n'est pas une application win32 valideRésolu/Fermé

Question

Bonjour,

J'essaie de lancer le dernier MSN que j'ai télécharger sur 01net. Mais lorsque je le fais, ça me dit "[...] n'est pas une application win32 valide".
J'ai cherché dans des discussions des gens ayant déjà eu ce problème, mais je n'ai pas trouvé de solution.
Il semblerait qu'il y ait un virus sur l'ordinateur.

je vous remercie de me guider svp. Merci

Lyonnais92 · Accepted Answer

Bonjour,

tu as téléchargé un crack.

Supprime le. Sinon, l'infection redémarrera.

    Rends toi sur ce site :
    http://www.zonavirus.com/datos/descargas/95/elibagla.asp
    tout en bas de cette page tu trouveras un outil
    à télécharger,clique sur "escargar Elibagla" (le numéro de version change au fur et à mesure des mises à jour)
    installe ce fichier sur le Bureau.
    ensuite double-clic sur Elibagla.exe
    >laisse la case "eliminar ficheros automaticamente" coché
    >clique sur"explorar"
    >laisse-le travailler
    >poste le rapport final qui sera dans c:\infosat.txt

Lasto97 · Answer

Merci beaucoup, je fais tout de suite ce que tu m'as dit.

Lasto97 · Answer

Voici le rapport:

 Mon Jul 21 17:25:38 2008
EliBagle v11.61  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Julio del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   3910
Nº Total de Ficheros:      46697
Nº de Ficheros Analizados: 12260
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

Lyonnais92 · Answer

Re,

l'outil est allé au bout ?

Tu as posté tout le rapport ?

Tu es sous quel version de Windows ?

Lasto97 · Answer

Oui c'est allé jusqu'au bout, J'ai posté tout le rapport.
Je suis sous Windows XP Professionnel Version 2002 Service Pack 2

Lyonnais92 · Answer

Re,

Ok, alors on change d'outil.

télécharge combofix (par sUBs) ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe  (utilise Internet Explorer)

et enregistre le sous le nom nonabagle sur le Bureau. Change le nom sur la fenêtre où on te le propose, pas quand il est sur le Bureau. Si tu le renommes trop tard, à l'exécution, tu auras "application Win32 invalide". Si c'est le cas, tu supprimes Combofix et tu recommences

déconnecte toi d'internet et ferme toutes tes applications.

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


double-clique sur combofix.exe et suis les instructions

à la fin, il va produire un rapport C:\ComboFix.txt

réactive ton parefeu, ton antivirus, la garde de ton antispyware

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

Tu as un tutoriel complet ici :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Lasto97 · Answer

ComboFix 08-07-21.1 - Administrateur 2008-07-21 18:48:05.2 - NTFSx86 Endroit: C:\Documents and Settings\Administrateur\Bureau\nonabagle.exe * Création d'un nouveau point de restauration [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\InfoSat.txt . ((((((((((((((((((((((((((((( Fichiers créés 2008-06-21 to 2008-07-21 )))))))))))))))))))))))))))))))))))) . 2008-07-21 13:33 . 2008-07-21 13:55 d-------- C:\Program Files\RegistryQuick 2008-07-17 17:25 . 2008-07-17 17:28 d-------- C:\Combo-Fix 2008-06-25 16:59 . 2008-06-25 16:59 d-------- C:\Program Files\Microsoft CAPICOM 2.1.0.2 2008-06-21 14:52 . 2008-06-14 13:59 272,768 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys 2008-06-21 13:28 . 2008-06-21 13:55 d--hsc--- C:\Program Files\Fichiers communs\WindowsLiveInstaller 2008-06-21 13:27 . 2008-07-21 16:56 d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\WLInstaller . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-07-17 04:04 --------- d-----w C:\Program Files\Microsoft Works 2008-07-16 01:14 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\MSN6 2008-07-16 01:14 --------- d-----w C:\DOCUME~1\ADMINI~1\APPLIC~1\MSN6 2008-06-30 15:04 --------- d-----w C:\Program Files\Bac_v7 2008-06-14 17:59 272,768 ------w C:\WINDOWS\system32\drivers\bthport.sys 2008-06-02 20:39 --------- d--h--r C:\Documents and Settings\Administrateur\Application Data\SecuROM 2008-06-02 20:39 --------- d--h--r C:\DOCUME~1\ADMINI~1\APPLIC~1\SecuROM 2008-06-02 20:29 --------- d-----w C:\Program Files\Fichiers communs\MainConcept 2008-06-02 20:28 --------- d-----w C:\Program Files\Micro Application 2008-05-31 15:21 --------- d-----w C:\Program Files\OrgangeFrance . ((((((((((((((((((((((((((((( snapshot@2008-07-17_16.44.52.12 ))))))))))))))))))))))))))))))))))))))))) . - 2008-06-03 13:59:49 63,522 ----a-w C:\WINDOWS\system32\perfc009.dat + 2008-07-17 22:03:51 63,522 ----a-w C:\WINDOWS\system32\perfc009.dat - 2008-06-03 13:59:49 76,582 ----a-w C:\WINDOWS\system32\perfc00C.dat + 2008-07-17 22:03:51 76,582 ----a-w C:\WINDOWS\system32\perfc00C.dat - 2008-06-03 13:59:49 404,302 ----a-w C:\WINDOWS\system32\perfh009.dat + 2008-07-17 22:03:51 404,302 ----a-w C:\WINDOWS\system32\perfh009.dat - 2008-06-03 13:59:49 471,484 ----a-w C:\WINDOWS\system32\perfh00C.dat + 2008-07-17 22:03:51 471,484 ----a-w C:\WINDOWS\system32\perfh00C.dat + 2008-07-21 17:48:56 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_b0c.dat . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 19:09 15360] "TOSCDSPD"="C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe" [2003-09-15 12:19 65536] "DWQueuedReporting"="C:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2007-03-22 19:29 39264] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IgfxTray"="C:\WINDOWS\System32\igfxtray.exe" [2003-04-06 20:19 155648] "HotKeysCmds"="C:\WINDOWS\System32\hkcmd.exe" [2003-04-06 20:07 114688] "00THotkey"="C:\WINDOWS\System32\[u]0[/u]0THotkey.exe" [2003-05-23 09:20 253952] "Apoint"="C:\Program Files\Apoint2K\Apoint.exe" [2003-07-17 13:38 159744] "TouchED"="C:\Program Files\TOSHIBA\TouchED\TouchED.Exe" [2003-03-11 08:58 122880] "PadTouch"="C:\Program Files\TOSHIBA\PadTouch\PadExe.exe" [2003-11-24 06:51 1019904] "ezShieldProtector for Px"="C:\WINDOWS\System32\ezSP_Px.exe" [2002-08-20 06:29 40960] "DkAutoReg.exe"="C:\Program Files\Rainbow Technologies\iKey 2000 Series Software\DkAutoReg.exe" [2002-07-24 20:09 241664] "DkStartup"="C:\Program Files\Rainbow Technologies\iKey 2000 Series Software\DkStartup.exe" [2002-07-24 20:12 217088] "OfficeScanNT Monitor"="C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" [2007-05-08 00:43 702072] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43 83608] "000StTHK"="000StTHK.exe" [2001-06-23 15:28 24576 C:\WINDOWS\system32\[u]0[/u]00StTHK.exe] "LTSMMSG"="LTSMMSG.exe" [2003-04-18 06:06 32768 C:\WINDOWS\ltsmmsg.exe] "TFNF5"="TFNF5.exe" [2003-10-15 12:03 73728 C:\WINDOWS\system32\TFNF5.exe] "TPSMain"="TPSMain.exe" [2003-12-01 07:09 266240 C:\WINDOWS\system32\TPSMain.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 19:09 15360] C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\DMARRA~1\ Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26 29696] Orange Caraibes.lnk - C:\Program Files\OrgangeFrance\Orange Caraibes\Orange Caraibes.exe [2008-01-14 14:01:50 872448] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.mpg4"= C:\WINDOWS\mpg4c32.dll "vidc.mpg2"= C:\WINDOWS\mpg4c32.dll "vidc.mpg3"= C:\WINDOWS\mpg4c32.dll "vidc.GEOX"= C:\WINDOWS\system32\GeoCodec.dll [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide de Microsoft Office OneNote 2003.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide de Microsoft Office OneNote 2003.lnk backup=C:\WINDOWS\pss\Lancement rapide de Microsoft Office OneNote 2003.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Drag'n Drop CD+DVD] --------- 2003-08-08 18:54 1175552 C:\Program Files\Drag'n Drop CD+DVD\BinFiles\DragDrop.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "C:\Program Files\Messenger\msmsgs.exe"= R3 GT72NDISIPXP;GT 72 IP NDIS;C:\WINDOWS\system32\DRIVERS\Gt51Ip.sys [2007-07-09 14:17] R3 GT72UBUS;GT 72 U BUS;C:\WINDOWS\system32\DRIVERS\gt72ubus.sys [2007-06-26 13:38] R3 GTPTSER;GT PT SER;C:\WINDOWS\system32\DRIVERS\gtptser.sys [2007-03-30 13:38] R3 iKeyEnum;Rainbow iKey Enumerator;C:\WINDOWS\system32\DRIVERS\ikeyenum.sys [2004-03-16 03:04] R3 iKeyIFD;Rainbow iKey Virtual Reader;C:\WINDOWS\system32\DRIVERS\ikeyifd.sys [2004-03-16 03:04] S3 PAMScan;PAMScan;C:\WINDOWS\System32\DRIVERS\PAMScan.SYS [2003-09-06 10:22] S3 RnbToken;Rainbow iKey Token Service;C:\WINDOWS\system32\DRIVERS\rnbtoken.sys [2004-03-16 03:04] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6c138b72-2f24-11dd-a5a2-00080ddf4fdb}] \Shell\AutoRun\command - E:\setup.exe AUTORUN=1 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{caaa0ed6-8975-11dc-a55f-00080ddf4fdb}] \Shell\AutoRun\command - RavMon.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f5cd7da8-da49-11dc-a580-00080ddf4fdb}] \Shell\AutoRun\command - RavMon.exe . - - - - ORPHANS REMOVED - - - - HKLM-Run-RegistryQuick.exe - C:\Program Files\RegistryQuick\RegistryQuick.exe . ------- Supplementary Scan ------- . R1 -: HKCU-Internet Connection Wizard,ShellNext = iexplore O8 -: E&xporter vers Microsoft Excel - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O16 -: {1856D980-6604-4504-AE2E-6EEE0235FCF5} - hxxp://www.certeurope.fr/fichiers/activesign/1.2.0.2/ActiveSign.CAB C:\WINDOWS\Downloaded Program Files\ActiveSign.INF C:\WINDOWS\System32\OLEAUT32.DLL C:\WINDOWS\System32\OLEPRO32.DLL C:\WINDOWS\System32\ASYCFILT.DLL C:\WINDOWS\System32\STDOLE2.TLB C:\WINDOWS\System32\COMCAT.DLL C:\WINDOWS\System32\msvbvm60.dll C:\WINDOWS\Downloaded Program Files\ActiveSign.dll O16 -: {1DB93715-3B60-43EE-93E6-279BB3E1DF76} - hxxp://213.16.24.101:8080/cab/OCXChecker_6110.cab C:\WINDOWS\Downloaded Program Files\OCXDownloadChecker.inf C:\WINDOWS\Downloaded Program Files\OCXDownloadChecker_6110.ocx O16 -: {DBAFE6AD-DC14-45DF-A3F7-F8832289A1CD} - hxxp://213.16.24.101:8080/cab/DownloadFile_7000.cab C:\WINDOWS\Downloaded Program Files\Download.inf C:\WINDOWS\Downloaded Program Files\Download_7000.ocx ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-07-21 18:52:36 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cachés ... Balayage caché autostart entries ... Balayage des fichiers cachés ... Scan terminé avec succès Les fichiers cachés: 0 ************************************************************************** . Temps d'accomplissement: 2008-07-21 18:56:54 ComboFix-quarantined-files.txt 2008-07-21 22:56:43 ComboFix2.txt 2008-07-17 20:46:26 Pre-Run: 26,707,017,728 octets libres Post-Run: 26,794,024,960 octets libres 141 --- E O F --- 2008-07-17 04:07:11

Lyonnais92 · Answer

Bonjour,

pourquoi as tu téléchargé  Combofix le 17 juillet ?

Clique sur ce lien
http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe
pour télécharger le fichier d'installation d'HijackThis.

Enregistre HJTInstall.exe sur ton bureau.  

Double-clique sur HJTInstall.exe pour lancer le programme

Par défaut, il s'installera là :
C:\Program Files\Trend Micro\HijackThis

Accepte la license en cliquant sur le bouton "I Accept"



Ferme Hijackthis en cliquant sur la croix-rouge.

Télécharge DSS (Deckard's System Scanner de Deckard) sur ton Bureau à partir de ce lien :

http://www.techsupportforum.com/sectools/Deckard/dss.exe

Choisis "Enregistrer" et "Bureau" comme emplacement.

Ferme toutes les applications en cours (très important, sinon l'ordi peut planter).

Double-clique sur DSS.exe pour lancer l'outil.

S'il ne trouve pas HijackThis, clique sur Oui.

Clique sur OK à chaque fois que cela sera demandé.

L'analyse finie, un fichier texte s'affichera. Poste son contenu dans ta réponse.
 
Le rapport se trouve ici : C:\Deckard\System Scanner\main.txt.

Lasto97 · Answer

Je l'avais téléchargé parce que je pensais que le problème que certaines personnes avaient eu était le même que moi, donc je suivais les insttructions qu'on leur avait donné, sans pour autant déranger quelqu"un à me guider aussi pour le meme problème. Pour pas vous faire perdre votre temps à vous répéter pour la meme chose quoi.

Lasto97 · Answer

Deckard's System Scanner v20071014.68
Run by Administrateur on 2008-07-22 08:04:58
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Successfully created a Deckard's System Scanner Restore Point.


-- Last 5 Restore Point(s) --
39: 2008-07-22 12:05:16 UTC - RP205 - Deckard's System Scanner Restore Point
38: 2008-07-21 22:46:29 UTC - RP204 - ComboFix created restore point
37: 2008-07-21 21:40:07 UTC - RP203 - Supprimé Windows Live installer
36: 2008-07-21 20:57:28 UTC - RP202 - Installed Windows Live
35: 2008-07-19 01:35:05 UTC - RP201 - Installed Windows Live


-- First Restore Point -- 
1: 2008-04-05 13:37:39 UTC - RP167 - Installé Bac_v7


Backed up registry hives.
Performed disk cleanup.

[color=red]Total Physical Memory: 239 MiB (512 MiB recommended)./color


-- HijackThis (run as Administrateur.exe) --------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:06:25, on 22/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\System32\DkLog.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Trend Micro\OfficeScan Client
trtscan.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\OfficeScan Client	mlisten.exe
C:\WINDOWS\System32\dkcktkn.exe
C:\Program Files\Trend Micro\OfficeScan Client\TmPfw.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\00THotkey.exe
C:\WINDOWS\LTSMMSG.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
C:\Program Files\TOSHIBA\PadTouch\PadExe.exe
C:\WINDOWS\system32\TFNF5.exe
C:\WINDOWS\system32\TPSMain.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Program Files\Rainbow Technologies\iKey 2000 Series Software\DkAutoReg.exe
C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\TOSHIBA\TOSCDSPD	oscdspd.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Program Files\OrgangeFrance\Orange Caraibes\Orange Caraibes.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\WINDOWS\TEMP\AOC6B0.EXE
C:\Program Files\Trend Micro\OfficeScan Client\CNTAoSMgr.exe
C:\Documents and Settings\Administrateur\Bureau\dss.exe
C:\PROGRA~1\TRENDM~1\HIJACK~1\Administrateur.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TouchED] C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [PadTouch] "C:\Program Files\TOSHIBA\PadTouch\PadExe.exe
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [DkAutoReg.exe] C:\Program Files\Rainbow Technologies\iKey 2000 Series Software\DkAutoReg.exe
O4 - HKLM\..\Run: [DkStartup] C:\Program Files\Rainbow Technologies\iKey 2000 Series Software\DkStartup.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD	oscdspd.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Orange Caraibes.lnk = C:\Program Files\OrgangeFrance\Orange Caraibes\Orange Caraibes.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file:///C:\Program Files\TOSHIBA\Free Update Service\splash.html
O16 - DPF: {1856D980-6604-4504-AE2E-6EEE0235FCF5} (ActiveSign.CapicomInterface) - http://www.certeurope.fr/fichiers/activesign/1.2.0.2/ActiveSign.CAB
O16 - DPF: {1DB93715-3B60-43EE-93E6-279BB3E1DF76} (OCXDownloadChecker Control) - http://213.16.24.101:8080/cab/OCXChecker_6110.cab
O16 - DPF: {DBAFE6AD-DC14-45DF-A3F7-F8832289A1CD} (DownloadFile Control) - http://213.16.24.101:8080/cab/DownloadFile_7000.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = vauclin.sud
O17 - HKLM\Software\..\Telephony: DomainName = vauclin.sud
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = vauclin.sud
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = vauclin.sud
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Datakey's Log Service (DkLogger) - Datakey, Inc. - C:\WINDOWS\System32\DkLog.exe
O23 - Service: Datakey's Token Service (DkTknSrv) - Datakey, Inc. - C:\WINDOWS\System32\dkcktkn.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client
trtscan.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: OfficeScan NT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client	mlisten.exe
O23 - Service: OfficeScan NT Firewall (TmPfw) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\TmPfw.exe
O23 - Service: OfficeScan NT Proxy Service (TmProxy) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\TmProxy.exe

Lyonnais92 · Answer

Bonjour,

je regarde ça ce soir.

Déjà, connais tu            Domain = vauclin.sud  ?

Lasto97 · Answer

Non. C'était un ordi portable de travail administratif. Vauclin, c'est la ville, et elle se trouve dans le sud.

Lyonnais92 · Answer

Re,

tu veux dire que tu n'as plus besoin de ce domaine pour te connecter au Net ?

2 fichiers à contrôler.

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : C:\Program Files\OrgangeFrance\Orange Caraibes\Orange Caraibes.exe

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse. 

Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant 

Recommence avec : C:\WINDOWS\TEMP\AOC6B0.EXE

Lasto97 · Answer

Fichier Orange_Caraibes.exe reçu le 2008.07.23 03:58:06 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE 


Résultat: 0/34 (0%)
en train de charger les informations du serveur... 
Votre fichier est dans la file d'attente, en position: ___.
L'heure estimée de démarrage est entre ___ et ___ .
Ne fermez pas la fenêtre avant la fin de l'analyse. 
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier. 
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération. 
 Formaté Impression des résultats  
Votre fichier a expiré ou n'existe pas. 
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée. 
 Email:  
  

Antivirus Version Dernière mise à jour Résultat 
AhnLab-V3 2008.7.23.0 2008.07.22 - 
AntiVir 7.8.1.11 2008.07.22 - 
Authentium 5.1.0.4 2008.07.22 - 
Avast 4.8.1195.0 2008.07.22 - 
AVG 8.0.0.130 2008.07.22 - 
BitDefender 7.2 2008.07.23 - 
CAT-QuickHeal 9.50 2008.07.22 - 
ClamAV 0.93.1 2008.07.23 - 
DrWeb 4.44.0.09170 2008.07.22 - 
eSafe 7.0.17.0 2008.07.22 - 
eTrust-Vet 31.6.5975 2008.07.22 - 
Ewido 4.0 2008.07.22 - 
F-Prot 4.4.4.56 2008.07.22 - 
F-Secure 7.60.13501.0 2008.07.22 - 
Fortinet 3.14.0.0 2008.07.23 - 
GData 2.0.7306.1023 2008.07.22 - 
Ikarus T3.1.1.34.0 2008.07.23 - 
Kaspersky 7.0.0.125 2008.07.23 - 
McAfee 5344 2008.07.22 - 
Microsoft 1.3704 2008.07.23 - 
NOD32v2 3289 2008.07.22 - 
Norman 5.80.02 2008.07.22 - 
Panda 9.0.0.4 2008.07.23 - 
PCTools 4.4.2.0 2008.07.22 - 
Prevx1 V2 2008.07.23 - 
Rising 20.54.12.00 2008.07.22 - 
Sophos 4.31.0 2008.07.23 - 
Sunbelt 3.1.1536.1 2008.07.18 - 
Symantec 10 2008.07.23 - 
TheHacker 6.2.96.385 2008.07.20 - 
TrendMicro 8.700.0.1004 2008.07.22 - 
VBA32 3.12.8.1 2008.07.22 - 
VirusBuster 4.5.11.0 2008.07.22 - 
Webwasher-Gateway 6.6.2 2008.07.22 - 
Information additionnelle 
File size: 872448 bytes 
MD5...: 6119d1766aeb4b4fa170e80462ab0101 
SHA1..: e63844aa12cf56c9de52af48ab621b5352c8e91c 
SHA256: 4cbebbd848a7672009686b9d91abf9e68ebe3ca3ebacd10388f89bba6962a773 
SHA512: 703021da8a288cf28a6ee085053179c3e8280e1366e44716160caa2a0a62a2d8
9e5f165ffc34a6d6304bf537c38ff9a96d3fc7236859aca1bc3dc051a90c8510 
PEiD..: - 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x44265c
timedatestamp.....: 0x478b5d38 (Mon Jan 14 13:01:44 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x63161 0x64000 6.60 c338e1a536c6a3f9ba9d7a683d3a85ab
.rdata 0x65000 0x26210 0x27000 4.28 1b25600530d38ba7b03ef12f06488d9f
.data 0x8c000 0xf678 0x4000 3.74 40c6f7e347d59aedb9ac09e159c7610d
.rsrc 0x9c000 0x44478 0x45000 5.99 cbb725f7f44e09df949a44a903e64b5d

( 16 imports ) 
> iphlpapi.dll: GetIfEntry, GetIpAddrTable, GetAdaptersInfo, GetIfTable
> KERNEL32.dll: WritePrivateProfileStringW, SetFilePointer, FlushFileBuffers, SetErrorMode, HeapFree, HeapAlloc, GetProcessHeap, GetStartupInfoW, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, RtlUnwind, RaiseException, HeapReAlloc, ExitProcess, ExitThread, HeapSize, GetStdHandle, GetModuleFileNameA, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetThreadLocale, GetCommandLineA, GetCommandLineW, SetHandleCount, GetFileType, GetStartupInfoA, HeapDestroy, HeapCreate, VirtualFree, QueryPerformanceCounter, GetSystemTimeAsFileTime, GetCPInfo, GetACP, GetOEMCP, VirtualAlloc, LCMapStringA, LCMapStringW, GetTimeZoneInformation, GetConsoleCP, GetConsoleMode, GetStringTypeA, GetStringTypeW, GetLocaleInfoA, SetStdHandle, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, CreateFileA, SetEnvironmentVariableA, lstrlenA, InterlockedIncrement, TlsFree, LocalReAlloc, TlsSetValue, TlsAlloc, OpenEventW, GlobalHandle, GlobalReAlloc, TlsGetValue, GlobalFlags, GetCurrentProcessId, InterlockedDecrement, SuspendThread, ResumeThread, GetCurrentThread, ConvertDefaultLocale, GetVersion, EnumResourceLanguagesW, lstrcmpA, GetLocaleInfoW, CompareStringA, InterlockedExchange, GlobalFree, FormatMessageW, FreeResource, GlobalAddAtomW, GlobalFindAtomW, GlobalDeleteAtom, CompareStringW, LoadLibraryA, lstrcmpW, GetVersionExA, MulDiv, GetModuleHandleA, CreateThread, ResetEvent, LocalFileTimeToFileTime, SystemTimeToFileTime, PurgeComm, ReadFile, GetOverlappedResult, ReleaseMutex, WaitForMultipleObjects, WaitCommEvent, SetEvent, SetCommMask, SetCommTimeouts, GetCommTimeouts, SetCommState, GetCommState, CreateEventW, DeviceIoControl, LeaveCriticalSection, EnterCriticalSection, DeleteCriticalSection, InitializeCriticalSection, Sleep, IsValidCodePage, LocalFree, lstrcpyW, GetCurrentProcess, LocalAlloc, ExpandEnvironmentStringsW, GetTempPathW, GetModuleFileNameW, IsBadStringPtrW, lstrlenW, OutputDebugStringW, FreeLibrary, MultiByteToWideChar, GetTimeFormatW, GetDateFormatW, FileTimeToSystemTime, FileTimeToLocalFileTime, GlobalUnlock, GlobalLock, GlobalAlloc, GetProcAddress, GetModuleHandleW, GetUserDefaultUILanguage, LoadLibraryW, SetLastError, WideCharToMultiByte, TerminateProcess, WaitForSingleObject, OpenProcess, WriteFile, GetTickCount, GetCurrentThreadId, CreateFileW, GetVersionExW, GetLocalTime, CloseHandle, CreateMutexW, FindResourceW, LoadResource, LockResource, SizeofResource, GetLastError, GetEnvironmentStringsW
> USER32.dll: PostQuitMessage, GetMenuState, GetMenuStringW, RegisterWindowMessageW, LoadIconW, SendDlgItemMessageA, WinHelpW, IsChild, GetCapture, SetWindowsHookExW, CallNextHookEx, GetClassLongW, GetClassNameW, SetPropW, GetPropW, RemovePropW, GetLastActivePopup, SetActiveWindow, DispatchMessageW, BeginDeferWindowPos, EndDeferWindowPos, GetTopWindow, UnhookWindowsHookEx, GetMessageTime, GetMessagePos, MapWindowPoints, TrackPopupMenu, GetKeyState, UpdateWindow, GetMenu, GetMenuItemID, GetMenuItemCount, MessageBoxW, GetClassInfoExW, AdjustWindowRectEx, EqualRect, DeferWindowPos, CallWindowProcW, IntersectRect, SystemParametersInfoA, ValidateRect, GetSysColor, EndPaint, BeginPaint, ClientToScreen, ScreenToClient, GrayStringW, DrawTextExW, DrawTextW, TabbedTextOutW, IsWindowEnabled, ShowWindow, MoveWindow, SetWindowLongW, SetWindowTextW, GetWindowLongW, IsDialogMessageW, IsZoomed, SetRectEmpty, DestroyMenu, SetDlgItemTextW, SendDlgItemMessageW, DefWindowProcW, UnregisterDeviceNotification, RegisterDeviceNotificationW, DestroyWindow, CreateWindowExW, GetDlgItem, GetWindowTextLengthW, GetWindowTextW, ReleaseDC, SetMenuDefaultItem, GetSubMenu, LoadMenuW, LoadStringW, GetClipboardData, FrameRect, AppendMenuW, SetFocus, TranslateMessage, GetMessageW, CheckMenuItem, GetMenuCheckMarkDimensions, SetMenuItemBitmaps, GetFocus, GetSystemMenu, EnableMenuItem, EndDialog, GetNextDlgTabItem, CreateDialogIndirectParamW, GetDesktopWindow, WindowFromPoint, GetWindowPlacement, GetSysColorBrush, SetParent, SetCapture, LockWindowUpdate, GetDCEx, ReleaseCapture, UnregisterClassA, GetActiveWindow, ModifyMenuW, PostThreadMessageW, DrawIcon, GetCursorPos, GetDoubleClickTime, LoadImageW, IsWindowVisible, IsWindow, EmptyClipboard, OpenClipboard, CloseClipboard, SetClipboardData, LoadBitmapW, GetParent, GetSystemMetrics, BringWindowToTop, IsIconic, SetForegroundWindow, AttachThreadInput, GetForegroundWindow, GetWindow, OffsetRect, GetClientRect, SetWindowPos, GetDlgCtrlID, PeekMessageW, SystemParametersInfoW, KillTimer, SetTimer, SetCursor, LoadCursorW, EnableWindow, DrawFocusRect, InflateRect, FillRect, CopyRect, InvalidateRect, GetWindowThreadProcessId, PostMessageW, FindWindowW, UnregisterClassW, RegisterClassW, GetClassInfoW, GetWindowRect, UnionRect, SetRect, GetDC, GetWindowDC, SendMessageW, PtInRect
> GDI32.dll: PatBlt, GetTextMetricsW, GetCharWidthW, CreateFontW, StretchDIBits, CreateCompatibleBitmap, CreateRectRgnIndirect, SetRectRgn, CombineRgn, OffsetViewportOrgEx, SetViewportOrgEx, SetViewportExtEx, DeleteDC, ScaleWindowExtEx, SetWindowExtEx, CreateFontIndirectW, SelectObject, CreateCompatibleDC, GetBkColor, GetTextExtentPoint32W, Escape, ExtTextOutW, TextOutW, RectVisible, PtVisible, CreateRectRgn, SelectClipRgn, IntersectClipRect, ExcludeClipRect, GetClipBox, SetMapMode, SetTextColor, SetBkMode, SetBkColor, RestoreDC, SaveDC, GetDeviceCaps, CreateBitmap, CreatePatternBrush, SetBrushOrgEx, CreateSolidBrush, DeleteObject, GetObjectW, GetStockObject, ScaleViewportExtEx
> MSIMG32.dll: TransparentBlt
> WINSPOOL.DRV: OpenPrinterW, DocumentPropertiesW, ClosePrinter
> ADVAPI32.dll: SetSecurityDescriptorDacl, RegQueryValueW, RegEnumKeyW, RegOpenKeyW, RegDeleteKeyW, RegQueryInfoKeyW, RegEnumKeyExW, InitializeSecurityDescriptor, RegSetKeySecurity, RegCreateKeyExW, RegSetValueExW, RegOpenKeyExW, RegQueryValueExW, RegCloseKey
> SHELL32.dll: Shell_NotifyIconW
> COMCTL32.dll: InitCommonControlsEx, ImageList_Create
> SHLWAPI.dll: PathFindFileNameW, PathFindExtensionW
> ole32.dll: CoUninitialize, CoInitializeEx, CoWaitForMultipleHandles
> OLEAUT32.dll: -, -, -, -
> VERSION.dll: GetFileVersionInfoSizeW, VerQueryValueW, GetFileVersionInfoW
> SETUPAPI.dll: SetupDiDestroyDeviceInfoList, CM_Get_Device_IDW, CM_Get_DevNode_Status, CM_Get_Parent, SetupDiGetDeviceRegistryPropertyA, SetupDiDestroyDriverInfoList, SetupDiEnumDriverInfoW, SetupDiBuildDriverInfoList, SetupDiOpenDeviceInfoW, SetupDiCreateDeviceInfoList, SetupDiEnumDeviceInfo, SetupDiGetClassDevsA, SetupDiOpenDevRegKey, CM_Get_Sibling, CM_Get_Child_Ex
> WS2_32.dll: -
> RASAPI32.dll: RasSetEntryPropertiesW, RasGetConnectionStatistics, RasHangUpW, RasDeleteEntryW, RasValidateEntryNameW, RasGetProjectionInfoW, RasGetConnectStatusW, RasDialW, RasGetEntryPropertiesW

( 0 exports )

Kox6 · Answer

C'est ce qui arrive quand on ne telecharge pas sur le site de l'éditeur ..

Pas si compliquer pourtant.

Lyonnais92 · Answer

Bonjour,

l'analyse VirusTotal de C:\WINDOWS\TEMP\AOC6B0.EXE ?

Lasto97 · Answer

Bonjour,
je n'ai pas de fichier AOC6B0.EXE dans Temp,
par contre j'ai HN3258.EXE je ne sais si ya un rapport. C'est une icone en petit chien.

Lyonnais92 · Answer

Bonjour,

refais tourner DSS et poste le rapport.

Ne ferme pas l'ordi (ne le fais pas redémarrer non plus).

Lasto97 · Answer

Deckard's System Scanner v20071014.68
Run by Administrateur on 2008-07-23 08:56:06
Computer is in Normal Mode.
--------------------------------------------------------------------------------

[color=red]Total Physical Memory: 239 MiB (512 MiB recommended)./color


-- HijackThis (run as Administrateur.exe) --------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:56:27, on 23/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\System32\DkLog.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Trend Micro\OfficeScan Client
trtscan.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\OfficeScan Client	mlisten.exe
C:\WINDOWS\System32\dkcktkn.exe
C:\Program Files\Trend Micro\OfficeScan Client\TmPfw.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\00THotkey.exe
C:\WINDOWS\LTSMMSG.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
C:\Program Files\TOSHIBA\PadTouch\PadExe.exe
C:\WINDOWS\system32\TFNF5.exe
C:\WINDOWS\system32\TPSMain.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Program Files\Rainbow Technologies\iKey 2000 Series Software\DkAutoReg.exe
C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\TOSHIBA\TOSCDSPD	oscdspd.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Program Files\OrgangeFrance\Orange Caraibes\Orange Caraibes.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\TEMP\NREE8B.EXE
C:\Program Files\Trend Micro\OfficeScan Client\CNTAoSMgr.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Documents and Settings\Administrateur\Bureau\dss.exe
C:\PROGRA~1\TRENDM~1\HIJACK~1\ADMINI~1.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TouchED] C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [PadTouch] "C:\Program Files\TOSHIBA\PadTouch\PadExe.exe
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [DkAutoReg.exe] C:\Program Files\Rainbow Technologies\iKey 2000 Series Software\DkAutoReg.exe
O4 - HKLM\..\Run: [DkStartup] C:\Program Files\Rainbow Technologies\iKey 2000 Series Software\DkStartup.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD	oscdspd.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Orange Caraibes.lnk = C:\Program Files\OrgangeFrance\Orange Caraibes\Orange Caraibes.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file:///C:\Program Files\TOSHIBA\Free Update Service\splash.html
O16 - DPF: {1856D980-6604-4504-AE2E-6EEE0235FCF5} (ActiveSign.CapicomInterface) - http://www.certeurope.fr/fichiers/activesign/1.2.0.2/ActiveSign.CAB
O16 - DPF: {1DB93715-3B60-43EE-93E6-279BB3E1DF76} (OCXDownloadChecker Control) - http://213.16.24.101:8080/cab/OCXChecker_6110.cab
O16 - DPF: {DBAFE6AD-DC14-45DF-A3F7-F8832289A1CD} (DownloadFile Control) - http://213.16.24.101:8080/cab/DownloadFile_7000.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = vauclin.sud
O17 - HKLM\Software\..\Telephony: DomainName = vauclin.sud
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = vauclin.sud
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = vauclin.sud
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Datakey's Log Service (DkLogger) - Datakey, Inc. - C:\WINDOWS\System32\DkLog.exe
O23 - Service: Datakey's Token Service (DkTknSrv) - Datakey, Inc. - C:\WINDOWS\System32\dkcktkn.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client
trtscan.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: OfficeScan NT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client	mlisten.exe
O23 - Service: OfficeScan NT Firewall (TmPfw) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\TmPfw.exe
O23 - Service: OfficeScan NT Proxy Service (TmProxy) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\TmProxy.exe

Lyonnais92 · Answer

Re,

essaye d'analyser celui-là :

C:\WINDOWS\TEMP\NREE8B.EXE

Lasto97 · Answer

Ca me dit que je fichier à déjà été analysé:

Le fichier a déjà été analysé:
MD5: 481359bdfb169f2bf1059669e1d518d7 
First received: 2007.06.21 10:22:43 (CET) 
Date 2008.07.09 11:45:56 (CET) [>14D] 
Résultats 1/33 
Permalink: analisis/ecb1060f7ecaad2e34cc1c4097456dcd 

Donc j'ai fait réanalyser et voici: 

Fichier NREE8B.EXE reçu le 2008.07.23 16:24:48 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE 


Résultat: 1/34 (2.95%)
en train de charger les informations du serveur... 
Votre fichier est dans la file d'attente, en position: ___.
L'heure estimée de démarrage est entre ___ et ___ .
Ne fermez pas la fenêtre avant la fin de l'analyse. 
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier. 
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération. 
 Formaté Impression des résultats  
Votre fichier a expiré ou n'existe pas. 
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée. 
 Email:  
  

Antivirus Version Dernière mise à jour Résultat 
AhnLab-V3 2008.7.23.0 2008.07.22 - 
AntiVir 7.8.1.11 2008.07.23 - 
Authentium 5.1.0.4 2008.07.23 - 
Avast 4.8.1195.0 2008.07.23 - 
AVG 8.0.0.130 2008.07.23 - 
BitDefender 7.2 2008.07.23 - 
CAT-QuickHeal 9.50 2008.07.22 - 
ClamAV 0.93.1 2008.07.23 - 
DrWeb 4.44.0.09170 2008.07.23 - 
eSafe 7.0.17.0 2008.07.22 - 
eTrust-Vet 31.6.5976 2008.07.23 - 
Ewido 4.0 2008.07.23 - 
F-Prot 4.4.4.56 2008.07.22 - 
F-Secure 7.60.13501.0 2008.07.23 Suspicious:W32/Dzan!Gemini 
Fortinet 3.14.0.0 2008.07.23 - 
GData 2.0.7306.1023 2008.07.23 - 
Ikarus T3.1.1.34.0 2008.07.23 - 
Kaspersky 7.0.0.125 2008.07.23 - 
McAfee 5344 2008.07.22 - 
Microsoft 1.3704 2008.07.23 - 
NOD32v2 3292 2008.07.23 - 
Norman 5.80.02 2008.07.22 - 
Panda 9.0.0.4 2008.07.23 - 
PCTools 4.4.2.0 2008.07.23 - 
Prevx1 V2 2008.07.23 - 
Rising 20.54.22.00 2008.07.23 - 
Sophos 4.31.0 2008.07.23 - 
Sunbelt 3.1.1536.1 2008.07.18 - 
TheHacker 6.2.96.387 2008.07.23 - 
TrendMicro 8.700.0.1004 2008.07.23 - 
VBA32 3.12.8.1 2008.07.23 - 
VIRobot 2008.7.23.1307 2008.07.23 - 
VirusBuster 4.5.11.0 2008.07.23 - 
Webwasher-Gateway 6.6.2 2008.07.23 - 
Information additionnelle 
File size: 300656 bytes 
MD5...: 481359bdfb169f2bf1059669e1d518d7 
SHA1..: 8edd20556dc6baaa4d95e9fccfeee1e3fd308975 
SHA256: 1a5491d0e492acc6da601df2d84bf00db1c5fd050c1dd575a8fea67068004e32 
SHA512: aad5ef4e962e5464192cdfd73e6b7409cfa0b069610a2343e43811e492e2dce1
856c89c35f71ad18577062a5105525e4b8bae9882569043056679495fd10bf4d 
PEiD..: - 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x41d9f9
timedatestamp.....: 0x463f537b (Mon May 07 16:27:39 2007)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3570b 0x36000 6.63 23146977e391f9b4604c08ff8896529c
.rdata 0x37000 0xc052 0xd000 4.79 8e55626850359a0afa178454c443da0e
.data 0x44000 0xb4c0 0x3000 3.16 1e4d94eb9f564aae752ffbc9be5440c7
.rsrc 0x50000 0xaf4 0x1000 4.42 0b87ed20efa39f36e0ea69da8dda9aaf

( 7 imports ) 
> WS2_32.dll: -, -, -
> ADVAPI32.dll: SetSecurityDescriptorDacl, InitializeSecurityDescriptor, StartServiceA, QueryServiceStatus, CloseServiceHandle, OpenServiceA, OpenSCManagerA, RegCloseKey, RegQueryValueExA, RegOpenKeyExA, RegSetValueExA, RegDeleteValueA, RegCreateKeyExA, QueryServiceConfigA, RegNotifyChangeKeyValue
> KERNEL32.dll: GlobalAlloc, GlobalFree, lstrcmpA, TlsGetValue, GlobalReAlloc, GlobalHandle, TlsAlloc, TlsSetValue, LocalReAlloc, TlsFree, InterlockedDecrement, InterlockedIncrement, GlobalGetAtomNameA, GetThreadLocale, ResumeThread, GlobalFlags, lstrcmpW, GlobalDeleteAtom, GlobalFindAtomA, GlobalAddAtomA, GetLocaleInfoA, GetCPInfo, GetOEMCP, SetFilePointer, FlushFileBuffers, GlobalLock, CreateFileA, GetFileAttributesA, UnhandledExceptionFilter, SetUnhandledExceptionFilter, RaiseException, RtlUnwind, ExitThread, CreateThread, GetSystemTimeAsFileTime, IsDebuggerPresent, HeapAlloc, HeapFree, HeapReAlloc, GetCommandLineA, GetProcessHeap, GetStartupInfoA, HeapSize, ExitProcess, GetStdHandle, GetACP, IsValidCodePage, LCMapStringA, LCMapStringW, VirtualFree, HeapDestroy, HeapCreate, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, SetHandleCount, GetFileType, QueryPerformanceCounter, GetConsoleCP, GetConsoleMode, GetStringTypeA, GetStringTypeW, GetUserDefaultLCID, EnumSystemLocalesA, IsValidLocale, GetLocaleInfoW, SetStdHandle, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, GlobalUnlock, FormatMessageA, SetLastError, CreateFileW, WaitNamedPipeW, SetNamedPipeHandleState, WriteFile, SetWaitableTimer, GetOverlappedResult, ReadFile, GetCurrentThreadId, CreateEventW, CreateNamedPipeW, DisconnectNamedPipe, ConnectNamedPipe, lstrlenA, CompareStringA, MultiByteToWideChar, InterlockedExchange, WaitForMultipleObjects, LocalAlloc, LocalFree, CreateProcessA, GetModuleFileNameA, GetPrivateProfileIntA, GetTickCount, CopyFileA, TerminateProcess, MoveFileExA, GetVersion, VirtualAlloc, DeleteFileA, Sleep, ResetEvent, SetEvent, TerminateThread, DeleteCriticalSection, CreateEventA, InitializeCriticalSection, GetCurrentDirectoryA, GetComputerNameA, GetTempPathA, GetTempFileNameA, GetSystemDirectoryA, FindFirstFileA, FindNextFileA, FindClose, lstrcmpiA, OpenFile, GetLastError, WideCharToMultiByte, GetVersionExA, EnterCriticalSection, _lclose, LeaveCriticalSection, FindResourceA, LoadResource, LockResource, SizeofResource, CreateMutexA, GetModuleHandleA, WaitForSingleObject, GetExitCodeThread, lstrcpyA, lstrcatA, GetCurrentProcessId, OpenProcess, CloseHandle, ReadProcessMemory, WriteProcessMemory, GetCurrentProcess, LoadLibraryA, GetProcAddress, FreeLibrary, InterlockedCompareExchange
> USER32.dll: DestroyMenu, PostQuitMessage, RegisterWindowMessageA, LoadIconA, WinHelpA, GetCapture, GetClassLongA, SetPropA, GetPropA, RemovePropA, GetForegroundWindow, GetTopWindow, DestroyWindow, GetMessageTime, GetMessagePos, MapWindowPoints, SetForegroundWindow, GetClientRect, GetMenu, PostMessageA, CreateWindowExA, GetClassInfoExA, GetClassInfoA, RegisterClassA, AdjustWindowRectEx, CopyRect, DefWindowProcA, CallWindowProcA, SystemParametersInfoA, IsIconic, GetWindowPlacement, SetMenuItemBitmaps, GetMenuCheckMarkDimensions, LoadBitmapA, ModifyMenuA, EnableMenuItem, CheckMenuItem, SetWindowPos, SetWindowLongA, IsWindow, GetDlgItem, GetFocus, ClientToScreen, GetWindow, GetDlgCtrlID, GetWindowRect, GetClassNameA, PtInRect, SetWindowTextA, UnregisterClassA, SetWindowsHookExA, CallNextHookEx, GrayStringA, DrawTextExA, DispatchMessageA, PeekMessageA, ValidateRect, GetWindowTextA, LoadCursorA, GetSystemMetrics, GetDC, ReleaseDC, GetSysColor, GetSysColorBrush, UnhookWindowsHookEx, GetWindowThreadProcessId, SendMessageA, GetParent, GetWindowLongA, GetLastActivePopup, IsWindowEnabled, EnableWindow, MessageBoxA, GetMenuState, GetMenuItemID, GetMenuItemCount, GetSubMenu, wsprintfA, DrawTextA, TabbedTextOutA, GetKeyState
> GDI32.dll: TextOutA, ExtTextOutA, Escape, SelectObject, SetViewportOrgEx, OffsetViewportOrgEx, SetViewportExtEx, ScaleViewportExtEx, SetWindowExtEx, ScaleWindowExtEx, RectVisible, DeleteDC, GetStockObject, PtVisible, DeleteObject, GetDeviceCaps, SetMapMode, RestoreDC, SaveDC, SetBkColor, SetTextColor, GetClipBox, CreateBitmap
> WINSPOOL.DRV: OpenPrinterA, DocumentPropertiesA, ClosePrinter
> OLEAUT32.dll: -, -, -

( 61 exports ) 
__0TmProcessGuard@@QAE@KHH@Z, __0TmProcessGuard@@QAE@PBD0HH@Z, __0TmProcessGuard@@QAE@XZ, __0TmServiceGuard@@QAE@PBD00HH@Z, __0TmServiceGuard@@QAE@PBDKHH@Z, __0TmServiceGuard@@QAE@XZ, __1TmProcessGuard@@UAE@XZ, __1TmServiceGuard@@UAE@XZ, __4TmProcessGuard@@QAEXAAV0@@Z, __4TmServiceGuard@@QAEXAAV0@@Z, ___7TmProcessGuard@@6B@, ___7TmServiceGuard@@6B@, _BackupService@TmServiceGuard@@IAEXXZ, _CheckProcess@TmProcessGuard@@QAE_NAAVCStringArray@@@Z, _GetGuardInfo@TmProcessGuard@@QBEXAAKAAV_$CStringT@DV_$StrTraitMFC@DV_$ChTraitsCRT@D@ATL@@@@@ATL@@1AAH2@Z, _GetService@TmServiceGuard@@QAE_AV_$CStringT@DV_$StrTraitMFC@DV_$ChTraitsCRT@D@ATL@@@@@ATL@@XZ, _IsIPChanged@@YA_NPBDPADH@Z, _IsMonitor@TmProcessGuard@@IBE_NXZ, _IsNTPlatform@@YA_NXZ, _IsProcessAlive@TmProcessGuard@@MAE_NXZ, _IsProcessAlive@TmServiceGuard@@MAE_NXZ, _IsRetryNow@TmProcessGuard@@IBE_NXZ, _IsTheSame@TmProcessGuard@@QBE_NABV_$CStringT@DV_$StrTraitMFC@DV_$ChTraitsCRT@D@ATL@@@@@ATL@@0@Z, _IsTheSame@TmProcessGuard@@QBE_NK@Z, _IsTheSame@TmProcessGuard@@QBE_NPBV1@@Z, _IsValidProcess@TmProcessGuard@@QBE_NXZ, _QueryAllLog@TmProcessGuard@@QBEXAAVCStringArray@@@Z, _RegWatchDog_Ofc@@YA_NXZ, _RegWatchDog_Ofc_95@@YA_NXZ, _RegWatchDog_Ofc_NTRT@@YA_NXZ, _RegWatchDog_Ofc_PCCNTMON@@YA_NXZ, _RegWatchDog_Ofc_TMLISTEN@@YA_NXZ, _RegWatchDog_Ofc_TMPROXY@@YA_NXZ, _ResetMonitor@TmProcessGuard@@IAEXXZ, _ResetRetryCount@TmProcessGuard@@QAEXXZ, _ResetRetryTick@TmProcessGuard@@QAEXXZ, _ResetRetryVar@TmProcessGuard@@QAEXXZ, _RetryWakeupProcess@TmProcessGuard@@MAE_NXZ, _RetryWakeupProcess@TmServiceGuard@@MAE_NXZ, _SetMonitor@TmProcessGuard@@IAEXXZ, _SetProcessID@TmProcessGuard@@QAEXK@Z, _SetRetryCountLimit@TmProcessGuard@@QAEXH@Z, _SetRetryTickLimit@TmProcessGuard@@QAEXH@Z, _StepMonitor@TmProcessGuard@@IAEXXZ, _StepRetry@TmProcessGuard@@IAEXXZ, _UnRegWatchDog_Ofc@@YA_NXZ, _UnRegWatchDog_Ofc_95@@YA_NXZ, _UnRegWatchDog_Ofc_NTRT@@YA_NXZ, _UnRegWatchDog_Ofc_PCCNTMON@@YA_NXZ, _UnRegWatchDog_Ofc_TMLISTEN@@YA_NXZ, _UnRegWatchDog_Ofc_TMPROXY@@YA_NXZ, C_IsIPChanged, C_OfcDogLockFiles, C_RegWatchDog_Ofc, C_RegWatchDog_Ofc_PCCNTMON, C_RegWatchDog_Ofc_TMLISTEN, C_RegWatchDog_Ofc_TMPROXY, C_UnRegWatchDog_Ofc, C_UnRegWatchDog_Ofc_PCCNTMON, C_UnRegWatchDog_Ofc_TMLISTEN, C_UnRegWatchDog_Ofc_TMPROXY

Lyonnais92 · Answer

Re,

on commence par ça :

======================================== 
->Affiche tous les fichiers et dossiers : 
clique sur démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage 

[Coche] « afficher les dossiers et fichiers cachés » 

[Décoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) » 

[Décoche] « masquer les extensions dont le type est connu » 

Puis fais [appliquer] pour valider les changements. 

Et [Ok] 
======================================== 


Ensuite,

via l'explorateur Windows, tu cherches C:\WINDOWS\TEMP\NREE8B.EXE 

et tu me donnes la date de création (et la adte de dernière modification)

( au passage, un fichier qui change de nom et qui n'st détecté que par un AV, il y a un souci).


Tu cherches aussi c:\windows\system32\drivers	ossmbnt.sys et tu me donnes date de création et de modification.


Ensuite,

ouvre ce lien : http://secubox.gateweb.org/mad.php

tu cliques sur parcourir et tu cherches C:\WINDOWS\TEMP\NREE8B.EXE 

Dans la zone de message tu mets 

A la demande de Lyonnais92.

Le nom change à chaque reboot

Très mal connu des AV :

http://www.commentcamarche.net/forum/affich 7520752 n est pas une application win32 valide?page=2#21

Soumis directement sur ThreatExpert.

Et tu cliques sur envoyer. Ne cheche pas à t'inscrire. Je suivrai ce qui va se passer.


J'aimerai aussi que tu fasses ça (c'est la première fois que je le afis faire) :

tu ouvres ce lien :

https://www.broadcom.com/

Tu cliques sur Parcourir et tu cherches  C:\WINDOWS\TEMP\NREE8B.EXE 

Tu donnes ton email (le site est sûr).

Tu acceptes les conditions et tu soumets.

Tu notes ce qui se passe ensuite (car je ne sais pas ce qui va se passer).

Je ne sais pas vraiment de quel malware il s'agit. J'aimerai bien savoir ce qu'il fait. D'où la demande de le soumettre sur Threat Expert.

Tu me tiens au courant.

On supprime tout ça ce soir.

Lasto97 · Answer

Donc, C:\WINDOWS\TEMP\NREE8B.EXE a été créé le mercredi 23 juillet 2008, 14:42:39
Et a été modifié  le mardi 8 mai 2007, 00:43:40. Et je ne me trompe pas dans ce que j'écris.

TOSSMBNT.sys a été créé le lundi 22 décembre 2003, 05:37:30
et modifié le samedi 6 avril 2002, 14:50:56

Je suis allé sur le site  http://secubox.gateweb.org/mad.php et pendant que je cherche le fichier à analyser, je m'apperçois qu'il n'est plus là. L'icone en petit chien est toujours là, mais le nom a changé. Il s'appelle maintenant GQD1F.EXE, alors que pendant que je donnais la date de création et tout ça c'est l'ancien nom que j'avais (à moins que je n'aie pas réellement fait attention au nom, reagrdant juste l'icône).
Je lance quand même l'analyse pour GQD1F.EXE

Meme chose pour https://www.broadcom.com/ , je fais l'analyse de GQD1F.EXE

Bon là j'attends le mail qu'ils doivent m'envoyer.

Lasto97 · Answer

C'est bon. J'ai reçu un lien où se trouve le résultat. C'est https://www.symantec.com?md5=481359bdfb169f2bf1059669e1d518d7

J'ai aussi reçu la même chose en zip. J'ai dézipé et j'ai un fichier report.mhtml.
Ca correspond à ce que j'ai dans le lien que je t'ai donné.

Lyonnais92 · Answer

Re,

alors on essaye de traiter.

Copie ou imprime les instructions avant

Déconnecte toi d'internet et ferme toutes tes applications.

Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

Driver::
tossmbnt

File::
C:\WINDOWS\TEMP\GQD1F.EXE
c:\windows\system32\drivers	ossmbnt.sys
  
 
 


Enregistre ce fichier sous le nom CFscript


Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe

Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Réactive ton parefeu, ton antivirus, la garde de ton antispyware

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Remets aussi un rapport Hijackthis


Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.

Lasto97 · Answer

Quand tu dis ComboFix.exe tu veux dire "nonabagle" ?

Lyonnais92 · Answer

Re,

oui, puisque on l'a renommé comme ça.

Avant, réinstalle proprement ton antivirus.

tossmbnt est bien infectieux.

Pour le fichier temp, j'avais rencontré ça mais j'avais oublié. C'est un fichier dropper de ton antivirus pour contrer certains malwares dont bagle. Les 2 fichiers (et les clés) mentionnés par le rapport de Threat Expert sont des fichiers de l'antivirus.

Lasto97 · Answer

Donc j'ai fait tout ce que tu m'as dit. Voici le rapport ComboFix ComboFix 08-07-21.1 - Administrateur 2008-07-23 17:20:59.3 - NTFSx86 Endroit: C:\Documents and Settings\Administrateur\Bureau\nonabagle.exe Command switches used :: C:\Documents and Settings\Administrateur\Bureau\CFscript.txt * Création d'un nouveau point de restauration [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] FILE :: c:\windows\system32\drivers\tossmbnt.sys C:\WINDOWS\TEMP\GQD1F.EXE . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\system32\drivers\tossmbnt.sys . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_TOSSMBNT -------\Service_tossmbnt ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-06-23 to 2008-07-23 )))))))))))))))))))))))))))))))))))) . 2008-07-23 15:04 . 2008-07-23 15:04 d-------- C:\Program Files\Windows Live 2008-07-22 08:04 . 2008-07-22 08:04 d-------- C:\Deckard 2008-07-21 13:33 . 2008-07-21 13:55 d-------- C:\Program Files\RegistryQuick 2008-07-17 17:25 . 2008-07-17 17:28 d-------- C:\Combo-Fix 2008-06-25 16:59 . 2008-06-25 16:59 d-------- C:\Program Files\Microsoft CAPICOM 2.1.0.2 . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-07-23 19:04 --------- d-----w C:\DOCUME~1\ALLUSE~1\APPLIC~1\WLInstaller 2008-07-22 12:01 --------- d-----w C:\Program Files\Trend Micro 2008-07-17 04:04 --------- d-----w C:\Program Files\Microsoft Works 2008-07-16 01:14 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\MSN6 2008-06-30 15:04 --------- d-----w C:\Program Files\Bac_v7 2008-06-21 17:55 --------- dcsh--w C:\Program Files\Fichiers communs\WindowsLiveInstaller 2008-06-14 17:59 272,768 ------w C:\WINDOWS\system32\drivers\bthport.sys 2008-06-02 20:39 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll 2008-06-02 20:39 --------- d--h--r C:\Documents and Settings\Administrateur\Application Data\SecuROM 2008-06-02 20:29 --------- d-----w C:\Program Files\Fichiers communs\MainConcept 2008-06-02 20:28 --------- d-----w C:\Program Files\Micro Application 2008-05-31 15:21 --------- d-----w C:\Program Files\OrgangeFrance 2008-05-07 05:15 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll 2008-04-23 04:16 826,368 ----a-w C:\WINDOWS\system32\wininet.dll . ((((((((((((((((((((((((((((( snapshot@2008-07-17_16.44.52.12 ))))))))))))))))))))))))))))))))))))))))) . + 2005-10-21 00:02:28 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE - 2008-06-03 13:59:49 63,522 ----a-w C:\WINDOWS\system32\perfc009.dat + 2008-07-17 22:03:51 63,522 ----a-w C:\WINDOWS\system32\perfc009.dat - 2008-06-03 13:59:49 76,582 ----a-w C:\WINDOWS\system32\perfc00C.dat + 2008-07-17 22:03:51 76,582 ----a-w C:\WINDOWS\system32\perfc00C.dat - 2008-06-03 13:59:49 404,302 ----a-w C:\WINDOWS\system32\perfh009.dat + 2008-07-17 22:03:51 404,302 ----a-w C:\WINDOWS\system32\perfh009.dat - 2008-06-03 13:59:49 471,484 ----a-w C:\WINDOWS\system32\perfh00C.dat + 2008-07-17 22:03:51 471,484 ----a-w C:\WINDOWS\system32\perfh00C.dat + 2007-05-08 04:43:40 300,656 ----a-w C:\WINDOWS\Temp\KD2A52.EXE + 2008-07-23 21:35:38 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_178.dat . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 19:09 15360] "TOSCDSPD"="C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe" [2003-09-15 12:19 65536] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IgfxTray"="C:\WINDOWS\System32\igfxtray.exe" [2003-04-06 20:19 155648] "HotKeysCmds"="C:\WINDOWS\System32\hkcmd.exe" [2003-04-06 20:07 114688] "00THotkey"="C:\WINDOWS\System32\[u]0[/u]0THotkey.exe" [2003-05-23 09:20 253952] "Apoint"="C:\Program Files\Apoint2K\Apoint.exe" [2003-07-17 13:38 159744] "TouchED"="C:\Program Files\TOSHIBA\TouchED\TouchED.Exe" [2003-03-11 08:58 122880] "PadTouch"="C:\Program Files\TOSHIBA\PadTouch\PadExe.exe" [2003-11-24 06:51 1019904] "ezShieldProtector for Px"="C:\WINDOWS\System32\ezSP_Px.exe" [2002-08-20 06:29 40960] "DkAutoReg.exe"="C:\Program Files\Rainbow Technologies\iKey 2000 Series Software\DkAutoReg.exe" [2002-07-24 20:09 241664] "DkStartup"="C:\Program Files\Rainbow Technologies\iKey 2000 Series Software\DkStartup.exe" [2002-07-24 20:12 217088] "OfficeScanNT Monitor"="C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" [2007-05-08 00:43 702072] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43 83608] "000StTHK"="000StTHK.exe" [2001-06-23 15:28 24576 C:\WINDOWS\system32\[u]0[/u]00StTHK.exe] "LTSMMSG"="LTSMMSG.exe" [2003-04-18 06:06 32768 C:\WINDOWS\ltsmmsg.exe] "TFNF5"="TFNF5.exe" [2003-10-15 12:03 73728 C:\WINDOWS\system32\TFNF5.exe] "TPSMain"="TPSMain.exe" [2003-12-01 07:09 266240 C:\WINDOWS\system32\TPSMain.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 19:09 15360] C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\DMARRA~1\ Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26 29696] Orange Caraibes.lnk - C:\Program Files\OrgangeFrance\Orange Caraibes\Orange Caraibes.exe [2008-01-14 14:01:50 872448] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.mpg4"= C:\WINDOWS\mpg4c32.dll "vidc.mpg2"= C:\WINDOWS\mpg4c32.dll "vidc.mpg3"= C:\WINDOWS\mpg4c32.dll "vidc.GEOX"= C:\WINDOWS\system32\GeoCodec.dll [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide de Microsoft Office OneNote 2003.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide de Microsoft Office OneNote 2003.lnk backup=C:\WINDOWS\pss\Lancement rapide de Microsoft Office OneNote 2003.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Drag'n Drop CD+DVD] --------- 2003-08-08 18:54 1175552 C:\Program Files\Drag'n Drop CD+DVD\BinFiles\DragDrop.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "C:\Program Files\Messenger\msmsgs.exe"= R3 GT72NDISIPXP;GT 72 IP NDIS;C:\WINDOWS\system32\DRIVERS\Gt51Ip.sys [2007-07-09 14:17] R3 GT72UBUS;GT 72 U BUS;C:\WINDOWS\system32\DRIVERS\gt72ubus.sys [2007-06-26 13:38] R3 GTPTSER;GT PT SER;C:\WINDOWS\system32\DRIVERS\gtptser.sys [2007-03-30 13:38] R3 iKeyEnum;Rainbow iKey Enumerator;C:\WINDOWS\system32\DRIVERS\ikeyenum.sys [2004-03-16 03:04] R3 iKeyIFD;Rainbow iKey Virtual Reader;C:\WINDOWS\system32\DRIVERS\ikeyifd.sys [2004-03-16 03:04] S3 PAMScan;PAMScan;C:\WINDOWS\System32\DRIVERS\PAMScan.SYS [2003-09-06 10:22] S3 RnbToken;Rainbow iKey Token Service;C:\WINDOWS\system32\DRIVERS\rnbtoken.sys [2004-03-16 03:04] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6c138b72-2f24-11dd-a5a2-00080ddf4fdb}] \Shell\AutoRun\command - E:\setup.exe AUTORUN=1 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{caaa0ed6-8975-11dc-a55f-00080ddf4fdb}] \Shell\AutoRun\command - RavMon.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f5cd7da8-da49-11dc-a580-00080ddf4fdb}] \Shell\AutoRun\command - RavMon.exe . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-07-23 17:30:04 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cach‚s ... Balayage cach‚ autostart entries ... Balayage des fichiers cach‚s ... Scan termin‚ avec succŠs Les fichiers cach‚s: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\WINDOWS\system32\scardsvr.exe C:\Program Files\Toshiba\ConfigFree\CFSvcs.exe C:\WINDOWS\system32\dklog.exe C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\system32\dkcktkn.exe C:\Program Files\Trend Micro\OfficeScan Client\TmPfw.exe C:\WINDOWS\Temp\KD2A52.EXE C:\WINDOWS\system32\TPSBattM.exe C:\Program Files\Apoint2K\ApntEx.exe C:\Program Files\Trend Micro\OfficeScan Client\CNTAoSMgr.exe . ************************************************************************** . Temps d'accomplissement: 2008-07-23 17:41:11 - machine was rebooted ComboFix-quarantined-files.txt 2008-07-23 21:40:56 ComboFix2.txt 2008-07-21 22:56:55 ComboFix3.txt 2008-07-17 20:46:26 Pre-Run: 26,599,055,360 octets libres Post-Run: 26,609,434,624 octets libres 151 --- E O F --- 2008-07-17 04:07:11

Lasto97 · Answer

Et voici le rapport Hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:53:18, on 23/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\System32\DkLog.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Trend Micro\OfficeScan Client
trtscan.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\OfficeScan Client	mlisten.exe
C:\WINDOWS\System32\dkcktkn.exe
C:\Program Files\Trend Micro\OfficeScan Client\TmPfw.exe
C:\WINDOWS\TEMP\KD2A52.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\00THotkey.exe
C:\WINDOWS\LTSMMSG.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
C:\Program Files\TOSHIBA\PadTouch\PadExe.exe
C:\WINDOWS\system32\TFNF5.exe
C:\WINDOWS\system32\TPSMain.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Program Files\Rainbow Technologies\iKey 2000 Series Software\DkAutoReg.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Trend Micro\OfficeScan Client\CNTAoSMgr.exe
C:\Program Files\TOSHIBA\TOSCDSPD	oscdspd.exe
C:\Program Files\OrgangeFrance\Orange Caraibes\Orange Caraibes.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32
otepad.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TouchED] C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [PadTouch] "C:\Program Files\TOSHIBA\PadTouch\PadExe.exe
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [DkAutoReg.exe] C:\Program Files\Rainbow Technologies\iKey 2000 Series Software\DkAutoReg.exe
O4 - HKLM\..\Run: [DkStartup] C:\Program Files\Rainbow Technologies\iKey 2000 Series Software\DkStartup.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD	oscdspd.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Orange Caraibes.lnk = C:\Program Files\OrgangeFrance\Orange Caraibes\Orange Caraibes.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file:///C:\Program Files\TOSHIBA\Free Update Service\splash.html
O16 - DPF: {1856D980-6604-4504-AE2E-6EEE0235FCF5} (ActiveSign.CapicomInterface) - http://www.certeurope.fr/fichiers/activesign/1.2.0.2/ActiveSign.CAB
O16 - DPF: {1DB93715-3B60-43EE-93E6-279BB3E1DF76} (OCXDownloadChecker Control) - http://213.16.24.101:8080/cab/OCXChecker_6110.cab
O16 - DPF: {DBAFE6AD-DC14-45DF-A3F7-F8832289A1CD} (DownloadFile Control) - http://213.16.24.101:8080/cab/DownloadFile_7000.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = vauclin.sud
O17 - HKLM\Software\..\Telephony: DomainName = vauclin.sud
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = vauclin.sud
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = vauclin.sud
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Datakey's Log Service (DkLogger) - Datakey, Inc. - C:\WINDOWS\System32\DkLog.exe
O23 - Service: Datakey's Token Service (DkTknSrv) - Datakey, Inc. - C:\WINDOWS\System32\dkcktkn.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client
trtscan.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: OfficeScan NT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client	mlisten.exe
O23 - Service: OfficeScan NT Firewall (TmPfw) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\TmPfw.exe
O23 - Service: OfficeScan NT Proxy Service (TmProxy) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\TmProxy.exe

Lasto97 · Answer

On dirait que mon gars est là! :)

Lyonnais92 · Answer

Bonjour,

pour le retour, cela ne me pose aucun problème depuis que je sais ce dont il s'agit.

Je vais m'occuper de RavMon. E:\ est une clé USB ? Un DD externe ?

Télécharge Flash_Disinfector de sUBs ici :

https://download.bleepingcomputer.com/sUBs/Flash_Disinfector.exe

Enregistre le sur ton Bureau.

Double clique sur Flash_Disinfector.exe pour le lancer
.
Quand le message : "Plug in yours flash drive & clic Ok to begin disinfection" apparaitra , connecte les clés USB et périphériques USB externes susceptibles d'avoir été infectés.

Puis clique sur Ok

Les icônes sur le Bureau vont disparaitre jusqu'à l'apparition du message: "Done!!"

Appuye sur "Ok", pour faire réapparaitre le Bureau

Lasto97 · Answer

Je ne sais pas. Si c'est une clé, elle n'était pas à moi. C'est une cousine qui l'avait passé a mes soeurs pour prendre des sons. Mais là on ne l'a plus. Sinon c'est peut etre la clé qui permet de se connecter a internet, le truc INTERNET EVERYWHERE.
C'est bon j'ai lancé le programme.

Lyonnais92 · Answer

Bonsoir,

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


double-clique sur combofix.exe et suis les instructions

à la fin, il va produire un rapport C:\ComboFix.txt

réactive ton parefeu, ton antivirus, la garde de ton antispyware

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

Lasto97 · Answer

ComboFix 08-07-21.1 - Administrateur 2008-07-25 16:50:14.4 - NTFSx86 Endroit: C:\Documents and Settings\Administrateur\Bureau\nonabagle.exe [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] . ((((((((((((((((((((((((((((( Fichiers créés 2008-06-25 to 2008-07-25 )))))))))))))))))))))))))))))))))))) . 2008-07-22 08:04 . 2008-07-22 08:04 d-------- C:\Deckard 2008-07-21 13:33 . 2008-07-21 13:55 d-------- C:\Program Files\RegistryQuick 2008-07-17 17:25 . 2008-07-17 17:28 d-------- C:\Combo-Fix 2008-06-25 16:59 . 2008-06-25 16:59 d-------- C:\Program Files\Microsoft CAPICOM 2.1.0.2 . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-07-23 19:04 --------- d-----w C:\DOCUME~1\ALLUSE~1\APPLIC~1\WLInstaller 2008-07-22 12:01 --------- d-----w C:\Program Files\Trend Micro 2008-07-17 04:04 --------- d-----w C:\Program Files\Microsoft Works 2008-07-16 01:14 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\MSN6 2008-06-30 15:04 --------- d-----w C:\Program Files\Bac_v7 2008-06-21 17:55 --------- dcsh--w C:\Program Files\Fichiers communs\WindowsLiveInstaller 2008-06-14 17:59 272,768 ------w C:\WINDOWS\system32\drivers\bthport.sys 2008-06-02 20:39 --------- d--h--r C:\Documents and Settings\Administrateur\Application Data\SecuROM 2008-06-02 20:29 --------- d-----w C:\Program Files\Fichiers communs\MainConcept 2008-06-02 20:28 --------- d-----w C:\Program Files\Micro Application 2008-05-31 15:21 --------- d-----w C:\Program Files\OrgangeFrance . ((((((((((((((((((((((((((((( snapshot@2008-07-17_16.44.52.12 ))))))))))))))))))))))))))))))))))))))))) . + 2005-10-21 00:02:28 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE - 2008-06-03 13:59:49 63,522 ----a-w C:\WINDOWS\system32\perfc009.dat + 2008-07-17 22:03:51 63,522 ----a-w C:\WINDOWS\system32\perfc009.dat - 2008-06-03 13:59:49 76,582 ----a-w C:\WINDOWS\system32\perfc00C.dat + 2008-07-17 22:03:51 76,582 ----a-w C:\WINDOWS\system32\perfc00C.dat - 2008-06-03 13:59:49 404,302 ----a-w C:\WINDOWS\system32\perfh009.dat + 2008-07-17 22:03:51 404,302 ----a-w C:\WINDOWS\system32\perfh009.dat - 2008-06-03 13:59:49 471,484 ----a-w C:\WINDOWS\system32\perfh00C.dat + 2008-07-17 22:03:51 471,484 ----a-w C:\WINDOWS\system32\perfh00C.dat + 2008-07-25 11:17:36 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_a3c.dat . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 19:09 15360] "TOSCDSPD"="C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe" [2003-09-15 12:19 65536] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IgfxTray"="C:\WINDOWS\System32\igfxtray.exe" [2003-04-06 20:19 155648] "HotKeysCmds"="C:\WINDOWS\System32\hkcmd.exe" [2003-04-06 20:07 114688] "00THotkey"="C:\WINDOWS\System32\[u]0[/u]0THotkey.exe" [2003-05-23 09:20 253952] "Apoint"="C:\Program Files\Apoint2K\Apoint.exe" [2003-07-17 13:38 159744] "TouchED"="C:\Program Files\TOSHIBA\TouchED\TouchED.Exe" [2003-03-11 08:58 122880] "PadTouch"="C:\Program Files\TOSHIBA\PadTouch\PadExe.exe" [2003-11-24 06:51 1019904] "ezShieldProtector for Px"="C:\WINDOWS\System32\ezSP_Px.exe" [2002-08-20 06:29 40960] "DkAutoReg.exe"="C:\Program Files\Rainbow Technologies\iKey 2000 Series Software\DkAutoReg.exe" [2002-07-24 20:09 241664] "DkStartup"="C:\Program Files\Rainbow Technologies\iKey 2000 Series Software\DkStartup.exe" [2002-07-24 20:12 217088] "OfficeScanNT Monitor"="C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" [2007-05-08 00:43 702072] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43 83608] "000StTHK"="000StTHK.exe" [2001-06-23 15:28 24576 C:\WINDOWS\system32\[u]0[/u]00StTHK.exe] "LTSMMSG"="LTSMMSG.exe" [2003-04-18 06:06 32768 C:\WINDOWS\ltsmmsg.exe] "TFNF5"="TFNF5.exe" [2003-10-15 12:03 73728 C:\WINDOWS\system32\TFNF5.exe] "TPSMain"="TPSMain.exe" [2003-12-01 07:09 266240 C:\WINDOWS\system32\TPSMain.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 19:09 15360] C:\Documents and Settings\Administrateur\Menu D‚marrer\Programmes\D‚marrage\ Lancement rapide de Microsoft Office OneNote 2003.lnk - C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE [2007-04-19 13:49:52 64864] C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\DMARRA~1\ Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26 29696] Orange Caraibes.lnk - C:\Program Files\OrgangeFrance\Orange Caraibes\Orange Caraibes.exe [2008-01-14 14:01:50 872448] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.mpg4"= C:\WINDOWS\mpg4c32.dll "vidc.mpg2"= C:\WINDOWS\mpg4c32.dll "vidc.mpg3"= C:\WINDOWS\mpg4c32.dll "vidc.GEOX"= C:\WINDOWS\system32\GeoCodec.dll [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide de Microsoft Office OneNote 2003.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide de Microsoft Office OneNote 2003.lnk backup=C:\WINDOWS\pss\Lancement rapide de Microsoft Office OneNote 2003.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Drag'n Drop CD+DVD] --------- 2003-08-08 18:54 1175552 C:\Program Files\Drag'n Drop CD+DVD\BinFiles\DragDrop.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "C:\Program Files\Messenger\msmsgs.exe"= R3 GT72NDISIPXP;GT 72 IP NDIS;C:\WINDOWS\system32\DRIVERS\Gt51Ip.sys [2007-07-09 14:17] R3 GT72UBUS;GT 72 U BUS;C:\WINDOWS\system32\DRIVERS\gt72ubus.sys [2007-06-26 13:38] R3 GTPTSER;GT PT SER;C:\WINDOWS\system32\DRIVERS\gtptser.sys [2007-03-30 13:38] R3 iKeyEnum;Rainbow iKey Enumerator;C:\WINDOWS\system32\DRIVERS\ikeyenum.sys [2004-03-16 03:04] R3 iKeyIFD;Rainbow iKey Virtual Reader;C:\WINDOWS\system32\DRIVERS\ikeyifd.sys [2004-03-16 03:04] S3 PAMScan;PAMScan;C:\WINDOWS\System32\DRIVERS\PAMScan.SYS [2003-09-06 10:22] S3 RnbToken;Rainbow iKey Token Service;C:\WINDOWS\system32\DRIVERS\rnbtoken.sys [2004-03-16 03:04] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6c138b72-2f24-11dd-a5a2-00080ddf4fdb}] \Shell\AutoRun\command - E:\setup.exe AUTORUN=1 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{caaa0ed6-8975-11dc-a55f-00080ddf4fdb}] \Shell\AutoRun\command - RavMon.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f5cd7da8-da49-11dc-a580-00080ddf4fdb}] \Shell\AutoRun\command - RavMon.exe *Newly Created Service* - CATCHME . . ------- Supplementary Scan ------- . R0 -: HKCU-Main,Start Page = hxxp://google.fr/ R1 -: HKCU-Internet Connection Wizard,ShellNext = iexplore O8 -: E&xporter vers Microsoft Excel - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O16 -: {1856D980-6604-4504-AE2E-6EEE0235FCF5} - hxxp://www.certeurope.fr/fichiers/activesign/1.2.0.2/ActiveSign.CAB C:\WINDOWS\Downloaded Program Files\ActiveSign.INF C:\WINDOWS\System32\OLEAUT32.DLL C:\WINDOWS\System32\OLEPRO32.DLL C:\WINDOWS\System32\ASYCFILT.DLL C:\WINDOWS\System32\STDOLE2.TLB C:\WINDOWS\System32\COMCAT.DLL C:\WINDOWS\System32\msvbvm60.dll C:\WINDOWS\Downloaded Program Files\ActiveSign.dll O16 -: {1DB93715-3B60-43EE-93E6-279BB3E1DF76} - hxxp://213.16.24.101:8080/cab/OCXChecker_6110.cab C:\WINDOWS\Downloaded Program Files\OCXDownloadChecker.inf C:\WINDOWS\Downloaded Program Files\OCXDownloadChecker_6110.ocx O16 -: {DBAFE6AD-DC14-45DF-A3F7-F8832289A1CD} - hxxp://213.16.24.101:8080/cab/DownloadFile_7000.cab C:\WINDOWS\Downloaded Program Files\Download.inf C:\WINDOWS\Downloaded Program Files\Download_7000.ocx ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-07-25 16:55:27 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cachés ... Balayage caché autostart entries ... Balayage des fichiers cachés ... Scan terminé avec succès Les fichiers cachés: 0 ************************************************************************** . Temps d'accomplissement: 2008-07-25 16:59:44 ComboFix-quarantined-files.txt 2008-07-25 20:59:31 ComboFix2.txt 2008-07-23 21:41:12 ComboFix3.txt 2008-07-21 22:56:55 ComboFix4.txt 2008-07-17 20:46:26 Pre-Run: 26,647,830,528 octets libres Post-Run: 26,706,935,808 octets libres 139 --- E O F --- 2008-07-17 04:07:11

Lyonnais92 · Answer

Re,

Copie ou imprime les instructions avant

Déconnecte toi d'internet et ferme toutes tes applications.

Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :


 
Registry::
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion­\explorer\mountpoints2\{6c138b72-2f24-11dd-a5a2-00080ddf4fdb­}\AutoRun\command]
@=""
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion­\explorer\mountpoints2\{caaa0ed6-8975-11dc-a55f-00080ddf4fdb­}\AutoRun\command]
@=""
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion­\explorer\mountpoints2\{f5cd7da8-da49-11dc-a580-00080ddf4fdb­}\AutoRun\command]
@=""


Enregistre ce fichier sous le nom CFscript


Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe

Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Réactive ton parefeu, ton antivirus, la garde de ton antispyware

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Remets aussi un rapport Hijackthis


Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.

Lasto97 · Answer

Merci, voici le rapport de Combofix ComboFix 08-07-21.1 - Administrateur 2008-07-25 17:34:12.5 - NTFSx86 Endroit: C:\Documents and Settings\Administrateur\Bureau\nonabagle.exe Command switches used :: C:\Documents and Settings\Administrateur\Bureau\CFscript.txt * Création d'un nouveau point de restauration [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] . ((((((((((((((((((((((((((((( Fichiers créés 2008-06-25 to 2008-07-25 )))))))))))))))))))))))))))))))))))) . 2008-07-22 08:04 . 2008-07-22 08:04 d-------- C:\Deckard 2008-07-21 13:33 . 2008-07-21 13:55 d-------- C:\Program Files\RegistryQuick 2008-07-17 17:25 . 2008-07-17 17:28 d-------- C:\Combo-Fix 2008-06-25 16:59 . 2008-06-25 16:59 d-------- C:\Program Files\Microsoft CAPICOM 2.1.0.2 . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-07-23 19:04 --------- d-----w C:\DOCUME~1\ALLUSE~1\APPLIC~1\WLInstaller 2008-07-22 12:01 --------- d-----w C:\Program Files\Trend Micro 2008-07-17 04:04 --------- d-----w C:\Program Files\Microsoft Works 2008-07-16 01:14 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\MSN6 2008-06-30 15:04 --------- d-----w C:\Program Files\Bac_v7 2008-06-21 17:55 --------- dcsh--w C:\Program Files\Fichiers communs\WindowsLiveInstaller 2008-06-14 17:59 272,768 ------w C:\WINDOWS\system32\drivers\bthport.sys 2008-06-02 20:39 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll 2008-06-02 20:39 --------- d--h--r C:\Documents and Settings\Administrateur\Application Data\SecuROM 2008-06-02 20:29 --------- d-----w C:\Program Files\Fichiers communs\MainConcept 2008-06-02 20:28 --------- d-----w C:\Program Files\Micro Application 2008-05-31 15:21 --------- d-----w C:\Program Files\OrgangeFrance 2008-05-07 05:15 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll . ((((((((((((((((((((((((((((( snapshot@2008-07-17_16.44.52.12 ))))))))))))))))))))))))))))))))))))))))) . + 2005-10-21 00:02:28 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE - 2008-06-03 13:59:49 63,522 ----a-w C:\WINDOWS\system32\perfc009.dat + 2008-07-17 22:03:51 63,522 ----a-w C:\WINDOWS\system32\perfc009.dat - 2008-06-03 13:59:49 76,582 ----a-w C:\WINDOWS\system32\perfc00C.dat + 2008-07-17 22:03:51 76,582 ----a-w C:\WINDOWS\system32\perfc00C.dat - 2008-06-03 13:59:49 404,302 ----a-w C:\WINDOWS\system32\perfh009.dat + 2008-07-17 22:03:51 404,302 ----a-w C:\WINDOWS\system32\perfh009.dat - 2008-06-03 13:59:49 471,484 ----a-w C:\WINDOWS\system32\perfh00C.dat + 2008-07-17 22:03:51 471,484 ----a-w C:\WINDOWS\system32\perfh00C.dat + 2008-07-25 11:17:36 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_a3c.dat . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 19:09 15360] "TOSCDSPD"="C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe" [2003-09-15 12:19 65536] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IgfxTray"="C:\WINDOWS\System32\igfxtray.exe" [2003-04-06 20:19 155648] "HotKeysCmds"="C:\WINDOWS\System32\hkcmd.exe" [2003-04-06 20:07 114688] "00THotkey"="C:\WINDOWS\System32\[u]0[/u]0THotkey.exe" [2003-05-23 09:20 253952] "Apoint"="C:\Program Files\Apoint2K\Apoint.exe" [2003-07-17 13:38 159744] "TouchED"="C:\Program Files\TOSHIBA\TouchED\TouchED.Exe" [2003-03-11 08:58 122880] "PadTouch"="C:\Program Files\TOSHIBA\PadTouch\PadExe.exe" [2003-11-24 06:51 1019904] "ezShieldProtector for Px"="C:\WINDOWS\System32\ezSP_Px.exe" [2002-08-20 06:29 40960] "DkAutoReg.exe"="C:\Program Files\Rainbow Technologies\iKey 2000 Series Software\DkAutoReg.exe" [2002-07-24 20:09 241664] "DkStartup"="C:\Program Files\Rainbow Technologies\iKey 2000 Series Software\DkStartup.exe" [2002-07-24 20:12 217088] "OfficeScanNT Monitor"="C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" [2007-05-08 00:43 702072] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43 83608] "000StTHK"="000StTHK.exe" [2001-06-23 15:28 24576 C:\WINDOWS\system32\[u]0[/u]00StTHK.exe] "LTSMMSG"="LTSMMSG.exe" [2003-04-18 06:06 32768 C:\WINDOWS\ltsmmsg.exe] "TFNF5"="TFNF5.exe" [2003-10-15 12:03 73728 C:\WINDOWS\system32\TFNF5.exe] "TPSMain"="TPSMain.exe" [2003-12-01 07:09 266240 C:\WINDOWS\system32\TPSMain.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 19:09 15360] C:\Documents and Settings\Administrateur\Menu D‚marrer\Programmes\D‚marrage\ Lancement rapide de Microsoft Office OneNote 2003.lnk - C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE [2007-04-19 13:49:52 64864] C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\DMARRA~1\ Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26 29696] Orange Caraibes.lnk - C:\Program Files\OrgangeFrance\Orange Caraibes\Orange Caraibes.exe [2008-01-14 14:01:50 872448] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.mpg4"= C:\WINDOWS\mpg4c32.dll "vidc.mpg2"= C:\WINDOWS\mpg4c32.dll "vidc.mpg3"= C:\WINDOWS\mpg4c32.dll "vidc.GEOX"= C:\WINDOWS\system32\GeoCodec.dll [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide de Microsoft Office OneNote 2003.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide de Microsoft Office OneNote 2003.lnk backup=C:\WINDOWS\pss\Lancement rapide de Microsoft Office OneNote 2003.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Drag'n Drop CD+DVD] --------- 2003-08-08 18:54 1175552 C:\Program Files\Drag'n Drop CD+DVD\BinFiles\DragDrop.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "C:\Program Files\Messenger\msmsgs.exe"= R3 GT72NDISIPXP;GT 72 IP NDIS;C:\WINDOWS\system32\DRIVERS\Gt51Ip.sys [2007-07-09 14:17] R3 GT72UBUS;GT 72 U BUS;C:\WINDOWS\system32\DRIVERS\gt72ubus.sys [2007-06-26 13:38] R3 GTPTSER;GT PT SER;C:\WINDOWS\system32\DRIVERS\gtptser.sys [2007-03-30 13:38] R3 iKeyEnum;Rainbow iKey Enumerator;C:\WINDOWS\system32\DRIVERS\ikeyenum.sys [2004-03-16 03:04] R3 iKeyIFD;Rainbow iKey Virtual Reader;C:\WINDOWS\system32\DRIVERS\ikeyifd.sys [2004-03-16 03:04] S3 PAMScan;PAMScan;C:\WINDOWS\System32\DRIVERS\PAMScan.SYS [2003-09-06 10:22] S3 RnbToken;Rainbow iKey Token Service;C:\WINDOWS\system32\DRIVERS\rnbtoken.sys [2004-03-16 03:04] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6c138b72-2f24-11dd-a5a2-00080ddf4fdb}] \Shell\AutoRun\command - E:\setup.exe AUTORUN=1 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{caaa0ed6-8975-11dc-a55f-00080ddf4fdb}] \Shell\AutoRun\command - RavMon.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f5cd7da8-da49-11dc-a580-00080ddf4fdb}] \Shell\AutoRun\command - RavMon.exe *Newly Created Service* - CATCHME . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-07-25 17:37:35 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cachés ... Balayage caché autostart entries ... Balayage des fichiers cachés ... Scan terminé avec succès Les fichiers cachés: 0 ************************************************************************** . Temps d'accomplissement: 2008-07-25 17:40:55 ComboFix-quarantined-files.txt 2008-07-25 21:40:43 ComboFix2.txt 2008-07-25 20:59:46 ComboFix3.txt 2008-07-23 21:41:12 ComboFix4.txt 2008-07-21 22:56:55 ComboFix5.txt 2008-07-25 21:32:52 Pre-Run: 26,681,888,768 octets libres Post-Run: 26,682,986,496 octets libres 123 --- E O F --- 2008-07-17 04:07:11

Lasto97 · Answer

Et voici celui de HIjacktihs

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:46:13, on 25/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\System32\DkLog.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Trend Micro\OfficeScan Client
trtscan.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\OfficeScan Client	mlisten.exe
C:\WINDOWS\System32\dkcktkn.exe
C:\Program Files\Trend Micro\OfficeScan Client\TmPfw.exe
C:\Program Files\Trend Micro\OfficeScan Client\CNTAoSMgr.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\00THotkey.exe
C:\WINDOWS\LTSMMSG.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
C:\Program Files\TOSHIBA\PadTouch\PadExe.exe
C:\WINDOWS\system32\TFNF5.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\TOSHIBA\TOSCDSPD	oscdspd.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\OrgangeFrance\Orange Caraibes\Orange Caraibes.exe
C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TouchED] C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [PadTouch] "C:\Program Files\TOSHIBA\PadTouch\PadExe.exe
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [DkAutoReg.exe] C:\Program Files\Rainbow Technologies\iKey 2000 Series Software\DkAutoReg.exe
O4 - HKLM\..\Run: [DkStartup] C:\Program Files\Rainbow Technologies\iKey 2000 Series Software\DkStartup.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD	oscdspd.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-21-236484741-1526085705-1231754661-500\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-21-758272587-884759815-925700815-1018\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-21-758272587-884759815-925700815-1071\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-21-758272587-884759815-925700815-1114\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Lancement rapide de Microsoft Office OneNote 2003.lnk = C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Orange Caraibes.lnk = C:\Program Files\OrgangeFrance\Orange Caraibes\Orange Caraibes.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file:///C:\Program Files\TOSHIBA\Free Update Service\splash.html
O16 - DPF: {1856D980-6604-4504-AE2E-6EEE0235FCF5} (ActiveSign.CapicomInterface) - http://www.certeurope.fr/fichiers/activesign/1.2.0.2/ActiveSign.CAB
O16 - DPF: {1DB93715-3B60-43EE-93E6-279BB3E1DF76} (OCXDownloadChecker Control) - http://213.16.24.101:8080/cab/OCXChecker_6110.cab
O16 - DPF: {DBAFE6AD-DC14-45DF-A3F7-F8832289A1CD} (DownloadFile Control) - http://213.16.24.101:8080/cab/DownloadFile_7000.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = vauclin.sud
O17 - HKLM\Software\..\Telephony: DomainName = vauclin.sud
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = vauclin.sud
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = vauclin.sud
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Datakey's Log Service (DkLogger) - Datakey, Inc. - C:\WINDOWS\System32\DkLog.exe
O23 - Service: Datakey's Token Service (DkTknSrv) - Datakey, Inc. - C:\WINDOWS\System32\dkcktkn.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client
trtscan.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: OfficeScan NT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client	mlisten.exe
O23 - Service: OfficeScan NT Firewall (TmPfw) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\TmPfw.exe
O23 - Service: OfficeScan NT Proxy Service (TmProxy) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\TmProxy.exe

Lyonnais92 · Answer

Re,

ça n'a pas marché par ma faute.

Recommence avec ces lignes :

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion­\explorer\mountpoints2\{6c138b72-2f24-11dd-a5a2-00080ddf4fdb­}\Shell\AutoRun\command]
@=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion­\explorer\mountpoints2\{caaa0ed6-8975-11dc-a55f-00080ddf4fdb­}\Shell\AutoRun\command]
@=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion­\explorer\mountpoints2\{f5cd7da8-da49-11dc-a580-00080ddf4fdb­}\Shell\AutoRun\command]
@=""

(attention à bien respecter les consignes par rapport à Internet et aux programmes de sécurité).

Lasto97 · Answer

Voici le rapport Combofix ComboFix 08-07-21.1 - Administrateur 2008-07-25 17:58:08.6 - NTFSx86 Endroit: C:\Documents and Settings\Administrateur\Bureau\nonabagle.exe Command switches used :: C:\Documents and Settings\Administrateur\Bureau\CFscript.txt * Création d'un nouveau point de restauration [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] . ((((((((((((((((((((((((((((( Fichiers créés 2008-06-25 to 2008-07-25 )))))))))))))))))))))))))))))))))))) . 2008-07-22 08:04 . 2008-07-22 08:04 d-------- C:\Deckard 2008-07-21 13:33 . 2008-07-21 13:55 d-------- C:\Program Files\RegistryQuick 2008-07-17 17:25 . 2008-07-17 17:28 d-------- C:\Combo-Fix 2008-06-25 16:59 . 2008-06-25 16:59 d-------- C:\Program Files\Microsoft CAPICOM 2.1.0.2 . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-07-23 19:04 --------- d-----w C:\DOCUME~1\ALLUSE~1\APPLIC~1\WLInstaller 2008-07-22 12:01 --------- d-----w C:\Program Files\Trend Micro 2008-07-17 04:04 --------- d-----w C:\Program Files\Microsoft Works 2008-07-16 01:14 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\MSN6 2008-06-30 15:04 --------- d-----w C:\Program Files\Bac_v7 2008-06-21 17:55 --------- dcsh--w C:\Program Files\Fichiers communs\WindowsLiveInstaller 2008-06-14 17:59 272,768 ------w C:\WINDOWS\system32\drivers\bthport.sys 2008-06-02 20:39 --------- d--h--r C:\Documents and Settings\Administrateur\Application Data\SecuROM 2008-06-02 20:29 --------- d-----w C:\Program Files\Fichiers communs\MainConcept 2008-06-02 20:28 --------- d-----w C:\Program Files\Micro Application 2008-05-31 15:21 --------- d-----w C:\Program Files\OrgangeFrance . ((((((((((((((((((((((((((((( snapshot@2008-07-17_16.44.52.12 ))))))))))))))))))))))))))))))))))))))))) . + 2005-10-21 00:02:28 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE - 2008-06-03 13:59:49 63,522 ----a-w C:\WINDOWS\system32\perfc009.dat + 2008-07-17 22:03:51 63,522 ----a-w C:\WINDOWS\system32\perfc009.dat - 2008-06-03 13:59:49 76,582 ----a-w C:\WINDOWS\system32\perfc00C.dat + 2008-07-17 22:03:51 76,582 ----a-w C:\WINDOWS\system32\perfc00C.dat - 2008-06-03 13:59:49 404,302 ----a-w C:\WINDOWS\system32\perfh009.dat + 2008-07-17 22:03:51 404,302 ----a-w C:\WINDOWS\system32\perfh009.dat - 2008-06-03 13:59:49 471,484 ----a-w C:\WINDOWS\system32\perfh00C.dat + 2008-07-17 22:03:51 471,484 ----a-w C:\WINDOWS\system32\perfh00C.dat + 2008-07-25 11:17:36 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_a3c.dat . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 19:09 15360] "TOSCDSPD"="C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe" [2003-09-15 12:19 65536] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IgfxTray"="C:\WINDOWS\System32\igfxtray.exe" [2003-04-06 20:19 155648] "HotKeysCmds"="C:\WINDOWS\System32\hkcmd.exe" [2003-04-06 20:07 114688] "00THotkey"="C:\WINDOWS\System32\[u]0[/u]0THotkey.exe" [2003-05-23 09:20 253952] "Apoint"="C:\Program Files\Apoint2K\Apoint.exe" [2003-07-17 13:38 159744] "TouchED"="C:\Program Files\TOSHIBA\TouchED\TouchED.Exe" [2003-03-11 08:58 122880] "PadTouch"="C:\Program Files\TOSHIBA\PadTouch\PadExe.exe" [2003-11-24 06:51 1019904] "ezShieldProtector for Px"="C:\WINDOWS\System32\ezSP_Px.exe" [2002-08-20 06:29 40960] "DkAutoReg.exe"="C:\Program Files\Rainbow Technologies\iKey 2000 Series Software\DkAutoReg.exe" [2002-07-24 20:09 241664] "DkStartup"="C:\Program Files\Rainbow Technologies\iKey 2000 Series Software\DkStartup.exe" [2002-07-24 20:12 217088] "OfficeScanNT Monitor"="C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" [2007-05-08 00:43 702072] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43 83608] "000StTHK"="000StTHK.exe" [2001-06-23 15:28 24576 C:\WINDOWS\system32\[u]0[/u]00StTHK.exe] "LTSMMSG"="LTSMMSG.exe" [2003-04-18 06:06 32768 C:\WINDOWS\ltsmmsg.exe] "TFNF5"="TFNF5.exe" [2003-10-15 12:03 73728 C:\WINDOWS\system32\TFNF5.exe] "TPSMain"="TPSMain.exe" [2003-12-01 07:09 266240 C:\WINDOWS\system32\TPSMain.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 19:09 15360] C:\Documents and Settings\Administrateur\Menu D‚marrer\Programmes\D‚marrage\ Lancement rapide de Microsoft Office OneNote 2003.lnk - C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE [2007-04-19 13:49:52 64864] C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\DMARRA~1\ Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26 29696] Orange Caraibes.lnk - C:\Program Files\OrgangeFrance\Orange Caraibes\Orange Caraibes.exe [2008-01-14 14:01:50 872448] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.mpg4"= C:\WINDOWS\mpg4c32.dll "vidc.mpg2"= C:\WINDOWS\mpg4c32.dll "vidc.mpg3"= C:\WINDOWS\mpg4c32.dll "vidc.GEOX"= C:\WINDOWS\system32\GeoCodec.dll [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide de Microsoft Office OneNote 2003.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide de Microsoft Office OneNote 2003.lnk backup=C:\WINDOWS\pss\Lancement rapide de Microsoft Office OneNote 2003.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Drag'n Drop CD+DVD] --------- 2003-08-08 18:54 1175552 C:\Program Files\Drag'n Drop CD+DVD\BinFiles\DragDrop.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "C:\Program Files\Messenger\msmsgs.exe"= R3 GT72NDISIPXP;GT 72 IP NDIS;C:\WINDOWS\system32\DRIVERS\Gt51Ip.sys [2007-07-09 14:17] R3 GT72UBUS;GT 72 U BUS;C:\WINDOWS\system32\DRIVERS\gt72ubus.sys [2007-06-26 13:38] R3 GTPTSER;GT PT SER;C:\WINDOWS\system32\DRIVERS\gtptser.sys [2007-03-30 13:38] R3 iKeyEnum;Rainbow iKey Enumerator;C:\WINDOWS\system32\DRIVERS\ikeyenum.sys [2004-03-16 03:04] R3 iKeyIFD;Rainbow iKey Virtual Reader;C:\WINDOWS\system32\DRIVERS\ikeyifd.sys [2004-03-16 03:04] S3 PAMScan;PAMScan;C:\WINDOWS\System32\DRIVERS\PAMScan.SYS [2003-09-06 10:22] S3 RnbToken;Rainbow iKey Token Service;C:\WINDOWS\system32\DRIVERS\rnbtoken.sys [2004-03-16 03:04] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6c138b72-2f24-11dd-a5a2-00080ddf4fdb}] \Shell\AutoRun\command - E:\setup.exe AUTORUN=1 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{caaa0ed6-8975-11dc-a55f-00080ddf4fdb}] \Shell\AutoRun\command - RavMon.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f5cd7da8-da49-11dc-a580-00080ddf4fdb}] \Shell\AutoRun\command - RavMon.exe *Newly Created Service* - CATCHME . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-07-25 18:01:33 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cachés ... C:\WINDOWS\explorer.exe [556] 0xFF645220 Balayage caché autostart entries ... Balayage des fichiers cachés ... Scan terminé avec succès Les fichiers cachés: 0 ************************************************************************** . Temps d'accomplissement: 2008-07-25 18:05:13 ComboFix-quarantined-files.txt 2008-07-25 22:05:03 ComboFix2.txt 2008-07-25 21:40:56 ComboFix3.txt 2008-07-25 20:59:46 ComboFix4.txt 2008-07-23 21:41:12 ComboFix5.txt 2008-07-25 21:56:40 Pre-Run: 26,655,698,944 octets libres Post-Run: 26,658,897,920 octets libres 122 --- E O F --- 2008-07-17 04:07:11

Lasto97 · Answer

Et le rapport Hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:07:19, on 25/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\System32\DkLog.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Trend Micro\OfficeScan Client
trtscan.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\OfficeScan Client	mlisten.exe
C:\WINDOWS\System32\dkcktkn.exe
C:\Program Files\Trend Micro\OfficeScan Client\TmPfw.exe
C:\Program Files\Trend Micro\OfficeScan Client\CNTAoSMgr.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\00THotkey.exe
C:\WINDOWS\LTSMMSG.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
C:\Program Files\TOSHIBA\PadTouch\PadExe.exe
C:\WINDOWS\system32\TFNF5.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\TOSHIBA\TOSCDSPD	oscdspd.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\OrgangeFrance\Orange Caraibes\Orange Caraibes.exe
C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32
otepad.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TouchED] C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [PadTouch] "C:\Program Files\TOSHIBA\PadTouch\PadExe.exe
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [DkAutoReg.exe] C:\Program Files\Rainbow Technologies\iKey 2000 Series Software\DkAutoReg.exe
O4 - HKLM\..\Run: [DkStartup] C:\Program Files\Rainbow Technologies\iKey 2000 Series Software\DkStartup.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD	oscdspd.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-21-236484741-1526085705-1231754661-500\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-21-758272587-884759815-925700815-1018\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-21-758272587-884759815-925700815-1071\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-21-758272587-884759815-925700815-1114\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Lancement rapide de Microsoft Office OneNote 2003.lnk = C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Orange Caraibes.lnk = C:\Program Files\OrgangeFrance\Orange Caraibes\Orange Caraibes.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file:///C:\Program Files\TOSHIBA\Free Update Service\splash.html
O16 - DPF: {1856D980-6604-4504-AE2E-6EEE0235FCF5} (ActiveSign.CapicomInterface) - http://www.certeurope.fr/fichiers/activesign/1.2.0.2/ActiveSign.CAB
O16 - DPF: {1DB93715-3B60-43EE-93E6-279BB3E1DF76} (OCXDownloadChecker Control) - http://213.16.24.101:8080/cab/OCXChecker_6110.cab
O16 - DPF: {DBAFE6AD-DC14-45DF-A3F7-F8832289A1CD} (DownloadFile Control) - http://213.16.24.101:8080/cab/DownloadFile_7000.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = vauclin.sud
O17 - HKLM\Software\..\Telephony: DomainName = vauclin.sud
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = vauclin.sud
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = vauclin.sud
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Datakey's Log Service (DkLogger) - Datakey, Inc. - C:\WINDOWS\System32\DkLog.exe
O23 - Service: Datakey's Token Service (DkTknSrv) - Datakey, Inc. - C:\WINDOWS\System32\dkcktkn.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client
trtscan.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: OfficeScan NT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client	mlisten.exe
O23 - Service: OfficeScan NT Firewall (TmPfw) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\TmPfw.exe
O23 - Service: OfficeScan NT Proxy Service (TmProxy) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\TmProxy.exe

Lyonnais92 · Answer

Re,

alors comme ça :

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion­\explorer\mountpoints2\{6c138b72-2f24-11dd-a5a2-00080ddf4fdb­}]


[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion­\explorer\mountpoints2\{caaa0ed6-8975-11dc-a55f-00080ddf4fdb­}]


[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion­\explorer\mountpoints2\{f5cd7da8-da49-11dc-a580-00080ddf4fdb­}]



Inutile de mettre le rapport Hijackthis.

Lasto97 · Answer

ComboFix 08-07-21.1 - Administrateur 2008-07-25 18:58:05.7 - NTFSx86 Endroit: C:\Documents and Settings\Administrateur\Bureau\nonabagle.exe Command switches used :: C:\Documents and Settings\Administrateur\Bureau\CFscript.txt * Création d'un nouveau point de restauration [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] . ((((((((((((((((((((((((((((( Fichiers créés 2008-06-25 to 2008-07-25 )))))))))))))))))))))))))))))))))))) . 2008-07-22 08:04 . 2008-07-22 08:04 d-------- C:\Deckard 2008-07-21 13:33 . 2008-07-21 13:55 d-------- C:\Program Files\RegistryQuick 2008-07-17 17:25 . 2008-07-17 17:28 d-------- C:\Combo-Fix 2008-06-25 16:59 . 2008-06-25 16:59 d-------- C:\Program Files\Microsoft CAPICOM 2.1.0.2 . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-07-23 19:04 --------- d-----w C:\DOCUME~1\ALLUSE~1\APPLIC~1\WLInstaller 2008-07-22 12:01 --------- d-----w C:\Program Files\Trend Micro 2008-07-17 04:04 --------- d-----w C:\Program Files\Microsoft Works 2008-07-16 01:14 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\MSN6 2008-06-30 15:04 --------- d-----w C:\Program Files\Bac_v7 2008-06-21 17:55 --------- dcsh--w C:\Program Files\Fichiers communs\WindowsLiveInstaller 2008-06-14 17:59 272,768 ------w C:\WINDOWS\system32\drivers\bthport.sys 2008-06-02 20:39 --------- d--h--r C:\Documents and Settings\Administrateur\Application Data\SecuROM 2008-06-02 20:29 --------- d-----w C:\Program Files\Fichiers communs\MainConcept 2008-06-02 20:28 --------- d-----w C:\Program Files\Micro Application 2008-05-31 15:21 --------- d-----w C:\Program Files\OrgangeFrance . ((((((((((((((((((((((((((((( snapshot@2008-07-17_16.44.52.12 ))))))))))))))))))))))))))))))))))))))))) . + 2005-10-21 00:02:28 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE - 2008-06-03 13:59:49 63,522 ----a-w C:\WINDOWS\system32\perfc009.dat + 2008-07-17 22:03:51 63,522 ----a-w C:\WINDOWS\system32\perfc009.dat - 2008-06-03 13:59:49 76,582 ----a-w C:\WINDOWS\system32\perfc00C.dat + 2008-07-17 22:03:51 76,582 ----a-w C:\WINDOWS\system32\perfc00C.dat - 2008-06-03 13:59:49 404,302 ----a-w C:\WINDOWS\system32\perfh009.dat + 2008-07-17 22:03:51 404,302 ----a-w C:\WINDOWS\system32\perfh009.dat - 2008-06-03 13:59:49 471,484 ----a-w C:\WINDOWS\system32\perfh00C.dat + 2008-07-17 22:03:51 471,484 ----a-w C:\WINDOWS\system32\perfh00C.dat + 2008-07-25 11:17:36 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_a3c.dat . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 19:09 15360] "TOSCDSPD"="C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe" [2003-09-15 12:19 65536] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IgfxTray"="C:\WINDOWS\System32\igfxtray.exe" [2003-04-06 20:19 155648] "HotKeysCmds"="C:\WINDOWS\System32\hkcmd.exe" [2003-04-06 20:07 114688] "00THotkey"="C:\WINDOWS\System32\[u]0[/u]0THotkey.exe" [2003-05-23 09:20 253952] "Apoint"="C:\Program Files\Apoint2K\Apoint.exe" [2003-07-17 13:38 159744] "TouchED"="C:\Program Files\TOSHIBA\TouchED\TouchED.Exe" [2003-03-11 08:58 122880] "PadTouch"="C:\Program Files\TOSHIBA\PadTouch\PadExe.exe" [2003-11-24 06:51 1019904] "ezShieldProtector for Px"="C:\WINDOWS\System32\ezSP_Px.exe" [2002-08-20 06:29 40960] "DkAutoReg.exe"="C:\Program Files\Rainbow Technologies\iKey 2000 Series Software\DkAutoReg.exe" [2002-07-24 20:09 241664] "DkStartup"="C:\Program Files\Rainbow Technologies\iKey 2000 Series Software\DkStartup.exe" [2002-07-24 20:12 217088] "OfficeScanNT Monitor"="C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" [2007-05-08 00:43 702072] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43 83608] "000StTHK"="000StTHK.exe" [2001-06-23 15:28 24576 C:\WINDOWS\system32\[u]0[/u]00StTHK.exe] "LTSMMSG"="LTSMMSG.exe" [2003-04-18 06:06 32768 C:\WINDOWS\ltsmmsg.exe] "TFNF5"="TFNF5.exe" [2003-10-15 12:03 73728 C:\WINDOWS\system32\TFNF5.exe] "TPSMain"="TPSMain.exe" [2003-12-01 07:09 266240 C:\WINDOWS\system32\TPSMain.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 19:09 15360] C:\Documents and Settings\Administrateur\Menu D‚marrer\Programmes\D‚marrage\ Lancement rapide de Microsoft Office OneNote 2003.lnk - C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE [2007-04-19 13:49:52 64864] C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\DMARRA~1\ Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26 29696] Orange Caraibes.lnk - C:\Program Files\OrgangeFrance\Orange Caraibes\Orange Caraibes.exe [2008-01-14 14:01:50 872448] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.mpg4"= C:\WINDOWS\mpg4c32.dll "vidc.mpg2"= C:\WINDOWS\mpg4c32.dll "vidc.mpg3"= C:\WINDOWS\mpg4c32.dll "vidc.GEOX"= C:\WINDOWS\system32\GeoCodec.dll [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide de Microsoft Office OneNote 2003.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide de Microsoft Office OneNote 2003.lnk backup=C:\WINDOWS\pss\Lancement rapide de Microsoft Office OneNote 2003.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Drag'n Drop CD+DVD] --------- 2003-08-08 18:54 1175552 C:\Program Files\Drag'n Drop CD+DVD\BinFiles\DragDrop.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "C:\Program Files\Messenger\msmsgs.exe"= R3 GT72NDISIPXP;GT 72 IP NDIS;C:\WINDOWS\system32\DRIVERS\Gt51Ip.sys [2007-07-09 14:17] R3 GT72UBUS;GT 72 U BUS;C:\WINDOWS\system32\DRIVERS\gt72ubus.sys [2007-06-26 13:38] R3 GTPTSER;GT PT SER;C:\WINDOWS\system32\DRIVERS\gtptser.sys [2007-03-30 13:38] R3 iKeyEnum;Rainbow iKey Enumerator;C:\WINDOWS\system32\DRIVERS\ikeyenum.sys [2004-03-16 03:04] R3 iKeyIFD;Rainbow iKey Virtual Reader;C:\WINDOWS\system32\DRIVERS\ikeyifd.sys [2004-03-16 03:04] S3 PAMScan;PAMScan;C:\WINDOWS\System32\DRIVERS\PAMScan.SYS [2003-09-06 10:22] S3 RnbToken;Rainbow iKey Token Service;C:\WINDOWS\system32\DRIVERS\rnbtoken.sys [2004-03-16 03:04] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6c138b72-2f24-11dd-a5a2-00080ddf4fdb}] \Shell\AutoRun\command - E:\setup.exe AUTORUN=1 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{caaa0ed6-8975-11dc-a55f-00080ddf4fdb}] \Shell\AutoRun\command - RavMon.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f5cd7da8-da49-11dc-a580-00080ddf4fdb}] \Shell\AutoRun\command - RavMon.exe *Newly Created Service* - CATCHME . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-07-25 19:01:38 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cachés ... Balayage caché autostart entries ... Balayage des fichiers cachés ... Scan terminé avec succès Les fichiers cachés: 0 ************************************************************************** . Temps d'accomplissement: 2008-07-25 19:05:23 ComboFix-quarantined-files.txt 2008-07-25 23:05:15 ComboFix2.txt 2008-07-25 22:05:14 ComboFix3.txt 2008-07-25 21:40:56 ComboFix4.txt 2008-07-25 20:59:46 ComboFix5.txt 2008-07-25 22:56:39 Pre-Run: 26,631,520,256 octets libres Post-Run: 26,634,809,344 octets libres 121 --- E O F --- 2008-07-17 04:07:11

Lyonnais92 · Answer

Re,

peux tu chercher Ravmon.exe sur ton disque dur (fonction rechercher de Windows). Merci.

Donne moi son nom complet.

Lasto97 · Answer

Le nm complet c'est quoi exactement?
Voici l'emplacement du fichier. Il se situe dans le dossier "SUSPECT" de l'antivirus.

C:\Program Files\Trend Micro\OfficeScan Client\SUSPECT

Lyonnais92 · Answer

Bonjour,

supprime le.

Rescanne ton ordi.

Fais le redémarrer.

Un fichier Ravmon.exe existe encore ?

Lasto97 · Answer

Bonjour,

Je l'ai supprimé, j'ai scanné l'ordi avec l'antivirus, l'antispyware, je l'ai recherché et il n'est plus là.

Lyonnais92 · Answer

Re,

OK.

Nettoyage.

Lis bien et exécute cette manip dans l’ordre.

#Télécharge et installe ces logiciels (si tu ne les as pas) pour les 3 premiers
mets les à jour, comme indiqué dans les démos ou tutos.

Ne les utilise pas tout de suite.


Antispywares et autres :
 
Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton bureau à partir de ce lien :

https://www.malwarebytes.com/

A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue.


Nettoyeurs (de fichiers inutiles) et autres :

*Ccleaner (gratuit)
Téléchargement :
https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html
Tuto :
https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php

Lors de l’installation, [décoche] l’option qui t’installerait la barre Yahoo !

========================================
->Affiche tous les fichiers et dossiers :
clique sur démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage

[Coche] « afficher les dossiers et fichiers cachés »

[Décoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »

[Décoche] « masquer les extensions dont le type est connu »

Puis fais [appliquer] pour valider les changements.

Et [Ok]
.

=======================================

->Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec
puis tape « entrée ».
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).

========================================
->Lance CCleaner.

Suppression des fichiers temporaires

Va dans la section "Options" situé dans la marge gauche.
Décoche "Avancé"
Retourne ensuite dans la section "Nettoyeur"
Fais bien attention de cocher toutes ces cases dans la marge gauche (Internet Explorer/Windows Explorer/Système)
• Clique sur [Analyse]
• Patiente le temps du scan, qui peut prendre un peu de temps si c'est la première fois.
• Une fois le scan terminé, clique sur [Lancer le Nettoyage]



========================================
Lance Malwarebytes AntiMalware

Dans l'onglet analyse, vérifie que "Exécuter un examen complet" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

MBAM analyse ton ordinateur. L'analyse peut prendre un certain teps. Il suffit de vérifier de temps en temps son avancement.

A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

MBAM va ouvrir le bloc-notes et y copier le rapport d'analyse. Ferme le bloc-note. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

Ferme MBAM en cliquant sur Quitter. 
========================================

->Relance CCleaner.
Suppression des incohérences du registre

• Clique sur l'icône [Registre] situés dans la marge à gauche
• Puis clique sur [Analyser les erreurs]
• Patiente pendant que CCleaner scan ton registre.
• Une fois le scan terminé, coche toutes les entrèes qu'il t'aura trouvée.
• Tu peux cliquer ensuite sur [Corriger les erreurs].

Si tu n'est pas sur de ce que tu fais, tu peux choisir de sauvegarder les entrées cochées pour les restaurer ultérieurement.
========================================
->Vide ta Corbeille.
========================================
->Redémarre en mode normal,


- > Ouvre ce lien pour scanner ton PC avec un BitDefender en ligne (uniquement sous Internet Explorer) :

https://www.bitdefender.com/toolbox/

Utilisation :
Cliquer sur "J'accepte" puis accepter également l'ActiveX bloqué par la barre anti-popup du SP2 qui clignotera en haut et l'installer.
Ensuite, cliquer sur "Cliquez ici pour scanner".
Patienter jusqu'à la fin du scan qui peut durer assez longtemps...

Copier/coller le rapport entier sur le forum.

Tutoriel en images ici : http://pageperso.aol.fr/rginformatique/mapage/defender.htm (merci à Balltrap34 pour cette réalisation)
[Recoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »

Lasto97 · Answer

Salut, 

J'ai tout fait, mais ou se trouve le rapport de bitdefender?? J'espère que je n'aurai pas à scanner encore. Je pensais qu'une fenetre se serait ouverte pour le rapport, mais rien ne s'est passé, et je ne vois pas de lien qui parle du rapport.

Lyonnais92 · Answer

Re,

tu as un rapport pour MBAM ?

Lasto97 · Answer

Oui le voici

Malwarebytes' Anti-Malware 1.23
Version de la base de données: 994
Windows 5.1.2600 Service Pack 2

13:51:31 26/07/2008
mbam-log-7-26-2008 (13-51-31).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 87175
Temps écoulé: 59 minute(s), 28 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Lasto97 · Answer

En ce qui concerne bitdefender, il a trouvé 3 fichiers infectés, et il les a supprimé.

Lyonnais92 · Answer

Re,

poursuite du nettoyage.

Ouvre ce lien :

http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20020830101856924

dans un premier temps tu le suis pour désactiver la restauration système.

Tu fermes la fenêtre.

Dans un deuxième temps, tu le suis pour réactiver la restauration.


* Télécharge ToolsCleaner de A.Roshtein sur ton Bureau.

http://pc-system.fr/
hxxp://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe
hxxp://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe

* Clique sur Recherche et laisse le scan se terminer.

* Clique, sur Suppression pour finaliser.

* Tu peux, si tu le souhaites, te servir des Options facultatives.

* Clique sur Quitter, pour que le rapport puisse se créer.

* Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).

Lasto97 · Answer

Salut,

J'ai exécuté la 1ere partie. Par contre quand je lance ToolsCleaner, ça me met un message "n'est pas une application win32 valide".

Lyonnais92 · Answer

Re,

je n'aime pas ça.

Tu as supprimé les cracks que tu as téléchargé ?

déconnecte toi d'internet et ferme toutes tes applications.

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


double-clique sur combofix.exe et suis les instructions

à la fin, il va produire un rapport C:\ComboFix.txt

réactive ton parefeu, ton antivirus, la garde de ton antispyware

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

Tu as un tutoriel complet ici :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Lasto97 · Answer

Oui je l'ai supprimé ça fait déjà un bon moment.

Lyonnais92 · Answer

Re,

OK, relance quand même Combofix.

Lasto97 · Answer

ComboFix 08-07-21.1 - Administrateur 2008-07-29 17:16:46.9 - NTFSx86 Endroit: C:\Documents and Settings\Administrateur\Bureau\nonabagle.exe [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] . ((((((((((((((((((((((((((((( Fichiers créés 2008-06-28 to 2008-07-29 )))))))))))))))))))))))))))))))))))) . 2008-07-26 14:34 . 2008-07-26 15:52 d-------- C:\WINDOWS\BDOSCAN8 2008-07-26 11:23 . 2008-07-26 11:23 d-------- C:\Program Files\CCleaner 2008-07-26 10:21 . 2008-07-26 10:21 d-------- C:\Program Files\Malwarebytes' Anti-Malware 2008-07-26 10:21 . 2008-07-26 10:21 d-------- C:\Documents and Settings\Administrateur\Application Data\Malwarebytes 2008-07-26 10:21 . 2008-07-26 10:21 d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Malwarebytes 2008-07-26 10:21 . 2008-07-23 20:09 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-07-26 10:21 . 2008-07-23 20:09 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-07-25 19:36 . 2008-07-25 19:36 d--h----- C:\WINDOWS\PIF 2008-07-22 08:04 . 2008-07-22 08:04 d-------- C:\Deckard 2008-07-21 13:33 . 2008-07-21 13:55 d-------- C:\Program Files\RegistryQuick 2008-07-17 17:25 . 2008-07-17 17:28 d-------- C:\Combo-Fix . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-07-23 19:04 --------- d-----w C:\DOCUME~1\ALLUSE~1\APPLIC~1\WLInstaller 2008-07-22 12:01 --------- d-----w C:\Program Files\Trend Micro 2008-07-17 04:04 --------- d-----w C:\Program Files\Microsoft Works 2008-07-16 01:14 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\MSN6 2008-06-30 15:04 --------- d-----w C:\Program Files\Bac_v7 2008-06-25 20:59 --------- d-----w C:\Program Files\Microsoft CAPICOM 2.1.0.2 2008-06-21 17:55 --------- dcsh--w C:\Program Files\Fichiers communs\WindowsLiveInstaller 2008-06-14 17:59 272,768 ------w C:\WINDOWS\system32\drivers\bthport.sys 2008-06-02 20:39 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll 2008-06-02 20:39 --------- d--h--r C:\Documents and Settings\Administrateur\Application Data\SecuROM 2008-06-02 20:29 --------- d-----w C:\Program Files\Fichiers communs\MainConcept 2008-06-02 20:28 --------- d-----w C:\Program Files\Micro Application 2008-05-31 15:21 --------- d-----w C:\Program Files\OrgangeFrance 2008-05-07 05:15 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll . ((((((((((((((((((((((((((((( snapshot@2008-07-17_16.44.52.12 ))))))))))))))))))))))))))))))))))))))))) . + 2008-07-26 18:35:15 45,056 ----a-w C:\WINDOWS\BDOSCAN8\avxdisk.dll + 2008-07-26 18:35:17 10,240 ----a-w C:\WINDOWS\BDOSCAN8\avxs.dll + 2008-07-26 18:35:21 27,136 ----a-w C:\WINDOWS\BDOSCAN8\avxt.dll + 2008-07-26 18:35:56 181,760 ----a-w C:\WINDOWS\BDOSCAN8\bdcore.dll + 2008-01-09 19:01:48 118,784 ----a-w C:\WINDOWS\BDOSCAN8\bdupd.dll + 2008-01-09 19:01:48 53,248 ----a-w C:\WINDOWS\BDOSCAN8\ipsupd.dll + 2008-07-26 18:36:07 142,848 ----a-w C:\WINDOWS\BDOSCAN8\libfn.dll + 2008-07-26 18:35:28 86,016 ----a-w C:\WINDOWS\BDOSCAN8\librtvr.dll + 2008-01-09 19:01:48 53,248 ----a-w C:\WINDOWS\bdoscandel.exe + 2008-01-09 19:01:48 118,784 ----a-w C:\WINDOWS\Downloaded Program Files\bdupd.dll + 2008-01-09 19:01:48 53,248 ----a-w C:\WINDOWS\Downloaded Program Files\ipsupd.dll + 2005-10-21 00:02:28 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE - 2008-06-03 13:59:49 63,522 ----a-w C:\WINDOWS\system32\perfc009.dat + 2008-07-17 22:03:51 63,522 ----a-w C:\WINDOWS\system32\perfc009.dat - 2008-06-03 13:59:49 76,582 ----a-w C:\WINDOWS\system32\perfc00C.dat + 2008-07-17 22:03:51 76,582 ----a-w C:\WINDOWS\system32\perfc00C.dat - 2008-06-03 13:59:49 404,302 ----a-w C:\WINDOWS\system32\perfh009.dat + 2008-07-17 22:03:51 404,302 ----a-w C:\WINDOWS\system32\perfh009.dat - 2008-06-03 13:59:49 471,484 ----a-w C:\WINDOWS\system32\perfh00C.dat + 2008-07-17 22:03:51 471,484 ----a-w C:\WINDOWS\system32\perfh00C.dat + 2008-07-29 20:19:00 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_b60.dat . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 19:09 15360] "TOSCDSPD"="C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe" [2003-09-15 12:19 65536] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IgfxTray"="C:\WINDOWS\System32\igfxtray.exe" [2003-04-06 20:19 155648] "HotKeysCmds"="C:\WINDOWS\System32\hkcmd.exe" [2003-04-06 20:07 114688] "00THotkey"="C:\WINDOWS\System32\[u]0[/u]0THotkey.exe" [2003-05-23 09:20 253952] "Apoint"="C:\Program Files\Apoint2K\Apoint.exe" [2003-07-17 13:38 159744] "TouchED"="C:\Program Files\TOSHIBA\TouchED\TouchED.Exe" [2003-03-11 08:58 122880] "PadTouch"="C:\Program Files\TOSHIBA\PadTouch\PadExe.exe" [2003-11-24 06:51 1019904] "ezShieldProtector for Px"="C:\WINDOWS\System32\ezSP_Px.exe" [2002-08-20 06:29 40960] "DkAutoReg.exe"="C:\Program Files\Rainbow Technologies\iKey 2000 Series Software\DkAutoReg.exe" [2002-07-24 20:09 241664] "DkStartup"="C:\Program Files\Rainbow Technologies\iKey 2000 Series Software\DkStartup.exe" [2002-07-24 20:12 217088] "OfficeScanNT Monitor"="C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" [2007-05-08 00:43 702072] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43 83608] "000StTHK"="000StTHK.exe" [2001-06-23 15:28 24576 C:\WINDOWS\system32\[u]0[/u]00StTHK.exe] "LTSMMSG"="LTSMMSG.exe" [2003-04-18 06:06 32768 C:\WINDOWS\ltsmmsg.exe] "TFNF5"="TFNF5.exe" [2003-10-15 12:03 73728 C:\WINDOWS\system32\TFNF5.exe] "TPSMain"="TPSMain.exe" [2003-12-01 07:09 266240 C:\WINDOWS\system32\TPSMain.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 19:09 15360] C:\Documents and Settings\Administrateur\Menu D‚marrer\Programmes\D‚marrage\ Lancement rapide de Microsoft Office OneNote 2003.lnk - C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE [2007-04-19 13:49:52 64864] C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\DMARRA~1\ Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26 29696] Orange Caraibes.lnk - C:\Program Files\OrgangeFrance\Orange Caraibes\Orange Caraibes.exe [2008-01-14 14:01:50 872448] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.mpg4"= C:\WINDOWS\mpg4c32.dll "vidc.mpg2"= C:\WINDOWS\mpg4c32.dll "vidc.mpg3"= C:\WINDOWS\mpg4c32.dll "vidc.GEOX"= C:\WINDOWS\system32\GeoCodec.dll [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide de Microsoft Office OneNote 2003.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide de Microsoft Office OneNote 2003.lnk backup=C:\WINDOWS\pss\Lancement rapide de Microsoft Office OneNote 2003.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Drag'n Drop CD+DVD] --------- 2003-08-08 18:54 1175552 C:\Program Files\Drag'n Drop CD+DVD\BinFiles\DragDrop.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "C:\Program Files\Messenger\msmsgs.exe"= R3 GT72NDISIPXP;GT 72 IP NDIS;C:\WINDOWS\system32\DRIVERS\Gt51Ip.sys [2007-07-09 14:17] R3 GT72UBUS;GT 72 U BUS;C:\WINDOWS\system32\DRIVERS\gt72ubus.sys [2007-06-26 13:38] R3 GTPTSER;GT PT SER;C:\WINDOWS\system32\DRIVERS\gtptser.sys [2007-03-30 13:38] R3 iKeyEnum;Rainbow iKey Enumerator;C:\WINDOWS\system32\DRIVERS\ikeyenum.sys [2004-03-16 03:04] R3 iKeyIFD;Rainbow iKey Virtual Reader;C:\WINDOWS\system32\DRIVERS\ikeyifd.sys [2004-03-16 03:04] S3 PAMScan;PAMScan;C:\WINDOWS\System32\DRIVERS\PAMScan.SYS [2003-09-06 10:22] S3 RnbToken;Rainbow iKey Token Service;C:\WINDOWS\system32\DRIVERS\rnbtoken.sys [2004-03-16 03:04] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6c138b72-2f24-11dd-a5a2-00080ddf4fdb}] \Shell\AutoRun\command - E:\setup.exe AUTORUN=1 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{caaa0ed6-8975-11dc-a55f-00080ddf4fdb}] \Shell\AutoRun\command - RavMon.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f5cd7da8-da49-11dc-a580-00080ddf4fdb}] \Shell\AutoRun\command - RavMon.exe . . ------- Supplementary Scan ------- . R0 -: HKCU-Main,Start Page = hxxp://google.fr/ R1 -: HKCU-Internet Connection Wizard,ShellNext = iexplore O8 -: E&xporter vers Microsoft Excel - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O16 -: {1856D980-6604-4504-AE2E-6EEE0235FCF5} - hxxp://www.certeurope.fr/fichiers/activesign/1.2.0.2/ActiveSign.CAB C:\WINDOWS\Downloaded Program Files\ActiveSign.INF C:\WINDOWS\System32\OLEAUT32.DLL C:\WINDOWS\System32\OLEPRO32.DLL C:\WINDOWS\System32\ASYCFILT.DLL C:\WINDOWS\System32\STDOLE2.TLB C:\WINDOWS\System32\COMCAT.DLL C:\WINDOWS\System32\msvbvm60.dll C:\WINDOWS\Downloaded Program Files\ActiveSign.dll O16 -: {1DB93715-3B60-43EE-93E6-279BB3E1DF76} - hxxp://213.16.24.101:8080/cab/OCXChecker_6110.cab C:\WINDOWS\Downloaded Program Files\OCXDownloadChecker.inf C:\WINDOWS\Downloaded Program Files\OCXDownloadChecker_6110.ocx O16 -: {DBAFE6AD-DC14-45DF-A3F7-F8832289A1CD} - hxxp://213.16.24.101:8080/cab/DownloadFile_7000.cab C:\WINDOWS\Downloaded Program Files\Download.inf C:\WINDOWS\Downloaded Program Files\Download_7000.ocx ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-07-29 17:21:18 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cachés ... Balayage caché autostart entries ... Balayage des fichiers cachés ... Scan terminé avec succès Les fichiers cachés: 0 ************************************************************************** . Temps d'accomplissement: 2008-07-29 17:25:05 ComboFix-quarantined-files.txt 2008-07-29 21:24:50 ComboFix2.txt 2008-07-26 12:10:57 ComboFix3.txt 2008-07-25 23:05:24 ComboFix4.txt 2008-07-25 22:05:14 ComboFix5.txt 2008-07-29 21:16:01 Pre-Run: 28,119,216,128 octets libres Post-Run: 28,147,273,728 octets libres 160 --- E O F --- 2008-07-17 04:07:11

Lyonnais92 · Answer

Re,

tu peux vérifier que ton anti-virus est bien actif ?

Je regarde pour la suite.

Lyonnais92 · Answer

Re,

plus de bagle si je crois Combofix.

Chiquitine m'a donné une piste.

Ouvre ce lien :

http://www.microsoft.com/downloads/details.aspx?familyid=333325fd-ae52-4e35-b531-508d977d32a6&displaylang=en

clique sur download et installe cette version de Net.framework.

Ensuite, tu supprime Toolcleaner sur tin Bureau et tu recommences la maneuvre :


* Télécharge ToolsCleaner de A.Roshtein sur ton Bureau.

http://pc-system.fr/
hxxp://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe
hxxp://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe

* Clique sur Recherche et laisse le scan se terminer.

* Clique, sur Suppression pour finaliser.

* Tu peux, si tu le souhaites, te servir des Options facultatives.

* Clique sur Quitter, pour que le rapport puisse se créer.

* Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).

Lasto97 · Answer

La même chose s'est produite.
Mais en fait une première fois j'ai téléchargé. Mais en installant ça a dit que ça prendrait 3h pour s'installer. J'ai laissé au début, mais au bout d'un certain temps j'ai annulé, pensant qu'il y avait un problème de téléchargement.
J'ai supprimé. J'ai retéléchargé. Et quand j'essaye d'installer, cette fois-ci ça écrit le message d'erreur.

Utilisateur anonyme · Answer

Salut 

pour avancer lyonnais fais ceci 


-> Redémarre en mode sans échec avec prise en charge reseau : 

Comment redémarrer en mode sans echec avec prise en charge reseau ? 

Tu redemarre le pc et tapote la touche F8 des le début de l allumage sans t´arrêter. 
Une fenêtre sur fond noir va s’ouvrir, tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec avec prise en charge reseau puis tape entrée. 
Une fois sur le bureau si il n y a pas toutes les couleurs et autres c´est normal! 
Ps : si F8 ne marche pas utilise la touche F5. 


une fois dans ce mode : 


Ouvre ce lien : 

https://www.microsoft.com/fr-fr/ 

clique sur download et installe cette version de Net.framework. 

Ensuite, tu supprime Toolcleaner sur tin Bureau et tu recommences la maneuvre : 


* Télécharge ToolsCleaner de A.Roshtein sur ton Bureau. 

http://pc-system.fr/ 
hxxp://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe 
hxxp://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe 

* Clique sur Recherche et laisse le scan se terminer. 

* Clique, sur Suppression pour finaliser. 

* Tu peux, si tu le souhaites, te servir des Options facultatives. 

* Clique sur Quitter, pour que le rapport puisse se créer. 

* Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).

Lasto97 · Answer

Re,
Finalement c'est bon. J'ai restauré celui que je commençais à installer en 1er. Et ça s'installe, il n'y a pas eu de message d'erreur.
Mais ça va vraiment prendre 3h??? :/

Utilisateur anonyme · Answer

non je le telechargement peux etre long si ta connection est occupé ie ouvert p2p aussi 

sinon l instal est rapide mais ça depend des machines

Utilisateur anonyme · Answer

fais le en mode sans echec plus reseau 


et sois patient -;)

Lasto97 · Answer

Salut,

J'ai installé le framework.
Par contre impossible d'installer le Toolscleaner2. Quand je le lance, ça me dit "n'est pas une application win32 valide"

Lasto97 · Answer

J'ai supprimé, j'ai réinstallé, rien à faire. Ca se télécharge rapidement, trop rapidement meme! Après ça me met le message d'erreur quand je veux l'installer.

Lyonnais92 · Answer

Bonjour à tous les 2,

Chiquitine, je te laisse aux commandes, tu as déjà résolu un cas semblable et je pars en vacances.

Ma suggestion :

Ccleaner, défragmentation, vidage de la Corbeille, point de restauration propre et on réessaye.

Utilisateur anonyme · Answer

salut lyonnais 

ok bonne vacance , profites bien e repose toi 

d ailleur je fait en faire autant d ici peut



Lasto 


-> Télécharge Ccleaner (n'installe pas la barre d'outil Yahoo)

-> L'installer. 

-> Une fois installé et lancé : 

Dans la colonne de gauche, click sur : 

->"registre" : 

Coches toutes les cases sous"l'integrité du registre", puis click en bas sur "chercher des erreurs" une fois terminé, clic sur "reparer les erreurs", tu auras un message pour sauvegarder ta base de registre, tu click "oui" puis tu recommence jusqu'à ce qu'il ne trouve plus rien. 

ps : les sauvegardes que tu auras faites, pourront etre supprimées ulterieurement si tout va bien. 

->"nettoyeur" 

quitte ton navigateur avant de le lancer, dans les propriétés du nettoyeur de l'onglet "windows" et "applications"décoche la derniere case (Avancé si elle est cochée) puis click sur "lancer le nettoyage" qunand il aura terminé le scan click en bas a droite sur "lancer le nettoyage" et accepte par oui. 

-> Tutoriel en image : 

https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php 


ensuite :

Télécharge DiagHelp.zip sur ton bureau : 

http://www.malekal.com/download/DiagHelp.zip 

!! déconnectes toi et fermes toutes tes applications en cours !! 

Fais un clic droit sur le fichier et extraire tout . 

--> Un nouveau dossier va être créé : "DiagHelp" 
Ouvres le et double-clic sur go.cmd et pas sur autre chose !

--> Une fenêtre va s'ouvrir, choisis l'option 1 
L'analyse va commencer, ce-ci peut durer quelques minutes, laisses faire et appuies sur une touche quand on te le demandera : 
une page IE va s'ouvrir , fermes la . 
Re-appuis sur une touche, le bloc-note s'ouvre : 
Sauvegardes ce rapport de façon à le retrouver et postes tout son contenu dans ta prochaine réponse ... 




A découvrir : Estopa, Rosario Flores, La Oreja De Van Gogh
                  Bonne écoute

Lasto97 · Answer

Merci beaucoup Lyonnais92. Et merci Chiquitine29.
Mais je suis désolé,quand je veux extraire le fichier ça me dit "Le dossier compressé n'est pas valide ou est endommagé"

Utilisateur anonyme · Answer

supprime le dossier créé mais pas l archive 

as tu winrar ?  

si c est non telecharge et instal le : 

https://www.commentcamarche.net/telecharger/utilitaires/24097-winrar/

ensuite apres installation clic droit sur l archive choisi extraire vers et clic sur go.cmd 
A découvrir : Estopa, Rosario Flores, La Oreja De Van Gogh 
                  Bonne écoute

Lasto97 · Answer

en plus pendant que je téléchargeais le zip l'antivirus s'est réveillé.

Lasto97 · Answer

Ca me dit que des fichiers d'installations sont corrompus.

Lasto97 · Answer

Quand j'installe le winrar ça me dit "certains fichiers d'installation sont corrompus" ou quelque chose comme ça.

Utilisateur anonyme · Answer

fais ceci

Désactive et réactive ta restauration system

Tuto xp : http://service1.symantec.com/support/inter/tsgeninfointl.Nsf/fr_docid/20020830101856924

ensuite :


Télécharge ToolsCleaner sur ton bureau. 
--> 
ftp://ftp.commentcamarche.com/download/ToolsCleaner2.exe
http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner
http://pc-system.fr/ 

# Clique sur Recherche et laisse le scan agir ... 
# Clique sur Suppression pour finaliser. 
# Tu peux, si tu le souhaites, te servir des Options facultatives. 
# Clique sur Quitter pour obtenir le rapport. 
# Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

Utilisateur anonyme · Answer

un up 

ce topic bug 

je ne vois pas les réponses

Utilisateur anonyme · Answer

........

Lasto97 · Answer

Je ne trouve pas le rapport TCleaner à la racine du disque...

Lasto97 · Answer

Ah oui désolé, il est là :)

-->- Recherche: 

C:\Qoobox: trouvé !
C:\Documents and Settings\Administrateur\Bureau\Dss.exe: trouvé !
C:\Documents and Settings\Administrateur\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\Administrateur\Bureau\DiagHelp.zip: trouvé !
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe: trouvé !
C:\Documents and Settings\Administrateur\Bureau\HJTInstall.exe: trouvé !
C:\Documents and Settings\Administrateur\Bureau\DiagHelp: trouvé !
C:\Documents and Settings\Administrateur\Bureau\DiagHelp\DiagHelp: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\RECYCLER\S-1-5-21-135211394-4118416520-2790299071-500\Dc4\DiagHelp: trouvé !

---------------------------------
-->- Suppression: 

C:\Documents and Settings\Administrateur\Bureau\Dss.exe: supprimé !
C:\Documents and Settings\Administrateur\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\Administrateur\Bureau\DiagHelp.zip: supprimé !
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe: supprimé !
C:\Documents and Settings\Administrateur\Bureau\HJTInstall.exe: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Qoobox: supprimé !
C:\Documents and Settings\Administrateur\Bureau\DiagHelp: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !
C:\RECYCLER\S-1-5-21-135211394-4118416520-2790299071-500\Dc4\DiagHelp: supprimé !

Utilisateur anonyme · Answer

ok

on test win32 non valide

Télécharge HijackThis ici : 

->  http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe 


Tutoriel d´instalation : 

-> https://forums.cnetfrance.fr

Tutoriel d´utilisation :  

-> https://forums.cnetfrance.fr

Post le rapport généré ici stp...

Lasto97 · Answer

Je n'arrive pas à lire les derniers messages!!

Utilisateur anonyme · Answer

up pour voir ta réponse car ça bug

Lasto97 · Answer

Je n'arrive pas à me lire, ni à lire les dernières choses qu'ont m'a dites!!! :(

Utilisateur anonyme · Answer

oui y a un bug sur le site 


on test win32 non valide 

Télécharge HijackThis ici : 

-> http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe 


Tutoriel d´instalation : 

-> https://forums.cnetfrance.fr 

Tutoriel d´utilisation : 

-> https://forums.cnetfrance.fr 

Post le rapport généré ici stp...

Lasto97 · Answer

Le lien pour HJT ne fonctionne pas. Mais je l'ai déjà Lyonnais m'avait fait le télécharger. Je dois le retélécharger?

Utilisateur anonyme · Answer

https://forums.cnetfrance.fr

http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe

Lasto97 · Answer

Désolé, mais là c'est le même problème de tout à l'heure pour le zip. Et le 2e lien ne passe pas.

Utilisateur anonyme · Answer

ouvre internet explorer
clic sur outil
clic sur option internet
clic sur avancer
clic sur réinitialiser
confirme
ferme internet
redémare le 

et rééssi de telecharger

Lasto97 · Answer

Non, ce lien là ne passe toujours pas.

Utilisateur anonyme · Answer

tu es en session administrateur ??

Lasto97 · Answer

oui

Lasto97 · Answer

C'est bon!! Ca passe maintenant. Je télécharge là!

Utilisateur anonyme · Answer

ok 

ton antivirus fonctionne ? le parefeu aussi ?

Utilisateur anonyme · Answer

cool

Lasto97 · Answer

Ok voici le log,

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:24:48, on 30/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\System32\DkLog.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Trend Micro\OfficeScan Client
trtscan.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\OfficeScan Client	mlisten.exe
C:\WINDOWS\System32\dkcktkn.exe
C:\Program Files\Trend Micro\OfficeScan Client\TmPfw.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\00THotkey.exe
C:\WINDOWS\LTSMMSG.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\WINDOWS\TEMP\XW5C79.EXE
C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
C:\Program Files\TOSHIBA\PadTouch\PadExe.exe
C:\WINDOWS\system32\TFNF5.exe
C:\WINDOWS\system32\TPSMain.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Program Files\Rainbow Technologies\iKey 2000 Series Software\DkAutoReg.exe
C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\TOSHIBA\TOSCDSPD	oscdspd.exe
C:\Program Files\OrgangeFrance\Orange Caraibes\Orange Caraibes.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\Trend Micro\OfficeScan Client\CNTAoSMgr.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = https://support.microsoft.com/en-US/topic/internet-explorer-downloads-d49e1f0d-571c-9a7b-d97e-be248806ca70
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TouchED] C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [PadTouch] "C:\Program Files\TOSHIBA\PadTouch\PadExe.exe
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [DkAutoReg.exe] C:\Program Files\Rainbow Technologies\iKey 2000 Series Software\DkAutoReg.exe
O4 - HKLM\..\Run: [DkStartup] C:\Program Files\Rainbow Technologies\iKey 2000 Series Software\DkStartup.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD	oscdspd.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Orange Caraibes.lnk = C:\Program Files\OrgangeFrance\Orange Caraibes\Orange Caraibes.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file:///C:\Program Files\TOSHIBA\Free Update Service\splash.html
O16 - DPF: {1856D980-6604-4504-AE2E-6EEE0235FCF5} - http://www.certeurope.fr/fichiers/activesign/1.2.0.2/ActiveSign.CAB
O16 - DPF: {1DB93715-3B60-43EE-93E6-279BB3E1DF76} - http://213.16.24.101:8080/cab/OCXChecker_6110.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {DBAFE6AD-DC14-45DF-A3F7-F8832289A1CD} - http://213.16.24.101:8080/cab/DownloadFile_7000.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = vauclin.sud
O17 - HKLM\Software\..\Telephony: DomainName = vauclin.sud
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = vauclin.sud
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = vauclin.sud
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Datakey's Log Service (DkLogger) - Datakey, Inc. - C:\WINDOWS\System32\DkLog.exe
O23 - Service: Datakey's Token Service (DkTknSrv) - Datakey, Inc. - C:\WINDOWS\System32\dkcktkn.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client
trtscan.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: OfficeScan NT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client	mlisten.exe
O23 - Service: OfficeScan NT Firewall (TmPfw) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\TmPfw.exe
O23 - Service: OfficeScan NT Proxy Service (TmProxy) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\TmProxy.exe

Utilisateur anonyme · Answer

Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

Clique sur parcourir et cherche ce fichier : C:\WINDOWS\TEMP\XW5C79.EXE 


Clique sur Send File. 

Un rapport va s'élaborer ligne à ligne. 

Attends la fin. Il doit comprendre la taille du fichier envoyé. 

Sauvegarde le rapport avec le bloc-note. 

Copie le dans ta réponse.

Lasto97 · Answer

Ca m'a dit que le fichier a déjà été analysé, alors j'ai fait réanalyser le fichier et voici le résultat:

Fichier XW5C79.EXE reçu le 2008.07.30 21:41:44 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE 


Résultat: 0/34 (0%)
en train de charger les informations du serveur... 
Votre fichier est dans la file d'attente, en position: ___.
L'heure estimée de démarrage est entre ___ et ___ .
Ne fermez pas la fenêtre avant la fin de l'analyse. 
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier. 
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération. 
 Formaté Impression des résultats  
Votre fichier a expiré ou n'existe pas. 
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée. 
 Email:  
  

Antivirus Version Dernière mise à jour Résultat 
AhnLab-V3 2008.7.29.1 2008.07.30 - 
AntiVir 7.8.1.12 2008.07.30 - 
Authentium 5.1.0.4 2008.07.30 - 
Avast 4.8.1195.0 2008.07.30 - 
AVG 8.0.0.130 2008.07.30 - 
BitDefender 7.2 2008.07.30 - 
CAT-QuickHeal 9.50 2008.07.30 - 
ClamAV 0.93.1 2008.07.30 - 
DrWeb 4.44.0.09170 2008.07.30 - 
eSafe 7.0.17.0 2008.07.29 - 
eTrust-Vet 31.6.5995 2008.07.30 - 
Ewido 4.0 2008.07.30 - 
F-Prot 4.4.4.56 2008.07.30 - 
Fortinet 3.14.0.0 2008.07.30 - 
GData 2.0.7306.1023 2008.07.30 - 
Ikarus T3.1.1.34.0 2008.07.30 - 
Kaspersky 7.0.0.125 2008.07.30 - 
McAfee 5349 2008.07.29 - 
Microsoft 1.3704 2008.07.28 - 
NOD32v2 3311 2008.07.30 - 
Norman 5.80.02 2008.07.30 - 
Panda 9.0.0.4 2008.07.30 - 
PCTools 4.4.2.0 2008.07.30 - 
Prevx1 V2 2008.07.30 - 
Rising 20.55.22.00 2008.07.30 - 
Sophos 4.31.0 2008.07.30 - 
Sunbelt 3.1.1537.1 2008.07.29 - 
Symantec 10 2008.07.30 - 
TheHacker 6.2.96.389 2008.07.25 - 
TrendMicro 8.700.0.1004 2008.07.30 - 
VBA32 3.12.8.1 2008.07.29 - 
ViRobot 2008.7.30.1317 2008.07.30 - 
VirusBuster 4.5.11.0 2008.07.30 - 
Webwasher-Gateway 6.6.2 2008.07.30 - 
Information additionnelle 
File size: 300656 bytes 
MD5...: 481359bdfb169f2bf1059669e1d518d7 
SHA1..: 8edd20556dc6baaa4d95e9fccfeee1e3fd308975 
SHA256: 1a5491d0e492acc6da601df2d84bf00db1c5fd050c1dd575a8fea67068004e32 
SHA512: aad5ef4e962e5464192cdfd73e6b7409cfa0b069610a2343e43811e492e2dce1
856c89c35f71ad18577062a5105525e4b8bae9882569043056679495fd10bf4d 
PEiD..: - 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x41d9f9
timedatestamp.....: 0x463f537b (Mon May 07 16:27:39 2007)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3570b 0x36000 6.63 23146977e391f9b4604c08ff8896529c
.rdata 0x37000 0xc052 0xd000 4.79 8e55626850359a0afa178454c443da0e
.data 0x44000 0xb4c0 0x3000 3.16 1e4d94eb9f564aae752ffbc9be5440c7
.rsrc 0x50000 0xaf4 0x1000 4.42 0b87ed20efa39f36e0ea69da8dda9aaf

( 7 imports ) 
> WS2_32.dll: -, -, -
> ADVAPI32.dll: SetSecurityDescriptorDacl, InitializeSecurityDescriptor, StartServiceA, QueryServiceStatus, CloseServiceHandle, OpenServiceA, OpenSCManagerA, RegCloseKey, RegQueryValueExA, RegOpenKeyExA, RegSetValueExA, RegDeleteValueA, RegCreateKeyExA, QueryServiceConfigA, RegNotifyChangeKeyValue
> KERNEL32.dll: GlobalAlloc, GlobalFree, lstrcmpA, TlsGetValue, GlobalReAlloc, GlobalHandle, TlsAlloc, TlsSetValue, LocalReAlloc, TlsFree, InterlockedDecrement, InterlockedIncrement, GlobalGetAtomNameA, GetThreadLocale, ResumeThread, GlobalFlags, lstrcmpW, GlobalDeleteAtom, GlobalFindAtomA, GlobalAddAtomA, GetLocaleInfoA, GetCPInfo, GetOEMCP, SetFilePointer, FlushFileBuffers, GlobalLock, CreateFileA, GetFileAttributesA, UnhandledExceptionFilter, SetUnhandledExceptionFilter, RaiseException, RtlUnwind, ExitThread, CreateThread, GetSystemTimeAsFileTime, IsDebuggerPresent, HeapAlloc, HeapFree, HeapReAlloc, GetCommandLineA, GetProcessHeap, GetStartupInfoA, HeapSize, ExitProcess, GetStdHandle, GetACP, IsValidCodePage, LCMapStringA, LCMapStringW, VirtualFree, HeapDestroy, HeapCreate, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, SetHandleCount, GetFileType, QueryPerformanceCounter, GetConsoleCP, GetConsoleMode, GetStringTypeA, GetStringTypeW, GetUserDefaultLCID, EnumSystemLocalesA, IsValidLocale, GetLocaleInfoW, SetStdHandle, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, GlobalUnlock, FormatMessageA, SetLastError, CreateFileW, WaitNamedPipeW, SetNamedPipeHandleState, WriteFile, SetWaitableTimer, GetOverlappedResult, ReadFile, GetCurrentThreadId, CreateEventW, CreateNamedPipeW, DisconnectNamedPipe, ConnectNamedPipe, lstrlenA, CompareStringA, MultiByteToWideChar, InterlockedExchange, WaitForMultipleObjects, LocalAlloc, LocalFree, CreateProcessA, GetModuleFileNameA, GetPrivateProfileIntA, GetTickCount, CopyFileA, TerminateProcess, MoveFileExA, GetVersion, VirtualAlloc, DeleteFileA, Sleep, ResetEvent, SetEvent, TerminateThread, DeleteCriticalSection, CreateEventA, InitializeCriticalSection, GetCurrentDirectoryA, GetComputerNameA, GetTempPathA, GetTempFileNameA, GetSystemDirectoryA, FindFirstFileA, FindNextFileA, FindClose, lstrcmpiA, OpenFile, GetLastError, WideCharToMultiByte, GetVersionExA, EnterCriticalSection, _lclose, LeaveCriticalSection, FindResourceA, LoadResource, LockResource, SizeofResource, CreateMutexA, GetModuleHandleA, WaitForSingleObject, GetExitCodeThread, lstrcpyA, lstrcatA, GetCurrentProcessId, OpenProcess, CloseHandle, ReadProcessMemory, WriteProcessMemory, GetCurrentProcess, LoadLibraryA, GetProcAddress, FreeLibrary, InterlockedCompareExchange
> USER32.dll: DestroyMenu, PostQuitMessage, RegisterWindowMessageA, LoadIconA, WinHelpA, GetCapture, GetClassLongA, SetPropA, GetPropA, RemovePropA, GetForegroundWindow, GetTopWindow, DestroyWindow, GetMessageTime, GetMessagePos, MapWindowPoints, SetForegroundWindow, GetClientRect, GetMenu, PostMessageA, CreateWindowExA, GetClassInfoExA, GetClassInfoA, RegisterClassA, AdjustWindowRectEx, CopyRect, DefWindowProcA, CallWindowProcA, SystemParametersInfoA, IsIconic, GetWindowPlacement, SetMenuItemBitmaps, GetMenuCheckMarkDimensions, LoadBitmapA, ModifyMenuA, EnableMenuItem, CheckMenuItem, SetWindowPos, SetWindowLongA, IsWindow, GetDlgItem, GetFocus, ClientToScreen, GetWindow, GetDlgCtrlID, GetWindowRect, GetClassNameA, PtInRect, SetWindowTextA, UnregisterClassA, SetWindowsHookExA, CallNextHookEx, GrayStringA, DrawTextExA, DispatchMessageA, PeekMessageA, ValidateRect, GetWindowTextA, LoadCursorA, GetSystemMetrics, GetDC, ReleaseDC, GetSysColor, GetSysColorBrush, UnhookWindowsHookEx, GetWindowThreadProcessId, SendMessageA, GetParent, GetWindowLongA, GetLastActivePopup, IsWindowEnabled, EnableWindow, MessageBoxA, GetMenuState, GetMenuItemID, GetMenuItemCount, GetSubMenu, wsprintfA, DrawTextA, TabbedTextOutA, GetKeyState
> GDI32.dll: TextOutA, ExtTextOutA, Escape, SelectObject, SetViewportOrgEx, OffsetViewportOrgEx, SetViewportExtEx, ScaleViewportExtEx, SetWindowExtEx, ScaleWindowExtEx, RectVisible, DeleteDC, GetStockObject, PtVisible, DeleteObject, GetDeviceCaps, SetMapMode, RestoreDC, SaveDC, SetBkColor, SetTextColor, GetClipBox, CreateBitmap
> WINSPOOL.DRV: OpenPrinterA, DocumentPropertiesA, ClosePrinter
> OLEAUT32.dll: -, -, -

( 61 exports ) 
__0TmProcessGuard@@QAE@KHH@Z, __0TmProcessGuard@@QAE@PBD0HH@Z, __0TmProcessGuard@@QAE@XZ, __0TmServiceGuard@@QAE@PBD00HH@Z, __0TmServiceGuard@@QAE@PBDKHH@Z, __0TmServiceGuard@@QAE@XZ, __1TmProcessGuard@@UAE@XZ, __1TmServiceGuard@@UAE@XZ, __4TmProcessGuard@@QAEXAAV0@@Z, __4TmServiceGuard@@QAEXAAV0@@Z, ___7TmProcessGuard@@6B@, ___7TmServiceGuard@@6B@, _BackupService@TmServiceGuard@@IAEXXZ, _CheckProcess@TmProcessGuard@@QAE_NAAVCStringArray@@@Z, _GetGuardInfo@TmProcessGuard@@QBEXAAKAAV_$CStringT@DV_$StrTraitMFC@DV_$ChTraitsCRT@D@ATL@@@@@ATL@@1AAH2@Z, _GetService@TmServiceGuard@@QAE_AV_$CStringT@DV_$StrTraitMFC@DV_$ChTraitsCRT@D@ATL@@@@@ATL@@XZ, _IsIPChanged@@YA_NPBDPADH@Z, _IsMonitor@TmProcessGuard@@IBE_NXZ, _IsNTPlatform@@YA_NXZ, _IsProcessAlive@TmProcessGuard@@MAE_NXZ, _IsProcessAlive@TmServiceGuard@@MAE_NXZ, _IsRetryNow@TmProcessGuard@@IBE_NXZ, _IsTheSame@TmProcessGuard@@QBE_NABV_$CStringT@DV_$StrTraitMFC@DV_$ChTraitsCRT@D@ATL@@@@@ATL@@0@Z, _IsTheSame@TmProcessGuard@@QBE_NK@Z, _IsTheSame@TmProcessGuard@@QBE_NPBV1@@Z, _IsValidProcess@TmProcessGuard@@QBE_NXZ, _QueryAllLog@TmProcessGuard@@QBEXAAVCStringArray@@@Z, _RegWatchDog_Ofc@@YA_NXZ, _RegWatchDog_Ofc_95@@YA_NXZ, _RegWatchDog_Ofc_NTRT@@YA_NXZ, _RegWatchDog_Ofc_PCCNTMON@@YA_NXZ, _RegWatchDog_Ofc_TMLISTEN@@YA_NXZ, _RegWatchDog_Ofc_TMPROXY@@YA_NXZ, _ResetMonitor@TmProcessGuard@@IAEXXZ, _ResetRetryCount@TmProcessGuard@@QAEXXZ, _ResetRetryTick@TmProcessGuard@@QAEXXZ, _ResetRetryVar@TmProcessGuard@@QAEXXZ, _RetryWakeupProcess@TmProcessGuard@@MAE_NXZ, _RetryWakeupProcess@TmServiceGuard@@MAE_NXZ, _SetMonitor@TmProcessGuard@@IAEXXZ, _SetProcessID@TmProcessGuard@@QAEXK@Z, _SetRetryCountLimit@TmProcessGuard@@QAEXH@Z, _SetRetryTickLimit@TmProcessGuard@@QAEXH@Z, _StepMonitor@TmProcessGuard@@IAEXXZ, _StepRetry@TmProcessGuard@@IAEXXZ, _UnRegWatchDog_Ofc@@YA_NXZ, _UnRegWatchDog_Ofc_95@@YA_NXZ, _UnRegWatchDog_Ofc_NTRT@@YA_NXZ, _UnRegWatchDog_Ofc_PCCNTMON@@YA_NXZ, _UnRegWatchDog_Ofc_TMLISTEN@@YA_NXZ, _UnRegWatchDog_Ofc_TMPROXY@@YA_NXZ, C_IsIPChanged, C_OfcDogLockFiles, C_RegWatchDog_Ofc, C_RegWatchDog_Ofc_PCCNTMON, C_RegWatchDog_Ofc_TMLISTEN, C_RegWatchDog_Ofc_TMPROXY, C_UnRegWatchDog_Ofc, C_UnRegWatchDog_Ofc_PCCNTMON, C_UnRegWatchDog_Ofc_TMLISTEN, C_UnRegWatchDog_Ofc_TMPROXY
 
ThreatExpert info: https://www.symantec.com?md5=481359bdfb169f2bf1059669e1d518d7

Utilisateur anonyme · Answer

ok 

un dernier : 

Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

Clique sur parcourir et cherche ce fichier : C:\Program Files\Rainbow Technologies\iKey 2000 Series Software\DkAutoReg.exe 



Clique sur Send File. 

Un rapport va s'élaborer ligne à ligne. 

Attends la fin. Il doit comprendre la taille du fichier envoyé. 

Sauvegarde le rapport avec le bloc-note. 

Copie le dans ta réponse.

Lasto97 · Answer

Antivirus Version Dernière mise à jour Résultat 
AhnLab-V3 2008.7.29.1 2008.07.30 - 
AntiVir 7.8.1.12 2008.07.30 - 
Authentium 5.1.0.4 2008.07.30 - 
Avast 4.8.1195.0 2008.07.30 - 
AVG 8.0.0.130 2008.07.30 - 
BitDefender 7.2 2008.07.30 - 
CAT-QuickHeal 9.50 2008.07.30 - 
ClamAV 0.93.1 2008.07.30 - 
DrWeb 4.44.0.09170 2008.07.30 - 
eSafe 7.0.17.0 2008.07.29 - 
eTrust-Vet 31.6.5995 2008.07.30 - 
Ewido 4.0 2008.07.30 - 
F-Prot 4.4.4.56 2008.07.30 - 
F-Secure 7.60.13501.0 2008.07.30 - 
Fortinet 3.14.0.0 2008.07.30 - 
GData 2.0.7306.1023 2008.07.30 - 
Ikarus T3.1.1.34.0 2008.07.30 - 
Kaspersky 7.0.0.125 2008.07.30 - 
McAfee 5349 2008.07.29 - 
Microsoft 1.3704 2008.07.28 - 
NOD32v2 3311 2008.07.30 - 
Norman 5.80.02 2008.07.30 - 
Panda 9.0.0.4 2008.07.30 - 
PCTools 4.4.2.0 2008.07.30 - 
Prevx1 V2 2008.07.30 - 
Rising 20.55.22.00 2008.07.30 - 
Sophos 4.31.0 2008.07.30 - 
Sunbelt 3.1.1537.1 2008.07.29 - 
Symantec 10 2008.07.30 - 
TheHacker 6.2.96.389 2008.07.25 - 
TrendMicro 8.700.0.1004 2008.07.30 - 
VBA32 3.12.8.1 2008.07.29 - 
ViRobot 2008.7.30.1317 2008.07.30 - 
VirusBuster 4.5.11.0 2008.07.30 - 
Webwasher-Gateway 6.6.2 2008.07.30 - 
Information additionnelle 
File size: 241664 bytes 
MD5...: 3f7f21897af25d4b0361f2da964fb809 
SHA1..: bb0eca1b67b181f92fe81e2f3dd83cabce51ba98 
SHA256: 18e1ff20ed5c269ce656743ad0fb8c9e5fa3be5df3b08831ec0fd422741224bc 
SHA512: de81276979c3b50de297012ce1ccc3e599e474077cddf085296d047363157fce
5e8ff216f36049941116cfc7ed63f367af63af21562f4a70b65da6abca8542b1 
PEiD..: Armadillo v1.71 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x40c685
timedatestamp.....: 0x3d3f338d (Wed Jul 24 23:09:01 2002)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2534a 0x26000 6.55 29c3951931d605678c200df180edc615
.rdata 0x27000 0x946a 0xa000 4.58 f1c18aac99d185d3c23ffccfe5935859
.data 0x31000 0xa248 0x6000 3.65 630af875d3bd1cbbc32d60959cb40845
.rsrc 0x3c000 0x31c0 0x4000 3.28 b21340e4001e6557ff21b69adf659926

( 12 imports ) 
> DkTools.dll: DK_FreeCertList, DK_DeleteCertFromStore, DK_TokenCertsToStore
> KERNEL32.dll: GetLocalTime, HeapSize, GetEnvironmentVariableA, GetVersionExA, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, IsBadWritePtr, UnhandledExceptionFilter, FreeEnvironmentStringsA, FreeEnvironmentStringsW, GetEnvironmentStrings, GetEnvironmentStringsW, SetHandleCount, GetACP, HeapReAlloc, LCMapStringA, LCMapStringW, SetUnhandledExceptionFilter, GetStringTypeA, GetStringTypeW, IsBadReadPtr, IsBadCodePtr, FindFirstFileA, GetVolumeInformationA, GlobalFree, CompareStringA, CompareStringW, GetTimeZoneInformation, RaiseException, ExitThread, CreateThread, HeapFree, TerminateProcess, ExitProcess, GetCommandLineA, GetStartupInfoA, HeapAlloc, RtlUnwind, GetFileTime, GetFileSize, GetFileAttributesA, GetFullPathNameA, GetFileType, FindClose, SuspendThread, SetThreadPriority, ResumeThread, SetEvent, WaitForSingleObject, GetModuleFileNameA, GlobalLock, GlobalAlloc, GlobalDeleteAtom, lstrcmpA, lstrcmpiA, GetCurrentThread, MultiByteToWideChar, WideCharToMultiByte, lstrlenA, InterlockedDecrement, InterlockedIncrement, FreeLibrary, OutputDebugStringA, CreateMutexA, GetSystemDirectoryA, CloseHandle, GetSystemTime, GetCurrentThreadId, GetCurrentProcessId, GetProcAddress, LoadLibraryA, SetEndOfFile, UnlockFile, LockFile, FlushFileBuffers, WriteFile, SetFilePointer, GetProfileStringA, GetCurrentProcess, ReadFile, CreateFileA, GetOEMCP, DuplicateHandle, SetErrorMode, GetCPInfo, GetThreadLocale, GetProcessVersion, SizeofResource, WritePrivateProfileStringA, lstrcpynA, GlobalFlags, TlsSetValue, TlsGetValue, LocalReAlloc, GlobalHandle, GlobalReAlloc, TlsFree, EnterCriticalSection, TlsAlloc, LocalAlloc, InitializeCriticalSection, LeaveCriticalSection, DeleteCriticalSection, FormatMessageA, FileTimeToLocalFileTime, FileTimeToSystemTime, SetLastError, LocalFree, MulDiv, GlobalGetAtomNameA, GetVersion, lstrcatA, lstrcpyA, GlobalAddAtomA, GlobalFindAtomA, GlobalUnlock, GetModuleHandleA, GetTickCount, LockResource, GetLastError, FindResourceA, LoadResource, CreateEventA, SetStdHandle, GetStdHandle, SetEnvironmentVariableA
> USER32.dll: GetNextDlgGroupItem, CopyAcceleratorTableA, CharNextA, PostThreadMessageA, MessageBeep, SetRect, InvalidateRect, InflateRect, GetSysColorBrush, PtInRect, GetClassNameA, GetDesktopWindow, LoadCursorA, DestroyMenu, GrayStringA, DrawTextA, TabbedTextOutA, EndPaint, BeginPaint, GetWindowDC, ClientToScreen, ShowWindow, MoveWindow, SetWindowTextA, IsDialogMessageA, UpdateWindow, SendDlgItemMessageA, MapWindowPoints, GetSysColor, SetFocus, AdjustWindowRectEx, ScreenToClient, CharUpperA, GetTopWindow, IsChild, GetCapture, WinHelpA, wsprintfA, GetClassInfoA, GetMenu, GetMenuItemCount, GetSubMenu, GetMenuItemID, GetWindowTextLengthA, GetWindowTextA, GetDlgCtrlID, DefWindowProcA, CreateWindowExA, GetClassLongA, SetPropA, UnhookWindowsHookEx, GetPropA, CallWindowProcA, RemovePropA, GetMessageTime, GetMessagePos, GetForegroundWindow, SetForegroundWindow, SetWindowLongA, RegisterWindowMessageA, OffsetRect, IntersectRect, SystemParametersInfoA, GetWindowPlacement, GetWindowRect, MapDialogRect, SetWindowPos, GetWindow, SetWindowContextHelpId, RegisterClipboardFormatA, CopyRect, GetDC, ReleaseDC, EndDialog, SetActiveWindow, IsWindow, CreateDialogIndirectParamA, DestroyWindow, GetDlgItem, GetMenuCheckMarkDimensions, LoadBitmapA, GetMenuState, ModifyMenuA, SetMenuItemBitmaps, CheckMenuItem, EnableMenuItem, GetFocus, GetNextDlgTabItem, GetMessageA, TranslateMessage, DispatchMessageA, GetActiveWindow, GetKeyState, CallNextHookEx, ValidateRect, IsWindowVisible, PeekMessageA, GetCursorPos, SetWindowsHookExA, GetParent, GetLastActivePopup, IsWindowEnabled, GetWindowLongA, SetCursor, PostQuitMessage, PostMessageA, LoadStringA, MessageBoxA, IsIconic, GetSystemMetrics, GetClientRect, DrawIcon, GetSystemMenu, AppendMenuA, SendMessageA, LoadIconA, EnableWindow, RegisterClassA, DefDlgProcA, HideCaret, ShowCaret, ExcludeUpdateRgn, DrawFocusRect, UnregisterClassA, IsWindowUnicode
> GDI32.dll: DeleteObject, GetDeviceCaps, GetViewportExtEx, GetWindowExtEx, CreateSolidBrush, PtVisible, RectVisible, ExtTextOutA, Escape, TextOutA, GetMapMode, DPtoLP, GetBkColor, LPtoDP, GetTextColor, CreateDIBitmap, BitBlt, GetTextExtentPointA, CreateCompatibleDC, IntersectClipRect, ScaleWindowExtEx, SetWindowExtEx, ScaleViewportExtEx, SetViewportExtEx, OffsetViewportOrgEx, SetViewportOrgEx, SetMapMode, SetBkMode, SelectObject, RestoreDC, SaveDC, DeleteDC, GetObjectA, SetBkColor, SetTextColor, GetClipBox, PatBlt, CreateBitmap, GetStockObject
> comdlg32.dll: GetFileTitleA
> WINSPOOL.DRV: DocumentPropertiesA, OpenPrinterA, ClosePrinter
> ADVAPI32.dll: RegCreateKeyExA, RegQueryValueExA, RegOpenKeyExA, RegCloseKey, SetSecurityDescriptorDacl, InitializeSecurityDescriptor, RegSetValueExA
> COMCTL32.dll: -
> oledlg.dll: -
> ole32.dll: StgCreateDocfileOnILockBytes, CoTaskMemFree, OleFlushClipboard, OleIsCurrentClipboard, StgOpenStorageOnILockBytes, CoRevokeClassObject, CreateILockBytesOnHGlobal, CLSIDFromProgID, CoFreeUnusedLibraries, OleInitialize, CoTaskMemAlloc, CLSIDFromString, OleUninitialize, CoGetClassObject, CoRegisterMessageFilter
> OLEPRO32.DLL: -
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -

( 0 exports )

Utilisateur anonyme · Answer

télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe (de Old_Timer) sur ton Bureau. 
double-clique sur OTMoveIt.exe pour le lancer. 
Assure toi que la case Unregister Dll's and Ocx's soit bien cochée 
copie la ligne qui se trouve en gras ci-dessous, 
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved. 

C:\WINDOWS\TEMP\XW5C79.EXE 


clique sur MoveIt! pour lancer la suppression. 
le résultat apparaitra dans le cadre "Results". 
clique sur Exit pour fermer. 
poste le rapport situé dans C:\_OTMoveIt\MovedFiles. 

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes. 


ensuite :


Télécharge DiagHelp.zip sur ton bureau : 

http://www.malekal.com/download/DiagHelp.zip 

!! déconnectes toi et fermes toutes tes applications en cours !! 

Fais un clic droit sur le fichier et extraire tout . 

--> Un nouveau dossier va être créé : "DiagHelp" 
Ouvres le et double-clic sur go.cmd et pas sur autre chose !

--> Une fenêtre va s'ouvrir, choisis l'option 1 
L'analyse va commencer, ce-ci peut durer quelques minutes, laisses faire et appuies sur une touche quand on te le demandera : 
une page IE va s'ouvrir , fermes la . 
Re-appuis sur une touche, le bloc-note s'ouvre : 
Sauvegardes ce rapport de façon à le retrouver et postes tout son contenu dans ta prochaine réponse ...

Lasto97 · Answer

C:\WINDOWS\TEMP\XW5C79.EXE moved successfully.
 
OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 07302008_161114

Lasto97 · Answer

Ca me dit "aucun fichier à extraire"

Utilisateur anonyme · Answer

va dans poste de travail
entre dans le disque C

entre dans le dossier windows

et vide le dossier prefetch 

ensuite désinstal java car pas a jours et telecharge et instal cette version :

https://sdlc-esd.oracle.com/ESD44/JSCDL/jdk/6u7/jre-6u7-windows-i586-p-s.exe?GroupName=JSC&FilePath=/ESD44/JSCDL/jdk/6u7/jre-6u7-windows-i586-p-s.exe&BHost=javadl.sun.com&File=jre-6u7-windows-i586-p-s.exe&AuthParam=1580978146_46494a57fbc0e7c89e79cfb72e28cd3a&ext=.exe


ensuite refais un scan hijackthis et post le rapport stp et on termine

Lyonnais92 · Answer

Re,

Chiquitine, laisse ce fichier temp qui est légitime.

Va voir les posts 2à à 24 et regarde le rapport ThreatExpert associé au rapport VirusTotal.

ce fichier génère des fichiers légitimes de Trend Micro.

C'est un truc qu'il faut connaître. Ca permet de maintenir "en vie" cet Av même quand le malware cherche à le tuer.

Utilisateur anonyme · Answer

re

C'est un truc qu'il faut connaître

en effet j ai pas relis le topic en entier et j aurais du

Lasto97 · Answer

Quand j'execute JAVA ça me dit "n'est psa une application win32 valide"

Utilisateur anonyme · Answer

ok 

redémarre le pc 

tu peux verifier ça :


Cliquer avec le bouton droit sur le Poste de travail et choisir " Propriétés ". 
Dans les propriétés système, sélectionner l' onglet Matériel puis Gestionnaire de périphériques 
Double-cliquer sur la ligne Contrôleur ATA/ATAPI IDE 
Double-cliquer successivement sur Canal IDE principal, puis Canal IDE secondaire. 
Dans l' onglet " Paramètres avancés, sous le cadre Périphérique 0, vérifiez que la commande est positionnée sur DMA si disponible et non sur PIO seulement

ensuite  réessai d installer java

Lasto97 · Answer

Non ça s'installe pas, même après ça.

Utilisateur anonyme · Answer

Télécharge RavAntivirus d'Evosla sur ton bureau : http://ww25.evosla.com/compteur.php?soft=rav_antivirus 
- Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir avant de lancer ce FIX 
- Clique droit sur le fichier .ZIP, puis "Extraire vers" Bureau. 
- Doucle-clique sur "RAV.exe" pour lancer le fix. 
- Laisse le programme agir : il scanne automatiquement tout les lecteurs (disques fixes et amovibles) 
. 
- Ensuite : retire tes disques amovibles et redémarre le PC. 


puis :


Télécharge sur ton bureau DSS (ex Comboscan) de Deckard: 

http://deckard.geekstogo.com/dss.exe


(choisis enregistrer, puis Bureau comme emplacement) 

Ferme toutes les applications en cours. 

Double-clic sur DSS.exe pour lancer l'outil. 

Une fenêtre s'ouvre, invitant à fermer toutes les applications, clique sur OK. 

A la fin de l'analyse, une fenêtre s'ouvre, clique sur OK. 

Le rapport main.txt va s'afficher, copie le dans ta prochaine réponse. 
Si un rapport complémentaire a été créé ( extra.txt ), poste le aussi dans ta réponse. 

Les rapports sont ici : 
(!) C:\Deckard\System Scanner\main.txt 
(!) C:\Deckard\System Scanner\extra.txt 

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 


ps : je vais au dodo bonne nuit

Lasto97 · Answer

Ca me dit "le dossier compressé n'est pas valide ou est endomagé".

Utilisateur anonyme · Answer

Salut


telecharge ce fichier :


http://perso.orange.fr/-Gof/DL/VaccinUSB.exe



il faut l executer et cliquer sur fix 

post le rapport VaccinUSB.txt dans la prochaine réponse stp

Lasto97 · Answer

Bonjour,
Il ne s'exécute pas, ça me met le message d'erreur "nest pas une application win32 valide"

Utilisateur anonyme · Answer

Veille a ce que le disque E soit branché mais pas ouvert 

télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe (de Old_Timer) sur ton Bureau. 
double-clique sur OTMoveIt.exe pour le lancer. 
Assure toi que la case Unregister Dll's and Ocx's soit bien cochée 
copie la ligne qui se trouve en gras ci-dessous, 
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved. 

E:\setup.exe
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6c138b72-2f24-11dd-a5a2-00080ddf4fdb}


clique sur MoveIt! pour lancer la suppression. 
le résultat apparaitra dans le cadre "Results". 
clique sur Exit pour fermer. 
poste le rapport situé dans C:\_OTMoveIt\MovedFiles. 
il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.

Lasto97 · Answer

File/Folder E:\setup.exe not found.
< HKEY_CURRENT_USER\software\microsoft\windows\currentversion\­explorer\mountpoints2\{6c138b72-2f24-11dd-a5a2-00080ddf4fdb} >
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\­explorer\mountpoints2\{6c138b72-2f24-11dd-a5a2-00080ddf4fdb}\ not found.
 
OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 07312008_083252

Utilisateur anonyme · Answer

Affiche tous les fichiers et dossiers : 
Pour cela : 
Clique sur démarrer/panneau de configuration/option des dossiers/affichage 

Cocher afficher les dossiers cacher 

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" 

Décocher masquer les extensions dont le type est connu 

Puis fais «appliquer» pour valider les changements. 

Et OK 


va dans poste de travail entre dans le disque E 
cherche et supprime : setup.exe

dans le disque C 
cherche et supprime : RavMon.exe 

dis moi si tu les trouves

Lasto97 · Answer

Mais il n'y a pas de disque E:
Le seul périphérique branché la c'est la clé de internet par satellite.

Utilisateur anonyme · Answer

"Scan en ligne de Kaspersky" https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr sous "Internet Explorer". 
Branche ton Disque Externe (clé USB) éventuellement 
- Clique sur "Démarrer Online-Scanner" ( en bas à droite de la page) . 
- Clique maintenant sur "J'accepte". 
- Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire. 
- Patiente pendant l'installation des "Mises à jour". 
Clic sur « Paramètres d'analyse » 
Coche la case "Étendue" >> Ok 
- Choisis par la suite l'analyse du "Poste de travail" pour faire un « Scan complet ». 
- Sauvegarde puis colle le rapport généré en fin d'analyse. 
http://i204.photobucket.com/albums/bb106/Juliet702/Kas-SaveReport-1.gif 
http://i204.photobucket.com/albums/bb106/Juliet702/Kas-Savetxt.gif

Lasto97 · Answer

Pendant le chargement ça m'a mis ça. 

Échec du chargement du contrôle ActiveX Kaspersky On-line Scanner!

Vous devez jouir des privilèges d'administrateur sur ce poste ;
en outre, il faut configurer le niveau de sécurité IE sur Moyen

Mais je suis en administrateur.

Lasto97 · Answer

C'est bon. J'ai recommencé et c'est passé. Ca fait la mise à jour, là.

Utilisateur anonyme · Answer

oki

Lasto97 · Answer

Enfin, à cause de ma lente connexion ça en a pris du temps, mais finalement voici le rapport Kaspersky

KASPERSKY ON-LINE SCANNER REPORT  
Thursday, July 31, 2008 1:42:42 PM
Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 31/07/2008
Enregistrements dans la base antivirus Kaspersky : 1034003
 
 
Paramètres d'analyse 
Analyser avec la base antivirus suivante étendue 
Analyser les archives vrai 
Analyser les bases de messagerie vrai 
 
Cible de l'analyse Poste de travail 
C:\
D:\  
 
Statistiques de l'analyse 
Total d'objets analysés 46258 
Nombre de virus trouvés 1 
Nombre d'objets infectés 1 / 0 
Nombre d'objets suspects 0 
Durée de l'analyse 01:24:47 

Nom de l'objet infecté Nom du virus Dernière action 
C:\autorun.inf\lpt3.This folder was created by Flash_Disinfector  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\Administrateur\Cookies\index.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\Administrateur\Local Settings\Historique\History.IE5\index.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\Administrateur\Local Settings\Historique\History.IE5\MSHist012008073120080801\index.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\index.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\Administrateur\NTUSER.DAT  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\Administrateur
tuser.dat.LOG  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\LocalService\Cookies\index.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\LocalService\NTUSER.DAT  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\LocalService
tuser.dat.LOG  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\NetworkService\NTUSER.DAT  L'objet est verrouillé  ignoré  
 
C:\Documents and Settings\NetworkService
tuser.dat.LOG  L'objet est verrouillé  ignoré  
 
C:\Program Files\Trend Micro\OfficeScan Client\SUSPECT\Data DIANA.exe  Infecté : Email-Worm.Win32.Brontok.q  ignoré  
 
C:\System Volume Information\MountPointManagerRemoteDatabase  L'objet est verrouillé  ignoré  
 
C:\System Volume Information\_restore{77FD3881-F341-4D81-9B9A-07B7AB21E0B0}\RP222\change.log  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\$NtUninstallKB833407$\bssym7.ttf  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\$NtUninstallKB835732$\callcont.dll  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\$NtUninstallKB835732$\cmdevtgprov.dll  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\$NtUninstallKB835732$\gdi32.dll  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\$NtUninstallKB835732$\h323.tsp  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\$NtUninstallKB835732$\h323msp.dll  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\$NtUninstallKB835732$\helpctr.exe  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\$NtUninstallKB835732$\ipnathlp.dll  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\$NtUninstallKB835732$\lsasrv.dll  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\$NtUninstallKB835732$\mf3216.dll  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\$NtUninstallKB835732$\msasn1.dll  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\$NtUninstallKB835732$\msgina.dll  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\$NtUninstallKB835732$\mst120.dll  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\$NtUninstallKB835732$
etapi32.dll  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\$NtUninstallKB835732$
mcom.dll  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\$NtUninstallKB835732$tcdll.dll  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\$NtUninstallKB835732$\schannel.dll  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\CSC\00000001  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\Debug\Netlogon.log  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\Debug\PASSWD.LOG  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\dkcip.log  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\SchedLgU.Txt  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\Sti_Trace.log  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\CatRoot2\edb.log  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\CatRoot2	mp.edb  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\AppEvent.Evt  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\default  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\default.LOG  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\Internet.evt  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\SAM  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\SAM.LOG  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\SecEvent.Evt  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\SECURITY  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\SECURITY.LOG  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\software  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\software.LOG  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\SysEvent.Evt  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\system  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\config\system.LOG  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\h323log.txt  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\Temp\Perflib_Perfdata_e1c.dat  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\wiadebug.log  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\wiaservc.log  L'objet est verrouillé  ignoré  
 
C:\WINDOWS\WindowsUpdate.log  L'objet est verrouillé  ignoré  
 
Analyse terminée.

Utilisateur anonyme · Answer

bon 

on elimine definitevement la cause bagle 

avant de telecharger msn sur 01 net 


y a t il eu quelques chose d installé sur le pc ?

une manipulation hasardeuse ?

Lasto97 · Answer

Après que j'aie interrogé mes soeurs, voici ce que je pense, une clé USB a été introduite dans l'ordinateur pour récupérer une chanson.
Cela s'est passé bien avant que j'essaye de télécharger MSN sur O1net

Utilisateur anonyme · Answer

oui y a en effet un soucis de ce coté 

mais il est etrange que ça provoque ce symptome


je te prepare un truc le temps de regarder un rapport

Utilisateur anonyme · Answer

edit

Lasto97 · Answer

------------------------------------------------------------­-- 
 
C: - Lecteur fixe

 
 
+- Listing des fichiers présents : 
 
AUTOEXEC.BAT 
boot.ini 
Bootfont.bin 
ComboFix.txt 
CONFIG.SYS 
drvsrch.txt 
INSTALL.LOG 
IO.SYS 
MSDOS.SYS 
NTDETECT.COM 
ntldr 
pagefile.sys 
SWSTAMP.TXT 
TCleaner.txt 
tmuninst.ini 
UNWISE.EXE 
 
 
+- Listing des dossiers présents : 
 
autorun.inf 
Combo-Fix 
Config.Msi 
Deckard 
Documents and Settings 
I386 
Intel 
MSOCache 
PamScan 
Program Files 
RECYCLER 
SUPPORT 
System Volume Information 
VALUEADD 
WINDOWS 
_OTMoveIt 
 
Dossier autorun.inf présent, crée par Flash_Disinfector 
 
 
------------------------------------------------------------------------

Utilisateur anonyme · Answer

dis moi la clé usb correpond au lecteur E ? tu confirme ?

Lasto97 · Answer

En fait la clé n'est pas à nous, donc je ne l'ai pas. Mais il est possible que ce soit elle. A parrt elle je n evois pas ce que ça pourrait être. On n'utilise pas de disque dur externe, ni de clé USB. C'était occasionnel, on leur a passé une clé, elles l'ont introduite, et terminé. Là je n'ai aucune clé USB en ma possession.

Utilisateur anonyme · Answer

Copie le texte ci-dessous : 



Registry:: 
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{caaa0ed6-8975-11dc-a55f-00080ddf4fdb}] 
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f5cd7da8-da49-11dc-a580-00080ddf4fdb}] 






Ouvre le Bloc-Notes puis colle le texte copié. 
(Démarrer\Tous les programmes\Accessoires\Bloc notes.) 
Sauvegarde ce fichier sous le nom de CFScript.txt

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous : 

http://sd-1.archive-host.com/membres/up/1366464061/CFScript.gif 

Cela va relancer Combofix, 

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide. 

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal! 

Ne touche à rien tant que le scan n'est pas terminé. 

Après redémarrage, poste le contenu du rapport Combofix.txt 

S'il n'y a pas de rédémarrage, poste quand même les rapports.

Lasto97 · Answer

Voici le rapport Combofix ComboFix 08-07-21.1 - Administrateur 2008-07-31 15:27:17.10 - NTFSx86 Endroit: C:\Documents and Settings\Administrateur\Bureau\nonabagle.exe Command switches used :: C:\Documents and Settings\Administrateur\Bureau\CFScript.txt * Création d'un nouveau point de restauration [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] . ((((((((((((((((((((((((((((( Fichiers créés 2008-06-28 to 2008-07-31 )))))))))))))))))))))))))))))))))))) . 2008-07-31 09:40 . 2008-07-31 09:40 d-------- C:\WINDOWS\system32\Kaspersky Lab 2008-07-30 16:11 . 2008-07-30 16:11 d-------- C:\_OTMoveIt 2008-07-30 08:53 . 2008-07-30 09:00 d-------- C:\WINDOWS\system32\XPSViewer 2008-07-30 08:53 . 2008-07-30 08:53 d-------- C:\Program Files\Reference Assemblies 2008-07-30 08:53 . 2008-07-30 08:53 d-------- C:\Program Files\MSBuild 2008-07-30 08:51 . 2006-06-29 13:07 14,048 --------- C:\WINDOWS\system32\spmsg2.dll 2008-07-30 08:42 . 2008-07-30 08:42 d-------- C:\Program Files\MSXML 6.0 2008-07-26 14:34 . 2008-07-26 15:52 d-------- C:\WINDOWS\BDOSCAN8 2008-07-26 11:23 . 2008-07-26 11:23 d-------- C:\Program Files\CCleaner 2008-07-26 10:21 . 2008-07-26 10:21 d-------- C:\Program Files\Malwarebytes' Anti-Malware 2008-07-26 10:21 . 2008-07-26 10:21 d-------- C:\Documents and Settings\Administrateur\Application Data\Malwarebytes 2008-07-26 10:21 . 2008-07-26 10:21 d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Malwarebytes 2008-07-26 10:21 . 2008-07-26 10:21 d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\Malwarebytes 2008-07-26 10:21 . 2008-07-23 20:09 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-07-26 10:21 . 2008-07-23 20:09 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-07-25 19:36 . 2008-07-25 19:36 d--h----- C:\WINDOWS\PIF 2008-07-22 08:04 . 2008-07-22 08:04 d-------- C:\Deckard 2008-07-21 13:33 . 2008-07-21 13:55 d-------- C:\Program Files\RegistryQuick 2008-07-17 17:25 . 2008-07-17 17:28 d-------- C:\Combo-Fix 2008-06-25 16:59 . 2008-06-25 16:59 d-------- C:\Program Files\Microsoft CAPICOM 2.1.0.2 2008-06-21 14:52 . 2008-06-14 13:59 272,768 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys 2008-06-21 13:28 . 2008-06-21 13:55 d--hsc--- C:\Program Files\Fichiers communs\WindowsLiveInstaller 2008-06-21 13:27 . 2008-07-23 15:04 d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\WLInstaller 2008-06-02 16:39 . 2008-06-02 16:39 dr-h----- C:\Documents and Settings\Administrateur\Application Data\SecuROM 2008-06-02 16:39 . 2008-06-02 16:39 dr-h----- C:\DOCUME~1\ADMINI~1\APPLIC~1\SecuROM 2008-06-02 16:39 . 2008-06-02 16:39 107,888 --a------ C:\WINDOWS\system32\CmdLineExt.dll 2008-06-02 16:29 . 2008-06-02 16:29 d-------- C:\Program Files\Fichiers communs\MainConcept 2008-06-02 16:29 . 2003-03-18 21:20 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-07-30 20:32 --------- d-----w C:\Program Files\Java 2008-07-30 19:24 --------- d-----w C:\Program Files\Trend Micro 2008-07-17 04:04 --------- d-----w C:\Program Files\Microsoft Works 2008-07-16 01:14 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\MSN6 2008-07-16 01:14 --------- d-----w C:\DOCUME~1\ADMINI~1\APPLIC~1\MSN6 2008-06-30 15:04 --------- d-----w C:\Program Files\Bac_v7 2008-06-14 17:59 272,768 ------w C:\WINDOWS\system32\drivers\bthport.sys 2008-06-02 20:28 --------- d-----w C:\Program Files\Micro Application 2008-05-31 15:21 --------- d-----w C:\Program Files\OrgangeFrance . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 19:09 15360] "TOSCDSPD"="C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe" [2003-09-15 12:19 65536] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IgfxTray"="C:\WINDOWS\System32\igfxtray.exe" [2003-04-06 20:19 155648] "HotKeysCmds"="C:\WINDOWS\System32\hkcmd.exe" [2003-04-06 20:07 114688] "00THotkey"="C:\WINDOWS\System32\[u]0[/u]0THotkey.exe" [2003-05-23 09:20 253952] "Apoint"="C:\Program Files\Apoint2K\Apoint.exe" [2003-07-17 13:38 159744] "TouchED"="C:\Program Files\TOSHIBA\TouchED\TouchED.Exe" [2003-03-11 08:58 122880] "PadTouch"="C:\Program Files\TOSHIBA\PadTouch\PadExe.exe" [2003-11-24 06:51 1019904] "ezShieldProtector for Px"="C:\WINDOWS\System32\ezSP_Px.exe" [2002-08-20 06:29 40960] "DkAutoReg.exe"="C:\Program Files\Rainbow Technologies\iKey 2000 Series Software\DkAutoReg.exe" [2002-07-24 20:09 241664] "DkStartup"="C:\Program Files\Rainbow Technologies\iKey 2000 Series Software\DkStartup.exe" [2002-07-24 20:12 217088] "OfficeScanNT Monitor"="C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" [2007-05-08 00:43 702072] "000StTHK"="000StTHK.exe" [2001-06-23 15:28 24576 C:\WINDOWS\system32\[u]0[/u]00StTHK.exe] "LTSMMSG"="LTSMMSG.exe" [2003-04-18 06:06 32768 C:\WINDOWS\ltsmmsg.exe] "TFNF5"="TFNF5.exe" [2003-10-15 12:03 73728 C:\WINDOWS\system32\TFNF5.exe] "TPSMain"="TPSMain.exe" [2003-12-01 07:09 266240 C:\WINDOWS\system32\TPSMain.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 19:09 15360] C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\DMARRA~1\ Orange Caraibes.lnk - C:\Program Files\OrgangeFrance\Orange Caraibes\Orange Caraibes.exe [2008-01-14 14:01:50 872448] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.mpg4"= C:\WINDOWS\mpg4c32.dll "vidc.mpg2"= C:\WINDOWS\mpg4c32.dll "vidc.mpg3"= C:\WINDOWS\mpg4c32.dll "vidc.GEOX"= C:\WINDOWS\system32\GeoCodec.dll [HKLM\~\startupfolder\C:^Documents and Settings^Administrateur^Menu Démarrer^Programmes^Démarrage^Lancement rapide de Microsoft Office OneNote 2003.lnk] path=C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\Lancement rapide de Microsoft Office OneNote 2003.lnk backup=C:\WINDOWS\pss\Lancement rapide de Microsoft Office OneNote 2003.lnkStartup [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk backup=C:\WINDOWS\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide de Microsoft Office OneNote 2003.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide de Microsoft Office OneNote 2003.lnk backup=C:\WINDOWS\pss\Lancement rapide de Microsoft Office OneNote 2003.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Drag'n Drop CD+DVD] --------- 2003-08-08 18:54 1175552 C:\Program Files\Drag'n Drop CD+DVD\BinFiles\DragDrop.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "C:\Program Files\Messenger\msmsgs.exe"= R3 GT72NDISIPXP;GT 72 IP NDIS;C:\WINDOWS\system32\DRIVERS\Gt51Ip.sys [2007-07-09 14:17] R3 GT72UBUS;GT 72 U BUS;C:\WINDOWS\system32\DRIVERS\gt72ubus.sys [2007-06-26 13:38] R3 GTPTSER;GT PT SER;C:\WINDOWS\system32\DRIVERS\gtptser.sys [2007-03-30 13:38] R3 iKeyEnum;Rainbow iKey Enumerator;C:\WINDOWS\system32\DRIVERS\ikeyenum.sys [2004-03-16 03:04] R3 iKeyIFD;Rainbow iKey Virtual Reader;C:\WINDOWS\system32\DRIVERS\ikeyifd.sys [2004-03-16 03:04] S3 PAMScan;PAMScan;C:\WINDOWS\System32\DRIVERS\PAMScan.SYS [2003-09-06 10:22] S3 RnbToken;Rainbow iKey Token Service;C:\WINDOWS\system32\DRIVERS\rnbtoken.sys [2004-03-16 03:04] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6c138b72-2f24-11dd-a5a2-00080ddf4fdb}] \Shell\AutoRun\command - E:\setup.exe AUTORUN=1 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{caaa0ed6-8975-11dc-a55f-00080ddf4fdb}] \Shell\AutoRun\command - RavMon.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f5cd7da8-da49-11dc-a580-00080ddf4fdb}] \Shell\AutoRun\command - RavMon.exe . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-07-31 15:31:57 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cachés ... Balayage caché autostart entries ... Balayage des fichiers cachés ... Scan terminé avec succès Les fichiers cachés: 0 ************************************************************************** . Temps d'accomplissement: 2008-07-31 15:35:46 ComboFix-quarantined-files.txt 2008-07-31 19:35:36 ComboFix2.txt 2008-07-29 21:25:06 Pre-Run: 27,892,445,184 octets libres Post-Run: 27,938,078,720 octets libres 126 --- E O F --- 2008-07-17 04:07:11

Lasto97 · Answer

Est-ce que tu as vu un certain "Freeloader_Smitfraud" parce que quand je lance ComboFix, l'antivirus OfficeScan trouve ça.
OfficeScan has detected one or more spyware/grayware on your computer.
For detailed information about the spyware/grayware, click the spyware/grayware name.

Et c'est le nom du spyware/grayware

Lasto97 · Answer

Salut, est-ce que tu vois ce qu'il faudrait faire pour la suite?

Utilisateur anonyme · Answer

Salut

Affiche tous les fichiers et dossiers : 
Pour cela : 
Clique sur démarrer/panneau de configuration/option des dossiers/affichage 

Cocher afficher les dossiers cacher 

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" 

Décocher masquer les extensions dont le type est connu 

Puis fais «appliquer» pour valider les changements. 

Et OK 

ensuite va dans poste de travail
entre dans le disque C

trouve et supprime si present : RavMon.exe

Lasto97 · Answer

Il n'est pas présent, je viens de regarder. Je l'avais déjà supprimé la semaine dernière.

Utilisateur anonyme · Answer

ok 

fais ceci stp


Télécharge sur ton bureau DSS (ex Comboscan) de Deckard: 

http://deckard.geekstogo.com/dss.exe


(choisis enregistrer, puis Bureau comme emplacement) 

Ferme toutes les applications en cours. 

Double-clic sur DSS.exe pour lancer l'outil. 

Une fenêtre s'ouvre, invitant à fermer toutes les applications, clique sur OK. 

A la fin de l'analyse, une fenêtre s'ouvre, clique sur OK. 

Le rapport main.txt va s'afficher, copie le dans ta prochaine réponse. 
Si un rapport complémentaire a été créé ( extra.txt ), poste le aussi dans ta réponse. 

Les rapports sont ici : 
(!) C:\Deckard\System Scanner\main.txt 
(!) C:\Deckard\System Scanner\extra.txt 

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Lasto97 · Answer

Deckard's System Scanner v20071014.68
Run by Administrateur on 2008-08-01 10:42:31
Computer is in Normal Mode.
--------------------------------------------------------------------------------

[color=red]Total Physical Memory: 239 MiB (512 MiB recommended).[/color]


-- HijackThis (run as Administrateur.exe) --------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:42:52, on 01/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\System32\DkLog.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Trend Micro\OfficeScan Client
trtscan.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\OfficeScan Client	mlisten.exe
C:\WINDOWS\System32\dkcktkn.exe
C:\Program Files\Trend Micro\OfficeScan Client\TmPfw.exe
C:\WINDOWS\TEMP\YSEA86.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Trend Micro\OfficeScan Client\CNTAoSMgr.exe
C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
C:\Program Files\TOSHIBA\PadTouch\PadExe.exe
C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe
C:\WINDOWS\System32\00THotkey.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\Rainbow Technologies\iKey 2000 Series Software\DkAutoReg.exe
C:\Program Files\Drag'n Drop CD+DVD\BinFiles\DragDrop.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\LTSMMSG.exe
C:\WINDOWS\system32\TFNF5.exe
C:\WINDOWS\system32\TPSMain.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\TOSHIBA\TOSCDSPD	oscdspd.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Program Files\OrgangeFrance\Orange Caraibes\Orange Caraibes.exe
C:\Documents and Settings\Administrateur\Bureau\dss.exe
C:\PROGRA~1\TRENDM~1\HIJACK~1\Administrateur.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [TouchED] C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [PadTouch] "C:\Program Files\TOSHIBA\PadTouch\PadExe.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [DkAutoReg.exe] C:\Program Files\Rainbow Technologies\iKey 2000 Series Software\DkAutoReg.exe
O4 - HKLM\..\Run: [DkStartup] C:\Program Files\Rainbow Technologies\iKey 2000 Series Software\DkStartup.exe
O4 - HKLM\..\Run: [Drag'n Drop CD+DVD] C:\Program Files\Drag'n Drop CD+DVD\BinFiles\DragDrop.exe /StartUp
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD	oscdspd.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Orange Caraibes.lnk = C:\Program Files\OrgangeFrance\Orange Caraibes\Orange Caraibes.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file:///C:\Program Files\TOSHIBA\Free Update Service\splash.html
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {1856D980-6604-4504-AE2E-6EEE0235FCF5} - http://www.certeurope.fr/fichiers/activesign/1.2.0.2/ActiveSign.CAB
O16 - DPF: {1DB93715-3B60-43EE-93E6-279BB3E1DF76} - http://213.16.24.101:8080/cab/OCXChecker_6110.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {DBAFE6AD-DC14-45DF-A3F7-F8832289A1CD} - http://213.16.24.101:8080/cab/DownloadFile_7000.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = vauclin.sud
O17 - HKLM\Software\..\Telephony: DomainName = vauclin.sud
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = vauclin.sud
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = vauclin.sud
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Datakey's Log Service (DkLogger) - Datakey, Inc. - C:\WINDOWS\System32\DkLog.exe
O23 - Service: Datakey's Token Service (DkTknSrv) - Datakey, Inc. - C:\WINDOWS\System32\dkcktkn.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client
trtscan.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: OfficeScan NT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client	mlisten.exe
O23 - Service: OfficeScan NT Firewall (TmPfw) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\TmPfw.exe
O23 - Service: OfficeScan NT Proxy Service (TmProxy) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\TmProxy.exe

Utilisateur anonyme · Answer

pas de rapport extra.txt ???

Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

Clique sur parcourir et cherche ce fichier :  C:\WINDOWS\swsc.exe


Clique sur Send File. 

Un rapport va s'élaborer ligne à ligne. 

Attends la fin. Il doit comprendre la taille du fichier envoyé. 

Sauvegarde le rapport avec le bloc-note. 

Copie le dans ta réponse.

Lasto97 · Answer

Non, pas de rapport extra.txt.
Voici le rapport de VirusTotal. Ca m'a dit que le fichier a déjà été analysé. J'ai fait réanalyser et voici : 

Fichier swsc.exe reçu le 2008.08.01 16:55:28 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE 


Résultat: 1/36 (2.78%)
en train de charger les informations du serveur... 
Votre fichier est dans la file d'attente, en position: ___.
L'heure estimée de démarrage est entre ___ et ___ .
Ne fermez pas la fenêtre avant la fin de l'analyse. 
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier. 
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération. 
 Formaté Impression des résultats  
Votre fichier a expiré ou n'existe pas. 
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée. 
 Email:  
  

Antivirus Version Dernière mise à jour Résultat 
AhnLab-V3 2008.7.29.1 2008.08.01 - 
AntiVir 7.8.1.15 2008.08.01 - 
Authentium 5.1.0.4 2008.07.31 - 
Avast 4.8.1195.0 2008.07.31 - 
AVG 8.0.0.156 2008.08.01 - 
BitDefender 7.2 2008.08.01 - 
CAT-QuickHeal 9.50 2008.07.31 - 
ClamAV 0.93.1 2008.08.01 - 
DrWeb 4.44.0.09170 2008.08.01 - 
eSafe 7.0.17.0 2008.07.29 Suspicious File 
eTrust-Vet 31.6.6001 2008.08.01 - 
Ewido 4.0 2008.08.01 - 
F-Prot 4.4.4.56 2008.07.31 - 
F-Secure 7.60.13501.0 2008.08.01 - 
Fortinet 3.14.0.0 2008.08.01 - 
GData 2.0.7306.1023 2008.08.01 - 
Ikarus T3.1.1.34.0 2008.08.01 - 
K7AntiVirus 7.10.399 2008.07.31 - 
Kaspersky 7.0.0.125 2008.08.01 - 
McAfee 5351 2008.07.31 - 
Microsoft 1.3704 2008.07.28 - 
NOD32v2 3317 2008.08.01 - 
Norman 5.80.02 2008.08.01 - 
Panda 9.0.0.4 2008.08.01 - 
PCTools 4.4.2.0 2008.08.01 - 
Prevx1 V2 2008.08.01 - 
Rising 20.55.42.00 2008.08.01 - 
Sophos 4.31.0 2008.08.01 - 
Sunbelt 3.1.1537.1 2008.08.01 - 
Symantec 10 2008.08.01 - 
TheHacker 6.2.96.391 2008.07.31 - 
TrendMicro 8.700.0.1004 2008.08.01 - 
VBA32 3.12.8.2 2008.08.01 - 
ViRobot 2008.8.1.1321 2008.08.01 - 
VirusBuster 4.5.11.0 2008.08.01 - 
Webwasher-Gateway 6.6.2 2008.08.01 - 
Information additionnelle 
File size: 136704 bytes 
MD5...: b7517db073b28f5696a1e5528abeb5d0 
SHA1..: 00febdeb479da8a4ef7bc79d09aca261a71ceabb 
SHA256: c6ee03a9b48edf36833bb3d7d27d616a0df8929305f2c841e3e4cdc467bb3a92 
SHA512: c89db2bb837dd8e1d004154ff0cf13e31a4bf3683e5dcdf55383b9b9b640fcf3
6c386fb81ac3361a830cb205dae4461eeb7167cd0e437af0a7783a4629d3a4a9 
PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x46e340
timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x4d000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x4e000 0x21000 0x20600 7.88 8cd65322150cae19cccbf33bfb94bcab
.rsrc 0x6f000 0x1000 0xc00 4.13 0a2ba89ef9c839586b28cfb26d605a68

( 6 imports ) 
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, ExitProcess
> advapi32.dll: GetAce
> ole32.dll: CoInitialize
> oleaut32.dll: VariantCopy
> user32.dll: CharNextW
> version.dll: VerQueryValueA

( 0 exports ) 
 
ThreatExpert info: https://www.symantec.com?md5=b7517db073b28f5696a1e5528abeb5d0 
packers (Kaspersky): UPX 
packers (F-Prot): UPX

Utilisateur anonyme · Answer

peux tu recommencer stp car :

mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE 


et envoyer le rapport du fuchier deja analysé stp

Lasto97 · Answer

En fait ça écrit ça quand on fait le copier coller, mais ce n'est pas ce qui est écrit en vrai. J'ai remarqué ça la dernière fois. Ce qui est écris en vrai c'est "Fichier swsc.exe reçu le 2008.08.01 17:05:47 (CET)
Situation actuelle: terminé
Résultat: 1/36 (2.78%)"
Mais quand je fais copier coller ça écrit Fichier swsc.exe reçu le 2008.08.01 17:05:47 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE 


Résultat: 1/36 (2.78%)

Je copmprends pas. Bref J'ai refais l'analyse et ça va faire la même chose


Fichier swsc.exe reçu le 2008.08.01 17:05:47 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE 


Résultat: 1/36 (2.78%)
en train de charger les informations du serveur... 
Votre fichier est dans la file d'attente, en position: ___.
L'heure estimée de démarrage est entre ___ et ___ .
Ne fermez pas la fenêtre avant la fin de l'analyse. 
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier. 
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération. 
 Formaté Impression des résultats  
Votre fichier a expiré ou n'existe pas. 
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée. 
 Email:  
  

Antivirus Version Dernière mise à jour Résultat 
AhnLab-V3 2008.7.29.1 2008.08.01 - 
AntiVir 7.8.1.15 2008.08.01 - 
Authentium 5.1.0.4 2008.07.31 - 
Avast 4.8.1195.0 2008.07.31 - 
AVG 8.0.0.156 2008.08.01 - 
BitDefender 7.2 2008.08.01 - 
CAT-QuickHeal 9.50 2008.07.31 - 
ClamAV 0.93.1 2008.08.01 - 
DrWeb 4.44.0.09170 2008.08.01 - 
eSafe 7.0.17.0 2008.07.29 Suspicious File 
eTrust-Vet 31.6.6001 2008.08.01 - 
Ewido 4.0 2008.08.01 - 
F-Prot 4.4.4.56 2008.07.31 - 
F-Secure 7.60.13501.0 2008.08.01 - 
Fortinet 3.14.0.0 2008.08.01 - 
GData 2.0.7306.1023 2008.08.01 - 
Ikarus T3.1.1.34.0 2008.08.01 - 
K7AntiVirus 7.10.399 2008.07.31 - 
Kaspersky 7.0.0.125 2008.08.01 - 
McAfee 5351 2008.07.31 - 
Microsoft 1.3704 2008.07.28 - 
NOD32v2 3317 2008.08.01 - 
Norman 5.80.02 2008.08.01 - 
Panda 9.0.0.4 2008.08.01 - 
PCTools 4.4.2.0 2008.08.01 - 
Prevx1 V2 2008.08.01 - 
Rising 20.55.42.00 2008.08.01 - 
Sophos 4.31.0 2008.08.01 - 
Sunbelt 3.1.1537.1 2008.08.01 - 
Symantec 10 2008.08.01 - 
TheHacker 6.2.96.391 2008.07.31 - 
TrendMicro 8.700.0.1004 2008.08.01 - 
VBA32 3.12.8.2 2008.08.01 - 
ViRobot 2008.8.1.1321 2008.08.01 - 
VirusBuster 4.5.11.0 2008.08.01 - 
Webwasher-Gateway 6.6.2 2008.08.01 - 
Information additionnelle 
File size: 136704 bytes 
MD5...: b7517db073b28f5696a1e5528abeb5d0 
SHA1..: 00febdeb479da8a4ef7bc79d09aca261a71ceabb 
SHA256: c6ee03a9b48edf36833bb3d7d27d616a0df8929305f2c841e3e4cdc467bb3a92 
SHA512: c89db2bb837dd8e1d004154ff0cf13e31a4bf3683e5dcdf55383b9b9b640fcf3
6c386fb81ac3361a830cb205dae4461eeb7167cd0e437af0a7783a4629d3a4a9 
PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x46e340
timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x4d000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x4e000 0x21000 0x20600 7.88 8cd65322150cae19cccbf33bfb94bcab
.rsrc 0x6f000 0x1000 0xc00 4.13 0a2ba89ef9c839586b28cfb26d605a68

( 6 imports ) 
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, ExitProcess
> advapi32.dll: GetAce
> ole32.dll: CoInitialize
> oleaut32.dll: VariantCopy
> user32.dll: CharNextW
> version.dll: VerQueryValueA

( 0 exports ) 
 
ThreatExpert info: https://www.symantec.com?md5=b7517db073b28f5696a1e5528abeb5d0 
packers (Kaspersky): UPX 
packers (F-Prot): UPX

Utilisateur anonyme · Answer

c est en fait un fichier de smithfraud mais logiquement il devrait etre dans system32 et il date du 16 juillet 

as tu utiliser smithfraud ce jours la ? 

Affiche tous les fichiers et dossiers : 
Pour cela : 
Clique sur démarrer/panneau de configuration/option des dossiers/affichage 

Cocher afficher les dossiers cacher 

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" 

Décocher masquer les extensions dont le type est connu 

Puis fais «appliquer» pour valider les changements. 

Et OK 


télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe (de Old_Timer) sur ton Bureau. 
double-clique sur OTMoveIt.exe pour le lancer. 
Assure toi que la case Unregister Dll's and Ocx's soit bien cochée 
copie la ligne qui se trouve en gras ci-dessous, 
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved. 

C:\autorun.inf 

clique sur MoveIt! pour lancer la suppression. 
le résultat apparaitra dans le cadre "Results". 
clique sur Exit pour fermer. 
poste le rapport situé dans C:\_OTMoveIt\MovedFiles. et test pour win32 non valide

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.

Lasto97 · Answer

Non je n'ai pas utilisé smithfraud, je sais meme pas ce que c'est...

Voici le rapport 

C:\autorun.inf moved successfully.
 
OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 08012008_112230

Utilisateur anonyme · Answer

toujours le message ?? je verifie pour : swsc.exe

Utilisateur anonyme · Answer

double-clique sur OTMoveIt.exe pour le lancer. 
Assure toi que la case Unregister Dll's and Ocx's soit bien cochée 
copie la ligne qui se trouve en gras ci-dessous, 
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved. 

C:\WINDOWS\swsc.exe

clique sur MoveIt! pour lancer la suppression. 
le résultat apparaitra dans le cadre "Results". 
clique sur Exit pour fermer. 
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

Lasto97 · Answer

Qu'est-ce que tu entends par "et test pour win32 non valide" ?

Utilisateur anonyme · Answer

constates tu la presence du message "n est pas une apliquation win32 valide" ??

Lasto97 · Answer

Voici 

C:\WINDOWS\swsc.exe moved successfully.
 
OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 08012008_113452

Lasto97 · Answer

Jusqu'a présent là j'ai pu faire tout ce que tu m'as demandé sans le voir. Sinon j'aurais pas pu l'exécuter.
Mais jusque là ça va. 
Sinon est-ce que tu veux que je teste un programme en particulier?

Utilisateur anonyme · Answer

EDIT

Utilisateur anonyme · Answer

OUI 

on va tester hijackthis pour commencer 

Télécharge HijackThis ici : 

->  http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe 


Tutoriel d´instalation : 

-> https://forums.cnetfrance.fr

Tutoriel d´utilisation :  

-> https://forums.cnetfrance.fr

Post le rapport généré ici stp...

Lasto97 · Answer

Je suis le tutoriel d'installation? Ou bien je l'installe sans rien toucher et j'exécute directement?

Utilisateur anonyme · Answer

tu l éxécute tu clic et tu clic sur do a syqtem scan and save a logfile et tu post le rapport

Lasto97 · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:48:20, on 01/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\System32\DkLog.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Trend Micro\OfficeScan Client
trtscan.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\OfficeScan Client	mlisten.exe
C:\WINDOWS\System32\dkcktkn.exe
C:\Program Files\Trend Micro\OfficeScan Client\TmPfw.exe
C:\WINDOWS\TEMP\YSEA86.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Trend Micro\OfficeScan Client\CNTAoSMgr.exe
C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
C:\Program Files\TOSHIBA\PadTouch\PadExe.exe
C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe
C:\WINDOWS\System32\00THotkey.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\Rainbow Technologies\iKey 2000 Series Software\DkAutoReg.exe
C:\Program Files\Drag'n Drop CD+DVD\BinFiles\DragDrop.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\LTSMMSG.exe
C:\WINDOWS\system32\TFNF5.exe
C:\WINDOWS\system32\TPSMain.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\TOSHIBA\TOSCDSPD	oscdspd.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Program Files\OrgangeFrance\Orange Caraibes\Orange Caraibes.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [TouchED] C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [PadTouch] "C:\Program Files\TOSHIBA\PadTouch\PadExe.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [DkAutoReg.exe] C:\Program Files\Rainbow Technologies\iKey 2000 Series Software\DkAutoReg.exe
O4 - HKLM\..\Run: [DkStartup] C:\Program Files\Rainbow Technologies\iKey 2000 Series Software\DkStartup.exe
O4 - HKLM\..\Run: [Drag'n Drop CD+DVD] C:\Program Files\Drag'n Drop CD+DVD\BinFiles\DragDrop.exe /StartUp
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD	oscdspd.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Orange Caraibes.lnk = C:\Program Files\OrgangeFrance\Orange Caraibes\Orange Caraibes.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file:///C:\Program Files\TOSHIBA\Free Update Service\splash.html
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {1856D980-6604-4504-AE2E-6EEE0235FCF5} - http://www.certeurope.fr/fichiers/activesign/1.2.0.2/ActiveSign.CAB
O16 - DPF: {1DB93715-3B60-43EE-93E6-279BB3E1DF76} - http://213.16.24.101:8080/cab/OCXChecker_6110.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {DBAFE6AD-DC14-45DF-A3F7-F8832289A1CD} - http://213.16.24.101:8080/cab/DownloadFile_7000.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = vauclin.sud
O17 - HKLM\Software\..\Telephony: DomainName = vauclin.sud
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = vauclin.sud
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = vauclin.sud
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Datakey's Log Service (DkLogger) - Datakey, Inc. - C:\WINDOWS\System32\DkLog.exe
O23 - Service: Datakey's Token Service (DkTknSrv) - Datakey, Inc. - C:\WINDOWS\System32\dkcktkn.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client
trtscan.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: OfficeScan NT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client	mlisten.exe
O23 - Service: OfficeScan NT Firewall (TmPfw) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\TmPfw.exe
O23 - Service: OfficeScan NT Proxy Service (TmProxy) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\TmProxy.exe

Utilisateur anonyme · Answer

Télécharge ToolsCleaner sur ton bureau. 
--> 
ftp://ftp.commentcamarche.com/download/ToolsCleaner2.exe
http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner
http://pc-system.fr/ 

# Clique sur Recherche et laisse le scan agir ... 
# Clique sur Suppression pour finaliser. 
# Tu peux, si tu le souhaites, te servir des Options facultatives. 
# Clique sur Quitter pour obtenir le rapport. 
# Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

Lasto97 · Answer

C'était ce programme que je n'arrivais pas à installer l'autre jour. Il me mettait aussi le win32 non valide. Voyons voir aujourd'hui.

Utilisateur anonyme · Answer

YES voyons, et croisons les doigts

Lasto97 · Answer

Ok voici ça a marché

-->- Recherche: 

C:\Qoobox: trouvé !
C:\_OtMoveIt: trouvé !
C:\Documents and Settings\Administrateur\Bureau\Dss.exe: trouvé !
C:\Documents and Settings\Administrateur\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\Administrateur\Bureau\DiagHelp.zip: trouvé !
C:\Documents and Settings\Administrateur\Bureau\HJTInstall.exe: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !

---------------------------------
-->- Suppression: 

C:\Documents and Settings\Administrateur\Bureau\Dss.exe: supprimé !
C:\Documents and Settings\Administrateur\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\Administrateur\Bureau\DiagHelp.zip: supprimé !
C:\Documents and Settings\Administrateur\Bureau\HJTInstall.exe: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Qoobox: supprimé !
C:\_OtMoveIt: Erreur de suppression !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

Utilisateur anonyme · Answer

ok parfait

on va laisser ainsi , si tu constate l apparition du message reviens nous voir 

@++

Bonne soirée

Lasto97 · Answer

OK. Donc c'est rélgé ou quoi? Je peux télécharger le bon Windows Live Messenger? Ou je dois attendre? Et est-ce que je coche en haut pour dire que c'est résolu?

Utilisateur anonyme · Answer

logiquement c est ok


oui telecharge windows live messenger 

utilise le pc normalement et si tu constate l apparition du messgae reviens mais j y crois pas trop 

si d ici 2/3 jours tu n a pas le message tu pourras mettre résolu

Lasto97 · Answer

D'accord, merci beaucoup pour tout. Merci.

Utilisateur anonyme · Answer

de rien ps de soucis

@+ pour confirmation

Lasto97 · Answer

re,

J'ai télécharger MSN 8, ça s'est bien installé. Tout fonctionne bien. Je donne des nouvelles dans 2 jours.

Utilisateur anonyme · Answer

supprime le dssier otmoveit et Script.bat aussi

@+

GG · Answer

Salut j'ai essayé combfix, ça n'a pas fonctionné, et ça m'a donné ce qui suit; Merci de m'aider.

ComboFix 11-03-19.04 - DELL 2011-03-20  22:40:46.1.2 - x86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.2.1036.18.1022.718 [GMT -4:00]
Lancé depuis: c:\documents and settings\DELL\Bureau
onabagle.exe
AV: McAfee Anti-Virus and Anti-Spyware *Enabled/Updated* {84B5EE75-6421-4CDE-A33A-DD43BA9FAD83}
FW: McAfee Firewall *Enabled* {94894B63-8C7F-4050-BDA4-813CA00DA3E8}
.
.
((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\config\S-1-5-21-1482476501-1644491937-682003330-1013
c:\config\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini
c:\documents and settings\DELL\Application Data\inst.exe
c:\program files\Search Settings
c:\program files\Search Settings\SeARchsettings.dll
c:\program files\Search Settings\SearchSettings.exe
c:\program files\Search Settings\SearchSettingsRes409.dll
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2011-02-21 au 2011-03-21  ))))))))))))))))))))))))))))))))))))
.
.
2011-03-19 15:44 . 2011-03-19 15:44	--------	d-----w-	c:\program files\CCleaner
2011-03-19 05:55 . 2011-03-19 05:55	--------	d-----w-	c:\documents and settings\DELL\Local Settings\Application Data\Identities
2011-03-15 05:25 . 2011-03-15 05:25	137728	----a-w-	c:\windows\Ysuxya.exe
2011-03-14 13:21 . 2011-03-14 13:21	--------	d-----w-	c:\documents and settings\DELL\Local Settings\Application Data\PCHealth
2011-02-26 17:44 . 2011-02-26 17:44	--------	d-----w-	c:\program files\Fichiers communs\Adobe
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-02-26 14:40 . 2010-07-15 20:26	47360	----a-w-	c:\documents and settings\DELL\Application Data\pcouffin.sys
2011-02-09 13:54 . 2004-08-05 12:00	270848	----a-w-	c:\windows\system32\sbe.dll
2011-02-09 13:54 . 2004-08-05 12:00	186880	----a-w-	c:\windows\system32\encdec.dll
2011-02-02 07:59 . 2007-12-21 17:00	2067456	----a-w-	c:\windows\system32\mstscax.dll
2011-01-27 11:57 . 2007-12-21 17:00	677888	----a-w-	c:\windows\system32\mstsc.exe
2011-01-21 14:44 . 2004-08-05 12:00	441344	----a-w-	c:\windows\system32\shimgvw.dll
2011-01-07 14:09 . 2004-08-05 12:00	290048	----a-w-	c:\windows\system32\atmfd.dll
2010-12-31 14:04 . 2004-08-05 12:00	1855104	----a-w-	c:\windows\system32\win32k.sys
2010-12-22 12:34 . 2004-08-05 12:00	301568	----a-w-	c:\windows\system32\kerberos.dll
.
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-04-17 3872080]
"KCSCPW1HKH"="c:\windows\Ysuxya.exe" [2011-03-15 137728]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-11-17 8495104]
"nwiz"="nwiz.exe" [2007-11-17 1626112]
"NVHotkey"="nvHotkey.dll" [2007-11-17 86016]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-11-17 81920]
"Broadcom Wireless Manager UI"="c:\windows\system32\WLTRAY.exe" [2007-03-16 1392640]
"Apoint"="c:\program files\Apoint\Apoint.exe" [2005-10-07 176128]
"IntelZeroConfig"="c:\program files\Intel\Wireless\bin\ZCfgSvc.exe" [2007-10-08 995328]
"IntelWireless"="c:\program files\Intel\Wireless\Bin\ifrmewrk.exe" [2007-10-08 1101824]
"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2007-03-15 71216]
"LanguageShortcut"="c:\program files\CyberLink\PowerDVD\Language\Language.exe" [2007-01-09 52256]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 10.0\Reader\Reader_sl.exe" [2011-01-30 35736]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-11-10 932288]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"<NO NAME>"= 00 00 00 00
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS]
@=""
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\CyberLink\PowerDVD\PowerDVD.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\Mozilla Firefox\firefox.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)
.
R2 Application Updater;Application Updater;c:\program files\Application Updater\ApplicationUpdater.exe [2010-01-08 380928]
R2 ASFIPmon;Broadcom ASF IP Monitor;c:\program files\Broadcom\ASFIPMon\AsfIpMon.exe [2005-10-18 61440]
S0 TfFsMon;TfFsMon;c:\windows\system32\drivers\TfFsMon.sys --> c:\windows\system32\drivers\TfFsMon.sys [?]
S0 TfSysMon;TfSysMon;c:\windows\system32\drivers\TfSysMon.sys --> c:\windows\system32\drivers\TfSysMon.sys [?]
S3 EL3C574;Pilote de périphérique carte réseau PC Card FE574B-3Com 10/100;c:\windows\system32\drivers\el574nd4.sys [2007-12-21 24653]
S3 TfNetMon;TfNetMon;\??\c:\windows\system32\drivers\TfNetMon.sys --> c:\windows\system32\drivers\TfNetMon.sys [?]
.
Contenu du dossier 'Tâches planifiées'
.
2011-03-20 c:\windows\Tasks\User_Feed_Synchronization-{9677DAB8-D601-4C89-A486-87DADEF7B928}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 23:36]
.
2011-03-21 c:\windows\Tasks\{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job
- c:\windows\Ysuxya.exe [2011-03-15 05:25]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.ca/
uSearchURL,(Default) = hxxp://ca.search.yahoo.com/search?fr=mcafee&p=%s
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
FF - ProfilePath - c:\documents and settings\DELL\Application Data\Mozilla\Firefox\Profiles\v4cytyzm.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: keyword.URL - hxxp://ca.search.yahoo.com/search?fr=mcafee&p=
FF - prefs.js: network.proxy.type - 4
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
.
- - - - ORPHELINS SUPPRIMES - - - -
.
Toolbar-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
WebBrowser-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
HKLM-Run-SigmatelSysTrayApp - %ProgramFiles%\SigmaTel\C-Major Audio\WDM\stsystra.exe
HKLM-Run-SearchSettings - c:\program files\Search Settings\SearchSettings.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-03-20 22:44
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ... 
.
Recherche d'éléments en démarrage automatique cachés ... 
.
Recherche de fichiers cachés ... 
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\WINDOWS\system32\Macromed\Flash\FlashUtil10h_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\WINDOWS\system32\Macromed\Flash\FlashUtil10h_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€-€|ÿÿÿÿÀ*€|ù*9~*]
"C040111900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL"
.
Heure de fin: 2011-03-20  22:46:44
ComboFix-quarantined-files.txt  2011-03-21 02:46
.
Avant-CF: 26 574 393 344 octets libres
Après-CF: 42 495 885 312 octets libres
.
WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP  dition familiale" /noexecute=optin /fastdetect
.
- - End Of File - - B3492B9C61823DDBE8BC2B9905868BE2

N'est pas une application win32 valide

164 réponses

Discussions similaires

Newsletters