Files\Lopxp
2008-02-08 00:02 . 2008-02-08 00:02 <REP> d-------- C:\Program Files\Kaspersky Lab
2008-02-08 00:02 . 2008-02-08 18:41 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab
2008-02-08 00:02 . 2008-02-08 23:13 1,275,936 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-02-08 00:02 . 2008-02-08 23:13 39,200 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2008-02-08 00:02 . 2008-02-08 23:13 18,140 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-02-08 00:02 . 2008-02-08 23:13 4,724 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2008-02-07 19:27 . 2008-02-07 19:27 <REP> dr------- C:\Documents and Settings\NetworkService\Favoris
2008-02-07 19:13 . 2008-02-07 19:13 <REP> d-------- C:\Program Files\Lavasoft
2008-02-07 19:13 . 2008-02-07 19:14 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-02-07 19:12 . 2008-02-07 19:13 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-02-07 18:36 . 2008-02-07 18:36 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avg7
2008-02-07 09:57 . 2008-02-07 09:57 <REP> d-------- C:\Program Files\Sunbelt Software
2008-02-05 22:26 . 2008-02-05 22:26 <REP> d-------- C:\Program Files\Alwil Software
2008-02-05 17:50 . 2008-02-07 18:32 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-02-05 17:45 . 2008-02-05 17:45 <REP> dr------- C:\Documents and Settings\LocalService\Favoris
2008-02-05 17:16 . 2008-02-05 17:53 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2008-02-05 17:15 . 2005-09-23 07:29 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2008-02-05 15:49 . 2008-02-07 23:33 <REP> d-------- C:\Program Files\Google
2008-02-04 17:56 . 2008-02-04 17:56 <REP> d---s---- C:\WINDOWS\system32\Microsoft
2008-02-04 17:28 . 2008-02-04 17:28 78,848 --a------ C:\WINDOWS\system32\drivers\SSHDRV85.sys
2008-02-04 17:00 . 2008-02-05 11:04 <REP> d-------- C:\Sacred
2008-02-04 13:31 . 2008-02-04 13:31 62 --a------ C:\WINDOWS\yesmessenger.ini
2008-02-04 13:10 . 2008-02-04 13:10 1,158 --a------ C:\WINDOWS\mozver.dat
2008-02-03 18:48 . 2008-02-03 18:48 0 --a------ C:\WINDOWS\nsreg.dat
2008-02-02 19:38 . 1996-11-06 12:04 302,592 --a------ C:\WINDOWS\unin040c.exe
2008-02-02 19:38 . 1996-11-05 16:13 299,008 --a------ C:\WINDOWS\uninst.exe
2008-02-01 23:47 . 2008-02-01 23:47 <REP> d-------- C:\Documents and Settings\admin\WINDOWS
2008-02-01 23:47 . 1998-07-30 13:51 305,152 --a------ C:\WINDOWS\IsUninst.exe
2008-02-01 23:45 . 2008-02-01 23:45 <REP> d-------- C:\WINDOWS\Desktop
2008-02-01 22:41 . 2008-02-01 22:42 <REP> d-------- C:\Program Files\Soldier of Fortune II - Double Helix
2008-02-01 22:40 . 2008-02-01 23:56 770 --a------ C:\WINDOWS\Sof2.INI
2008-02-01 11:39 . 2008-02-02 20:40 664 --a------ C:\WINDOWS\system32\d3d9caps.dat
2008-01-31 22:46 . 2008-01-31 22:46 <REP> d-------- C:\Program Files\Ubi Soft
2008-01-31 22:45 . 2008-01-31 22:50 <REP> d--h----- C:\Program Files\Zero G Registry
2008-01-31 22:45 . 2008-01-31 22:45 <REP> d--h----- C:\Documents and Settings\admin\InstallAnywhere
2008-01-31 19:36 . 2008-02-07 19:58 17,536 --a------ C:\Documents and Settings\admin\Application Data\GDIPFONTCACHEV1.DAT
2008-01-30 11:08 . 2008-01-30 11:08 <REP> d-------- C:\Program Files\Trend Micro
2008-01-28 01:01 . 2008-02-07 11:02 116 --a------ C:\WINDOWS\NeroDigital.ini
2008-01-27 18:48 . 2008-01-27 18:48 0 --a------ C:\WINDOWS\popcinfo.dat
2008-01-27 18:08 . 2008-01-27 18:44 <REP> d-------- C:\Program Files\Zylom Games
2008-01-27 18:08 . 2008-01-27 18:08 <REP> d-------- C:\Documents and Settings\admin\Application Data\Zylom
2008-01-27 12:04 . 2008-01-27 12:04 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Zylom
2008-01-27 11:36 . 2008-01-27 11:36 <REP> d-------- C:\Documents and Settings\admin\Application Data\Ahead
2008-01-27 11:34 . 2008-01-27 11:34 <REP> d-------- C:\Program Files\Nero
2008-01-27 11:34 . 2008-01-28 21:09 <REP> d-------- C:\Program Files\Fichiers communs\Ahead
2008-01-27 01:59 . 2008-01-27 01:59 38 --a------ C:\WINDOWS\BELOTEXP.INI
2008-01-27 01:26 . 2008-01-27 01:33 57 --a------ C:\WINDOWS\Bbt97.INI
2008-01-27 01:21 . 2004-03-08 23:00 212,240 --a------ C:\WINDOWS\system32\RICHTX32.OCX
2008-01-27 01:21 . 1998-12-02 08:11 143,360 --a------ C:\WINDOWS\system32\fsuz.dll
2008-01-27 01:21 . 2004-03-08 23:00 132,880 --a------ C:\WINDOWS\system32\MSINET.OCX
2008-01-27 01:21 . 2003-09-25 09:00 107,560 --a------ C:\WINDOWS\system32\CSWSK32.OCX
2008-01-27 01:21 . 1996-08-05 11:00 92,160 -ra------ C:\WINDOWS\system32\grid32.ocx
2008-01-27 01:21 . 2006-10-22 14:25 81,920 --a------ C:\WINDOWS\system32\GkSui20.EXE
2008-01-27 01:21 . 2002-03-13 15:46 53,248 --a------ C:\WINDOWS\system32\zlib.dll
2008-01-26 22:14 . 2008-01-26 22:14 <REP> d-------- C:\WINDOWS\system\iosubsys
2008-01-26 22:14 . 2008-01-26 22:14 <REP> d-------- C:\Program Files\Casio
2008-01-26 16:19 . 2008-01-26 16:19 9,728 --ahs---- C:\WINDOWS\system32\Thumbs.db
2008-01-25 16:30 . 2008-01-25 16:30 <REP> d-------- C:\WINDOWS\Sun
2008-01-24 22:04 . 2001-08-17 22:03 21,760 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys
2008-01-23 23:26 . 2008-01-23 23:26 <REP> d-------- C:\Documents and Settings\admin\Application Data\eMule
2008-01-23 23:25 . 2008-01-23 23:26 <REP> d-------- C:\Program Files\eMule
2008-01-23 18:53 . 2008-01-31 19:46 <REP> d-------- C:\Documents and Settings\All Users\Application Data\nView_Profiles
2008-01-23 13:06 . 2008-01-23 13:06 <REP> d-------- C:\Documents and Settings\admin\Application Data\vlc
2008-01-23 13:05 . 2008-01-23 13:05 <REP> d-------- C:\Documents and Settings\admin\Application Data\DivX
2008-01-23 13:04 . 2008-01-23 13:04 <REP> d-------- C:\Program Files\VideoLAN
2008-01-23 13:01 . 2008-02-07 18:38 <REP> d-------- C:\Program Files\DivX
2008-01-23 08:51 . 2002-12-12 01:34 208,896 --a------ C:\WINDOWS\system32\wmpns.dll
2008-01-23 08:48 . 2002-12-17 15:40 753,664 --a--c--- C:\WINDOWS\system32\dllcache\setup_wm.exe
2008-01-23 08:48 . 2002-12-14 17:41 192,512 --a--c--- C:\WINDOWS\system32\dllcache\unregmp2.exe
2008-01-23 08:35 . 2008-02-07 11:22 <REP> d-------- C:\Documents and Settings\admin\Application Data\LimeWire
2008-01-23 08:34 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-01-23 08:32 . 2008-01-23 13:18 <REP> d-------- C:\Program Files\Java
2008-01-23 08:32 . 2008-01-23 08:32 <REP> d-------- C:\Program Files\Fichiers communs\Java
2008-01-22 22:43 . 2008-01-22 22:43 <REP> d-------- C:\Documents and Settings\admin\Application Data\Grisoft
2008-01-22 22:38 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2008-01-22 22:29 . 2008-01-22 22:30 <REP> d-------- C:\Program Files\CommentCaMarche
2008-01-22 22:23 . 2008-02-07 18:36 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2008-01-22 22:23 . 2008-01-22 22:23 499,712 --a------ C:\WINDOWS\system32\msvcp71.dll
2008-01-22 22:23 . 2008-01-22 22:23 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll
2008-01-22 21:25 . 2008-01-22 21:25 <REP> d---s---- C:\Documents and Settings\admin\UserData
2008-01-22 19:41 . 2008-01-22 19:41 984 --a------ C:\WINDOWS\system32\d3d8caps.dat
2008-01-22 19:38 . 2008-01-22 19:38 <REP> d-------- C:\Program Files\directx
2008-01-22 19:32 . 2008-01-22 19:39 <REP> d-------- C:\Program Files\VirtualDJ
2008-01-22 19:27 . 2008-01-22 19:27 <REP> d-------- C:\WINDOWS\Nouveau dossier
2008-01-22 19:27 . 2008-01-22 19:27 25,600 --ahs---- C:\WINDOWS\Thumbs.db
2008-01-22 19:20 . 2008-01-22 19:20 <REP> d-------- C:\Documents and Settings\All Users\Application Data\NVIDIA
2008-01-22 19:14 . 2008-01-28 11:13 <REP> d-------- C:\WINDOWS\nview
2008-01-22 19:14 . 2008-01-22 19:14 <REP> d-------- C:\NVIDIA
2008-01-22 19:14 . 2006-10-22 15:06 208,896 --a------ C:\WINDOWS\system32\NVUNINST.EXE
2008-01-22 19:14 . 2006-10-22 12:22 208,896 --a------ C:\WINDOWS\system32\nvudisp.exe
2008-01-22 19:14 . 2008-02-08 23:14 88,566 --a------ C:\WINDOWS\system32\nvapps.xml
2008-01-22 19:14 . 2006-10-22 12:22 17,056 --a------ C:\WINDOWS\system32\nvdisp.nvu
2008-01-22 19:08 . 2008-01-22 19:08 <REP> d-------- C:\WUTemp
2008-01-22 19:08 . 2003-08-25 18:06 182,880 --a------ C:\WINDOWS\system32\iuengine.dll
2008-01-22 19:08 . 2003-08-25 18:06 182,880 --a--c--- C:\WINDOWS\system32\dllcache\iuengine.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-31 22:01 12,528 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2008-01-22 16:44 --------- d-----w C:\Program Files\CCleaner
2008-01-22 16:28 --------- d--h--w C:\Documents and Settings\All Users\Application Data\CanonBJ
2008-01-22 16:13 --------- d-----w C:\Program Files\microsoft frontpage
2008-01-22 16:10 --------- d-----w C:\Program Files\Fichiers communs\MSSoap
2008-01-22 16:08 --------- d-----w C:\Program Files\Services en ligne
2008-01-04 21:56 156,992 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2007-12-21 14:39 10,752 ----a-w C:\WINDOWS\system32\WhoisCL.exe
2007-12-17 23:44 219,664 ----a-w C:\WINDOWS\system32\klogon.dll
2007-12-17 23:43 23,396 ----a-w C:\WINDOWS\system32\drivers\klopp.dat
2007-12-14 10:32 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
2007-12-13 12:28 24,592 ----a-w C:\WINDOWS\system32\drivers\klim5.sys
.

(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.

- Not a PE file.

---- Directory of C:\WINDOWS\system32\Microsoft ----

2008-02-04 17:56 388 --ahs---- C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\99d13609-cfa3-4ed8-809e-cc3629f2d1be
2008-02-04 17:56 24 --ahs---- C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\Preferred


((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2006-10-22 12:22 7700480]
"AVP"="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" [2007-12-18 00:43 227856]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-08-28 20:00 13312]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\!AVG Anti-Spyware]
--a------ 2007-06-11 10:25 6731312 C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\platform 32]
C:\DOCUME~1\admin\APPLIC~1\GLUEDE~1\mpegamen.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"AVG Anti-Spyware Guard"=2 (0x2)
"avast! Web Scanner"=3 (0x3)
"avast! Mail Scanner"=3 (0x3)
"avast! Antivirus"=2 (0x2)
"aswUpdSv"=2 (0x2)
"aawservice"=2 (0x2)

R1 SSHDRV85;SSHDRV85;C:\WINDOWS\System32\drivers\SSHDRV85.sys [2008-02-04 17:28]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\System32\DRIVERS\klim5.sys [2007-12-13 13:28]
R3 ZSMC211;USB PC Camera (ZS0211);C:\WINDOWS\System32\Drivers\ZS211.sys [2006-10-18 02:23]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-08 23:14:19
Windows 5.1.2600 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\System32\nvsvc32.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-02-08 23:16:37 - machine was rebooted
ComboFix-quarantined-files.txt 2008-02-08 22:16:26
ComboFix2.txt 2008-02-08 17:37:51
0

Discussions similaires

Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses
problême Opéra est ce un virus??
sand2504 -
sand2504 -

85 réponses
Désinstaller Softonic
Diguimette -
lilidurhone -

5 réponses