Sujet Précédent Sujet Suivant

Je suis infecté par le ANTIVIRUS XP 2008

Fermé
nattat Messages postés 30 Date d'inscription jeudi 30 juin 2005 Statut Membre Dernière intervention 5 août 2008 - 28 juil. 2008 à 10:25
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 - 5 août 2008 à 12:12
Bonjour,

J'ai le pseudo antivirus XP 2008 sur mon pc.

j'ai essayé de le désinstallé sans succes

Mon antivirus NOD32 ne peut le supprimer

Je suis en XP professionnel version 2002 SP2

Merci de m'aider !
A voir également:

28 réponses

  • 1
  • 2
Réponse 1 / 28
nattat Messages postés 30 Date d'inscription jeudi 30 juin 2005 Statut Membre Dernière intervention 5 août 2008 1
29 juil. 2008 à 10:50
Re-salut,

Voici le rapport de C-Fix :

ComboFix 08-07-28.4 - Hatems 2008-07-29 10:43:13.4 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1539 [GMT 2:00]
Endroit: H:\Documents and Settings\Hatems\Bureau\C-Fix.exe
* Resident AV is active


[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

((((((((((((((((((((((((((((( Fichiers créés 2008-06-28 to 2008-07-29 ))))))))))))))))))))))))))))))))))))
.

2008-07-29 10:36 . 2008-07-29 10:38 <REP> d-------- H:\ComboFix
2008-07-29 10:20 . 2008-07-29 10:20 <REP> d-------- H:\Program Files\CCleaner
2008-07-29 10:15 . 2008-07-29 10:15 <REP> d-------- H:\Program Files\Yahoo!
2008-07-29 08:40 . 2008-07-29 08:40 <REP> d-------- H:\Program Files\Malwarebytes' Anti-Malware
2008-07-29 08:40 . 2008-07-29 08:40 <REP> d-------- H:\Documents and Settings\Hatems\Application Data\Malwarebytes
2008-07-29 08:40 . 2008-07-29 08:40 <REP> d-------- H:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-07-29 08:40 . 2008-07-23 20:09 38,472 --a------ H:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-07-29 08:40 . 2008-07-23 20:09 17,144 --a------ H:\WINDOWS\system32\drivers\mbam.sys
2008-07-28 12:26 . 2008-07-28 14:09 3,144 --a------ H:\WINDOWS\system32\tmp.reg
2008-07-28 12:24 . 2007-09-06 00:22 289,144 --a------ H:\WINDOWS\system32\VCCLSID.exe
2008-07-28 12:24 . 2006-04-27 17:49 288,417 --a------ H:\WINDOWS\system32\SrchSTS.exe
2008-07-28 12:24 . 2008-05-29 09:35 86,528 --a------ H:\WINDOWS\system32\VACFix.exe
2008-07-28 12:24 . 2008-05-18 21:40 82,944 --a------ H:\WINDOWS\system32\IEDFix.exe
2008-07-28 12:24 . 2008-07-02 13:33 82,432 --a------ H:\WINDOWS\system32\IEDFix.C.exe
2008-07-28 12:24 . 2008-05-23 18:21 81,920 --a------ H:\WINDOWS\system32\404Fix.exe
2008-07-28 12:24 . 2003-06-05 21:13 53,248 --a------ H:\WINDOWS\system32\Process.exe
2008-07-28 12:24 . 2004-07-31 18:50 51,200 --a------ H:\WINDOWS\system32\dumphive.exe
2008-07-28 12:24 . 2007-10-04 00:36 25,600 --a------ H:\WINDOWS\system32\WS2Fix.exe
2008-07-28 11:57 . 2008-07-28 11:57 <REP> d-------- H:\Program Files\Trend Micro
2008-07-28 09:37 . 2008-07-28 09:36 502,208 --a------ H:\WINDOWS\system32\drivers\amon.sys
2008-07-28 09:37 . 2008-07-28 09:36 270,336 --a------ H:\WINDOWS\system32\imon.dll
2008-07-28 08:47 . 2008-07-28 08:47 148,480 --a------ H:\video-nude-anjelia.avi.exe
2008-06-30 17:01 . 2004-08-19 16:09 159,232 --a------ H:\WINDOWS\system32\ptpusd.dll
2008-06-30 17:01 . 2001-08-23 17:47 5,632 --a------ H:\WINDOWS\system32\ptpusb.dll
2008-06-30 08:51 . 2004-08-19 16:09 21,504 --a------ H:\WINDOWS\system32\hidserv.dll
2008-06-30 08:51 . 2004-08-19 16:09 21,504 --a--c--- H:\WINDOWS\system32\dllcache\hidserv.dll
2008-06-30 08:51 . 2004-08-19 16:00 14,848 --a------ H:\WINDOWS\system32\drivers\kbdhid.sys
2008-06-30 08:51 . 2004-08-19 16:00 14,848 --a--c--- H:\WINDOWS\system32\dllcache\kbdhid.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-29 08:32 --------- d-----w H:\Documents and Settings\Hatems\Application Data\Skype
2008-07-29 08:11 --------- d-----w H:\Program Files\Lx_cats
2008-07-28 09:53 --------- d-----w H:\Documents and Settings\Hatems\Application Data\skypePM
2008-07-28 07:49 --------- d-----w H:\Program Files\ESET
2008-06-30 08:43 --------- d--h--w H:\Program Files\InstallShield Installation Information
2008-06-30 08:43 --------- d-----w H:\Program Files\Fichiers communs\InstallShield
2008-06-16 14:07 --------- d-----w H:\Program Files\MSXML 4.0
2008-06-12 13:18 578,560 ----a-w H:\WINDOWS\system32\user32.DLL
2008-01-31 15:22 32 ----a-w H:\Documents and Settings\All Users\Application Data\ezsid.dat
.
[color=red] H:\WINDOWS\system32\user32.dll ... is infected !! (additional data below) [/color]
578,048 2005-03-02 18:20:32 H:\WINDOWS\$hf_mig$\KB890859\SP2QFE\user32.dll
579,072 2007-03-08 15:50:30 H:\WINDOWS\$hf_mig$\KB925902\SP2QFE\user32.dll
578,048 2004-08-19 14:09:48 H:\WINDOWS\$NtUninstallKB890859$\user32.dll
578,048 2005-03-02 18:10:36 H:\WINDOWS\$NtUninstallKB925902$\user32.dll
578,048 2005-03-02 18:10:36 H:\WINDOWS\$NtUninstallKB925902$\user32.dll.000
578,560 2008-06-12 13:18:56 H:\WINDOWS\system32\user32.DLL
578,560 2008-06-12 13:18:56 H:\WINDOWS\system32\dllcache\user32.dll


------- Sigcheck -------

2005-03-02 20:20 578048 c34920eb988ce98910bd6b0417f334eb H:\WINDOWS\$hf_mig$\KB890859\SP2QFE\user32.dll
2007-03-08 17:50 579072 4d88aaf39adabfe45958ea1384e2c4ff H:\WINDOWS\$hf_mig$\KB925902\SP2QFE\user32.dll
2004-08-19 16:09 578048 61c8c283ad063bb697ae61a155c64a5a H:\WINDOWS\$NtUninstallKB890859$\user32.dll
2005-03-02 20:10 578048 0df75fb73f705b011630159a43d7c354 H:\WINDOWS\$NtUninstallKB925902$\user32.dll
2008-06-12 15:18 578560 c3f71a3aac063cb093d68cb7ba1a4535 H:\WINDOWS\system32\user32.DLL
2008-06-12 15:18 578560 c3f71a3aac063cb093d68cb7ba1a4535 H:\WINDOWS\system32\dllcache\user32.dll
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="H:\WINDOWS\system32\ctfmon.exe" [2004-08-19 16:09 15360]
"SuperCopier2.exe"="H:\Program Files\SuperCopier2\SuperCopier2.exe" [2006-07-07 18:45 1052672]
"MSMSGS"="H:\Program Files\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]
"PcSync"="H:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2006-06-27 17:21 1449984]
"H/PC Connection Agent"="H:\PROGRA~1\MI3AA1~1\wcescomm.exe" [2005-11-15 20:44 1200128]
"Skype"="H:\Program Files\Skype\Phone\Skype.exe" [2008-01-17 19:10 21686568]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="H:\WINDOWS\system32\igfxtray.exe" [2006-10-06 13:11 98304]
"HotKeysCmds"="H:\WINDOWS\system32\hkcmd.exe" [2006-10-06 13:13 114688]
"Persistence"="H:\WINDOWS\system32\igfxpers.exe" [2006-10-06 13:10 94208]
"WinampAgent"="H:\Program Files\Winamp\winampa.exe" [2003-12-13 02:50 33792]
"lxctmon.exe"="H:\Program Files\Lexmark 5400 Series\lxctmon.exe" [2007-01-11 13:57 291760]
"Lexmark 5400 Series Fax Server"="H:\Program Files\Lexmark 5400 Series\fm3032.exe" [2006-07-10 22:30 294912]
"EzPrint"="H:\Program Files\Lexmark 5400 Series\ezprint.exe" [2006-06-07 02:05 98304]
"LXCTCATS"="H:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCTtime.dll" [2006-06-07 11:09 106496]
"NSLauncher"="H:\Program Files\Nokia\Nokia Software Launcher\NSLauncher.exe" [2006-11-28 02:12 2658304]
"Adobe Photo Downloader"="H:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe" [2005-06-23 21:33 57344]
"nod32kui"="H:\Program Files\Eset\nod32kui.exe" [2008-07-28 09:36 917504]
"RTHDCPL"="RTHDCPL.EXE" [2006-10-30 20:49 16269312 H:\WINDOWS\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 19:04 2879488 H:\WINDOWS\SkyTel.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="H:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 16:09 15360]

H:\Documents and Settings\Hatems\Menu D‚marrer\Programmes\D‚marrage\
D‚marrage d'Office.lnk - H:\Program Files\Microsoft Office97\Office\OSA.EXE [1996-12-17 01:00:00 51984]

H:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
WinZip Quick Pick.lnk - H:\Program Files\WinZip\WZQKPICK.EXE [2008-01-25 01:54:37 118784]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"H:\Program Files\Microsoft ActiveSync\rapimgr.exe"= H:\Program Files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"H:\Program Files\Microsoft ActiveSync\wcescomm.exe"= H:\Program Files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"H:\Program Files\Microsoft ActiveSync\WCESMgr.exe"= H:\Program Files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"H:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R1 BIOS;BIOS;H:\WINDOWS\system32\drivers\BIOS.sys [2005-03-16 08:23]
R2 Sage Serveur;Sage Serveur;H:\WINDOWS\system32\CBASE.EXE [2007-11-09 14:55]
S3 SCNa;SCNa Service;H:\WINDOWS\system32\cmd.exe [2004-08-19 16:09]

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
.
------- Supplementary Scan -------
.
O8 -: E&xporter vers Microsoft Excel - H:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O17 -: HKLM\CCS\Interface\{D485C246-FA39-4D72-9FAD-17E7F2E3CA31}: NameServer = 192.168.1.2


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-29 10:44:06
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
LXCTCATS = rundll32 H:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCTtime.dll,_RunDLLEntry@16???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\mchInjDrv]
"ImagePath"="\??\H:\DOCUME~1\Hatems\LOCALS~1\Temp\mc21.tmp"
.
--------------------- DLLs a chargé sous des processus courants ---------------------

PROCESS: H:\WINDOWS\system32\winlogon.exe
-> H:\Program Files\Eset\pr_imon.dll

PROCESS: H:\WINDOWS\system32\lsass.exe
-> H:\Program Files\Eset\pr_imon.dll
.
Temps d'accomplissement: 2008-07-29 10:44:32
ComboFix-quarantined-files.txt 2008-07-29 08:44:29
ComboFix2.txt 2008-07-29 08:38:17
ComboFix3.txt 2008-07-29 08:31:29
ComboFix4.txt 2008-07-29 08:27:26

Pre-Run: 143,441,928,192 octets libres
Post-Run: 143,431,503,872 octets libres

146 --- E O F --- 2008-06-16 14:07:22


--------------------------------------
*****
--------------------------------------

et voici le nouveau Hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:45, on 2008-07-29
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\csrss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\spoolsv.exe
H:\WINDOWS\system32\lxctcoms.exe
H:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
H:\Program Files\Eset\nod32krn.exe
H:\WINDOWS\system32\CBASE.EXE
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\RTHDCPL.EXE
H:\WINDOWS\system32\igfxtray.exe
H:\WINDOWS\system32\hkcmd.exe
H:\WINDOWS\system32\igfxpers.exe
H:\Program Files\Winamp\winampa.exe
H:\Program Files\Lexmark 5400 Series\lxctmon.exe
H:\Program Files\Nokia\Nokia Software Launcher\NSLauncher.exe
H:\WINDOWS\System32\alg.exe
H:\WINDOWS\system32\ctfmon.exe
H:\Program Files\SuperCopier2\SuperCopier2.exe
H:\Program Files\Messenger\msmsgs.exe
H:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe
H:\PROGRA~1\MI3AA1~1\wcescomm.exe
H:\Program Files\Skype\Phone\Skype.exe
H:\PROGRA~1\MI3AA1~1\rapimgr.exe
H:\PROGRA~1\FICHIE~1\Nokia\MPAPI\MPAPI3s.exe
H:\Program Files\Fichiers communs\PCSuite\Services\ServiceLayer.exe
H:\Program Files\WinZip\WZQKPICK.EXE
H:\Program Files\Microsoft Office97\Office\OSA.EXE
H:\WINDOWS\System32\svchost.exe
H:\Program Files\Skype\Plugin Manager\skypePM.exe
H:\WINDOWS\system32\wuauclt.exe
H:\WINDOWS\system32\wbem\wmiprvse.exe
H:\WINDOWS\explorer.exe
H:\WINDOWS\system32\notepad.exe
H:\Program Files\Trend Micro\HijackThis\monjack.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - H:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - H:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Lexmark Barre d'outils - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - H:\Program Files\Lexmark Toolbar\toolband.dll
O3 - Toolbar: Lexmark Barre d'outils - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - H:\Program Files\Lexmark Toolbar\toolband.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - H:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [IgfxTray] H:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] H:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] H:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [WinampAgent] H:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [lxctmon.exe] "H:\Program Files\Lexmark 5400 Series\lxctmon.exe"
O4 - HKLM\..\Run: [Lexmark 5400 Series Fax Server] "H:\Program Files\Lexmark 5400 Series\fm3032.exe" /s
O4 - HKLM\..\Run: [EzPrint] "H:\Program Files\Lexmark 5400 Series\ezprint.exe"
O4 - HKLM\..\Run: [LXCTCATS] rundll32 H:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCTtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [NSLauncher] H:\Program Files\Nokia\Nokia Software Launcher\NSLauncher.exe /startup
O4 - HKLM\..\Run: [Adobe Photo Downloader] "H:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [nod32kui] "H:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SuperCopier2.exe] H:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [MSMSGS] "H:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [PcSync] H:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [H/PC Connection Agent] "H:\PROGRA~1\MI3AA1~1\wcescomm.exe"
O4 - HKCU\..\Run: [Skype] "H:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Démarrage d'Office.lnk = H:\Program Files\Microsoft Office97\Office\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = H:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://H:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - H:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - H:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - H:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - H:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - H:\Program Files\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = somatral.com.tn
O17 - HKLM\Software\..\Telephony: DomainName = somatral.com.tn
O17 - HKLM\System\CCS\Services\Tcpip\..\{D485C246-FA39-4D72-9FAD-17E7F2E3CA31}: NameServer = 192.168.1.2
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = somatral.com.tn
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = somatral.com.tn
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - H:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: lxct_device - - H:\WINDOWS\system32\lxctcoms.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - H:\Program Files\Eset\nod32krn.exe
O23 - Service: Sage Serveur - Sage - H:\WINDOWS\system32\CBASE.EXE
O23 - Service: ServiceLayer - Nokia. - H:\Program Files\Fichiers communs\PCSuite\Services\ServiceLayer.exe
O23 - Service: VNC Server (winvnc) - TightVNC Group - H:\WINDOWS\Pointdev\VNC\WinVNC.exe
1
Réponse 2 / 28
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
28 juil. 2008 à 10:30
Salut,
Télécharges et installes le logiciel HijackThis :

ici :ftp://ftp.commentcamarche.com/download/HJTInstall.exe
ou ici : http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe

1- Cliques sur le setup pour lancer l'installe : laisses toi guider et ne modifies pas les paramètres d'installation .
A la fin de l'installe , le prg ce lance automatiquement : fermes le en cliquant sur la croix rouge .
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme : "C:\ programme file\Trend Micro\HijackThis\HijackThis.exe " .
Supprimes le raccourcis stp ...

Important :
Renommer le prg HijackThis :
Rends toi sur ton PC ici "C:\ programme file\Trend Micro\HijackThis\HijackThis.exe"<---cliques droit sur ce dernier et choisis "renommer" : tapes monjack et valides .
Puis cliques droit sur "monjack.exe" et choisis "envoyer vers" -> le bureau ( créer un raccourci ).

tuto pour utilisation
Regardes ici, c'est parfaitement expliqué en images (merci balltrap34) :
http://pageperso.aol.fr/balltrap34/demohijack.htm

2-!!Déconnectes toi et fermes toute tes applications en cours !!

Cliques sur le raccourci du bureau pour lancer le prg :
fais un scan "monjack" (ou HijackThis renommé) en cliquant sur : "Do a system scan and save a logfile"

---> Postes le rapport généré pour analyse ...
0
nattat Messages postés 30 Date d'inscription jeudi 30 juin 2005 Statut Membre Dernière intervention 5 août 2008 1
28 juil. 2008 à 12:07
Voici le rapport du Hijackthis !
Merci pour votre aide.



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:02:12, on 28/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\csrss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\spoolsv.exe
H:\WINDOWS\system32\lxctcoms.exe
H:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
H:\Program Files\Eset\nod32krn.exe
H:\WINDOWS\system32\CBASE.EXE
H:\WINDOWS\Explorer.EXE
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\RTHDCPL.EXE
H:\WINDOWS\system32\igfxtray.exe
H:\WINDOWS\system32\hkcmd.exe
H:\WINDOWS\system32\igfxpers.exe
H:\Program Files\Winamp\winampa.exe
H:\Program Files\Lexmark 5400 Series\lxctmon.exe
H:\Program Files\Lexmark 5400 Series\ezprint.exe
H:\Program Files\Nokia\Nokia Software Launcher\NSLauncher.exe
H:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
H:\WINDOWS\system32\lphcg6rj0en2p.exe
H:\Program Files\rhcl6rj0en2p\rhcl6rj0en2p.exe
H:\Program Files\Eset\nod32kui.exe
H:\WINDOWS\system32\ctfmon.exe
H:\Program Files\SuperCopier2\SuperCopier2.exe
H:\Program Files\Messenger\msmsgs.exe
H:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe
H:\PROGRA~1\MI3AA1~1\wcescomm.exe
H:\Program Files\Skype\Phone\Skype.exe
H:\PROGRA~1\MI3AA1~1\rapimgr.exe
H:\Program Files\WinZip\WZQKPICK.EXE
H:\Program Files\Microsoft Office97\Office\OSA.EXE
H:\PROGRA~1\FICHIE~1\Nokia\MPAPI\MPAPI3s.exe
H:\Program Files\Fichiers communs\PCSuite\Services\ServiceLayer.exe
H:\WINDOWS\System32\alg.exe
H:\Program Files\Skype\Plugin Manager\skypePM.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\wuauclt.exe
H:\Program Files\Trend Micro\HijackThis\monjack.exe
H:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Lexmark Barre d'outils - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - H:\Program Files\Lexmark Toolbar\toolband.dll
O3 - Toolbar: Lexmark Barre d'outils - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - H:\Program Files\Lexmark Toolbar\toolband.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [IgfxTray] H:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] H:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] H:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [WinampAgent] H:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [lxctmon.exe] "H:\Program Files\Lexmark 5400 Series\lxctmon.exe"
O4 - HKLM\..\Run: [Lexmark 5400 Series Fax Server] "H:\Program Files\Lexmark 5400 Series\fm3032.exe" /s
O4 - HKLM\..\Run: [EzPrint] "H:\Program Files\Lexmark 5400 Series\ezprint.exe"
O4 - HKLM\..\Run: [LXCTCATS] rundll32 H:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCTtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [NSLauncher] H:\Program Files\Nokia\Nokia Software Launcher\NSLauncher.exe /startup
O4 - HKLM\..\Run: [Adobe Photo Downloader] "H:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [lphcg6rj0en2p] H:\WINDOWS\system32\lphcg6rj0en2p.exe
O4 - HKLM\..\Run: [SMrhcl6rj0en2p] H:\Program Files\rhcl6rj0en2p\rhcl6rj0en2p.exe
O4 - HKLM\..\Run: [nod32kui] "H:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SuperCopier2.exe] H:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [MSMSGS] "H:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [PcSync] H:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [H/PC Connection Agent] "H:\PROGRA~1\MI3AA1~1\wcescomm.exe"
O4 - HKCU\..\Run: [Skype] "H:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Démarrage d'Office.lnk = H:\Program Files\Microsoft Office97\Office\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = H:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://H:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - H:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - H:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - H:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - H:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = somatral.com.tn
O17 - HKLM\Software\..\Telephony: DomainName = somatral.com.tn
O17 - HKLM\System\CCS\Services\Tcpip\..\{D485C246-FA39-4D72-9FAD-17E7F2E3CA31}: NameServer = 192.168.1.2
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = somatral.com.tn
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = somatral.com.tn
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - H:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: lxct_device - - H:\WINDOWS\system32\lxctcoms.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - H:\Program Files\Eset\nod32krn.exe
O23 - Service: Sage Serveur - Sage - H:\WINDOWS\system32\CBASE.EXE
O23 - Service: ServiceLayer - Nokia. - H:\Program Files\Fichiers communs\PCSuite\Services\ServiceLayer.exe
O23 - Service: VNC Server (winvnc) - TightVNC Group - H:\WINDOWS\Pointdev\VNC\WinVNC.exe
0
Réponse 3 / 28
chimay8 Messages postés 7720 Date d'inscription jeudi 1 mai 2008 Statut Contributeur sécurité Dernière intervention 3 janvier 2014 60
28 juil. 2008 à 10:31
Edit:ok ske69
bien le bj
Constantine
Bienvenue sur CCM.
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
28 juil. 2008 à 10:34
Ne lances pas directement Malwarebytes sans avoir vu son Hijackthis : il peut avoir d'autres infections a traité avant de passer Malwarebytes ! ... ^^ toujours passer les outils spécifiques avant de passer des outils à larges champs d'actions ...
0
Réponse 4 / 28
chimay8 Messages postés 7720 Date d'inscription jeudi 1 mai 2008 Statut Contributeur sécurité Dernière intervention 3 janvier 2014 60
28 juil. 2008 à 10:39
OK,merci
Bien à toi
@+
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
28 juil. 2008 à 10:46
de rien ;-)

attendons l'hijackthis ....
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 28
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
28 juil. 2008 à 12:11
Bien ....

essayes ce-ci dans un premier temps :

Télécharges SmitfraudFix (de S!Ri, balltrap34 et moe31 ) :
http://siri.urz.free.fr/Fix/SmitfraudFix.exe

!! Déconnectes toi, fermes toute tes applications et désactives tes défenses ( anti-virus ,anti-spyware,...) le temps de la manipe !!

Installes le soft à la racine de C\ ( et pas ailleurs! --->"C\:SmitfraudFix.exe" ) .

Tuto ( aide ) : http://siri.urz.free.fr/Fix/SmitfraudFix.php

Utilisation ---> option 1 / Recherche :
Double clique sur l'icône "Smitfraudfix.exe" et sélectionnes 1 (et pas sur autre chose sans notre accord !) pour créer un rapport des fichiers responsables de l'infection.

Postes le rapport ( "rapport.txt" qui se trouve sous C\: ) et attends la suite .

(Attention : process.exe est détecté par certains antivirus comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité.)
0
Réponse 6 / 28
nattat Messages postés 30 Date d'inscription jeudi 30 juin 2005 Statut Membre Dernière intervention 5 août 2008 1
28 juil. 2008 à 12:30
Voici le Rapport du SmitFraudFix v2.332

Merci !!!

SmitFraudFix v2.332

Rapport fait à 12:26:04.23, 28/07/2008
Executé à partir de H:\Documents and Settings\Hatems\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\csrss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\spoolsv.exe
H:\WINDOWS\system32\lxctcoms.exe
H:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
H:\Program Files\Eset\nod32krn.exe
H:\WINDOWS\system32\CBASE.EXE
H:\WINDOWS\Explorer.EXE
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\RTHDCPL.EXE
H:\WINDOWS\system32\igfxtray.exe
H:\WINDOWS\system32\hkcmd.exe
H:\WINDOWS\system32\igfxpers.exe
H:\Program Files\Winamp\winampa.exe
H:\Program Files\Lexmark 5400 Series\lxctmon.exe
H:\Program Files\Lexmark 5400 Series\ezprint.exe
H:\Program Files\Nokia\Nokia Software Launcher\NSLauncher.exe
H:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
H:\WINDOWS\system32\lphcg6rj0en2p.exe
H:\Program Files\rhcl6rj0en2p\rhcl6rj0en2p.exe
H:\WINDOWS\system32\ctfmon.exe
H:\Program Files\SuperCopier2\SuperCopier2.exe
H:\Program Files\Messenger\msmsgs.exe
H:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe
H:\PROGRA~1\MI3AA1~1\wcescomm.exe
H:\PROGRA~1\MI3AA1~1\rapimgr.exe
H:\Program Files\WinZip\WZQKPICK.EXE
H:\Program Files\Microsoft Office97\Office\OSA.EXE
H:\PROGRA~1\FICHIE~1\Nokia\MPAPI\MPAPI3s.exe
H:\Program Files\Fichiers communs\PCSuite\Services\ServiceLayer.exe
H:\WINDOWS\System32\alg.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\wuauclt.exe
H:\Documents and Settings\Hatems\Bureau\SmitfraudFix\Policies.exe
H:\WINDOWS\system32\cmd.exe
H:\WINDOWS\system32\wbem\wmiprvse.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» H:\


»»»»»»»»»»»»»»»»»»»»»»»» H:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» H:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» H:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» H:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» H:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» H:\Documents and Settings\Hatems


»»»»»»»»»»»»»»»»»»»»»»»» H:\Documents and Settings\Hatems\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» H:\DOCUME~1\Hatems\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» H:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="H:\\WINDOWS\\system32\\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Carte réseau Fast Ethernet PCI Realtek RTL8139 Family - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.2

HKLM\SYSTEM\CCS\Services\Tcpip\..\{D485C246-FA39-4D72-9FAD-17E7F2E3CA31}: NameServer=192.168.1.2
HKLM\SYSTEM\CS1\Services\Tcpip\..\{D485C246-FA39-4D72-9FAD-17E7F2E3CA31}: NameServer=192.168.1.2
HKLM\SYSTEM\CS2\Services\Tcpip\..\{D485C246-FA39-4D72-9FAD-17E7F2E3CA31}: NameServer=192.168.1.2


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin
0
Réponse 7 / 28
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
28 juil. 2008 à 12:33
Suite de la manipe ( nettoyage ), fais exactement ce qui suit :

* Impératif : Redémarrer l'ordinateur en mode sans échec .
Comment aller en Mode sans échec
1) Redémarre ton ordi
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisis la première option : Sans Échec, et valide avec "Entrée"
5) Choisis ton compte habituel, et non Administrateur (si besoin ... )
( ps : n'oublies pas , en mode sans échec , pas de connexion ! Donc copies ou imprimes bien les info ci-dessous ...)

*Double click sur SmitfraudFix.exe

* Sélectionnes 2 et presses "Entrée" dans le menu pour supprimer les fichiers responsables de l'infection.

* A la question: Voulez-vous nettoyer le registre ? répondre O (oui) et presser Entrée afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection.

( Le correctif déterminera si le fichier wininet.dll est infecté.)

* A la question: "Corriger le fichier infecté ?" répondre O (oui) et presser Entrée
pour remplacer le fichier corrompu.

* Un redémarrage sera peut être nécessaire pour terminer la procédure de nettoyage ( sinon fais le manuellement )

Le rapport se trouve à la racine de C\:
(dans le fichier "rapport.txt")

Postes moi ce dernier rapport accompagné, dans la même réponse, d'un nouveau rapport hijackthis ( fais en mode normal ) dans ton prochain message et attends les instructions ...
0
Réponse 8 / 28
nattat Messages postés 30 Date d'inscription jeudi 30 juin 2005 Statut Membre Dernière intervention 5 août 2008 1
28 juil. 2008 à 14:15
Re-

Alors le rapport du smitfraudfix :

SmitFraudFix v2.332

Rapport fait à 14:09:22,07, 28/07/2008
Executé à partir de H:\Documents and Settings\Hatems\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{D485C246-FA39-4D72-9FAD-17E7F2E3CA31}: NameServer=192.168.1.2
HKLM\SYSTEM\CS1\Services\Tcpip\..\{D485C246-FA39-4D72-9FAD-17E7F2E3CA31}: NameServer=192.168.1.2
HKLM\SYSTEM\CS2\Services\Tcpip\..\{D485C246-FA39-4D72-9FAD-17E7F2E3CA31}: NameServer=192.168.1.2


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin


et le rapport de Hijackthis....


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:12:30, on 28/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\csrss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\spoolsv.exe
H:\WINDOWS\system32\userinit.exe
H:\WINDOWS\Explorer.EXE
H:\WINDOWS\RTHDCPL.EXE
H:\WINDOWS\system32\igfxtray.exe
H:\WINDOWS\system32\hkcmd.exe
H:\WINDOWS\system32\igfxpers.exe
H:\Program Files\Winamp\winampa.exe
H:\Program Files\Lexmark 5400 Series\lxctmon.exe
H:\Program Files\Lexmark 5400 Series\ezprint.exe
H:\WINDOWS\system32\lxctcoms.exe
H:\Program Files\Nokia\Nokia Software Launcher\NSLauncher.exe
H:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
H:\WINDOWS\system32\lphcg6rj0en2p.exe
H:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
H:\Program Files\rhcl6rj0en2p\rhcl6rj0en2p.exe
H:\Program Files\Eset\nod32kui.exe
H:\Program Files\Eset\nod32krn.exe
H:\WINDOWS\system32\ctfmon.exe
H:\Program Files\SuperCopier2\SuperCopier2.exe
H:\WINDOWS\system32\CBASE.EXE
H:\Program Files\Messenger\msmsgs.exe
H:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe
H:\PROGRA~1\MI3AA1~1\wcescomm.exe
H:\Program Files\Skype\Phone\Skype.exe
H:\PROGRA~1\MI3AA1~1\rapimgr.exe
H:\PROGRA~1\FICHIE~1\Nokia\MPAPI\MPAPI3s.exe
H:\WINDOWS\system32\svchost.exe
H:\Program Files\WinZip\WZQKPICK.EXE
H:\Program Files\Microsoft Office97\Office\OSA.EXE
H:\Program Files\Fichiers communs\PCSuite\Services\ServiceLayer.exe
H:\WINDOWS\system32\userinit.exe
H:\WINDOWS\System32\alg.exe
H:\WINDOWS\system32\wbem\wmiprvse.exe
H:\Program Files\Skype\Plugin Manager\skypePM.exe
H:\WINDOWS\System32\svchost.exe
H:\Program Files\Trend Micro\HijackThis\monjack.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Lexmark Barre d'outils - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - H:\Program Files\Lexmark Toolbar\toolband.dll
O3 - Toolbar: Lexmark Barre d'outils - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - H:\Program Files\Lexmark Toolbar\toolband.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [IgfxTray] H:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] H:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] H:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [WinampAgent] H:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [lxctmon.exe] "H:\Program Files\Lexmark 5400 Series\lxctmon.exe"
O4 - HKLM\..\Run: [Lexmark 5400 Series Fax Server] "H:\Program Files\Lexmark 5400 Series\fm3032.exe" /s
O4 - HKLM\..\Run: [EzPrint] "H:\Program Files\Lexmark 5400 Series\ezprint.exe"
O4 - HKLM\..\Run: [LXCTCATS] rundll32 H:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCTtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [NSLauncher] H:\Program Files\Nokia\Nokia Software Launcher\NSLauncher.exe /startup
O4 - HKLM\..\Run: [Adobe Photo Downloader] "H:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [lphcg6rj0en2p] H:\WINDOWS\system32\lphcg6rj0en2p.exe
O4 - HKLM\..\Run: [SMrhcl6rj0en2p] H:\Program Files\rhcl6rj0en2p\rhcl6rj0en2p.exe
O4 - HKLM\..\Run: [nod32kui] "H:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SuperCopier2.exe] H:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [MSMSGS] "H:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [PcSync] H:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [H/PC Connection Agent] "H:\PROGRA~1\MI3AA1~1\wcescomm.exe"
O4 - HKCU\..\Run: [Skype] "H:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Démarrage d'Office.lnk = H:\Program Files\Microsoft Office97\Office\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = H:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://H:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - H:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - H:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - H:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - H:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = somatral.com.tn
O17 - HKLM\Software\..\Telephony: DomainName = somatral.com.tn
O17 - HKLM\System\CCS\Services\Tcpip\..\{D485C246-FA39-4D72-9FAD-17E7F2E3CA31}: NameServer = 192.168.1.2
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = somatral.com.tn
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = somatral.com.tn
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - H:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: lxct_device - - H:\WINDOWS\system32\lxctcoms.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - H:\Program Files\Eset\nod32krn.exe
O23 - Service: Sage Serveur - Sage - H:\WINDOWS\system32\CBASE.EXE
O23 - Service: ServiceLayer - Nokia. - H:\Program Files\Fichiers communs\PCSuite\Services\ServiceLayer.exe
O23 - Service: VNC Server (winvnc) - TightVNC Group - H:\WINDOWS\Pointdev\VNC\WinVNC.exe
0
Réponse 9 / 28
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
28 juil. 2008 à 14:19
maintenant, Malwarebytes :

Télécharges MalwareByte's :
ici ftp://ftp.commentcamarche.com/download/mbam-setup.exe
ou ici : http://www.malwarebytes.org/mbam.php

Installes le ( choisis bien "francais" ; ne modifies pas les paramètres d'installe ) et mets le à jour .

(NB : S'il te manque "COMCTL32.OCX" alors télécharges le ici: https://www.malekal.com/tutorial-aboutbuster/ )

Potasses le tuto pour te familiariser avec le prg : https://forum.pcastuces.com/sujet.asp?f=31&s=3
( cela dis, il est très simple d'utilisation ).

Impératif : redémarres en mode sans échec :
Comment aller en Mode sans échec
1) Redémarres ton ordi
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisis la première option : Sans Échec, et valide avec "Entrée"
5) Choisis ton compte habituel, et non Administrateur (si besoin ... )
(attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreurs ...)

Lances Malwarebyte's .

Fais un scan dit "complet" ( sélectionnes bien tout tes disks avant le scan ) et supprimes tout ce qu'il peut trouver :
--->une fois le scan terminé , click sur "résultat" : puis vérifies que tous les objets infectés soient validés, puis click sur " suppression " .

Redémarres ton PC ( mode normal ).

Postes le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes) accompagné d'un nouvel hijackthis ( fait en mode normal ) ...
0
Réponse 10 / 28
nattat Messages postés 30 Date d'inscription jeudi 30 juin 2005 Statut Membre Dernière intervention 5 août 2008 1
29 juil. 2008 à 09:10
Bonjour cher sKe69,

Alors voici le rapport de Malwarebytes :

Malwarebytes' Anti-Malware 1.23
Version de la base de données: 1006
Windows 5.1.2600 Service Pack 2

09:01:39 29/07/2008
mbam-log-7-29-2008 (09-01-39).txt

Type de recherche: Examen complet (H:\|I:\|)
Eléments examinés: 69164
Temps écoulé: 8 minute(s), 44 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 6
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 12
Fichier(s) infecté(s): 36

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
H:\WINDOWS\system32\nvrsma.dll (Trojan.Agent) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\rhcl6rj0en2p (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\rhcl6rj0en2p (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\smrhcl6rj0en2p (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lphcg6rj0en2p (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
H:\Program Files\rhcl6rj0en2p (Rogue.Multiple) -> Quarantined and deleted successfully.
H:\Documents and Settings\Hatems\Application Data\rhcl6rj0en2p (Rogue.Multiple) -> Quarantined and deleted successfully.
H:\Documents and Settings\Hatems\Application Data\rhcl6rj0en2p\Quarantine (Rogue.Multiple) -> Quarantined and deleted successfully.
H:\Documents and Settings\Hatems\Application Data\rhcl6rj0en2p\Quarantine\Autorun (Rogue.Multiple) -> Quarantined and deleted successfully.
H:\Documents and Settings\Hatems\Application Data\rhcl6rj0en2p\Quarantine\Autorun\HKCU (Rogue.Multiple) -> Quarantined and deleted successfully.
H:\Documents and Settings\Hatems\Application Data\rhcl6rj0en2p\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
H:\Documents and Settings\Hatems\Application Data\rhcl6rj0en2p\Quarantine\Autorun\HKLM (Rogue.Multiple) -> Quarantined and deleted successfully.
H:\Documents and Settings\Hatems\Application Data\rhcl6rj0en2p\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
H:\Documents and Settings\Hatems\Application Data\rhcl6rj0en2p\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> Quarantined and deleted successfully.
H:\Documents and Settings\Hatems\Application Data\rhcl6rj0en2p\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> Quarantined and deleted successfully.
H:\Documents and Settings\Hatems\Application Data\rhcl6rj0en2p\Quarantine\BrowserObjects (Rogue.Multiple) -> Quarantined and deleted successfully.
H:\Documents and Settings\Hatems\Application Data\rhcl6rj0en2p\Quarantine\Packages (Rogue.Multiple) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
H:\MarioForever.exe (Trojan.Agent) -> Quarantined and deleted successfully.
H:\WINDOWS\acl.exe (Trojan.Agent) -> Quarantined and deleted successfully.
H:\WINDOWS\system32\ntpl.bin (Trojan.Agent) -> Quarantined and deleted successfully.
H:\WINDOWS\system32\spool\drivers\MarioForever.exe (Trojan.Agent) -> Quarantined and deleted successfully.
I:\MarioForever.exe (Trojan.Agent) -> Quarantined and deleted successfully.
H:\Program Files\rhcl6rj0en2p\database.dat (Rogue.Multiple) -> Quarantined and deleted successfully.
H:\Program Files\rhcl6rj0en2p\license.txt (Rogue.Multiple) -> Quarantined and deleted successfully.
H:\Program Files\rhcl6rj0en2p\MFC71.dll (Rogue.Multiple) -> Quarantined and deleted successfully.
H:\Program Files\rhcl6rj0en2p\MFC71ENU.DLL (Rogue.Multiple) -> Quarantined and deleted successfully.
H:\Program Files\rhcl6rj0en2p\msvcp71.dll (Rogue.Multiple) -> Quarantined and deleted successfully.
H:\Program Files\rhcl6rj0en2p\msvcr71.dll (Rogue.Multiple) -> Quarantined and deleted successfully.
H:\Program Files\rhcl6rj0en2p\rhcl6rj0en2p.exe (Rogue.Multiple) -> Quarantined and deleted successfully.
H:\Program Files\rhcl6rj0en2p\rhcl6rj0en2p.exe.local (Rogue.Multiple) -> Quarantined and deleted successfully.
H:\Program Files\rhcl6rj0en2p\Uninstall.exe (Rogue.Multiple) -> Quarantined and deleted successfully.
H:\WINDOWS\system32\nvrsma.dll (Trojan.Agent) -> Delete on reboot.
H:\WINDOWS\system32\blphcg6rj0en2p.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.
H:\WINDOWS\system32\lphcg6rj0en2p.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
H:\WINDOWS\system32\pphcg6rj0en2p.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
H:\Documents and Settings\All Users\Bureau\Antivirus XP 2008.lnk (Rogue.Antivirus) -> Quarantined and deleted successfully.
H:\Documents and Settings\Hatems\Application Data\Microsoft\Internet Explorer\Quick Launch\Antivirus XP 2008.lnk (Rogue.Antivirus2008) -> Quarantined and deleted successfully.
H:\Documents and Settings\Hatems\Local Settings\Temp\.tt15.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
H:\Documents and Settings\Hatems\Local Settings\Temp\.tt1.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
H:\Documents and Settings\Hatems\Local Settings\Temp\.tt2.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
H:\Documents and Settings\Hatems\Local Settings\Temp\.tt3.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
H:\Documents and Settings\Hatems\Local Settings\Temp\.tt4.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
H:\Documents and Settings\Hatems\Local Settings\Temp\.tt5.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
H:\Documents and Settings\Hatems\Local Settings\Temp\.tt6.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
H:\Documents and Settings\Hatems\Local Settings\Temp\.tt7.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
H:\Documents and Settings\Hatems\Local Settings\Temp\.tt8.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
H:\Documents and Settings\Hatems\Local Settings\Temp\.tt9.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
H:\Documents and Settings\Hatems\Local Settings\Temp\.ttA.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
H:\Documents and Settings\Hatems\Local Settings\Temp\.ttB.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
H:\Documents and Settings\Hatems\Local Settings\Temp\.ttC.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
H:\Documents and Settings\Hatems\Local Settings\Temp\.ttD.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
H:\Documents and Settings\Hatems\Local Settings\Temp\.ttE.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
H:\Documents and Settings\Hatems\Local Settings\Temp\.ttF.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.


-----------------------------
*******************
-----------------------------

et voici le dernier Hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:07:18, on 29/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\csrss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\spoolsv.exe
H:\WINDOWS\system32\lxctcoms.exe
H:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
H:\Program Files\Eset\nod32krn.exe
H:\WINDOWS\system32\CBASE.EXE
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\Explorer.EXE
H:\WINDOWS\RTHDCPL.EXE
H:\WINDOWS\system32\igfxtray.exe
H:\WINDOWS\system32\hkcmd.exe
H:\WINDOWS\system32\igfxpers.exe
H:\Program Files\Winamp\winampa.exe
H:\Program Files\Lexmark 5400 Series\lxctmon.exe
H:\Program Files\Lexmark 5400 Series\ezprint.exe
H:\Program Files\Nokia\Nokia Software Launcher\NSLauncher.exe
H:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
H:\Program Files\Eset\nod32kui.exe
H:\WINDOWS\system32\ctfmon.exe
H:\Program Files\SuperCopier2\SuperCopier2.exe
H:\Program Files\Messenger\msmsgs.exe
H:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe
H:\PROGRA~1\MI3AA1~1\wcescomm.exe
H:\Program Files\Skype\Phone\Skype.exe
H:\Program Files\WinZip\WZQKPICK.EXE
H:\Program Files\Microsoft Office97\Office\OSA.EXE
H:\PROGRA~1\MI3AA1~1\rapimgr.exe
H:\PROGRA~1\FICHIE~1\Nokia\MPAPI\MPAPI3s.exe
H:\Program Files\Fichiers communs\PCSuite\Services\ServiceLayer.exe
H:\WINDOWS\System32\alg.exe
H:\WINDOWS\system32\wbem\wmiprvse.exe
H:\Program Files\Skype\Plugin Manager\skypePM.exe
H:\WINDOWS\system32\userinit.exe
H:\WINDOWS\System32\svchost.exe
H:\Program Files\Trend Micro\HijackThis\monjack.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Lexmark Barre d'outils - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - H:\Program Files\Lexmark Toolbar\toolband.dll
O3 - Toolbar: Lexmark Barre d'outils - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - H:\Program Files\Lexmark Toolbar\toolband.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [IgfxTray] H:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] H:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] H:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [WinampAgent] H:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [lxctmon.exe] "H:\Program Files\Lexmark 5400 Series\lxctmon.exe"
O4 - HKLM\..\Run: [Lexmark 5400 Series Fax Server] "H:\Program Files\Lexmark 5400 Series\fm3032.exe" /s
O4 - HKLM\..\Run: [EzPrint] "H:\Program Files\Lexmark 5400 Series\ezprint.exe"
O4 - HKLM\..\Run: [LXCTCATS] rundll32 H:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCTtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [NSLauncher] H:\Program Files\Nokia\Nokia Software Launcher\NSLauncher.exe /startup
O4 - HKLM\..\Run: [Adobe Photo Downloader] "H:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [nod32kui] "H:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SuperCopier2.exe] H:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [MSMSGS] "H:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [PcSync] H:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [H/PC Connection Agent] "H:\PROGRA~1\MI3AA1~1\wcescomm.exe"
O4 - HKCU\..\Run: [Skype] "H:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Démarrage d'Office.lnk = H:\Program Files\Microsoft Office97\Office\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = H:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://H:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - H:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - H:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - H:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - H:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = somatral.com.tn
O17 - HKLM\Software\..\Telephony: DomainName = somatral.com.tn
O17 - HKLM\System\CCS\Services\Tcpip\..\{D485C246-FA39-4D72-9FAD-17E7F2E3CA31}: NameServer = 192.168.1.2
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = somatral.com.tn
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = somatral.com.tn
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - H:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: lxct_device - - H:\WINDOWS\system32\lxctcoms.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - H:\Program Files\Eset\nod32krn.exe
O23 - Service: Sage Serveur - Sage - H:\WINDOWS\system32\CBASE.EXE
O23 - Service: ServiceLayer - Nokia. - H:\Program Files\Fichiers communs\PCSuite\Services\ServiceLayer.exe
O23 - Service: VNC Server (winvnc) - TightVNC Group - H:\WINDOWS\Pointdev\VNC\WinVNC.exe
0
Réponse 11 / 28
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
29 juil. 2008 à 09:51
Salut,

Malwarebytes a bien travaillé mais il reste encore des bestioles à supprimer ...

1- Télécharges : - CCleaner
https://www.pcastuces.com/logitheque/ccleaner.htm
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corrigé ton registre .Lors de l'installation, avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 première.
Une fois le prg instalé et lancé, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures"( Par la suite, laisse-le avec ses réglages par défaut. C'est tout ).

Un tuto ( aide ):
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm

---> Utilisation:
vas dans "nettoyeur" : fait analyse puis nettoyage
et vas dans "registre" : fait chercher les erreurs et réparer ( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )

2- Télécharges ComboFix (par sUBs) sur ton Bureau (et pas ailleur !):
http://download.bleepingcomputer.com/sUBs/ComboFix.exe <--- clik droit sur ce lien et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tape C-Fix et valide .

--------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
!! déconnectes toi,fermes tes applications en cours et DESACTIVES TOUTES TES DEFENCES (anti-virus, guardes anti spy-ware, pare-feu) le temps de la manipe :
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!
--->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
---------------------------------------------------------------------------------------------------------------------------------

Ensuite :
double-cliques C-Fix.exe ( = combofix.exe ) .

Appuyes sur la touche Y (Yes) pour démarrer le scan .

Attention : n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.
---> si un message d'erreur windows apparait à un momment : clik sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )

Le rapport sera crée dans: C:\Combofix.txt

Postes le rapport Combofix accompagné d'un nouveau rapport hijackthis pour analyse ...
0
Réponse 12 / 28
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
29 juil. 2008 à 10:59
mouais ....

on va vérifier quelques trucs louches :

Rends toi sur ce site :

https://www.virustotal.com/gui/

Copies ce qui suit et colles le dans l'espace pour la recherche :
H:\WINDOWS\system32\nvrsma.dll

Cliques sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copies le dans ta prochaine réponse ...

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )


Fais de même pour :
H:\WINDOWS\system32\dllcache\hidserv.­dll
H:\video-nude-anjelia.avi.exe
H:\WINDOWS\system32\drivers\amon.sys­

---> postes moi donc ces 4 rapports ( en précisant bien au début de chacuns à quel fichier ils correspondent ) et attends la suite ...
0
Réponse 13 / 28
nattat Messages postés 30 Date d'inscription jeudi 30 juin 2005 Statut Membre Dernière intervention 5 août 2008 1
29 juil. 2008 à 13:38
Re,

Alors avec le site VIRUSTOTAL j'ai ce qui suit :

* H:\WINDOWS\system32\nvrsma.dll ---> 0 bytes size received / Se ha recibido un archivo vacio

* H:\WINDOWS\system32\dllcache\hidserv.­dll ----> 0 bytes size received / Se ha recibido un archivo vacio

* H:\video-nude-anjelia.avi.exe --->

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.7.29.1 2008.07.29 -
AntiVir 7.8.1.12 2008.07.29 DR/Peed.JPX
Authentium 5.1.0.4 2008.07.29 -
Avast 4.8.1195.0 2008.07.29 Win32:Agent-AAWV
AVG 8.0.0.130 2008.07.29 Dropper.Agent.JHZ
BitDefender 7.2 2008.07.29 Trojan.FakeAlert.WC
CAT-QuickHeal 9.50 2008.07.28 TrojanMailfinder.Agent.of
ClamAV 0.93.1 2008.07.29 -
DrWeb 4.44.0.09170 2008.07.29 Trojan.Packed.573
eSafe 7.0.17.0 2008.07.28 Suspicious File
eTrust-Vet 31.6.5991 2008.07.29 -
Ewido 4.0 2008.07.29 -
F-Prot 4.4.4.56 2008.07.28 -
F-Secure 7.60.13501.0 2008.07.29 Trojan-Mailfinder.Win32.Agent.of
Fortinet 3.14.0.0 2008.07.29 W32/TibsPk.F
GData 2.0.7306.1023 2008.07.29 Trojan-Mailfinder.Win32.Agent.of
Ikarus T3.1.1.34.0 2008.07.29 Trojan.Crypt.XPACK
Kaspersky 7.0.0.125 2008.07.29 Trojan-Mailfinder.Win32.Agent.of
McAfee 5348 2008.07.28 -
Microsoft 1.3704 2008.07.28 TrojanDropper:Win32/Umrena.B
NOD32v2 3306 2008.07.29 a variant of Win32/TrojanDropper.Small.NHU
Norman 5.80.02 2008.07.28 W32/Smalltroj.FQCX
Panda 9.0.0.4 2008.07.28 Trj/Mailfinder.C
PCTools 4.4.2.0 2008.07.29 -
Prevx1 V2 2008.07.29 Cloaked Malware
Rising 20.55.12.00 2008.07.29 -
Sophos 4.31.0 2008.07.29 Mal/TibsPk-F
Sunbelt 3.1.1536.1 2008.07.28 -
Symantec 10 2008.07.29 Packed.Generic.57
TheHacker 6.2.96.389 2008.07.25 -
TrendMicro 8.700.0.1004 2008.07.29 TROJ_SMALL.GWL
VBA32 3.12.8.1 2008.07.28 Trojan.Win32.Agent
ViRobot 2008.7.29.1315 2008.07.29 -
VirusBuster 4.5.11.0 2008.07.28 Trojan.Umrena.B
Webwasher-Gateway 6.6.2 2008.07.29 Trojan.Dropper.Peed.JPX
Information additionnelle
File size: 148480 bytes
MD5...: cdbd39573858d1f255979cfd7e0c60c6
SHA1..: 6df3697d0aa951c65f8bb5363ad2d4e75883d0ac
SHA256: 574614f96761f5bb46b5f62412a15bf15149e0fb5749f1e9ae79202b33446601
SHA512: be1e08d23750e35afdb78274eb86f73f755bccd61f4f01f270d1af1053bb63e4
b6567a8884d9ca5de4639860261ac2aa6f972aa6a4a7caf97ecdf4476aa4ce4b
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401b48
timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x29000 0x1200 5.36 c00e2d5c07baea08540b260564c01705
.data 0x2a000 0x23000 0x22400 7.78 e55481bcbc527ca66c09037e755d7f78
.idata 0x4d000 0x1000 0xa00 4.96 9e8f98b492934d19747c4a41a5bdf4c7

( 4 imports )
> KERNEL32.dll: SetFileApisToANSI, GlobalUnWire, HeapSummary, Module32First, GetEnvironmentVariableW, MoveFileW, GetPrivateProfileStructA, CompareStringA, CreatePipe, GetVolumeInformationA, GetLastError, ChangeTimerQueueTimer, GetFullPathNameW, GetSystemWindowsDirectoryW, CallNamedPipeA, lstrcat, DeleteVolumeMountPointW, FreeLibraryAndExitThread, SetDefaultCommConfigA, EnumUILanguagesA, GetProfileSectionW, BackupSeek, FoldStringA, GetConsoleWindow, VirtualProtect
> USER32.dll: FlashWindow, GetMonitorInfoA, Win32PoolAllocationStats, SetCursor, ToAscii, GetWindowTextA, PaintDesktop, WaitForInputIdle, SetWindowRgn, ValidateRect, DdeDisconnectList, DispatchMessageW, VkKeyScanA, EnumWindowStationsW, GetSubMenu, SetMenuItemInfoA, GetMenuBarInfo
> GDI32.dll: RestoreDC, GetGraphicsMode, GetObjectA, GetEnhMetaFileW, GetDCPenColor, CreatePenIndirect, RemoveFontMemResourceEx, CreateEllipticRgnIndirect, OffsetWindowOrgEx, GetTextExtentExPointA, ExtCreatePen, FlattenPath, GetPath, GdiIsMetaPrintDC, GetBrushOrgEx, GetAspectRatioFilterEx, CloseMetaFile, UpdateColors, ModifyWorldTransform, CopyEnhMetaFileW, EngFindResource, CreateScalableFontResourceA, CreateColorSpaceA, GetTextFaceA, GdiResetDCEMF, GetTextCharset, SetTextCharacterExtra, EngLineTo, GdiEntry5, STROBJ_vEnumStart, GdiConvertAndCheckDC, GetGlyphIndicesA, Polyline
> COMDLG32.dll: PrintDlgW, PageSetupDlgW, dwOKSubclass, WantArrows, PrintDlgExA, LoadAlterBitmap, ReplaceTextW, ChooseColorW, GetFileTitleA, FindTextA, ChooseFontW, GetSaveFileNameA

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=CCD3A66200D0C33844E6023B3C2E0700BAEE1E65
ThreatExpert info: https://www.symantec.com?md5=cdbd39573858d1f255979cfd7e0c60c6




* H:\WINDOWS\system32\drivers\amon.sys­ ---> 0 bytes size received / Se ha recibido un archivo vacio



J'attends la suite
0
Réponse 14 / 28
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
29 juil. 2008 à 14:52
bien ...

fait exactement ce qui suit :

1-Crées un doc texte sur ton bureau :
pointes ta souris sur ton bureau , cliques droit : vas dans "nouveau" et choisis "document texte" .

Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :

File::
H:\WINDOWS\system32\nvrsma.dll
H:\video-nude-anjelia.avi.exe

Puis vas dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valides ...


2-Nettoyage :

!! Déconnectes toi, fermes toutes tes applications et désactives TOUTES TES DEFENCES ( tu les réactiveras après ) !!

--->Sur ton bureau, fais un glissé avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

(Regarde ici : http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript.gif )

Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tapes 1 puis valide.

Puis patientes le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

!! Ne touches à rien tant que le scan n'est pas terminé !!

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisses-le faire.

Une fois le scan achevé, un rapport va s'afficher : Postes le accompagné d' un nouveau rapport HijackThis pour analyse ...

( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )
0
Réponse 15 / 28
nattat Messages postés 30 Date d'inscription jeudi 30 juin 2005 Statut Membre Dernière intervention 5 août 2008 1
30 juil. 2008 à 10:14
Bonjour !!!

J'ai fait tout ce que vous m'avez dit !!!

et voici le rapport de Combofix :

ComboFix 08-07-28.4 - Hatems 2008-07-30 10:05:11.5 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1553 [GMT 2:00]
Endroit: H:\Documents and Settings\Hatems\Bureau\C-Fix.exe
Command switches used :: H:\Documents and Settings\Hatems\Bureau\CFScript.txt
* Création d'un nouveau point de restauration
* Resident AV is active


[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]

FILE ::
H:\video-nude-anjelia.avi.exe
H:\WINDOWS\system32\nvrsma.dll
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

H:\video-nude-anjelia.avi.exe

.
((((((((((((((((((((((((((((( Fichiers créés 2008-06-28 to 2008-07-30 ))))))))))))))))))))))))))))))))))))
.

2008-07-29 10:36 . 2008-07-29 10:38 <REP> d-------- H:\ComboFix
2008-07-29 10:20 . 2008-07-29 10:20 <REP> d-------- H:\Program Files\CCleaner
2008-07-29 10:15 . 2008-07-29 10:15 <REP> d-------- H:\Program Files\Yahoo!
2008-07-29 08:40 . 2008-07-29 08:40 <REP> d-------- H:\Program Files\Malwarebytes' Anti-Malware
2008-07-29 08:40 . 2008-07-29 08:40 <REP> d-------- H:\Documents and Settings\Hatems\Application Data\Malwarebytes
2008-07-29 08:40 . 2008-07-29 08:40 <REP> d-------- H:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-07-29 08:40 . 2008-07-23 20:09 38,472 --a------ H:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-07-29 08:40 . 2008-07-23 20:09 17,144 --a------ H:\WINDOWS\system32\drivers\mbam.sys
2008-07-28 12:26 . 2008-07-28 14:09 3,144 --a------ H:\WINDOWS\system32\tmp.reg
2008-07-28 12:24 . 2007-09-06 00:22 289,144 --a------ H:\WINDOWS\system32\VCCLSID.exe
2008-07-28 12:24 . 2006-04-27 17:49 288,417 --a------ H:\WINDOWS\system32\SrchSTS.exe
2008-07-28 12:24 . 2008-05-29 09:35 86,528 --a------ H:\WINDOWS\system32\VACFix.exe
2008-07-28 12:24 . 2008-05-18 21:40 82,944 --a------ H:\WINDOWS\system32\IEDFix.exe
2008-07-28 12:24 . 2008-07-02 13:33 82,432 --a------ H:\WINDOWS\system32\IEDFix.C.exe
2008-07-28 12:24 . 2008-05-23 18:21 81,920 --a------ H:\WINDOWS\system32\404Fix.exe
2008-07-28 12:24 . 2003-06-05 21:13 53,248 --a------ H:\WINDOWS\system32\Process.exe
2008-07-28 12:24 . 2004-07-31 18:50 51,200 --a------ H:\WINDOWS\system32\dumphive.exe
2008-07-28 12:24 . 2007-10-04 00:36 25,600 --a------ H:\WINDOWS\system32\WS2Fix.exe
2008-07-28 11:57 . 2008-07-28 11:57 <REP> d-------- H:\Program Files\Trend Micro
2008-07-28 09:37 . 2008-07-28 09:36 502,208 --a------ H:\WINDOWS\system32\drivers\amon.sys
2008-07-28 09:37 . 2008-07-28 09:36 270,336 --a------ H:\WINDOWS\system32\imon.dll
2008-06-30 17:01 . 2004-08-19 16:09 159,232 --a------ H:\WINDOWS\system32\ptpusd.dll
2008-06-30 17:01 . 2001-08-23 17:47 5,632 --a------ H:\WINDOWS\system32\ptpusb.dll
2008-06-30 08:51 . 2004-08-19 16:09 21,504 --a------ H:\WINDOWS\system32\hidserv.dll
2008-06-30 08:51 . 2004-08-19 16:09 21,504 --a--c--- H:\WINDOWS\system32\dllcache\hidserv.dll
2008-06-30 08:51 . 2004-08-19 16:00 14,848 --a------ H:\WINDOWS\system32\drivers\kbdhid.sys
2008-06-30 08:51 . 2004-08-19 16:00 14,848 --a--c--- H:\WINDOWS\system32\dllcache\kbdhid.sys
2008-06-16 16:07 . 2008-06-16 16:07 <REP> d-------- H:\Program Files\MSXML 4.0
2008-06-10 10:09 . 2008-06-24 16:17 <REP> d-------- H:\Documents and Settings\Hatems\.SimpleCenter

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-30 08:00 --------- d-----w H:\Program Files\Lx_cats
2008-07-30 08:00 --------- d-----w H:\Documents and Settings\Hatems\Application Data\Skype
2008-07-30 07:58 --------- d-----w H:\Documents and Settings\Hatems\Application Data\skypePM
2008-07-28 07:49 --------- d-----w H:\Program Files\ESET
2008-06-30 08:43 --------- d--h--w H:\Program Files\InstallShield Installation Information
2008-06-30 08:43 --------- d-----w H:\Program Files\Fichiers communs\InstallShield
2008-06-12 13:18 578,560 ----a-w H:\WINDOWS\system32\user32.DLL
2008-01-31 15:22 32 ----a-w H:\Documents and Settings\All Users\Application Data\ezsid.dat
.
[color=red] H:\WINDOWS\system32\user32.dll ... is infected !! (additional data below) [/color]
578,048 2005-03-02 18:20:32 H:\WINDOWS\$hf_mig$\KB890859\SP2QFE\user32.dll
579,072 2007-03-08 15:50:30 H:\WINDOWS\$hf_mig$\KB925902\SP2QFE\user32.dll
578,048 2004-08-19 14:09:48 H:\WINDOWS\$NtUninstallKB890859$\user32.dll
578,048 2005-03-02 18:10:36 H:\WINDOWS\$NtUninstallKB925902$\user32.dll
578,048 2005-03-02 18:10:36 H:\WINDOWS\$NtUninstallKB925902$\user32.dll.000
578,560 2008-06-12 13:18:56 H:\WINDOWS\system32\user32.DLL
578,560 2008-06-12 13:18:56 H:\WINDOWS\system32\dllcache\user32.dll


------- Sigcheck -------

2005-03-02 20:20 578048 c34920eb988ce98910bd6b0417f334eb H:\WINDOWS\$hf_mig$\KB890859\SP2QFE\user32.dll
2007-03-08 17:50 579072 4d88aaf39adabfe45958ea1384e2c4ff H:\WINDOWS\$hf_mig$\KB925902\SP2QFE\user32.dll
2004-08-19 16:09 578048 61c8c283ad063bb697ae61a155c64a5a H:\WINDOWS\$NtUninstallKB890859$\user32.dll
2005-03-02 20:10 578048 0df75fb73f705b011630159a43d7c354 H:\WINDOWS\$NtUninstallKB925902$\user32.dll
2008-06-12 15:18 578560 c3f71a3aac063cb093d68cb7ba1a4535 H:\WINDOWS\system32\user32.DLL
2008-06-12 15:18 578560 c3f71a3aac063cb093d68cb7ba1a4535 H:\WINDOWS\system32\dllcache\user32.dll
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="H:\WINDOWS\system32\ctfmon.exe" [2004-08-19 16:09 15360]
"SuperCopier2.exe"="H:\Program Files\SuperCopier2\SuperCopier2.exe" [2006-07-07 18:45 1052672]
"MSMSGS"="H:\Program Files\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]
"PcSync"="H:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2006-06-27 17:21 1449984]
"H/PC Connection Agent"="H:\PROGRA~1\MI3AA1~1\wcescomm.exe" [2005-11-15 20:44 1200128]
"Skype"="H:\Program Files\Skype\Phone\Skype.exe" [2008-01-17 19:10 21686568]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="H:\WINDOWS\system32\igfxtray.exe" [2006-10-06 13:11 98304]
"HotKeysCmds"="H:\WINDOWS\system32\hkcmd.exe" [2006-10-06 13:13 114688]
"Persistence"="H:\WINDOWS\system32\igfxpers.exe" [2006-10-06 13:10 94208]
"WinampAgent"="H:\Program Files\Winamp\winampa.exe" [2003-12-13 02:50 33792]
"lxctmon.exe"="H:\Program Files\Lexmark 5400 Series\lxctmon.exe" [2007-01-11 13:57 291760]
"Lexmark 5400 Series Fax Server"="H:\Program Files\Lexmark 5400 Series\fm3032.exe" [2006-07-10 22:30 294912]
"EzPrint"="H:\Program Files\Lexmark 5400 Series\ezprint.exe" [2006-06-07 02:05 98304]
"LXCTCATS"="H:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCTtime.dll" [2006-06-07 11:09 106496]
"NSLauncher"="H:\Program Files\Nokia\Nokia Software Launcher\NSLauncher.exe" [2006-11-28 02:12 2658304]
"Adobe Photo Downloader"="H:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe" [2005-06-23 21:33 57344]
"nod32kui"="H:\Program Files\Eset\nod32kui.exe" [2008-07-28 09:36 917504]
"RTHDCPL"="RTHDCPL.EXE" [2006-10-30 20:49 16269312 H:\WINDOWS\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 19:04 2879488 H:\WINDOWS\SkyTel.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="H:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 16:09 15360]

H:\Documents and Settings\Hatems\Menu D‚marrer\Programmes\D‚marrage\
D‚marrage d'Office.lnk - H:\Program Files\Microsoft Office97\Office\OSA.EXE [1996-12-17 01:00:00 51984]

H:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
WinZip Quick Pick.lnk - H:\Program Files\WinZip\WZQKPICK.EXE [2008-01-25 01:54:37 118784]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"H:\Program Files\Microsoft ActiveSync\rapimgr.exe"= H:\Program Files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"H:\Program Files\Microsoft ActiveSync\wcescomm.exe"= H:\Program Files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"H:\Program Files\Microsoft ActiveSync\WCESMgr.exe"= H:\Program Files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"H:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R1 BIOS;BIOS;H:\WINDOWS\system32\drivers\BIOS.sys [2005-03-16 08:23]
R2 Sage Serveur;Sage Serveur;H:\WINDOWS\system32\CBASE.EXE [2007-11-09 14:55]
S3 SCNa;SCNa Service;H:\WINDOWS\system32\cmd.exe [2004-08-19 16:09]
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-30 10:06:19
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
LXCTCATS = rundll32 H:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCTtime.dll,_RunDLLEntry@16???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\mchInjDrv]
"ImagePath"="\??\H:\DOCUME~1\Hatems\LOCALS~1\Temp\mc28.tmp"
.
--------------------- DLLs a chargé sous des processus courants ---------------------

PROCESS: H:\WINDOWS\system32\winlogon.exe
-> H:\Program Files\Eset\pr_imon.dll

PROCESS: H:\WINDOWS\system32\lsass.exe
-> H:\Program Files\Eset\pr_imon.dll
.
Temps d'accomplissement: 2008-07-30 10:06:47
ComboFix-quarantined-files.txt 2008-07-30 08:06:44
ComboFix2.txt 2008-07-29 08:44:33
ComboFix3.txt 2008-07-29 08:38:17
ComboFix4.txt 2008-07-29 08:31:29
ComboFix5.txt 2008-07-30 08:04:47

Pre-Run: 143,421,566,976 octets libres
Post-Run: 143,409,778,688 octets libres

149 --- E O F --- 2008-06-16 14:07:22



---------------------------------------------------------------------------

Et puis ce lui du dernier Hijackthis


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:10, on 2008-07-30
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\csrss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\spoolsv.exe
H:\WINDOWS\system32\lxctcoms.exe
H:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
H:\Program Files\Eset\nod32krn.exe
H:\WINDOWS\system32\CBASE.EXE
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\alg.exe
H:\WINDOWS\RTHDCPL.EXE
H:\WINDOWS\system32\igfxtray.exe
H:\WINDOWS\system32\hkcmd.exe
H:\WINDOWS\system32\igfxpers.exe
H:\Program Files\Winamp\winampa.exe
H:\Program Files\Lexmark 5400 Series\lxctmon.exe
H:\Program Files\Nokia\Nokia Software Launcher\NSLauncher.exe
H:\WINDOWS\system32\ctfmon.exe
H:\Program Files\SuperCopier2\SuperCopier2.exe
H:\Program Files\Messenger\msmsgs.exe
H:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe
H:\PROGRA~1\MI3AA1~1\wcescomm.exe
H:\Program Files\Skype\Phone\Skype.exe
H:\PROGRA~1\MI3AA1~1\rapimgr.exe
H:\Program Files\Fichiers communs\PCSuite\Services\ServiceLayer.exe
H:\PROGRA~1\FICHIE~1\Nokia\MPAPI\MPAPI3s.exe
H:\Program Files\WinZip\WZQKPICK.EXE
H:\Program Files\Microsoft Office97\Office\OSA.EXE
H:\WINDOWS\System32\svchost.exe
H:\Program Files\Skype\Plugin Manager\skypePM.exe
H:\WINDOWS\system32\wuauclt.exe
H:\WINDOWS\system32\notepad.exe
H:\WINDOWS\explorer.exe
H:\Program Files\Trend Micro\HijackThis\monjack.exe
H:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - H:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - H:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Lexmark Barre d'outils - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - H:\Program Files\Lexmark Toolbar\toolband.dll
O3 - Toolbar: Lexmark Barre d'outils - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - H:\Program Files\Lexmark Toolbar\toolband.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - H:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [IgfxTray] H:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] H:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] H:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [WinampAgent] H:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [lxctmon.exe] "H:\Program Files\Lexmark 5400 Series\lxctmon.exe"
O4 - HKLM\..\Run: [Lexmark 5400 Series Fax Server] "H:\Program Files\Lexmark 5400 Series\fm3032.exe" /s
O4 - HKLM\..\Run: [EzPrint] "H:\Program Files\Lexmark 5400 Series\ezprint.exe"
O4 - HKLM\..\Run: [LXCTCATS] rundll32 H:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCTtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [NSLauncher] H:\Program Files\Nokia\Nokia Software Launcher\NSLauncher.exe /startup
O4 - HKLM\..\Run: [Adobe Photo Downloader] "H:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [nod32kui] "H:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SuperCopier2.exe] H:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [MSMSGS] "H:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [PcSync] H:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [H/PC Connection Agent] "H:\PROGRA~1\MI3AA1~1\wcescomm.exe"
O4 - HKCU\..\Run: [Skype] "H:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Démarrage d'Office.lnk = H:\Program Files\Microsoft Office97\Office\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = H:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://H:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - H:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - H:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - H:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - H:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - H:\Program Files\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = somatral.com.tn
O17 - HKLM\Software\..\Telephony: DomainName = somatral.com.tn
O17 - HKLM\System\CCS\Services\Tcpip\..\{D485C246-FA39-4D72-9FAD-17E7F2E3CA31}: NameServer = 192.168.1.2
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = somatral.com.tn
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = somatral.com.tn
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - H:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: lxct_device - - H:\WINDOWS\system32\lxctcoms.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - H:\Program Files\Eset\nod32krn.exe
O23 - Service: Sage Serveur - Sage - H:\WINDOWS\system32\CBASE.EXE
O23 - Service: ServiceLayer - Nokia. - H:\Program Files\Fichiers communs\PCSuite\Services\ServiceLayer.exe
O23 - Service: VNC Server (winvnc) - TightVNC Group - H:\WINDOWS\Pointdev\VNC\WinVNC.exe
0
Réponse 16 / 28
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
30 juil. 2008 à 10:24
salut,

1- Fermes toutes tes applications et déconnectes toi .

Relances Hijackthis mais click sur " Do a scan only "
Tu vois donc apparaitre le résultat du scan : une multitudes de lignes ,chacunes précédées d'un carré vide .
Tu vas cliquer sur les carrés des lignes suivantes :

O4 - HKCU\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: WinZip Quick Pick.lnk = H:\Program Files\WinZip\WZQKPICK.EXE


Tu cliques en bas sur le bouton FIX CHECKED et valides .

2- refait un coup de CCleaner ( registre compris )

3- Télécharge DiagHelp.zip sur ton bureau :

http://www.malekal.com/download/DiagHelp.zip

!! déconnectes toi et fermes toutes tes applications en cours !!

Fais un clic droit sur le fichier et extraire tout .

--> Un nouveau dossier va être créé : "DiagHelp"
Ouvres le et double-clic sur go.cmd et pas sur autre chose ! (le .cmd peut ne pas apparaître )

--> Une fenêtre va s'ouvrir, choisis l'option 1
L'analyse va commencer, ce-ci peut durer quelques minutes, laisses faire et appuies sur une touche quand on te le demandera :
une page IE va s'ouvrir , fermes la .
Re-appuis sur une touche, le bloc-note s'ouvre :
Sauvegardes ce rapport de façon à le retrouver et postes tout son contenu dans ta prochaine réponse ...
0
Réponse 17 / 28
nattat Messages postés 30 Date d'inscription jeudi 30 juin 2005 Statut Membre Dernière intervention 5 août 2008 1
30 juil. 2008 à 10:55
RE RE,

Voici le rapport du DIAGHELP :


DiagHelp version v1.4 - http://www.malekal.com
excute le 2008-07-30 à 10:51:02.68


Liste des derniers fichies modifies/crees dans windir\system32 et prefetch
H:\WINDOWS\prefetch\CHCP.COM-18156052.pf -->2008-07-30 10:50:58
H:\WINDOWS\prefetch\WINRAR.EXE-39C6DAD9.pf -->2008-07-30 10:50:12
H:\WINDOWS\prefetch\FIREFOX.EXE-28641590.pf -->2008-07-30 10:47:50
H:\WINDOWS\prefetch\CCLEANER.EXE-0BCE437C.pf -->2008-07-30 10:47:16
H:\WINDOWS\prefetch\WMIPRVSE.EXE-28F301A9.pf -->2008-07-30 10:45:38
H:\WINDOWS\prefetch\MONJACK.EXE-0BC84F93.pf -->2008-07-30 10:45:36
H:\WINDOWS\prefetch\RUNDLL32.EXE-17E85A00.pf -->2008-07-30 10:39:26
H:\WINDOWS\prefetch\RUNDLL32.EXE-46E186DC.pf -->2008-07-30 10:38:41
H:\WINDOWS\prefetch\LXCTPSWX.EXE-25B6E032.pf -->2008-07-30 10:37:20
H:\WINDOWS\prefetch\LXCTJSWX.EXE-304E8154.pf -->2008-07-30 10:37:20

H:\WINDOWS\System32\drivers\amon.sys -->2008-07-28 09:36:49
H:\WINDOWS\System32\drivers\mbamswissarmy.sys -->2008-07-23 20:09:44
H:\WINDOWS\System32\drivers\mbam.sys -->2008-07-23 20:09:38
H:\WINDOWS\System32\drivers\mrxdav.sys -->2007-12-18 11:51:35
H:\WINDOWS\System32\drivers\secdrv.sys -->2007-11-13 12:25:54
H:\WINDOWS\System32\drivers\tcpip.sys -->2007-10-30 19:20:55
H:\WINDOWS\System32\drivers\mqac.sys -->2007-07-06 12:05:47

H:\WINDOWS\System32\tmp.txt -->2008-07-28 14:09:27
H:\WINDOWS\System32\tmp.reg -->2008-07-28 14:09:27
H:\WINDOWS\System32\imon.dll -->2008-07-28 09:36:50
H:\WINDOWS\System32\wpa.dbl -->2008-07-28 08:21:35
H:\WINDOWS\System32\PerfStringBackup.INI -->2008-07-07 09:35:16
H:\WINDOWS\System32\perfh00C.dat -->2008-07-07 09:35:16
H:\WINDOWS\System32\perfh009.dat -->2008-07-07 09:35:16
H:\WINDOWS\System32\perfc00C.dat -->2008-07-07 09:35:16
H:\WINDOWS\System32\perfc009.dat -->2008-07-07 09:35:16
H:\WINDOWS\System32\IEDFix.C.exe -->2008-07-02 13:33:45
H:\WINDOWS\System32\FNTCACHE.DAT -->2008-06-16 16:10:43
H:\WINDOWS\System32\user32.DLL -->2008-06-12 15:18:56
H:\WINDOWS\System32\VACFix.exe -->2008-05-29 09:35:36
H:\WINDOWS\System32\404Fix.exe -->2008-05-23 18:21:42
H:\WINDOWS\System32\IEDFix.exe -->2008-05-18 21:40:35
H:\WINDOWS\System32\CONFIG.NT -->2008-03-27 15:31:10
H:\WINDOWS\System32\win32k.sys -->2008-03-20 10:09:22
H:\WINDOWS\System32\dnsrslvr.dll -->2008-02-20 07:35:05
H:\WINDOWS\System32\dnsapi.dll -->2008-02-20 07:35:05
H:\WINDOWS\System32\LexFiles.ulf -->2008-01-30 10:54:29
H:\WINDOWS\System32\TZLog.log -->2008-01-30 10:42:15
H:\WINDOWS\System32\sr2spec.ini -->2008-01-29 17:59:40
H:\WINDOWS\System32\msxbse35.dll -->2008-01-29 17:59:40
H:\WINDOWS\System32\msrd2x35.dll -->2008-01-29 17:59:40
H:\WINDOWS\System32\msjter35.dll -->2008-01-29 17:59:40

H:\WINDOWS\WindowsUpdate.log -->2008-07-30 10:21:05
H:\WINDOWS\system.ini -->2008-07-30 10:06:17
H:\WINDOWS\wiadebug.log -->2008-07-30 09:58:35
H:\WINDOWS\wiaservc.log -->2008-07-30 09:58:34
H:\WINDOWS\bootstat.dat -->2008-07-30 09:58:22
H:\WINDOWS\SchedLgU.Txt -->2008-07-29 14:44:42
H:\WINDOWS\winamp.ini -->2008-04-08 09:54:01
H:\WINDOWS\ODBCINST.INI -->2008-03-05 10:26:52
H:\WINDOWS\Fix.reg -->2008-03-04 14:04:43
H:\WINDOWS\mozver.dat -->2008-02-07 09:34:24
H:\WINDOWS\nsreg.dat -->2008-01-31 17:08:30
H:\WINDOWS\Hatems.acl -->2008-01-31 09:28:58
H:\WINDOWS\ODBC.INI -->2008-01-29 18:15:54
H:\WINDOWS\win.ini -->2008-01-29 18:14:25
H:\WINDOWS\Sti_Trace.log -->2008-01-25 02:16:52

winlogon.exe
svchost.exe
ws2_32.dll
Verified: Signed
user32.dll
Verified: Unsigned
tcpip.sys
Verified: Signed
ndis.sys
Verified: Signed
null.sys
Verified: Signed


ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
explorer.exe pid: 3828
Command line: H:\WINDOWS\explorer.exe

Base Size Version Path
0x58b50000 0x9a000 5.82.2900.2982 H:\WINDOWS\system32\comctl32.dll
0x00b10000 0x19000 2.00.0000.0016 H:\Program Files\SuperCopier2\SC2Hook.dll
0x76f80000 0x7f000 2001.12.4414.0308 H:\WINDOWS\system32\CLBCATQ.DLL
0x77000000 0xd4000 2001.12.4414.0258 H:\WINDOWS\system32\COMRes.dll
0x7d200000 0x2be000 3.01.4000.4039 H:\WINDOWS\system32\msi.dll
0x76ac0000 0x11000 3.05.2284.0000 H:\WINDOWS\system32\ATL.DLL
0x10000000 0x2a000 3.00.0000.4704 H:\WINDOWS\system32\igfxpph.dll
0x00fb0000 0x15000 3.00.0000.4704 H:\WINDOWS\system32\hccutils.DLL
0x019b0000 0x29000 3.00.0000.4704 H:\WINDOWS\system32\igfxres.dll
0x01f00000 0x320000 3.00.0000.4704 H:\WINDOWS\system32\igfxress.dll
0x00fd0000 0xf000 3.00.0000.4704 H:\WINDOWS\system32\igfxsrvc.dll
0x01ab0000 0x1e000 3.117.0000.0000 H:\WINDOWS\System32\spool\DRIVERS\W32X86\3\lxctdrui.dll
0x01bf0000 0x27000 0.00.0007.0000 H:\WINDOWS\System32\spool\DRIVERS\W32X86\3\lxctPRPR.DLL
0x01dd0000 0x14000 1.00.0000.0001 H:\WINDOWS\System32\spool\DRIVERS\W32X86\3\lxctCFG.dll
0x022a0000 0xc9000 3.184.0000.0000 H:\WINDOWS\System32\spool\DRIVERS\W32X86\3\lxctPRP.DLL
0x5f400000 0xf4000 6.00.8063.0000 H:\WINDOWS\system32\LXCTGF.DLL
0x02370000 0x70000 3.184.0000.0000 H:\WINDOWS\system32\lxctutil.dll
0x61d70000 0xe000 6.00.8665.0000 H:\WINDOWS\system32\MFC42LOC.DLL
0x024e0000 0x25000 0.00.0007.0000 H:\WINDOWS\system32\lxctjswr.dll
0x02510000 0x354000 3.184.0000.0000 H:\WINDOWS\System32\spool\DRIVERS\W32X86\3\lxctprpb.dll
0x01500000 0x2c000 H:\Program Files\WinRAR\rarext.dll
0x16200000 0x6000 4.01.0000.0000 H:\PROGRA~1\WINZIP\WZSHLSTB.DLL
0x014d0000 0xf000 2.50.0041.0000 H:\Program Files\Eset\nodshex.dll
0x20900000 0x5000 2.50.0041.0000 H:\Program Files\Eset\pr_nod32.dll
0x20a00000 0x2b000 2.50.0041.0000 H:\Program Files\Eset\pu_nod32.dll
0x5f800000 0xf2000 6.02.8071.0000 H:\WINDOWS\system32\MFC42u.DLL
0x01530000 0x12000 1.01.0000.0000 H:\Program Files\Malwarebytes' Anti-Malware\mbamext.dll
0x014c0000 0x8000 1.00.0000.0001 H:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
0x325c0000 0x12000 11.00.5510.0000 H:\Program Files\Microsoft Office\OFFICE11\msohev.dll
0x41f00000 0x7000 1.00.0000.3845 H:\WINDOWS\system32\asfsipc.dll
0x60980000 0x7000 3.01.4000.1823 H:\WINDOWS\system32\MSISIP.DLL
0x74e10000 0x10000 5.06.0000.8820 H:\WINDOWS\system32\wshext.dll
0x73d20000 0xfe000 6.02.4131.0000 H:\WINDOWS\system32\MFC42.DLL
0x59000000 0xe000 5.06.0000.6626 H:\WINDOWS\system32\wshFR.DLL
0x36d30000 0x1b000 11.00.8164.0000 H:\PROGRA~1\MICROS~2\OFFICE11\MCPS.DLL

ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
winlogon.exe pid: 584
Command line: winlogon.exe

Base Size Version Path
0x01000000 0x81000 \??\H:\WINDOWS\system32\winlogon.exe
0x58b50000 0x9a000 5.82.2900.2982 H:\WINDOWS\system32\COMCTL32.dll
0x74730000 0x3d000 3.525.1117.0000 H:\WINDOWS\system32\ODBC32.dll
0x20000000 0x18000 3.525.1117.0000 H:\WINDOWS\system32\odbcint.dll
0x76ac0000 0x11000 3.05.2284.0000 H:\WINDOWS\system32\ATL.DLL
0x20b00000 0x45000 2.50.0041.0000 H:\WINDOWS\system32\imon.dll
0x20c00000 0xd000 H:\Program Files\Eset\pr_imon.dll
0x77000000 0xd4000 2001.12.4414.0258 H:\WINDOWS\system32\COMRes.dll
0x76f80000 0x7f000 2001.12.4414.0308 H:\WINDOWS\system32\CLBCATQ.DLL


Le volume dans le lecteur H n'a pas de nom.
Le numéro de série du volume est 701B-F459

Répertoire de H:\WINDOWS\system32

2004-08-19 16:09 6,144 csrss.exe
1 fichier(s) 6,144 octets
0 Rép(s) 143,413,481,472 octets libres

Contenu de Downloaded Program Files
Le volume dans le lecteur H n'a pas de nom.
Le numéro de série du volume est 701B-F459

Répertoire de H:\WINDOWS\Downloaded Program Files

2008-02-08 15:52 <REP> .
2008-02-08 15:52 <REP> ..
2008-01-25 01:22 65 desktop.ini
2007-11-20 17:04 1,523,536 FP_AX_CAB_INSTALLER.exe
2007-11-20 16:50 247 swflash.inf
3 fichier(s) 1,523,848 octets

Total des fichiers listés :
3 fichier(s) 1,523,848 octets
2 Rép(s) 143,413,477,376 octets libres

Recherche de rootkit! (Merci S!Ri)

Recherche d'infections connues

Export des clefs sensibles..


Liste des fichiers en exception sur le pare-feu XP SP2

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"H:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe"="H:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"
"H:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe"="H:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"
"H:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe"="H:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"
"H:\\Program Files\\Skype\\Phone\\Skype.exe"="H:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"H:\\WINDOWS\\system32\\lxctcoms.exe"="H:\\WINDOWS\\system32\\lxctcoms.exe:*:Enabled:Lexmark Communications System"
"H:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe"="H:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"
"H:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe"="H:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"
"H:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe"="H:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"
"H:\\Program Files\\Skype\\Phone\\Skype.exe"="H:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

Export de la clef SharedTaskScheduler

[SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"



exports des policies
REGEDIT4

[system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
"DisableRegistryTools"=dword:00000000
"HideLegacyLogonScripts"=dword:00000000
"HideLogoffScripts"=dword:00000000
"RunLogonScriptSync"=dword:00000001
"RunStartupScriptSync"=dword:00000000
"HideStartupScripts"=dword:00000000



Export des clefs sensibles..
Rechercher adresses sensibles dans le fichier HOSTS...
catchme 0.3.1351 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-30 10:51:35
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden services: 0
hidden files: 0


KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Process list by traversal of KiWaitListHead

4 - System
364 - RTHDCPL.exe
396 - wcescomm.exe
560 - csrss.exe
584 - winlogon.exe
628 - services.exe
640 - lsass.exe
820 - svchost.exe
864 - svchost.exe
916 - cmd.exe
940 - svchost.exe
1036 - svchost.exe
1064 - svchost.exe
1124 - NSLauncher.exe
1216 - spoolsv.exe
1432 - lxctcoms.exe
1444 - msmsgs.exe
1456 - MDM.EXE
1528 - nod32krn.exe
1644 - PcSync2.exe
1880 - Skype.exe
1968 - alg.exe
2096 - ServiceLayer.ex
3208 - svchost.exe
3764 - skypePM.exe
3828 - explorer.exe

Total number of processes = 26
NOTE: Under WinXP, this will not show all processes.

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Driver/Module list by traversal of PsLoadedModuleList

804D7000 - \WINDOWS\system32\ntkrnlpa.exe
806E2000 - \WINDOWS\system32\hal.dll
BA5A8000 - \WINDOWS\system32\KDCOM.DLL
BA4B8000 - \WINDOWS\system32\BOOTVID.dll
B9F78000 - ACPI.sys
BA5AA000 - \WINDOWS\system32\DRIVERS\WMILIB.SYS
B9F67000 - pci.sys
BA0A8000 - isapnp.sys
BA670000 - pciide.sys
BA328000 - \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
BA0B8000 - MountMgr.sys
B9F48000 - ftdisk.sys
BA5AC000 - dmload.sys
B9F22000 - dmio.sys
BA330000 - PartMgr.sys
BA0C8000 - VolSnap.sys
B9F0A000 - atapi.sys
BA0D8000 - disk.sys
BA0E8000 - \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
B9EEA000 - fltMgr.sys
B9ED8000 - sr.sys
BA338000 - PxHelp20.sys
B9EC1000 - KSecDD.sys
B9E34000 - Ntfs.sys
B9E07000 - NDIS.sys
B9DEC000 - Mup.sys
BA1B8000 - \SystemRoot\system32\DRIVERS\intelppm.sys
B9C83000 - \SystemRoot\system32\DRIVERS\igxpmp32.sys
B9C6F000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
B9C4A000 - \SystemRoot\system32\DRIVERS\HDAudBus.sys
BA3D8000 - \SystemRoot\system32\DRIVERS\usbuhci.sys
B9C27000 - \SystemRoot\system32\DRIVERS\USBPORT.SYS
BA3E0000 - \SystemRoot\system32\DRIVERS\usbehci.sys
B9BE8000 - \SystemRoot\system32\DRIVERS\HSFHWBS2.sys
B9BC5000 - \SystemRoot\system32\DRIVERS\ks.sys
B9AD3000 - \SystemRoot\system32\DRIVERS\HSF_DPV.sys
B9A20000 - \SystemRoot\system32\DRIVERS\HSF_CNXT.sys
BA3E8000 - \SystemRoot\System32\Drivers\Modem.SYS
BA3F0000 - \SystemRoot\system32\DRIVERS\RTL8139.SYS
BA3F8000 - \SystemRoot\system32\DRIVERS\fdc.sys
B9A0F000 - \SystemRoot\system32\DRIVERS\serial.sys
BA564000 - \SystemRoot\system32\DRIVERS\serenum.sys
B99FB000 - \SystemRoot\system32\DRIVERS\parport.sys
BA1C8000 - \SystemRoot\system32\DRIVERS\i8042prt.sys
BA400000 - \SystemRoot\system32\DRIVERS\mouclass.sys
BA408000 - \SystemRoot\system32\DRIVERS\kbdclass.sys
BA1D8000 - \SystemRoot\system32\DRIVERS\imapi.sys
BA1E8000 - \SystemRoot\system32\DRIVERS\cdrom.sys
BA1F8000 - \SystemRoot\system32\DRIVERS\redbook.sys
BA7E1000 - \SystemRoot\system32\DRIVERS\audstub.sys
BA208000 - \SystemRoot\system32\DRIVERS\rasl2tp.sys
BA56C000 - \SystemRoot\system32\DRIVERS\ndistapi.sys
B99E4000 - \SystemRoot\system32\DRIVERS\ndiswan.sys
BA218000 - \SystemRoot\system32\DRIVERS\raspppoe.sys
BA228000 - \SystemRoot\system32\DRIVERS\raspptp.sys
BA410000 - \SystemRoot\system32\DRIVERS\TDI.SYS
B99D3000 - \SystemRoot\system32\DRIVERS\psched.sys
BA238000 - \SystemRoot\system32\DRIVERS\msgpc.sys
BA418000 - \SystemRoot\system32\DRIVERS\ptilink.sys
BA420000 - \SystemRoot\system32\DRIVERS\raspti.sys
B99A2000 - \SystemRoot\system32\DRIVERS\rdpdr.sys
BA248000 - \SystemRoot\system32\DRIVERS\termdd.sys
BA5BC000 - \SystemRoot\system32\DRIVERS\swenum.sys
B9921000 - \SystemRoot\system32\DRIVERS\update.sys
BA588000 - \SystemRoot\system32\DRIVERS\mssmbios.sys
BA258000 - \SystemRoot\System32\Drivers\NDProxy.SYS
A93BD000 - \SystemRoot\system32\drivers\RtkHDAud.sys
A939B000 - \SystemRoot\system32\drivers\portcls.sys
BA298000 - \SystemRoot\system32\drivers\drmk.sys
BA2A8000 - \SystemRoot\system32\DRIVERS\usbhub.sys
BA5C0000 - \SystemRoot\system32\DRIVERS\USBD.SYS
BA550000 - \SystemRoot\system32\drivers\MODEMCSA.sys
BA5CA000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS
BA774000 - \SystemRoot\System32\Drivers\Null.SYS
BA5CC000 - \SystemRoot\System32\Drivers\Beep.SYS
BA448000 - \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
BA450000 - \SystemRoot\System32\drivers\vga.sys
BA5CE000 - \SystemRoot\System32\Drivers\mnmdd.SYS
BA5D0000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys
BA458000 - \SystemRoot\System32\Drivers\Msfs.SYS
BA460000 - \SystemRoot\System32\Drivers\Npfs.SYS
B9996000 - \SystemRoot\system32\DRIVERS\rasacd.sys
A9278000 - \SystemRoot\system32\DRIVERS\ipsec.sys
A9220000 - \SystemRoot\system32\DRIVERS\tcpip.sys
A91D0000 - \SystemRoot\system32\DRIVERS\netbt.sys
A91AF000 - \SystemRoot\system32\DRIVERS\ipnat.sys
BA2E8000 - \SystemRoot\system32\DRIVERS\wanarp.sys
B997E000 - \SystemRoot\System32\drivers\ws2ifsl.sys
A918D000 - \SystemRoot\System32\drivers\afd.sys
BA2F8000 - \SystemRoot\system32\DRIVERS\netbios.sys
A9162000 - \SystemRoot\system32\DRIVERS\rdbss.sys
A90F3000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys
BA308000 - \SystemRoot\System32\Drivers\Fips.SYS
BA468000 - \SystemRoot\system32\DRIVERS\usbccgp.sys
BA470000 - \SystemRoot\system32\DRIVERS\USBSTOR.SYS
B997A000 - \??\H:\WINDOWS\system32\drivers\BIOS.sys
A92E7000 - \SystemRoot\system32\DRIVERS\hidusb.sys
BA168000 - \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
A92BB000 - \SystemRoot\system32\DRIVERS\usbscan.sys
BA490000 - \SystemRoot\system32\DRIVERS\usbprint.sys
A92B7000 - \SystemRoot\system32\DRIVERS\kbdhid.sys
A92B3000 - \SystemRoot\system32\DRIVERS\mouhid.sys
BA198000 - \SystemRoot\System32\Drivers\Cdfs.SYS
A90B3000 - \SystemRoot\System32\Drivers\dump_atapi.sys
BA60E000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS
BF800000 - \SystemRoot\System32\win32k.sys
A90E3000 - \SystemRoot\System32\drivers\Dxapi.sys
BA370000 - \SystemRoot\System32\watchdog.sys
BF000000 - \SystemRoot\System32\drivers\dxg.sys
BA70D000 - \SystemRoot\System32\drivers\dxgthk.sys
BF024000 - \SystemRoot\System32\igxpgd32.dll
BF012000 - \SystemRoot\System32\igxprd32.dll
BF04D000 - \SystemRoot\System32\igxpdv32.DLL
BF1AE000 - \SystemRoot\System32\igxpdx32.DLL
A90EB000 - \SystemRoot\system32\DRIVERS\ndisuio.sys
A8D17000 - \SystemRoot\system32\DRIVERS\mrxdav.sys
BA66E000 - \SystemRoot\System32\Drivers\ParVdm.SYS
A8C75000 - \??\H:\WINDOWS\system32\drivers\amon.sys
A8D03000 - \SystemRoot\system32\DRIVERS\mdmxsdk.sys
A8BD3000 - \SystemRoot\system32\DRIVERS\srv.sys
A8876000 - \SystemRoot\system32\drivers\wdmaud.sys
A89C3000 - \SystemRoot\system32\drivers\sysaudio.sys
BA7FD000 - \??\H:\DOCUME~1\Hatems\LOCALS~1\Temp\mc28.tmp
A812D000 - \SystemRoot\System32\Drivers\HTTP.sys
BA61C000 - \??\H:\WINDOWS\system32\Drivers\PROCEXP90.SYS
BA480000 - \??\H:\C-Fix\catchme.sys
A7CD0000 - \SystemRoot\system32\drivers\kmixer.sys
BA74A000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

Total number of drivers = 128

Liste des programmes installes

Adobe Acrobat 5.0
Adobe Flash Player ActiveX
Adobe Flash Player Plugin
Adobe® Photoshop® Album Edition Découverte 3.0
CCleaner (remove only)
Correctif pour Windows XP (KB935448)
Correctif Windows XP - KB873339
Correctif Windows XP - KB885835
Correctif Windows XP - KB885836
Correctif Windows XP - KB886185
Correctif Windows XP - KB887472
Correctif Windows XP - KB888302
Correctif Windows XP - KB890859
Correctif Windows XP - KB891781
Eset-NOD32: Fix Dasumo v3 until 2029
High Definition Audio Driver Package - KB888111
Home Media Server 4.0.0.0072
Hotfix for Windows XP (KB909394)
Intel(R) Graphics Media Accelerator Driver
Lexmark 5400 Series
Lexmark Barre d'outils
Malwarebytes' Anti-Malware
Microsoft ActiveSync 4.0
Microsoft Office 97 Professional
Microsoft Office Professional Edition 2003
Mise à jour de sécurité pour Lecteur Windows Media (KB911564)
Mise à jour de sécurité pour Lecteur Windows Media 6.4 (KB925398)
Mise à jour de sécurité pour Lecteur Windows Media 9 (KB936782)
Mise à jour de sécurité pour Windows XP (KB890046)
Mise à jour de sécurité pour Windows XP (KB893756)
Mise à jour de sécurité pour Windows XP (KB896358)
Mise à jour de sécurité pour Windows XP (KB896423)
Mise à jour de sécurité pour Windows XP (KB896428)
Mise à jour de sécurité pour Windows XP (KB899587)
Mise à jour de sécurité pour Windows XP (KB899591)
Mise à jour de sécurité pour Windows XP (KB900725)
Mise à jour de sécurité pour Windows XP (KB901017)
Mise à jour de sécurité pour Windows XP (KB901214)
Mise à jour de sécurité pour Windows XP (KB902400)
Mise à jour de sécurité pour Windows XP (KB905414)
Mise à jour de sécurité pour Windows XP (KB905749)
Mise à jour de sécurité pour Windows XP (KB908519)
Mise à jour de sécurité pour Windows XP (KB911562)
Mise à jour de sécurité pour Windows XP (KB911927)
Mise à jour de sécurité pour Windows XP (KB913580)
Mise à jour de sécurité pour Windows XP (KB914388)
Mise à jour de sécurité pour Windows XP (KB914389)
Mise à jour de sécurité pour Windows XP (KB917344)
Mise à jour de sécurité pour Windows XP (KB918118)
Mise à jour de sécurité pour Windows XP (KB918439)
Mise à jour de sécurité pour Windows XP (KB919007)
Mise à jour de sécurité pour Windows XP (KB920213)
Mise à jour de sécurité pour Windows XP (KB920670)
Mise à jour de sécurité pour Windows XP (KB920683)
Mise à jour de sécurité pour Windows XP (KB920685)
Mise à jour de sécurité pour Windows XP (KB921503)
Mise à jour de sécurité pour Windows XP (KB922819)
Mise à jour de sécurité pour Windows XP (KB923191)
Mise à jour de sécurité pour Windows XP (KB923414)
Mise à jour de sécurité pour Windows XP (KB923789)
Mise à jour de sécurité pour Windows XP (KB923980)
Mise à jour de sécurité pour Windows XP (KB924270)
Mise à jour de sécurité pour Windows XP (KB924496)
Mise à jour de sécurité pour Windows XP (KB924667)
Mise à jour de sécurité pour Windows XP (KB925902)
Mise à jour de sécurité pour Windows XP (KB926255)
Mise à jour de sécurité pour Windows XP (KB926436)
Mise à jour de sécurité pour Windows XP (KB927779)
Mise à jour de sécurité pour Windows XP (KB927802)
Mise à jour de sécurité pour Windows XP (KB928255)
Mise à jour de sécurité pour Windows XP (KB928843)
Mise à jour de sécurité pour Windows XP (KB929123)
Mise à jour de sécurité pour Windows XP (KB930178)
Mise à jour de sécurité pour Windows XP (KB931261)
Mise à jour de sécurité pour Windows XP (KB931784)
Mise à jour de sécurité pour Windows XP (KB932168)
Mise à jour de sécurité pour Windows XP (KB933729)
Mise à jour de sécurité pour Windows XP (KB935839)
Mise à jour de sécurité pour Windows XP (KB935840)
Mise à jour de sécurité pour Windows XP (KB936021)
Mise à jour de sécurité pour Windows XP (KB937894)
Mise à jour de sécurité pour Windows XP (KB938127)
Mise à jour de sécurité pour Windows XP (KB938829)
Mise à jour de sécurité pour Windows XP (KB941202)
Mise à jour de sécurité pour Windows XP (KB941568)
Mise à jour de sécurité pour Windows XP (KB941569)
Mise à jour de sécurité pour Windows XP (KB941644)
Mise à jour de sécurité pour Windows XP (KB941693)
Mise à jour de sécurité pour Windows XP (KB942615)
Mise à jour de sécurité pour Windows XP (KB943055)
Mise à jour de sécurité pour Windows XP (KB943460)
Mise à jour de sécurité pour Windows XP (KB943485)
Mise à jour de sécurité pour Windows XP (KB944653)
Mise à jour de sécurité pour Windows XP (KB945553)
Mise à jour de sécurité pour Windows XP (KB946026)
Mise à jour pour Windows XP (KB894391)
Mise à jour pour Windows XP (KB898461)
Mise à jour pour Windows XP (KB900485)
Mise à jour pour Windows XP (KB908531)
Mise à jour pour Windows XP (KB910437)
Mise à jour pour Windows XP (KB911280)
Mise à jour pour Windows XP (KB916595)
Mise à jour pour Windows XP (KB920872)
Mise à jour pour Windows XP (KB922582)
Mise à jour pour Windows XP (KB927891)
Mise à jour pour Windows XP (KB930916)
Mise à jour pour Windows XP (KB936357)
Mise à jour pour Windows XP (KB938828)
Mise à jour pour Windows XP (KB942763)
Mise à jour pour Windows XP (KB942840)
Mise à jour pour Windows XP (KB946627)
Mozilla Firefox (2.0.0.16)
MSXML 4.0 SP2 (KB936181)
NOD32 Antivirus System
Nokia Connectivity Cable Driver
Nokia Lifeblog 2.1
Nokia MTP driver
Nokia PC Connectivity Solution
Nokia PC Suite
Nokia Software Launcher
Realtek High Definition Audio Driver
Sage 100 Comptabilité
Sage 100 Driver ODBC
Sage 100 Gestion commerciale
Sage Serveur
Skype™ 3.6
Soft Voice SoftRing Modem
SuperCopier2
VideoLAN VLC media player 0.8.6f
WebFldrs XP
Webshots Desktop
Winamp (remove only)
Windows Driver Package - Nokia Modem (06/12/2006 6.81.0.21)
Windows Installer 3.1 (KB893803)
WinRAR archiver
WinZip
Yahoo! Install Manager
Yahoo! Toolbar
Yahoo! Toolbar avec bloqueur de fenêtres pop-up



Le volume dans le lecteur H n'a pas de nom.
Le numéro de série du volume est 701B-F459

Répertoire de H:\Program Files

2008-07-29 10:20 <REP> .
2008-07-29 10:20 <REP> ..
2008-01-30 11:07 <REP> Adobe
2008-07-29 10:20 <REP> CCleaner
2008-01-25 01:20 <REP> ComPlus Applications
2008-01-25 01:47 <REP> CONEXANT
2008-01-30 11:04 <REP> DIFX
2008-07-28 09:49 <REP> ESET
2008-07-30 10:05 <REP> Fichiers communs
2008-05-14 12:02 <REP> GecoMaes
2008-01-25 01:32 <REP> Intel
2008-01-30 10:39 <REP> Internet Explorer
2008-01-30 10:57 <REP> Lexmark 5400 Series
2008-01-30 10:58 <REP> Lexmark Toolbar
2008-07-30 10:37 <REP> Lx_cats
2008-05-14 12:04 <REP> Maestria
2008-07-29 08:40 <REP> Malwarebytes' Anti-Malware
2008-01-30 10:48 <REP> Messenger
2008-01-30 11:30 <REP> Microsoft ActiveSync
2008-01-25 01:23 <REP> microsoft frontpage
2008-01-29 17:34 <REP> Microsoft Office
2008-01-29 17:36 <REP> Microsoft Office97
2008-01-25 01:41 <REP> Microsoft Visual Studio
2008-01-29 18:13 <REP> Microsoft Works
2008-01-25 01:41 <REP> Microsoft.NET
2008-01-25 01:21 <REP> Movie Maker
2008-07-30 10:47 <REP> Mozilla Firefox
2008-01-25 01:19 <REP> MSN
2008-01-25 01:19 <REP> MSN Gaming Zone
2008-06-16 16:07 <REP> MSXML 4.0
2008-01-25 01:21 <REP> NetMeeting
2008-01-30 11:05 <REP> Nokia
2008-05-14 12:05 <REP> ntmaes
2008-01-25 01:20 <REP> Online Services
2008-01-30 10:42 <REP> Outlook Express
2008-01-25 01:30 <REP> Realtek
2008-05-14 12:06 <REP> Sage
2008-01-25 01:22 <REP> Services en ligne
2008-01-30 11:05 <REP> SimpleCenter
2008-01-31 17:20 <REP> Skype
2008-01-29 17:26 <REP> SuperCopier2
2008-07-28 11:57 <REP> Trend Micro
2008-04-08 09:59 <REP> VideoLAN
2008-01-25 01:50 <REP> Webshots
2008-01-25 01:50 <REP> Winamp
2008-01-30 10:43 <REP> Windows Media Player
2008-01-25 01:19 <REP> Windows NT
2008-03-04 10:41 <REP> WinRAR
2008-01-25 01:54 <REP> WinZip
2008-01-25 01:23 <REP> xerox
2008-07-29 10:15 <REP> Yahoo!
0 fichier(s) 0 octets
51 Rép(s) 143,413,366,784 octets libres
Le volume dans le lecteur H n'a pas de nom.
Le numéro de série du volume est 701B-F459

Répertoire de H:\Program Files\fichiers communs

2008-07-30 10:05 <REP> .
2008-07-30 10:05 <REP> ..
2008-01-31 17:44 <REP> Adobe
2008-01-25 01:41 <REP> DESIGNER
2008-01-30 11:05 <REP> i4j_jres
2008-06-30 10:43 <REP> InstallShield
2008-01-30 11:30 <REP> Microsoft Shared
2008-01-25 01:21 <REP> MSSoap
2008-01-30 11:04 <REP> Nokia
2008-01-25 02:14 <REP> ODBC
2008-01-30 11:04 <REP> PCSuite
2008-05-14 12:05 <REP> Sage
2008-01-25 01:21 <REP> Services
2008-01-31 17:20 <REP> Skype
2008-01-25 02:14 <REP> SpeechEngines
2008-01-30 10:42 <REP> System
0 fichier(s) 0 octets
16 Rép(s) 143,413,366,784 octets libres
Le volume dans le lecteur H n'a pas de nom.
Le numéro de série du volume est 701B-F459

Répertoire de H:\Program Files\fichiers communs\Microsoft Shared\Web Folders

2008-01-29 18:13 <REP> .
2008-01-29 18:13 <REP> ..
2008-01-25 01:41 <REP> 1033
2008-01-29 18:13 <REP> 1036
2005-09-20 13:33 1,293,008 MSONSEXT.DLL
2007-03-22 20:29 39,256 MSOSV.DLL
1999-06-03 13:09 122,937 MSOWS409.DLL
2001-03-07 08:00 127,033 MSOWS40c.DLL
2003-07-11 03:25 80,448 PKMWS.DLL
5 fichier(s) 1,662,682 octets
4 Rép(s) 143,413,362,688 octets libres





****** Fin du rapport DiagHelp


Merci !!!
0
Réponse 18 / 28
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
30 juil. 2008 à 11:06
on va vérifier ce-ci :

Rends toi sur ce site :

https://www.virustotal.com/gui/

Copies ce qui suit et colles le dans l'espace pour la recherche :
H:\WINDOWS\system32\user32.dll

Cliques sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copies le dans ta prochaine réponse ...

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )


Fais de même pour :

H:\WINDOWS\System32\sr2spec.ini
H:\WINDOWS\System32\msxbse35.dll
H:\WINDOWS\System32\msrd2x35.dll
H:\WINDOWS\System32\msjter35.dll

---> postes moi donc ces 5 rapports ( en précisant bien au début de chacun à quel fichier ils correspondent ) et attends la suite ...

0
Réponse 19 / 28
nattat Messages postés 30 Date d'inscription jeudi 30 juin 2005 Statut Membre Dernière intervention 5 août 2008 1
30 juil. 2008 à 11:31
Salut,

Voici les résultats de Virustotal :

* H:\WINDOWS\system32\user32.dll ---------------->

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.7.29.1 2008.07.30 -
AntiVir 7.8.1.12 2008.07.30 -
Authentium 5.1.0.4 2008.07.30 -
Avast 4.8.1195.0 2008.07.29 -
AVG 8.0.0.130 2008.07.30 -
BitDefender 7.2 2008.07.30 -
CAT-QuickHeal 9.50 2008.07.29 -
ClamAV 0.93.1 2008.07.30 -
DrWeb 4.44.0.09170 2008.07.30 -
eSafe 7.0.17.0 2008.07.29 -
eTrust-Vet 31.6.5994 2008.07.30 -
Ewido 4.0 2008.07.29 -
F-Prot 4.4.4.56 2008.07.30 -
F-Secure 7.60.13501.0 2008.07.30 Trojan.Win32.Patched.bb
Fortinet 3.14.0.0 2008.07.30 -
GData 2.0.7306.1023 2008.07.30 Trojan.Win32.Patched.bb
Ikarus T3.1.1.34.0 2008.07.30 -
Kaspersky 7.0.0.125 2008.07.30 Trojan.Win32.Patched.bb
McAfee 5349 2008.07.29 -
Microsoft 1.3704 2008.07.28 -
NOD32v2 3308 2008.07.29 -
Norman 5.80.02 2008.07.30 -
Panda 9.0.0.4 2008.07.29 -
PCTools 4.4.2.0 2008.07.30 -
Prevx1 V2 2008.07.30 -
Rising 20.55.21.00 2008.07.30 Trojan.Win32.Patched.bi
Sophos 4.31.0 2008.07.30 Troj/User32Hk-A
Sunbelt 3.1.1537.1 2008.07.29 -
Symantec 10 2008.07.30 -
TheHacker 6.2.96.389 2008.07.25 -
TrendMicro 8.700.0.1004 2008.07.30 Mal_Patch-1
VBA32 3.12.8.1 2008.07.29 -
ViRobot 2008.7.29.1315 2008.07.29 -
VirusBuster 4.5.11.0 2008.07.29 -
Webwasher-Gateway 6.6.2 2008.07.30 -
Information additionnelle
File size: 578560 bytes
MD5...: c3f71a3aac063cb093d68cb7ba1a4535
SHA1..: b06216ea7f2e9077890a4a4bf9ec0fa4625aa1a2
SHA256: 73c8feb6c1beb779b5c375f8c77e5bf6af4fc2acb1f3569d209602877bd111cc
SHA512: 219716c98debcaf3a4871c7782d4b0d7c9dec466cabd5da40fd33e61eeefc7da
8643717795cf045b752a2e007dfab9fe7f6f616ddb3fced82cbadfb4cd8aa5a1
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x7e3ae966
timedatestamp.....: 0x45f02dce (Thu Mar 08 15:37:50 2007)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x5efe7 0x5f000 6.64 fd82ccd01e2653930a34b0af6216e86d
.data 0x60000 0x1180 0xc00 2.39 42b206dcbfd6b51646502b9fa345eb17
.rsrc 0x62000 0x2a5f0 0x2a600 5.00 b2d777ab1e1d1a7b3b5816f199cde9f7
.reloc 0x8d000 0x2de8 0x2e00 6.78 29147feab00159bf20d090a34b6e2b09

( 3 imports )
> GDI32.dll: GetClipRgn, ExtSelectClipRgn, GetHFONT, GetMapMode, SetGraphicsMode, GetClipBox, CreateRectRgn, CreateRectRgnIndirect, SetLayout, GetBoundsRect, ExcludeClipRect, PlayEnhMetaFile, CreatePen, Ellipse, CreateEllipticRgn, GdiFixUpHandle, GetTextCharacterExtra, SetTextCharacterExtra, GetCurrentObject, GetViewportOrgEx, SetViewportOrgEx, PolyPatBlt, CreateBrushIndirect, SetBoundsRect, CopyEnhMetaFileW, CopyMetaFileW, GetPaletteEntries, CreatePalette, SetPaletteEntries, bInitSystemAndFontsDirectoriesW, bMakePathNameW, cGetTTFFromFOT, GetPixel, ExtTextOutA, GetTextCharsetInfo, QueryFontAssocStatus, GetCharWidthInfo, GetCharWidthA, GetTextFaceW, GetCharABCWidthsA, GetCharABCWidthsW, SetBrushOrgEx, CreateFontIndirectW, EnumFontsW, GetTextFaceAliasW, GetTextMetricsW, GetTextColor, GetBkMode, GetViewportExtEx, GetWindowExtEx, GdiGetCharDimensions, GdiGetCodePage, GetTextCharset, GdiPrinterThunk, GdiAddFontResourceW, TranslateCharsetInfo, SaveDC, OffsetWindowOrgEx, RestoreDC, ExtTextOutW, GetObjectType, GetDIBits, CreateDIBSection, SetStretchBltMode, SelectPalette, RealizePalette, SetDIBits, CreateDCW, CreateDIBitmap, CreateCompatibleBitmap, SetBitmapBits, DeleteDC, GdiValidateHandle, GdiProcessSetup, CreateSolidBrush, GetStockObject, CreateCompatibleDC, GdiConvertBitmapV5, GdiCreateLocalEnhMetaFile, GdiCreateLocalMetaFilePict, GetRgnBox, CombineRgn, OffsetRgn, MirrorRgn, EnableEUDC, GdiConvertToDevmodeW, GetTextExtentPointA, GetTextExtentPointW, CreateBitmap, SetLayoutWidth, PatBlt, TextOutA, TextOutW, BitBlt, GdiConvertAndCheckDC, StretchBlt, SetRectRgn, GdiReleaseDC, GdiConvertEnhMetaFile, GdiConvertMetaFilePict, DeleteEnhMetaFile, DeleteMetaFile, DeleteObject, GetDIBColorTable, GetDeviceCaps, StretchDIBits, GetLayout, SetBkColor, SetTextColor, GetObjectW, GetBkColor, SetBkMode, SelectObject, IntersectClipRect, GetTextAlign, SetTextAlign, GdiDllInitialize
> KERNEL32.dll: LocalSize, LocalUnlock, SizeofResource, LoadResource, FindResourceExW, FindResourceExA, GetModuleHandleW, DisableThreadLibraryCalls, GetCurrentThreadId, IsDBCSLeadByteEx, SearchPathW, ExpandEnvironmentStringsW, LoadLibraryExW, GlobalAddAtomW, GetSystemDirectoryW, GetComputerNameW, GetCurrentProcess, GetCurrentThread, ExitThread, GetExitCodeThread, CreateThread, HeapReAlloc, GlobalHandle, FoldStringW, Sleep, GetStringTypeW, GetStringTypeA, GetCPInfo, HeapSize, CloseHandle, UnmapViewOfFile, MapViewOfFile, CreateFileMappingW, GetFileSize, ReadFile, SetFileTime, GetFileTime, GetSystemWindowsDirectoryW, CopyFileW, MoveFileW, DeleteFileW, CreateProcessW, AddAtomA, AddAtomW, GetAtomNameW, GetAtomNameA, IsValidLocale, ConvertDefaultLocale, CompareStringW, GetCurrentDirectoryW, SetCurrentDirectoryW, lstrlenW, GetLogicalDrives, FindClose, FindNextFileW, FindFirstFileW, GetThreadLocale, VirtualFree, ProcessIdToSessionId, GetCurrentProcessId, InterlockedCompareExchange, IsDBCSLeadByte, LCMapStringW, QueryPerformanceCounter, QueryPerformanceFrequency, GetTickCount, lstrlenA, GlobalFindAtomA, GetModuleFileNameA, GetModuleHandleA, GlobalAddAtomA, DelayLoadFailureHook, LoadLibraryA, GetSystemTimeAsFileTime, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, LocalLock, LocalReAlloc, GetACP, GetOEMCP, InterlockedIncrement, InterlockedDecrement, SetLastError, GlobalFindAtomW, GlobalAlloc, MultiByteToWideChar, GlobalReAlloc, GetLastError, GetProcAddress, LoadLibraryW, FreeLibrary, lstrcpynW, CreateFileW, WritePrivateProfileStringW, lstrcmpiW, SetEvent, WaitForMultipleObjectsEx, WideCharToMultiByte, GlobalFlags, GetLocaleInfoW, GlobalFree, GetModuleFileNameW, GlobalGetAtomNameW, GlobalGetAtomNameA, InterlockedExchange, DeleteAtom, LocalAlloc, GlobalDeleteAtom, LocalFree, GlobalSize, GlobalLock, GlobalUnlock, GetUserDefaultLCID, HeapAlloc, HeapFree, lstrcpyW, lstrcatW, GetPrivateProfileStringW, RegisterWaitForInputIdle
> ntdll.dll: NtQueryVirtualMemory, RtlUnwind, RtlNtStatusToDosError, NlsAnsiCodePage, RtlAllocateHeap, qsort, RtlMultiByteToUnicodeSize, LdrFlushAlternateResourceModules, RtlPcToFileHeader, wcsrchr, NtRaiseHardError, RtlIsNameLegalDOS8Dot3, strrchr, sscanf, NtQueryKey, NtEnumerateValueKey, RtlRunEncodeUnicodeString, RtlRunDecodeUnicodeString, _wcsicmp, CsrAllocateCaptureBuffer, CsrCaptureMessageBuffer, CsrFreeCaptureBuffer, NtOpenThreadToken, NtOpenProcessToken, NtQueryInformationToken, CsrClientCallServer, memmove, NtCallbackReturn, RtlUnicodeToMultiByteSize, RtlActivateActivationContextUnsafeFast, RtlDeactivateActivationContextUnsafeFast, RtlInitializeCriticalSection, NtQuerySystemInformation, swprintf, RtlDeleteCriticalSection, RtlImageNtHeader, CsrClientConnectToServer, NtYieldExecution, NtCreateKey, NtSetValueKey, NtDeleteValueKey, RtlQueryInformationActiveActivationContext, RtlReleaseActivationContext, RtlFreeHeap, wcsncpy, wcscmp, wcstoul, wcscat, RtlInitAnsiString, RtlAnsiStringToUnicodeString, RtlCreateUnicodeStringFromAsciiz, RtlFreeUnicodeString, NtOpenDirectoryObject, _chkstk, wcscpy, wcsncat, NtSetSecurityObject, NtQuerySecurityObject, NtQueryInformationProcess, wcstol, wcslen, RtlFindActivationContextSectionString, RtlMultiByteToUnicodeN, RtlUnicodeToMultiByteN, RtlLeaveCriticalSection, RtlEnterCriticalSection, RtlOpenCurrentUser, NtEnumerateKey, NtOpenKey, NtClose, NtQueryValueKey, RtlInitUnicodeString, RtlUnicodeStringToInteger

( 732 exports )
ActivateKeyboardLayout, AdjustWindowRect, AdjustWindowRectEx, AlignRects, AllowForegroundActivation, AllowSetForegroundWindow, AnimateWindow, AnyPopup, AppendMenuA, AppendMenuW, ArrangeIconicWindows, AttachThreadInput, BeginDeferWindowPos, BeginPaint, BlockInput, BringWindowToTop, BroadcastSystemMessage, BroadcastSystemMessageA, BroadcastSystemMessageExA, BroadcastSystemMessageExW, BroadcastSystemMessageW, BuildReasonArray, CalcMenuBar, CallMsgFilter, CallMsgFilterA, CallMsgFilterW, CallNextHookEx, CallWindowProcA, CallWindowProcW, CascadeChildWindows, CascadeWindows, ChangeClipboardChain, ChangeDisplaySettingsA, ChangeDisplaySettingsExA, ChangeDisplaySettingsExW, ChangeDisplaySettingsW, ChangeMenuA, ChangeMenuW, CharLowerA, CharLowerBuffA, CharLowerBuffW, CharLowerW, CharNextA, CharNextExA, CharNextW, CharPrevA, CharPrevExA, CharPrevW, CharToOemA, CharToOemBuffA, CharToOemBuffW, CharToOemW, CharUpperA, CharUpperBuffA, CharUpperBuffW, CharUpperW, CheckDlgButton, CheckMenuItem, CheckMenuRadioItem, CheckRadioButton, ChildWindowFromPoint, ChildWindowFromPointEx, CliImmSetHotKey, ClientThreadSetup, ClientToScreen, ClipCursor, CloseClipboard, CloseDesktop, CloseWindow, CloseWindowStation, CopyAcceleratorTableA, CopyAcceleratorTableW, CopyIcon, CopyImage, CopyRect, CountClipboardFormats, CreateAcceleratorTableA, CreateAcceleratorTableW, CreateCaret, CreateCursor, CreateDesktopA, CreateDesktopW, CreateDialogIndirectParamA, CreateDialogIndirectParamAorW, CreateDialogIndirectParamW, CreateDialogParamA, CreateDialogParamW, CreateIcon, CreateIconFromResource, CreateIconFromResourceEx, CreateIconIndirect, CreateMDIWindowA, CreateMDIWindowW, CreateMenu, CreatePopupMenu, CreateSystemThreads, CreateWindowExA, CreateWindowExW, CreateWindowStationA, CreateWindowStationW, CsrBroadcastSystemMessageExW, CtxInitUser32, DdeAbandonTransaction, DdeAccessData, DdeAddData, DdeClientTransaction, DdeCmpStringHandles, DdeConnect, DdeConnectList, DdeCreateDataHandle, DdeCreateStringHandleA, DdeCreateStringHandleW, DdeDisconnect, DdeDisconnectList, DdeEnableCallback, DdeFreeDataHandle, DdeFreeStringHandle, DdeGetData, DdeGetLastError, DdeGetQualityOfService, DdeImpersonateClient, DdeInitializeA, DdeInitializeW, DdeKeepStringHandle, DdeNameService, DdePostAdvise, DdeQueryConvInfo, DdeQueryNextServer, DdeQueryStringA, DdeQueryStringW, DdeReconnect, DdeSetQualityOfService, DdeSetUserHandle, DdeUnaccessData, DdeUninitialize, DefDlgProcA, DefDlgProcW, DefFrameProcA, DefFrameProcW, DefMDIChildProcA, DefMDIChildProcW, DefRawInputProc, DefWindowProcA, DefWindowProcW, DeferWindowPos, DeleteMenu, DeregisterShellHookWindow, DestroyAcceleratorTable, DestroyCaret, DestroyCursor, DestroyIcon, DestroyMenu, DestroyReasons, DestroyWindow, DeviceEventWorker, DialogBoxIndirectParamA, DialogBoxIndirectParamAorW, DialogBoxIndirectParamW, DialogBoxParamA, DialogBoxParamW, DisableProcessWindowsGhosting, DispatchMessageA, DispatchMessageW, DisplayExitWindowsWarnings, DlgDirListA, DlgDirListComboBoxA, DlgDirListComboBoxW, DlgDirListW, DlgDirSelectComboBoxExA, DlgDirSelectComboBoxExW, DlgDirSelectExA, DlgDirSelectExW, DragDetect, DragObject, DrawAnimatedRects, DrawCaption, DrawCaptionTempA, DrawCaptionTempW, DrawEdge, DrawFocusRect, DrawFrame, DrawFrameControl, DrawIcon, DrawIconEx, DrawMenuBar, DrawMenuBarTemp, DrawStateA, DrawStateW, DrawTextA, DrawTextExA, DrawTextExW, DrawTextW, EditWndProc, EmptyClipboard, EnableMenuItem, EnableScrollBar, EnableWindow, EndDeferWindowPos, EndDialog, EndMenu, EndPaint, EndTask, EnterReaderModeHelper, EnumChildWindows, EnumClipboardFormats, EnumDesktopWindows, EnumDesktopsA, EnumDesktopsW, EnumDisplayDevicesA, EnumDisplayDevicesW, EnumDisplayMonitors, EnumDisplaySettingsA, EnumDisplaySettingsExA, EnumDisplaySettingsExW, EnumDisplaySettingsW, EnumPropsA, EnumPropsExA, EnumPropsExW, EnumPropsW, EnumThreadWindows, EnumWindowStationsA, EnumWindowStationsW, EnumWindows, EqualRect, ExcludeUpdateRgn, ExitWindowsEx, FillRect, FindWindowA, FindWindowExA, FindWindowExW, FindWindowW, FlashWindow, FlashWindowEx, FrameRect, FreeDDElParam, GetActiveWindow, GetAltTabInfo, GetAltTabInfoA, GetAltTabInfoW, GetAncestor, GetAppCompatFlags, GetAppCompatFlags2, GetAsyncKeyState, GetCapture, GetCaretBlinkTime, GetCaretPos, GetClassInfoA, GetClassInfoExA, GetClassInfoExW, GetClassInfoW, GetClassLongA, GetClassLongW, GetClassNameA, GetClassNameW, GetClassWord, GetClientRect, GetClipCursor, GetClipboardData, GetClipboardFormatNameA, GetClipboardFormatNameW, GetClipboardOwner, GetClipboardSequenceNumber, GetClipboardViewer, GetComboBoxInfo, GetCursor, GetCursorFrameInfo, GetCursorInfo, GetCursorPos, GetDC, GetDCEx, GetDesktopWindow, GetDialogBaseUnits, GetDlgCtrlID, GetDlgItem, GetDlgItemInt, GetDlgItemTextA, GetDlgItemTextW, GetDoubleClickTime, GetFocus, GetForegroundWindow, GetGUIThreadInfo, GetGuiResources, GetIconInfo, GetInputDesktop, GetInputState, GetInternalWindowPos, GetKBCodePage, GetKeyNameTextA, GetKeyNameTextW, GetKeyState, GetKeyboardLayout, GetKeyboardLayoutList, GetKeyboardLayoutNameA, GetKeyboardLayoutNameW, GetKeyboardState, GetKeyboardType, GetLastActivePopup, GetLastInputInfo, GetLayeredWindowAttributes, GetListBoxInfo, GetMenu, GetMenuBarInfo, GetMenuCheckMarkDimensions, GetMenuContextHelpId, GetMenuDefaultItem, GetMenuInfo, GetMenuItemCount, GetMenuItemID, GetMenuItemInfoA, GetMenuItemInfoW, GetMenuItemRect, GetMenuState, GetMenuStringA, GetMenuStringW, GetMessageA, GetMessageExtraInfo, GetMessagePos, GetMessageTime, GetMessageW, GetMonitorInfoA, GetMonitorInfoW, GetMouseMovePointsEx, GetNextDlgGroupItem, GetNextDlgTabItem, GetOpenClipboardWindow, GetParent, GetPriorityClipboardFormat, GetProcessDefaultLayout, GetProcessWindowStation, GetProgmanWindow, GetPropA, GetPropW, GetQueueStatus, GetRawInputBuffer, GetRawInputData, GetRawInputDeviceInfoA, GetRawInputDeviceInfoW, GetRawInputDeviceList, GetReasonTitleFromReasonCode, GetRegisteredRawInputDevices, GetScrollBarInfo, GetScrollInfo, GetScrollPos, GetScrollRange, GetShellWindow, GetSubMenu, GetSysColor, GetSysColorBrush, GetSystemMenu, GetSystemMetrics, GetTabbedTextExtentA, GetTabbedTextExtentW, GetTaskmanWindow, GetThreadDesktop, GetTitleBarInfo, GetTopWindow, GetUpdateRect, GetUpdateRgn, GetUserObjectInformationA, GetUserObjectInformationW, GetUserObjectSecurity, GetWinStationInfo, GetWindow, GetWindowContextHelpId, GetWindowDC, GetWindowInfo, GetWindowLongA, GetWindowLongW, GetWindowModuleFileName, GetWindowModuleFileNameA, GetWindowModuleFileNameW, GetWindowPlacement, GetWindowRect, GetWindowRgn, GetWindowRgnBox, GetWindowTextA, GetWindowTextLengthA, GetWindowTextLengthW, GetWindowTextW, GetWindowThreadProcessId, GetWindowWord, GrayStringA, GrayStringW, HideCaret, HiliteMenuItem, IMPGetIMEA, IMPGetIMEW, IMPQueryIMEA, IMPQueryIMEW, IMPSetIMEA, IMPSetIMEW, ImpersonateDdeClientWindow, InSendMessage, InSendMessageEx, InflateRect, InitializeLpkHooks, InitializeWin32EntryTable, InsertMenuA, InsertMenuItemA, InsertMenuItemW, InsertMenuW, InternalGetWindowText, IntersectRect, InvalidateRect, InvalidateRgn, InvertRect, IsCharAlphaA, IsCharAlphaNumericA, IsCharAlphaNumericW, IsCharAlphaW, IsCharLowerA, IsCharLowerW, IsCharUpperA, IsCharUpperW, IsChild, IsClipboardFormatAvailable, IsDialogMessage, IsDialogMessageA, IsDialogMessageW, IsDlgButtonChecked, IsGUIThread, IsHungAppWindow, IsIconic, IsMenu, IsRectEmpty, IsServerSideWindow, IsWinEventHookInstalled, IsWindow, IsWindowEnabled, IsWindowInDestroy, IsWindowUnicode, IsWindowVisible, IsZoomed, KillSystemTimer, KillTimer, LoadAcceleratorsA, LoadAcceleratorsW, LoadBitmapA, LoadBitmapW, LoadCursorA, LoadCursorFromFileA, LoadCursorFromFileW, LoadCursorW, LoadIconA, LoadIconW, LoadImageA, LoadImageW, LoadKeyboardLayoutA, LoadKeyboardLayoutEx, LoadKeyboardLayoutW, LoadLocalFonts, LoadMenuA, LoadMenuIndirectA, LoadMenuIndirectW, LoadMenuW, LoadRemoteFonts, LoadStringA, LoadStringW, LockSetForegroundWindow, LockWindowStation, LockWindowUpdate, LockWorkStation, LookupIconIdFromDirectory, LookupIconIdFromDirectoryEx, MBToWCSEx, MB_GetString, MapDialogRect, MapVirtualKeyA, MapVirtualKeyExA, MapVirtualKeyExW, MapVirtualKeyW, MapWindowPoints, MenuItemFromPoint, MenuWindowProcA, MenuWindowProcW, MessageBeep, MessageBoxA, MessageBoxExA, MessageBoxExW, MessageBoxIndirectA, MessageBoxIndirectW, MessageBoxTimeoutA, MessageBoxTimeoutW, MessageBoxW, ModifyMenuA, ModifyMenuW, MonitorFromPoint, MonitorFromRect, MonitorFromWindow, MoveWindow, MsgWaitForMultipleObjects, MsgWaitForMultipleObjectsEx, NotifyWinEvent, OemKeyScan, OemToCharA, OemToCharBuffA, OemToCharBuffW, OemToCharW, OffsetRect, OpenClipboard, OpenDesktopA, OpenDesktopW, OpenIcon, OpenInputDesktop, OpenWindowStationA, OpenWindowStationW, PackDDElParam, PaintDesktop, PaintMenuBar, PeekMessageA, PeekMessageW, PostMessageA, PostMessageW, PostQuitMessage, PostThreadMessageA, PostThreadMessageW, PrintWindow, PrivateExtractIconExA, PrivateExtractIconExW, PrivateExtractIconsA, PrivateExtractIconsW, PrivateSetDbgTag, PrivateSetRipFlags, PtInRect, QuerySendMessage, QueryUserCounters, RealChildWindowFromPoint, RealGetWindowClass, RealGetWindowClassA, RealGetWindowClassW, ReasonCodeNeedsBugID, ReasonCodeNeedsComment, RecordShutdownReason, RedrawWindow, RegisterClassA, RegisterClassExA, RegisterClassExW, RegisterClassW, RegisterClipboardFormatA, RegisterClipboardFormatW, RegisterDeviceNotificationA, RegisterDeviceNotificationW, RegisterHotKey, RegisterLogonProcess, RegisterMessagePumpHook, RegisterRawInputDevices, RegisterServicesProcess, RegisterShellHookWindow, RegisterSystemThread, RegisterTasklist, RegisterUserApiHook, RegisterWindowMessageA, RegisterWindowMessageW, ReleaseCapture, ReleaseDC, RemoveMenu, RemovePropA, RemovePropW, ReplyMessage, ResolveDesktopForWOW, ReuseDDElParam, ScreenToClient, ScrollChildren, ScrollDC, ScrollWindow, ScrollWindowEx, SendDlgItemMessageA, SendDlgItemMessageW, SendIMEMessageExA, SendIMEMessageExW, SendInput, SendMessageA, SendMessageCallbackA, SendMessageCallbackW, SendMessageTimeoutA, SendMessageTimeoutW, SendMessageW, SendNotifyMessageA, SendNotifyMessageW, SetActiveWindow, SetCapture, SetCaretBlinkTime, SetCaretPos, SetClassLongA, SetClassLongW, SetClassWord, SetClipboardData, SetClipboardViewer, SetConsoleReserveKeys, SetCursor, SetCursorContents, SetCursorPos, SetDebugErrorLevel, SetDeskWallpaper, SetDlgItemInt, SetDlgItemTextA, SetDlgItemTextW, SetDoubleClickTime, SetFocus, SetForegroundWindow, SetInternalWindowPos, SetKeyboardState, SetLastErrorEx, SetLayeredWindowAttributes, SetLogonNotifyWindow, SetMenu, SetMenuContextHelpId, SetMenuDefaultItem, SetMenuInfo, SetMenuItemBitmaps, SetMenuItemInfoA, SetMenuItemInfoW, SetMessageExtraInfo, SetMessageQueue, SetParent, SetProcessDefaultLayout, SetProcessWindowStation, SetProgmanWindow, SetPropA, SetPropW, SetRect, SetRectEmpty, SetScrollInfo, SetScrollPos, SetScrollRange, SetShellWindow, SetShellWindowEx, SetSysColors, SetSysColorsTemp, SetSystemCursor, SetSystemMenu, SetSystemTimer, SetTaskmanWindow, SetThreadDesktop, SetTimer, SetUserObjectInformationA, SetUserObjectInformationW, SetUserObjectSecurity, SetWinEventHook, SetWindowContextHelpId, SetWindowLongA, SetWindowLongW, SetWindowPlacement, SetWindowPos, SetWindowRgn, SetWindowStationUser, SetWindowTextA, SetWindowTextW, SetWindowWord, SetWindowsHookA, SetWindowsHookExA, SetWindowsHookExW, SetWindowsHookW, ShowCaret, ShowCursor, ShowOwnedPopups, ShowScrollBar, ShowStartGlass, ShowWindow, ShowWindowAsync, SoftModalMessageBox, SubtractRect, SwapMouseButton, SwitchDesktop, SwitchToThisWindow, SystemParametersInfoA, SystemParametersInfoW, TabbedTextOutA, TabbedTextOutW, TileChildWindows, TileWindows, ToAscii, ToAsciiEx, ToUnicode, ToUnicodeEx, TrackMouseEvent, TrackPopupMenu, TrackPopupMenuEx, TranslateAccelerator, TranslateAcceleratorA, TranslateAcceleratorW, TranslateMDISysAccel, TranslateMessage, TranslateMessageEx, UnhookWinEvent, UnhookWindowsHook, UnhookWindowsHookEx, UnionRect, UnloadKeyboardLayout, UnlockWindowStation, UnpackDDElParam, UnregisterClassA, UnregisterClassW, UnregisterDeviceNotification, UnregisterHotKey, UnregisterMessagePumpHook, UnregisterUserApiHook, UpdateLayeredWindow, UpdatePerUserSystemParameters, UpdateWindow, User32InitializeImmEntryTable, UserClientDllInitialize, UserHandleGrantAccess, UserLpkPSMTextOut, UserLpkTabbedTextOut, UserRealizePalette, UserRegisterWowHandlers, VRipOutput, VTagOutput, ValidateRect, ValidateRgn, VkKeyScanA, VkKeyScanExA, VkKeyScanExW, VkKeyScanW, WCSToMBEx, WINNLSEnableIME, WINNLSGetEnableStatus, WINNLSGetIMEHotkey, WaitForInputIdle, WaitMessage, Win32PoolAllocationStats, WinHelpA, WinHelpW, WindowFromDC, WindowFromPoint, keybd_event, mouse_event, wsprintfA, wsprintfW, wvsprintfA, wvsprintfW


---------------------------

Fichier 2

* H:\WINDOWS\System32\sr2spec.ini ------>

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.7.29.1 2008.07.30 -
AntiVir 7.8.1.12 2008.07.30 -
Authentium 5.1.0.4 2008.07.30 -
Avast 4.8.1195.0 2008.07.29 -
AVG 8.0.0.130 2008.07.30 -
BitDefender 7.2 2008.07.30 -
CAT-QuickHeal 9.50 2008.07.29 -
ClamAV 0.93.1 2008.07.30 -
DrWeb 4.44.0.09170 2008.07.30 -
eSafe 7.0.17.0 2008.07.29 -
eTrust-Vet 31.6.5994 2008.07.30 -
Ewido 4.0 2008.07.29 -
F-Prot 4.4.4.56 2008.07.30 -
F-Secure 7.60.13501.0 2008.07.30 -
Fortinet 3.14.0.0 2008.07.30 -
GData 2.0.7306.1023 2008.07.30 -
Ikarus T3.1.1.34.0 2008.07.30 -
Kaspersky 7.0.0.125 2008.07.30 -
McAfee 5349 2008.07.29 -
Microsoft 1.3704 2008.07.28 -
NOD32v2 3308 2008.07.29 -
Norman 5.80.02 2008.07.30 -
Panda 9.0.0.4 2008.07.29 -
PCTools 4.4.2.0 2008.07.30 -
Prevx1 V2 2008.07.30 -
Rising 20.55.21.00 2008.07.30 -
Sophos 4.31.0 2008.07.30 -
Sunbelt 3.1.1537.1 2008.07.29 -
Symantec 10 2008.07.30 -
TheHacker 6.2.96.389 2008.07.25 -
TrendMicro 8.700.0.1004 2008.07.30 -
VBA32 3.12.8.1 2008.07.29 -
ViRobot 2008.7.29.1315 2008.07.29 -
VirusBuster 4.5.11.0 2008.07.29 -
Webwasher-Gateway 6.6.2 2008.07.30 -
Information additionnelle
File size: 210 bytes
MD5...: d37b7fedcb644b8e89f784ffa7b57ff2
SHA1..: e14b4df2f429098a740cf21a92beb1fa6b76c6c2
SHA256: 8ae1412dfbc2315f35491b7d417ff561b4451aebc8f9ba2c9e19a7d53acd2b98
SHA512: 51a23c62d3bef584d8346308a354b07871bb2b53620f41b60ae3ac7a67e286b9
ed9c3504f5600119adc06b8306ed31654164a2ab0258febf888c5ed0968bd263
PEiD..: -
PEInfo: -



---------------------

Fichier n°3 :

* H:\WINDOWS\System32\msxbse35.dll --->

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.7.29.1 2008.07.30 -
AntiVir 7.8.1.12 2008.07.30 -
Authentium 5.1.0.4 2008.07.30 -
Avast 4.8.1195.0 2008.07.29 -
AVG 8.0.0.130 2008.07.30 -
BitDefender 7.2 2008.07.30 -
CAT-QuickHeal 9.50 2008.07.29 -
ClamAV 0.93.1 2008.07.30 -
DrWeb 4.44.0.09170 2008.07.30 -
eSafe 7.0.17.0 2008.07.29 -
eTrust-Vet 31.6.5994 2008.07.30 -
Ewido 4.0 2008.07.29 -
F-Prot 4.4.4.56 2008.07.30 -
F-Secure 7.60.13501.0 2008.07.30 -
Fortinet 3.14.0.0 2008.07.30 -
GData 2.0.7306.1023 2008.07.30 -
Ikarus T3.1.1.34.0 2008.07.30 -
Kaspersky 7.0.0.125 2008.07.30 -
McAfee 5349 2008.07.29 -
Microsoft 1.3704 2008.07.28 -
NOD32v2 3308 2008.07.29 -
Norman 5.80.02 2008.07.30 -
Panda 9.0.0.4 2008.07.29 -
PCTools 4.4.2.0 2008.07.30 -
Prevx1 V2 2008.07.30 -
Rising 20.55.22.00 2008.07.30 -
Sophos 4.31.0 2008.07.30 -
Sunbelt 3.1.1537.1 2008.07.29 -
Symantec 10 2008.07.30 -
TheHacker 6.2.96.389 2008.07.25 -
TrendMicro 8.700.0.1004 2008.07.30 -
VBA32 3.12.8.1 2008.07.29 -
ViRobot 2008.7.29.1315 2008.07.29 -
VirusBuster 4.5.11.0 2008.07.29 -
Webwasher-Gateway 6.6.2 2008.07.30 -
Information additionnelle
File size: 294912 bytes
MD5...: fba99d04ed1b2a29dca48932c8926355
SHA1..: 1e786dbf4f056835e4f6fa699d102e63009193ad
SHA256: e2c0e5d5b3772e012942c2af3d611b94f45d73442a6b1cd2406ed25cf49e655e
SHA512: b18fd0b056944716727f923f4b91e3ccedae0ab64a5016084a657aacd240d6a6
3eb7621dcc70dc933f4abeade325962f88f2f75c366d9ff6f1ba48095155f123
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x437106e
timedatestamp.....: 0x33ae9f19 (Mon Jun 23 16:06:49 1997)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3ff5c 0x40000 6.54 35bd3fa9a04512abf0061f5a484e2e87
.data 0x41000 0x579c 0x4000 4.69 a3eaa434bf1676c70ab04e978abd5934
.rsrc 0x47000 0x384 0x1000 1.00 5817c50ec869c20ff52a7c4eef73f22a
.reloc 0x48000 0x1c70 0x2000 6.28 98a4ea5499aa60c03da71e817d2fe81c

( 3 imports )
> KERNEL32.dll: GlobalFree, GetFileTime, GlobalUnlock, FileTimeToDosDateTime, FileTimeToLocalFileTime, SetCurrentDirectoryA, GetFileAttributesA, IsDBCSLeadByte, GetLastError, CreateDirectoryA, RemoveDirectoryA, FindFirstFileA, FindClose, FindNextFileA, DeleteFileA, MoveFileA, GetCurrentDirectoryA, CreateFileA, CloseHandle, ReadFile, WriteFile, SetFilePointer, LockFile, UnlockFile, GetLocalTime, GetCurrentProcessId, FreeLibrary, GetProcAddress, LoadLibraryA, lstrlenA, lstrcpyA, _lread, _llseek, _lclose, _lwrite, lstrcatA, GlobalAlloc, GlobalReAlloc, GetCommandLineA, GetModuleHandleA, GetVersion, ExitProcess, lstrcmpiA, GetCurrentProcess, GetTimeZoneInformation, GetSystemTime, GetDriveTypeA, HeapAlloc, GetStringTypeA, WideCharToMultiByte, GetStringTypeW, MultiByteToWideChar, RaiseException, HeapCreate, HeapDestroy, SetHandleCount, GetFileType, GetStdHandle, GetStartupInfoA, GetCPInfo, GetACP, GetOEMCP, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, LCMapStringA, LCMapStringW, SetStdHandle, CompareStringA, CompareStringW, SetEnvironmentVariableA, FlushFileBuffers, HeapReAlloc, GlobalLock, GetModuleFileNameA, DisableThreadLibraryCalls, GetSystemDefaultLangID, HeapFree, GetFullPathNameA, TerminateProcess
> USER32.dll: OemToCharA, IsCharLowerA, IsCharUpperA, CharUpperA, CharLowerA, CharToOemA, IsCharAlphaNumericA, IsCharAlphaA, wsprintfA
> ADVAPI32.dll: RegCloseKey, RegQueryValueExA, RegOpenKeyA, RegCreateKeyA, RegSetValueExA, RegDeleteKeyA

( 2 exports )
DllRegisterServer, DllUnregisterServer


-----------

Fichier n°4

* H:\WINDOWS\System32\msrd2x35.dll

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.7.29.1 2008.07.30 -
AntiVir 7.8.1.12 2008.07.30 -
Authentium 5.1.0.4 2008.07.30 -
Avast 4.8.1195.0 2008.07.29 -
AVG 8.0.0.130 2008.07.30 -
BitDefender 7.2 2008.07.30 -
CAT-QuickHeal 9.50 2008.07.29 -
ClamAV 0.93.1 2008.07.30 -
DrWeb 4.44.0.09170 2008.07.30 -
eSafe 7.0.17.0 2008.07.29 -
eTrust-Vet 31.6.5994 2008.07.30 -
Ewido 4.0 2008.07.29 -
F-Prot 4.4.4.56 2008.07.30 -
F-Secure 7.60.13501.0 2008.07.30 -
Fortinet 3.14.0.0 2008.07.30 -
GData 2.0.7306.1023 2008.07.30 -
Ikarus T3.1.1.34.0 2008.07.30 -
Kaspersky 7.0.0.125 2008.07.30 -
McAfee 5349 2008.07.29 -
Microsoft 1.3704 2008.07.28 -
NOD32v2 3308 2008.07.29 -
Norman 5.80.02 2008.07.30 -
Panda 9.0.0.4 2008.07.29 -
PCTools 4.4.2.0 2008.07.30 -
Prevx1 V2 2008.07.30 -
Rising 20.55.22.00 2008.07.30 -
Sophos 4.31.0 2008.07.30 -
Sunbelt 3.1.1537.1 2008.07.29 -
Symantec 10 2008.07.30 -
TheHacker 6.2.96.389 2008.07.25 -
TrendMicro 8.700.0.1004 2008.07.30 -
VBA32 3.12.8.1 2008.07.29 -
ViRobot 2008.7.29.1315 2008.07.29 -
VirusBuster 4.5.11.0 2008.07.29 -
Webwasher-Gateway 6.6.2 2008.07.30 -
Information additionnelle
File size: 262144 bytes
MD5...: 34d390ea0d5969db0d7dd133eff0a48a
SHA1..: 522ffddb883314940ee6843b631fe15d96f5c12a
SHA256: 544886cd823e8b04e3cc88456c669ece1deb186b804a07c11e4a1de318aaf4f7
SHA512: a809ae31b6feb0591d70981aa5d0e01fb0dd0f7b5d51a608a235d0b8119c0ed2
4f698bbf849f83535cec7e99704c413b38ec89c8c293ad572cd472000fc6ea31
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x41e4990
timedatestamp.....: 0x33ae9f19 (Mon Jun 23 16:06:49 1997)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x36e12 0x37000 6.44 e4ed6f761e114f09900ff985e0ce49ba
.rdata 0x38000 0x2a13 0x3000 4.87 5f1632cbca37d0f45d98eae2b9a1b85d
.data 0x3b000 0x223f8 0x1000 4.06 c5f1cc33ba4c2f9f53cc8a3feda6e332
.idata 0x5e000 0x756 0x1000 3.06 7c0ccb47a1f94b3cfad525f8440412f6
.rsrc 0x5f000 0x380 0x1000 1.00 909035fd0e769fd7574e55f5df5de162
.reloc 0x60000 0x1c22 0x2000 5.62 96224f8a0d13398c0046e94a60c71d59

( 2 imports )
> msjet35.dll: -
> KERNEL32.dll: CloseHandle, GetFileSize, ReadFile, SetFilePointer, WriteFile, FlushFileBuffers, GetLastError, GetFileType, DeleteFileA, LockFile, UnlockFile, GetComputerNameA, GetFullPathNameA, GetTempFileNameA, SetEndOfFile, GetTempPathA, GetTickCount, HeapAlloc, HeapCreate, HeapDestroy, HeapFree, HeapReAlloc, GetCurrentThreadId, GetModuleFileNameA, LoadLibraryA, GlobalSize, CreateFileA, GetCurrentProcessId, IsDBCSLeadByte, EnterCriticalSection, LeaveCriticalSection, GetLocalTime, DisableThreadLibraryCalls, GetCommandLineA, GetModuleHandleA, GetVersion, ExitProcess, TerminateProcess, GetCurrentProcess, SetHandleCount, GetStdHandle, GetStartupInfoA, GetCPInfo, GetACP, GetOEMCP, FreeEnvironmentStringsA, MultiByteToWideChar, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, WideCharToMultiByte, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, GlobalAlloc, GlobalReAlloc, GlobalLock, GlobalUnlock, GlobalFree, GetProcAddress

( 2 exports )
DllRegisterServer, DllUnregisterServer


------------------

Fichier n°5


* H:\WINDOWS\System32\msjter35.dll ----------->

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.7.29.1 2008.07.30 -
AntiVir 7.8.1.12 2008.07.30 -
Authentium 5.1.0.4 2008.07.30 -
Avast 4.8.1195.0 2008.07.29 -
AVG 8.0.0.130 2008.07.30 -
BitDefender 7.2 2008.07.30 -
CAT-QuickHeal 9.50 2008.07.29 -
ClamAV 0.93.1 2008.07.30 -
DrWeb 4.44.0.09170 2008.07.30 -
eSafe 7.0.17.0 2008.07.29 -
eTrust-Vet 31.6.5994 2008.07.30 -
Ewido 4.0 2008.07.29 -
F-Prot 4.4.4.56 2008.07.30 -
F-Secure 7.60.13501.0 2008.07.30 -
Fortinet 3.14.0.0 2008.07.30 -
GData 2.0.7306.1023 2008.07.30 -
Ikarus T3.1.1.34.0 2008.07.30 -
Kaspersky 7.0.0.125 2008.07.30 -
McAfee 5349 2008.07.29 -
Microsoft 1.3704 2008.07.28 -
NOD32v2 3308 2008.07.29 -
Norman 5.80.02 2008.07.30 -
Panda 9.0.0.4 2008.07.29 -
PCTools 4.4.2.0 2008.07.30 -
Prevx1 V2 2008.07.30 -
Rising 20.55.22.00 2008.07.30 -
Sophos 4.31.0 2008.07.30 -
Sunbelt 3.1.1537.1 2008.07.29 -
Symantec 10 2008.07.30 -
TheHacker 6.2.96.389 2008.07.25 -
TrendMicro 8.700.0.1004 2008.07.30 -
VBA32 3.12.8.1 2008.07.29 -
ViRobot 2008.7.29.1315 2008.07.29 -
VirusBuster 4.5.11.0 2008.07.29 -
Webwasher-Gateway 6.6.2 2008.07.30 -
Information additionnelle
File size: 36864 bytes
MD5...: 1e02c3cf6a10bd6b175e9ac30a930051
SHA1..: cbd0ede9b8a7409c98dc283b4078f3948ea3957c
SHA256: de627d8de501629a7fef72d71c94f4a79cdb849ea8f8915ed0b7bf67eb7c5694
SHA512: 1d3d7ac5a7773e4a2b75f30e5440039dc815b3e4c492728d07fad554dca2f267
33e34d73fe9cb10b391011a60a7637ca93896bb1f141b621487eb09f2c78f8cc
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4221308
timedatestamp.....: 0x33ae9f19 (Mon Jun 23 16:06:49 1997)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2a72 0x3000 6.07 d4937478ea622166c4a69ab3ee7b5377
.data 0x4000 0x2ccc 0x3000 3.09 95048a81852a6f81581c833b4536d0bf
.rsrc 0x7000 0x3a0 0x1000 1.03 6782bddcbd512a327862caecc62a6c73
.reloc 0x8000 0x244 0x1000 1.44 72e8cf0bd41abb406594e5f70e70513e

( 2 imports )
> MSJINT35.dll: -
> KERNEL32.dll: HeapDestroy, HeapCreate, IsDBCSLeadByte, DisableThreadLibraryCalls, GetCommandLineA, GetProcAddress, GetModuleHandleA, GetVersion, MultiByteToWideChar, WideCharToMultiByte, GetStringTypeA, GetStringTypeW, ExitProcess, TerminateProcess, GetCurrentProcess, LoadLibraryA, SetHandleCount, GetFileType, GetStdHandle, GetStartupInfoA, GetModuleFileNameA, GetCPInfo, GetACP, GetOEMCP, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, WriteFile, HeapFree, HeapAlloc

( 4 exports )
JetErrFormattedMessage, JetErrIDAForError, JetErrIDARawMessage, JetErrRawMessage



------------------

Merci
0
Réponse 20 / 28
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
30 juil. 2008 à 11:45
bon ... la première analyse montre une infection ...

1- Crées un point de restauration de ton PC :

Aller dans le Menu Démarrer puis dans Programmes,
- Ensuite dans Accessoires et enfin dans Outils système,
- Choisir "Restauration du système",
- Sélectionner "Créer un point de restauration",
- Cliquer sur "Suivant",
- Entrer un nom pour le point de restauration : ce nom doit être assez évocateur,
- Cliquer sur "Créer" et le point de restauration se créé automatiquement .

2- Télécharges OTMoveIt (de Old_Timer) sur ton Bureau.
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe
ou http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe

* Impératif : Redémarrer l'ordinateur en mode sans échec .
Comment aller en Mode sans échec
1) Redémarre ton ordi
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisis la première option : Sans Échec, et valide avec "Entrée"
5) Choisis ton compte habituel, et non Administrateur (si besoin ... )
( ps : n'oublies pas , en mode sans échec , pas de connexion ! Donc copies ou imprimes bien les info ci-dessous ...)

clic double sur OTMoveIt.exe pour le lancer.
Copies ce qui trouve en citation ci-dessous :

H:\WINDOWS\system32\user32.dll

et colles-la dans le cadre de gauche de OTMoveIt2 :
Paste standard List of Files/Folders to be moved.

cliques sur MoveIt! pour lancer la suppression.
le résultat apparaîtra dans le cadre Results.

cliques sur Exit pour fermer.

il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
si c'est le cas acceptes par "Yes". Sinon , redémarres manuellement pour retourner
en mode normal ...

--->postes le rapport situé dans " C:\OTMoveIt\MovedFiles." + un nouveau rapport DiagHelp pour analyse ...

0

Discussions similaires

Google Chrome "  Échec de l'analyse antivirus "
jmpower -
Coco71 -

15 réponses