Sujet Précédent Sujet Suivant

Win32:PurityScan-Q [Trj] me mène la vie dure

Résolu/Fermé
Kali - 20 févr. 2008 à 04:01
papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 - 13 mars 2008 à 22:17
Bonjour,

Je vous contacte car Avast vient de trouver un piti cheval de troie dans ma machine : Win32:PurityScan-Q [Trj]
Il me conseille de le mettre en quarantaine mais quand je le fait il me dit que c'est "impossible", idem quand j'essaye de l'effacer.

Le fichier corrompu est "C:\DOCUME~1\HP_PRO~1\LOCALS~1\Temp\mshtml3.exe\[UPX]" Je ne suis vraiment pas douée en informatique mais il me semble k'il s'agit d'un fichier temporaire, est-ce pour ca qe je ne peux le mettre en quarantaine?

Que dois-je faire messieurs et mesdames les pro de l'informatique? Plz aidez moi :)
Merci^^

17 réponses

Réponse 1 / 17
Kali
20 févr. 2008 à 04:10
me revoila, 1 cheval de troie ne suffsait pas, Avast vient d'en découvrir un 2eme:

nom du fichier : C:\WINDOWS\system32\rp1\tliamdll2.exe

nom du logiciel malveillant : Win32:Trojano-2873 [Trj]

Pas cool tout ca :(
0
Réponse 2 / 17
Kali
20 févr. 2008 à 04:19
Jamais 2 sans 3 :

nom du fichier : C:\WINDOWS\17PHolmes572.exe\[UPX]
Nom du logiciel malveillant : Win32:Agent-RUQ [Trj]


... et de 4 :
nom du fichier : C:\WINDOWS\17PHolmes572.exe\[UPX]
Nom du logiciel malveillant : Win32:Agent-RUQ [Trj]


... erf yen a encore plein d'autres... je ne comprends pas ca faisait 2 ans que je n'avais pas eu de souci et la en une soirée je ùe fais massacrer :(
0
Réponse 3 / 17
lookgirl57 Messages postés 5 Date d'inscription mardi 30 octobre 2007 Statut Membre Dernière intervention 20 février 2008
20 févr. 2008 à 14:14
Moi aussi, j'ai le même problème. En plus je suis sur un ordinateur extra lent, j'ai voulu essayer de télécharger ANTIVIR parce que apparement, c'est toujours le logiciel AVAST qui le trouve ( d'après les forums de discutions ). Je suis perdu !! Si quelqu'un pourrait nous aider sa serait sympas ^^
0
Réponse 4 / 17
papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 257
20 févr. 2008 à 14:20
Télécharge combofix.exe (par sUBs) sur ton Bureau
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
désactive ton antivirus, antispyware, et Spybot (résident) durant l'utilisation de ComboFix . Merci. Tu réactives ensuite.
Double clique combofix.exe.
Tape sur la touche Y (Yes) pour démarrer le scan.
Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 17
oumHanif
10 mars 2008 à 20:39
moi j'ai le même soucis, c'est Win32:Agent-RUQ [Trj] qui me reviens sans arrêt.

j'ai suivi les directives données ci-dessus, merci papyber, suite à ça il y a eut analyse, une liste de fichier à supprimer est venue, puis la liste des étapes franchies, je crois 30 et quelque, ensuite tout à disparu de mon bureau.
j'ai alors redémarré mon ordi, qui ne semble pas souffrir de quoi que ce soit, l'avenir me dira s'il est désinfecté et n'a pas subit de problème.

dans le fichier combotfix j'ai juste ceci ? est-ce ca le rapport ou bien est-ce que j'ai redémarrer trop vite l'ordi et que toutes les étapes n'ont pas été franchies?

merci de votre aide


ComboFix 08-03-10.1 - Administrateur 2008-03-10 14:07:06.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.441 [GMT 1:00]
Endroit: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!/b/color
.
0
Réponse 6 / 17
papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 257
10 mars 2008 à 22:46
le rapport est incomplet...
0
oumHanif
11 mars 2008 à 01:14
j'ai refait la procedure, cette fois le rapport est bien plus long...

ComboFix 08-03-10.1 - Administrateur 2008-03-10 19:34:06.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.469 [GMT 1:00]
Endroit: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\Administrateur\Application Data\AVSystemCare
C:\Documents and Settings\Administrateur\Application Data\AVSystemCare\Logs\threats.log
C:\Documents and Settings\Administrateur\Application Data\AVSystemCare\PGE.dat
C:\Documents and Settings\Administrateur\Application Data\WinTouch
C:\Documents and Settings\Administrateur\Application Data\WinTouch\wintouch.cfg
C:\WINDOWS\BMff115c1c.xml
C:\WINDOWS\cookies.ini
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\a3
C:\WINDOWS\system32\adeeg.ini
C:\WINDOWS\system32\adeeg.ini2
C:\WINDOWS\system32\ajjejldh.dll
C:\WINDOWS\system32\akdljnrx.ini
C:\WINDOWS\system32\bhhugfxh.dll
C:\WINDOWS\system32\bjjbxthc.dll
C:\WINDOWS\system32\byxwtqn.dll
C:\WINDOWS\system32\byxwxvv.dll
C:\WINDOWS\system32\byxxyxu.dll
C:\WINDOWS\system32\cbxxusp.dll
C:\WINDOWS\system32\dhksadcq.dll
C:\WINDOWS\system32\diieucqs.ini
C:\WINDOWS\system32\dweqydhe.dll
C:\WINDOWS\system32\efcbaxv.dll
C:\WINDOWS\system32\ehdyqewd.ini
C:\WINDOWS\system32\fccbcbc.dll
C:\WINDOWS\system32\flinjxja.dll
C:\WINDOWS\system32\ftpnyglm.ini
C:\WINDOWS\system32\ftuiojjk.dll
C:\WINDOWS\system32\g1
C:\WINDOWS\system32\g1\caws83122.exe
C:\WINDOWS\system32\ggqimhth.dll
C:\WINDOWS\system32\gxwllvvw.dll
C:\WINDOWS\system32\hdljejja.ini
C:\WINDOWS\system32\hpfuskrn.dll
C:\WINDOWS\system32\hxfguhhb.ini
C:\WINDOWS\system32\idtarxyf.dll
C:\WINDOWS\system32\jcjjqeow.dll
C:\WINDOWS\system32\jgexcxwy.dll
C:\WINDOWS\system32\jvdyygfc.ini
C:\WINDOWS\system32\kbvrqckm.dll
C:\WINDOWS\system32\kycujlcf.dll
C:\WINDOWS\system32\ljjgghe.dll
C:\WINDOWS\system32\ljjhfcb.dll
C:\WINDOWS\system32\lkayuusa.dll
C:\WINDOWS\system32\meojluhw.dll
C:\WINDOWS\system32\msosnhyl.dll
C:\WINDOWS\system32\mtqbrxeu.dll
C:\WINDOWS\system32\nmdjmkas.dll
C:\WINDOWS\system32\ocvgddoh.ini
C:\WINDOWS\system32\opnkkkh.dll
C:\WINDOWS\system32\pergnbco.dll
C:\WINDOWS\system32\pfwuvrpx.dll
C:\WINDOWS\system32\pmkjh.dll
C:\WINDOWS\system32\qgbujipa.dll
C:\WINDOWS\system32\qnbtfvea.dll
C:\WINDOWS\system32\qyfjwulc.dll
C:\WINDOWS\system32\rbdngbau.dll
C:\WINDOWS\system32\rncanvok.dll
C:\WINDOWS\system32\rtwyyxfl.dll
C:\WINDOWS\system32\sqcueiid.dll
C:\WINDOWS\system32\srncpxir.dll
C:\WINDOWS\system32\tlmgfruq.dll
C:\WINDOWS\system32\ttutv.ini
C:\WINDOWS\system32\ttutv.ini2
C:\WINDOWS\system32\tvedoler.dll
C:\WINDOWS\system32\udkbaqsw.dll
C:\WINDOWS\system32\uqeebhhg.dll
C:\WINDOWS\system32\uvehkmsc.dll
C:\WINDOWS\system32\vtutt.dll
C:\WINDOWS\system32\wawvvqcc.dll
C:\WINDOWS\system32\wskluvrk.dll
C:\WINDOWS\system32\wyjpaenp.dll
C:\WINDOWS\system32\xhcusdof.dll
C:\WINDOWS\system32\xrnjldka.dll
C:\WINDOWS\system32\yxkesefn.dll
C:\WINDOWS\system32\z1

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\LEGACY_CMDSERVICE
-------\LEGACY_DOMAINSERVICE
-------\LEGACY_NETWORK_MONITOR


((((((((((((((((((((((((((((( Fichiers créés 2008-02-10 to 2008-03-10 ))))))))))))))))))))))))))))))))))))
.

2008-03-10 14:00 . 2008-03-10 14:00 37,376 --a------ C:\WINDOWS\17PHolmes572.exe
2008-03-10 12:40 . 2008-03-10 15:31 20,480 --a------ C:\WINDOWS\quit.exe
2008-03-10 09:20 . 2008-03-10 12:44 210 --a------ C:\WINDOWS\MicroSoft.vbs
2008-03-09 12:16 . 2008-03-10 12:16 1,324,046 ---hs---- C:\WINDOWS\system32\jklmpuam.ini
2008-03-04 14:03 . 2008-03-06 08:17 1,301,086 ---hs---- C:\WINDOWS\system32\mooivkev.ini
2008-03-03 14:26 . 2008-03-04 13:30 1,303,291 ---hs---- C:\WINDOWS\system32\lgwwsqud.ini
2008-03-02 14:22 . 2008-03-03 14:23 1,302,922 ---hs---- C:\WINDOWS\system32\qtwnylln.ini
2008-02-20 19:07 . 2008-03-08 09:03 <REP> d-------- C:\Program Files\Windows Live Safety Center
2008-02-20 09:43 . 2008-02-21 19:36 <REP> d-------- C:\Zik
2008-02-19 11:37 . 2008-02-19 11:37 4,096 --a------ C:\info.exe
2008-02-19 11:37 . 2008-02-19 11:37 51 --a------ C:\tmp.bat
2008-02-15 07:58 . 2008-02-15 07:58 <REP> d-------- C:\Documents and Settings\Administrateur\SparkAngels
2008-02-11 19:51 . 2008-02-11 19:51 <REP> d-------- C:\Program Files\DivX

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-10 07:31 --------- d-----w C:\Program Files\FlashGet
2008-03-09 14:51 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\OpenOffice.org2
2008-03-01 17:05 --------- d-----w C:\Program Files\eMule
2008-03-01 15:07 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\Skype
2008-02-26 11:10 --------- d-----w C:\Program Files\WengoPhone
2008-02-21 11:05 --------- d-----w C:\Program Files\SpeedFan
2008-02-15 21:58 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-02-11 10:49 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\AdobeUM
2008-02-09 16:50 --------- d-----w C:\Program Files\IrfanView
2008-02-06 05:29 --------- d-----w C:\Program Files\iTunes
2008-02-06 05:29 --------- d-----w C:\Program Files\iPod
2008-02-06 05:28 --------- d-----w C:\Program Files\QuickTime
2008-01-17 13:10 28,400 -c--a-w C:\WINDOWS\system32\drivers\secdrv.sys
2008-01-17 13:09 --------- d-----w C:\Program Files\Mindscape
2008-01-15 21:52 140,800 --sh--w C:\Program Files\Fichiers communs\Yazzle1281OinAdmin.exe
2008-01-15 05:31 715,248 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2008-01-12 17:16 --------- d-----w C:\Documents and Settings\All Users\Application Data\Office Genuine Advantage
2008-01-12 09:19 --------- d-----w C:\Program Files\Icon to Any
2008-01-10 21:55 --------- d-----w C:\Program Files\Combined Community Codec Pack
2008-01-06 09:09 74,304 ----a-w C:\WINDOWS\system32\ewtfnlrf.exe
2007-12-31 08:02 74,304 ----a-w C:\WINDOWS\system32\yhjxgvrw.exe
2007-12-30 08:01 74,304 ----a-w C:\WINDOWS\system32\bsaclxtd.exe
2007-12-29 08:03 74,304 ----a-w C:\WINDOWS\system32\fpvjopeu.exe
2007-12-28 06:55 74,304 ----a-w C:\WINDOWS\system32\vpwhkwsp.exe
2007-12-27 06:53 74,304 ----a-w C:\WINDOWS\system32\jwkinnea.exe
2007-12-25 14:07 74,304 ----a-w C:\WINDOWS\system32\qlfxwmge.exe
2007-12-24 18:48 74,304 ----a-w C:\WINDOWS\system32\kuyiicdv.exe
2007-12-23 18:40 991,110 --sha-w C:\WINDOWS\system32\klpgdomd.tmp
2007-12-23 15:37 74,304 ----a-w C:\WINDOWS\system32\bpvviaip.exe
2007-12-22 15:15 74,304 ----a-w C:\WINDOWS\system32\ejomrqha.exe
2007-12-21 15:15 74,304 ----a-w C:\WINDOWS\system32\lukeljyp.exe
2007-12-19 20:47 415,267 ----a-w C:\WINDOWS\system32\adeeg.ini2.ren
2007-12-19 20:34 992,989 ----a-w C:\WINDOWS\system32\cwablvlo.ini.ren
2007-12-19 14:59 85,568 ----a-w C:\WINDOWS\system32\olvlbawc.dll.ren
2007-12-19 14:57 74,304 ----a-w C:\WINDOWS\system32\syfljxca.exe
2007-12-18 14:48 74,304 ----a-w C:\WINDOWS\system32\bhndtuka.exe
2007-12-17 14:48 74,304 ----a-w C:\WINDOWS\system32\iokyyxky.exe
2007-11-05 10:17 10 -c--a-w C:\Program Files\.autoreg
2007-11-02 09:20 282,308 -csh--w C:\WINDOWS\system32\stutv.bak1
.

------- Sigcheck -------

2004-08-18 11:22 359040 27a5959c94ee173a063ca06bd14f021a C:\WINDOWS\system32\drivers\tcpip.sys

2004-08-23 00:35 1036288 998f3f568f6074a35ab08cd3395a9dc2 C:\WINDOWS\explorer.exe
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{97ECE005-1CFB-45DC-BF53-5183C0A40B7B}]
C:\WINDOWS\system32\geeda.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 02:54 15360]
"WengoPhoneNG"="C:\Program Files\WengoPhone\qtwengophone.exe" [2007-08-22 16:26 4964352]
"CanalPlayer"="C:\Program Files\Lecteur CANALPLAY\CanalPlayer.exe" [ ]
"WeatherEye"="C:\Program Files\MétéoMédia\MétéoÉclair\WeatherEye.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"SkyTel"="SkyTel.EXE" [2006-08-16 11:21 2879488 C:\WINDOWS\SkyTel.exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-08-16 11:23 16248320 C:\WINDOWS\RTHDCPL.exe]
"AzMixerSel"="C:\Program Files\Realtek\InstallShield\AzMixerSel.exe" [2006-08-16 11:20 53248]
"ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-05-10 11:12 90112]
"GrooveMonitor"="C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 00:47 31016]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-11-01 16:01 185632]
"avast!"="C:\Program Files\Alwil Software\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2006-05-10 09:48 94208 C:\WINDOWS\KHALMNPR.Exe]
"LogitechCommunicationsManager"="C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe" [2006-05-17 14:18 480816]
"LVCOMSX"="C:\Program Files\Fichiers communs\Logitech\LComMgr\LVComSX.exe" [2006-05-17 10:12 243248]
"InstantAccess"="C:\PROGRA~1\TextBridge Classic 2.0\Bin\InstantAccess.exe" [1998-07-07 16:04 37376]
"RegisterDropHandler"="C:\PROGRA~1\TextBridge Classic 2.0\Bin\RegisterDropHandler.exe" [1998-07-07 16:20 22528]
"bm"="C:\Program Files\Fichiers communs\AVSystemCare\bm.exe" [ ]
"ptask"="C:\Program Files\AVSystemCare\ptask.exe" [ ]
"ISUSPM Startup"="C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe" [2005-02-17 07:15 221184]
"ISUSScheduler"="C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2005-02-17 07:15 81920]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-01-10 15:27 385024]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2008-01-15 03:22 267048]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"RegisterDropHandler"="C:\PROGRA~1\TextBridge Classic 2.0\Bin\RegisterDropHandler.exe" [1998-07-07 16:20 22528]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\iifgfda]
iifgfda.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ljjhfcb]
ljjhfcb.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmnoopn]
pmnoopn.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"D:\\Foxmail\\Foxmail 6 B4\\FoxHot.exe"=
"C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"C:\\Program Files\\Wengo\\wengophone.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"C:\\Program Files\\Real Alternative\\Media Player Classic\\mplayerc.exe"=
"C:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"C:\\Program Files\\WengoPhone\\qtwengophone.exe"=
"C:\\Program Files\\aMSN\\bin\\wish.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=

R2 LBeepKE;LBeepKE;C:\WINDOWS\system32\Drivers\LBeepKE.sys [2006-05-25 00:53]
S2 FastPara;FastPara;C:\WINDOWS\system32\drivers\FastPara.sys [1999-06-10 16:23]
S2 PV8630;USB Scan 300/600 Device Driver;C:\WINDOWS\system32\DRIVERS\PV8630.sys [1999-02-26 19:56]

.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2008-02-21 23:01:45 C:\WINDOWS\Tasks\At1.job"
- C:\WINDOWS\system32\WbT53iMK.exe
"2008-03-10 08:01:46 C:\WINDOWS\Tasks\At10.job"
- C:\WINDOWS\system32\WbT53iMK.exe
"2008-03-10 09:01:52 C:\WINDOWS\Tasks\At11.job"
- C:\WINDOWS\system32\WbT53iMK.exe
"2008-03-10 10:01:46 C:\WINDOWS\Tasks\At12.job"
- C:\WINDOWS\system32\WbT53iMK.exe
"2008-03-10 11:01:47 C:\WINDOWS\Tasks\At13.job"
- C:\WINDOWS\system32\WbT53iMK.exe
"2008-03-10 12:01:47 C:\WINDOWS\Tasks\At14.job"
- C:\WINDOWS\system32\WbT53iMK.exe
"2008-03-10 13:01:46 C:\WINDOWS\Tasks\At15.job"
- C:\WINDOWS\system32\WbT53iMK.exe
"2008-03-10 14:02:07 C:\WINDOWS\Tasks\At16.job"
- C:\WINDOWS\system32\WbT53iMK.exe
"2008-03-10 15:01:47 C:\WINDOWS\Tasks\At17.job"
- C:\WINDOWS\system32\WbT53iMK.exe
"2008-03-10 16:01:46 C:\WINDOWS\Tasks\At18.job"
- C:\WINDOWS\system32\WbT53iMK.exe
"2008-03-10 17:01:46 C:\WINDOWS\Tasks\At19.job"
- C:\WINDOWS\system32\WbT53iMK.exe
"2008-02-19 00:01:45 C:\WINDOWS\Tasks\At2.job"
- C:\WINDOWS\system32\WbT53iMK.exe
"2008-03-08 18:01:45 C:\WINDOWS\Tasks\At20.job"
- C:\WINDOWS\system32\WbT53iMK.exe
"2008-03-08 19:01:45 C:\WINDOWS\Tasks\At21.job"
- C:\WINDOWS\system32\WbT53iMK.exe
"2008-03-08 20:01:49 C:\WINDOWS\Tasks\At22.job"
- C:\WINDOWS\system32\WbT53iMK.exe
"2008-03-08 21:01:45 C:\WINDOWS\Tasks\At23.job"
- C:\WINDOWS\system32\WbT53iMK.exe
"2008-03-04 22:01:46 C:\WINDOWS\Tasks\At24.job"
- C:\WINDOWS\system32\WbT53iMK.exe
"2008-01-18 01:01:45 C:\WINDOWS\Tasks\At3.job"
- C:\WINDOWS\system32\WbT53iMK.exe
"2008-01-07 02:02:07 C:\WINDOWS\Tasks\At4.job"
- C:\WINDOWS\system32\WbT53iMK.exe
"2008-01-07 03:02:08 C:\WINDOWS\Tasks\At5.job"
- C:\WINDOWS\system32\WbT53iMK.exe
"2008-01-18 04:01:52 C:\WINDOWS\Tasks\At6.job"
- C:\WINDOWS\system32\WbT53iMK.exe
"2008-02-26 05:01:52 C:\WINDOWS\Tasks\At7.job"
- C:\WINDOWS\system32\WbT53iMK.exe
"2008-03-09 06:01:45 C:\WINDOWS\Tasks\At8.job"
- C:\WINDOWS\system32\WbT53iMK.exe
"2008-03-10 07:01:56 C:\WINDOWS\Tasks\At9.job"
- C:\WINDOWS\system32\WbT53iMK.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-10 19:47:27
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs a chargé sous des processus courants ---------------------

PROCESS: C:\WINDOWS\explorer.exe [6.00.2900.2180]
-> C:\PROGRA~1\TextBridge Classic 2.0\Bin\TBMHOOK.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\RtkBtMnt.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-03-10 19:50:16 - machine was rebooted [Administrateur]
ComboFix-quarantined-files.txt 2008-03-10 18:50:11



que dois-je faire maintenant ?

merci
0
Réponse 7 / 17
papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 257
11 mars 2008 à 08:18
rapport combofix en examen
Télécharge SmitfraudFix de S!Ri, balltrap34 et moe31
http://siri.urz.free.fr/Fix
Installe le à la racine de C\ : double clique sur l'exe pour le décompresser et lancer le fix.
Utilisation ----- option 1 - Recherche :
Double clique sur smitfraudfix.cmd Sélectionne 1 pour créer un rapport des fichiers responsables de l'infection.
Poste le rapport
Attention : process.exe est détecté par certains antivirus comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité
0
oumHanif
11 mars 2008 à 15:37
avec smitfraudfix, voilà le rapport

SmitFraudFix v2.301

Rapport fait à 10:31:27,10, 11/03/2008
Executé à partir de C:\Program Files\Mozilla Firefox\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe
C:\Program Files\Fichiers communs\Logitech\LComMgr\LVComSX.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\TextBridge Classic 2.0\Bin\InstantAccess.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\WengoPhone\qtwengophone.exe
C:\Program Files\MétéoMédia\MétéoÉclair\WeatherEye.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\RtkBtMnt.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Kv21rFyi.exe
C:\Program Files\aMSN\bin\wish.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

C:\WINDOWS\Tasks\At?.job PRESENT !
C:\WINDOWS\Tasks\At??.job PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Carte réseau Broadcom 802.11g - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.2.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{2CAC820D-C516-409F-915C-B636A28D2A52}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{2CAC820D-C516-409F-915C-B636A28D2A52}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{2CAC820D-C516-409F-915C-B636A28D2A52}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{2CAC820D-C516-409F-915C-B636A28D2A52}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin
0
Réponse 8 / 17
papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 257
11 mars 2008 à 16:37
Redémarrer l'ordinateur en mode sans échec
1) Redémarre ton ordi
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisi la première option : Sans Échec, et valide avec "Entrée"
5) Choisi ton compte habituel, et non Administrateur

· Double cliquer sur Smitfraudfix.exe.
· Sélectionner 2 pour supprimer les fichiers responsables de l'infection.
· A la question Voulez-vous nettoyer le registre ?], répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection. Le fix déterminera si le fichier wininet.dll est infecté.
· A la question Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.
· Quitter le programme en appuyant sur Q.
N.B.: Cette étape élimine les fichiers infectieux détectés à l'étape #1
Attention que l'option 2 de l'outil supprime le fond d'écran !

process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Redémarrer normalement et coller sur le forum le rapport généré et un rapport hijack this
0
Réponse 9 / 17
oumHanif
11 mars 2008 à 17:32
j'ai respectés les étapes, sauf que je n'ai pas eut la question corriger, voilà le rapport

SmitFraudFix v2.301

Rapport fait à 11:47:35,89, 11/03/2008
Executé à partir de C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINDOWS\Tasks\At?.job supprimé
C:\WINDOWS\Tasks\At??.job supprimé

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{2CAC820D-C516-409F-915C-B636A28D2A52}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{2CAC820D-C516-409F-915C-B636A28D2A52}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{2CAC820D-C516-409F-915C-B636A28D2A52}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{2CAC820D-C516-409F-915C-B636A28D2A52}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin


merci
0
Réponse 10 / 17
papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 257
11 mars 2008 à 18:30
bien
on continue
1*
Télécharge SDFix d’ Andy Manchesta sur ton bureau
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

clic double sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.
Redémarre ton ordinateur en mode sans échec

1) Redémarre ton ordi
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisi la première option : Sans Échec, et valide avec "Entrée"
5) Choisi ton compte régulier, et non Administrateur

Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et clic double sur RunThis.bat
Appuie sur Y pour commencer le nettoyage.
Il va supprimer les services et les entrées du Registre infectés puis te demandera d'appuyer sur une touche pour redémarrer.
Appuie sur une touche pour redémarrer le PC.
Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
Enfin, poste le contenu du fichier Report.txt dans ta prochaine réponse sur le forum,

2*
Ouvre le bloc-note (Démarrer>programmes>Accessoires>Bloc-note) et copie-colle le texte en citation : 
File::
C:\WINDOWS\quit.exe 
C:\WINDOWS\system32\jklmpuam.ini
C:\WINDOWS\system32\mooivkev.ini
C:\WINDOWS\system32\lgwwsqud.in
C:\WINDOWS\system32\qtwnylln.ini
C:\info.exe 
C:\Program Files\Fichiers communs\Yazzle1281OinAdmin.exe
C:\WINDOWS\system32\ewtfnlrf.exe
C:\WINDOWS\system32\yhjxgvrw.exe
C:\WINDOWS\system32\bsaclxtd.exe
C:\WINDOWS\system32\fpvjopeu.exe
C:\WINDOWS\system32\vpwhkwsp.exe
C:\WINDOWS\system32\jwkinnea.exe
C:\WINDOWS\system32\qlfxwmge.exe
C:\WINDOWS\system32\kuyiicdv.exe
C:\WINDOWS\system32\klpgdomd.tmp
C:\WINDOWS\system32\bpvviaip.exe
C:\WINDOWS\system32\ejomrqha.exe
C:\WINDOWS\system32\lukeljyp.exe
C:\WINDOWS\system32\adeeg.ini2.ren
C:\WINDOWS\system32\cwablvlo.ini.ren
C:\WINDOWS\system32\olvlbawc.dll.ren
C:\WINDOWS\system32\syfljxca.exe
C:\WINDOWS\system32\bhndtuka.exe
C:\WINDOWS\system32\iokyyxky.exe
C:\WINDOWS\system32\stutv.bak1 

Folder::
C:\Program Files\.autoreg 
C:\Program Files\Fichiers communs\AVSystemCare


Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{97ECE005-1CFB-45DC-BF53-5183C0A40B7B}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"bm"=-
"ptask"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\iifgfda]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ljjhfcb]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmnoopn]



Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte précedemment copié.

Sauvegarde ce fichier sous le nom de CFScript.txt

http://img115.imageshack.us/img115/6742/cfscriptws3.gif

Comme l'image le montre, fait glisser CFScript.txt sur Combofix.exe

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt



0
oumHanif
11 mars 2008 à 20:45
l'ordi plante quand je le demarre, il s'eteind s'en prevenir.

Les 2 fois ou je suis arrivée au bout du demarrage, en mode sans echec, je n'ai que le choix d'ouvrire la cession admin sous windows...
est-ce que je peux quand meme faire la manip depuis le cession admin ? quels sont les risques ?

merci
0
Réponse 11 / 17
papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 257
11 mars 2008 à 20:52
laisse tomber et fais Combofix en mode normal
tu essaieras ensuite de faire SDFix
0
oumHanif
11 mars 2008 à 21:54
je refais combofix comme la premiere fois ou je fais glisser le fichier comme dans l'etape 2 ci dessus ?
je crois que windows a telecharger des mises a jopur quand j'ai éteinds l'ordi est-ce que ca peut venir de là ?

merci
0
oumHanif
12 mars 2008 à 00:47
finalement ça à passé,
bilan de l'étape 1


[b]SDFix: Version 1.155 [/b]

Run by Administrateur on 11/03/2008 at 19:02

Microsoft Windows XP [version 5.1.2600]
Running From: C:\DOCUME~1\ADMINI~1\Bureau\sdfix\SDFix

[b]Checking Services [/b]:


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting


[b]Checking Files [/b]:

Trojan Files Found:

C:\PROGRA~1\WINDOW~1\LACUQYK - Deleted
C:\Program Files\Fichiers communs\Yazzle1281OinAdmin.exe - Deleted
C:\WINDOWS\17PHolmes572.exe - Deleted
C:\WINDOWS\b111.exe - Deleted
C:\WINDOWS\b149.exe - Deleted
C:\WINDOWS\Downloaded Program Files\UGA6PV_0001_N122M1202NetInstaller.exe - Deleted
C:\WINDOWS\Downloaded Program Files\UGDCFR_0001_N122M1912NetInstaller.exe - Deleted
C:\WINDOWS\Downloaded Program Files\UGESV_0001_N122M0303NetInstaller.exe - Deleted
C:\Program Files\.autoreg - Deleted



Folder C:\Documents and Settings\All Users\Application Data\SalesMon - Removed


Removing Temp Files

[b]ADS Check [/b]:



[b]Final Check [/b]:

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-11 19:34:18
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Reinstall\D\n\21]
"DisplayName"="\xb973\x778e"
"DeviceDesc"="\xb973\x778e"
"ProviderName"="\x27fc\21\xee18\x7c91\x286c\21\b"
"MFG"="\xc1bf\b\xe12b\x1803\x688"
"ReinstallString"=".10.1000.7"
"DeviceInstanceIds"=str(7):"c:\documents and settings\administrateur\mes documents\vga\vga\sbdrv\smbus\smbusati.inf"

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"D:\\Foxmail\\Foxmail 6 B4\\FoxHot.exe"="D:\\Foxmail\\Foxmail 6 B4\\FoxHot.exe:*:Enabled:Foxmail-Hotmail Proxy Application"
"C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"="C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"
"C:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"="C:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE:*:Enabled:Microsoft Office Groove"
"C:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"="C:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote"
"C:\\Program Files\\Wengo\\wengophone.exe"="C:\\Program Files\\Wengo\\wengophone.exe:*:Enabled:WengoPhone"
"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"
"C:\\Program Files\\Real Alternative\\Media Player Classic\\mplayerc.exe"="C:\\Program Files\\Real Alternative\\Media Player Classic\\mplayerc.exe:*:Enabled:Media Player Classic"
"C:\\Program Files\\VideoLAN\\VLC\\vlc.exe"="C:\\Program Files\\VideoLAN\\VLC\\vlc.exe:*:Enabled:VLC media player"
"C:\\Program Files\\WengoPhone\\qtwengophone.exe"="C:\\Program Files\\WengoPhone\\qtwengophone.exe:*:Enabled:WengoPhone"
"C:\\Program Files\\aMSN\\bin\\wish.exe"="C:\\Program Files\\aMSN\\bin\\wish.exe:*:Enabled:Wish Application"
"C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

[b]Remaining Files [/b]:


File Backups: - C:\DOCUME~1\ADMINI~1\Bureau\sdfix\SDFix\backups\backups.zip

[b]Files with Hidden Attributes [/b]:

Sun 23 Dec 2007 991,110 A.SH. --- "C:\WINDOWS\system32\klpgdomd.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\17e3f23ff72184333b78d75c8e81cda8\BIT4D.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\222426828c4507f67ae73404f850464e\BIT36.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\27cf07bb8c275706965013dda668bc26\BITE.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\27efdbd68a382580fdb15dd4f797360e\BIT55.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\29f6d57cd4efa945b402cdec2ffedddf\BIT4F.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\2b0ec6af95107cd747155f214801a1de\BIT3F.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\3887d65d3ab5fa0d45001f504bed5b37\BIT30.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\3d626d96e6e22b8a5867784640121555\BIT45.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\42526a992b20eef1df8750beb4f78f35\BIT54.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\4724ea0e197f99f5dc110621c05f3367\BIT2B.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\4896e7eb404b9f0d2ec9221b3c0f425b\BIT34.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\4febda7b78da8f94eaee96a8b432d591\BIT2A.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\5857fd464a38367b479c179d651cd5d4\BIT40.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\598b3ea05d3c2f275520ea46f80fb98d\BIT4E.tmp"
Fri 8 Jul 2005 483,568 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\5cbce544ba5a58e170acdb52973e4471\BIT25.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\5d24ad19cee78bba662249a4deccb260\BIT52.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\5f04040f0ee4f5284e03d88e1fa5a7e1\BIT53.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\60ed62953e03ee5bf235cba11ef6e53b\BIT2F.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\6291f486ec5de5182ec3cff2071af184\BIT43.tmp"
Fri 7 Oct 2005 31,269 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\6c75180874e00b1d103af2b8b2b3b170\BIT27.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\72480a427b1c43ed1a1d42cac8cadfc7\BIT32.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\7351a9d6fb0d30de886b0cdad6ea8ae1\BIT37.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\79dfe016119d9f9104f7a081382c2de7\BIT46.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\7a40be1d5e41517009a903a286bf28bd\BIT2C.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\7d67df8d2fa218514bbe5a22ae12a9b3\BIT57.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\813a989071c1720c8fca52f421b7b9e5\BIT44.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\84db8362c64a1369b93bd1a60a67cb01\BIT3B.tmp"
Fri 30 Mar 2007 103,500 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\8cf13444ad5b33cad5e4b774633810f9\BIT26.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\8d31f6e93a03bc7a736602ed1adb9986\BIT33.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\90e550d1a108d8bbd6da9841aafd83a8\BIT58.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\90eded57e7780b832eed3339a922a322\BIT31.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\a04a8dce324b141449b6bb4b762ae54a\BIT51.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\a3debb4e9e3b20d27b1821077eb58bad\BIT38.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\a957c596efa7d0ec1b4b7fdc1e1c5705\BIT49.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\b3a6b8f8ae8b25051b4e857c13353250\BIT50.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\b857106b57491ac2a650851d43af1c92\BIT4B.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\ba502b35f31a2bf19a595db79d7bef15\BIT3A.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\bb90dbe09191684047872513e6885070\BIT4A.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\bd2f344a6cea520182f159a127c8f5ad\BIT3C.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\bfd81cbd42e5265d12677c96600c0804\BIT47.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\c8f95ed251aedea843abb9ea5b1a52d3\BIT56.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\cb942767c499e4e5e870a77375906298\BIT2D.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\cbee9c95b55c0a7f59376a89c9a3d3c1\BIT4C.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\cc102203f99c8c6ebf1523556f8411b6\BIT5.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\cff3276a5659b39e9143e4a62e333028\BIT28.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\d14d0217f816e7b705d500838dec3aae\BIT2E.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\d3d59acde4bc99f07df90298fa402c77\BIT59.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\d983f6bace749011714a05db9ad756fb\BIT29.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\e2ee6701f2679c24dd339050a068b193\BIT3D.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\e8ac11bc9e4687d6c2a32699ff0541d6\BIT48.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\ec9dc63e53c8bf9a1e80cf1489c682bd\BIT39.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\edf770ea565c428bca41a4befcabb97b\BIT35.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\ef76b58e91ae8084bf0833c90d4b9382\BIT41.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\f32bfa5d1049b53eae766f9d37379ea6\BIT5A.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\f7db876e78b88fd8276fd7d29cb7e4eb\BIT42.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\fde0566446f6dd640c536f419fe1216a\BIT3E.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\02418795bf9ae0332d2724a0721b3b6a\download\BITE.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\04d77a314e978a6d2e5e499ece3dd910\download\BIT13.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\09d89c4f86a37cea40e36ccd20da027b\download\BITD.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\126216e1ea5a965d65b4b02390ca8357\download\BIT8.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\12c9c7b74d009cd8f751411d54cc4b11\download\BITB.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\171d2120022f92869484c921d3263cc3\download\BIT6.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\428a8e1b8036b8225440fd6ce9cf9a62\download\BIT14.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\50b1dbf091e5ad2003668acab0cb3bc0\download\BIT5.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\61cb8cabb47496dec6d7e4c842c3b827\download\BIT10.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\773244b80a35d887f4682727f34cdcce\download\BIT9.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\7bd07c1089c2af7712a37e4bc06b52c1\download\BITF.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\84fbc956da54d159058962d983555052\download\BIT17.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\8d788a6c74bdc379d0d986e24df63dac\download\BITC.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\a0a06594bec34f1a4bfbddf6cd27d688\download\BIT11.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\b848f7bbcc1590afa157f879b74964b2\download\BIT12.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\e6709a5593e8edb948fefef2ae74a35e\download\BIT15.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\eb96ceab77261e76cdbe943d8cf8e4cc\download\BITA.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\eb9fda4f2f8a691ab294ebfcbb58c737\download\BIT7.tmp"

[b]Finished![/b]

merci
0
oumHanif
12 mars 2008 à 00:57
à l'étape 2 on ne m'a pas demandé de tapper 1 dans la fenêtre mais juste de cliquer sur accepter ou refuser dans une fenêtre...en tout cas, bilan


[b]SDFix: Version 1.155 [/b]

Run by Administrateur on 11/03/2008 at 19:02

Microsoft Windows XP [version 5.1.2600]
Running From: C:\DOCUME~1\ADMINI~1\Bureau\sdfix\SDFix

[b]Checking Services [/b]:


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting


[b]Checking Files [/b]:

Trojan Files Found:

C:\PROGRA~1\WINDOW~1\LACUQYK - Deleted
C:\Program Files\Fichiers communs\Yazzle1281OinAdmin.exe - Deleted
C:\WINDOWS\17PHolmes572.exe - Deleted
C:\WINDOWS\b111.exe - Deleted
C:\WINDOWS\b149.exe - Deleted
C:\WINDOWS\Downloaded Program Files\UGA6PV_0001_N122M1202NetInstaller.exe - Deleted
C:\WINDOWS\Downloaded Program Files\UGDCFR_0001_N122M1912NetInstaller.exe - Deleted
C:\WINDOWS\Downloaded Program Files\UGESV_0001_N122M0303NetInstaller.exe - Deleted
C:\Program Files\.autoreg - Deleted



Folder C:\Documents and Settings\All Users\Application Data\SalesMon - Removed


Removing Temp Files

[b]ADS Check [/b]:



[b]Final Check [/b]:

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-11 19:34:18
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Reinstall\D\n\21]
"DisplayName"="\xb973\x778e"
"DeviceDesc"="\xb973\x778e"
"ProviderName"="\x27fc\21\xee18\x7c91\x286c\21\b"
"MFG"="\xc1bf\b\xe12b\x1803\x688"
"ReinstallString"=".10.1000.7"
"DeviceInstanceIds"=str(7):"c:\documents and settings\administrateur\mes documents\vga\vga\sbdrv\smbus\smbusati.inf"

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"D:\\Foxmail\\Foxmail 6 B4\\FoxHot.exe"="D:\\Foxmail\\Foxmail 6 B4\\FoxHot.exe:*:Enabled:Foxmail-Hotmail Proxy Application"
"C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"="C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"
"C:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"="C:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE:*:Enabled:Microsoft Office Groove"
"C:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"="C:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote"
"C:\\Program Files\\Wengo\\wengophone.exe"="C:\\Program Files\\Wengo\\wengophone.exe:*:Enabled:WengoPhone"
"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"
"C:\\Program Files\\Real Alternative\\Media Player Classic\\mplayerc.exe"="C:\\Program Files\\Real Alternative\\Media Player Classic\\mplayerc.exe:*:Enabled:Media Player Classic"
"C:\\Program Files\\VideoLAN\\VLC\\vlc.exe"="C:\\Program Files\\VideoLAN\\VLC\\vlc.exe:*:Enabled:VLC media player"
"C:\\Program Files\\WengoPhone\\qtwengophone.exe"="C:\\Program Files\\WengoPhone\\qtwengophone.exe:*:Enabled:WengoPhone"
"C:\\Program Files\\aMSN\\bin\\wish.exe"="C:\\Program Files\\aMSN\\bin\\wish.exe:*:Enabled:Wish Application"
"C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

[b]Remaining Files [/b]:


File Backups: - C:\DOCUME~1\ADMINI~1\Bureau\sdfix\SDFix\backups\backups.zip

[b]Files with Hidden Attributes [/b]:

Sun 23 Dec 2007 991,110 A.SH. --- "C:\WINDOWS\system32\klpgdomd.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\17e3f23ff72184333b78d75c8e81cda8\BIT4D.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\222426828c4507f67ae73404f850464e\BIT36.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\27cf07bb8c275706965013dda668bc26\BITE.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\27efdbd68a382580fdb15dd4f797360e\BIT55.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\29f6d57cd4efa945b402cdec2ffedddf\BIT4F.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\2b0ec6af95107cd747155f214801a1de\BIT3F.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\3887d65d3ab5fa0d45001f504bed5b37\BIT30.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\3d626d96e6e22b8a5867784640121555\BIT45.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\42526a992b20eef1df8750beb4f78f35\BIT54.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\4724ea0e197f99f5dc110621c05f3367\BIT2B.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\4896e7eb404b9f0d2ec9221b3c0f425b\BIT34.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\4febda7b78da8f94eaee96a8b432d591\BIT2A.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\5857fd464a38367b479c179d651cd5d4\BIT40.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\598b3ea05d3c2f275520ea46f80fb98d\BIT4E.tmp"
Fri 8 Jul 2005 483,568 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\5cbce544ba5a58e170acdb52973e4471\BIT25.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\5d24ad19cee78bba662249a4deccb260\BIT52.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\5f04040f0ee4f5284e03d88e1fa5a7e1\BIT53.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\60ed62953e03ee5bf235cba11ef6e53b\BIT2F.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\6291f486ec5de5182ec3cff2071af184\BIT43.tmp"
Fri 7 Oct 2005 31,269 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\6c75180874e00b1d103af2b8b2b3b170\BIT27.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\72480a427b1c43ed1a1d42cac8cadfc7\BIT32.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\7351a9d6fb0d30de886b0cdad6ea8ae1\BIT37.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\79dfe016119d9f9104f7a081382c2de7\BIT46.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\7a40be1d5e41517009a903a286bf28bd\BIT2C.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\7d67df8d2fa218514bbe5a22ae12a9b3\BIT57.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\813a989071c1720c8fca52f421b7b9e5\BIT44.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\84db8362c64a1369b93bd1a60a67cb01\BIT3B.tmp"
Fri 30 Mar 2007 103,500 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\8cf13444ad5b33cad5e4b774633810f9\BIT26.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\8d31f6e93a03bc7a736602ed1adb9986\BIT33.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\90e550d1a108d8bbd6da9841aafd83a8\BIT58.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\90eded57e7780b832eed3339a922a322\BIT31.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\a04a8dce324b141449b6bb4b762ae54a\BIT51.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\a3debb4e9e3b20d27b1821077eb58bad\BIT38.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\a957c596efa7d0ec1b4b7fdc1e1c5705\BIT49.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\b3a6b8f8ae8b25051b4e857c13353250\BIT50.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\b857106b57491ac2a650851d43af1c92\BIT4B.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\ba502b35f31a2bf19a595db79d7bef15\BIT3A.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\bb90dbe09191684047872513e6885070\BIT4A.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\bd2f344a6cea520182f159a127c8f5ad\BIT3C.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\bfd81cbd42e5265d12677c96600c0804\BIT47.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\c8f95ed251aedea843abb9ea5b1a52d3\BIT56.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\cb942767c499e4e5e870a77375906298\BIT2D.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\cbee9c95b55c0a7f59376a89c9a3d3c1\BIT4C.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\cc102203f99c8c6ebf1523556f8411b6\BIT5.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\cff3276a5659b39e9143e4a62e333028\BIT28.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\d14d0217f816e7b705d500838dec3aae\BIT2E.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\d3d59acde4bc99f07df90298fa402c77\BIT59.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\d983f6bace749011714a05db9ad756fb\BIT29.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\e2ee6701f2679c24dd339050a068b193\BIT3D.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\e8ac11bc9e4687d6c2a32699ff0541d6\BIT48.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\ec9dc63e53c8bf9a1e80cf1489c682bd\BIT39.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\edf770ea565c428bca41a4befcabb97b\BIT35.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\ef76b58e91ae8084bf0833c90d4b9382\BIT41.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\f32bfa5d1049b53eae766f9d37379ea6\BIT5A.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\f7db876e78b88fd8276fd7d29cb7e4eb\BIT42.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\fde0566446f6dd640c536f419fe1216a\BIT3E.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\02418795bf9ae0332d2724a0721b3b6a\download\BITE.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\04d77a314e978a6d2e5e499ece3dd910\download\BIT13.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\09d89c4f86a37cea40e36ccd20da027b\download\BITD.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\126216e1ea5a965d65b4b02390ca8357\download\BIT8.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\12c9c7b74d009cd8f751411d54cc4b11\download\BITB.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\171d2120022f92869484c921d3263cc3\download\BIT6.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\428a8e1b8036b8225440fd6ce9cf9a62\download\BIT14.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\50b1dbf091e5ad2003668acab0cb3bc0\download\BIT5.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\61cb8cabb47496dec6d7e4c842c3b827\download\BIT10.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\773244b80a35d887f4682727f34cdcce\download\BIT9.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\7bd07c1089c2af7712a37e4bc06b52c1\download\BITF.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\84fbc956da54d159058962d983555052\download\BIT17.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\8d788a6c74bdc379d0d986e24df63dac\download\BITC.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\a0a06594bec34f1a4bfbddf6cd27d688\download\BIT11.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\b848f7bbcc1590afa157f879b74964b2\download\BIT12.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\e6709a5593e8edb948fefef2ae74a35e\download\BIT15.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\eb96ceab77261e76cdbe943d8cf8e4cc\download\BITA.tmp"
Tue 11 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\eb9fda4f2f8a691ab294ebfcbb58c737\download\BIT7.tmp"

[b]Finished![/b]


bein avec toute cette lecture tu vas en savoir plus que moi sur le fin fond de mon ordi...

merci
0
oumHanif > oumHanif
12 mars 2008 à 01:01
excuse moi, j'ai remis pour l'étape 2 le bilan de la 1, voilà donc le bilan comboFIx

ComboFix 08-03-10.1 - Administrateur 2008-03-11 19:46:19.3 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.464 [GMT 1:00]
Endroit: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\Administrateur\Bureau\CFScript.txt.txt
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]

FILE ::
C:\info.exe
C:\Program Files\Fichiers communs\Yazzle1281OinAdmin.exe
C:\WINDOWS\quit.exe
C:\WINDOWS\system32\adeeg.ini2.ren
C:\WINDOWS\system32\bhndtuka.exe
C:\WINDOWS\system32\bpvviaip.exe
C:\WINDOWS\system32\bsaclxtd.exe
C:\WINDOWS\system32\cwablvlo.ini.ren
C:\WINDOWS\system32\ejomrqha.exe
C:\WINDOWS\system32\ewtfnlrf.exe
C:\WINDOWS\system32\fpvjopeu.exe
C:\WINDOWS\system32\iokyyxky.exe
C:\WINDOWS\system32\jklmpuam.ini
C:\WINDOWS\system32\jwkinnea.exe
C:\WINDOWS\system32\klpgdomd.tmp
C:\WINDOWS\system32\kuyiicdv.exe
C:\WINDOWS\system32\lgwwsqud.in
C:\WINDOWS\system32\lukeljyp.exe
C:\WINDOWS\system32\mooivkev.ini
C:\WINDOWS\system32\olvlbawc.dll.ren
C:\WINDOWS\system32\qlfxwmge.exe
C:\WINDOWS\system32\qtwnylln.ini
C:\WINDOWS\system32\stutv.bak1
C:\WINDOWS\system32\syfljxca.exe
C:\WINDOWS\system32\vpwhkwsp.exe
C:\WINDOWS\system32\yhjxgvrw.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\info.exe
C:\WINDOWS\quit.exe
C:\WINDOWS\system32\adeeg.ini2.ren
C:\WINDOWS\system32\bhndtuka.exe
C:\WINDOWS\system32\bpvviaip.exe
C:\WINDOWS\system32\bsaclxtd.exe
C:\WINDOWS\system32\cwablvlo.ini.ren
C:\WINDOWS\system32\ejomrqha.exe
C:\WINDOWS\system32\ewtfnlrf.exe
C:\WINDOWS\system32\fpvjopeu.exe
C:\WINDOWS\system32\iokyyxky.exe
C:\WINDOWS\system32\jklmpuam.ini
C:\WINDOWS\system32\jwkinnea.exe
C:\WINDOWS\system32\klpgdomd.tmp
C:\WINDOWS\system32\kuyiicdv.exe
C:\WINDOWS\system32\lukeljyp.exe
C:\WINDOWS\system32\mooivkev.ini
C:\WINDOWS\system32\olvlbawc.dll.ren
C:\WINDOWS\system32\qlfxwmge.exe
C:\WINDOWS\system32\qtwnylln.ini
C:\WINDOWS\system32\stutv.bak1
C:\WINDOWS\system32\syfljxca.exe
C:\WINDOWS\system32\vpwhkwsp.exe
C:\WINDOWS\system32\yhjxgvrw.exe

.
((((((((((((((((((((((((((((( Fichiers créés 2008-02-11 to 2008-03-11 ))))))))))))))))))))))))))))))))))))
.

2008-03-11 19:36 . 2008-03-11 19:36 <REP> d-------- C:\WINDOWS\LastGood
2008-03-11 18:57 . 2008-03-11 18:58 <REP> d-------- C:\WINDOWS\ERUNT
2008-03-11 14:02 . 2008-03-11 14:02 1,374 --a------ C:\WINDOWS\imsins.BAK
2008-03-11 12:18 . 2008-03-11 12:18 119 --a------ C:\WINDOWS\tb96.ini
2008-03-11 12:12 . 2008-03-11 19:44 <REP> d--h----- C:\WINDOWS\$hf_mig$
2008-03-11 11:54 . 2008-03-11 11:54 552 --a------ C:\WINDOWS\system32\d3d8caps.dat
2008-03-11 10:30 . 2008-03-11 11:47 3,364 --a------ C:\WINDOWS\system32\tmp.reg
2008-03-10 09:20 . 2008-03-10 12:44 210 --a------ C:\WINDOWS\MicroSoft.vbs
2008-03-03 14:26 . 2008-03-04 13:30 1,303,291 ---hs---- C:\WINDOWS\system32\lgwwsqud.ini
2008-02-20 19:07 . 2008-03-08 09:03 <REP> d-------- C:\Program Files\Windows Live Safety Center
2008-02-20 09:43 . 2008-02-21 19:36 <REP> d-------- C:\Zik
2008-02-19 11:37 . 2008-02-19 11:37 51 --a------ C:\tmp.bat
2008-02-15 07:58 . 2008-02-15 07:58 <REP> d-------- C:\Documents and Settings\Administrateur\SparkAngels
2008-02-11 19:51 . 2008-02-11 19:51 <REP> d-------- C:\Program Files\DivX

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-11 10:17 --------- d-----w C:\Program Files\eMule
2008-03-10 07:31 --------- d-----w C:\Program Files\FlashGet
2008-03-09 14:51 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\OpenOffice.org2
2008-03-01 15:07 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\Skype
2008-02-26 11:10 --------- d-----w C:\Program Files\WengoPhone
2008-02-21 11:05 --------- d-----w C:\Program Files\SpeedFan
2008-02-15 21:58 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-02-11 10:49 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\AdobeUM
2008-02-09 16:50 --------- d-----w C:\Program Files\IrfanView
2008-02-06 05:29 --------- d-----w C:\Program Files\iTunes
2008-02-06 05:29 --------- d-----w C:\Program Files\iPod
2008-02-06 05:28 --------- d-----w C:\Program Files\QuickTime
2008-01-17 13:10 28,400 -c--a-w C:\WINDOWS\system32\drivers\secdrv.sys
2008-01-17 13:09 --------- d-----w C:\Program Files\Mindscape
2008-01-15 05:31 715,248 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2008-01-12 17:16 --------- d-----w C:\Documents and Settings\All Users\Application Data\Office Genuine Advantage
2008-01-12 09:19 --------- d-----w C:\Program Files\Icon to Any
.

------- Sigcheck -------

2004-08-18 11:22 359040 27a5959c94ee173a063ca06bd14f021a C:\WINDOWS\system32\drivers\tcpip.sys

2004-08-23 00:35 1036288 998f3f568f6074a35ab08cd3395a9dc2 C:\WINDOWS\explorer.exe
.
((((((((((((((((((((((((((((( snapshot@2008-03-10_19.49.56.34 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-03-10 02:03:21 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX\ERDNT.EXE
+ 2008-03-11 17:59:05 5,779,456 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0[/u]0000001\NTUSER.DAT
+ 2008-03-11 17:59:05 196,608 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0[/u]0000002\UsrClass.dat
+ 2008-03-10 02:03:21 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\ERDNT.EXE
+ 2008-03-11 17:58:25 5,779,456 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\[u]0[/u]0000001\NTUSER.DAT
+ 2008-03-11 17:58:25 196,608 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\[u]0[/u]0000002\UsrClass.dat
- 2004-08-04 01:54:22 66,560 -c--a-w C:\WINDOWS\system32\cdm.dll
+ 2007-07-30 18:19:20 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
- 2004-08-04 01:54:22 66,560 -c--a-w C:\WINDOWS\system32\dllcache\cdm.dll
+ 2007-07-30 18:19:20 92,504 ----a-w C:\WINDOWS\system32\dllcache\cdm.dll
- 2004-08-04 02:54:34 2,804,224 -c--a-w C:\WINDOWS\system32\dllcache\msi.dll
+ 2005-05-04 13:45:32 2,890,240 ----a-w C:\WINDOWS\system32\dllcache\msi.dll
- 2004-08-04 01:54:58 77,312 -c--a-w C:\WINDOWS\system32\dllcache\msiexec.exe
+ 2005-05-04 13:45:36 78,848 ----a-w C:\WINDOWS\system32\dllcache\msiexec.exe
- 2004-08-04 01:54:34 331,264 -c--a-w C:\WINDOWS\system32\dllcache\msihnd.dll
+ 2005-05-04 13:45:36 271,360 ----a-w C:\WINDOWS\system32\dllcache\msihnd.dll
- 2004-08-04 01:53:32 884,736 -c--a-w C:\WINDOWS\system32\dllcache\msimsg.dll
+ 2005-05-04 13:45:36 884,736 ----a-w C:\WINDOWS\system32\dllcache\msimsg.dll
- 2004-08-04 01:54:34 44,032 -c--a-w C:\WINDOWS\system32\dllcache\msisip.dll
+ 2005-05-04 13:45:36 15,360 ----a-w C:\WINDOWS\system32\dllcache\msisip.dll
- 2004-08-04 02:54:48 432,640 -c--a-w C:\WINDOWS\system32\dllcache\wuapi.dll
+ 2007-07-30 18:19:36 549,720 ----a-w C:\WINDOWS\system32\dllcache\wuapi.dll
- 2004-08-04 02:55:04 112,640 -c--a-w C:\WINDOWS\system32\dllcache\wuauclt.exe
+ 2007-07-30 18:19:16 53,080 ----a-w C:\WINDOWS\system32\dllcache\wuauclt.exe
- 2004-08-04 02:54:48 1,134,592 -c--a-w C:\WINDOWS\system32\dllcache\wuaueng.dll
+ 2007-07-30 18:19:42 1,712,984 ----a-w C:\WINDOWS\system32\dllcache\wuaueng.dll
- 2004-08-04 02:54:48 114,176 -c--a-w C:\WINDOWS\system32\dllcache\wucltui.dll
+ 2007-07-30 18:19:32 325,976 ----a-w C:\WINDOWS\system32\dllcache\wucltui.dll
- 2004-08-04 02:54:48 36,864 -c--a-w C:\WINDOWS\system32\dllcache\wups.dll
+ 2007-07-30 18:18:40 33,624 ----a-w C:\WINDOWS\system32\dllcache\wups.dll
- 2004-08-04 02:54:48 120,320 -c--a-w C:\WINDOWS\system32\dllcache\wuweb.dll
+ 2007-07-30 18:19:28 203,096 ----a-w C:\WINDOWS\system32\dllcache\wuweb.dll
- 2004-08-04 01:54:34 2,804,224 ----a-w C:\WINDOWS\system32\msi.dll
+ 2005-05-04 13:45:32 2,890,240 ----a-w C:\WINDOWS\system32\msi.dll
- 2004-08-04 01:54:58 77,312 -c--a-w C:\WINDOWS\system32\msiexec.exe
+ 2005-05-04 13:45:36 78,848 ----a-w C:\WINDOWS\system32\msiexec.exe
- 2004-08-04 01:54:34 331,264 -c--a-w C:\WINDOWS\system32\msihnd.dll
+ 2005-05-04 13:45:36 271,360 ----a-w C:\WINDOWS\system32\msihnd.dll
- 2004-08-04 01:53:32 884,736 -c--a-w C:\WINDOWS\system32\msimsg.dll
+ 2005-05-04 13:45:36 884,736 ----a-w C:\WINDOWS\system32\msimsg.dll
- 2004-08-04 01:54:34 44,032 -c--a-w C:\WINDOWS\system32\msisip.dll
+ 2005-05-04 13:45:36 15,360 ----a-w C:\WINDOWS\system32\msisip.dll
- 2008-03-10 17:17:00 59,774 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-03-11 18:42:41 59,774 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2008-03-10 17:17:00 72,530 ----a-w C:\WINDOWS\system32\perfc00C.dat
+ 2008-03-11 18:42:41 72,530 ----a-w C:\WINDOWS\system32\perfc00C.dat
- 2008-03-10 17:17:00 395,534 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-03-11 18:42:41 395,534 ----a-w C:\WINDOWS\system32\perfh009.dat
- 2008-03-10 17:17:00 461,790 ----a-w C:\WINDOWS\system32\perfh00C.dat
+ 2008-03-11 18:42:41 461,790 ----a-w C:\WINDOWS\system32\perfh00C.dat
+ 2007-07-30 18:18:40 33,624 ----a-w C:\WINDOWS\system32\SoftwareDistribution\Setup\ServiceStartup\wups.dll\7.0.6000.381\wups.dll
+ 2005-05-04 13:45:28 14,560 ------w C:\WINDOWS\system32\spmsg.dll
- 2004-11-18 09:42:52 22,752 -c--a-w C:\WINDOWS\system32\spupdsvc.exe
+ 2005-02-25 03:35:24 22,752 ----a-w C:\WINDOWS\system32\spupdsvc.exe
- 2004-08-04 02:54:48 432,640 -c--a-w C:\WINDOWS\system32\wuapi.dll
+ 2007-07-30 18:19:36 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
- 2004-08-04 02:55:04 112,640 -c--a-w C:\WINDOWS\system32\wuauclt.exe
+ 2007-07-30 18:19:16 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
- 2004-08-04 02:54:48 1,134,592 -c--a-w C:\WINDOWS\system32\wuaueng.dll
+ 2007-07-30 18:19:42 1,712,984 ----a-w C:\WINDOWS\system32\wuaueng.dll
- 2004-08-04 02:54:48 114,176 -c--a-w C:\WINDOWS\system32\wucltui.dll
+ 2007-07-30 18:19:32 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
- 2004-08-04 02:54:48 36,864 -c--a-w C:\WINDOWS\system32\wups.dll
+ 2007-07-30 18:18:40 33,624 -c--a-w C:\WINDOWS\system32\wups.dll
+ 2007-07-30 18:19:12 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
- 2004-08-04 02:54:48 120,320 -c--a-w C:\WINDOWS\system32\wuweb.dll
+ 2007-07-30 18:19:28 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
+ 2008-03-11 18:33:37 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_5e0.dat
.
-- Snapshot reset to current date --
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 02:54 15360]
"WengoPhoneNG"="C:\Program Files\WengoPhone\qtwengophone.exe" [2007-08-22 16:26 4964352]
"CanalPlayer"="C:\Program Files\Lecteur CANALPLAY\CanalPlayer.exe" [ ]
"WeatherEye"="C:\Program Files\MétéoMédia\MétéoÉclair\WeatherEye.exe" [2007-09-26 14:14 4484816]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"SkyTel"="SkyTel.EXE" [2006-08-16 11:21 2879488 C:\WINDOWS\SkyTel.exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-08-16 11:23 16248320 C:\WINDOWS\RTHDCPL.exe]
"AzMixerSel"="C:\Program Files\Realtek\InstallShield\AzMixerSel.exe" [2006-08-16 11:20 53248]
"ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-05-10 11:12 90112]
"GrooveMonitor"="C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 00:47 31016]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-11-01 16:01 185632]
"avast!"="C:\Program Files\Alwil Software\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2006-05-10 09:48 94208 C:\WINDOWS\KHALMNPR.Exe]
"LogitechCommunicationsManager"="C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe" [2006-05-17 14:18 480816]
"LVCOMSX"="C:\Program Files\Fichiers communs\Logitech\LComMgr\LVComSX.exe" [2006-05-17 10:12 243248]
"InstantAccess"="C:\PROGRA~1\TextBridge Classic 2.0\Bin\InstantAccess.exe" [1998-07-07 16:04 37376]
"RegisterDropHandler"="C:\PROGRA~1\TextBridge Classic 2.0\Bin\RegisterDropHandler.exe" [1998-07-07 16:20 22528]
"ISUSPM Startup"="C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe" [2005-02-17 07:15 221184]
"ISUSScheduler"="C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2005-02-17 07:15 81920]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-01-10 15:27 385024]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2008-01-15 03:22 267048]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"RegisterDropHandler"="C:\PROGRA~1\TextBridge Classic 2.0\Bin\RegisterDropHandler.exe" [1998-07-07 16:20 22528]

C:\Documents and Settings\Administrateur\Menu D‚marrer\Programmes\D‚marrage\
OneNote 2007 Screen Clipper and Launcher.lnk - C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE [2006-10-26 20:24:54 98632]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"D:\\Foxmail\\Foxmail 6 B4\\FoxHot.exe"=
"C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"C:\\Program Files\\Wengo\\wengophone.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"C:\\Program Files\\Real Alternative\\Media Player Classic\\mplayerc.exe"=
"C:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"C:\\Program Files\\WengoPhone\\qtwengophone.exe"=
"C:\\Program Files\\aMSN\\bin\\wish.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=

R2 LBeepKE;LBeepKE;C:\WINDOWS\system32\Drivers\LBeepKE.sys [2006-05-25 00:53]
S2 FastPara;FastPara;C:\WINDOWS\system32\drivers\FastPara.sys [1999-06-10 16:23]
S2 PV8630;USB Scan 300/600 Device Driver;C:\WINDOWS\system32\DRIVERS\PV8630.sys [1999-02-26 19:56]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-11 19:48:42
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-03-11 19:49:31
ComboFix-quarantined-files.txt 2008-03-11 18:49:22
ComboFix2.txt 2008-03-10 18:50:17
.
2008-03-11 13:03:00 --- E O F ---
0
Réponse 12 / 17
papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 257
12 mars 2008 à 11:50
comment se comporte le PC?
tu dois avoir un mieux?
des alertes encore?
0
oumHanif
12 mars 2008 à 12:10
le pc a perdi sa lenteur, et c'est tant mieux !

pour le moment pas d'alertes, et plus de fenêtre explorer qui s'ouvre sans qu'on est rien demandé !

je te remercie beaucoup.

il me reste une question encore, est-ce normal si windows telecharge des mises à jour quand j'étaind le pc (86 mises à jour aprés le grand nettoyage d'hier), u plus exactement est-ce que ça ne fait pas double emploi avec les fichiers deplacés par comboFix ou l'autre logiciel ?

c'est pas bien grave, c'est plus pour comprendre ...

merci encore
0
Réponse 13 / 17
papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 257
12 mars 2008 à 15:19
non, pas de double emploi et c'est vraisemblablement l'infection qui empêchait la mise à jour de windows..

faire un scan antivirus en ligne avec Internet explorer et accepter l'ActiveX
poster le rapport ici ensuite
https://www.bitdefender.fr/

En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE
Dans la nouvelle fenêtre, clique sur j’accepte
La fenêtre change encore, clique sur scanner
Les signatures se chargent, etc.
0
oumHanif
12 mars 2008 à 16:42
j'ai effectuer tout ça, mais j'ai fait l'erreur d'exporter le rapoort en .txt au lieu de la concerver en html...

je n'ai pas de logiciel pour le remettre en html, et je ne sais pas si je peux le retrouver sur l'ordi, logiquement non...

ça donnait 26 fichier infectés, et supprimés car désinfection impossible...

si t'as une astuce...
0
Réponse 14 / 17
papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 257
12 mars 2008 à 16:51
recherche un fichier nommé BDOSCAN avec une extension .txt et tu me le postes
il se trouve ici logiquement
C:\BDOSCAN.txt
0
oumHanif
12 mars 2008 à 17:20
j'ai un dossier bedoscan8 qui contient un fichier bedoscan en format txt mais il est vide. Quand je l'ouvre, c'est page blanche
0
Réponse 15 / 17
papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 257
12 mars 2008 à 21:19
si tu es sur que tout est supprimé...
as tu encore des alertes?
Télécharge ToolsCleaner (de A.Rothstein) sur ton Bureau.
http://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe
Clique sur Recherche et laisse le scan se terminer.
Clique sur Suppression pour finaliser.
tu peux, si tu le souhaites, te servir des Options facultatives.
Clique sur Quitter, pour que le rapport puisse se créer.
Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

si tout va bien supprime tout ce qu'on a utilisé et qui ne l'a pas été par Tools Cleaner2, car ce ne sera plus utile désormais
conserve néanmoins ccleaner ou
Télécharge : - CCleaner
https://www.pcastuces.com/logitheque/ccleaner.htm
Ce logiciel va permettre de supprimer tous les fichiers temporaires. Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Ensuite, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.
Un tuto
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm
et effectue le nettoyage tous les jours avant de couper le PC

installe ce logiciel très utile et scanne ton PC avec une fois par semaine au moins...
AVG Antispyware
https://www.avg.com/en-ww/free-antivirus-download

mode d'utilisation :
Lance AVG Anti-Spyware, mets le à jour,
Clique sur le bouton « Analyse »
Puis « Comment réagir », clique sur Actions recommandées. Sélectionne Quarantaine.
Retour à l'onglet Analyse.
Clique sur Analyse complète du système.
A la fin du scan, choisis " Appliquer toutes les actions "
Clique sur "Enregistrer le rapport". Le fichier texte se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.


tu peux le coupler avec celui-ci
spybot search and destroy
https://www.safer-networking.org/?page=download

défragmente

MSN est un outil de communication superbe mais encore faut il le paramétrer de façon à ce qu’il soit sécurisé !
Un tuto de Philae pour le rendre plus sain et par là plus agréable !!
http://pageperso.aol.fr/loraline60/MSN.htm

pense à bien te protéger, j'ai découvert ce lien qui est plutôt pas mal à ce sujet
sécuriser son PC version Hot et Light
https://forum.pcastuces.com/default.asp

désactive ta restauration
clique droit sur poste de travail/propriétés/coche la case désactiver la restauration, appliquer
redémarre ton PC
clique droit sur poste de travail/propriétés/décoche la case désactiver la restauration, appliquer


la sécurité c'est très important mais ne remplace pas l'internaute, un surf prudent en évitant le crack, les sites "chauds", permet déjà d'éviter bien des soucis, le P2P lui aussi est source d'infections...


et bon surf
0
Réponse 16 / 17
oumHanif
13 mars 2008 à 00:55
1ere etape

-->- Recherche:

C:\Combofix: trouvé !
C:\Qoobox: trouvé !
C:\Documents and Settings\Administrateur\Bureau\SdFix.exe: trouvé !
C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe: trouvé !
C:\Documents and Settings\Administrateur\Bureau\SmitFraudFix.exe: trouvé !
C:\Documents and Settings\Administrateur\Bureau\SDFIX: trouvé !
C:\Documents and Settings\Administrateur\Bureau\SmitFraudfix: trouvé !
C:\Documents and Settings\Administrateur\Bureau\sdfix\SDFIX: trouvé !
C:\Program Files\Mozilla Firefox\SmitFraudfix: trouvé !
C:\QooBox\Quarantine\C\Combofix: trouvé !

---------------------------------
-->- Suppression:

C:\Documents and Settings\Administrateur\Bureau\SdFix.exe: supprimé !
C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe: supprimé !
C:\Documents and Settings\Administrateur\Bureau\SmitFraudFix.exe: supprimé !
C:\Combofix: supprimé !
C:\Qoobox: supprimé !
C:\Documents and Settings\Administrateur\Bureau\SDFIX: supprimé !
C:\Documents and Settings\Administrateur\Bureau\SmitFraudfix: supprimé !
C:\Program Files\Mozilla Firefox\SmitFraudfix: supprimé !

Fichiers temporaires nettoyés !
Corbeille vidée!
Restauration annulée !
Sauvegarde du registre crée !

j'ai fait une sauvegarde du registre, mais je ne sais pas à quoi ça sert...
0
Réponse 17 / 17
papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 257
13 mars 2008 à 22:17
http://maurice.labadie.pagesperso-orange.fr/m/outils/restsyst.htm
https://www.generation-nt.com/la-restauration-syst-me-de-windows-xp-article-24769-1.html
0

Discussions similaires

Problème avec "PUADIManager:Win32/OfferCore
Knaki -
bazfile -

3 réponses
Menaces HackTool:Win32
LeMax5993 -
lisa4777 -

4 réponses
PUABundler:Win32/CandyOpen : dangereux ?
joubine -
bazfile -

2 réponses
Detection PUA: win32 Installcore
Nat -
bazfile -

13 réponses
win32:malware-gen bloqué par avast
ikkual -
Utilisateur anonyme -

69 réponses