Sujet Précédent Sujet Suivant

N'est pas une application win32 valide

Résolu/Fermé
Lasto97 Messages postés 215 Date d'inscription lundi 21 juillet 2008 Statut Membre Dernière intervention 5 décembre 2008 - 21 juil. 2008 à 23:12
 GG - 21 mars 2011 à 04:06
Bonjour,

J'essaie de lancer le dernier MSN que j'ai télécharger sur 01net. Mais lorsque je le fais, ça me dit "[...] n'est pas une application win32 valide".
J'ai cherché dans des discussions des gens ayant déjà eu ce problème, mais je n'ai pas trouvé de solution.
Il semblerait qu'il y ait un virus sur l'ordinateur.

je vous remercie de me guider svp. Merci

164 réponses

Précédent
Réponse 21 / 164
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
23 juil. 2008 à 16:07
Re,

essaye d'analyser celui-là :

C:\WINDOWS\TEMP\NREE8B.EXE
0
Réponse 22 / 164
Lasto97 Messages postés 215 Date d'inscription lundi 21 juillet 2008 Statut Membre Dernière intervention 5 décembre 2008 4
23 juil. 2008 à 16:29
Ca me dit que je fichier à déjà été analysé:

Le fichier a déjà été analysé:
MD5: 481359bdfb169f2bf1059669e1d518d7
First received: 2007.06.21 10:22:43 (CET)
Date 2008.07.09 11:45:56 (CET) [>14D]
Résultats 1/33
Permalink: analisis/ecb1060f7ecaad2e34cc1c4097456dcd

Donc j'ai fait réanalyser et voici:

Fichier NREE8B.EXE reçu le 2008.07.23 16:24:48 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE


Résultat: 1/34 (2.95%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: ___.
L'heure estimée de démarrage est entre ___ et ___ .
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:


Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.7.23.0 2008.07.22 -
AntiVir 7.8.1.11 2008.07.23 -
Authentium 5.1.0.4 2008.07.23 -
Avast 4.8.1195.0 2008.07.23 -
AVG 8.0.0.130 2008.07.23 -
BitDefender 7.2 2008.07.23 -
CAT-QuickHeal 9.50 2008.07.22 -
ClamAV 0.93.1 2008.07.23 -
DrWeb 4.44.0.09170 2008.07.23 -
eSafe 7.0.17.0 2008.07.22 -
eTrust-Vet 31.6.5976 2008.07.23 -
Ewido 4.0 2008.07.23 -
F-Prot 4.4.4.56 2008.07.22 -
F-Secure 7.60.13501.0 2008.07.23 Suspicious:W32/Dzan!Gemini
Fortinet 3.14.0.0 2008.07.23 -
GData 2.0.7306.1023 2008.07.23 -
Ikarus T3.1.1.34.0 2008.07.23 -
Kaspersky 7.0.0.125 2008.07.23 -
McAfee 5344 2008.07.22 -
Microsoft 1.3704 2008.07.23 -
NOD32v2 3292 2008.07.23 -
Norman 5.80.02 2008.07.22 -
Panda 9.0.0.4 2008.07.23 -
PCTools 4.4.2.0 2008.07.23 -
Prevx1 V2 2008.07.23 -
Rising 20.54.22.00 2008.07.23 -
Sophos 4.31.0 2008.07.23 -
Sunbelt 3.1.1536.1 2008.07.18 -
TheHacker 6.2.96.387 2008.07.23 -
TrendMicro 8.700.0.1004 2008.07.23 -
VBA32 3.12.8.1 2008.07.23 -
VIRobot 2008.7.23.1307 2008.07.23 -
VirusBuster 4.5.11.0 2008.07.23 -
Webwasher-Gateway 6.6.2 2008.07.23 -
Information additionnelle
File size: 300656 bytes
MD5...: 481359bdfb169f2bf1059669e1d518d7
SHA1..: 8edd20556dc6baaa4d95e9fccfeee1e3fd308975
SHA256: 1a5491d0e492acc6da601df2d84bf00db1c5fd050c1dd575a8fea67068004e32
SHA512: aad5ef4e962e5464192cdfd73e6b7409cfa0b069610a2343e43811e492e2dce1
856c89c35f71ad18577062a5105525e4b8bae9882569043056679495fd10bf4d
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x41d9f9
timedatestamp.....: 0x463f537b (Mon May 07 16:27:39 2007)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3570b 0x36000 6.63 23146977e391f9b4604c08ff8896529c
.rdata 0x37000 0xc052 0xd000 4.79 8e55626850359a0afa178454c443da0e
.data 0x44000 0xb4c0 0x3000 3.16 1e4d94eb9f564aae752ffbc9be5440c7
.rsrc 0x50000 0xaf4 0x1000 4.42 0b87ed20efa39f36e0ea69da8dda9aaf

( 7 imports )
> WS2_32.dll: -, -, -
> ADVAPI32.dll: SetSecurityDescriptorDacl, InitializeSecurityDescriptor, StartServiceA, QueryServiceStatus, CloseServiceHandle, OpenServiceA, OpenSCManagerA, RegCloseKey, RegQueryValueExA, RegOpenKeyExA, RegSetValueExA, RegDeleteValueA, RegCreateKeyExA, QueryServiceConfigA, RegNotifyChangeKeyValue
> KERNEL32.dll: GlobalAlloc, GlobalFree, lstrcmpA, TlsGetValue, GlobalReAlloc, GlobalHandle, TlsAlloc, TlsSetValue, LocalReAlloc, TlsFree, InterlockedDecrement, InterlockedIncrement, GlobalGetAtomNameA, GetThreadLocale, ResumeThread, GlobalFlags, lstrcmpW, GlobalDeleteAtom, GlobalFindAtomA, GlobalAddAtomA, GetLocaleInfoA, GetCPInfo, GetOEMCP, SetFilePointer, FlushFileBuffers, GlobalLock, CreateFileA, GetFileAttributesA, UnhandledExceptionFilter, SetUnhandledExceptionFilter, RaiseException, RtlUnwind, ExitThread, CreateThread, GetSystemTimeAsFileTime, IsDebuggerPresent, HeapAlloc, HeapFree, HeapReAlloc, GetCommandLineA, GetProcessHeap, GetStartupInfoA, HeapSize, ExitProcess, GetStdHandle, GetACP, IsValidCodePage, LCMapStringA, LCMapStringW, VirtualFree, HeapDestroy, HeapCreate, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, SetHandleCount, GetFileType, QueryPerformanceCounter, GetConsoleCP, GetConsoleMode, GetStringTypeA, GetStringTypeW, GetUserDefaultLCID, EnumSystemLocalesA, IsValidLocale, GetLocaleInfoW, SetStdHandle, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, GlobalUnlock, FormatMessageA, SetLastError, CreateFileW, WaitNamedPipeW, SetNamedPipeHandleState, WriteFile, SetWaitableTimer, GetOverlappedResult, ReadFile, GetCurrentThreadId, CreateEventW, CreateNamedPipeW, DisconnectNamedPipe, ConnectNamedPipe, lstrlenA, CompareStringA, MultiByteToWideChar, InterlockedExchange, WaitForMultipleObjects, LocalAlloc, LocalFree, CreateProcessA, GetModuleFileNameA, GetPrivateProfileIntA, GetTickCount, CopyFileA, TerminateProcess, MoveFileExA, GetVersion, VirtualAlloc, DeleteFileA, Sleep, ResetEvent, SetEvent, TerminateThread, DeleteCriticalSection, CreateEventA, InitializeCriticalSection, GetCurrentDirectoryA, GetComputerNameA, GetTempPathA, GetTempFileNameA, GetSystemDirectoryA, FindFirstFileA, FindNextFileA, FindClose, lstrcmpiA, OpenFile, GetLastError, WideCharToMultiByte, GetVersionExA, EnterCriticalSection, _lclose, LeaveCriticalSection, FindResourceA, LoadResource, LockResource, SizeofResource, CreateMutexA, GetModuleHandleA, WaitForSingleObject, GetExitCodeThread, lstrcpyA, lstrcatA, GetCurrentProcessId, OpenProcess, CloseHandle, ReadProcessMemory, WriteProcessMemory, GetCurrentProcess, LoadLibraryA, GetProcAddress, FreeLibrary, InterlockedCompareExchange
> USER32.dll: DestroyMenu, PostQuitMessage, RegisterWindowMessageA, LoadIconA, WinHelpA, GetCapture, GetClassLongA, SetPropA, GetPropA, RemovePropA, GetForegroundWindow, GetTopWindow, DestroyWindow, GetMessageTime, GetMessagePos, MapWindowPoints, SetForegroundWindow, GetClientRect, GetMenu, PostMessageA, CreateWindowExA, GetClassInfoExA, GetClassInfoA, RegisterClassA, AdjustWindowRectEx, CopyRect, DefWindowProcA, CallWindowProcA, SystemParametersInfoA, IsIconic, GetWindowPlacement, SetMenuItemBitmaps, GetMenuCheckMarkDimensions, LoadBitmapA, ModifyMenuA, EnableMenuItem, CheckMenuItem, SetWindowPos, SetWindowLongA, IsWindow, GetDlgItem, GetFocus, ClientToScreen, GetWindow, GetDlgCtrlID, GetWindowRect, GetClassNameA, PtInRect, SetWindowTextA, UnregisterClassA, SetWindowsHookExA, CallNextHookEx, GrayStringA, DrawTextExA, DispatchMessageA, PeekMessageA, ValidateRect, GetWindowTextA, LoadCursorA, GetSystemMetrics, GetDC, ReleaseDC, GetSysColor, GetSysColorBrush, UnhookWindowsHookEx, GetWindowThreadProcessId, SendMessageA, GetParent, GetWindowLongA, GetLastActivePopup, IsWindowEnabled, EnableWindow, MessageBoxA, GetMenuState, GetMenuItemID, GetMenuItemCount, GetSubMenu, wsprintfA, DrawTextA, TabbedTextOutA, GetKeyState
> GDI32.dll: TextOutA, ExtTextOutA, Escape, SelectObject, SetViewportOrgEx, OffsetViewportOrgEx, SetViewportExtEx, ScaleViewportExtEx, SetWindowExtEx, ScaleWindowExtEx, RectVisible, DeleteDC, GetStockObject, PtVisible, DeleteObject, GetDeviceCaps, SetMapMode, RestoreDC, SaveDC, SetBkColor, SetTextColor, GetClipBox, CreateBitmap
> WINSPOOL.DRV: OpenPrinterA, DocumentPropertiesA, ClosePrinter
> OLEAUT32.dll: -, -, -

( 61 exports )
__0TmProcessGuard@@QAE@KHH@Z, __0TmProcessGuard@@QAE@PBD0HH@Z, __0TmProcessGuard@@QAE@XZ, __0TmServiceGuard@@QAE@PBD00HH@Z, __0TmServiceGuard@@QAE@PBDKHH@Z, __0TmServiceGuard@@QAE@XZ, __1TmProcessGuard@@UAE@XZ, __1TmServiceGuard@@UAE@XZ, __4TmProcessGuard@@QAEXAAV0@@Z, __4TmServiceGuard@@QAEXAAV0@@Z, ___7TmProcessGuard@@6B@, ___7TmServiceGuard@@6B@, _BackupService@TmServiceGuard@@IAEXXZ, _CheckProcess@TmProcessGuard@@QAE_NAAVCStringArray@@@Z, _GetGuardInfo@TmProcessGuard@@QBEXAAKAAV_$CStringT@DV_$StrTraitMFC@DV_$ChTraitsCRT@D@ATL@@@@@ATL@@1AAH2@Z, _GetService@TmServiceGuard@@QAE_AV_$CStringT@DV_$StrTraitMFC@DV_$ChTraitsCRT@D@ATL@@@@@ATL@@XZ, _IsIPChanged@@YA_NPBDPADH@Z, _IsMonitor@TmProcessGuard@@IBE_NXZ, _IsNTPlatform@@YA_NXZ, _IsProcessAlive@TmProcessGuard@@MAE_NXZ, _IsProcessAlive@TmServiceGuard@@MAE_NXZ, _IsRetryNow@TmProcessGuard@@IBE_NXZ, _IsTheSame@TmProcessGuard@@QBE_NABV_$CStringT@DV_$StrTraitMFC@DV_$ChTraitsCRT@D@ATL@@@@@ATL@@0@Z, _IsTheSame@TmProcessGuard@@QBE_NK@Z, _IsTheSame@TmProcessGuard@@QBE_NPBV1@@Z, _IsValidProcess@TmProcessGuard@@QBE_NXZ, _QueryAllLog@TmProcessGuard@@QBEXAAVCStringArray@@@Z, _RegWatchDog_Ofc@@YA_NXZ, _RegWatchDog_Ofc_95@@YA_NXZ, _RegWatchDog_Ofc_NTRT@@YA_NXZ, _RegWatchDog_Ofc_PCCNTMON@@YA_NXZ, _RegWatchDog_Ofc_TMLISTEN@@YA_NXZ, _RegWatchDog_Ofc_TMPROXY@@YA_NXZ, _ResetMonitor@TmProcessGuard@@IAEXXZ, _ResetRetryCount@TmProcessGuard@@QAEXXZ, _ResetRetryTick@TmProcessGuard@@QAEXXZ, _ResetRetryVar@TmProcessGuard@@QAEXXZ, _RetryWakeupProcess@TmProcessGuard@@MAE_NXZ, _RetryWakeupProcess@TmServiceGuard@@MAE_NXZ, _SetMonitor@TmProcessGuard@@IAEXXZ, _SetProcessID@TmProcessGuard@@QAEXK@Z, _SetRetryCountLimit@TmProcessGuard@@QAEXH@Z, _SetRetryTickLimit@TmProcessGuard@@QAEXH@Z, _StepMonitor@TmProcessGuard@@IAEXXZ, _StepRetry@TmProcessGuard@@IAEXXZ, _UnRegWatchDog_Ofc@@YA_NXZ, _UnRegWatchDog_Ofc_95@@YA_NXZ, _UnRegWatchDog_Ofc_NTRT@@YA_NXZ, _UnRegWatchDog_Ofc_PCCNTMON@@YA_NXZ, _UnRegWatchDog_Ofc_TMLISTEN@@YA_NXZ, _UnRegWatchDog_Ofc_TMPROXY@@YA_NXZ, C_IsIPChanged, C_OfcDogLockFiles, C_RegWatchDog_Ofc, C_RegWatchDog_Ofc_PCCNTMON, C_RegWatchDog_Ofc_TMLISTEN, C_RegWatchDog_Ofc_TMPROXY, C_UnRegWatchDog_Ofc, C_UnRegWatchDog_Ofc_PCCNTMON, C_UnRegWatchDog_Ofc_TMLISTEN, C_UnRegWatchDog_Ofc_TMPROXY
0
Réponse 23 / 164
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
23 juil. 2008 à 17:29
Re,

on commence par ça :

========================================
->Affiche tous les fichiers et dossiers :
clique sur démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage

[Coche] « afficher les dossiers et fichiers cachés »

[Décoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »

[Décoche] « masquer les extensions dont le type est connu »

Puis fais [appliquer] pour valider les changements.

Et [Ok]
========================================


Ensuite,

via l'explorateur Windows, tu cherches C:\WINDOWS\TEMP\NREE8B.EXE

et tu me donnes la date de création (et la adte de dernière modification)

( au passage, un fichier qui change de nom et qui n'st détecté que par un AV, il y a un souci).


Tu cherches aussi c:\windows\system32\drivers\tossmbnt.sys et tu me donnes date de création et de modification.


Ensuite,

ouvre ce lien : http://secubox.gateweb.org/mad.php

tu cliques sur parcourir et tu cherches C:\WINDOWS\TEMP\NREE8B.EXE

Dans la zone de message tu mets

A la demande de Lyonnais92.

Le nom change à chaque reboot

Très mal connu des AV :

http://www.commentcamarche.net/forum/affich 7520752 n est pas une application win32 valide?page=2#21

Soumis directement sur ThreatExpert.

Et tu cliques sur envoyer. Ne cheche pas à t'inscrire. Je suivrai ce qui va se passer.


J'aimerai aussi que tu fasses ça (c'est la première fois que je le afis faire) :

tu ouvres ce lien :

https://www.broadcom.com/

Tu cliques sur Parcourir et tu cherches C:\WINDOWS\TEMP\NREE8B.EXE

Tu donnes ton email (le site est sûr).

Tu acceptes les conditions et tu soumets.

Tu notes ce qui se passe ensuite (car je ne sais pas ce qui va se passer).

Je ne sais pas vraiment de quel malware il s'agit. J'aimerai bien savoir ce qu'il fait. D'où la demande de le soumettre sur Threat Expert.

Tu me tiens au courant.

On supprime tout ça ce soir.
0
Réponse 24 / 164
Lasto97 Messages postés 215 Date d'inscription lundi 21 juillet 2008 Statut Membre Dernière intervention 5 décembre 2008 4
23 juil. 2008 à 22:38
Donc, C:\WINDOWS\TEMP\NREE8B.EXE a été créé le mercredi 23 juillet 2008, 14:42:39
Et a été modifié le mardi 8 mai 2007, 00:43:40. Et je ne me trompe pas dans ce que j'écris.

TOSSMBNT.sys a été créé le lundi 22 décembre 2003, 05:37:30
et modifié le samedi 6 avril 2002, 14:50:56

Je suis allé sur le site http://secubox.gateweb.org/mad.php et pendant que je cherche le fichier à analyser, je m'apperçois qu'il n'est plus là. L'icone en petit chien est toujours là, mais le nom a changé. Il s'appelle maintenant GQD1F.EXE, alors que pendant que je donnais la date de création et tout ça c'est l'ancien nom que j'avais (à moins que je n'aie pas réellement fait attention au nom, reagrdant juste l'icône).
Je lance quand même l'analyse pour GQD1F.EXE

Meme chose pour https://www.broadcom.com/ , je fais l'analyse de GQD1F.EXE

Bon là j'attends le mail qu'ils doivent m'envoyer.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 164
Lasto97 Messages postés 215 Date d'inscription lundi 21 juillet 2008 Statut Membre Dernière intervention 5 décembre 2008 4
23 juil. 2008 à 22:51
C'est bon. J'ai reçu un lien où se trouve le résultat. C'est https://www.symantec.com?md5=481359bdfb169f2bf1059669e1d518d7

J'ai aussi reçu la même chose en zip. J'ai dézipé et j'ai un fichier report.mhtml.
Ca correspond à ce que j'ai dans le lien que je t'ai donné.
0
Réponse 26 / 164
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
23 juil. 2008 à 22:54
Re,

alors on essaye de traiter.

Copie ou imprime les instructions avant

Déconnecte toi d'internet et ferme toutes tes applications.

Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

Driver::
tossmbnt

File::
C:\WINDOWS\TEMP\GQD1F.EXE
c:\windows\system32\drivers\tossmbnt.sys





Enregistre ce fichier sous le nom CFscript


Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe

Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Réactive ton parefeu, ton antivirus, la garde de ton antispyware

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Remets aussi un rapport Hijackthis


Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.
0
Réponse 27 / 164
Lasto97 Messages postés 215 Date d'inscription lundi 21 juillet 2008 Statut Membre Dernière intervention 5 décembre 2008 4
23 juil. 2008 à 22:56
Quand tu dis ComboFix.exe tu veux dire "nonabagle" ?
0
Réponse 28 / 164
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
23 juil. 2008 à 23:09
Re,

oui, puisque on l'a renommé comme ça.

Avant, réinstalle proprement ton antivirus.

tossmbnt est bien infectieux.

Pour le fichier temp, j'avais rencontré ça mais j'avais oublié. C'est un fichier dropper de ton antivirus pour contrer certains malwares dont bagle. Les 2 fichiers (et les clés) mentionnés par le rapport de Threat Expert sont des fichiers de l'antivirus.
0
Réponse 29 / 164
Lasto97 Messages postés 215 Date d'inscription lundi 21 juillet 2008 Statut Membre Dernière intervention 5 décembre 2008 4
23 juil. 2008 à 23:46
Donc j'ai fait tout ce que tu m'as dit. Voici le rapport ComboFix

ComboFix 08-07-21.1 - Administrateur 2008-07-23 17:20:59.3 - NTFSx86
Endroit: C:\Documents and Settings\Administrateur\Bureau\nonabagle.exe
Command switches used :: C:\Documents and Settings\Administrateur\Bureau\CFscript.txt
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]

FILE ::
c:\windows\system32\drivers\tossmbnt.sys
C:\WINDOWS\TEMP\GQD1F.EXE
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\drivers\tossmbnt.sys

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_TOSSMBNT
-------\Service_tossmbnt


((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-06-23 to 2008-07-23 ))))))))))))))))))))))))))))))))))))
.

2008-07-23 15:04 . 2008-07-23 15:04 <REP> d-------- C:\Program Files\Windows Live
2008-07-22 08:04 . 2008-07-22 08:04 <REP> d-------- C:\Deckard
2008-07-21 13:33 . 2008-07-21 13:55 <REP> d-------- C:\Program Files\RegistryQuick
2008-07-17 17:25 . 2008-07-17 17:28 <REP> d-------- C:\Combo-Fix
2008-06-25 16:59 . 2008-06-25 16:59 <REP> d-------- C:\Program Files\Microsoft CAPICOM 2.1.0.2

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-23 19:04 --------- d-----w C:\DOCUME~1\ALLUSE~1\APPLIC~1\WLInstaller
2008-07-22 12:01 --------- d-----w C:\Program Files\Trend Micro
2008-07-17 04:04 --------- d-----w C:\Program Files\Microsoft Works
2008-07-16 01:14 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\MSN6
2008-06-30 15:04 --------- d-----w C:\Program Files\Bac_v7
2008-06-21 17:55 --------- dcsh--w C:\Program Files\Fichiers communs\WindowsLiveInstaller
2008-06-14 17:59 272,768 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-02 20:39 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2008-06-02 20:39 --------- d--h--r C:\Documents and Settings\Administrateur\Application Data\SecuROM
2008-06-02 20:29 --------- d-----w C:\Program Files\Fichiers communs\MainConcept
2008-06-02 20:28 --------- d-----w C:\Program Files\Micro Application
2008-05-31 15:21 --------- d-----w C:\Program Files\OrgangeFrance
2008-05-07 05:15 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll
2008-04-23 04:16 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
.

((((((((((((((((((((((((((((( snapshot@2008-07-17_16.44.52.12 )))))))))))))))))))))))))))))))))))))))))
.
+ 2005-10-21 00:02:28 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE
- 2008-06-03 13:59:49 63,522 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-07-17 22:03:51 63,522 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2008-06-03 13:59:49 76,582 ----a-w C:\WINDOWS\system32\perfc00C.dat
+ 2008-07-17 22:03:51 76,582 ----a-w C:\WINDOWS\system32\perfc00C.dat
- 2008-06-03 13:59:49 404,302 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-07-17 22:03:51 404,302 ----a-w C:\WINDOWS\system32\perfh009.dat
- 2008-06-03 13:59:49 471,484 ----a-w C:\WINDOWS\system32\perfh00C.dat
+ 2008-07-17 22:03:51 471,484 ----a-w C:\WINDOWS\system32\perfh00C.dat
+ 2007-05-08 04:43:40 300,656 ----a-w C:\WINDOWS\Temp\KD2A52.EXE
+ 2008-07-23 21:35:38 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_178.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 19:09 15360]
"TOSCDSPD"="C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe" [2003-09-15 12:19 65536]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="C:\WINDOWS\System32\igfxtray.exe" [2003-04-06 20:19 155648]
"HotKeysCmds"="C:\WINDOWS\System32\hkcmd.exe" [2003-04-06 20:07 114688]
"00THotkey"="C:\WINDOWS\System32\[u]0[/u]0THotkey.exe" [2003-05-23 09:20 253952]
"Apoint"="C:\Program Files\Apoint2K\Apoint.exe" [2003-07-17 13:38 159744]
"TouchED"="C:\Program Files\TOSHIBA\TouchED\TouchED.Exe" [2003-03-11 08:58 122880]
"PadTouch"="C:\Program Files\TOSHIBA\PadTouch\PadExe.exe" [2003-11-24 06:51 1019904]
"ezShieldProtector for Px"="C:\WINDOWS\System32\ezSP_Px.exe" [2002-08-20 06:29 40960]
"DkAutoReg.exe"="C:\Program Files\Rainbow Technologies\iKey 2000 Series Software\DkAutoReg.exe" [2002-07-24 20:09 241664]
"DkStartup"="C:\Program Files\Rainbow Technologies\iKey 2000 Series Software\DkStartup.exe" [2002-07-24 20:12 217088]
"OfficeScanNT Monitor"="C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" [2007-05-08 00:43 702072]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43 83608]
"000StTHK"="000StTHK.exe" [2001-06-23 15:28 24576 C:\WINDOWS\system32\[u]0[/u]00StTHK.exe]
"LTSMMSG"="LTSMMSG.exe" [2003-04-18 06:06 32768 C:\WINDOWS\ltsmmsg.exe]
"TFNF5"="TFNF5.exe" [2003-10-15 12:03 73728 C:\WINDOWS\system32\TFNF5.exe]
"TPSMain"="TPSMain.exe" [2003-12-01 07:09 266240 C:\WINDOWS\system32\TPSMain.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 19:09 15360]

C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\DMARRA~1\
Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26 29696]
Orange Caraibes.lnk - C:\Program Files\OrgangeFrance\Orange Caraibes\Orange Caraibes.exe [2008-01-14 14:01:50 872448]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.mpg4"= C:\WINDOWS\mpg4c32.dll
"vidc.mpg2"= C:\WINDOWS\mpg4c32.dll
"vidc.mpg3"= C:\WINDOWS\mpg4c32.dll
"vidc.GEOX"= C:\WINDOWS\system32\GeoCodec.dll

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide de Microsoft Office OneNote 2003.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide de Microsoft Office OneNote 2003.lnk
backup=C:\WINDOWS\pss\Lancement rapide de Microsoft Office OneNote 2003.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Drag'n Drop CD+DVD]
--------- 2003-08-08 18:54 1175552 C:\Program Files\Drag'n Drop CD+DVD\BinFiles\DragDrop.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=

R3 GT72NDISIPXP;GT 72 IP NDIS;C:\WINDOWS\system32\DRIVERS\Gt51Ip.sys [2007-07-09 14:17]
R3 GT72UBUS;GT 72 U BUS;C:\WINDOWS\system32\DRIVERS\gt72ubus.sys [2007-06-26 13:38]
R3 GTPTSER;GT PT SER;C:\WINDOWS\system32\DRIVERS\gtptser.sys [2007-03-30 13:38]
R3 iKeyEnum;Rainbow iKey Enumerator;C:\WINDOWS\system32\DRIVERS\ikeyenum.sys [2004-03-16 03:04]
R3 iKeyIFD;Rainbow iKey Virtual Reader;C:\WINDOWS\system32\DRIVERS\ikeyifd.sys [2004-03-16 03:04]
S3 PAMScan;PAMScan;C:\WINDOWS\System32\DRIVERS\PAMScan.SYS [2003-09-06 10:22]
S3 RnbToken;Rainbow iKey Token Service;C:\WINDOWS\system32\DRIVERS\rnbtoken.sys [2004-03-16 03:04]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6c138b72-2f24-11dd-a5a2-00080ddf4fdb}]
\Shell\AutoRun\command - E:\setup.exe AUTORUN=1

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{caaa0ed6-8975-11dc-a55f-00080ddf4fdb}]
\Shell\AutoRun\command - RavMon.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f5cd7da8-da49-11dc-a580-00080ddf4fdb}]
\Shell\AutoRun\command - RavMon.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-23 17:30:04
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\scardsvr.exe
C:\Program Files\Toshiba\ConfigFree\CFSvcs.exe
C:\WINDOWS\system32\dklog.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\dkcktkn.exe
C:\Program Files\Trend Micro\OfficeScan Client\TmPfw.exe
C:\WINDOWS\Temp\KD2A52.EXE
C:\WINDOWS\system32\TPSBattM.exe
C:\Program Files\Apoint2K\ApntEx.exe
C:\Program Files\Trend Micro\OfficeScan Client\CNTAoSMgr.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-07-23 17:41:11 - machine was rebooted
ComboFix-quarantined-files.txt 2008-07-23 21:40:56
ComboFix2.txt 2008-07-21 22:56:55
ComboFix3.txt 2008-07-17 20:46:26

Pre-Run: 26,599,055,360 octets libres
Post-Run: 26,609,434,624 octets libres

151 --- E O F --- 2008-07-17 04:07:11
0
Réponse 30 / 164
Lasto97 Messages postés 215 Date d'inscription lundi 21 juillet 2008 Statut Membre Dernière intervention 5 décembre 2008 4
23 juil. 2008 à 23:54
Et voici le rapport Hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:53:18, on 23/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\System32\DkLog.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
C:\WINDOWS\System32\dkcktkn.exe
C:\Program Files\Trend Micro\OfficeScan Client\TmPfw.exe
C:\WINDOWS\TEMP\KD2A52.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\00THotkey.exe
C:\WINDOWS\LTSMMSG.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
C:\Program Files\TOSHIBA\PadTouch\PadExe.exe
C:\WINDOWS\system32\TFNF5.exe
C:\WINDOWS\system32\TPSMain.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Program Files\Rainbow Technologies\iKey 2000 Series Software\DkAutoReg.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Trend Micro\OfficeScan Client\CNTAoSMgr.exe
C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Program Files\OrgangeFrance\Orange Caraibes\Orange Caraibes.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TouchED] C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [PadTouch] "C:\Program Files\TOSHIBA\PadTouch\PadExe.exe
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [DkAutoReg.exe] C:\Program Files\Rainbow Technologies\iKey 2000 Series Software\DkAutoReg.exe
O4 - HKLM\..\Run: [DkStartup] C:\Program Files\Rainbow Technologies\iKey 2000 Series Software\DkStartup.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Orange Caraibes.lnk = C:\Program Files\OrgangeFrance\Orange Caraibes\Orange Caraibes.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file:///C:\Program Files\TOSHIBA\Free Update Service\splash.html
O16 - DPF: {1856D980-6604-4504-AE2E-6EEE0235FCF5} (ActiveSign.CapicomInterface) - http://www.certeurope.fr/fichiers/activesign/1.2.0.2/ActiveSign.CAB
O16 - DPF: {1DB93715-3B60-43EE-93E6-279BB3E1DF76} (OCXDownloadChecker Control) - http://213.16.24.101:8080/cab/OCXChecker_6110.cab
O16 - DPF: {DBAFE6AD-DC14-45DF-A3F7-F8832289A1CD} (DownloadFile Control) - http://213.16.24.101:8080/cab/DownloadFile_7000.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = vauclin.sud
O17 - HKLM\Software\..\Telephony: DomainName = vauclin.sud
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = vauclin.sud
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = vauclin.sud
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Datakey's Log Service (DkLogger) - Datakey, Inc. - C:\WINDOWS\System32\DkLog.exe
O23 - Service: Datakey's Token Service (DkTknSrv) - Datakey, Inc. - C:\WINDOWS\System32\dkcktkn.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: OfficeScan NT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
O23 - Service: OfficeScan NT Firewall (TmPfw) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\TmPfw.exe
O23 - Service: OfficeScan NT Proxy Service (TmProxy) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\TmProxy.exe
0
Réponse 31 / 164
Lasto97 Messages postés 215 Date d'inscription lundi 21 juillet 2008 Statut Membre Dernière intervention 5 décembre 2008 4
24 juil. 2008 à 21:17
On dirait que mon gars est là! :)
0
Réponse 32 / 164
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
24 juil. 2008 à 22:09
Bonjour,

pour le retour, cela ne me pose aucun problème depuis que je sais ce dont il s'agit.

Je vais m'occuper de RavMon. E:\ est une clé USB ? Un DD externe ?

Télécharge Flash_Disinfector de sUBs ici :

https://download.bleepingcomputer.com/sUBs/Flash_Disinfector.exe

Enregistre le sur ton Bureau.

Double clique sur Flash_Disinfector.exe pour le lancer
.
Quand le message : "Plug in yours flash drive & clic Ok to begin disinfection" apparaitra , connecte les clés USB et périphériques USB externes susceptibles d'avoir été infectés.

Puis clique sur Ok

Les icônes sur le Bureau vont disparaitre jusqu'à l'apparition du message: "Done!!"

Appuye sur "Ok", pour faire réapparaitre le Bureau
0
Lasto97 Messages postés 215 Date d'inscription lundi 21 juillet 2008 Statut Membre Dernière intervention 5 décembre 2008 4
25 juil. 2008 à 21:56
Salut, j'ai lancé le programme hier.
Je voulais savoir ce que je dois faire maintenant stp. Merci
0
Réponse 33 / 164
Lasto97 Messages postés 215 Date d'inscription lundi 21 juillet 2008 Statut Membre Dernière intervention 5 décembre 2008 4
24 juil. 2008 à 23:10
Je ne sais pas. Si c'est une clé, elle n'était pas à moi. C'est une cousine qui l'avait passé a mes soeurs pour prendre des sons. Mais là on ne l'a plus. Sinon c'est peut etre la clé qui permet de se connecter a internet, le truc INTERNET EVERYWHERE.
C'est bon j'ai lancé le programme.
0
Réponse 34 / 164
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
25 juil. 2008 à 22:17
Bonsoir,

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


double-clique sur combofix.exe et suis les instructions

à la fin, il va produire un rapport C:\ComboFix.txt

réactive ton parefeu, ton antivirus, la garde de ton antispyware

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.
0
Réponse 35 / 164
Lasto97 Messages postés 215 Date d'inscription lundi 21 juillet 2008 Statut Membre Dernière intervention 5 décembre 2008 4
25 juil. 2008 à 23:01
ComboFix 08-07-21.1 - Administrateur 2008-07-25 16:50:14.4 - NTFSx86
Endroit: C:\Documents and Settings\Administrateur\Bureau\nonabagle.exe

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

((((((((((((((((((((((((((((( Fichiers créés 2008-06-25 to 2008-07-25 ))))))))))))))))))))))))))))))))))))
.

2008-07-22 08:04 . 2008-07-22 08:04 <REP> d-------- C:\Deckard
2008-07-21 13:33 . 2008-07-21 13:55 <REP> d-------- C:\Program Files\RegistryQuick
2008-07-17 17:25 . 2008-07-17 17:28 <REP> d-------- C:\Combo-Fix
2008-06-25 16:59 . 2008-06-25 16:59 <REP> d-------- C:\Program Files\Microsoft CAPICOM 2.1.0.2

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-23 19:04 --------- d-----w C:\DOCUME~1\ALLUSE~1\APPLIC~1\WLInstaller
2008-07-22 12:01 --------- d-----w C:\Program Files\Trend Micro
2008-07-17 04:04 --------- d-----w C:\Program Files\Microsoft Works
2008-07-16 01:14 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\MSN6
2008-06-30 15:04 --------- d-----w C:\Program Files\Bac_v7
2008-06-21 17:55 --------- dcsh--w C:\Program Files\Fichiers communs\WindowsLiveInstaller
2008-06-14 17:59 272,768 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-02 20:39 --------- d--h--r C:\Documents and Settings\Administrateur\Application Data\SecuROM
2008-06-02 20:29 --------- d-----w C:\Program Files\Fichiers communs\MainConcept
2008-06-02 20:28 --------- d-----w C:\Program Files\Micro Application
2008-05-31 15:21 --------- d-----w C:\Program Files\OrgangeFrance
.

((((((((((((((((((((((((((((( snapshot@2008-07-17_16.44.52.12 )))))))))))))))))))))))))))))))))))))))))
.
+ 2005-10-21 00:02:28 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE
- 2008-06-03 13:59:49 63,522 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-07-17 22:03:51 63,522 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2008-06-03 13:59:49 76,582 ----a-w C:\WINDOWS\system32\perfc00C.dat
+ 2008-07-17 22:03:51 76,582 ----a-w C:\WINDOWS\system32\perfc00C.dat
- 2008-06-03 13:59:49 404,302 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-07-17 22:03:51 404,302 ----a-w C:\WINDOWS\system32\perfh009.dat
- 2008-06-03 13:59:49 471,484 ----a-w C:\WINDOWS\system32\perfh00C.dat
+ 2008-07-17 22:03:51 471,484 ----a-w C:\WINDOWS\system32\perfh00C.dat
+ 2008-07-25 11:17:36 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_a3c.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 19:09 15360]
"TOSCDSPD"="C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe" [2003-09-15 12:19 65536]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="C:\WINDOWS\System32\igfxtray.exe" [2003-04-06 20:19 155648]
"HotKeysCmds"="C:\WINDOWS\System32\hkcmd.exe" [2003-04-06 20:07 114688]
"00THotkey"="C:\WINDOWS\System32\[u]0[/u]0THotkey.exe" [2003-05-23 09:20 253952]
"Apoint"="C:\Program Files\Apoint2K\Apoint.exe" [2003-07-17 13:38 159744]
"TouchED"="C:\Program Files\TOSHIBA\TouchED\TouchED.Exe" [2003-03-11 08:58 122880]
"PadTouch"="C:\Program Files\TOSHIBA\PadTouch\PadExe.exe" [2003-11-24 06:51 1019904]
"ezShieldProtector for Px"="C:\WINDOWS\System32\ezSP_Px.exe" [2002-08-20 06:29 40960]
"DkAutoReg.exe"="C:\Program Files\Rainbow Technologies\iKey 2000 Series Software\DkAutoReg.exe" [2002-07-24 20:09 241664]
"DkStartup"="C:\Program Files\Rainbow Technologies\iKey 2000 Series Software\DkStartup.exe" [2002-07-24 20:12 217088]
"OfficeScanNT Monitor"="C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" [2007-05-08 00:43 702072]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43 83608]
"000StTHK"="000StTHK.exe" [2001-06-23 15:28 24576 C:\WINDOWS\system32\[u]0[/u]00StTHK.exe]
"LTSMMSG"="LTSMMSG.exe" [2003-04-18 06:06 32768 C:\WINDOWS\ltsmmsg.exe]
"TFNF5"="TFNF5.exe" [2003-10-15 12:03 73728 C:\WINDOWS\system32\TFNF5.exe]
"TPSMain"="TPSMain.exe" [2003-12-01 07:09 266240 C:\WINDOWS\system32\TPSMain.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 19:09 15360]

C:\Documents and Settings\Administrateur\Menu D‚marrer\Programmes\D‚marrage\
Lancement rapide de Microsoft Office OneNote 2003.lnk - C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE [2007-04-19 13:49:52 64864]

C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\DMARRA~1\
Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26 29696]
Orange Caraibes.lnk - C:\Program Files\OrgangeFrance\Orange Caraibes\Orange Caraibes.exe [2008-01-14 14:01:50 872448]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.mpg4"= C:\WINDOWS\mpg4c32.dll
"vidc.mpg2"= C:\WINDOWS\mpg4c32.dll
"vidc.mpg3"= C:\WINDOWS\mpg4c32.dll
"vidc.GEOX"= C:\WINDOWS\system32\GeoCodec.dll

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide de Microsoft Office OneNote 2003.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide de Microsoft Office OneNote 2003.lnk
backup=C:\WINDOWS\pss\Lancement rapide de Microsoft Office OneNote 2003.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Drag'n Drop CD+DVD]
--------- 2003-08-08 18:54 1175552 C:\Program Files\Drag'n Drop CD+DVD\BinFiles\DragDrop.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=

R3 GT72NDISIPXP;GT 72 IP NDIS;C:\WINDOWS\system32\DRIVERS\Gt51Ip.sys [2007-07-09 14:17]
R3 GT72UBUS;GT 72 U BUS;C:\WINDOWS\system32\DRIVERS\gt72ubus.sys [2007-06-26 13:38]
R3 GTPTSER;GT PT SER;C:\WINDOWS\system32\DRIVERS\gtptser.sys [2007-03-30 13:38]
R3 iKeyEnum;Rainbow iKey Enumerator;C:\WINDOWS\system32\DRIVERS\ikeyenum.sys [2004-03-16 03:04]
R3 iKeyIFD;Rainbow iKey Virtual Reader;C:\WINDOWS\system32\DRIVERS\ikeyifd.sys [2004-03-16 03:04]
S3 PAMScan;PAMScan;C:\WINDOWS\System32\DRIVERS\PAMScan.SYS [2003-09-06 10:22]
S3 RnbToken;Rainbow iKey Token Service;C:\WINDOWS\system32\DRIVERS\rnbtoken.sys [2004-03-16 03:04]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6c138b72-2f24-11dd-a5a2-00080ddf4fdb}]
\Shell\AutoRun\command - E:\setup.exe AUTORUN=1

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{caaa0ed6-8975-11dc-a55f-00080ddf4fdb}]
\Shell\AutoRun\command - RavMon.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f5cd7da8-da49-11dc-a580-00080ddf4fdb}]
\Shell\AutoRun\command - RavMon.exe

*Newly Created Service* - CATCHME
.
.
------- Supplementary Scan -------
.
R0 -: HKCU-Main,Start Page = hxxp://google.fr/
R1 -: HKCU-Internet Connection Wizard,ShellNext = iexplore
O8 -: E&xporter vers Microsoft Excel - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O16 -: {1856D980-6604-4504-AE2E-6EEE0235FCF5} - hxxp://www.certeurope.fr/fichiers/activesign/1.2.0.2/ActiveSign.CAB
C:\WINDOWS\Downloaded Program Files\ActiveSign.INF
C:\WINDOWS\System32\OLEAUT32.DLL
C:\WINDOWS\System32\OLEPRO32.DLL
C:\WINDOWS\System32\ASYCFILT.DLL
C:\WINDOWS\System32\STDOLE2.TLB
C:\WINDOWS\System32\COMCAT.DLL
C:\WINDOWS\System32\msvbvm60.dll
C:\WINDOWS\Downloaded Program Files\ActiveSign.dll

O16 -: {1DB93715-3B60-43EE-93E6-279BB3E1DF76} - hxxp://213.16.24.101:8080/cab/OCXChecker_6110.cab
C:\WINDOWS\Downloaded Program Files\OCXDownloadChecker.inf
C:\WINDOWS\Downloaded Program Files\OCXDownloadChecker_6110.ocx

O16 -: {DBAFE6AD-DC14-45DF-A3F7-F8832289A1CD} - hxxp://213.16.24.101:8080/cab/DownloadFile_7000.cab
C:\WINDOWS\Downloaded Program Files\Download.inf
C:\WINDOWS\Downloaded Program Files\Download_7000.ocx


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-25 16:55:27
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-07-25 16:59:44
ComboFix-quarantined-files.txt 2008-07-25 20:59:31
ComboFix2.txt 2008-07-23 21:41:12
ComboFix3.txt 2008-07-21 22:56:55
ComboFix4.txt 2008-07-17 20:46:26

Pre-Run: 26,647,830,528 octets libres
Post-Run: 26,706,935,808 octets libres

139 --- E O F --- 2008-07-17 04:07:11
0
Réponse 36 / 164
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
25 juil. 2008 à 23:21
Re,

Copie ou imprime les instructions avant

Déconnecte toi d'internet et ferme toutes tes applications.

Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :



Registry::
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion­\explorer\mountpoints2\{6c138b72-2f24-11dd-a5a2-00080ddf4fdb­}\AutoRun\command]
@=""
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion­\explorer\mountpoints2\{caaa0ed6-8975-11dc-a55f-00080ddf4fdb­}\AutoRun\command]
@=""
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion­\explorer\mountpoints2\{f5cd7da8-da49-11dc-a580-00080ddf4fdb­}\AutoRun\command]
@=""


Enregistre ce fichier sous le nom CFscript


Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe

Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Réactive ton parefeu, ton antivirus, la garde de ton antispyware

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Remets aussi un rapport Hijackthis


Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.
0
Réponse 37 / 164
Lasto97 Messages postés 215 Date d'inscription lundi 21 juillet 2008 Statut Membre Dernière intervention 5 décembre 2008 4
25 juil. 2008 à 23:44
Merci, voici le rapport de Combofix

ComboFix 08-07-21.1 - Administrateur 2008-07-25 17:34:12.5 - NTFSx86
Endroit: C:\Documents and Settings\Administrateur\Bureau\nonabagle.exe
Command switches used :: C:\Documents and Settings\Administrateur\Bureau\CFscript.txt
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

((((((((((((((((((((((((((((( Fichiers créés 2008-06-25 to 2008-07-25 ))))))))))))))))))))))))))))))))))))
.

2008-07-22 08:04 . 2008-07-22 08:04 <REP> d-------- C:\Deckard
2008-07-21 13:33 . 2008-07-21 13:55 <REP> d-------- C:\Program Files\RegistryQuick
2008-07-17 17:25 . 2008-07-17 17:28 <REP> d-------- C:\Combo-Fix
2008-06-25 16:59 . 2008-06-25 16:59 <REP> d-------- C:\Program Files\Microsoft CAPICOM 2.1.0.2

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-23 19:04 --------- d-----w C:\DOCUME~1\ALLUSE~1\APPLIC~1\WLInstaller
2008-07-22 12:01 --------- d-----w C:\Program Files\Trend Micro
2008-07-17 04:04 --------- d-----w C:\Program Files\Microsoft Works
2008-07-16 01:14 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\MSN6
2008-06-30 15:04 --------- d-----w C:\Program Files\Bac_v7
2008-06-21 17:55 --------- dcsh--w C:\Program Files\Fichiers communs\WindowsLiveInstaller
2008-06-14 17:59 272,768 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-02 20:39 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2008-06-02 20:39 --------- d--h--r C:\Documents and Settings\Administrateur\Application Data\SecuROM
2008-06-02 20:29 --------- d-----w C:\Program Files\Fichiers communs\MainConcept
2008-06-02 20:28 --------- d-----w C:\Program Files\Micro Application
2008-05-31 15:21 --------- d-----w C:\Program Files\OrgangeFrance
2008-05-07 05:15 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll
.

((((((((((((((((((((((((((((( snapshot@2008-07-17_16.44.52.12 )))))))))))))))))))))))))))))))))))))))))
.
+ 2005-10-21 00:02:28 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE
- 2008-06-03 13:59:49 63,522 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-07-17 22:03:51 63,522 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2008-06-03 13:59:49 76,582 ----a-w C:\WINDOWS\system32\perfc00C.dat
+ 2008-07-17 22:03:51 76,582 ----a-w C:\WINDOWS\system32\perfc00C.dat
- 2008-06-03 13:59:49 404,302 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-07-17 22:03:51 404,302 ----a-w C:\WINDOWS\system32\perfh009.dat
- 2008-06-03 13:59:49 471,484 ----a-w C:\WINDOWS\system32\perfh00C.dat
+ 2008-07-17 22:03:51 471,484 ----a-w C:\WINDOWS\system32\perfh00C.dat
+ 2008-07-25 11:17:36 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_a3c.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 19:09 15360]
"TOSCDSPD"="C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe" [2003-09-15 12:19 65536]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="C:\WINDOWS\System32\igfxtray.exe" [2003-04-06 20:19 155648]
"HotKeysCmds"="C:\WINDOWS\System32\hkcmd.exe" [2003-04-06 20:07 114688]
"00THotkey"="C:\WINDOWS\System32\[u]0[/u]0THotkey.exe" [2003-05-23 09:20 253952]
"Apoint"="C:\Program Files\Apoint2K\Apoint.exe" [2003-07-17 13:38 159744]
"TouchED"="C:\Program Files\TOSHIBA\TouchED\TouchED.Exe" [2003-03-11 08:58 122880]
"PadTouch"="C:\Program Files\TOSHIBA\PadTouch\PadExe.exe" [2003-11-24 06:51 1019904]
"ezShieldProtector for Px"="C:\WINDOWS\System32\ezSP_Px.exe" [2002-08-20 06:29 40960]
"DkAutoReg.exe"="C:\Program Files\Rainbow Technologies\iKey 2000 Series Software\DkAutoReg.exe" [2002-07-24 20:09 241664]
"DkStartup"="C:\Program Files\Rainbow Technologies\iKey 2000 Series Software\DkStartup.exe" [2002-07-24 20:12 217088]
"OfficeScanNT Monitor"="C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" [2007-05-08 00:43 702072]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43 83608]
"000StTHK"="000StTHK.exe" [2001-06-23 15:28 24576 C:\WINDOWS\system32\[u]0[/u]00StTHK.exe]
"LTSMMSG"="LTSMMSG.exe" [2003-04-18 06:06 32768 C:\WINDOWS\ltsmmsg.exe]
"TFNF5"="TFNF5.exe" [2003-10-15 12:03 73728 C:\WINDOWS\system32\TFNF5.exe]
"TPSMain"="TPSMain.exe" [2003-12-01 07:09 266240 C:\WINDOWS\system32\TPSMain.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 19:09 15360]

C:\Documents and Settings\Administrateur\Menu D‚marrer\Programmes\D‚marrage\
Lancement rapide de Microsoft Office OneNote 2003.lnk - C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE [2007-04-19 13:49:52 64864]

C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\DMARRA~1\
Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26 29696]
Orange Caraibes.lnk - C:\Program Files\OrgangeFrance\Orange Caraibes\Orange Caraibes.exe [2008-01-14 14:01:50 872448]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.mpg4"= C:\WINDOWS\mpg4c32.dll
"vidc.mpg2"= C:\WINDOWS\mpg4c32.dll
"vidc.mpg3"= C:\WINDOWS\mpg4c32.dll
"vidc.GEOX"= C:\WINDOWS\system32\GeoCodec.dll

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide de Microsoft Office OneNote 2003.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide de Microsoft Office OneNote 2003.lnk
backup=C:\WINDOWS\pss\Lancement rapide de Microsoft Office OneNote 2003.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Drag'n Drop CD+DVD]
--------- 2003-08-08 18:54 1175552 C:\Program Files\Drag'n Drop CD+DVD\BinFiles\DragDrop.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=

R3 GT72NDISIPXP;GT 72 IP NDIS;C:\WINDOWS\system32\DRIVERS\Gt51Ip.sys [2007-07-09 14:17]
R3 GT72UBUS;GT 72 U BUS;C:\WINDOWS\system32\DRIVERS\gt72ubus.sys [2007-06-26 13:38]
R3 GTPTSER;GT PT SER;C:\WINDOWS\system32\DRIVERS\gtptser.sys [2007-03-30 13:38]
R3 iKeyEnum;Rainbow iKey Enumerator;C:\WINDOWS\system32\DRIVERS\ikeyenum.sys [2004-03-16 03:04]
R3 iKeyIFD;Rainbow iKey Virtual Reader;C:\WINDOWS\system32\DRIVERS\ikeyifd.sys [2004-03-16 03:04]
S3 PAMScan;PAMScan;C:\WINDOWS\System32\DRIVERS\PAMScan.SYS [2003-09-06 10:22]
S3 RnbToken;Rainbow iKey Token Service;C:\WINDOWS\system32\DRIVERS\rnbtoken.sys [2004-03-16 03:04]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6c138b72-2f24-11dd-a5a2-00080ddf4fdb}]
\Shell\AutoRun\command - E:\setup.exe AUTORUN=1

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{caaa0ed6-8975-11dc-a55f-00080ddf4fdb}]
\Shell\AutoRun\command - RavMon.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f5cd7da8-da49-11dc-a580-00080ddf4fdb}]
\Shell\AutoRun\command - RavMon.exe

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-25 17:37:35
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-07-25 17:40:55
ComboFix-quarantined-files.txt 2008-07-25 21:40:43
ComboFix2.txt 2008-07-25 20:59:46
ComboFix3.txt 2008-07-23 21:41:12
ComboFix4.txt 2008-07-21 22:56:55
ComboFix5.txt 2008-07-25 21:32:52

Pre-Run: 26,681,888,768 octets libres
Post-Run: 26,682,986,496 octets libres

123 --- E O F --- 2008-07-17 04:07:11
0
Réponse 38 / 164
Lasto97 Messages postés 215 Date d'inscription lundi 21 juillet 2008 Statut Membre Dernière intervention 5 décembre 2008 4
25 juil. 2008 à 23:47
Et voici celui de HIjacktihs

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:46:13, on 25/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\System32\DkLog.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
C:\WINDOWS\System32\dkcktkn.exe
C:\Program Files\Trend Micro\OfficeScan Client\TmPfw.exe
C:\Program Files\Trend Micro\OfficeScan Client\CNTAoSMgr.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\00THotkey.exe
C:\WINDOWS\LTSMMSG.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
C:\Program Files\TOSHIBA\PadTouch\PadExe.exe
C:\WINDOWS\system32\TFNF5.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\OrgangeFrance\Orange Caraibes\Orange Caraibes.exe
C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TouchED] C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [PadTouch] "C:\Program Files\TOSHIBA\PadTouch\PadExe.exe
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [DkAutoReg.exe] C:\Program Files\Rainbow Technologies\iKey 2000 Series Software\DkAutoReg.exe
O4 - HKLM\..\Run: [DkStartup] C:\Program Files\Rainbow Technologies\iKey 2000 Series Software\DkStartup.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-21-236484741-1526085705-1231754661-500\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-21-758272587-884759815-925700815-1018\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-21-758272587-884759815-925700815-1071\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-21-758272587-884759815-925700815-1114\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Lancement rapide de Microsoft Office OneNote 2003.lnk = C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Orange Caraibes.lnk = C:\Program Files\OrgangeFrance\Orange Caraibes\Orange Caraibes.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file:///C:\Program Files\TOSHIBA\Free Update Service\splash.html
O16 - DPF: {1856D980-6604-4504-AE2E-6EEE0235FCF5} (ActiveSign.CapicomInterface) - http://www.certeurope.fr/fichiers/activesign/1.2.0.2/ActiveSign.CAB
O16 - DPF: {1DB93715-3B60-43EE-93E6-279BB3E1DF76} (OCXDownloadChecker Control) - http://213.16.24.101:8080/cab/OCXChecker_6110.cab
O16 - DPF: {DBAFE6AD-DC14-45DF-A3F7-F8832289A1CD} (DownloadFile Control) - http://213.16.24.101:8080/cab/DownloadFile_7000.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = vauclin.sud
O17 - HKLM\Software\..\Telephony: DomainName = vauclin.sud
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = vauclin.sud
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = vauclin.sud
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Datakey's Log Service (DkLogger) - Datakey, Inc. - C:\WINDOWS\System32\DkLog.exe
O23 - Service: Datakey's Token Service (DkTknSrv) - Datakey, Inc. - C:\WINDOWS\System32\dkcktkn.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: OfficeScan NT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
O23 - Service: OfficeScan NT Firewall (TmPfw) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\TmPfw.exe
O23 - Service: OfficeScan NT Proxy Service (TmProxy) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\TmProxy.exe
0
Réponse 39 / 164
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
25 juil. 2008 à 23:50
Re,

ça n'a pas marché par ma faute.

Recommence avec ces lignes :

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion­\explorer\mountpoints2\{6c138b72-2f24-11dd-a5a2-00080ddf4fdb­}\Shell\AutoRun\command]
@=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion­\explorer\mountpoints2\{caaa0ed6-8975-11dc-a55f-00080ddf4fdb­}\Shell\AutoRun\command]
@=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion­\explorer\mountpoints2\{f5cd7da8-da49-11dc-a580-00080ddf4fdb­}\Shell\AutoRun\command]
@=""

(attention à bien respecter les consignes par rapport à Internet et aux programmes de sécurité).
0
Réponse 40 / 164
Lasto97 Messages postés 215 Date d'inscription lundi 21 juillet 2008 Statut Membre Dernière intervention 5 décembre 2008 4
26 juil. 2008 à 00:09
Voici le rapport Combofix

ComboFix 08-07-21.1 - Administrateur 2008-07-25 17:58:08.6 - NTFSx86
Endroit: C:\Documents and Settings\Administrateur\Bureau\nonabagle.exe
Command switches used :: C:\Documents and Settings\Administrateur\Bureau\CFscript.txt
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

((((((((((((((((((((((((((((( Fichiers créés 2008-06-25 to 2008-07-25 ))))))))))))))))))))))))))))))))))))
.

2008-07-22 08:04 . 2008-07-22 08:04 <REP> d-------- C:\Deckard
2008-07-21 13:33 . 2008-07-21 13:55 <REP> d-------- C:\Program Files\RegistryQuick
2008-07-17 17:25 . 2008-07-17 17:28 <REP> d-------- C:\Combo-Fix
2008-06-25 16:59 . 2008-06-25 16:59 <REP> d-------- C:\Program Files\Microsoft CAPICOM 2.1.0.2

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-23 19:04 --------- d-----w C:\DOCUME~1\ALLUSE~1\APPLIC~1\WLInstaller
2008-07-22 12:01 --------- d-----w C:\Program Files\Trend Micro
2008-07-17 04:04 --------- d-----w C:\Program Files\Microsoft Works
2008-07-16 01:14 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\MSN6
2008-06-30 15:04 --------- d-----w C:\Program Files\Bac_v7
2008-06-21 17:55 --------- dcsh--w C:\Program Files\Fichiers communs\WindowsLiveInstaller
2008-06-14 17:59 272,768 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-02 20:39 --------- d--h--r C:\Documents and Settings\Administrateur\Application Data\SecuROM
2008-06-02 20:29 --------- d-----w C:\Program Files\Fichiers communs\MainConcept
2008-06-02 20:28 --------- d-----w C:\Program Files\Micro Application
2008-05-31 15:21 --------- d-----w C:\Program Files\OrgangeFrance
.

((((((((((((((((((((((((((((( snapshot@2008-07-17_16.44.52.12 )))))))))))))))))))))))))))))))))))))))))
.
+ 2005-10-21 00:02:28 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE
- 2008-06-03 13:59:49 63,522 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-07-17 22:03:51 63,522 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2008-06-03 13:59:49 76,582 ----a-w C:\WINDOWS\system32\perfc00C.dat
+ 2008-07-17 22:03:51 76,582 ----a-w C:\WINDOWS\system32\perfc00C.dat
- 2008-06-03 13:59:49 404,302 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-07-17 22:03:51 404,302 ----a-w C:\WINDOWS\system32\perfh009.dat
- 2008-06-03 13:59:49 471,484 ----a-w C:\WINDOWS\system32\perfh00C.dat
+ 2008-07-17 22:03:51 471,484 ----a-w C:\WINDOWS\system32\perfh00C.dat
+ 2008-07-25 11:17:36 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_a3c.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 19:09 15360]
"TOSCDSPD"="C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe" [2003-09-15 12:19 65536]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="C:\WINDOWS\System32\igfxtray.exe" [2003-04-06 20:19 155648]
"HotKeysCmds"="C:\WINDOWS\System32\hkcmd.exe" [2003-04-06 20:07 114688]
"00THotkey"="C:\WINDOWS\System32\[u]0[/u]0THotkey.exe" [2003-05-23 09:20 253952]
"Apoint"="C:\Program Files\Apoint2K\Apoint.exe" [2003-07-17 13:38 159744]
"TouchED"="C:\Program Files\TOSHIBA\TouchED\TouchED.Exe" [2003-03-11 08:58 122880]
"PadTouch"="C:\Program Files\TOSHIBA\PadTouch\PadExe.exe" [2003-11-24 06:51 1019904]
"ezShieldProtector for Px"="C:\WINDOWS\System32\ezSP_Px.exe" [2002-08-20 06:29 40960]
"DkAutoReg.exe"="C:\Program Files\Rainbow Technologies\iKey 2000 Series Software\DkAutoReg.exe" [2002-07-24 20:09 241664]
"DkStartup"="C:\Program Files\Rainbow Technologies\iKey 2000 Series Software\DkStartup.exe" [2002-07-24 20:12 217088]
"OfficeScanNT Monitor"="C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" [2007-05-08 00:43 702072]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43 83608]
"000StTHK"="000StTHK.exe" [2001-06-23 15:28 24576 C:\WINDOWS\system32\[u]0[/u]00StTHK.exe]
"LTSMMSG"="LTSMMSG.exe" [2003-04-18 06:06 32768 C:\WINDOWS\ltsmmsg.exe]
"TFNF5"="TFNF5.exe" [2003-10-15 12:03 73728 C:\WINDOWS\system32\TFNF5.exe]
"TPSMain"="TPSMain.exe" [2003-12-01 07:09 266240 C:\WINDOWS\system32\TPSMain.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 19:09 15360]

C:\Documents and Settings\Administrateur\Menu D‚marrer\Programmes\D‚marrage\
Lancement rapide de Microsoft Office OneNote 2003.lnk - C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE [2007-04-19 13:49:52 64864]

C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\DMARRA~1\
Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26 29696]
Orange Caraibes.lnk - C:\Program Files\OrgangeFrance\Orange Caraibes\Orange Caraibes.exe [2008-01-14 14:01:50 872448]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.mpg4"= C:\WINDOWS\mpg4c32.dll
"vidc.mpg2"= C:\WINDOWS\mpg4c32.dll
"vidc.mpg3"= C:\WINDOWS\mpg4c32.dll
"vidc.GEOX"= C:\WINDOWS\system32\GeoCodec.dll

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide de Microsoft Office OneNote 2003.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide de Microsoft Office OneNote 2003.lnk
backup=C:\WINDOWS\pss\Lancement rapide de Microsoft Office OneNote 2003.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Drag'n Drop CD+DVD]
--------- 2003-08-08 18:54 1175552 C:\Program Files\Drag'n Drop CD+DVD\BinFiles\DragDrop.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=

R3 GT72NDISIPXP;GT 72 IP NDIS;C:\WINDOWS\system32\DRIVERS\Gt51Ip.sys [2007-07-09 14:17]
R3 GT72UBUS;GT 72 U BUS;C:\WINDOWS\system32\DRIVERS\gt72ubus.sys [2007-06-26 13:38]
R3 GTPTSER;GT PT SER;C:\WINDOWS\system32\DRIVERS\gtptser.sys [2007-03-30 13:38]
R3 iKeyEnum;Rainbow iKey Enumerator;C:\WINDOWS\system32\DRIVERS\ikeyenum.sys [2004-03-16 03:04]
R3 iKeyIFD;Rainbow iKey Virtual Reader;C:\WINDOWS\system32\DRIVERS\ikeyifd.sys [2004-03-16 03:04]
S3 PAMScan;PAMScan;C:\WINDOWS\System32\DRIVERS\PAMScan.SYS [2003-09-06 10:22]
S3 RnbToken;Rainbow iKey Token Service;C:\WINDOWS\system32\DRIVERS\rnbtoken.sys [2004-03-16 03:04]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6c138b72-2f24-11dd-a5a2-00080ddf4fdb}]
\Shell\AutoRun\command - E:\setup.exe AUTORUN=1

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{caaa0ed6-8975-11dc-a55f-00080ddf4fdb}]
\Shell\AutoRun\command - RavMon.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f5cd7da8-da49-11dc-a580-00080ddf4fdb}]
\Shell\AutoRun\command - RavMon.exe

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-25 18:01:33
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

C:\WINDOWS\explorer.exe [556] 0xFF645220

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-07-25 18:05:13
ComboFix-quarantined-files.txt 2008-07-25 22:05:03
ComboFix2.txt 2008-07-25 21:40:56
ComboFix3.txt 2008-07-25 20:59:46
ComboFix4.txt 2008-07-23 21:41:12
ComboFix5.txt 2008-07-25 21:56:40

Pre-Run: 26,655,698,944 octets libres
Post-Run: 26,658,897,920 octets libres

122 --- E O F --- 2008-07-17 04:07:11
0

Discussions similaires

(Null) N'est pas une application win32 valide
samantha213 -
samantha213 -

47 réponses
(...) n est pas une application Win32 valide
ELQO -
k,o, -

162 réponses
.exe n'est pas une application Win32 valide
ireneeb31 -
juju666 -

10 réponses
.exe n'est pas une application win32 valide
TheBlackDream -
TheBlackDream -

4 réponses
Usb device over current status detected
Kinito2108 -
IziBreezy -

18 réponses
echec de connexion à un service windows
marip0502 -
Dylan Daras -

34 réponses