Rapport hijack
Résolu/Fermé
rossifumi46
Messages postés
253
Date d'inscription
jeudi 24 avril 2008
Statut
Membre
Dernière intervention
18 février 2011
-
24 avril 2008 à 20:52
rossifumi46 Messages postés 253 Date d'inscription jeudi 24 avril 2008 Statut Membre Dernière intervention 18 février 2011 - 28 avril 2008 à 19:13
rossifumi46 Messages postés 253 Date d'inscription jeudi 24 avril 2008 Statut Membre Dernière intervention 18 février 2011 - 28 avril 2008 à 19:13
8 réponses
jlpjlp
Messages postés
51580
Date d'inscription
vendredi 18 mai 2007
Statut
Contributeur sécurité
Dernière intervention
3 mai 2022
5 040
25 avril 2008 à 00:40
25 avril 2008 à 00:40
slt
analyse ces fichiers usr virus total et colle les rapports: https://www.virustotal.com/gui/
C:\WINDOWS\system32\adsrvm.exe
c:\documents and settings\administrateur\local settings\application data\clsortedx.exe
___________________
mets a jour internet explorer meme si tu ne l'utilise pas car windows l'utilise pour se mettre a jour
______________________
Télécharge Combofix de sUBs : Renomme le avant toute installation, par exemple, nomme le "KillBagle". aide ici : https://forum.pcastuces.com/sujet.asp?f=25&s=37315
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Sauvegarde le sur ton bureau et pas ailleurs !
Aide à l’utilisation de combofix ici: https://bibou0007.forumpro.fr/login?redirect=%2Ft121-topic
Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider, laisse toi guider.
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
analyse ces fichiers usr virus total et colle les rapports: https://www.virustotal.com/gui/
C:\WINDOWS\system32\adsrvm.exe
c:\documents and settings\administrateur\local settings\application data\clsortedx.exe
___________________
mets a jour internet explorer meme si tu ne l'utilise pas car windows l'utilise pour se mettre a jour
______________________
Télécharge Combofix de sUBs : Renomme le avant toute installation, par exemple, nomme le "KillBagle". aide ici : https://forum.pcastuces.com/sujet.asp?f=25&s=37315
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Sauvegarde le sur ton bureau et pas ailleurs !
Aide à l’utilisation de combofix ici: https://bibou0007.forumpro.fr/login?redirect=%2Ft121-topic
Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider, laisse toi guider.
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
rossifumi46
Messages postés
253
Date d'inscription
jeudi 24 avril 2008
Statut
Membre
Dernière intervention
18 février 2011
439
25 avril 2008 à 13:06
25 avril 2008 à 13:06
salut et merci de me filer un petit coup de main...
J'ai mis à jour explorer, me voilà avec la version 7.
--------------------------------------------------------------------------------------------------------------
Voilà les rapports des 2 fichiers analysés avec Virustotal:
Fichier adsrvm.exe reçu le 2008.04.25 11:19:06 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 3/32 (9.38%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: ___.
L'heure estimée de démarrage est entre ___ et ___ .
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.
Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.4.25.2 2008.04.25 -
AntiVir 7.8.0.10 2008.04.25 -
Authentium 4.93.8 2008.04.25 Possibly a new variant of W32/VB-EMU:VB-Backdoor-HRS-based!Maximus
Avast 4.8.1169.0 2008.04.24 -
AVG 7.5.0.516 2008.04.25 -
BitDefender 7.2 2008.04.25 -
CAT-QuickHeal 9.50 2008.04.24 -
ClamAV 0.92.1 2008.04.25 -
DrWeb 4.44.0.09170 2008.04.25 -
eSafe 7.0.15.0 2008.04.21 -
eTrust-Vet 31.3.5733 2008.04.25 -
Ewido 4.0 2008.04.24 -
F-Prot 4.4.2.54 2008.04.24 W32/VB-EMU:VB-Backdoor-HRS-based!Maximus
F-Secure 6.70.13260.0 2008.04.25 -
FileAdvisor 1 2008.04.25 -
Fortinet 3.14.0.0 2008.04.25 -
Ikarus T3.1.1.26 2008.04.25 -
Kaspersky 7.0.0.125 2008.04.25 -
McAfee 5281 2008.04.24 -
Microsoft 1.3408 2008.04.22 -
NOD32v2 3053 2008.04.24 -
Norman 5.80.02 2008.04.24 -
Panda 9.0.0.4 2008.04.25 -
Prevx1 V2 2008.04.25 Heuristic: Suspicious File With Covert Attributes
Rising 20.41.40.00 2008.04.25 -
Sophos 4.28.0 2008.04.25 -
Sunbelt 3.0.1056.0 2008.04.17 -
Symantec 10 2008.04.25 -
TheHacker 6.2.92.291 2008.04.24 -
VBA32 3.12.6.5 2008.04.24 -
VirusBuster 4.3.26:9 2008.04.24 -
Webwasher-Gateway 6.6.2 2008.04.25 -
Information additionnelle
File size: 98304 bytes
MD5...: 0f6fb1523ad9f3f9922cc9e16826d4f0
SHA1..: 4a09738ff8a98627c55c58acaba5e503ea82421e
SHA256: b1cea2acb2dcdaccf4e3453f9e71dd8dca4cfe3d2e6154af075058e8d7d33df1
SHA512: efd413df4e47b4b1675fc770fd2554ec5e723bb8027ef0190fb5a58979c89b28
277aa07a7b0c99ccf1ee0856581af53b02a0f02e8a0d7335cdd323c712af469e
PEiD..: -
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x401e14
timedatestamp.....: 0x3b2e1b20 (Mon Jun 18 15:15:44 2001)
machinetype.......: 0x14c (I386)
( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x14dd0 0x15000 5.87 0112052b1229e87e56caa0b54d823087
.data 0x16000 0x1764 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110
.rsrc 0x18000 0x958 0x1000 2.08 07aafc831f80cb80d5d58f93b23bb7ca
( 1 imports )
> MSVBVM60.DLL: __vbaVarSub, __vbaStrI2, _CIcos, _adj_fptan, __vbaVarMove, __vbaStrI4, __vbaVarVargNofree, __vbaFreeVar, __vbaLateIdCall, __vbaStrVarMove, __vbaLenBstr, __vbaEnd, __vbaFreeVarList, _adj_fdiv_m64, __vbaFreeObjList, -, __vbaStrErrVarCopy, _adj_fprem1, -, __vbaRecAnsiToUni, __vbaI2Abs, __vbaStrCat, __vbaLsetFixstr, -, __vbaSetSystemError, __vbaHresultCheckObj, -, __vbaLenVar, _adj_fdiv_m32, __vbaAryDestruct, -, __vbaExitProc, -, -, -, -, __vbaObjSet, __vbaOnError, _adj_fdiv_m16i, -, __vbaObjSetAddref, _adj_fdivr_m16i, -, -, -, __vbaStrFixstr, -, -, -, -, __vbaFpR8, __vbaVarTstLt, _CIsin, -, -, -, __vbaChkstk, -, EVENT_SINK_AddRef, __vbaGenerateBoundsError, __vbaStrCmp, __vbaAryConstruct2, __vbaI2I4, DllFunctionCall, __vbaCastObjVar, _adj_fpatan, __vbaFixstrConstruct, __vbaLateIdCallLd, __vbaRecUniToAnsi, EVENT_SINK_Release, _CIsqrt, -, EVENT_SINK_QueryInterface, __vbaVarMul, __vbaExceptHandler, -, __vbaStrToUnicode, -, __vbaDateStr, _adj_fprem, _adj_fdivr_m64, -, -, -, __vbaFPException, __vbaInStrVar, __vbaStrVarVal, __vbaVarCat, __vbaDateVar, -, __vbaI2Var, -, -, _CIlog, __vbaErrorOverflow, __vbaR8Str, __vbaNew2, __vbaInStr, _adj_fdiv_m32i, _adj_fdivr_m32i, -, __vbaStrCopy, __vbaFreeStrList, _adj_fdivr_m32, __vbaPowerR8, _adj_fdiv_r, -, -, __vbaVarTstNe, __vbaI4Var, __vbaVarAdd, __vbaVarDup, __vbaStrToAnsi, -, __vbaFpI2, -, __vbaFpI4, -, _CIatan, __vbaStrMove, __vbaCastObj, __vbaR8IntI4, -, _allmul, __vbaLateIdSt, _CItan, -, _CIexp, __vbaFreeObj, __vbaFreeStr, -
( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=533D14EE00BAAE42805E0106A01A0000F7508862
---------------------------------
Fichier clsortedx.exe reçu le 2008.04.25 11:28:45 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 2/32 (6.25%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 1.
L'heure estimée de démarrage est entre 36 et 52 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.
Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.4.25.2 2008.04.25 -
AntiVir 7.8.0.10 2008.04.25 -
Authentium 4.93.8 2008.04.25 -
Avast 4.8.1169.0 2008.04.24 -
AVG 7.5.0.516 2008.04.25 -
BitDefender 7.2 2008.04.25 -
CAT-QuickHeal 9.50 2008.04.24 -
ClamAV 0.92.1 2008.04.25 -
DrWeb 4.44.0.09170 2008.04.25 -
eSafe 7.0.15.0 2008.04.21 -
eTrust-Vet 31.3.5733 2008.04.25 -
Ewido 4.0 2008.04.24 -
F-Prot 4.4.2.54 2008.04.24 -
F-Secure 6.70.13260.0 2008.04.25 -
FileAdvisor 1 2008.04.25 -
Fortinet 3.14.0.0 2008.04.25 -
Ikarus T3.1.1.26.0 2008.04.25 -
Kaspersky 7.0.0.125 2008.04.25 -
McAfee 5281 2008.04.24 -
Microsoft 1.3408 2008.04.22 -
NOD32v2 3053 2008.04.24 -
Norman 5.80.02 2008.04.24 -
Panda 9.0.0.4 2008.04.25 -
Prevx1 V2 2008.04.25 Heuristic: Suspicious Self Modifying EXE
Rising 20.41.40.00 2008.04.25 -
Sophos 4.28.0 2008.04.25 -
Sunbelt 3.0.1056.0 2008.04.17 -
Symantec 10 2008.04.25 -
TheHacker 6.2.92.291 2008.04.24 -
VBA32 3.12.6.5 2008.04.24 -
VirusBuster 4.3.26:9 2008.04.24 -
Webwasher-Gateway 6.6.2 2008.04.25 Win32.Vulnerable.gen!High (suspicious)
Information additionnelle
File size: 286720 bytes
MD5...: ee7ce72eef348df260005f995a54d3a9
SHA1..: 63144b00e7a7e980da0c60e97e1b80cf5d2a0510
SHA256: 93c0848d6d2078d198d7851efbdf97e2f476d9c0939c4a4519afa740c5ec4d51
SHA512: 437603d00671604d9f427b5ad9550f00e1eb72bb27d4f1f330829449ad770579
c8389fc127ef49cf3ce0b576652db1f29b09e796e1ec074ceceea47d6583264f
PEiD..: Armadillo v1.71
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x4416b2
timedatestamp.....: 0x43e2184b (Thu Feb 02 14:33:47 2006)
machinetype.......: 0x14c (I386)
( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x4084c 0x41000 7.99 b14f892393109731dcb66430c419319c
.rdata 0x42000 0x1c9e 0x2000 5.27 dfccbae5130e8b5d5f04223e41306fcf
.data 0x44000 0x196c 0x2000 6.90 848188c0855270a00d8b6a722f793013
( 12 imports )
> KERNEL32.dll: SystemTimeToFileTime, GetConsoleCursorInfo, CallNamedPipeA, GlobalSize, FindNextFileW, SetFileTime, WriteConsoleA, WritePrivateProfileStructA, SetProcessWorkingSetSize, CompareStringW, GlobalGetAtomNameW, GetTempPathA, lstrlenA, _hread, HeapCreate, ExpandEnvironmentStringsA, AllocConsole, VirtualProtect, VirtualAllocEx, TerminateProcess, EraseTape, DeleteFiber, GlobalGetAtomNameA, lstrcpynW, GlobalMemoryStatus, LoadLibraryExW, SetNamedPipeHandleState, EnumResourceLanguagesA, EscapeCommFunction, GetDateFormatW, GetDiskFreeSpaceW, lstrcmpiW, QueryPerformanceCounter, DeleteFileA, CopyFileA, DeleteAtom, SetCurrentDirectoryW, PeekConsoleInputW, MoveFileExA, GetDiskFreeSpaceA, FreeResource, ScrollConsoleScreenBufferW, CreateMailslotA, GetModuleHandleA, FreeEnvironmentStringsW, CreateFileW, TransactNamedPipe, GetSystemTimeAdjustment, GetPrivateProfileStringA, OpenFile, _llseek, SetEvent, GetProfileIntW, SetTimeZoneInformation, OpenEventA, IsDBCSLeadByte, GetModuleFileNameW, SetLocalTime, VirtualQuery, SetMailslotInfo, FoldStringW, SetConsoleMode, CreateProcessA, FindClose, RemoveDirectoryA, WaitForMultipleObjects, SetHandleCount, BackupWrite, EndUpdateResourceA, FindAtomA, PeekNamedPipe, QueryDosDeviceA, ResetEvent, GetTempFileNameW, SystemTimeToTzSpecificLocalTime, LockFileEx, GetStartupInfoA, Sleep, UpdateResourceA, SuspendThread, SetVolumeLabelA, CancelIo, UnmapViewOfFile, WriteFileEx, OpenSemaphoreW, HeapDestroy, MoveFileExW, FillConsoleOutputCharacterW, WriteFileGather, WriteConsoleOutputCharacterA, FindNextFileA, GetOEMCP, FindFirstFileA, WriteProfileStringA, IsValidCodePage, PurgeComm, SetConsoleCursorPosition, DefineDosDeviceW, GetSystemDefaultLangID, AreFileApisANSI, GetBinaryTypeA, LoadLibraryA, CopyFileW, WriteTapemark, GetFileAttributesA, GlobalHandle, UnhandledExceptionFilter, GetVersionExA
> USER32.dll: TrackMouseEvent, ScreenToClient, CloseWindowStation, CharNextW, SendNotifyMessageA, OemToCharBuffW, GetMenuInfo, ChangeDisplaySettingsExA, GetWindowRgn, CopyImage, GetLastActivePopup, GetKeyboardLayout, FrameRect, CharPrevA, GetMenuCheckMarkDimensions, mouse_event, WaitForInputIdle, keybd_event, GetSubMenu, GetClipboardOwner, BroadcastSystemMessageA, AttachThreadInput, SetFocus, DispatchMessageW, OemKeyScan, LoadMenuW, OpenIcon, PostThreadMessageA, SendDlgItemMessageW, LoadStringW, GetDlgItem, SetWindowLongW, SetRect, GetWindow, GetMenuItemInfoW, SetThreadDesktop, GetProcessDefaultLayout, LoadImageW, ToUnicode, BeginDeferWindowPos
> GDI32.dll: CreateBrushIndirect, ResizePalette, GetViewportExtEx, SetPaletteEntries, GetGlyphOutlineW, SetPolyFillMode, PatBlt, RectInRegion, GetTextExtentPointW, CreatePen, Pie, PlayEnhMetaFile, CreateMetaFileW, SetWindowOrgEx, GetPixel, BeginPath
> comdlg32.dll: GetFileTitleW, ChooseColorW, GetOpenFileNameW, ReplaceTextA
> ADVAPI32.dll: SetSecurityDescriptorOwner, RegGetKeySecurity, CryptDecrypt, GetFileSecurityW, SetServiceStatus, RegEnumKeyA, AddAccessAllowedAce, RegOpenKeyA, RegDeleteKeyA, GetAce, RegCloseKey, ControlService, SetSecurityDescriptorDacl, StartServiceA, RegSetValueW, ClearEventLogW, SetNamedSecurityInfoW, RegDeleteValueA, LookupAccountSidA, CryptSetHashParam, CryptSignHashW, AddAce, AddAccessDeniedAce, EnumDependentServicesA, RegReplaceKeyW, ObjectDeleteAuditAlarmW, CryptExportKey, CryptGetProvParam, GetSecurityDescriptorSacl, SetTokenInformation, AllocateAndInitializeSid, SetKernelObjectSecurity, RevertToSelf, OpenServiceW, GetServiceKeyNameW, RegQueryInfoKeyW, CryptSetKeyParam, GetSecurityDescriptorDacl, StartServiceCtrlDispatcherA, GetCurrentHwProfileW
> SHELL32.dll: SHGetSpecialFolderPathA, SHBrowseForFolderW, SHGetFileInfoW, SHLoadInProc
> ole32.dll: CoTaskMemRealloc, CoReleaseServerProcess, CoQueryProxyBlanket, WriteClassStm, OleSetClipboard, GetClassFile
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -
> COMCTL32.dll: ImageList_DragEnter, PropertySheetA, ImageList_DragShowNolock, ImageList_Remove
> SHLWAPI.dll: StrRChrA, SHCopyKeyA, PathFindFileNameA, StrCmpIW, PathGetCharTypeA, PathIsPrefixW, SHOpenRegStream2W, PathGetDriveNumberW, PathFileExistsA, StrCmpNA, PathQuoteSpacesA, HashData, UrlApplySchemeW, StrChrA, StrCatBuffW, PathCombineA
> SETUPAPI.dll: SetupTermDefaultQueueCallback, SetupOpenAppendInfFileW, SetupOpenInfFileW, SetupDiGetDeviceInstallParamsW
> MSVCRT.dll: __p__commode, __getmainargs, _acmdln, exit, _XcptFilter, _exit, __setusermatherr, _adjust_fdiv, _initterm, __p__fmode, __set_app_type, _except_handler3, _controlfp
( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=F64609EF008D353260F104CC344D7000550D8B49
-------------------------------------------------------------------------------------
Et pour finir le rapport combofix:
ComboFix 08-04-22.5 - Administrateur 2008-04-25 12:16:15.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.136 [GMT 2:00]
Endroit: C:\Documents and Settings\Administrateur\Bureau\KillBagle.exe
Command switches used :: C:\Documents and Settings\Administrateur\Bureau\WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
* Création d'un nouveau point de restauration
* Resident AV is active
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Previous Run -------
.
c:\Documents and Settings\Administrateur\Local Settings\Application Data\clsortedx.dat
C:\Documents and Settings\Administrateur\Local Settings\Application Data\clsortedx.exe
c:\Documents and Settings\Administrateur\Local Settings\Application Data\clsortedx_nav.dat
c:\Documents and Settings\Administrateur\Local Settings\Application Data\clsortedx_navps.dat
C:\WINDOWS\system32\nvs2.inf
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_OULTRAF
-------\Service_oUltraf
-------\Legacy_OULTRAF
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-03-25 to 2008-04-25 ))))))))))))))))))))))))))))))))))))
.
2008-04-25 12:21 . 2008-04-25 12:21 <REP> d-------- C:\WINDOWS\system32\xircom
2008-04-25 12:21 . 2008-04-25 12:21 <REP> d-------- C:\Program Files\microsoft frontpage
2008-04-25 11:15 . 2008-04-25 11:15 <REP> d-------- C:\WINDOWS\system32\fr-fr
2008-04-25 11:08 . 2008-04-25 11:08 <REP> d--h----- C:\WINDOWS\$hf_mig$
2008-04-24 20:34 . 2008-04-24 20:34 146 --a------ C:\WINDOWS\DelMR.bat
2008-04-24 19:23 . 2008-04-24 19:23 <REP> d-------- C:\Program Files\Trend Micro
2008-04-24 12:42 . 2008-04-24 12:42 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-04-24 12:42 . 2008-04-24 12:42 1,409 --a------ C:\WINDOWS\QTFont.for
2008-04-23 10:03 . 2008-04-23 11:56 <REP> d-------- C:\WINDOWS\BDOSCAN8
2008-04-22 21:14 . 2008-04-22 21:14 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Grisoft
2008-04-22 21:14 . 2007-05-30 14:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2008-04-22 21:13 . 2008-04-22 21:13 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2008-04-10 21:06 . 2008-04-10 21:06 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Apple Computer
2008-04-10 20:59 . 2008-04-10 21:00 <REP> d-------- C:\Program Files\QuickTime
2008-04-10 20:59 . 2008-04-10 20:59 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Apple Computer
2008-04-10 20:58 . 2008-04-10 20:58 <REP> d-------- C:\Program Files\Apple Software Update
2008-04-10 20:58 . 2008-04-10 20:58 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Apple
2008-04-08 23:08 . 2008-04-08 23:08 <REP> d-------- C:\Program Files\Fake Webcam
2008-04-02 22:57 . 2008-04-02 22:57 <REP> d-------- C:\Program Files\Square Soft, Inc
2008-04-01 23:41 . 2008-04-22 18:01 <REP> d-------- C:\Program Files\MediaCoder
2008-04-01 22:41 . 2008-04-01 22:41 1,158 --a------ C:\WINDOWS\mozver.dat
2008-04-01 15:52 . 2008-04-01 15:52 <REP> d-------- C:\Documents and Settings\All Users\Application Data\UDL
2008-04-01 15:48 . 2008-04-01 15:49 <REP> d-------- C:\Program Files\ABBYY FineReader 6.0 Sprint
2008-04-01 15:46 . 2008-04-01 15:46 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\InstallShield
2008-04-01 15:45 . 2008-04-01 15:45 <REP> d-------- C:\Documents and Settings\All Users\Application Data\EPSON
2008-04-01 15:45 . 2006-12-08 04:04 76,800 --a------ C:\WINDOWS\system32\E_FLBCEE.DLL
2008-04-01 15:45 . 2006-04-19 04:00 62,976 --a------ C:\WINDOWS\system32\E_FD4BCEE.DLL
2008-04-01 15:45 . 2004-09-10 22:12 49,152 --a------ C:\WINDOWS\system32\E_DCINST.DLL
2008-04-01 15:41 . 2008-04-01 15:50 <REP> d-------- C:\Program Files\epson
2008-04-01 15:41 . 2007-04-18 00:00 67,072 --a------ C:\WINDOWS\system32\escwiad.dll
2008-04-01 15:41 . 2008-04-01 15:41 25 --a------ C:\WINDOWS\CDE DX8400DEFGIPS.ini
2008-03-28 23:37 . 2008-03-28 23:37 90,112 --a------ C:\WINDOWS\system32\QuickTimeVR.qtx
2008-03-28 23:37 . 2008-03-28 23:37 57,344 --a------ C:\WINDOWS\system32\QuickTime.qts
2008-03-28 17:30 . 1998-06-24 02:00 115,016 --a------ C:\WINDOWS\system32\MSINET.OCX
2008-03-28 17:30 . 1998-06-18 02:00 89,360 --a------ C:\WINDOWS\system32\VB5DB.DLL
2008-03-28 17:30 . 2000-03-17 10:21 69,632 --a------ C:\WINDOWS\system32\xmltok.dll
2008-03-28 17:30 . 2000-03-17 10:21 36,864 --a------ C:\WINDOWS\system32\xmlparse.dll
2008-03-28 17:30 . 2002-04-24 14:43 35,840 --a------ C:\WINDOWS\system32\comdlg32.oca
2008-03-28 17:30 . 2002-04-09 19:23 29,184 --a------ C:\WINDOWS\system32\MSINET.oca
2008-03-28 17:30 . 2002-10-17 12:35 26,096 --a------ C:\WINDOWS\system32\xmlinst.exe
2008-03-28 16:54 . 2008-03-28 17:30 <REP> d-------- C:\Program Files\Ubisoft
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-24 19:58 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-04-24 19:58 --------- d-----w C:\Program Files\CyberLink
2008-04-24 18:35 --------- d-----w C:\Program Files\Fichiers communs\Teleca Shared
2008-04-24 18:35 --------- d-----w C:\Documents and Settings\All Users\Application Data\Sony Ericsson
2008-04-23 16:20 --------- d-----w C:\Program Files\VirtualDJ
2008-04-23 16:19 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\Sony
2008-04-23 15:45 --------- d-----w C:\Program Files\Winamp
2008-04-23 08:39 --------- d-----w C:\Program Files\RXToolBar
2008-04-22 19:20 --------- d-----w C:\Program Files\TuneUp Utilities 2004
2008-04-12 18:53 --------- d-----w C:\Program Files\AZPR
2008-04-10 18:38 --------- d-----w C:\Program Files\Real
2008-04-07 18:40 --------- d-----w C:\Documents and Settings\All Users\Application Data\Ahead
2008-04-07 18:40 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\Ahead
2008-04-01 14:03 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\EPSON
2008-04-01 13:55 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
2008-04-01 13:38 --------- d-----w C:\Program Files\Fichiers communs\EPSON
2008-03-30 11:51 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll
2008-03-22 12:29 --------- d-----w C:\Program Files\Acoustica Beatcraft
2008-03-22 12:28 --------- d-----w C:\Program Files\Acoustica Shared Effects
2008-03-20 16:17 --------- d-----w C:\Program Files\SuperCopier2
2008-03-17 17:57 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\AccurateRip
2008-03-17 16:46 4,044,152 ----a-w C:\WINDOWS\system32\SpoonUninstall.exe
2008-03-16 15:52 29,392 -c--a-w C:\WINDOWS\system32\drivers\secdrv.sys
2008-03-03 21:13 --------- d-----w C:\Program Files\Kyodai Mahjongg
2008-03-03 19:57 --------- d-----w C:\Program Files\DAEMON Tools Lite
2008-03-03 19:51 716,272 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2008-03-03 19:51 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\DAEMON Tools
2008-03-03 12:35 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\Media Player Classic
2008-03-03 12:33 --------- d-----w C:\Program Files\Combined Community Codec Pack
2008-02-28 18:35 --------- d-----w C:\Program Files\ETAJV PC
2008-02-28 18:33 --------- d-----w C:\Program Files\ETAJV PLAYSTATION 2
2008-02-27 14:39 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\Wallpaper
2008-02-27 14:23 --------- d-----w C:\Program Files\Elaborate Bytes
2008-02-27 14:21 --------- d-----w C:\Program Files\Cdex
2008-02-27 13:45 --------- d-----w C:\Program Files\Wallpaper
2008-02-27 13:38 --------- d-----w C:\Program Files\SlySoft
2006-07-22 10:41 278,528 -c--a-w C:\Program Files\Fichiers communs\FDEUnInstaller.exe
2005-05-13 15:12 217,073 --sha-r C:\WINDOWS\meta4.exe
2005-10-24 09:13 66,560 --sha-r C:\WINDOWS\MOTA113.exe
2005-07-14 10:31 27,648 --sha-r C:\WINDOWS\system32\AVSredirect.dll
2005-06-26 13:32 616,448 -csha-r C:\WINDOWS\system32\cygwin1.dll
2005-06-21 20:37 45,568 -csha-r C:\WINDOWS\system32\cygz.dll
2004-01-24 22:00 70,656 --sha-r C:\WINDOWS\system32\i420vfw.dll
2005-02-28 11:16 240,128 --sha-r C:\WINDOWS\system32\x.264.exe
2004-01-24 22:00 70,656 --sha-r C:\WINDOWS\system32\yv12vfw.dll
.
------- Sigcheck -------
2004-08-19 11:00 359040 797598fd24f32a727ff20c26dbf14fce C:\WINDOWS\system32\drivers\tcpip.sys
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4E7BD74F-2B8D-469E-90F0-F66AB581A933}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:54 15360]
"Wallpaper"="C:\Program Files\Wallpaper\Wallpaper.exe" [2007-08-21 01:27 233472]
"SuperCopier2.exe"="C:\Program Files\SuperCopier2\SuperCopier2.exe" [2006-07-07 18:45 1052672]
"EPSON Stylus DX8400 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICEE.exe" [2007-04-12 08:00 182272]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-08-04 02:07 1667584]
"MadoogaliAd"="C:\WINDOWS\system32\adsrvm.exe" [2001-06-18 18:15 98304]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SiS KHooker"="C:\WINDOWS\system32\khooker.exe" [2002-03-26 11:13 290816]
"nod32kui"="C:\Program Files\Eset\nod32kui.exe" [2005-12-23 17:00 917504]
"GhostStartTrayApp"="C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe" [2002-08-19 12:58 94208]
"AliceSAV"="C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe" [2005-12-16 18:57 81408]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]
"CloneCDTray"="C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" [2005-05-19 15:47 57344]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-03-28 23:37 413696]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25 6731312]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:54 15360]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"tscuninstall"="C:\WINDOWS\system32\tscupgrd.exe" [2004-08-04 00:37 44544]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll
"vidc.yv12"= yv12vfw.dll
"vidc.ffds"= C:\PROGRA~1\COMBIN~1\Filters\FFDShow\ff_vfw.dll
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" /background
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"WinampAgent"=C:\Program Files\Winamp\winampa.exe
"PC Suite for Smartphones"="C:\Program Files\Sony Ericsson\Mobile4\Application Launcher\Application Launcher.exe" /startoptions
"MadoogaliAd"=C:\WINDOWS\system32\adsrvm.exe
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\eMule\\emule.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"4662:TCP"= 4662:TCP:mule
"4662:UDP"= 4662:UDP:mule2
S3 Boonty Games;Boonty Games;"C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe" [2006-08-07 01:56]
S3 SiS630;SiS630;C:\WINDOWS\system32\DRIVERS\sis630p.sys [2002-06-05 08:29]
S3 ZDCndis5;ZDCndis5 Protocol Driver;C:\WINDOWS\system32\ZDCndis5.SYS []
.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-04-11 15:19:26 C:\WINDOWS\Tasks\Maintenance en 1 clic.job"
- C:\Program Files\TuneUp Utilities 2004\SystemOptimizer.exe
.
**************************************************************************
catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-25 12:23:39
Windows 5.1.2600 Service Pack 2 NTFS
Balayage processus cach‚s ...
Balayage cach‚ autostart entries ...
Balayage des fichiers cach‚s ...
Scan termin‚ avec succŠs
Les fichiers cach‚s: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mchInjDrv]
"ImagePath"="\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\mc22.tmp"
.
--------------------- DLLs a charg‚ sous des processus courants ---------------------
PROCESS: C:\WINDOWS\system32\lsass.exe
-> C:\Program Files\Eset\pr_imon.dll
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\ESET\nod32krn.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-04-25 12:27:11 - machine was rebooted [Administrateur]
ComboFix-quarantined-files.txt 2008-04-25 10:27:01
Pre-Run: 9,568,157,696 octets libres
Post-Run: 9,525,587,968 octets libres
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
215
-------------------------------------------------------------
Je ne sais pas comment tu fais pour interpreter tout cela, chapeau l'artiste ! Y a-t-il encore des entrées vicelardes ?
Encore merci.
J'ai mis à jour explorer, me voilà avec la version 7.
--------------------------------------------------------------------------------------------------------------
Voilà les rapports des 2 fichiers analysés avec Virustotal:
Fichier adsrvm.exe reçu le 2008.04.25 11:19:06 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 3/32 (9.38%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: ___.
L'heure estimée de démarrage est entre ___ et ___ .
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.
Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.4.25.2 2008.04.25 -
AntiVir 7.8.0.10 2008.04.25 -
Authentium 4.93.8 2008.04.25 Possibly a new variant of W32/VB-EMU:VB-Backdoor-HRS-based!Maximus
Avast 4.8.1169.0 2008.04.24 -
AVG 7.5.0.516 2008.04.25 -
BitDefender 7.2 2008.04.25 -
CAT-QuickHeal 9.50 2008.04.24 -
ClamAV 0.92.1 2008.04.25 -
DrWeb 4.44.0.09170 2008.04.25 -
eSafe 7.0.15.0 2008.04.21 -
eTrust-Vet 31.3.5733 2008.04.25 -
Ewido 4.0 2008.04.24 -
F-Prot 4.4.2.54 2008.04.24 W32/VB-EMU:VB-Backdoor-HRS-based!Maximus
F-Secure 6.70.13260.0 2008.04.25 -
FileAdvisor 1 2008.04.25 -
Fortinet 3.14.0.0 2008.04.25 -
Ikarus T3.1.1.26 2008.04.25 -
Kaspersky 7.0.0.125 2008.04.25 -
McAfee 5281 2008.04.24 -
Microsoft 1.3408 2008.04.22 -
NOD32v2 3053 2008.04.24 -
Norman 5.80.02 2008.04.24 -
Panda 9.0.0.4 2008.04.25 -
Prevx1 V2 2008.04.25 Heuristic: Suspicious File With Covert Attributes
Rising 20.41.40.00 2008.04.25 -
Sophos 4.28.0 2008.04.25 -
Sunbelt 3.0.1056.0 2008.04.17 -
Symantec 10 2008.04.25 -
TheHacker 6.2.92.291 2008.04.24 -
VBA32 3.12.6.5 2008.04.24 -
VirusBuster 4.3.26:9 2008.04.24 -
Webwasher-Gateway 6.6.2 2008.04.25 -
Information additionnelle
File size: 98304 bytes
MD5...: 0f6fb1523ad9f3f9922cc9e16826d4f0
SHA1..: 4a09738ff8a98627c55c58acaba5e503ea82421e
SHA256: b1cea2acb2dcdaccf4e3453f9e71dd8dca4cfe3d2e6154af075058e8d7d33df1
SHA512: efd413df4e47b4b1675fc770fd2554ec5e723bb8027ef0190fb5a58979c89b28
277aa07a7b0c99ccf1ee0856581af53b02a0f02e8a0d7335cdd323c712af469e
PEiD..: -
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x401e14
timedatestamp.....: 0x3b2e1b20 (Mon Jun 18 15:15:44 2001)
machinetype.......: 0x14c (I386)
( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x14dd0 0x15000 5.87 0112052b1229e87e56caa0b54d823087
.data 0x16000 0x1764 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110
.rsrc 0x18000 0x958 0x1000 2.08 07aafc831f80cb80d5d58f93b23bb7ca
( 1 imports )
> MSVBVM60.DLL: __vbaVarSub, __vbaStrI2, _CIcos, _adj_fptan, __vbaVarMove, __vbaStrI4, __vbaVarVargNofree, __vbaFreeVar, __vbaLateIdCall, __vbaStrVarMove, __vbaLenBstr, __vbaEnd, __vbaFreeVarList, _adj_fdiv_m64, __vbaFreeObjList, -, __vbaStrErrVarCopy, _adj_fprem1, -, __vbaRecAnsiToUni, __vbaI2Abs, __vbaStrCat, __vbaLsetFixstr, -, __vbaSetSystemError, __vbaHresultCheckObj, -, __vbaLenVar, _adj_fdiv_m32, __vbaAryDestruct, -, __vbaExitProc, -, -, -, -, __vbaObjSet, __vbaOnError, _adj_fdiv_m16i, -, __vbaObjSetAddref, _adj_fdivr_m16i, -, -, -, __vbaStrFixstr, -, -, -, -, __vbaFpR8, __vbaVarTstLt, _CIsin, -, -, -, __vbaChkstk, -, EVENT_SINK_AddRef, __vbaGenerateBoundsError, __vbaStrCmp, __vbaAryConstruct2, __vbaI2I4, DllFunctionCall, __vbaCastObjVar, _adj_fpatan, __vbaFixstrConstruct, __vbaLateIdCallLd, __vbaRecUniToAnsi, EVENT_SINK_Release, _CIsqrt, -, EVENT_SINK_QueryInterface, __vbaVarMul, __vbaExceptHandler, -, __vbaStrToUnicode, -, __vbaDateStr, _adj_fprem, _adj_fdivr_m64, -, -, -, __vbaFPException, __vbaInStrVar, __vbaStrVarVal, __vbaVarCat, __vbaDateVar, -, __vbaI2Var, -, -, _CIlog, __vbaErrorOverflow, __vbaR8Str, __vbaNew2, __vbaInStr, _adj_fdiv_m32i, _adj_fdivr_m32i, -, __vbaStrCopy, __vbaFreeStrList, _adj_fdivr_m32, __vbaPowerR8, _adj_fdiv_r, -, -, __vbaVarTstNe, __vbaI4Var, __vbaVarAdd, __vbaVarDup, __vbaStrToAnsi, -, __vbaFpI2, -, __vbaFpI4, -, _CIatan, __vbaStrMove, __vbaCastObj, __vbaR8IntI4, -, _allmul, __vbaLateIdSt, _CItan, -, _CIexp, __vbaFreeObj, __vbaFreeStr, -
( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=533D14EE00BAAE42805E0106A01A0000F7508862
---------------------------------
Fichier clsortedx.exe reçu le 2008.04.25 11:28:45 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 2/32 (6.25%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 1.
L'heure estimée de démarrage est entre 36 et 52 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.
Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.4.25.2 2008.04.25 -
AntiVir 7.8.0.10 2008.04.25 -
Authentium 4.93.8 2008.04.25 -
Avast 4.8.1169.0 2008.04.24 -
AVG 7.5.0.516 2008.04.25 -
BitDefender 7.2 2008.04.25 -
CAT-QuickHeal 9.50 2008.04.24 -
ClamAV 0.92.1 2008.04.25 -
DrWeb 4.44.0.09170 2008.04.25 -
eSafe 7.0.15.0 2008.04.21 -
eTrust-Vet 31.3.5733 2008.04.25 -
Ewido 4.0 2008.04.24 -
F-Prot 4.4.2.54 2008.04.24 -
F-Secure 6.70.13260.0 2008.04.25 -
FileAdvisor 1 2008.04.25 -
Fortinet 3.14.0.0 2008.04.25 -
Ikarus T3.1.1.26.0 2008.04.25 -
Kaspersky 7.0.0.125 2008.04.25 -
McAfee 5281 2008.04.24 -
Microsoft 1.3408 2008.04.22 -
NOD32v2 3053 2008.04.24 -
Norman 5.80.02 2008.04.24 -
Panda 9.0.0.4 2008.04.25 -
Prevx1 V2 2008.04.25 Heuristic: Suspicious Self Modifying EXE
Rising 20.41.40.00 2008.04.25 -
Sophos 4.28.0 2008.04.25 -
Sunbelt 3.0.1056.0 2008.04.17 -
Symantec 10 2008.04.25 -
TheHacker 6.2.92.291 2008.04.24 -
VBA32 3.12.6.5 2008.04.24 -
VirusBuster 4.3.26:9 2008.04.24 -
Webwasher-Gateway 6.6.2 2008.04.25 Win32.Vulnerable.gen!High (suspicious)
Information additionnelle
File size: 286720 bytes
MD5...: ee7ce72eef348df260005f995a54d3a9
SHA1..: 63144b00e7a7e980da0c60e97e1b80cf5d2a0510
SHA256: 93c0848d6d2078d198d7851efbdf97e2f476d9c0939c4a4519afa740c5ec4d51
SHA512: 437603d00671604d9f427b5ad9550f00e1eb72bb27d4f1f330829449ad770579
c8389fc127ef49cf3ce0b576652db1f29b09e796e1ec074ceceea47d6583264f
PEiD..: Armadillo v1.71
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x4416b2
timedatestamp.....: 0x43e2184b (Thu Feb 02 14:33:47 2006)
machinetype.......: 0x14c (I386)
( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x4084c 0x41000 7.99 b14f892393109731dcb66430c419319c
.rdata 0x42000 0x1c9e 0x2000 5.27 dfccbae5130e8b5d5f04223e41306fcf
.data 0x44000 0x196c 0x2000 6.90 848188c0855270a00d8b6a722f793013
( 12 imports )
> KERNEL32.dll: SystemTimeToFileTime, GetConsoleCursorInfo, CallNamedPipeA, GlobalSize, FindNextFileW, SetFileTime, WriteConsoleA, WritePrivateProfileStructA, SetProcessWorkingSetSize, CompareStringW, GlobalGetAtomNameW, GetTempPathA, lstrlenA, _hread, HeapCreate, ExpandEnvironmentStringsA, AllocConsole, VirtualProtect, VirtualAllocEx, TerminateProcess, EraseTape, DeleteFiber, GlobalGetAtomNameA, lstrcpynW, GlobalMemoryStatus, LoadLibraryExW, SetNamedPipeHandleState, EnumResourceLanguagesA, EscapeCommFunction, GetDateFormatW, GetDiskFreeSpaceW, lstrcmpiW, QueryPerformanceCounter, DeleteFileA, CopyFileA, DeleteAtom, SetCurrentDirectoryW, PeekConsoleInputW, MoveFileExA, GetDiskFreeSpaceA, FreeResource, ScrollConsoleScreenBufferW, CreateMailslotA, GetModuleHandleA, FreeEnvironmentStringsW, CreateFileW, TransactNamedPipe, GetSystemTimeAdjustment, GetPrivateProfileStringA, OpenFile, _llseek, SetEvent, GetProfileIntW, SetTimeZoneInformation, OpenEventA, IsDBCSLeadByte, GetModuleFileNameW, SetLocalTime, VirtualQuery, SetMailslotInfo, FoldStringW, SetConsoleMode, CreateProcessA, FindClose, RemoveDirectoryA, WaitForMultipleObjects, SetHandleCount, BackupWrite, EndUpdateResourceA, FindAtomA, PeekNamedPipe, QueryDosDeviceA, ResetEvent, GetTempFileNameW, SystemTimeToTzSpecificLocalTime, LockFileEx, GetStartupInfoA, Sleep, UpdateResourceA, SuspendThread, SetVolumeLabelA, CancelIo, UnmapViewOfFile, WriteFileEx, OpenSemaphoreW, HeapDestroy, MoveFileExW, FillConsoleOutputCharacterW, WriteFileGather, WriteConsoleOutputCharacterA, FindNextFileA, GetOEMCP, FindFirstFileA, WriteProfileStringA, IsValidCodePage, PurgeComm, SetConsoleCursorPosition, DefineDosDeviceW, GetSystemDefaultLangID, AreFileApisANSI, GetBinaryTypeA, LoadLibraryA, CopyFileW, WriteTapemark, GetFileAttributesA, GlobalHandle, UnhandledExceptionFilter, GetVersionExA
> USER32.dll: TrackMouseEvent, ScreenToClient, CloseWindowStation, CharNextW, SendNotifyMessageA, OemToCharBuffW, GetMenuInfo, ChangeDisplaySettingsExA, GetWindowRgn, CopyImage, GetLastActivePopup, GetKeyboardLayout, FrameRect, CharPrevA, GetMenuCheckMarkDimensions, mouse_event, WaitForInputIdle, keybd_event, GetSubMenu, GetClipboardOwner, BroadcastSystemMessageA, AttachThreadInput, SetFocus, DispatchMessageW, OemKeyScan, LoadMenuW, OpenIcon, PostThreadMessageA, SendDlgItemMessageW, LoadStringW, GetDlgItem, SetWindowLongW, SetRect, GetWindow, GetMenuItemInfoW, SetThreadDesktop, GetProcessDefaultLayout, LoadImageW, ToUnicode, BeginDeferWindowPos
> GDI32.dll: CreateBrushIndirect, ResizePalette, GetViewportExtEx, SetPaletteEntries, GetGlyphOutlineW, SetPolyFillMode, PatBlt, RectInRegion, GetTextExtentPointW, CreatePen, Pie, PlayEnhMetaFile, CreateMetaFileW, SetWindowOrgEx, GetPixel, BeginPath
> comdlg32.dll: GetFileTitleW, ChooseColorW, GetOpenFileNameW, ReplaceTextA
> ADVAPI32.dll: SetSecurityDescriptorOwner, RegGetKeySecurity, CryptDecrypt, GetFileSecurityW, SetServiceStatus, RegEnumKeyA, AddAccessAllowedAce, RegOpenKeyA, RegDeleteKeyA, GetAce, RegCloseKey, ControlService, SetSecurityDescriptorDacl, StartServiceA, RegSetValueW, ClearEventLogW, SetNamedSecurityInfoW, RegDeleteValueA, LookupAccountSidA, CryptSetHashParam, CryptSignHashW, AddAce, AddAccessDeniedAce, EnumDependentServicesA, RegReplaceKeyW, ObjectDeleteAuditAlarmW, CryptExportKey, CryptGetProvParam, GetSecurityDescriptorSacl, SetTokenInformation, AllocateAndInitializeSid, SetKernelObjectSecurity, RevertToSelf, OpenServiceW, GetServiceKeyNameW, RegQueryInfoKeyW, CryptSetKeyParam, GetSecurityDescriptorDacl, StartServiceCtrlDispatcherA, GetCurrentHwProfileW
> SHELL32.dll: SHGetSpecialFolderPathA, SHBrowseForFolderW, SHGetFileInfoW, SHLoadInProc
> ole32.dll: CoTaskMemRealloc, CoReleaseServerProcess, CoQueryProxyBlanket, WriteClassStm, OleSetClipboard, GetClassFile
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -
> COMCTL32.dll: ImageList_DragEnter, PropertySheetA, ImageList_DragShowNolock, ImageList_Remove
> SHLWAPI.dll: StrRChrA, SHCopyKeyA, PathFindFileNameA, StrCmpIW, PathGetCharTypeA, PathIsPrefixW, SHOpenRegStream2W, PathGetDriveNumberW, PathFileExistsA, StrCmpNA, PathQuoteSpacesA, HashData, UrlApplySchemeW, StrChrA, StrCatBuffW, PathCombineA
> SETUPAPI.dll: SetupTermDefaultQueueCallback, SetupOpenAppendInfFileW, SetupOpenInfFileW, SetupDiGetDeviceInstallParamsW
> MSVCRT.dll: __p__commode, __getmainargs, _acmdln, exit, _XcptFilter, _exit, __setusermatherr, _adjust_fdiv, _initterm, __p__fmode, __set_app_type, _except_handler3, _controlfp
( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=F64609EF008D353260F104CC344D7000550D8B49
-------------------------------------------------------------------------------------
Et pour finir le rapport combofix:
ComboFix 08-04-22.5 - Administrateur 2008-04-25 12:16:15.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.136 [GMT 2:00]
Endroit: C:\Documents and Settings\Administrateur\Bureau\KillBagle.exe
Command switches used :: C:\Documents and Settings\Administrateur\Bureau\WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
* Création d'un nouveau point de restauration
* Resident AV is active
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Previous Run -------
.
c:\Documents and Settings\Administrateur\Local Settings\Application Data\clsortedx.dat
C:\Documents and Settings\Administrateur\Local Settings\Application Data\clsortedx.exe
c:\Documents and Settings\Administrateur\Local Settings\Application Data\clsortedx_nav.dat
c:\Documents and Settings\Administrateur\Local Settings\Application Data\clsortedx_navps.dat
C:\WINDOWS\system32\nvs2.inf
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_OULTRAF
-------\Service_oUltraf
-------\Legacy_OULTRAF
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-03-25 to 2008-04-25 ))))))))))))))))))))))))))))))))))))
.
2008-04-25 12:21 . 2008-04-25 12:21 <REP> d-------- C:\WINDOWS\system32\xircom
2008-04-25 12:21 . 2008-04-25 12:21 <REP> d-------- C:\Program Files\microsoft frontpage
2008-04-25 11:15 . 2008-04-25 11:15 <REP> d-------- C:\WINDOWS\system32\fr-fr
2008-04-25 11:08 . 2008-04-25 11:08 <REP> d--h----- C:\WINDOWS\$hf_mig$
2008-04-24 20:34 . 2008-04-24 20:34 146 --a------ C:\WINDOWS\DelMR.bat
2008-04-24 19:23 . 2008-04-24 19:23 <REP> d-------- C:\Program Files\Trend Micro
2008-04-24 12:42 . 2008-04-24 12:42 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-04-24 12:42 . 2008-04-24 12:42 1,409 --a------ C:\WINDOWS\QTFont.for
2008-04-23 10:03 . 2008-04-23 11:56 <REP> d-------- C:\WINDOWS\BDOSCAN8
2008-04-22 21:14 . 2008-04-22 21:14 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Grisoft
2008-04-22 21:14 . 2007-05-30 14:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2008-04-22 21:13 . 2008-04-22 21:13 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2008-04-10 21:06 . 2008-04-10 21:06 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Apple Computer
2008-04-10 20:59 . 2008-04-10 21:00 <REP> d-------- C:\Program Files\QuickTime
2008-04-10 20:59 . 2008-04-10 20:59 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Apple Computer
2008-04-10 20:58 . 2008-04-10 20:58 <REP> d-------- C:\Program Files\Apple Software Update
2008-04-10 20:58 . 2008-04-10 20:58 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Apple
2008-04-08 23:08 . 2008-04-08 23:08 <REP> d-------- C:\Program Files\Fake Webcam
2008-04-02 22:57 . 2008-04-02 22:57 <REP> d-------- C:\Program Files\Square Soft, Inc
2008-04-01 23:41 . 2008-04-22 18:01 <REP> d-------- C:\Program Files\MediaCoder
2008-04-01 22:41 . 2008-04-01 22:41 1,158 --a------ C:\WINDOWS\mozver.dat
2008-04-01 15:52 . 2008-04-01 15:52 <REP> d-------- C:\Documents and Settings\All Users\Application Data\UDL
2008-04-01 15:48 . 2008-04-01 15:49 <REP> d-------- C:\Program Files\ABBYY FineReader 6.0 Sprint
2008-04-01 15:46 . 2008-04-01 15:46 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\InstallShield
2008-04-01 15:45 . 2008-04-01 15:45 <REP> d-------- C:\Documents and Settings\All Users\Application Data\EPSON
2008-04-01 15:45 . 2006-12-08 04:04 76,800 --a------ C:\WINDOWS\system32\E_FLBCEE.DLL
2008-04-01 15:45 . 2006-04-19 04:00 62,976 --a------ C:\WINDOWS\system32\E_FD4BCEE.DLL
2008-04-01 15:45 . 2004-09-10 22:12 49,152 --a------ C:\WINDOWS\system32\E_DCINST.DLL
2008-04-01 15:41 . 2008-04-01 15:50 <REP> d-------- C:\Program Files\epson
2008-04-01 15:41 . 2007-04-18 00:00 67,072 --a------ C:\WINDOWS\system32\escwiad.dll
2008-04-01 15:41 . 2008-04-01 15:41 25 --a------ C:\WINDOWS\CDE DX8400DEFGIPS.ini
2008-03-28 23:37 . 2008-03-28 23:37 90,112 --a------ C:\WINDOWS\system32\QuickTimeVR.qtx
2008-03-28 23:37 . 2008-03-28 23:37 57,344 --a------ C:\WINDOWS\system32\QuickTime.qts
2008-03-28 17:30 . 1998-06-24 02:00 115,016 --a------ C:\WINDOWS\system32\MSINET.OCX
2008-03-28 17:30 . 1998-06-18 02:00 89,360 --a------ C:\WINDOWS\system32\VB5DB.DLL
2008-03-28 17:30 . 2000-03-17 10:21 69,632 --a------ C:\WINDOWS\system32\xmltok.dll
2008-03-28 17:30 . 2000-03-17 10:21 36,864 --a------ C:\WINDOWS\system32\xmlparse.dll
2008-03-28 17:30 . 2002-04-24 14:43 35,840 --a------ C:\WINDOWS\system32\comdlg32.oca
2008-03-28 17:30 . 2002-04-09 19:23 29,184 --a------ C:\WINDOWS\system32\MSINET.oca
2008-03-28 17:30 . 2002-10-17 12:35 26,096 --a------ C:\WINDOWS\system32\xmlinst.exe
2008-03-28 16:54 . 2008-03-28 17:30 <REP> d-------- C:\Program Files\Ubisoft
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-24 19:58 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-04-24 19:58 --------- d-----w C:\Program Files\CyberLink
2008-04-24 18:35 --------- d-----w C:\Program Files\Fichiers communs\Teleca Shared
2008-04-24 18:35 --------- d-----w C:\Documents and Settings\All Users\Application Data\Sony Ericsson
2008-04-23 16:20 --------- d-----w C:\Program Files\VirtualDJ
2008-04-23 16:19 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\Sony
2008-04-23 15:45 --------- d-----w C:\Program Files\Winamp
2008-04-23 08:39 --------- d-----w C:\Program Files\RXToolBar
2008-04-22 19:20 --------- d-----w C:\Program Files\TuneUp Utilities 2004
2008-04-12 18:53 --------- d-----w C:\Program Files\AZPR
2008-04-10 18:38 --------- d-----w C:\Program Files\Real
2008-04-07 18:40 --------- d-----w C:\Documents and Settings\All Users\Application Data\Ahead
2008-04-07 18:40 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\Ahead
2008-04-01 14:03 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\EPSON
2008-04-01 13:55 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
2008-04-01 13:38 --------- d-----w C:\Program Files\Fichiers communs\EPSON
2008-03-30 11:51 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll
2008-03-22 12:29 --------- d-----w C:\Program Files\Acoustica Beatcraft
2008-03-22 12:28 --------- d-----w C:\Program Files\Acoustica Shared Effects
2008-03-20 16:17 --------- d-----w C:\Program Files\SuperCopier2
2008-03-17 17:57 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\AccurateRip
2008-03-17 16:46 4,044,152 ----a-w C:\WINDOWS\system32\SpoonUninstall.exe
2008-03-16 15:52 29,392 -c--a-w C:\WINDOWS\system32\drivers\secdrv.sys
2008-03-03 21:13 --------- d-----w C:\Program Files\Kyodai Mahjongg
2008-03-03 19:57 --------- d-----w C:\Program Files\DAEMON Tools Lite
2008-03-03 19:51 716,272 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2008-03-03 19:51 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\DAEMON Tools
2008-03-03 12:35 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\Media Player Classic
2008-03-03 12:33 --------- d-----w C:\Program Files\Combined Community Codec Pack
2008-02-28 18:35 --------- d-----w C:\Program Files\ETAJV PC
2008-02-28 18:33 --------- d-----w C:\Program Files\ETAJV PLAYSTATION 2
2008-02-27 14:39 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\Wallpaper
2008-02-27 14:23 --------- d-----w C:\Program Files\Elaborate Bytes
2008-02-27 14:21 --------- d-----w C:\Program Files\Cdex
2008-02-27 13:45 --------- d-----w C:\Program Files\Wallpaper
2008-02-27 13:38 --------- d-----w C:\Program Files\SlySoft
2006-07-22 10:41 278,528 -c--a-w C:\Program Files\Fichiers communs\FDEUnInstaller.exe
2005-05-13 15:12 217,073 --sha-r C:\WINDOWS\meta4.exe
2005-10-24 09:13 66,560 --sha-r C:\WINDOWS\MOTA113.exe
2005-07-14 10:31 27,648 --sha-r C:\WINDOWS\system32\AVSredirect.dll
2005-06-26 13:32 616,448 -csha-r C:\WINDOWS\system32\cygwin1.dll
2005-06-21 20:37 45,568 -csha-r C:\WINDOWS\system32\cygz.dll
2004-01-24 22:00 70,656 --sha-r C:\WINDOWS\system32\i420vfw.dll
2005-02-28 11:16 240,128 --sha-r C:\WINDOWS\system32\x.264.exe
2004-01-24 22:00 70,656 --sha-r C:\WINDOWS\system32\yv12vfw.dll
.
------- Sigcheck -------
2004-08-19 11:00 359040 797598fd24f32a727ff20c26dbf14fce C:\WINDOWS\system32\drivers\tcpip.sys
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4E7BD74F-2B8D-469E-90F0-F66AB581A933}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:54 15360]
"Wallpaper"="C:\Program Files\Wallpaper\Wallpaper.exe" [2007-08-21 01:27 233472]
"SuperCopier2.exe"="C:\Program Files\SuperCopier2\SuperCopier2.exe" [2006-07-07 18:45 1052672]
"EPSON Stylus DX8400 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICEE.exe" [2007-04-12 08:00 182272]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-08-04 02:07 1667584]
"MadoogaliAd"="C:\WINDOWS\system32\adsrvm.exe" [2001-06-18 18:15 98304]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SiS KHooker"="C:\WINDOWS\system32\khooker.exe" [2002-03-26 11:13 290816]
"nod32kui"="C:\Program Files\Eset\nod32kui.exe" [2005-12-23 17:00 917504]
"GhostStartTrayApp"="C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe" [2002-08-19 12:58 94208]
"AliceSAV"="C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe" [2005-12-16 18:57 81408]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]
"CloneCDTray"="C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" [2005-05-19 15:47 57344]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-03-28 23:37 413696]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25 6731312]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:54 15360]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"tscuninstall"="C:\WINDOWS\system32\tscupgrd.exe" [2004-08-04 00:37 44544]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll
"vidc.yv12"= yv12vfw.dll
"vidc.ffds"= C:\PROGRA~1\COMBIN~1\Filters\FFDShow\ff_vfw.dll
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" /background
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"WinampAgent"=C:\Program Files\Winamp\winampa.exe
"PC Suite for Smartphones"="C:\Program Files\Sony Ericsson\Mobile4\Application Launcher\Application Launcher.exe" /startoptions
"MadoogaliAd"=C:\WINDOWS\system32\adsrvm.exe
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\eMule\\emule.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"4662:TCP"= 4662:TCP:mule
"4662:UDP"= 4662:UDP:mule2
S3 Boonty Games;Boonty Games;"C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe" [2006-08-07 01:56]
S3 SiS630;SiS630;C:\WINDOWS\system32\DRIVERS\sis630p.sys [2002-06-05 08:29]
S3 ZDCndis5;ZDCndis5 Protocol Driver;C:\WINDOWS\system32\ZDCndis5.SYS []
.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-04-11 15:19:26 C:\WINDOWS\Tasks\Maintenance en 1 clic.job"
- C:\Program Files\TuneUp Utilities 2004\SystemOptimizer.exe
.
**************************************************************************
catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-25 12:23:39
Windows 5.1.2600 Service Pack 2 NTFS
Balayage processus cach‚s ...
Balayage cach‚ autostart entries ...
Balayage des fichiers cach‚s ...
Scan termin‚ avec succŠs
Les fichiers cach‚s: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mchInjDrv]
"ImagePath"="\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\mc22.tmp"
.
--------------------- DLLs a charg‚ sous des processus courants ---------------------
PROCESS: C:\WINDOWS\system32\lsass.exe
-> C:\Program Files\Eset\pr_imon.dll
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\ESET\nod32krn.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-04-25 12:27:11 - machine was rebooted [Administrateur]
ComboFix-quarantined-files.txt 2008-04-25 10:27:01
Pre-Run: 9,568,157,696 octets libres
Post-Run: 9,525,587,968 octets libres
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
215
-------------------------------------------------------------
Je ne sais pas comment tu fais pour interpreter tout cela, chapeau l'artiste ! Y a-t-il encore des entrées vicelardes ?
Encore merci.
jlpjlp
Messages postés
51580
Date d'inscription
vendredi 18 mai 2007
Statut
Contributeur sécurité
Dernière intervention
3 mai 2022
5 040
25 avril 2008 à 19:06
25 avril 2008 à 19:06
encore des pubs?
télécharger sur le bureau
Navilog.zip
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
= Double-Clic navilog1.zip
= Extraire tout sur le bureau
= Double-Clic navilog1 qui est sur le bureau
= Appuyer sur une touche jusqu' arriver aux options
= Choisir option 1
un rapport : fixnavi.txt dans C : va se creer
le copier/coller dans ton prochain message.
télécharger sur le bureau
Navilog.zip
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
= Double-Clic navilog1.zip
= Extraire tout sur le bureau
= Double-Clic navilog1 qui est sur le bureau
= Appuyer sur une touche jusqu' arriver aux options
= Choisir option 1
un rapport : fixnavi.txt dans C : va se creer
le copier/coller dans ton prochain message.
rossifumi46
Messages postés
253
Date d'inscription
jeudi 24 avril 2008
Statut
Membre
Dernière intervention
18 février 2011
439
26 avril 2008 à 13:54
26 avril 2008 à 13:54
Salut l'expert,
A priori je n'ai plus de fenêtres de pub qui s'ouvrent, ça a l'air bon. Voici quand même le rapport navilog:
Search Navipromo version 3.5.5 commencé le 26/04/2008 à 13:08:03,00
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!
Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "Administrateur"
Mise à jour le 25.04.2008 à 22h00 par IL-MAFIOSO
Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.13
Système de fichiers : NTFS
Executé en mode normal
*** Recherche Programmes installés ***
*** Recherche dossiers dans "C:\WINDOWS" ***
*** Recherche dossiers dans "C:\Program Files" ***
*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***
*** Recherche dossiers dans "c:\docume~1\alluse~1\menudm~1\progra~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\Administrateur\applic~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\INVIT~1\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\INVIT~1\locals~1\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\Administrateur\menudm~1\progra~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\INVIT~1\menudm~1\progra~1" ***
*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net
Aucun Fichier trouvé
*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!
* Recherche dans "C:\WINDOWS\system32" *
* Recherche dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" *
* Recherche dans "C:\DOCUME~1\INVIT~1\locals~1\applic~1" *
*** Recherche fichiers ***
*** Recherche clés spécifiques dans le Registre ***
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche nouveaux fichiers Instant Access :
2)Recherche Heuristique :
* Dans "C:\WINDOWS\system32" :
* Dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" :
* Dans "C:\DOCUME~1\INVIT~1\locals~1\applic~1" :
3)Recherche Certificats :
Certificat Egroup absent !
Certificat Electronic-Group trouvé !
Certificat OOO-Favorit trouvé !
Certificat Sunny-Day-Design-Ltd absent !
4)Recherche fichiers connus :
*** Analyse terminée le 26/04/2008 à 13:11:34,11 ***
Bon week-end end à toi !
A priori je n'ai plus de fenêtres de pub qui s'ouvrent, ça a l'air bon. Voici quand même le rapport navilog:
Search Navipromo version 3.5.5 commencé le 26/04/2008 à 13:08:03,00
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!
Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "Administrateur"
Mise à jour le 25.04.2008 à 22h00 par IL-MAFIOSO
Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.13
Système de fichiers : NTFS
Executé en mode normal
*** Recherche Programmes installés ***
*** Recherche dossiers dans "C:\WINDOWS" ***
*** Recherche dossiers dans "C:\Program Files" ***
*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***
*** Recherche dossiers dans "c:\docume~1\alluse~1\menudm~1\progra~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\Administrateur\applic~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\INVIT~1\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\INVIT~1\locals~1\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\Administrateur\menudm~1\progra~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\INVIT~1\menudm~1\progra~1" ***
*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net
Aucun Fichier trouvé
*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!
* Recherche dans "C:\WINDOWS\system32" *
* Recherche dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" *
* Recherche dans "C:\DOCUME~1\INVIT~1\locals~1\applic~1" *
*** Recherche fichiers ***
*** Recherche clés spécifiques dans le Registre ***
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche nouveaux fichiers Instant Access :
2)Recherche Heuristique :
* Dans "C:\WINDOWS\system32" :
* Dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" :
* Dans "C:\DOCUME~1\INVIT~1\locals~1\applic~1" :
3)Recherche Certificats :
Certificat Egroup absent !
Certificat Electronic-Group trouvé !
Certificat OOO-Favorit trouvé !
Certificat Sunny-Day-Design-Ltd absent !
4)Recherche fichiers connus :
*** Analyse terminée le 26/04/2008 à 13:11:34,11 ***
Bon week-end end à toi !
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
jlpjlp
Messages postés
51580
Date d'inscription
vendredi 18 mai 2007
Statut
Contributeur sécurité
Dernière intervention
3 mai 2022
5 040
26 avril 2008 à 20:44
26 avril 2008 à 20:44
relance navilogfait l'option 2 et cole le rapport
rossifumi46
Messages postés
253
Date d'inscription
jeudi 24 avril 2008
Statut
Membre
Dernière intervention
18 février 2011
439
28 avril 2008 à 13:20
28 avril 2008 à 13:20
Slt,
navilog option2 effectué, voilà le rapport:
Clean Navipromo version 3.5.5 commencé le 28/04/2008 à 12:29:37,10
Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "Administrateur"
Mise à jour le 25.04.2008 à 22h00 par IL-MAFIOSO
Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.13
Système de fichiers : NTFS
Mode suppression automatique
avec prise en charge résultats Catchme et GNS
*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)
*** Suppression avec sauvegardes résultats GenericNaviSearch ***
* Suppression dans "C:\WINDOWS\System32" *
* Suppression dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" *
navilog option2 effectué, voilà le rapport:
Clean Navipromo version 3.5.5 commencé le 28/04/2008 à 12:29:37,10
Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "Administrateur"
Mise à jour le 25.04.2008 à 22h00 par IL-MAFIOSO
Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.13
Système de fichiers : NTFS
Mode suppression automatique
avec prise en charge résultats Catchme et GNS
*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)
*** Suppression avec sauvegardes résultats GenericNaviSearch ***
* Suppression dans "C:\WINDOWS\System32" *
* Suppression dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" *
jlpjlp
Messages postés
51580
Date d'inscription
vendredi 18 mai 2007
Statut
Contributeur sécurité
Dernière intervention
3 mai 2022
5 040
28 avril 2008 à 16:03
28 avril 2008 à 16:03
encore des soucis? ton rapport est incomplet pour navilog!
rossifumi46
Messages postés
253
Date d'inscription
jeudi 24 avril 2008
Statut
Membre
Dernière intervention
18 février 2011
439
28 avril 2008 à 19:13
28 avril 2008 à 19:13
Après une longue utilisation d'internet, je n'ai pas eu une seule pub à s'ouvrir, donc le problème a l'air réglé.
Pour le rapport navilog, j'ai pris le rapport dans le dossier c: appelé "cleannavi.txt", c'est tout ce qu'il y a dans le rapport. Je n'ai peut-être pas pris le bon ?
Un grand merci quand même puisque le problème a disparu !!!
bye
Pour le rapport navilog, j'ai pris le rapport dans le dossier c: appelé "cleannavi.txt", c'est tout ce qu'il y a dans le rapport. Je n'ai peut-être pas pris le bon ?
Un grand merci quand même puisque le problème a disparu !!!
bye