Infection WIn32:Trojan-gen > Log HighJack
Résolu/Fermé
Lipton.Ice.Tea
Messages postés
105
Date d'inscription
lundi 11 février 2008
Statut
Membre
Dernière intervention
2 mars 2008
-
11 févr. 2008 à 00:44
Utilisateur anonyme - 2 mars 2008 à 23:25
Utilisateur anonyme - 2 mars 2008 à 23:25
A voir également:
- Infection WIn32:Trojan-gen > Log HighJack
- Win32 trojan gen - Forum Virus / Sécurité
- Trojan remover - Télécharger - Antivirus & Antimalwares
- Win32:evo-gen - Forum antivirus
- Win32:malware-gen ✓ - Forum Virus / Sécurité
- Ti college plus log - Forum calculatrices
183 réponses
Lipton.Ice.Tea
Messages postés
105
Date d'inscription
lundi 11 février 2008
Statut
Membre
Dernière intervention
2 mars 2008
17 févr. 2008 à 16:44
17 févr. 2008 à 16:44
Hello hello,
! REG.EXE VERSION 3.0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment
ComSpec REG_EXPAND_SZ %SystemRoot%\system32\cmd.exe
Path REG_EXPAND_SZ %systemroot%\system32;%systemroot%;%systemroot%\system32\wbem;C:\PROGRAM FILES\ATI TECHNOLOGIES\ATI CONTROL PANEL;C:\PROGRA~1\FICHIE~1\TVNAVI~1;C:\Program Files\Panda Software\Panda Antivirus Platinum;C:\Program Files\Fichiers communs\Autodesk Shared;C:\Program Files\Fichiers communs\Adobe\AGL;C:\Program Files\QuickTime\QTSystem
windir REG_EXPAND_SZ %SystemRoot%
OS REG_SZ Windows_NT
PROCESSOR_ARCHITECTURE REG_SZ x86
PROCESSOR_LEVEL REG_SZ 6
PROCESSOR_IDENTIFIER REG_SZ x86 Family 6 Model 9 Stepping 5, GenuineIntel
PROCESSOR_REVISION REG_SZ 0905
NUMBER_OF_PROCESSORS REG_SZ 1
PATHEXT REG_SZ .COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
TEMP REG_EXPAND_SZ %SystemRoot%\TEMP
TMP REG_EXPAND_SZ %SystemRoot%\TEMP
FP_NO_HOST_CHECK REG_SZ NO
CLASSPATH REG_EXPAND_SZ C:\Program Files\Java\jre1.5.0_06\lib\ext\QTJava.zip
QTJAVA REG_EXPAND_SZ C:\Program Files\Java\jre1.5.0_06\lib\ext\QTJava.zip
Tu veux aussi unnouvaeu post de HiJackThis après modifications ? ou pas ?
Non, Mysql je ne l'ai pas installé, du moins pas que je sache. Je n'y connais rien.
J'ai éxécuté Runonce Remover comme tu me l'as dit, mais Word ne s'ouvre toujours pas. Enfin si, il ya une amélioration: la page vierge s'affiche avec le menu habituel, mais je ne peux pas y accéder > WIndows installe les composants, puis annule l'install me demandant de vérifier mes droits auprès de l'administrateur, car nous sommes dans DOcs & Settings/ All Users/ Applications Data...
! REG.EXE VERSION 3.0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment
ComSpec REG_EXPAND_SZ %SystemRoot%\system32\cmd.exe
Path REG_EXPAND_SZ %systemroot%\system32;%systemroot%;%systemroot%\system32\wbem;C:\PROGRAM FILES\ATI TECHNOLOGIES\ATI CONTROL PANEL;C:\PROGRA~1\FICHIE~1\TVNAVI~1;C:\Program Files\Panda Software\Panda Antivirus Platinum;C:\Program Files\Fichiers communs\Autodesk Shared;C:\Program Files\Fichiers communs\Adobe\AGL;C:\Program Files\QuickTime\QTSystem
windir REG_EXPAND_SZ %SystemRoot%
OS REG_SZ Windows_NT
PROCESSOR_ARCHITECTURE REG_SZ x86
PROCESSOR_LEVEL REG_SZ 6
PROCESSOR_IDENTIFIER REG_SZ x86 Family 6 Model 9 Stepping 5, GenuineIntel
PROCESSOR_REVISION REG_SZ 0905
NUMBER_OF_PROCESSORS REG_SZ 1
PATHEXT REG_SZ .COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
TEMP REG_EXPAND_SZ %SystemRoot%\TEMP
TMP REG_EXPAND_SZ %SystemRoot%\TEMP
FP_NO_HOST_CHECK REG_SZ NO
CLASSPATH REG_EXPAND_SZ C:\Program Files\Java\jre1.5.0_06\lib\ext\QTJava.zip
QTJAVA REG_EXPAND_SZ C:\Program Files\Java\jre1.5.0_06\lib\ext\QTJava.zip
Tu veux aussi unnouvaeu post de HiJackThis après modifications ? ou pas ?
Non, Mysql je ne l'ai pas installé, du moins pas que je sache. Je n'y connais rien.
J'ai éxécuté Runonce Remover comme tu me l'as dit, mais Word ne s'ouvre toujours pas. Enfin si, il ya une amélioration: la page vierge s'affiche avec le menu habituel, mais je ne peux pas y accéder > WIndows installe les composants, puis annule l'install me demandant de vérifier mes droits auprès de l'administrateur, car nous sommes dans DOcs & Settings/ All Users/ Applications Data...
Lipton.Ice.Tea
Messages postés
105
Date d'inscription
lundi 11 février 2008
Statut
Membre
Dernière intervention
2 mars 2008
17 févr. 2008 à 16:49
17 févr. 2008 à 16:49
Et tu sais quoi ?
Dans ce rapport Look, je vois quelquechose d'étrange : Panda Platinium. Il ya peut-être 1an ou 2, j'avais téléchargé Panda Platinium sur un mauvais site sûrement, parce qu'il avait un virus et que là aussi j'avais pas mal galéré pour l'enlever (mais moins que cette fois-ci !!!). Donc c'est bizarre que Panda Platinium ressorte, non ? Qu'est-ce qu'il fait dans ce rapport ?
Dans ce rapport Look, je vois quelquechose d'étrange : Panda Platinium. Il ya peut-être 1an ou 2, j'avais téléchargé Panda Platinium sur un mauvais site sûrement, parce qu'il avait un virus et que là aussi j'avais pas mal galéré pour l'enlever (mais moins que cette fois-ci !!!). Donc c'est bizarre que Panda Platinium ressorte, non ? Qu'est-ce qu'il fait dans ce rapport ?
DeNisCoOl
Messages postés
2802
Date d'inscription
vendredi 19 août 2005
Statut
Membre
Dernière intervention
28 février 2011
224
17 févr. 2008 à 17:33
17 févr. 2008 à 17:33
Re Ice T,
Je vais faire analyser ton rapport, je reviens.
Tu avais bien dit que ton windows était officiel tu avais les CD tout?
Et pour office également? as tu des programmes crackés?
Pour savoir si tu aurais attrapé ça avec un crack.
Personnellement Panda je ne le conseilles pas (mais j'ai du me faire avoir comme toi pourtant j'avais scanné ma source avec Kaspersky et j'ai eu des problèmes pour l'enlever).
Il ne propose pas de version d'essai c'est bien dommage.
A+
Je vais faire analyser ton rapport, je reviens.
Tu avais bien dit que ton windows était officiel tu avais les CD tout?
Et pour office également? as tu des programmes crackés?
Pour savoir si tu aurais attrapé ça avec un crack.
Personnellement Panda je ne le conseilles pas (mais j'ai du me faire avoir comme toi pourtant j'avais scanné ma source avec Kaspersky et j'ai eu des problèmes pour l'enlever).
Il ne propose pas de version d'essai c'est bien dommage.
A+
Lipton.Ice.Tea
Messages postés
105
Date d'inscription
lundi 11 février 2008
Statut
Membre
Dernière intervention
2 mars 2008
17 févr. 2008 à 17:51
17 févr. 2008 à 17:51
Et ben ! formater son ordi juste pour virer les traces restantes d'un programme !!! C'est un peu extrêmiste non ?!!!
Oui effectivement mon Windows est un original, il était livré avec le pc !! :D lol donc ma réponse est oui !
Ok j'attends tes réponses !
***********************************************************************************************************
Euh désolée mais si mon hacker pouvait se manifester, il dirait : "depuis que je suis sur le PC de Ice.Tea, je ne l'ai pas vu ouvrir une seule fois un programme de P2P" !!! lool
A prendre tel quel :D
Oui effectivement mon Windows est un original, il était livré avec le pc !! :D lol donc ma réponse est oui !
Ok j'attends tes réponses !
***********************************************************************************************************
Euh désolée mais si mon hacker pouvait se manifester, il dirait : "depuis que je suis sur le PC de Ice.Tea, je ne l'ai pas vu ouvrir une seule fois un programme de P2P" !!! lool
A prendre tel quel :D
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
DeNisCoOl
Messages postés
2802
Date d'inscription
vendredi 19 août 2005
Statut
Membre
Dernière intervention
28 février 2011
224
17 févr. 2008 à 18:51
17 févr. 2008 à 18:51
salut,
Il n'y a pas que les p2p, il existe des sites qui proposent des fichiers infectés également mais beaucoup plus rare.
Mais je te crois car tu n'as pas de programme genre emule, azureus, limewire, shareaza...
C'était pas de traces mais il plantait carrément.
Pas encore de nouvelles... je te reviens.
A+
Il n'y a pas que les p2p, il existe des sites qui proposent des fichiers infectés également mais beaucoup plus rare.
Mais je te crois car tu n'as pas de programme genre emule, azureus, limewire, shareaza...
C'était pas de traces mais il plantait carrément.
Pas encore de nouvelles... je te reviens.
A+
DeNisCoOl
Messages postés
2802
Date d'inscription
vendredi 19 août 2005
Statut
Membre
Dernière intervention
28 février 2011
224
17 févr. 2008 à 20:26
17 févr. 2008 à 20:26
Re,
>>> Java ***
À la fin du rapport il y a également une référence C:\Program Files\Java\jre1.5.0_06\lib\ext\QTJava.zip
Une clé qui semble pointer vers ce fichier semble t-il.
Assures toi encore que tout a été effacé de tes anciennes versions de console Java.
>>> Mysql ***
Essayes de voir si il est présent dans ajout/supp. de programme et enlèves le.
Sinon
Désactiver, Arrêter et Supprimer service MySqlInventime puis effacer c:\mysql
Suivre la procédure suivante.
----------
-> Démarrer
-> Exécuter...
Tape Services.msc puis valide
Double clique sur MySqlInventime
Type de démarrage : "Désactiver"
Clique en bas sur "Arrêter"
Valide les changements.
-----
Ouvre Hijackthis puis:
-> Open the Misc Tools Section
-> Delete an NT Service
Tape MySqlInventime puis valide.
----------
Supprime ce fichier manuellement:
c:\mysql\bin\mysqld-max-nt.exe
Et si tu ne peux pas le faire exécutes ceci:
-Double cliquer sur OTMoveIt2.exe pour le lancer.
Copier la liste de fichier ou de dossier qui se trouve en gras ci-dessous,
et coller-la dans le cadre de gauche de OTMoveIt :
Paste List of Files/Folders to be moved.
c:\mysql
Cliquer sur MoveIt! pour lancer la suppression.
Le résultat apparaîtra dans le cadre Results.
Cliquer sur Exit pour fermer.
Il sera peut-être demander de redémarrer le pc pour achever la suppression.
Si c'est le cas accepter par Yes.
--> Poster le rapport d'OTMoveIt situé dans C:\_OTMoveIt\MovedFiles (contenu du fichier C:\_OTMoveIt\MovedFiles\********_******.log - les *** sont des chiffres représentant la date et l'heure)
Mais si tu as des logiciels p2p il ne faut pas avoir honte, mais il ne faut pas le cacher car on risque de tourner en rond et te faire perdre ton temps.
Et surtout si tu ne t'en sers pas à tord et à travers, c'est moins pire pourrait on dire mais pas bien quand même.
Pour le moment je te demanderais de les désinstaller.
Puis passer un coup de CCleaner (Registre et Nettoyeur)
A+
>>> Java ***
À la fin du rapport il y a également une référence C:\Program Files\Java\jre1.5.0_06\lib\ext\QTJava.zip
Une clé qui semble pointer vers ce fichier semble t-il.
Assures toi encore que tout a été effacé de tes anciennes versions de console Java.
>>> Mysql ***
Essayes de voir si il est présent dans ajout/supp. de programme et enlèves le.
Sinon
Désactiver, Arrêter et Supprimer service MySqlInventime puis effacer c:\mysql
Suivre la procédure suivante.
----------
-> Démarrer
-> Exécuter...
Tape Services.msc puis valide
Double clique sur MySqlInventime
Type de démarrage : "Désactiver"
Clique en bas sur "Arrêter"
Valide les changements.
-----
Ouvre Hijackthis puis:
-> Open the Misc Tools Section
-> Delete an NT Service
Tape MySqlInventime puis valide.
----------
Supprime ce fichier manuellement:
c:\mysql\bin\mysqld-max-nt.exe
Et si tu ne peux pas le faire exécutes ceci:
-Double cliquer sur OTMoveIt2.exe pour le lancer.
Copier la liste de fichier ou de dossier qui se trouve en gras ci-dessous,
et coller-la dans le cadre de gauche de OTMoveIt :
Paste List of Files/Folders to be moved.
c:\mysql
Cliquer sur MoveIt! pour lancer la suppression.
Le résultat apparaîtra dans le cadre Results.
Cliquer sur Exit pour fermer.
Il sera peut-être demander de redémarrer le pc pour achever la suppression.
Si c'est le cas accepter par Yes.
--> Poster le rapport d'OTMoveIt situé dans C:\_OTMoveIt\MovedFiles (contenu du fichier C:\_OTMoveIt\MovedFiles\********_******.log - les *** sont des chiffres représentant la date et l'heure)
Mais si tu as des logiciels p2p il ne faut pas avoir honte, mais il ne faut pas le cacher car on risque de tourner en rond et te faire perdre ton temps.
Et surtout si tu ne t'en sers pas à tord et à travers, c'est moins pire pourrait on dire mais pas bien quand même.
Pour le moment je te demanderais de les désinstaller.
Puis passer un coup de CCleaner (Registre et Nettoyeur)
A+
Lipton.Ice.Tea
Messages postés
105
Date d'inscription
lundi 11 février 2008
Statut
Membre
Dernière intervention
2 mars 2008
17 févr. 2008 à 21:35
17 févr. 2008 à 21:35
Hola buenas,
* Concernant ma console JAVA, je ne sais pas comment vérifier que tout est effacé. D'ailleurs je ne savais pas spécialement que j'avais Java sur mon pc. Lorsque je regarde dans Program Files, il ya effectivement un dossier Java qui contient un seul dossier, nommé "jre1.5.0_06", lequel contient un seul dossier aussi, appelé "lib", qui contient un dossier "ext" qui semble vide.
Que dois-je faire pour m'assurer que tout est correctement éliminé ?
Rapport MoveIt sur MySql
c:\mysql\share\ukrainian moved successfully.
c:\mysql\share\swedish moved successfully.
c:\mysql\share\spanish moved successfully.
c:\mysql\share\slovak moved successfully.
c:\mysql\share\russian moved successfully.
c:\mysql\share\romanian moved successfully.
c:\mysql\share\portuguese moved successfully.
c:\mysql\share\polish moved successfully.
c:\mysql\share\norwegian-ny moved successfully.
c:\mysql\share\norwegian moved successfully.
c:\mysql\share\korean moved successfully.
c:\mysql\share\japanese moved successfully.
c:\mysql\share\italian moved successfully.
c:\mysql\share\hungarian moved successfully.
c:\mysql\share\greek moved successfully.
c:\mysql\share\german moved successfully.
c:\mysql\share\french moved successfully.
c:\mysql\share\estonian moved successfully.
c:\mysql\share\english moved successfully.
c:\mysql\share\dutch moved successfully.
c:\mysql\share\danish moved successfully.
c:\mysql\share\czech moved successfully.
c:\mysql\share\charsets moved successfully.
c:\mysql\share moved successfully.
c:\mysql\scripts moved successfully.
c:\mysql\lib\opt moved successfully.
c:\mysql\lib\debug moved successfully.
c:\mysql\lib moved successfully.
c:\mysql\include moved successfully.
c:\mysql\examples\tests moved successfully.
c:\mysql\examples\libmysqltest moved successfully.
c:\mysql\examples moved successfully.
c:\mysql\Embedded\Static\release moved successfully.
c:\mysql\Embedded\Static moved successfully.
c:\mysql\Embedded\DLL\release moved successfully.
c:\mysql\Embedded\DLL\debug moved successfully.
c:\mysql\Embedded\DLL moved successfully.
c:\mysql\Embedded moved successfully.
c:\mysql\Docs\Flags moved successfully.
c:\mysql\Docs moved successfully.
c:\mysql\data\test moved successfully.
c:\mysql\data\mysql moved successfully.
c:\mysql\data\logdir moved successfully.
c:\mysql\data\bw moved successfully.
c:\mysql\data moved successfully.
c:\mysql\bin moved successfully.
c:\mysql\bench\output moved successfully.
c:\mysql\bench\limits moved successfully.
c:\mysql\bench\Data\Wisconsin moved successfully.
c:\mysql\bench\Data\ATIS moved successfully.
c:\mysql\bench\Data moved successfully.
c:\mysql\bench moved successfully.
c:\mysql moved successfully.
OTMoveIt2 v1.0.20 log created on 02172008_210414
Pour P2P, je ne l'ai pas caché, d'ailleurs DIID m'en avait fait la remarque, et à aucun moment il ne me semble avoir nié...
Passé un coup de Ccleaner. ok.
A vous,
* Concernant ma console JAVA, je ne sais pas comment vérifier que tout est effacé. D'ailleurs je ne savais pas spécialement que j'avais Java sur mon pc. Lorsque je regarde dans Program Files, il ya effectivement un dossier Java qui contient un seul dossier, nommé "jre1.5.0_06", lequel contient un seul dossier aussi, appelé "lib", qui contient un dossier "ext" qui semble vide.
Que dois-je faire pour m'assurer que tout est correctement éliminé ?
Rapport MoveIt sur MySql
c:\mysql\share\ukrainian moved successfully.
c:\mysql\share\swedish moved successfully.
c:\mysql\share\spanish moved successfully.
c:\mysql\share\slovak moved successfully.
c:\mysql\share\russian moved successfully.
c:\mysql\share\romanian moved successfully.
c:\mysql\share\portuguese moved successfully.
c:\mysql\share\polish moved successfully.
c:\mysql\share\norwegian-ny moved successfully.
c:\mysql\share\norwegian moved successfully.
c:\mysql\share\korean moved successfully.
c:\mysql\share\japanese moved successfully.
c:\mysql\share\italian moved successfully.
c:\mysql\share\hungarian moved successfully.
c:\mysql\share\greek moved successfully.
c:\mysql\share\german moved successfully.
c:\mysql\share\french moved successfully.
c:\mysql\share\estonian moved successfully.
c:\mysql\share\english moved successfully.
c:\mysql\share\dutch moved successfully.
c:\mysql\share\danish moved successfully.
c:\mysql\share\czech moved successfully.
c:\mysql\share\charsets moved successfully.
c:\mysql\share moved successfully.
c:\mysql\scripts moved successfully.
c:\mysql\lib\opt moved successfully.
c:\mysql\lib\debug moved successfully.
c:\mysql\lib moved successfully.
c:\mysql\include moved successfully.
c:\mysql\examples\tests moved successfully.
c:\mysql\examples\libmysqltest moved successfully.
c:\mysql\examples moved successfully.
c:\mysql\Embedded\Static\release moved successfully.
c:\mysql\Embedded\Static moved successfully.
c:\mysql\Embedded\DLL\release moved successfully.
c:\mysql\Embedded\DLL\debug moved successfully.
c:\mysql\Embedded\DLL moved successfully.
c:\mysql\Embedded moved successfully.
c:\mysql\Docs\Flags moved successfully.
c:\mysql\Docs moved successfully.
c:\mysql\data\test moved successfully.
c:\mysql\data\mysql moved successfully.
c:\mysql\data\logdir moved successfully.
c:\mysql\data\bw moved successfully.
c:\mysql\data moved successfully.
c:\mysql\bin moved successfully.
c:\mysql\bench\output moved successfully.
c:\mysql\bench\limits moved successfully.
c:\mysql\bench\Data\Wisconsin moved successfully.
c:\mysql\bench\Data\ATIS moved successfully.
c:\mysql\bench\Data moved successfully.
c:\mysql\bench moved successfully.
c:\mysql moved successfully.
OTMoveIt2 v1.0.20 log created on 02172008_210414
Pour P2P, je ne l'ai pas caché, d'ailleurs DIID m'en avait fait la remarque, et à aucun moment il ne me semble avoir nié...
Passé un coup de Ccleaner. ok.
A vous,
Coucou,
Pour P2P, je ne l'ai pas caché, d'ailleurs DIID m'en avait fait la remarque, et à aucun moment il ne me semble avoir nié... ,
Merci : nous se sommes pas des keufs...Mais pour ton problème plus on en sait....mieux c'est....pour le résoudre.
Bon courage,
Vous deux. ;)
Dl.
Pour P2P, je ne l'ai pas caché, d'ailleurs DIID m'en avait fait la remarque, et à aucun moment il ne me semble avoir nié... ,
Merci : nous se sommes pas des keufs...Mais pour ton problème plus on en sait....mieux c'est....pour le résoudre.
Bon courage,
Vous deux. ;)
Dl.
Lipton.Ice.Tea
Messages postés
105
Date d'inscription
lundi 11 février 2008
Statut
Membre
Dernière intervention
2 mars 2008
17 févr. 2008 à 21:49
17 févr. 2008 à 21:49
Pour en revenir à Mysql, dans Ajout/Suppression de Programmes, j'en ai un qui s'appelle : MICROSOFT SQL SERVER 2005 COMPACT EDITION [ENU]. Est-ce que c'est en rapport avec Mysql ou pas du tout ? Si oui, je supprime ?
Lipton.Ice.Tea
Messages postés
105
Date d'inscription
lundi 11 février 2008
Statut
Membre
Dernière intervention
2 mars 2008
17 févr. 2008 à 21:51
17 févr. 2008 à 21:51
DllD,
Oui,je sais, j'ai bien compris, mais en fait je croyais simplement que c'était entendu.
A+
Oui,je sais, j'ai bien compris, mais en fait je croyais simplement que c'était entendu.
A+
DeNisCoOl
Messages postés
2802
Date d'inscription
vendredi 19 août 2005
Statut
Membre
Dernière intervention
28 février 2011
224
17 févr. 2008 à 22:18
17 févr. 2008 à 22:18
Ice T,
Oui c'est ça.
Si tu n'en pas l'utilité enlèves le.
Mais je n'avais pas vu que tu avais effectué OTMoveIT sur mysql également.
As tu trouvé et arrêté le service MySqlInventime comme indiqué dans la procédure?
Denis
Oui c'est ça.
Si tu n'en pas l'utilité enlèves le.
Mais je n'avais pas vu que tu avais effectué OTMoveIT sur mysql également.
As tu trouvé et arrêté le service MySqlInventime comme indiqué dans la procédure?
Denis
Lipton.Ice.Tea
Messages postés
105
Date d'inscription
lundi 11 février 2008
Statut
Membre
Dernière intervention
2 mars 2008
17 févr. 2008 à 23:09
17 févr. 2008 à 23:09
MICROSOFT SQL SERVER 2005 COMPACT EDITION [ENU].>>> Ok, c'est fait, supprimé !!
Regarde, j'ai enfin trouvé le rapport de Rootkit Revealer !!!! Si tu veux jusqu'ici je l'enregistrais sur le bureau au lieu d'écouter sa proposition de l'enregistrer dans System 32. Erreur !!! Là je l'ai laissé enregistrer dans le dossier de son choix, donc System 32 et voila un joli rapport !!!
>>> Par contre, je dois avouer que je l'ai légèrement retouché : Il y avait 894 lignes, dont 873 ressemblaient exactement à celle-ci :
C:\Documents and Settings\Sirocco\Local Settings\Application Data\Microsoft\Messenger\monadressemail@mail.fr\SharingMetadata\aadressedunami@hotmail.fr\DFSR\Staging\CS{E01566FF-7E09-2847-1F35-A21E9689E922}\11\397-{91C72B2A-E861-4560-8190-B41458249F1C}-v11-{9F 09/01/2008 15:14 49.21 KB Hidden from Windows API.
J'ai aussi masqué mon adresse mail perso indiquée ici, ainsi que celle de mes correspondants.
Donc il y avait 873 lignes contenant mon adresse mail ainsi que celle de mes contacts msn >>> est-ce que ça prouve que j'ai la tchatche ??? lol J'en ai laissé quelques une pour votre analyse, mais ai viré toutes celles représentant un dialogue msn. Ai-je bien fait ? ou pas ?
Voili, j'espère que ce rapport sera useful, utile.
A vous lire, merci merci merci
HKLM\S-1-5-21-1848027462-874765906-2026797637-1007\RemoteAccess\InternetProfile 02/03/2005 21:54 3 bytes Data mismatch between Windows API and raw hive data.
HKLM\S-1-5-21-1848027462-874765906-2026797637-1007\Software\Adobe\MediaBrowser\MRU\illustrator\ApplicationPath 05/08/2006 23:47 91 bytes Data mismatch between Windows API and raw hive data.
HKLM\S-1-5-21-1848027462-874765906-2026797637-1007\Software\Microsoft\MediaPlayer\Preferences\BackgroundScanCompleteDate 17/02/2008 22:30 40 bytes Data mismatch between Windows API and raw hive data.
HKLM\S-1-5-21-1848027462-874765906-2026797637-1007\Software\Microsoft\MSNMessenger\SQM\SessionTime 17/02/2008 22:29 4 bytes Data mismatch between Windows API and raw hive data.
C:\Documents and Settings\Sirocco\Local Settings\Application Data\Microsoft\Messenger\monadressemail@mail.fr\SharingMetadata\ami@hotmail.fr\DFSR\Staging\CS{E01566FF-7E09-2847-1F35-A21E9689E922}\01\395-{E01566FF-7E09-2847-1F35-A21E9689E922}-v1-{9FC 23/12/2007 20:36 8 bytes Hidden from Windows API.
C:\Documents and Settings\Sirocco\Local Settings\Application Data\Microsoft\Messenger\monadressemail@mail.fr\SharingMetadata\jaadressedunami@hotmail.fr\DFSR\Staging\CS{E01566FF-7E09-2847-1F35-A21E9689E922}\11\397-{91C72B2A-E861-4560-8190-B41458249F1C}-v11-{9F 09/01/2008 15:14 49.21 KB Hidden from Windows API.
C:\Documents and Settings\Sirocco\Local Settings\Application Data\Microsoft\Messenger\monadressemail@mail.fr\SharingMetadata\jaadressed@unami\DFSR\Staging\CS{E01566FF-7E09-2847-1F35-A21E9689E922}\11\397-{91C72B2A-E861-4560-8190-B41458249F1C}-v11-{9F 09/01/2008 15:14 3.42 KB Hidden from Windows API.
C:\Documents and Settings\Sirocco\Local Settings\Application Data\Microsoft\Messenger\monadressemail@mail.fr\SharingMetadata\jaadressed@unami\DFSR\Staging\CS{E01566FF-7E09-2847-1F35-A21E9689E922}\11\397-{91C72B2A-E861-4560-8190-B41458249F1C}-v11-{9F 09/01/2008 15:14 5.48 KB Hidden from Windows API.
C:\Documents and Settings\Sirocco\Local Settings\Application Data\Microsoft\Messenger\monadressemail@mail.fr\SharingMetadata\jaadressed@unami\DFSR\Staging\CS{0CA9F113-56ED-67A9-6A76-60ED038AF4D1}\01\54-{0CA9F113-56ED-67A9-6A76-60ED038AF4D1}-v1-{9FCD 28/09/2007 23:26 8 bytes Hidden from Windows API.
C:\Documents and Settings\Sirocco\Local Settings\Application Data\Microsoft\Messenger\monadressemail@mail.fr\SharingMetadata\adresse@ami.fr\DFSR\Staging\CS{0CA9F113-56ED-67A9-6A76-60ED038AF4D1}\09\311-{9FCD5F88-823D-49E6-BE9C-5AE8E98FD06A}-v309-{9 09/11/2007 20:00 118.79 KB Hidden from Windows API.
C:\Documents and Settings\Sirocco\Mes documents\Sirocco\Desktop.ini 10/11/2006 19:29 77 bytes Hidden from Windows API.
C:\Documents and Settings\Sirocco\Mes documents\Sirocco\Documents de MySite 10/11/2006 20:04 0 bytes Hidden from Windows API.
C:\Documents and Settings\Sirocco\Mes documents\Sirocco\Desktop.ini 10/11/2006 19:29 77 bytes Visible in Windows API, but not in MFT or directory index.
C:\Documents and Settings\Sirocco\Mes documents\Sirocco\Documents de MySite 10/11/2006 20:04 0 bytes Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll 26/07/2007 21:06 252.00 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll 26/07/2007 21:06 111.50 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\Prefetch\SPIDER.EXE-0B99044C.pf 17/02/2008 22:36 19.96 KB Hidden from Windows API.
C:\WINDOWS\Prefetch\WMIPRVSE.EXE-0D449B4F.pf 17/02/2008 22:34 28.95 KB Hidden from Windows API.
C:\WINDOWS\SoftwareDistribution\DataStore\DataStore.edb:KAVICHS 17/02/2008 22:33 36 bytes Hidden from Windows API.
C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb 17/02/2008 22:33 64.00 KB Visible in Windows API, MFT, but not in directory index.
C:\WINDOWS\SoftwareDistribution\EventCache\{7A38EECB-96E0-4C0E-89C0-21E07388B119}.bin 17/02/2008 22:36 8 bytes Hidden from Windows API.
Regarde, j'ai enfin trouvé le rapport de Rootkit Revealer !!!! Si tu veux jusqu'ici je l'enregistrais sur le bureau au lieu d'écouter sa proposition de l'enregistrer dans System 32. Erreur !!! Là je l'ai laissé enregistrer dans le dossier de son choix, donc System 32 et voila un joli rapport !!!
>>> Par contre, je dois avouer que je l'ai légèrement retouché : Il y avait 894 lignes, dont 873 ressemblaient exactement à celle-ci :
C:\Documents and Settings\Sirocco\Local Settings\Application Data\Microsoft\Messenger\monadressemail@mail.fr\SharingMetadata\aadressedunami@hotmail.fr\DFSR\Staging\CS{E01566FF-7E09-2847-1F35-A21E9689E922}\11\397-{91C72B2A-E861-4560-8190-B41458249F1C}-v11-{9F 09/01/2008 15:14 49.21 KB Hidden from Windows API.
J'ai aussi masqué mon adresse mail perso indiquée ici, ainsi que celle de mes correspondants.
Donc il y avait 873 lignes contenant mon adresse mail ainsi que celle de mes contacts msn >>> est-ce que ça prouve que j'ai la tchatche ??? lol J'en ai laissé quelques une pour votre analyse, mais ai viré toutes celles représentant un dialogue msn. Ai-je bien fait ? ou pas ?
Voili, j'espère que ce rapport sera useful, utile.
A vous lire, merci merci merci
HKLM\S-1-5-21-1848027462-874765906-2026797637-1007\RemoteAccess\InternetProfile 02/03/2005 21:54 3 bytes Data mismatch between Windows API and raw hive data.
HKLM\S-1-5-21-1848027462-874765906-2026797637-1007\Software\Adobe\MediaBrowser\MRU\illustrator\ApplicationPath 05/08/2006 23:47 91 bytes Data mismatch between Windows API and raw hive data.
HKLM\S-1-5-21-1848027462-874765906-2026797637-1007\Software\Microsoft\MediaPlayer\Preferences\BackgroundScanCompleteDate 17/02/2008 22:30 40 bytes Data mismatch between Windows API and raw hive data.
HKLM\S-1-5-21-1848027462-874765906-2026797637-1007\Software\Microsoft\MSNMessenger\SQM\SessionTime 17/02/2008 22:29 4 bytes Data mismatch between Windows API and raw hive data.
C:\Documents and Settings\Sirocco\Local Settings\Application Data\Microsoft\Messenger\monadressemail@mail.fr\SharingMetadata\ami@hotmail.fr\DFSR\Staging\CS{E01566FF-7E09-2847-1F35-A21E9689E922}\01\395-{E01566FF-7E09-2847-1F35-A21E9689E922}-v1-{9FC 23/12/2007 20:36 8 bytes Hidden from Windows API.
C:\Documents and Settings\Sirocco\Local Settings\Application Data\Microsoft\Messenger\monadressemail@mail.fr\SharingMetadata\jaadressedunami@hotmail.fr\DFSR\Staging\CS{E01566FF-7E09-2847-1F35-A21E9689E922}\11\397-{91C72B2A-E861-4560-8190-B41458249F1C}-v11-{9F 09/01/2008 15:14 49.21 KB Hidden from Windows API.
C:\Documents and Settings\Sirocco\Local Settings\Application Data\Microsoft\Messenger\monadressemail@mail.fr\SharingMetadata\jaadressed@unami\DFSR\Staging\CS{E01566FF-7E09-2847-1F35-A21E9689E922}\11\397-{91C72B2A-E861-4560-8190-B41458249F1C}-v11-{9F 09/01/2008 15:14 3.42 KB Hidden from Windows API.
C:\Documents and Settings\Sirocco\Local Settings\Application Data\Microsoft\Messenger\monadressemail@mail.fr\SharingMetadata\jaadressed@unami\DFSR\Staging\CS{E01566FF-7E09-2847-1F35-A21E9689E922}\11\397-{91C72B2A-E861-4560-8190-B41458249F1C}-v11-{9F 09/01/2008 15:14 5.48 KB Hidden from Windows API.
C:\Documents and Settings\Sirocco\Local Settings\Application Data\Microsoft\Messenger\monadressemail@mail.fr\SharingMetadata\jaadressed@unami\DFSR\Staging\CS{0CA9F113-56ED-67A9-6A76-60ED038AF4D1}\01\54-{0CA9F113-56ED-67A9-6A76-60ED038AF4D1}-v1-{9FCD 28/09/2007 23:26 8 bytes Hidden from Windows API.
C:\Documents and Settings\Sirocco\Local Settings\Application Data\Microsoft\Messenger\monadressemail@mail.fr\SharingMetadata\adresse@ami.fr\DFSR\Staging\CS{0CA9F113-56ED-67A9-6A76-60ED038AF4D1}\09\311-{9FCD5F88-823D-49E6-BE9C-5AE8E98FD06A}-v309-{9 09/11/2007 20:00 118.79 KB Hidden from Windows API.
C:\Documents and Settings\Sirocco\Mes documents\Sirocco\Desktop.ini 10/11/2006 19:29 77 bytes Hidden from Windows API.
C:\Documents and Settings\Sirocco\Mes documents\Sirocco\Documents de MySite 10/11/2006 20:04 0 bytes Hidden from Windows API.
C:\Documents and Settings\Sirocco\Mes documents\Sirocco\Desktop.ini 10/11/2006 19:29 77 bytes Visible in Windows API, but not in MFT or directory index.
C:\Documents and Settings\Sirocco\Mes documents\Sirocco\Documents de MySite 10/11/2006 20:04 0 bytes Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll 26/07/2007 21:06 252.00 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll 26/07/2007 21:06 111.50 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\Prefetch\SPIDER.EXE-0B99044C.pf 17/02/2008 22:36 19.96 KB Hidden from Windows API.
C:\WINDOWS\Prefetch\WMIPRVSE.EXE-0D449B4F.pf 17/02/2008 22:34 28.95 KB Hidden from Windows API.
C:\WINDOWS\SoftwareDistribution\DataStore\DataStore.edb:KAVICHS 17/02/2008 22:33 36 bytes Hidden from Windows API.
C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb 17/02/2008 22:33 64.00 KB Visible in Windows API, MFT, but not in directory index.
C:\WINDOWS\SoftwareDistribution\EventCache\{7A38EECB-96E0-4C0E-89C0-21E07388B119}.bin 17/02/2008 22:36 8 bytes Hidden from Windows API.
DeNisCoOl
Messages postés
2802
Date d'inscription
vendredi 19 août 2005
Statut
Membre
Dernière intervention
28 février 2011
224
17 févr. 2008 à 23:43
17 févr. 2008 à 23:43
je vais aller manger car je n'ai juste une soupe dans le ventre pas trop les idées claires.
j'attends également l'interprétation du rapport look.txt
A+
j'attends également l'interprétation du rapport look.txt
A+
Lipton.Ice.Tea
Messages postés
105
Date d'inscription
lundi 11 février 2008
Statut
Membre
Dernière intervention
2 mars 2008
17 févr. 2008 à 23:51
17 févr. 2008 à 23:51
Okay, bon appétit ! :)
DeNisCoOl
Messages postés
2802
Date d'inscription
vendredi 19 août 2005
Statut
Membre
Dernière intervention
28 février 2011
224
18 févr. 2008 à 04:10
18 févr. 2008 à 04:10
Re,
Pas de véritable solution à l'horizon encore.
Il existe une solution avant le formatage, pour remettre un peu d'ordre dans les clés mais c'est un peu extrême.
Il faudra te préparer à sauvegarder tes fichiers personels au cas ou.
On garde cette solution sous le coude en attente.
Dodo time, gros mal de tête.
A+
Pas de véritable solution à l'horizon encore.
Il existe une solution avant le formatage, pour remettre un peu d'ordre dans les clés mais c'est un peu extrême.
Il faudra te préparer à sauvegarder tes fichiers personels au cas ou.
On garde cette solution sous le coude en attente.
Dodo time, gros mal de tête.
A+
Lipton.Ice.Tea
Messages postés
105
Date d'inscription
lundi 11 février 2008
Statut
Membre
Dernière intervention
2 mars 2008
19 févr. 2008 à 00:14
19 févr. 2008 à 00:14
Bonjour,
ALors ? Des idées pour un pc plus beau ? plus brillant ?
C'est vrai que lorsque j'essaie d'installer des softs KERIO, j'ai un message qui me dit que les paramètres de sécurité ne m'autorisent pas à installer ces logiciesl. Idem lorsque je souhaite télécharger certains anti fouteurs de merde...
Comment reprendre le pouvoir ? prendre le dessus ? commander ! C'est moi qui commande mon pc, pas un intrus !
ALors ? Des idées pour un pc plus beau ? plus brillant ?
C'est vrai que lorsque j'essaie d'installer des softs KERIO, j'ai un message qui me dit que les paramètres de sécurité ne m'autorisent pas à installer ces logiciesl. Idem lorsque je souhaite télécharger certains anti fouteurs de merde...
Comment reprendre le pouvoir ? prendre le dessus ? commander ! C'est moi qui commande mon pc, pas un intrus !
DeNisCoOl
Messages postés
2802
Date d'inscription
vendredi 19 août 2005
Statut
Membre
Dernière intervention
28 février 2011
224
19 févr. 2008 à 00:23
19 févr. 2008 à 00:23
Salut,
C'est n'est peut être pas un intru mais une clé qui a été modifié par une infection (mais laquelle...).
Et également en mode sans échec même résultat?
As tu essayé le mode administrateur accessible ou non?
A+
C'est n'est peut être pas un intru mais une clé qui a été modifié par une infection (mais laquelle...).
Et également en mode sans échec même résultat?
As tu essayé le mode administrateur accessible ou non?
A+
Lipton.Ice.Tea
Messages postés
105
Date d'inscription
lundi 11 février 2008
Statut
Membre
Dernière intervention
2 mars 2008
19 févr. 2008 à 00:41
19 févr. 2008 à 00:41
Salut,
Mode administrateur pour faire quoi ? Et sans échec, ok mais pour faire quoi exactement ? Quelles manips ?
Oui j'ai essayé. Je voulais lancer les softs de KERIO en tant qu'administrateur mais ça ne marche pas.
C:\WINDOWS\sysk32.dll est infecté par Spyware.NetVizor.
C:\WINDOWS\system32\Winsey\FrdParis.dll est infecté par Adware.StartPage.
>>>> je peux les virer manuellement ?
Mode administrateur pour faire quoi ? Et sans échec, ok mais pour faire quoi exactement ? Quelles manips ?
Oui j'ai essayé. Je voulais lancer les softs de KERIO en tant qu'administrateur mais ça ne marche pas.
C:\WINDOWS\sysk32.dll est infecté par Spyware.NetVizor.
C:\WINDOWS\system32\Winsey\FrdParis.dll est infecté par Adware.StartPage.
>>>> je peux les virer manuellement ?
DeNisCoOl
Messages postés
2802
Date d'inscription
vendredi 19 août 2005
Statut
Membre
Dernière intervention
28 février 2011
224
19 févr. 2008 à 00:55
19 févr. 2008 à 00:55
Lipton,
>>> Mode administrateur pour faire quoi ? Et sans échec, ok mais pour faire quoi exactement ? Quelles manips ?
Oui pour Kerio en particulier.
Essayes Combofix mais je doutes que cela marche également.
C:\WINDOWS\sysk32.dll est infecté par Spyware.NetVizor.
C:\WINDOWS\system32\Winsey\FrdParis.dll est infecté par Adware.StartPage.
Qui a détecté ces fichiers?
As tu le rapport?
>>>> je peux les virer manuellement ?
oui avec OtMoveIT, car je doutes que tu puisses le faire manuellement mais essayes au cas ou, renvois un rapport.
espérons juste qu'il n'y a pas de clé de registre associé à ces dll.
A+
>>> Mode administrateur pour faire quoi ? Et sans échec, ok mais pour faire quoi exactement ? Quelles manips ?
Oui pour Kerio en particulier.
Essayes Combofix mais je doutes que cela marche également.
C:\WINDOWS\sysk32.dll est infecté par Spyware.NetVizor.
C:\WINDOWS\system32\Winsey\FrdParis.dll est infecté par Adware.StartPage.
Qui a détecté ces fichiers?
As tu le rapport?
>>>> je peux les virer manuellement ?
oui avec OtMoveIT, car je doutes que tu puisses le faire manuellement mais essayes au cas ou, renvois un rapport.
espérons juste qu'il n'y a pas de clé de registre associé à ces dll.
A+
Lipton.Ice.Tea
Messages postés
105
Date d'inscription
lundi 11 février 2008
Statut
Membre
Dernière intervention
2 mars 2008
19 févr. 2008 à 01:01
19 févr. 2008 à 01:01
Et tu connais www.regrun.com ? C'est un programme de confiance ou pas ??? Parce que j'ai hdplugin1101.dll détecté par "Spyware Remover". (HDPlugin1101.dll is Trojan/Backdoor Gator family.Remove HDPlugin1101.dll from Windows startup using RegRun.)
J'ai tapé sur le net HDplugin1101.dll et j'ai eu ce résultat. Ma question est est-ce que regrun est un programme OK ou PAS OK ???
J'ai aussi lnod32apiA.dll et en cherchant un petit peu je suis tombée sur un post dans CCM dans lequel ceci apparait. Je télécharge RenV.exe et vous post un rapport ?? :))))
Télécharge RenV.exe sur ton Bureau:
http://download.bleepingcomputer.com/sUBs/Beta/RenV.exe
Double-clic sur RenV.exe pour le lancer, et patiente.
Un rapport, log.txt, sera crée, et s'ouvrira à la fin du scan, poste le.
A +
On dirait que je prends pas mal latête sur ce problème ou on ne dirait pas ?? :D
J'ai tapé sur le net HDplugin1101.dll et j'ai eu ce résultat. Ma question est est-ce que regrun est un programme OK ou PAS OK ???
J'ai aussi lnod32apiA.dll et en cherchant un petit peu je suis tombée sur un post dans CCM dans lequel ceci apparait. Je télécharge RenV.exe et vous post un rapport ?? :))))
Télécharge RenV.exe sur ton Bureau:
http://download.bleepingcomputer.com/sUBs/Beta/RenV.exe
Double-clic sur RenV.exe pour le lancer, et patiente.
Un rapport, log.txt, sera crée, et s'ouvrira à la fin du scan, poste le.
A +
On dirait que je prends pas mal latête sur ce problème ou on ne dirait pas ?? :D