HELP infection trojan-downloader.win32.vemRésolu/Fermé

Question

Bonjour,
mon ordinateur est infecté par le trojan-downloader.win32.small.vem depuis une semaine 
kaspersky le repère, le supprime au redémarrage mais ce virus est toujours présent 
depuis cette infection le logiciel utorrent ne fonctionne plus 
je n'y connais rien et je ne trouve pas la méthode pour supprimer ce virus 
HELP HELP HELP j'aimerai beaucoup avoir un coup de main pour me débarasser de cette meer...
Merci d'avance

ep44 · Answer

Bonjour 
commence par ceci 

Télécharge sur le bureau

ftp://ftp.commentcamarche.com/download/HJTInstall.exe

= Double-clic dessus pour l'installer 
= Clic Do a system scan and save the log
=coller le rapport
si problème voir l'aide
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm 

@+

zerosub · Answer

merci de ctte réponse rapide voici le rapport hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:13:53, on 11/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\drivers\spools.exe
C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\apps\ABoard\ABoard.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Fichiers communs\Ulead Systems\AutoDetector\monitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\apps\ABoard\AOSD.exe
C:\PROGRA~1\ROCKET~1\ROCKET~1.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://format.packardbell.com/cgi-bin/redirect/?country=FR&range=AD&phase=6&key=SEARCH
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ATICCC] "c:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [Vade Retro Outlook Express] "C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe"
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Program Files\Fichiers communs\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32"
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O4 - HKLM\..\Run: [autoload] D:\Documents and Settings\sub\cftmon.exe
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKCU\..\Run: [RocketDock] "C:\PROGRA~1\ROCKET~1\ROCKET~1.EXE"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O4 - HKCU\..\Run: [autoload] D:\Documents and Settings\sub\cftmon.exe
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Program Files\DNA\btdna.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: IMVU.lnk = D:\Documents and Settings\sub\Bureau\IMVU\IMVUClient.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - D:\Documents and Settings\sub\Menu Démarrer\Programmes\IMVU\Run IMVU.lnk (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: Planificateur de tâches (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\spools.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

ep44 · Answer

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe 
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec 

------
= Redémarre en mode Sans Échec (le démarrage peut prendre plusieurs minutes)
Attention, pas d’accès à internet dans ce mode. Enregistre ou imprime les consignes.

Relance le Pc et tapote la touche F8 ( ou F5 pour certains) , jusqu’à l’apparition des inscriptions avec choix de démarrage
Avec les touches « flèches », sélectionne Mode sans échec ==> entrée ==>nom utilisateur habituel
-------

= Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
= Appuie sur Y pour commencer le processus de nettoyage.
= Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
= Appuie sur une touche pour redémarrer le PC.
= Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
= Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
= Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
= Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
= Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse

ensuite

Télécharge sur le bureau http://siri.urz.free.fr/Fix/SmitfraudFix.exe
=> Double clic sur SmitfraudFix.zip
=> Extraire tout
=> Double clic sur SmitfraudFix
=> Double Clic sur SmitfraudFix.cmd
=> Choisir Option 1
=> poste le rapport
@+

ep44 · Answer

Redémarre l'ordinateur en mode sans échec
(tapoter F8 au boot pour obtenir le menu de démarrage ou http://service1.symantec.com/

 Double clique sur smitfraudfix.cmd
 Sélectionne 2 pour supprimer les fichiers responsables de l'infection.

A la question Voulez-vous nettoyer le registre ? répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection.

A la question Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.
 Redémarre en mode normal et poste le rapport ici

ensuite 

 Télécharge malwarebytes
http://www.malwarebytes.org/mbam/program/mbam-setup.exe

=> Installe le 
=> Ensuite va en mode sans echec 


   Relance le Pc et tapote la touche F8 ( ou F5 pour certains) , jusqu’à l’apparition des inscriptions avec choix de démarrage
   Avec les touches « flèches », sélectionne Mode sans échec ==> entrée ==>nom utilisateur habituel


=> Lance malwarebytes
=> Coche "Executer un examen complet"
=> Si tu es en présence d'une infection à la fin de l'examen clique sur "ok"
=> Clique sur Supprimer la sélection
=> Pour poster le rapport Clique sur l'onglet Rapports/Logs, sélectionne celui t'intéresse et clique sur Ouvrir
=> Fait copier coller et poste le rapport 

--------------------------

ensuite 

* Télécharge CCleaner 
https://filehippo.com/download_ccleaner/
=> Aide toi de ce tuto pour l'utiliser 
https://www.malekal.com/tutoriel-ccleaner/

--------------------------

Ensuite refais un nouveau hijack stp 
@+

ep44 · Answer

relance hijack et coche ceci 

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - D:\Documents and Settings\sub\Menu Démarrer\Programmes\IMVU\Run IMVU.lnk (file missing)

ensuite tu clique sur fix checked 

ensuite 
Télécharge DiagHelp.zip sur ton bureau http://www.malekal.com/download/DiagHelp.zip
==> Ne double-clic pas dessus !! Fais un clic droit sur le fichier et extraire tout
==> Un nouveau dossier chercher va être créé DiagHelp
==> Ouvre le et double-clic sur go.cmd (le .cmd peut ne pas apparaître)
==> Une fenêtre va s'ouvrir, choisis l'option 1
==> L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande
==> Copie/colle le contenu du bloc-note qui s'ouvre, pour cela :
==> Dans le bloc-note, cliquez sur le menu Edition / Selectionner tout
==> A nouveau menu Edition / copier
==> Dans un nouveau message ici, faire un clic droit / coller
@+

zerosub · Answer

Bonjour comme convenu voici le rapport, hier soir je croyais m'etre débarasser du virus mais ça recommence de plus belle j'espère que vous trouverez une solution docteur !!! DiagHelp version v1.4 - http://www.malekal.com excute le 12/05/2008 à 12:59:44,09 Liste des derniers fichies modifies/crees dans windir\system32 et prefetch C:\WINDOWS\prefetch\CHCP.COM-18156052.pf -->12/05/2008 12:59:42 C:\WINDOWS\prefetch\WINRAR.EXE-39C6DAD9.pf -->12/05/2008 12:59:12 C:\WINDOWS\prefetch\IEXPLORE.EXE-27122324.pf -->12/05/2008 12:57:42 C:\WINDOWS\prefetch\FIND.EXE-0EC32F1E.pf -->12/05/2008 12:57:15 C:\WINDOWS\prefetch\NTVDM.EXE-1A10A423.pf -->12/05/2008 12:56:52 C:\WINDOWS\prefetch\GZIP.EXE-2458E4AB.pf -->12/05/2008 12:56:45 C:\WINDOWS\prefetch\SORT.EXE-194AE83C.pf -->12/05/2008 12:56:42 C:\WINDOWS\prefetch\REG.EXE-0D2A95F7.pf -->12/05/2008 12:56:19 C:\WINDOWS\prefetch\CMD.EXE-087B4001.pf -->12/05/2008 12:56:18 C:\WINDOWS\prefetch\KPROCCHECK.EXE-28F754EC.pf -->12/05/2008 12:56:17 C:\WINDOWS\System32\drivers\fidbox.dat -->12/05/2008 12:58:49 C:\WINDOWS\System32\drivers\fidbox2.dat -->12/05/2008 12:56:45 C:\WINDOWS\System32\drivers\fidbox2.idx -->12/05/2008 06:06:27 C:\WINDOWS\System32\drivers\fidbox.idx -->12/05/2008 06:06:27 C:\WINDOWS\System32\drivers\klif.sys -->10/05/2008 12:47:13 C:\WINDOWS\System32\drivers\klin.dat -->10/05/2008 12:47:02 C:\WINDOWS\System32\drivers\klick.dat -->10/05/2008 12:47:02 C:\WINDOWS\System32 mp.txt -->11/05/2008 22:20:43 C:\WINDOWS\System32 mp.reg -->11/05/2008 22:20:43 C:\WINDOWS\System32\PerfStringBackup.INI -->11/05/2008 15:08:43 C:\WINDOWS\System32\perfh00C.dat -->11/05/2008 15:08:43 C:\WINDOWS\System32\perfh009.dat -->11/05/2008 15:08:43 C:\WINDOWS\System32\perfc00C.dat -->11/05/2008 15:08:43 C:\WINDOWS\System32\perfc009.dat -->11/05/2008 15:08:43 C:\WINDOWS\System32\CONFIG.NT -->10/05/2008 12:30:36 C:\WINDOWS\System32\QuickTime.qtp -->08/05/2008 16:23:56 C:\WINDOWS\System32\FNTCACHE.DAT -->24/04/2008 23:32:57 C:\WINDOWS\System32\VACFix.exe -->24/04/2008 08:10:33 C:\WINDOWS\System32\wpa.dbl -->20/04/2008 20:29:24 C:\WINDOWS\System32\TZLog.log -->17/04/2008 13:59:04 C:\WINDOWS\System32\SpoonUninstall.exe -->17/04/2008 04:19:25 C:\WINDOWS\System32\SpoonUninstall-dBpowerAMP Monkeys Audio Codec.dat -->17/04/2008 04:19:25 C:\WINDOWS\System32\SpoonUninstall-dBpowerAMP Monkeys Audio Codec.bmp -->17/04/2008 04:19:19 C:\WINDOWS\System32\SpoonUninstall-dBpowerAMP Mp4 Codec.dat -->17/04/2008 04:19:16 C:\WINDOWS\System32\SpoonUninstall-dBpowerAMP Mp4 Codec.bmp -->17/04/2008 04:19:14 C:\WINDOWS\System32\SpoonUninstall-dBpowerAMP Ogg Vorbis Codec.dat -->17/04/2008 04:19:06 C:\WINDOWS\System32\SpoonUninstall-dBpowerAMP Ogg Vorbis Codec.bmp -->17/04/2008 04:18:59 C:\WINDOWS\System32\SpoonUninstall-dBpowerAMP WMA V9 Codec.dat -->17/04/2008 04:18:54 C:\WINDOWS\System32\SpoonUninstall-dBpowerAMP WMA V9 Codec.bmp -->17/04/2008 04:18:47 C:\WINDOWS\System32\SpoonUninstall-dMC mp3PRO (CLI) Encoder.dat -->17/04/2008 04:18:44 C:\WINDOWS\System32\SpoonUninstall-dMC mp3PRO (CLI) Encoder.bmp -->17/04/2008 04:18:42 C:\WINDOWS\System32\SpoonUninstall-dBpowerAMP FLAC Codec.dat -->17/04/2008 04:18:37 C:\WINDOWS\WindowsUpdate.log -->12/05/2008 12:49:45 C:\WINDOWS\0.log -->12/05/2008 12:48:42 C:\WINDOWS\wiadebug.log -->12/05/2008 12:48:17 C:\WINDOWS\wiaservc.log -->12/05/2008 12:48:16 C:\WINDOWS\bootstat.dat -->12/05/2008 12:48:01 C:\WINDOWS\SchedLgU.Txt -->12/05/2008 06:06:11 C:\WINDOWS\Sti_Trace.log -->11/05/2008 19:43:22 C:\WINDOWS\win.ini -->09/05/2008 18:12:05 C:\WINDOWS\HDReg.ini -->24/04/2008 23:47:17 C:\WINDOWS\ODBC.INI -->17/04/2008 04:16:47 C:\WINDOWS\msoffice.ini -->17/04/2008 03:39:12 C:\WINDOWS\system.ini -->17/04/2008 03:16:50 C:\WINDOWS\smscfg.ini -->17/04/2008 03:14:18 C:\WINDOWS\RESTORE.INS -->17/04/2008 03:13:58 C:\WINDOWS sreg.dat -->17/04/2008 02:57:38 winlogon.exe Verified: Signed svchost.exe Verified: Signed ws2_32.dll Verified: Signed user32.dll Verified: Signed tcpip.sys Verified: Signed ndis.sys Verified: Signed null.sys Verified: Signed ListDLLs v2.25 - DLL lister for Win9x/NT Copyright (C) 1997-2004 Mark Russinovich Sysinternals - www.sysinternals.com ------------------------------------------------------------------------------ explorer.exe pid: 336 Command line: C:\WINDOWS\Explorer.EXE Base Size Version Path *** Loaded C:\WINDOWS\system32\kernel32.dll differs from file image: *** File timestamp: Mon Apr 16 17:53:11 2007 *** Loaded image timestamp: Mon Apr 16 17:53:12 2007 *** Loaded C:\WINDOWS\system32\USER32.dll differs from file image: *** File timestamp: Thu Mar 08 16:37:50 2007 *** Loaded image timestamp: Thu Mar 08 16:50:02 2007 *** Loaded C:\WINDOWS\system32\SHDOCVW.dll differs from file image: *** File timestamp: Sat Feb 16 10:02:37 2008 *** Loaded image timestamp: Sat Feb 16 10:04:51 2008 0x44080000 0xd0000 7.00.6000.16640 C:\WINDOWS\system32\WININET.dll 0x00400000 0x9000 6.00.5441.0000 C:\WINDOWS\system32\Normaliz.dll 0x43e00000 0x45000 7.00.6000.16640 C:\WINDOWS\system32\iertutil.dll *** Loaded C:\WINDOWS\system32\SHELL32.dll differs from file image: *** File timestamp: Thu Oct 25 18:56:23 2007 *** Loaded image timestamp: Thu Oct 25 19:08:58 2007 0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\comctl32.dll 0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL 0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll 0x10000000 0x17000 7.00.0000.0123 C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\miscr3.dll 0x01120000 0x28000 7.00.0000.0123 C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\scrchpg.dll 0x013c0000 0x2be000 3.01.4000.4039 C:\WINDOWS\system32\msi.dll 0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL 0x44360000 0x5cd000 7.00.6000.16640 C:\WINDOWS\system32\ieframe.dll 0x44160000 0x127000 7.00.6000.16640 C:\WINDOWS\system32\urlmon.dll 0x00de0000 0xe000 C:\PROGRA~1\ROCKET~1\RocketDock.dll 0x442b0000 0x3c000 7.00.6000.16640 C:\WINDOWS\system32\webcheck.dll 0x01f60000 0x10000 1.00.0000.0001 C:\PROGRA~1\GOTOSO~1\VADERE~1\VrOe_hook.dll 0x021e0000 0xe000 7.00.0000.1333 C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll 0x7c340000 0x56000 7.10.3052.0004 C:\WINDOWS\system32\MSVCR71.dll 0x02bb0000 0x1c000 7.00.0000.0000 C:\Program Files\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll 0x02f60000 0x2b000 C:\Program Files\WinRAR arext.dll 0x02510000 0x8000 1.00.0000.0000 C:\Program Files\Malwarebytes' Anti-Malware\mbamext.dll 0x02690000 0xc000 7.00.0000.0123 C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\ShellEx.dll 0x78130000 0x9b000 8.00.50727.0042 C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\MSVCR80.dll 0x7c420000 0x87000 8.00.50727.0042 C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\MSVCP80.dll 0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll 0x03880000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll 0x60980000 0x7000 3.01.4000.1823 C:\WINDOWS\system32\MSISIP.DLL 0x74e10000 0x10000 5.06.0000.8820 C:\WINDOWS\system32\wshext.dll 0x73d20000 0xfe000 6.02.4131.0000 C:\WINDOWS\system32\MFC42.DLL 0x61d70000 0xe000 6.00.8665.0000 C:\WINDOWS\system32\MFC42LOC.DLL 0x59000000 0xe000 5.06.0000.6626 C:\WINDOWS\system32\wshFR.DLL ListDLLs v2.25 - DLL lister for Win9x/NT Copyright (C) 1997-2004 Mark Russinovich Sysinternals - www.sysinternals.com ------------------------------------------------------------------------------ winlogon.exe pid: 956 Command line: winlogon.exe Base Size Version Path 0x01000000 0x81000 \??\C:\WINDOWS\system32\winlogon.exe *** Loaded C:\WINDOWS\system32\kernel32.dll differs from file image: *** File timestamp: Mon Apr 16 17:53:11 2007 *** Loaded image timestamp: Mon Apr 16 17:53:12 2007 *** Loaded C:\WINDOWS\system32\USER32.dll differs from file image: *** File timestamp: Thu Mar 08 16:37:50 2007 *** Loaded image timestamp: Thu Mar 08 16:50:02 2007 *** Loaded C:\WINDOWS\system32\SHELL32.dll differs from file image: *** File timestamp: Thu Oct 25 18:56:23 2007 *** Loaded image timestamp: Thu Oct 25 19:08:58 2007 0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\COMCTL32.dll 0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll 0x20000000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll 0x10000000 0x17000 7.00.0000.0123 C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\miscr3.dll 0x00fe0000 0x11000 6.14.0010.4124 C:\WINDOWS\system32\Ati2evxx.dll 0x01340000 0x33000 7.00.0000.0123 C:\WINDOWS\system32\klogon.dll 0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll 0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL Le volume dans le lecteur C s'appelle HDD Le numéro de série du volume est 2442-37FA Répertoire de C:\WINDOWS\system32 05/08/2004 14:00 6 144 csrss.exe 1 fichier(s) 6 144 octets 0 Rép(s) 24 828 137 472 octets libres Contenu de Downloaded Program Files Le volume dans le lecteur C s'appelle HDD Le numéro de série du volume est 2442-37FA Répertoire de C:\WINDOWS\Downloaded Program Files 08/05/2008 17:53 . 08/05/2008 17:53 .. 16/08/2004 18:08 65 desktop.ini 25/07/2002 17:13 24 576 dwusplay.dll 25/07/2002 17:13 196 608 dwusplay.exe 11/04/2007 14:55 1 292 erma.inf 25/07/2002 17:05 172 032 isusweb.dll 5 fichier(s) 394 573 octets Total des fichiers listés : 5 fichier(s) 394 573 octets 2 Rép(s) 24 828 137 472 octets libres Recherche de rootkit! (Merci S!Ri) Recherche d'infections connues Export des clefs sensibles.. Liste des fichiers en exception sur le pare-feu XP SP2 "%ProgramFiles%\AOL 9.0\aol.exe"="%ProgramFiles%\AOL 9.0\aol.exe:*:Enabled:AOL" "%ProgramFiles%\UBISOFT\Splinter Cell Pandora Tomorrow\logo_ubi.exe"="%ProgramFiles%\UBISOFT\Splinter Cell Pandora Tomorrow\logo_ubi.exe:*:Enabled:SPLINTER CELL PANDORA" "%ProgramFiles%\UBISOFT\Splinter Cell Pandora Tomorrow\pandora.exe"="%ProgramFiles%\UBISOFT\Splinter Cell Pandora Tomorrow\pandora.exe:*:Enabled:PANDORA" "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\APPS\Inventime\my.exe"="C:\APPS\Inventime\my.exe:*:Enabled:INVENTIME" "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "C:\Program Files\uTorrent\uTorrent.exe"="C:\Program Files\uTorrent\uTorrent.exe:*:Enabled:µTorrent" "C:\Program Files\DNA\btdna.exe"="C:\Program Files\DNA\btdna.exe:*:Enabled:DNA" "C:\Program Files\BitTorrent\bittorrent.exe"="C:\Program Files\BitTorrent\bittorrent.exe:*:Enabled:BitTorrent" "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" Export de la clef SharedTaskScheduler [SharedTaskScheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui" "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant" exports des policies REGEDIT4 [system] "dontdisplaylastusername"=dword:00000000 "legalnoticecaption"="" "legalnoticetext"="" "shutdownwithoutlogon"=dword:00000001 "undockwithoutlogon"=dword:00000001 Export des clefs sensibles.. Rechercher adresses sensibles dans le fichier HOSTS... catchme 0.3.1351 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-05-12 13:00:22 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden services & system hive ... scanning hidden registry entries ... scanning hidden files ... scan completed successfully hidden services: 0 hidden files: 0 KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg) Process list by traversal of KiWaitListHead 4 - System 336 - explorer.exe 580 - RTHDCPL.exe 596 - CLI.exe 612 - Monitor.exe 644 - AOSD.EXE 652 - avp.exe 660 - RocketDock.exe 668 - ctfmon.exe 928 - csrss.exe 956 - winlogon.exe 1000 - services.exe 1012 - lsass.exe 1216 - svchost.exe 1324 - svchost.exe 1396 - avp.exe 1452 - svchost.exe 1564 - svchost.exe 1736 - svchost.exe 1904 - spoolsv.exe 2240 - alg.exe 2300 - iexplore.exe 2400 - wmiprvse.exe 3056 - cmd.exe 3080 - CLI.exe 3092 - CLI.exe 3532 - svchost.exe Total number of processes = 27 NOTE: Under WinXP, this will not show all processes. KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg) Driver/Module list by traversal of PsLoadedModuleList 804D7000 - \WINDOWS\system32 tkrnlpa.exe 806E2000 - \WINDOWS\system32\hal.dll F7A90000 - \WINDOWS\system32\KDCOM.DLL F79A0000 - \WINDOWS\system32\BOOTVID.dll F7460000 - ACPI.sys F7A92000 - \WINDOWS\system32\DRIVERS\WMILIB.SYS F744F000 - pci.sys F7590000 - isapnp.sys F7B58000 - pciide.sys F7810000 - \WINDOWS\system32\DRIVERS\PCIIDEX.SYS F7A94000 - aliide.sys F7A96000 - cmdide.sys F7A98000 - toside.sys F7A9A000 - viaide.sys F7A9C000 - intelide.sys F75A0000 - MountMgr.sys F7430000 - ftdisk.sys F7818000 - PartMgr.sys F75B0000 - VolSnap.sys F79A4000 - cpqarray.sys F7418000 - \WINDOWS\system32\DRIVERS\SCSIPORT.SYS F7400000 - atapi.sys F79A8000 - aha154x.sys F7820000 - sparrow.sys F79AC000 - symc810.sys F75C0000 - aic78xx.sys F79B0000 - dac960nt.sys F75D0000 - ql10wnt.sys F79B4000 - amsint.sys F7828000 - asc.sys F79B8000 - asc3550.sys F7830000 - mraid35x.sys F7838000 - i2omp.sys F79BC000 - ini910u.sys F75E0000 - ql1240.sys F75F0000 - aic78u2.sys F7840000 - symc8xx.sys F7848000 - sym_hi.sys F7850000 - sym_u3.sys F7858000 - ABP480N5.SYS F7860000 - asc3350p.sys F7A9E000 - cd20xrnt.sys F7600000 - ultra.sys F73E7000 - adpu160m.sys F7868000 - dpti2o.sys F7610000 - ql1080.sys F7620000 - ql1280.sys F7630000 - ql12160.sys F7870000 - perc2.sys F7AA0000 - perc2hib.sys F7878000 - hpn.sys F79C0000 - cbidf2k.sys F73BB000 - dac2w2k.sys F7640000 - disk.sys F7650000 - \WINDOWS\system32\DRIVERS\CLASSPNP.SYS F739B000 - fltMgr.sys F7389000 - sr.sys F7880000 - PxHelp20.sys F7372000 - KSecDD.sys F72E5000 - Ntfs.sys F72B8000 - NDIS.sys F7660000 - sisagp.sys F7670000 - viaagp.sys F7680000 - ohci1394.sys F7690000 - \WINDOWS\system32\DRIVERS\1394BUS.SYS F729D000 - Mup.sys F7281000 - kl1.sys F7888000 - \WINDOWS\system32\drivers\TDI.SYS F76A0000 - alim1541.sys F76B0000 - amdagp.sys F76C0000 - agp440.sys F76D0000 - agpCPQ.sys F77A0000 - \SystemRoot\system32\DRIVERS ic1394.sys F77B0000 - \SystemRoot\system32\DRIVERS\intelppm.sys F700B000 - \SystemRoot\system32\DRIVERS\ati2mtag.sys F6FF7000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS F7960000 - \SystemRoot\system32\DRIVERS\usbohci.sys F6FD4000 - \SystemRoot\system32\DRIVERS\USBPORT.SYS F7968000 - \SystemRoot\system32\DRIVERS\usbehci.sys F77C0000 - \SystemRoot\system32\DRIVERS\imapi.sys F77D0000 - \SystemRoot\system32\DRIVERS\cdrom.sys F77E0000 - \SystemRoot\system32\DRIVERS edbook.sys F6FB1000 - \SystemRoot\system32\DRIVERS\ks.sys F6F8C000 - \SystemRoot\system32\DRIVERS\HDAudBus.sys F6F78000 - \SystemRoot\system32\DRIVERS\Rtnicxp.sys F77F0000 - \SystemRoot\system32\DRIVERS\i8042prt.sys F7970000 - \SystemRoot\system32\DRIVERS\mouclass.sys F7978000 - \SystemRoot\system32\DRIVERS\kbdclass.sys F7980000 - \SystemRoot\system32\DRIVERS\klim5.sys F7CA3000 - \SystemRoot\system32\DRIVERS\audstub.sys F7800000 - \SystemRoot\system32\DRIVERS asl2tp.sys F7A80000 - \SystemRoot\system32\DRIVERS distapi.sys F6F39000 - \SystemRoot\system32\DRIVERS diswan.sys F7271000 - \SystemRoot\system32\DRIVERS aspppoe.sys F7261000 - \SystemRoot\system32\DRIVERS aspptp.sys F6E88000 - \SystemRoot\system32\DRIVERS\psched.sys F7251000 - \SystemRoot\system32\DRIVERS\msgpc.sys F7988000 - \SystemRoot\system32\DRIVERS\ptilink.sys F7990000 - \SystemRoot\system32\DRIVERS aspti.sys F7211000 - \SystemRoot\System32\Drivers\Pcouffin.sys F7201000 - \SystemRoot\system32\DRIVERS ermdd.sys F7AAC000 - \SystemRoot\system32\DRIVERS\swenum.sys F6E2F000 - \SystemRoot\system32\DRIVERS\update.sys F71BD000 - \SystemRoot\system32\DRIVERS\mssmbios.sys F71F1000 - \SystemRoot\System32\Drivers\NDProxy.SYS F7710000 - \SystemRoot\system32\DRIVERS\usbhub.sys F7AAE000 - \SystemRoot\system32\DRIVERS\USBD.SYS AABCB000 - \SystemRoot\system32\drivers\RtkHDAud.sys AABA9000 - \SystemRoot\system32\drivers\portcls.sys F7720000 - \SystemRoot\system32\drivers\drmk.sys F7AC6000 - \SystemRoot\System32\Drivers\i2omgmt.SYS F7AC8000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS F7C1C000 - \SystemRoot\System32\Drivers\Null.SYS F7ACA000 - \SystemRoot\System32\Drivers\Beep.SYS F78E8000 - \SystemRoot\system32\DRIVERS\HIDPARSE.SYS F78F0000 - \SystemRoot\System32\drivers\vga.sys F7ACC000 - \SystemRoot\System32\Drivers\mnmdd.SYS F7ACE000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys F78F8000 - \SystemRoot\System32\Drivers\Msfs.SYS F7900000 - \SystemRoot\System32\Drivers\Npfs.SYS F7179000 - \SystemRoot\system32\DRIVERS asacd.sys AAA86000 - \SystemRoot\system32\DRIVERS\ipsec.sys AAA2E000 - \SystemRoot\system32\DRIVERS cpip.sys AAA06000 - \SystemRoot\system32\DRIVERS etbt.sys AA9E5000 - \SystemRoot\system32\DRIVERS\ipnat.sys AA9C3000 - \SystemRoot\System32\drivers\afd.sys F7790000 - \SystemRoot\system32\DRIVERS etbios.sys F6F29000 - \SystemRoot\system32\DRIVERS\wanarp.sys AA998000 - \SystemRoot\system32\DRIVERS dbss.sys F6F09000 - \SystemRoot\system32\DRIVERS\arp1394.sys AA929000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys AA8F6000 - \??\C:\WINDOWS\system32\drivers\klif.sys F6EE9000 - \SystemRoot\System32\Drivers\Fips.SYS F7910000 - \SystemRoot\system32\DRIVERS\USBSTOR.SYS F6EB9000 - \SystemRoot\System32\Drivers\Cdfs.SYS AA8B6000 - \SystemRoot\System32\Drivers\dump_atapi.sys F7AFA000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS BF800000 - \SystemRoot\System32\win32k.sys F7A64000 - \SystemRoot\System32\drivers\Dxapi.sys F7940000 - \SystemRoot\System32\watchdog.sys BF9C3000 - \SystemRoot\System32\drivers\dxg.sys F7C77000 - \SystemRoot\System32\drivers\dxgthk.sys BF9D5000 - \SystemRoot\System32\ati2dvag.dll BFA17000 - \SystemRoot\System32\ati2cqag.dll BFA51000 - \SystemRoot\System32\atikvmag.dll BFA87000 - \SystemRoot\System32\ati3duag.dll BFCEE000 - \SystemRoot\System32\ativvaxx.dll A872E000 - \SystemRoot\system32\DRIVERS disuio.sys A84A3000 - \SystemRoot\System32\Drivers\Fastfat.SYS A848E000 - \SystemRoot\system32\drivers\wdmaud.sys A85A6000 - \SystemRoot\system32\drivers\sysaudio.sys A80A2000 - \SystemRoot\system32\DRIVERS\mrxdav.sys A7F60000 - \SystemRoot\system32\DRIVERS\srv.sys A7B87000 - \SystemRoot\System32\Drivers\HTTP.sys A776E000 - \SystemRoot\system32\drivers\kmixer.sys F7C7D000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys Total number of drivers = 156 Liste des programmes installes Adobe Flash Player ActiveX Adobe Reader 7.0 - Français Ahead Nero Burning ROM Archiveur WinRAR ATI Catalyst Control Center AutoUpdate CCleaner (remove only) Codeur Windows Media Série 9 Correctif pour Windows Internet Explorer 7 (KB947864) Correctif pour Windows XP (KB896256) Correctif pour Windows XP (KB914440) Correctif pour Windows XP (KB935448) Correctif Windows XP - KB873339 Correctif Windows XP - KB885835 Correctif Windows XP - KB885836 Correctif Windows XP - KB886185 Correctif Windows XP - KB887472 Correctif Windows XP - KB888113 Correctif Windows XP - KB888302 Correctif Windows XP - KB890859 Correctif Windows XP - KB891781 dBpowerAMP FLAC Codec dBpowerAMP Monkeys Audio Codec dBpowerAMP mp3PRO Input Codec dBpowerAMP Mp4 & AAC Decode Codec dBpowerAMP Mp4 Codec dBpowerAMP Musepack Codec dBpowerAMP Music Converter dBpowerAMP Ogg Vorbis Codec dBpowerAMP VQF Codec dBpowerAMP WMA V9 Codec DivX DivX Player dMC mp3PRO (CLI) Encoder DVD Decrypter (Remove Only) DVD Shrink 3.2 DVDFab Platinum 2.9.7.3 High Definition Audio Driver Package - KB888111 HijackThis 2.0.2 Hotfix for Windows XP (KB915865) Kaspersky Anti-Virus 7.0 Kaspersky Anti-Virus 7.0 Lecteur Windows Media 10 Macromedia Shockwave Player Malwarebytes' Anti-Malware Microsoft .NET Framework 1.1 Microsoft .NET Framework 1.1 Microsoft .NET Framework 1.1 French Language Pack Microsoft .NET Framework 1.1 Hotfix (KB928366) Microsoft Excel 2000 SR-1 Microsoft Internationalized Domain Names Mitigation APIs Microsoft National Language Support Downlevel APIs Microsoft PowerPoint 2000 SR-1 Microsoft Word 2000 SR-1 Mise à jour de sécurité pour Lecteur Windows Media (KB911564) Mise à jour de sécurité pour Lecteur Windows Media 10 (KB936782) Mise à jour de sécurité pour Lecteur Windows Media 6.4 (KB925398) Mise à jour de sécurité pour Step by Step Interactive Training (KB898458) Mise à jour de sécurité pour Step by Step Interactive Training (KB923723) Mise à jour de sécurité pour Windows Internet Explorer 7 (KB938127) Mise à jour de sécurité pour Windows Internet Explorer 7 (KB942615) Mise à jour de sécurité pour Windows Internet Explorer 7 (KB944533) Mise à jour de sécurité pour Windows XP (KB890046) Mise à jour de sécurité pour Windows XP (KB893066) Mise à jour de sécurité pour Windows XP (KB893756) Mise à jour de sécurité pour Windows XP (KB896358) Mise à jour de sécurité pour Windows XP (KB896422) Mise à jour de sécurité pour Windows XP (KB896423) Mise à jour de sécurité pour Windows XP (KB896424) Mise à jour de sécurité pour Windows XP (KB896428) Mise à jour de sécurité pour Windows XP (KB899587) Mise à jour de sécurité pour Windows XP (KB899591) Mise à jour de sécurité pour Windows XP (KB900725) Mise à jour de sécurité pour Windows XP (KB901017) Mise à jour de sécurité pour Windows XP (KB901190) Mise à jour de sécurité pour Windows XP (KB901214) Mise à jour de sécurité pour Windows XP (KB902400) Mise à jour de sécurité pour Windows XP (KB904706) Mise à jour de sécurité pour Windows XP (KB905414) Mise à jour de sécurité pour Windows XP (KB905749) Mise à jour de sécurité pour Windows XP (KB905915) Mise à jour de sécurité pour Windows XP (KB908519) Mise à jour de sécurité pour Windows XP (KB911562) Mise à jour de sécurité pour Windows XP (KB911927) Mise à jour de sécurité pour Windows XP (KB912919) Mise à jour de sécurité pour Windows XP (KB913580) Mise à jour de sécurité pour Windows XP (KB914388) Mise à jour de sécurité pour Windows XP (KB914389) Mise à jour de sécurité pour Windows XP (KB918118) Mise à jour de sécurité pour Windows XP (KB918439) Mise à jour de sécurité pour Windows XP (KB919007) Mise à jour de sécurité pour Windows XP (KB920213) Mise à jour de sécurité pour Windows XP (KB920670) Mise à jour de sécurité pour Windows XP (KB920683) Mise à jour de sécurité pour Windows XP (KB920685) Mise à jour de sécurité pour Windows XP (KB922819) Mise à jour de sécurité pour Windows XP (KB923191) Mise à jour de sécurité pour Windows XP (KB923414) Mise à jour de sécurité pour Windows XP (KB923689) Mise à jour de sécurité pour Windows XP (KB923980) Mise à jour de sécurité pour Windows XP (KB924270) Mise à jour de sécurité pour Windows XP (KB924496) Mise à jour de sécurité pour Windows XP (KB924667) Mise à jour de sécurité pour Windows XP (KB925902) Mise à jour de sécurité pour Windows XP (KB926255) Mise à jour de sécurité pour Windows XP (KB926436) Mise à jour de sécurité pour Windows XP (KB927779) Mise à jour de sécurité pour Windows XP (KB927802) Mise à jour de sécurité pour Windows XP (KB928255) Mise à jour de sécurité pour Windows XP (KB928843) Mise à jour de sécurité pour Windows XP (KB929123) Mise à jour de sécurité pour Windows XP (KB930178) Mise à jour de sécurité pour Windows XP (KB931261) Mise à jour de sécurité pour Windows XP (KB931784) Mise à jour de sécurité pour Windows XP (KB932168) Mise à jour de sécurité pour Windows XP (KB933729) Mise à jour de sécurité pour Windows XP (KB935839) Mise à jour de sécurité pour Windows XP (KB935840) Mise à jour de sécurité pour Windows XP (KB936021) Mise à jour de sécurité pour Windows XP (KB938127) Mise à jour de sécurité pour Windows XP (KB941202) Mise à jour de sécurité pour Windows XP (KB941568) Mise à jour de sécurité pour Windows XP (KB941569) Mise à jour de sécurité pour Windows XP (KB941644) Mise à jour de sécurité pour Windows XP (KB941693) Mise à jour de sécurité pour Windows XP (KB943055) Mise à jour de sécurité pour Windows XP (KB943460) Mise à jour de sécurité pour Windows XP (KB943485) Mise à jour de sécurité pour Windows XP (KB944338) Mise à jour de sécurité pour Windows XP (KB944653) Mise à jour de sécurité pour Windows XP (KB945553) Mise à jour de sécurité pour Windows XP (KB946026) Mise à jour de sécurité pour Windows XP (KB947864) Mise à jour de sécurité pour Windows XP (KB948590) Mise à jour de sécurité pour Windows XP (KB948881) Mise à jour pour Windows XP (KB894391) Mise à jour pour Windows XP (KB898461) Mise à jour pour Windows XP (KB900485) Mise à jour pour Windows XP (KB904942) Mise à jour pour Windows XP (KB908531) Mise à jour pour Windows XP (KB910437) Mise à jour pour Windows XP (KB911280) Mise à jour pour Windows XP (KB916595) Mise à jour pour Windows XP (KB920872) Mise à jour pour Windows XP (KB922582) Mise à jour pour Windows XP (KB927891) Mise à jour pour Windows XP (KB930916) Mise à jour pour Windows XP (KB936357) Mise à jour pour Windows XP (KB938828) Mise à jour pour Windows XP (KB942763) MSXML 4.0 SP2 (KB936181) Realtek High Definition Audio Driver RocketDock 1.3.0 Sonic RecordNow! VideoLAN VLC media player 0.8.6f WebFldrs XP Winamp (remove only) Windows Installer 3.1 (KB893803) Windows Internet Explorer 7 Windows Media Format Runtime Le volume dans le lecteur C s'appelle HDD Le numéro de série du volume est 2442-37FA Répertoire de C:\Program Files 12/05/2008 12:51 . 12/05/2008 12:51 .. 17/04/2008 02:57 Adobe 17/04/2008 04:05 Ahead 17/04/2008 02:48 ATI Technologies 28/04/2008 20:40 CCleaner 17/04/2008 04:08 DivX 17/04/2008 04:12 DVD Decrypter 17/04/2008 04:02 DVD Shrink 17/04/2008 04:12 DVDFab Platinum 11/05/2008 16:08 Fichiers communs 09/05/2008 18:21 Google 17/04/2008 02:59 Goto Software 17/04/2008 04:17 Illustrate 17/04/2008 14:11 Internet Explorer 10/05/2008 12:38 Kaspersky Lab 17/04/2008 02:58 Learn2.com 11/05/2008 22:26 Malwarebytes' Anti-Malware 17/04/2008 02:51 Messenger 16/08/2004 18:11 microsoft frontpage 17/04/2008 04:14 Microsoft Office 16/08/2004 18:06 Movie Maker 16/08/2004 18:03 MSN 16/08/2004 18:03 MSN Gaming Zone 16/08/2004 18:06 NetMeeting 16/08/2004 18:03 Online Services 17/04/2008 14:00 Outlook Express 17/04/2008 02:58 Real 17/04/2008 02:45 Realtek 17/04/2008 04:01 RocketDock 16/08/2004 18:07 Services en ligne 17/04/2008 03:03 ShowTime 17/04/2008 03:37 Sonic 12/05/2008 12:51 Trend Micro 17/04/2008 03:07 Ulead Systems 11/05/2008 21:20 uTorrent 24/04/2008 20:47 VideoLAN 17/04/2008 13:02 Winamp 17/04/2008 03:06 Windows Media Components 17/04/2008 14:00 Windows Media Player 16/08/2004 18:03 Windows NT 17/04/2008 04:03 WinRAR 16/08/2004 18:11 xerox 0 fichier(s) 0 octets 43 Rép(s) 24 828 096 512 octets libres Le volume dans le lecteur C s'appelle HDD Le numéro de série du volume est 2442-37FA Répertoire de C:\Program Files\fichiers communs 11/05/2008 16:08 . 11/05/2008 16:08 .. 17/04/2008 02:57 Adobe 17/04/2008 04:05 Ahead 17/04/2008 03:39 AOL 17/04/2008 04:14 Designer 17/04/2008 03:05 InstallShield 17/04/2008 04:16 Microsoft Shared 16/08/2004 18:06 MSSoap 17/04/2008 02:58 Nullsoft 17/04/2008 03:26 Real 16/08/2004 18:06 Services 16/08/2004 17:56 SpeechEngines 17/04/2008 03:04 SureThing Shared 17/04/2008 14:00 System 17/04/2008 03:06 Ulead Systems 0 fichier(s) 0 octets 16 Rép(s) 24 828 096 512 octets libres Le volume dans le lecteur C s'appelle HDD Le numéro de série du volume est 2442-37FA Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders 17/04/2008 04:14 . 17/04/2008 04:14 .. 18/05/2001 15:57 561 209 MSONSEXT.DLL 03/06/1999 12:09 122 937 MSOWS409.DLL 07/03/2001 07:00 127 033 MSOWS40c.DLL 17/03/1999 23:37 593 977 RAGENT.DLL 4 fichier(s) 1 405 156 octets 2 Rép(s) 24 828 096 512 octets libres ****** Fin du rapport DiagHelp Veuillez svp envoyer le fichier C:\upload_moi_ZEROSUB.tar.gz a l'adresse http://upload.malekal.com Merci d'avance a+

ep44 · Answer

bonjour 

Télécharge sur le bureau : [url=http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe]navilog.exe[/url]

= installe le
= Double-Clic navilog1 qui est sur le bureau
= Appuyer sur une touche jusqu' arriver aux options
= Choisir option 1 ( = taper 1 )
ne pas utiliser les autres sans avis , il peut y avoir des processus légitimes

le rapport se trouve dans c: fixnavi.txt

tu postes ce rapport.

---------------------
Télecharge http://www.malekal.com/download/clean.zip sur le bureau
Dézippe sur le bureau.
= ouvrir le dossier clean
= clique sur le symbole roue dentée avec le nom clean
= choisir l'option 1 et laisser clean travailler jusqu'à l'apparition du texte "appuyer sur une touche pour continuer"
= ensuite colle le rapport que tu trouveras dans C:

@+

zerosub · Answer

Re bonjour, comme convenu voici les rapports demandés merci encore pour votre aide 
en espérant qu'on arrive à détruire cet intrus

Search Navipromo version 3.5.7 commencé le 12/05/2008 à 19:41:39,75

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1
Session actuelle : "sub" 

Mise à jour le 11.05.2008 à 18h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.13 
Système de fichiers : NTFS

Recherche executé en mode normal

*** Recherche Programmes installés ***


*** Recherche dossiers dans "C:\WINDOWS" ***


*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "d:\docume~1\alluse~1\applic~1" ***


*** Recherche dossiers dans "d:\docume~1\alluse~1\menudm~1\progra~1" ***


*** Recherche dossiers dans "D:\Documents and Settings\sub\applic~1" *** 


*** Recherche dossiers dans "D:\Documents and Settings\sub\locals~1\applic~1" *** 


*** Recherche dossiers dans "D:\Documents and Settings\sub\menudm~1\progra~1" *** 

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé


*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

* Recherche dans "D:\Documents and Settings\sub\locals~1\applic~1" * 



*** Recherche fichiers *** 



*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :


* Dans "D:\Documents and Settings\sub\locals~1\applic~1" : 


3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :



*** Analyse terminée le 12/05/2008 à 19:44:35,40 ***


 12/05/2008 a 19:42:56,73 
 
*** Recherche des fichiers dans C: 
 
*** Recherche des fichiers dans C:\WINDOWS\ 
 
*** Recherche des fichiers dans C:\WINDOWS\system32 
C:\WINDOWS\system32\SpoonUninstall.exe FOUND 
 
*** Recherche des fichiers dans C:\Program Files

ep44 · Answer

lance clean.zip en mode sans echec
pend cette fois-ci l'option 2 et poste le rapport.




= Redémarre en mode Sans Échec (le démarrage peut prendre plusieurs minutes)
Attention, pas d’accès à internet dans ce mode. Enregistre ou imprime les consignes.

Relance le Pc et tapote la touche F8 ( ou F5 pour certains) , jusqu’à l’apparition des inscriptions avec choix de démarrage
Avec les touches « flèches », sélectionne Mode sans échec ==> entrée ==>nom utilisateur habituel
@+

zerosub · Answer

Comme convenu voici les rapports


Script execute en mode sans echec 
Rapport clean par Malekal_morte - http://www.malekal.com 
Script execute en mode sans echec 12/05/2008 a 22:08:28,81 

Microsoft Windows XP [version 5.1.2600]
 
*** Suppression des fichiers dans C: 
 
*** Suppression des fichiers dans C:\WINDOWS\ 
 
*** Suppression des fichiers dans C:\WINDOWS\system32 
tentative de suppression de C:\WINDOWS\system32\SpoonUninstall.exe 
 
*** Suppression des fichiers dans C:\Program Files 
 
*** Suppression des clefs du registre effectuee.. 


Merci pour votre aide

ep44 · Answer

OK maintenant fait un scan en ligne

avec bitdefender et colle le rapport

https://www.bitdefender.com/toolbox/

Scan à faire sous Internet Explorer

un tuto
http://pageperso.aol.fr/rginformatique/mapage/defender.htm
@+

zerosub · Answer

Bonjour voici le rapport du scan 


BitDefender Online Scanner - Real Time Virus Report
  
  
 
Generated at: Tue, May 13, 2008 - 13:42:05
 

--------------------------------------------------------------------------------

 
  
  
 
Scan Info
  
  
 
Scanned Files
 298182
 
Infected Files
 0
 
  
  
 
 
  
  
 
Virus Detected
  
  
 
No virus found.
 
 
  
  
 
 
  
  
 
 

--------------------------------------------------------------------------------
  
  
 
This summary of the scan process will be used by the BitDefender Antivirus Lab to create agregate statistics about virus activity around the world. 
  
 
Merci à bientôt

ep44 · Answer

Bonsoir 
très bien ;-)

dit moi ou en sont tes soucis et refais un nouveau hijack stp
@+

zerosub · Answer

Bonsoir apparent kaspersky et tous les autres logiciels utilisés m'annoncent que tout est ok  tout a l'air de s'arranger utorrent refonctionne correctement internet également voici le rapport hijackthis
merci pour tout

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:45:37, on 13/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe
C:\Program Files\Fichiers communs\Ulead Systems\AutoDetector\monitor.exe
C:\apps\ABoard\ABoard.exe
C:\Program Files\Winamp\winampa.exe
C:\apps\ABoard\AOSD.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\PROGRA~1\ROCKET~1\ROCKET~1.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ATICCC] "c:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [Vade Retro Outlook Express] "C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe"
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Program Files\Fichiers communs\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32"
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKCU\..\Run: [RocketDock] "C:\PROGRA~1\ROCKET~1\ROCKET~1.EXE"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: IMVU.lnk = D:\Documents and Settings\sub\Bureau\IMVU\IMVUClient.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O15 - Trusted Zone: https://www.bitdefender.fr/
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

zerosub · Answer

Re bonsoir une dernière question est ce que je dois désinstaller navilog, malwarebyte's anti-malware et les autres logiciels ou plutot quels sont les logiciels que tu me conseillerai de conserver ?
Merci d'avance pour ta réponse bonne soirée et merci pour tout c'est super de pouvoir trouver une aide en ligne bonne continuation à ce forum je le conseillerai vivement.
Salutations 
Julien MATHIEN

ep44 · Answer

il reste une chose 

Connais tu ceci 
 C:\PROGRA~1\ROCKET~1\ROCKET~1.EXE
ce qui doit-être ==>RocketDock 

@+

zerosub · Answer

Oui effectivement j'utilise rocket dock pour organiser mon bureau ce logiciel est pratique pourquoi cette question ?
merci

ep44 · Answer

Bonjour 

Cette question juste pour vérif.
Je pense que ton pc est propre. 
As tu encore des soucis?

zerosub · Answer

Bonjour, apparemment plus aucun soucis merci de vérifier
bonne soirée à toi

ep44 · Answer

ok 
Donc pour finir une dernière manip ;-)

Ferme toutes les applications en cours, puis télécharge ToolsCleaner2 sur ton Bureau.
http://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe

Double clique sur ToolsCleaner2.exe >
puis Recherche
et sur Suppression
Note : ton bureau va disparaître, c'est normal. S'il n'apparaît pas à la fin du scan, fais la manip suivante :

CTRL+ALT+SUPP pour ouvrir le Gestionnaire des tâches.
Puis rends toi à l'onglet "Processus". Clique en haut à gauche sur Fichiers et choisis "Exécuter"

Tape explorer.exe et valide. Cela fera re-apparaître le Bureau



ensuite fait ceci (IMPORTANT)

=démarrer
=panneau de configuration
=système
=onglet Restauration système
=coche la case (Désactiver la restauration système)
=redémarre l'ordinateur
=réactive la ensuite



Dénonce ton infection pour faire condamner les auteurs

Vous avez été victime d'une infection, et vous avez été aidé par un site comme CommentCaMarche.net ou autre pour vous faire désinfecter, alors ce paragraphe s'adresse à vous !

Nous vous invitons à créer un message pour faire avancer les choses sur le site  Malware-Complaints, plus vous serez nombreux à dénoncer votre infection, et plus nous aurons de chance de voir les choses bouger !


* Voir les règles du forum  
* Après s'être enregistré à l'aide du bouton en haut se nommant Register, choisissez votre situation :
**Si vous avez plus de 13 ans, choisir : "I Agree to these terms and am over or exactly 13 years of age" 
**Si vous avez moins, clique sur : "I Agree to these terms and am under 13 years of age" 
*Vous avez alors sous forme de liste un sujet par type d'infection (Look2Me, Smitfraud, SpywareQuake etc..), il vous suffit d'ajouter votre voix !
*Si le malware dont vous avez été victime n'apparait pas dans la liste, ou si vous ne savez pas par quoi vous avez été infecté(e), créez un message dans le sujet Autres infections  conforme aux règles du forum (âge, ville, département etc..) 
*Indiquez aussi le nom du Forum qui vous a aidé à vous désinfecter

@+

zerosub · Answer

Merci pour votre aide précieuse je n'aurai pas réussi tout seul
Je vous encourage à continuer
a bientôt

julien mathien

ep44 · Answer

;-) bye

zerosub · Answer

merci pour votre aide bonne continuation

ep44 · Answer

Merci bye;-)

HELP infection trojan-downloader.win32.vem

24 réponses

Discussions similaires

Newsletters