Rapport HijackThis
Résolu
meryam-2009
Messages postés
153
Statut
Membre
-
verni29 Messages postés 6805 Statut Contributeur sécurité -
verni29 Messages postés 6805 Statut Contributeur sécurité -
Bonjour,
voilà le rapport HIJACKTHIS de mon pc
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:26:40, on 18-08-2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\FixCamera.exe
C:\WINDOWS\tsnp325.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\WINDOW~4\MESSEN~1\msnmsgr.exe
C:\Program Files\BySoft FreeRAM\FreeRAM.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?toHttps=1&redig=7E4797FBF06C47A78BCD9236EAA69EE2
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [FixCamera] C:\WINDOWS\FixCamera.exe
O4 - HKLM\..\Run: [tsnp325] C:\WINDOWS\tsnp325.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\PROGRA~1\WINDOW~4\MESSEN~1\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [BySoft FreeRAM] C:\Program Files\BySoft FreeRAM\FreeRAM.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Bannière - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{C95F53F9-1F82-4036-9B3B-02CCDFAC88C5}: NameServer = 41.221.20.4 193.251.169.165
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/xp/LOCALS~1/Temp/msohtml1/01/clip_image002.gif
O24 - Desktop Component 1: (no name) - file:///C:/DOCUME~1/xp/LOCALS~1/Temp/msohtml1/01/clip_image002.jpg
voilà le rapport HIJACKTHIS de mon pc
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:26:40, on 18-08-2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\FixCamera.exe
C:\WINDOWS\tsnp325.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\WINDOW~4\MESSEN~1\msnmsgr.exe
C:\Program Files\BySoft FreeRAM\FreeRAM.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?toHttps=1&redig=7E4797FBF06C47A78BCD9236EAA69EE2
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [FixCamera] C:\WINDOWS\FixCamera.exe
O4 - HKLM\..\Run: [tsnp325] C:\WINDOWS\tsnp325.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\PROGRA~1\WINDOW~4\MESSEN~1\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [BySoft FreeRAM] C:\Program Files\BySoft FreeRAM\FreeRAM.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Bannière - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{C95F53F9-1F82-4036-9B3B-02CCDFAC88C5}: NameServer = 41.221.20.4 193.251.169.165
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/xp/LOCALS~1/Temp/msohtml1/01/clip_image002.gif
O24 - Desktop Component 1: (no name) - file:///C:/DOCUME~1/xp/LOCALS~1/Temp/msohtml1/01/clip_image002.jpg
A voir également:
- Rapport HijackThis
- Hijackthis - Télécharger - Antivirus & Antimalwares
- Plan rapport de stage - Guide
- Rapport de crash windows - Guide
- Impression rapport de stage ✓ - Forum Word
- Modifier rapport d'échelle pdf xchange viewer ✓ - Forum PDF
29 réponses
j'ai téléchargé le ComBoFix. et lorsque j'ai ouvert le mode sans échec , pour l'ouvrir, je ne l'ai pas trouvé ,
donc , je suis entrein de le retélécharger ; et de l'installer en mode normale, puis ouvrir le mode sans échec
c'est bioen cela ???
donc , je suis entrein de le retélécharger ; et de l'installer en mode normale, puis ouvrir le mode sans échec
c'est bioen cela ???
Qu'y-a-t-il de si urgent ?
Explique quels sont tes problèmes ?
Tu vas télécharger ComBoFix sur le bureau.
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
On va le passer une première fois pour rechercher les infections.
Pour un meilleur résultat, on va le passer aussi en mode sans échec.
Redémarre l'ordinateur en mode sans échec ( touche F8 ) et choisis ton compte.
Double clique sur Combofix.exe et suis les invites.
Une fois le scan fini, un rapport va apparaitre.
Copie/colle ce rapport dans ta prochaine réponse.
Si tu ne le trouves pas, il est à C:\ComboFix.txt.
A+
Explique quels sont tes problèmes ?
Tu vas télécharger ComBoFix sur le bureau.
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
On va le passer une première fois pour rechercher les infections.
Pour un meilleur résultat, on va le passer aussi en mode sans échec.
Redémarre l'ordinateur en mode sans échec ( touche F8 ) et choisis ton compte.
Double clique sur Combofix.exe et suis les invites.
Une fois le scan fini, un rapport va apparaitre.
Copie/colle ce rapport dans ta prochaine réponse.
Si tu ne le trouves pas, il est à C:\ComboFix.txt.
A+
merci d'avance, le pc redémarre ,
j'ai retauré le dernier point de restauration ou ce prblm n'était pas, mais tjrs le prblm ,
j'ai aussi fait cela
poste de travail --> propriétés --> avancé --> cocher "redémarrer automatique" ,
mais soit disant que j'essaye de comprendre ce qu'il se passe , le faite de cocher cette case , veut dire que lors d'une défaillance du système, ne rédemarre pas le pc
alors ce qu'il se passe maintenant , le pc ne se ferme plus,
fin du WINDOWS ------> écran bleu --> stop erreur irrécupérable,
qlq'un peut m'expliquer ça ?????
merci d'avance
j'ai retauré le dernier point de restauration ou ce prblm n'était pas, mais tjrs le prblm ,
j'ai aussi fait cela
poste de travail --> propriétés --> avancé --> cocher "redémarrer automatique" ,
mais soit disant que j'essaye de comprendre ce qu'il se passe , le faite de cocher cette case , veut dire que lors d'une défaillance du système, ne rédemarre pas le pc
alors ce qu'il se passe maintenant , le pc ne se ferme plus,
fin du WINDOWS ------> écran bleu --> stop erreur irrécupérable,
qlq'un peut m'expliquer ça ?????
merci d'avance
Utiliser la restauration système quand il y a une infection ne résout pas souvent le problème.
Les points de restauration sont souvent infectés et il n'y a pas de changement.
le virus que tu as sur ton PC crée un service. Quand ton Pc veut redémarrer, il ne doit pas pouvoir fermer ce service et donc bloque.
Poste le rapport ComBoFix.
Ceci devrait déjà supprimer le virus.
A+
Les points de restauration sont souvent infectés et il n'y a pas de changement.
le virus que tu as sur ton PC crée un service. Quand ton Pc veut redémarrer, il ne doit pas pouvoir fermer ce service et donc bloque.
Poste le rapport ComBoFix.
Ceci devrait déjà supprimer le virus.
A+
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Il faut que tu l'enregistres sur le bureau.
ce n'est pas un logiciel qu'on installe, c'est directement l'éxecutable.
Si tu redémarres ton PC en mode sans échec, tu le retrouveras sur ton bureau.
A+
ce n'est pas un logiciel qu'on installe, c'est directement l'éxecutable.
Si tu redémarres ton PC en mode sans échec, tu le retrouveras sur ton bureau.
A+
bon, parceque je ne savais pas que c'est l'éxécutable, alors, il était exécuté dans un mode normale , et voilà le rapport
ComboFix 08-08-18.01 - xp 08/18/2008 22:01:04.1 - [color=red][b]FAT32[/b][/color]x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.231 [GMT 2:00]
Endroit: C:\Documents and Settings\xp\Bureau\ComboFix.exe
* Création d'un nouveau point de restauration
[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Documents and Settings\xp\Cookies\xp@879.stats.misstrends[1].txt
C:\Documents and Settings\xp\Cookies\xp@le-bouzin[2].txt
C:\Documents and Settings\xp\Cookies\xp@porn-dump[2].txt
C:\Documents and Settings\xp\Cookies\xp@www.anglaisfacile[2].txt
C:\Documents and Settings\xp\UserData
C:\Documents and Settings\xp\UserData\index.dat
C:\Documents and Settings\xp\UserData\WXM30TQV\Tdy58[1].xml
.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-07-18 to 2008-08-18 ))))))))))))))))))))))))))))))))))))
.
Pas de nouveau fichier cr‚‚ dans cet espace de temps
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-18 10:06 --------- d-----w C:\Program Files\Malwarebytes' Anti-Malware
2008-08-18 10:06 --------- d-----w C:\Documents and Settings\xp\Application Data\Malwarebytes
2008-08-18 10:06 --------- d-----w C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-08-18 08:00 --------- d-----w C:\Program Files\La Press Algerienne By Ramzi
2008-08-18 07:58 --------- d-----w C:\Program Files\Micro Application
2008-08-18 07:58 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-08-18 07:58 --------- d-----w C:\Documents and Settings\All Users\Application Data\Kaspersky Lab
2008-08-17 13:01 38,472 ----a-w C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-17 13:01 17,144 ----a-w C:\WINDOWS\system32\drivers\mbam.sys
2008-08-14 12:50 --------- d-----w C:\Program Files\Trend Micro
2008-08-13 18:47 --------- d-----w C:\Program Files\Alwil Software
2008-07-25 15:16 --------- d-----w C:\Program Files\CCleaner
2008-07-16 16:30 --------- d-----w C:\Documents and Settings\xp\Application Data\dBpoweramp
2008-07-16 16:23 --------- d-----w C:\Program Files\Illustrate
2008-07-14 11:47 --------- d-----w C:\Program Files\RM to MP3 Converter
2008-07-12 06:50 --------- d-----w C:\Documents and Settings\All Users\Application Data\NCH Swift Sound
2008-07-12 06:47 --------- d-----w C:\Documents and Settings\xp\Application Data\NCH Swift Sound
2008-07-12 06:33 --------- d-----w C:\Program Files\Streamripper
2008-07-11 12:15 64,763 ----a-w C:\WINDOWS\BricoPackUninst.cmd
2008-07-11 12:15 6,108 ----a-w C:\WINDOWS\BricoPackFoldersDelete.cmd
2008-07-11 12:15 219,648 ----a-w C:\WINDOWS\system32\uxtheme.dll
2008-07-11 12:15 219,648 ----a-w C:\WINDOWS\system32\dllcache\uxtheme.dll
2008-07-11 11:40 --------- d-----w C:\Program Files\SpywareBlaster
2008-07-11 11:40 --------- d-----w C:\Documents and Settings\All Users\Application Data\TEMP
2008-07-11 09:57 --------- d-----w C:\Documents and Settings\xp\Application Data\Vista Start Menu
2008-07-11 09:56 --------- d-----w C:\Program Files\Vista Start Menu
2008-07-08 12:54 --------- d-----w C:\Program Files\DigitalPeers
2008-07-05 17:21 --------- d-----w C:\Program Files\Real Alternative
2008-07-05 16:31 --------- d-----w C:\Program Files\4arabnetwork
2008-07-05 16:16 --------- d-----w C:\Program Files\BySoft FreeRAM
2008-07-04 09:18 --------- d-----w C:\Program Files\Stardock
2008-07-01 16:31 --------- d-----w C:\Documents and Settings\xp\Application Data\IDM
2008-07-01 16:31 --------- d-----w C:\Documents and Settings\xp\Application Data\DMCache
2008-07-01 16:30 --------- d-----w C:\Program Files\Internet Download Manager
2008-07-01 12:08 --------- d--h--r C:\Program Files\rnamfler
2008-06-18 16:50 --------- d-----w C:\Program Files\FRANCE_version
2008-06-10 17:54 155,995 ----a-w C:\WINDOWS\java\Packages\T71RTBPJ.ZIP
2008-06-10 17:33 417,840 ----a-w C:\yahoo-messenger-9_yahoo_messenger_9.0_beta_anglais_78140.exe
2008-05-30 15:05 664,576 ----a-w C:\pnwp3260.dll
2008-05-30 15:05 23,040 ----a-w C:\rmeditor.exe
2008-05-30 15:05 17,920 ----a-w C:\rmevents.exe
2008-05-30 15:04 89,600 ----a-w C:\rnuninst.exe
2008-05-30 15:04 826,880 ----a-w C:\realprod.exe
2008-05-30 15:04 386,560 ----a-w C:\pngu3266.dll
2008-05-30 15:04 187,904 ----a-w C:\setu3260.dll
2008-05-30 15:04 11,264 ----a-w C:\pnrs3260.dll
2008-05-23 12:31 3,082 ----a-w C:\WINDOWS\system32\affv11300p3now.sys
.
[code]<pre>
----a-w 3,136,483 2008-05-30 14:17:54 C:\Documents and Settings\xp\Bureau\LA PRESS 4 .exe
</pre>[/code]
------- Sigcheck -------
08/04/2004 01:54 AM 978432 9f3b76c8cf787449a47f05abab4e13e6 C:\WINDOWS\explorer.exe
08/04/2004 01:54 AM 978432 9f3b76c8cf787449a47f05abab4e13e6 C:\WINDOWS\system32\dllcache\explorer.exe
08/04/2004 04:54 AM 1036288 4c33e5b9a6197b6ed215f6cfba0a2daa C:\WINDOWS\SoftwareDistribution\Download\813a989071c1720c8fca52f421b7b9e5\backup\sp2gdr\explorer.exe
06/13/2007 03:10 PM 1037312 b795475444d6d57a572c14b9e1a29839 C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe
08/04/2004 01:55 AM 102400 d295ff474863689522af4728b39a8c6d C:\WINDOWS\system32\wuauclt.exe
08/04/2004 01:55 AM 102400 d295ff474863689522af4728b39a8c6d C:\WINDOWS\system32\dllcache\wuauclt.exe
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [08/03/2004 11:54 PM 15360]
"MsnMsgr"="C:\PROGRA~1\WINDOW~4\MESSEN~1\msnmsgr.exe" [10/18/2007 11:34 AM 5724184]
"Messenger (Yahoo!)"="C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" [05/27/2008 09:58 PM 4269296]
"BySoft FreeRAM"="C:\Program Files\BySoft FreeRAM\FreeRAM.exe" [09/28/2007 02:32 PM 318976]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"FixCamera"="C:\WINDOWS\FixCamera.exe" [02/12/2007 02:50 PM 20480]
"tsnp325"="C:\WINDOWS\tsnp325.exe" [04/21/2007 09:36 AM 270336]
"SoundMan"="SOUNDMAN.EXE" [02/05/2002 08:05 AM 46592 C:\WINDOWS\SOUNDMAN.EXE]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [08/03/2004 11:54 PM 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WBSrv]
03/05/2007 05:36 PM 140976 C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\WbSrv.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=wbsys.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.divxa32"= msaud32_divx.acm
"VIDC.YV12"= yv12vfw.dll
"msacm.ac3filter"= ac3filter.acm
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=
S3 SNP325;USB PC Camera (SNPSTD325);C:\WINDOWS\system32\DRIVERS\snp325.sys [05/07/2007 05:58 PM]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bd573ff0-32e7-11dd-a0ae-00087501889a}]
\Shell\AutoRun\command - F:\RavMon.exe
\Shell\explore\Command - F:\RavMon.exe -e
\Shell\open\Command - F:\RavMon.exe
.
.
------- Supplementary Scan -------
.
R0 -: HKCU-Main,SearchMigratedDefaultURL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
O8 -: Ajouter à Kaspersky Anti-Bannière - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 -: E&xporter vers Microsoft Excel - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O16 -: Microsoft XML Parser for Java - file://C:\WINDOWS\Java\classes\xmldso.cab
C:\WINDOWS\Downloaded Program Files\Microsoft XML Parser for Java.osd
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-18 22:05:29
Windows 5.1.2600 Service Pack 2 FAT NTAPI
Balayage processus cach‚s ...
Balayage cach‚ autostart entries ...
Balayage des fichiers cach‚s ...
Scan termin‚ avec succŠs
Les fichiers cach‚s: 0
**************************************************************************
.
--------------------- DLLs a charg‚ sous des processus courants ---------------------
PROCESS: C:\WINDOWS\explorer.exe
-> C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\SYSTEM32\WDFMGR.EXE
C:\WINDOWS\SYSTEM32\WSCNTFY.EXE
C:\WINDOWS\system32\WgaTray.exe
C:\PROGRAM FILES\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE
C:\WINDOWS\BRICOPACKS\VISTA INSPIRAT 2\ROCKETDOCK\ROCKETDOCK.EXE
C:\PROGRAM FILES\YAHOO!\MESSENGER\YMSGR_TRAY.EXE
.
**************************************************************************
.
Temps d'accomplissement: 08/18/2008 22:07:10 - machine was rebooted
ComboFix-quarantined-files.txt 2008-08-18 20:07:02
Pre-Run: 8,454,799,360 octets libres
Post-Run: 8,668,135,424 octets libres
159 --- E O F --- 2008-07-10 22:31:41
ComboFix 08-08-18.01 - xp 08/18/2008 22:01:04.1 - [color=red][b]FAT32[/b][/color]x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.231 [GMT 2:00]
Endroit: C:\Documents and Settings\xp\Bureau\ComboFix.exe
* Création d'un nouveau point de restauration
[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Documents and Settings\xp\Cookies\xp@879.stats.misstrends[1].txt
C:\Documents and Settings\xp\Cookies\xp@le-bouzin[2].txt
C:\Documents and Settings\xp\Cookies\xp@porn-dump[2].txt
C:\Documents and Settings\xp\Cookies\xp@www.anglaisfacile[2].txt
C:\Documents and Settings\xp\UserData
C:\Documents and Settings\xp\UserData\index.dat
C:\Documents and Settings\xp\UserData\WXM30TQV\Tdy58[1].xml
.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-07-18 to 2008-08-18 ))))))))))))))))))))))))))))))))))))
.
Pas de nouveau fichier cr‚‚ dans cet espace de temps
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-18 10:06 --------- d-----w C:\Program Files\Malwarebytes' Anti-Malware
2008-08-18 10:06 --------- d-----w C:\Documents and Settings\xp\Application Data\Malwarebytes
2008-08-18 10:06 --------- d-----w C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-08-18 08:00 --------- d-----w C:\Program Files\La Press Algerienne By Ramzi
2008-08-18 07:58 --------- d-----w C:\Program Files\Micro Application
2008-08-18 07:58 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-08-18 07:58 --------- d-----w C:\Documents and Settings\All Users\Application Data\Kaspersky Lab
2008-08-17 13:01 38,472 ----a-w C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-17 13:01 17,144 ----a-w C:\WINDOWS\system32\drivers\mbam.sys
2008-08-14 12:50 --------- d-----w C:\Program Files\Trend Micro
2008-08-13 18:47 --------- d-----w C:\Program Files\Alwil Software
2008-07-25 15:16 --------- d-----w C:\Program Files\CCleaner
2008-07-16 16:30 --------- d-----w C:\Documents and Settings\xp\Application Data\dBpoweramp
2008-07-16 16:23 --------- d-----w C:\Program Files\Illustrate
2008-07-14 11:47 --------- d-----w C:\Program Files\RM to MP3 Converter
2008-07-12 06:50 --------- d-----w C:\Documents and Settings\All Users\Application Data\NCH Swift Sound
2008-07-12 06:47 --------- d-----w C:\Documents and Settings\xp\Application Data\NCH Swift Sound
2008-07-12 06:33 --------- d-----w C:\Program Files\Streamripper
2008-07-11 12:15 64,763 ----a-w C:\WINDOWS\BricoPackUninst.cmd
2008-07-11 12:15 6,108 ----a-w C:\WINDOWS\BricoPackFoldersDelete.cmd
2008-07-11 12:15 219,648 ----a-w C:\WINDOWS\system32\uxtheme.dll
2008-07-11 12:15 219,648 ----a-w C:\WINDOWS\system32\dllcache\uxtheme.dll
2008-07-11 11:40 --------- d-----w C:\Program Files\SpywareBlaster
2008-07-11 11:40 --------- d-----w C:\Documents and Settings\All Users\Application Data\TEMP
2008-07-11 09:57 --------- d-----w C:\Documents and Settings\xp\Application Data\Vista Start Menu
2008-07-11 09:56 --------- d-----w C:\Program Files\Vista Start Menu
2008-07-08 12:54 --------- d-----w C:\Program Files\DigitalPeers
2008-07-05 17:21 --------- d-----w C:\Program Files\Real Alternative
2008-07-05 16:31 --------- d-----w C:\Program Files\4arabnetwork
2008-07-05 16:16 --------- d-----w C:\Program Files\BySoft FreeRAM
2008-07-04 09:18 --------- d-----w C:\Program Files\Stardock
2008-07-01 16:31 --------- d-----w C:\Documents and Settings\xp\Application Data\IDM
2008-07-01 16:31 --------- d-----w C:\Documents and Settings\xp\Application Data\DMCache
2008-07-01 16:30 --------- d-----w C:\Program Files\Internet Download Manager
2008-07-01 12:08 --------- d--h--r C:\Program Files\rnamfler
2008-06-18 16:50 --------- d-----w C:\Program Files\FRANCE_version
2008-06-10 17:54 155,995 ----a-w C:\WINDOWS\java\Packages\T71RTBPJ.ZIP
2008-06-10 17:33 417,840 ----a-w C:\yahoo-messenger-9_yahoo_messenger_9.0_beta_anglais_78140.exe
2008-05-30 15:05 664,576 ----a-w C:\pnwp3260.dll
2008-05-30 15:05 23,040 ----a-w C:\rmeditor.exe
2008-05-30 15:05 17,920 ----a-w C:\rmevents.exe
2008-05-30 15:04 89,600 ----a-w C:\rnuninst.exe
2008-05-30 15:04 826,880 ----a-w C:\realprod.exe
2008-05-30 15:04 386,560 ----a-w C:\pngu3266.dll
2008-05-30 15:04 187,904 ----a-w C:\setu3260.dll
2008-05-30 15:04 11,264 ----a-w C:\pnrs3260.dll
2008-05-23 12:31 3,082 ----a-w C:\WINDOWS\system32\affv11300p3now.sys
.
[code]<pre>
----a-w 3,136,483 2008-05-30 14:17:54 C:\Documents and Settings\xp\Bureau\LA PRESS 4 .exe
</pre>[/code]
------- Sigcheck -------
08/04/2004 01:54 AM 978432 9f3b76c8cf787449a47f05abab4e13e6 C:\WINDOWS\explorer.exe
08/04/2004 01:54 AM 978432 9f3b76c8cf787449a47f05abab4e13e6 C:\WINDOWS\system32\dllcache\explorer.exe
08/04/2004 04:54 AM 1036288 4c33e5b9a6197b6ed215f6cfba0a2daa C:\WINDOWS\SoftwareDistribution\Download\813a989071c1720c8fca52f421b7b9e5\backup\sp2gdr\explorer.exe
06/13/2007 03:10 PM 1037312 b795475444d6d57a572c14b9e1a29839 C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe
08/04/2004 01:55 AM 102400 d295ff474863689522af4728b39a8c6d C:\WINDOWS\system32\wuauclt.exe
08/04/2004 01:55 AM 102400 d295ff474863689522af4728b39a8c6d C:\WINDOWS\system32\dllcache\wuauclt.exe
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [08/03/2004 11:54 PM 15360]
"MsnMsgr"="C:\PROGRA~1\WINDOW~4\MESSEN~1\msnmsgr.exe" [10/18/2007 11:34 AM 5724184]
"Messenger (Yahoo!)"="C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" [05/27/2008 09:58 PM 4269296]
"BySoft FreeRAM"="C:\Program Files\BySoft FreeRAM\FreeRAM.exe" [09/28/2007 02:32 PM 318976]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"FixCamera"="C:\WINDOWS\FixCamera.exe" [02/12/2007 02:50 PM 20480]
"tsnp325"="C:\WINDOWS\tsnp325.exe" [04/21/2007 09:36 AM 270336]
"SoundMan"="SOUNDMAN.EXE" [02/05/2002 08:05 AM 46592 C:\WINDOWS\SOUNDMAN.EXE]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [08/03/2004 11:54 PM 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WBSrv]
03/05/2007 05:36 PM 140976 C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\WbSrv.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=wbsys.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.divxa32"= msaud32_divx.acm
"VIDC.YV12"= yv12vfw.dll
"msacm.ac3filter"= ac3filter.acm
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=
S3 SNP325;USB PC Camera (SNPSTD325);C:\WINDOWS\system32\DRIVERS\snp325.sys [05/07/2007 05:58 PM]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bd573ff0-32e7-11dd-a0ae-00087501889a}]
\Shell\AutoRun\command - F:\RavMon.exe
\Shell\explore\Command - F:\RavMon.exe -e
\Shell\open\Command - F:\RavMon.exe
.
.
------- Supplementary Scan -------
.
R0 -: HKCU-Main,SearchMigratedDefaultURL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
O8 -: Ajouter à Kaspersky Anti-Bannière - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 -: E&xporter vers Microsoft Excel - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O16 -: Microsoft XML Parser for Java - file://C:\WINDOWS\Java\classes\xmldso.cab
C:\WINDOWS\Downloaded Program Files\Microsoft XML Parser for Java.osd
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-18 22:05:29
Windows 5.1.2600 Service Pack 2 FAT NTAPI
Balayage processus cach‚s ...
Balayage cach‚ autostart entries ...
Balayage des fichiers cach‚s ...
Scan termin‚ avec succŠs
Les fichiers cach‚s: 0
**************************************************************************
.
--------------------- DLLs a charg‚ sous des processus courants ---------------------
PROCESS: C:\WINDOWS\explorer.exe
-> C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\SYSTEM32\WDFMGR.EXE
C:\WINDOWS\SYSTEM32\WSCNTFY.EXE
C:\WINDOWS\system32\WgaTray.exe
C:\PROGRAM FILES\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE
C:\WINDOWS\BRICOPACKS\VISTA INSPIRAT 2\ROCKETDOCK\ROCKETDOCK.EXE
C:\PROGRAM FILES\YAHOO!\MESSENGER\YMSGR_TRAY.EXE
.
**************************************************************************
.
Temps d'accomplissement: 08/18/2008 22:07:10 - machine was rebooted
ComboFix-quarantined-files.txt 2008-08-18 20:07:02
Pre-Run: 8,454,799,360 octets libres
Post-Run: 8,668,135,424 octets libres
159 --- E O F --- 2008-07-10 22:31:41
1) Tu as du passer déjà Malwarebytes ( je vois qu'il est installé ).
Si c'est le cas, peux-tu me poster le rapport ?
Ouvre malwarebytes --> Onglet rapports/Logs --> tu devrais trouver là le rapport.
2) Quels autres outils as-tu passé ? Plutot que j'essaye de les deviner.
3) Ouvre le bloc-notes et sélectionne le texte en citation.
Copie/colle ce texte dans le bloc-notes.
Enregistre le fichier sur le bureau et nomme-le CFScript.txt.
File::
C:\WINDOWS\system32\amvo.exe
Registry::
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"amva"=-
4) Vérifie que l'icone de Combofix se trouve également sur le bureau, sinon, tu retélécharges combofix et tu l'enregistres aussi sur le bureau.
Glisse/dépose le script sur ComBoFix.
Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Ton bureau va disparaître à plusieurs reprises. Normal.
L'ordinateur va redémarrer et un arrport sera crée.
tu enregistres le rapport et tu le postes avec un rapport Hijackthis.
Si tu ne le trouves pas, il est en C:\Combofix.txt.
A+
Si c'est le cas, peux-tu me poster le rapport ?
Ouvre malwarebytes --> Onglet rapports/Logs --> tu devrais trouver là le rapport.
2) Quels autres outils as-tu passé ? Plutot que j'essaye de les deviner.
3) Ouvre le bloc-notes et sélectionne le texte en citation.
Copie/colle ce texte dans le bloc-notes.
Enregistre le fichier sur le bureau et nomme-le CFScript.txt.
File::
C:\WINDOWS\system32\amvo.exe
Registry::
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"amva"=-
4) Vérifie que l'icone de Combofix se trouve également sur le bureau, sinon, tu retélécharges combofix et tu l'enregistres aussi sur le bureau.
Glisse/dépose le script sur ComBoFix.
Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Ton bureau va disparaître à plusieurs reprises. Normal.
L'ordinateur va redémarrer et un arrport sera crée.
tu enregistres le rapport et tu le postes avec un rapport Hijackthis.
Si tu ne le trouves pas, il est en C:\Combofix.txt.
A+
bonjour
1 --> voilà le premier rapport de Malwarebytes
Malwarebytes' Anti-Malware 1.25
Version de la base de données: 1062
Windows 5.1.2600 Service Pack 2
12:33:53 18-08-2008
mbam-log-08-18-2008 (12-33-53).txt
Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 76672
Temps écoulé: 14 minute(s), 24 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\WINDOWS\SVCHOST.INI (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
---->et aprés ça , <gras>j'ai fait un 2eme examen complet , et voilà le rapport </gras>
Malwarebytes' Anti-Malware 1.25
Version de la base de données: 1065
Windows 5.1.2600 Service Pack 2
13:01:20 18-08-2008
mbam-log-08-18-2008 (13-01-20).txt
Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 76772
Temps écoulé: 10 minute(s), 41 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté);
NB : j'ai fait cela avant de poster le prblm ici, car d'aprés le 2eme rapport , il n'y a aucune infection tadis que le prblm est tjrs présent
2---> voilà la rappot C:\Combofix.txt
omboFix 08-08-18.01 - xp 08/19/2008 13:22:50.3 - [color=red][b]FAT32/b/colorx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.207 [GMT 2:00]
Endroit: C:\Documents and Settings\xp\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\xp\Bureau\CFScript.txt
* Création d'un nouveau point de restauration
[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!/b/color
FILE ::
C:\WINDOWS\system32\amvo.exe
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Documents and Settings\xp\Cookies\xp@ad.yieldmanager[2].txt
C:\Documents and Settings\xp\Cookies\xp@www.anglaisfacile[2].txt
C:\Documents and Settings\xp\UserData
C:\Documents and Settings\xp\UserData\4ZLDU4RY\Tdy58[1].xml
C:\Documents and Settings\xp\UserData\index.dat
.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-07-19 to 2008-08-19 ))))))))))))))))))))))))))))))))))))
.
Pas de nouveau fichier cr‚‚ dans cet espace de temps
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-18 10:06 --------- d-----w C:\Program Files\Malwarebytes' Anti-Malware
2008-08-18 10:06 --------- d-----w C:\Documents and Settings\xp\Application Data\Malwarebytes
2008-08-18 10:06 --------- d-----w C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-08-18 08:00 --------- d-----w C:\Program Files\La Press Algerienne By Ramzi
2008-08-18 07:58 --------- d-----w C:\Program Files\Micro Application
2008-08-18 07:58 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-08-18 07:58 --------- d-----w C:\Documents and Settings\All Users\Application Data\Kaspersky Lab
2008-08-17 13:01 38,472 ----a-w C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-17 13:01 17,144 ----a-w C:\WINDOWS\system32\drivers\mbam.sys
2008-08-14 12:50 --------- d-----w C:\Program Files\Trend Micro
2008-08-13 18:47 --------- d-----w C:\Program Files\Alwil Software
2008-07-25 15:16 --------- d-----w C:\Program Files\CCleaner
2008-07-16 16:30 --------- d-----w C:\Documents and Settings\xp\Application Data\dBpoweramp
2008-07-16 16:23 --------- d-----w C:\Program Files\Illustrate
2008-07-14 11:47 --------- d-----w C:\Program Files\RM to MP3 Converter
2008-07-12 06:50 --------- d-----w C:\Documents and Settings\All Users\Application Data\NCH Swift Sound
2008-07-12 06:47 --------- d-----w C:\Documents and Settings\xp\Application Data\NCH Swift Sound
2008-07-12 06:33 --------- d-----w C:\Program Files\Streamripper
2008-07-11 12:15 64,763 ----a-w C:\WINDOWS\BricoPackUninst.cmd
2008-07-11 12:15 6,108 ----a-w C:\WINDOWS\BricoPackFoldersDelete.cmd
2008-07-11 12:15 219,648 ----a-w C:\WINDOWS\system32\uxtheme.dll
2008-07-11 12:15 219,648 ----a-w C:\WINDOWS\system32\dllcache\uxtheme.dll
2008-07-11 11:40 --------- d-----w C:\Program Files\SpywareBlaster
2008-07-11 11:40 --------- d-----w C:\Documents and Settings\All Users\Application Data\TEMP
2008-07-11 09:57 --------- d-----w C:\Documents and Settings\xp\Application Data\Vista Start Menu
2008-07-11 09:56 --------- d-----w C:\Program Files\Vista Start Menu
2008-07-08 12:54 --------- d-----w C:\Program Files\DigitalPeers
2008-07-05 17:21 --------- d-----w C:\Program Files\Real Alternative
2008-07-05 16:31 --------- d-----w C:\Program Files\4arabnetwork
2008-07-05 16:16 --------- d-----w C:\Program Files\BySoft FreeRAM
2008-07-04 09:18 --------- d-----w C:\Program Files\Stardock
2008-07-01 16:31 --------- d-----w C:\Documents and Settings\xp\Application Data\IDM
2008-07-01 16:31 --------- d-----w C:\Documents and Settings\xp\Application Data\DMCache
2008-07-01 16:30 --------- d-----w C:\Program Files\Internet Download Manager
2008-07-01 12:08 --------- d--h--r C:\Program Files\rnamfler
2008-06-10 17:54 155,995 ----a-w C:\WINDOWS\java\Packages\T71RTBPJ.ZIP
2008-06-10 17:33 417,840 ----a-w C:\yahoo-messenger-9_yahoo_messenger_9.0_beta_anglais_78140.exe
2008-05-30 15:05 664,576 ----a-w C:\pnwp3260.dll
2008-05-30 15:05 23,040 ----a-w C:\rmeditor.exe
2008-05-30 15:05 17,920 ----a-w C:\rmevents.exe
2008-05-30 15:04 89,600 ----a-w C:\rnuninst.exe
2008-05-30 15:04 826,880 ----a-w C:\realprod.exe
2008-05-30 15:04 386,560 ----a-w C:\pngu3266.dll
2008-05-30 15:04 187,904 ----a-w C:\setu3260.dll
2008-05-30 15:04 11,264 ----a-w C:\pnrs3260.dll
2008-05-23 12:31 3,082 ----a-w C:\WINDOWS\system32\affv11300p3now.sys
.
[code]<pre>
----a-w 3,136,483 2008-05-30 14:17:54 C:\Documents and Settings\xp\Bureau\LA PRESS 4 .exe
</pre>/code
------- Sigcheck -------
08/04/2004 01:54 AM 978432 9f3b76c8cf787449a47f05abab4e13e6 C:\WINDOWS\explorer.exe
08/04/2004 01:54 AM 978432 9f3b76c8cf787449a47f05abab4e13e6 C:\WINDOWS\system32\dllcache\explorer.exe
08/04/2004 04:54 AM 1036288 4c33e5b9a6197b6ed215f6cfba0a2daa C:\WINDOWS\SoftwareDistribution\Download\813a989071c1720c8fca52f421b7b9e5\backup\sp2gdr\explorer.exe
06/13/2007 03:10 PM 1037312 b795475444d6d57a572c14b9e1a29839 C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe
08/04/2004 01:55 AM 102400 d295ff474863689522af4728b39a8c6d C:\WINDOWS\system32\wuauclt.exe
08/04/2004 01:55 AM 102400 d295ff474863689522af4728b39a8c6d C:\WINDOWS\system32\dllcache\wuauclt.exe
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [08/03/2004 11:54 PM 15360]
"MsnMsgr"="C:\PROGRA~1\WINDOW~4\MESSEN~1\msnmsgr.exe" [10/18/2007 11:34 AM 5724184]
"Messenger (Yahoo!)"="C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" [05/27/2008 09:58 PM 4269296]
"BySoft FreeRAM"="C:\Program Files\BySoft FreeRAM\FreeRAM.exe" [09/28/2007 02:32 PM 318976]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"FixCamera"="C:\WINDOWS\FixCamera.exe" [02/12/2007 02:50 PM 20480]
"tsnp325"="C:\WINDOWS\tsnp325.exe" [04/21/2007 09:36 AM 270336]
"SoundMan"="SOUNDMAN.EXE" [02/05/2002 08:05 AM 46592 C:\WINDOWS\SOUNDMAN.EXE]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [08/03/2004 11:54 PM 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WBSrv]
03/05/2007 05:36 PM 140976 C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\WbSrv.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=wbsys.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.divxa32"= msaud32_divx.acm
"VIDC.YV12"= yv12vfw.dll
"msacm.ac3filter"= ac3filter.acm
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=
S3 MBAMSwissArmy;MBAMSwissArmy;C:\WINDOWS\system32\drivers\mbamswissarmy.sys [08/17/2008 03:01 PM]
S3 SNP325;USB PC Camera (SNPSTD325);C:\WINDOWS\system32\DRIVERS\snp325.sys [05/07/2007 05:58 PM]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bd573ff0-32e7-11dd-a0ae-00087501889a}]
\Shell\AutoRun\command - F:\RavMon.exe
\Shell\explore\Command - F:\RavMon.exe -e
\Shell\open\Command - F:\RavMon.exe
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-19 13:29:23
Windows 5.1.2600 Service Pack 2 FAT NTAPI
Balayage processus cach‚s ...
Balayage cach‚ autostart entries ...
Balayage des fichiers cach‚s ...
Scan termin‚ avec succŠs
Les fichiers cach‚s: 0
**************************************************************************
.
--------------------- DLLs a charg‚ sous des processus courants ---------------------
PROCESS: C:\WINDOWS\explorer.exe
-> C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\SYSTEM32\WDFMGR.EXE
C:\WINDOWS\SYSTEM32\WSCNTFY.EXE
C:\WINDOWS\SYSTEM32\WGATRAY.EXE
C:\PROGRAM FILES\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE
C:\WINDOWS\BRICOPACKS\VISTA INSPIRAT 2\ROCKETDOCK\ROCKETDOCK.EXE
C:\PROGRAM FILES\YAHOO!\MESSENGER\YMSGR_TRAY.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
.
**************************************************************************
.
Temps d'accomplissement: 08/19/2008 13:30:53 - machine was rebooted
ComboFix-quarantined-files.txt 2008-08-19 11:30:46
ComboFix3.txt 2008-08-18 20:07:12
ComboFix2.txt 2008-08-18 20:16:24
Pre-Run: 8,586,657,792 octets libres
Post-Run: 8,643,837,952 octets libres
154 --- E O F --- 2008-07-10 22:31:41
<gras>NB : il n y avait pas ça Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
et mon bureau n'a pas disparu
merci d'avance</gras>
1 --> voilà le premier rapport de Malwarebytes
Malwarebytes' Anti-Malware 1.25
Version de la base de données: 1062
Windows 5.1.2600 Service Pack 2
12:33:53 18-08-2008
mbam-log-08-18-2008 (12-33-53).txt
Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 76672
Temps écoulé: 14 minute(s), 24 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\WINDOWS\SVCHOST.INI (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
---->et aprés ça , <gras>j'ai fait un 2eme examen complet , et voilà le rapport </gras>
Malwarebytes' Anti-Malware 1.25
Version de la base de données: 1065
Windows 5.1.2600 Service Pack 2
13:01:20 18-08-2008
mbam-log-08-18-2008 (13-01-20).txt
Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 76772
Temps écoulé: 10 minute(s), 41 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté);
NB : j'ai fait cela avant de poster le prblm ici, car d'aprés le 2eme rapport , il n'y a aucune infection tadis que le prblm est tjrs présent
2---> voilà la rappot C:\Combofix.txt
omboFix 08-08-18.01 - xp 08/19/2008 13:22:50.3 - [color=red][b]FAT32/b/colorx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.207 [GMT 2:00]
Endroit: C:\Documents and Settings\xp\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\xp\Bureau\CFScript.txt
* Création d'un nouveau point de restauration
[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!/b/color
FILE ::
C:\WINDOWS\system32\amvo.exe
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Documents and Settings\xp\Cookies\xp@ad.yieldmanager[2].txt
C:\Documents and Settings\xp\Cookies\xp@www.anglaisfacile[2].txt
C:\Documents and Settings\xp\UserData
C:\Documents and Settings\xp\UserData\4ZLDU4RY\Tdy58[1].xml
C:\Documents and Settings\xp\UserData\index.dat
.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-07-19 to 2008-08-19 ))))))))))))))))))))))))))))))))))))
.
Pas de nouveau fichier cr‚‚ dans cet espace de temps
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-18 10:06 --------- d-----w C:\Program Files\Malwarebytes' Anti-Malware
2008-08-18 10:06 --------- d-----w C:\Documents and Settings\xp\Application Data\Malwarebytes
2008-08-18 10:06 --------- d-----w C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-08-18 08:00 --------- d-----w C:\Program Files\La Press Algerienne By Ramzi
2008-08-18 07:58 --------- d-----w C:\Program Files\Micro Application
2008-08-18 07:58 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-08-18 07:58 --------- d-----w C:\Documents and Settings\All Users\Application Data\Kaspersky Lab
2008-08-17 13:01 38,472 ----a-w C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-17 13:01 17,144 ----a-w C:\WINDOWS\system32\drivers\mbam.sys
2008-08-14 12:50 --------- d-----w C:\Program Files\Trend Micro
2008-08-13 18:47 --------- d-----w C:\Program Files\Alwil Software
2008-07-25 15:16 --------- d-----w C:\Program Files\CCleaner
2008-07-16 16:30 --------- d-----w C:\Documents and Settings\xp\Application Data\dBpoweramp
2008-07-16 16:23 --------- d-----w C:\Program Files\Illustrate
2008-07-14 11:47 --------- d-----w C:\Program Files\RM to MP3 Converter
2008-07-12 06:50 --------- d-----w C:\Documents and Settings\All Users\Application Data\NCH Swift Sound
2008-07-12 06:47 --------- d-----w C:\Documents and Settings\xp\Application Data\NCH Swift Sound
2008-07-12 06:33 --------- d-----w C:\Program Files\Streamripper
2008-07-11 12:15 64,763 ----a-w C:\WINDOWS\BricoPackUninst.cmd
2008-07-11 12:15 6,108 ----a-w C:\WINDOWS\BricoPackFoldersDelete.cmd
2008-07-11 12:15 219,648 ----a-w C:\WINDOWS\system32\uxtheme.dll
2008-07-11 12:15 219,648 ----a-w C:\WINDOWS\system32\dllcache\uxtheme.dll
2008-07-11 11:40 --------- d-----w C:\Program Files\SpywareBlaster
2008-07-11 11:40 --------- d-----w C:\Documents and Settings\All Users\Application Data\TEMP
2008-07-11 09:57 --------- d-----w C:\Documents and Settings\xp\Application Data\Vista Start Menu
2008-07-11 09:56 --------- d-----w C:\Program Files\Vista Start Menu
2008-07-08 12:54 --------- d-----w C:\Program Files\DigitalPeers
2008-07-05 17:21 --------- d-----w C:\Program Files\Real Alternative
2008-07-05 16:31 --------- d-----w C:\Program Files\4arabnetwork
2008-07-05 16:16 --------- d-----w C:\Program Files\BySoft FreeRAM
2008-07-04 09:18 --------- d-----w C:\Program Files\Stardock
2008-07-01 16:31 --------- d-----w C:\Documents and Settings\xp\Application Data\IDM
2008-07-01 16:31 --------- d-----w C:\Documents and Settings\xp\Application Data\DMCache
2008-07-01 16:30 --------- d-----w C:\Program Files\Internet Download Manager
2008-07-01 12:08 --------- d--h--r C:\Program Files\rnamfler
2008-06-10 17:54 155,995 ----a-w C:\WINDOWS\java\Packages\T71RTBPJ.ZIP
2008-06-10 17:33 417,840 ----a-w C:\yahoo-messenger-9_yahoo_messenger_9.0_beta_anglais_78140.exe
2008-05-30 15:05 664,576 ----a-w C:\pnwp3260.dll
2008-05-30 15:05 23,040 ----a-w C:\rmeditor.exe
2008-05-30 15:05 17,920 ----a-w C:\rmevents.exe
2008-05-30 15:04 89,600 ----a-w C:\rnuninst.exe
2008-05-30 15:04 826,880 ----a-w C:\realprod.exe
2008-05-30 15:04 386,560 ----a-w C:\pngu3266.dll
2008-05-30 15:04 187,904 ----a-w C:\setu3260.dll
2008-05-30 15:04 11,264 ----a-w C:\pnrs3260.dll
2008-05-23 12:31 3,082 ----a-w C:\WINDOWS\system32\affv11300p3now.sys
.
[code]<pre>
----a-w 3,136,483 2008-05-30 14:17:54 C:\Documents and Settings\xp\Bureau\LA PRESS 4 .exe
</pre>/code
------- Sigcheck -------
08/04/2004 01:54 AM 978432 9f3b76c8cf787449a47f05abab4e13e6 C:\WINDOWS\explorer.exe
08/04/2004 01:54 AM 978432 9f3b76c8cf787449a47f05abab4e13e6 C:\WINDOWS\system32\dllcache\explorer.exe
08/04/2004 04:54 AM 1036288 4c33e5b9a6197b6ed215f6cfba0a2daa C:\WINDOWS\SoftwareDistribution\Download\813a989071c1720c8fca52f421b7b9e5\backup\sp2gdr\explorer.exe
06/13/2007 03:10 PM 1037312 b795475444d6d57a572c14b9e1a29839 C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe
08/04/2004 01:55 AM 102400 d295ff474863689522af4728b39a8c6d C:\WINDOWS\system32\wuauclt.exe
08/04/2004 01:55 AM 102400 d295ff474863689522af4728b39a8c6d C:\WINDOWS\system32\dllcache\wuauclt.exe
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [08/03/2004 11:54 PM 15360]
"MsnMsgr"="C:\PROGRA~1\WINDOW~4\MESSEN~1\msnmsgr.exe" [10/18/2007 11:34 AM 5724184]
"Messenger (Yahoo!)"="C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" [05/27/2008 09:58 PM 4269296]
"BySoft FreeRAM"="C:\Program Files\BySoft FreeRAM\FreeRAM.exe" [09/28/2007 02:32 PM 318976]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"FixCamera"="C:\WINDOWS\FixCamera.exe" [02/12/2007 02:50 PM 20480]
"tsnp325"="C:\WINDOWS\tsnp325.exe" [04/21/2007 09:36 AM 270336]
"SoundMan"="SOUNDMAN.EXE" [02/05/2002 08:05 AM 46592 C:\WINDOWS\SOUNDMAN.EXE]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [08/03/2004 11:54 PM 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WBSrv]
03/05/2007 05:36 PM 140976 C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\WbSrv.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=wbsys.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.divxa32"= msaud32_divx.acm
"VIDC.YV12"= yv12vfw.dll
"msacm.ac3filter"= ac3filter.acm
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=
S3 MBAMSwissArmy;MBAMSwissArmy;C:\WINDOWS\system32\drivers\mbamswissarmy.sys [08/17/2008 03:01 PM]
S3 SNP325;USB PC Camera (SNPSTD325);C:\WINDOWS\system32\DRIVERS\snp325.sys [05/07/2007 05:58 PM]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bd573ff0-32e7-11dd-a0ae-00087501889a}]
\Shell\AutoRun\command - F:\RavMon.exe
\Shell\explore\Command - F:\RavMon.exe -e
\Shell\open\Command - F:\RavMon.exe
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-19 13:29:23
Windows 5.1.2600 Service Pack 2 FAT NTAPI
Balayage processus cach‚s ...
Balayage cach‚ autostart entries ...
Balayage des fichiers cach‚s ...
Scan termin‚ avec succŠs
Les fichiers cach‚s: 0
**************************************************************************
.
--------------------- DLLs a charg‚ sous des processus courants ---------------------
PROCESS: C:\WINDOWS\explorer.exe
-> C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\SYSTEM32\WDFMGR.EXE
C:\WINDOWS\SYSTEM32\WSCNTFY.EXE
C:\WINDOWS\SYSTEM32\WGATRAY.EXE
C:\PROGRAM FILES\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE
C:\WINDOWS\BRICOPACKS\VISTA INSPIRAT 2\ROCKETDOCK\ROCKETDOCK.EXE
C:\PROGRAM FILES\YAHOO!\MESSENGER\YMSGR_TRAY.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
.
**************************************************************************
.
Temps d'accomplissement: 08/19/2008 13:30:53 - machine was rebooted
ComboFix-quarantined-files.txt 2008-08-19 11:30:46
ComboFix3.txt 2008-08-18 20:07:12
ComboFix2.txt 2008-08-18 20:16:24
Pre-Run: 8,586,657,792 octets libres
Post-Run: 8,643,837,952 octets libres
154 --- E O F --- 2008-07-10 22:31:41
<gras>NB : il n y avait pas ça Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
et mon bureau n'a pas disparu
merci d'avance</gras>
1) le dossier que je te t'"indique est un dossier caché.
Fais appraitre sur ton PC les fichiers et dossiers cachés :
Poste de trvail --> Outils --> Options des dossiers --> Affichage des dossiers cachés.
C:\Program Files\rnamfler
Peux-tu me dire ce qu'il y a dans ce dossier ?
2) Tu vas sur le site de Kaspersky:
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
Clique sur Demarrer Online-scanner ( en bas de page à droite ) pour commencer l'analyse.
Il te sera demandé d'installer un logiciel de Kaspersky, accepte.
A la fin de cette analyse, clique sur enregistrer le rapport.
Poste le contenu de ce rapport dans ton prochain message.
A+
Fais appraitre sur ton PC les fichiers et dossiers cachés :
Poste de trvail --> Outils --> Options des dossiers --> Affichage des dossiers cachés.
C:\Program Files\rnamfler
Peux-tu me dire ce qu'il y a dans ce dossier ?
2) Tu vas sur le site de Kaspersky:
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
Clique sur Demarrer Online-scanner ( en bas de page à droite ) pour commencer l'analyse.
Il te sera demandé d'installer un logiciel de Kaspersky, accepte.
A la fin de cette analyse, clique sur enregistrer le rapport.
Poste le contenu de ce rapport dans ton prochain message.
A+
voilà ce qu'il y a dans ce fichier rnamfler
stream.rep ,
radprlib.dll
naomf (l'éxécutable)
en attendant, je vais faire ce que vous m'avez demandé .
merci
stream.rep ,
radprlib.dll
naomf (l'éxécutable)
en attendant, je vais faire ce que vous m'avez demandé .
merci
c'est bizzar et je ne comprend pas pkoi,??? j'essyae depuis le matin, tt les autres messages se postent trés normale, mais ce rapport ne veux pas pkoi ????
Tu me l'envoies par messagerie ( clique sur mon nom --> messagerie privé ).
Je le posterais sur le forum.
A+
Je le posterais sur le forum.
A+
ceci suffira pour le rapport :
KASPERSKY ON-LINE SCANNER REPORT
Tuesday, August 19, 2008 7:00:24 PM
Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.84.2
Dernière mise à jour de la base antivirus Kaspersky : 19/08/2008
Enregistrements dans la base antivirus Kaspersky : 988994
-------------------------------------------------------------------------------
Paramètres d'analyse:
Analyser avec la base antivirus suivante: standard
Analyser les archives: vrai
Analyser les bases de messagerie: vrai
Cible de l'analyse - Poste de travail:
A:\
C:\
D:\
E:\
Statistiques de l'analyse:
Total d'objets analysés: 41958
Nombre de virus trouvés: 0
Nombre d'objets infectés: 0 / 0
Nombre d'objets suspects: 0
Durée de l'analyse: 01:19:02
Aucun virus ( tout comme avec malwarebytes ). Nickel.
Vérifie pour ton problème de fenêtre d'erreur.
Tu me postes un dernier rapport Hijackthis.
A+
KASPERSKY ON-LINE SCANNER REPORT
Tuesday, August 19, 2008 7:00:24 PM
Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.84.2
Dernière mise à jour de la base antivirus Kaspersky : 19/08/2008
Enregistrements dans la base antivirus Kaspersky : 988994
-------------------------------------------------------------------------------
Paramètres d'analyse:
Analyser avec la base antivirus suivante: standard
Analyser les archives: vrai
Analyser les bases de messagerie: vrai
Cible de l'analyse - Poste de travail:
A:\
C:\
D:\
E:\
Statistiques de l'analyse:
Total d'objets analysés: 41958
Nombre de virus trouvés: 0
Nombre d'objets infectés: 0 / 0
Nombre d'objets suspects: 0
Durée de l'analyse: 01:19:02
Aucun virus ( tout comme avec malwarebytes ). Nickel.
Vérifie pour ton problème de fenêtre d'erreur.
Tu me postes un dernier rapport Hijackthis.
A+
le voilà ,
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:49:12, on 19-08-2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\FixCamera.exe
C:\WINDOWS\tsnp325.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\WINDOW~4\MESSEN~1\msnmsgr.exe
C:\Program Files\BySoft FreeRAM\FreeRAM.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\WgaTray.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [FixCamera] C:\WINDOWS\FixCamera.exe
O4 - HKLM\..\Run: [tsnp325] C:\WINDOWS\tsnp325.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [wrna3ls] C:\Program Files\rnamfler\naomf.exe
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\PROGRA~1\WINDOW~4\MESSEN~1\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [BySoft FreeRAM] C:\Program Files\BySoft FreeRAM\FreeRAM.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Bannière - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O17 - HKLM\System\CCS\Services\Tcpip\..\{C95F53F9-1F82-4036-9B3B-02CCDFAC88C5}: NameServer = 41.221.20.4 193.251.169.165
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour Service - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/xp/LOCALS~1/Temp/msohtml1/01/clip_image002.gif
O24 - Desktop Component 1: (no name) - file:///C:/DOCUME~1/xp/LOCALS~1/Temp/msohtml1/01/clip_image002.jpg
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:49:12, on 19-08-2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\FixCamera.exe
C:\WINDOWS\tsnp325.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\WINDOW~4\MESSEN~1\msnmsgr.exe
C:\Program Files\BySoft FreeRAM\FreeRAM.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\WgaTray.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [FixCamera] C:\WINDOWS\FixCamera.exe
O4 - HKLM\..\Run: [tsnp325] C:\WINDOWS\tsnp325.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [wrna3ls] C:\Program Files\rnamfler\naomf.exe
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\PROGRA~1\WINDOW~4\MESSEN~1\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [BySoft FreeRAM] C:\Program Files\BySoft FreeRAM\FreeRAM.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Bannière - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O17 - HKLM\System\CCS\Services\Tcpip\..\{C95F53F9-1F82-4036-9B3B-02CCDFAC88C5}: NameServer = 41.221.20.4 193.251.169.165
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour Service - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/xp/LOCALS~1/Temp/msohtml1/01/clip_image002.gif
O24 - Desktop Component 1: (no name) - file:///C:/DOCUME~1/xp/LOCALS~1/Temp/msohtml1/01/clip_image002.jpg
1) Lance Hijackthis et tu choisis " Do a system scan only ".
Tu sélectionnes les lignes suivantes :
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing)
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O23 - Service: Bonjour Service - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/xp/LOCALS~1/Temp/msohtml1/01/clip_image002.gif
O24 - Desktop Component 1: (no name) - file:///C:/DOCUME~1/xp/LOCALS~1/Temp/msohtml1/01/clip_image002.jpg
Tu choisis l'option " Fixchecked" en bas de la page.
2) On va tout de même analyser le répertoire sur lequel j'ai un doute .
C:\Program Files\rnamfler\naomf.exe
Tu vas sur le site de VirusTotal et tu vas pouvoir analyser le fichier.
https://www.virustotal.com/gui/
Tu cliques sur parcourir pour sélectionner ce fichier sur ton disque dur.
Tu cliques ensuite sur envoyer le fichier.
Tu postes le rapport de l'analyse ( pour cela, tu sélectionnes la zone de résultat --> click droit --> copier )
3) Il faudra qu'on discute protections d'un PC.
Tu n'as aucune protection actuellement.
Tu prends des risques énormes.
A+
Tu sélectionnes les lignes suivantes :
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing)
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O23 - Service: Bonjour Service - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/xp/LOCALS~1/Temp/msohtml1/01/clip_image002.gif
O24 - Desktop Component 1: (no name) - file:///C:/DOCUME~1/xp/LOCALS~1/Temp/msohtml1/01/clip_image002.jpg
Tu choisis l'option " Fixchecked" en bas de la page.
2) On va tout de même analyser le répertoire sur lequel j'ai un doute .
C:\Program Files\rnamfler\naomf.exe
Tu vas sur le site de VirusTotal et tu vas pouvoir analyser le fichier.
https://www.virustotal.com/gui/
Tu cliques sur parcourir pour sélectionner ce fichier sur ton disque dur.
Tu cliques ensuite sur envoyer le fichier.
Tu postes le rapport de l'analyse ( pour cela, tu sélectionnes la zone de résultat --> click droit --> copier )
3) Il faudra qu'on discute protections d'un PC.
Tu n'as aucune protection actuellement.
Tu prends des risques énormes.
A+
pour
1/---> déja fait, c'est bon, j'ai supprimé les cases demandés
2/--> voilà le rapport , aprés l'analyse du fichier suspecté
Fichier naomf.exe reçu le 2008.08.10 07:50:38 (CET)
Situation actuelle: terminé
Résultat: 5/36 (13.89%)
Formaté Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.8.9.0 2008.08.08 -
AntiVir 7.8.1.19 2008.08.09 -
Authentium 5.1.0.4 2008.08.10 -
Avast 4.8.1195.0 2008.08.09 -
AVG 8.0.0.156 2008.08.09 -
BitDefender 7.2 2008.08.10 -
CAT-QuickHeal 9.50 2008.08.08 -
ClamAV 0.93.1 2008.08.09 -
DrWeb 4.44.0.09170 2008.08.09 -
eSafe 7.0.17.0 2008.08.07 -
eTrust-Vet 31.6.6021 2008.08.08 -
Ewido 4.0 2008.08.09 -
F-Prot 4.4.4.56 2008.08.10 -
F-Secure 7.60.13501.0 2008.08.10 -
Fortinet 3.14.0.0 2008.08.10 -
GData 2.0.7306.1023 2008.08.10 -
Ikarus T3.1.1.34.0 2008.08.10 Trojan.Win32.Agent.ajz
K7AntiVirus 7.10.408 2008.08.09 -
Kaspersky 7.0.0.125 2008.08.10 -
McAfee 5357 2008.08.08 -
Microsoft 1.3807 2008.08.09 Worm:Win32/Banpravo.A
NOD32v2 3343 2008.08.10 -
Norman 5.80.02 2008.08.08 -
Panda 9.0.0.4 2008.08.09 Suspicious file
PCTools 4.4.2.0 2008.08.09 -
Prevx1 V2 2008.08.10 -
Rising 20.56.41.00 2008.08.08 -
Sophos 4.32.0 2008.08.10 Sus/UnkPacker
Sunbelt 3.1.1538.1 2008.08.09 -
Symantec 10 2008.08.10 -
TheHacker 6.2.96.395 2008.08.08 -
TrendMicro 8.700.0.1004 2008.08.08 -
VBA32 3.12.8.3 2008.08.09 -
ViRobot 2008.8.8.1329 2008.08.08 -
VirusBuster 4.5.11.0 2008.08.09 -
Webwasher-Gateway 6.6.2 2008.08.09 Virus.Win32.FileInfector.gen (suspicious)
Information additionnelle
File size: 1253448 bytes
MD5...: edbab1bd1ced1ab1429f79f1463b3952
SHA1..: d23148030ce1c2ea1ec02713b99b8866ed67986f
SHA256: e5e01902c85bd9c9237fdf75b6b10e0047c3e5a2d961fb993623855f9d3d0282
SHA512: f37382a0056405e03e33e5623fc0f0418c74c778cf84f855d05ae4e21de72cf7
04d748747b8655f5a4177d4ccdbf1eeb6bf878ffa8ca38c5135e8930c263162e
PEiD..: -
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x537060
timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype.......: 0x14c (I386)
( 9 sections )
name viradd virsiz rawdsiz ntrpy md5
CODE 0x1000 0x100670 0x100800 7.99 e2d27507f172fb228d13afffa02250f0
DATA 0x102000 0x10790 0x10800 7.87 2012faab89f38f41fd5b9553fdd5c3d8
BSS 0x113000 0xe4d 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.idata 0x114000 0x2a06 0x2c00 7.97 df3b3160ce2e34c804f05ae059fd13c0
.tls 0x117000 0x10 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rdata 0x118000 0x18 0x200 7.75 da72c30eee50a2ce98b3d1871524055c
.reloc 0x119000 0x10ad0 0x10c00 6.50 286d962bfcf904b879710f077edf87a7
.rsrc 0x12a000 0xc800 0xc800 6.49 fb06a4df4dd5e41fa2adede940fe335e
Jc 0x137000 0x2000 0xa48 7.47 274e2a51bcfacbe3a30921f8458f9cdc
( 1 imports )
> kernel32.dll: LoadLibraryA, GetProcAddress
( 0 exports )
packers (Kaspersky): Yoda
packers (F-Prot): Yoda
3--> que dois-je faire??? les anti-virus se périment rapidemant ??????????????
1/---> déja fait, c'est bon, j'ai supprimé les cases demandés
2/--> voilà le rapport , aprés l'analyse du fichier suspecté
Fichier naomf.exe reçu le 2008.08.10 07:50:38 (CET)
Situation actuelle: terminé
Résultat: 5/36 (13.89%)
Formaté Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.8.9.0 2008.08.08 -
AntiVir 7.8.1.19 2008.08.09 -
Authentium 5.1.0.4 2008.08.10 -
Avast 4.8.1195.0 2008.08.09 -
AVG 8.0.0.156 2008.08.09 -
BitDefender 7.2 2008.08.10 -
CAT-QuickHeal 9.50 2008.08.08 -
ClamAV 0.93.1 2008.08.09 -
DrWeb 4.44.0.09170 2008.08.09 -
eSafe 7.0.17.0 2008.08.07 -
eTrust-Vet 31.6.6021 2008.08.08 -
Ewido 4.0 2008.08.09 -
F-Prot 4.4.4.56 2008.08.10 -
F-Secure 7.60.13501.0 2008.08.10 -
Fortinet 3.14.0.0 2008.08.10 -
GData 2.0.7306.1023 2008.08.10 -
Ikarus T3.1.1.34.0 2008.08.10 Trojan.Win32.Agent.ajz
K7AntiVirus 7.10.408 2008.08.09 -
Kaspersky 7.0.0.125 2008.08.10 -
McAfee 5357 2008.08.08 -
Microsoft 1.3807 2008.08.09 Worm:Win32/Banpravo.A
NOD32v2 3343 2008.08.10 -
Norman 5.80.02 2008.08.08 -
Panda 9.0.0.4 2008.08.09 Suspicious file
PCTools 4.4.2.0 2008.08.09 -
Prevx1 V2 2008.08.10 -
Rising 20.56.41.00 2008.08.08 -
Sophos 4.32.0 2008.08.10 Sus/UnkPacker
Sunbelt 3.1.1538.1 2008.08.09 -
Symantec 10 2008.08.10 -
TheHacker 6.2.96.395 2008.08.08 -
TrendMicro 8.700.0.1004 2008.08.08 -
VBA32 3.12.8.3 2008.08.09 -
ViRobot 2008.8.8.1329 2008.08.08 -
VirusBuster 4.5.11.0 2008.08.09 -
Webwasher-Gateway 6.6.2 2008.08.09 Virus.Win32.FileInfector.gen (suspicious)
Information additionnelle
File size: 1253448 bytes
MD5...: edbab1bd1ced1ab1429f79f1463b3952
SHA1..: d23148030ce1c2ea1ec02713b99b8866ed67986f
SHA256: e5e01902c85bd9c9237fdf75b6b10e0047c3e5a2d961fb993623855f9d3d0282
SHA512: f37382a0056405e03e33e5623fc0f0418c74c778cf84f855d05ae4e21de72cf7
04d748747b8655f5a4177d4ccdbf1eeb6bf878ffa8ca38c5135e8930c263162e
PEiD..: -
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x537060
timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype.......: 0x14c (I386)
( 9 sections )
name viradd virsiz rawdsiz ntrpy md5
CODE 0x1000 0x100670 0x100800 7.99 e2d27507f172fb228d13afffa02250f0
DATA 0x102000 0x10790 0x10800 7.87 2012faab89f38f41fd5b9553fdd5c3d8
BSS 0x113000 0xe4d 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.idata 0x114000 0x2a06 0x2c00 7.97 df3b3160ce2e34c804f05ae059fd13c0
.tls 0x117000 0x10 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rdata 0x118000 0x18 0x200 7.75 da72c30eee50a2ce98b3d1871524055c
.reloc 0x119000 0x10ad0 0x10c00 6.50 286d962bfcf904b879710f077edf87a7
.rsrc 0x12a000 0xc800 0xc800 6.49 fb06a4df4dd5e41fa2adede940fe335e
Jc 0x137000 0x2000 0xa48 7.47 274e2a51bcfacbe3a30921f8458f9cdc
( 1 imports )
> kernel32.dll: LoadLibraryA, GetProcAddress
( 0 exports )
packers (Kaspersky): Yoda
packers (F-Prot): Yoda
3--> que dois-je faire??? les anti-virus se périment rapidemant ??????????????
1) Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe
Double-clique sur OTMoveIt.exe pour le lancer.
Copie la liste qui se trouve en citation ci-dessous et colle-la dans le cadre de gauche de OTMoveIt sous Paste List of Files/Folders to move.
C:\Program Files\rnamfler\
clique sur MoveIt! pour lancer la suppression.
Le résultat apparaitra dans le cadre "Results".
Clique sur Exit pour fermer.
Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
Il est possible que ton ordinateur redémarre pour supprimer les fichiers.
2) Tu dis que les antivirus se périmment rapidemment.
C'est faux, ils se mettent à jour régulièrement.
Et il faut absoilument que tu ais un antivirus, un antispyware et un parefeu.
Le plus réactif ( parmi les antivirus gratuits ) est Antivir.
C'est le plus côté actuellement. Il est en anglais amis la version française va bientôt sortir.
Installe le .
tuto antivir :
https://www.malekal.com/avira-free-security-antivirus-gratuit/
pare-feu gratuits :
Zone alarm :
https://www.malekal.com/tutoriel-zonealarm-firewall/
- Comodo™ Firewall ( version 3.0 en anglais, sinon 2.4 multi-langues )
https://www.malekal.com/tutorial-comodo-firewall/
http://www.personalfirewall.comodo.com/download_firewall.html#fw2.4
- Kerio Personal Firewall
https://www.malekal.com/tutorial-et-guide-counterspy/
Antispywares :
AVG anti spyware:
http://www.commentcamarche.net/telecharger/telecharger 218 avg anti spyware
Spybot :
https://www.malekal.com/spybot-search-destroy-proteger-desinfecter-pc-virus/ ( avec le tea timer )
Installe ces trois types de protections.
A+
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe
Double-clique sur OTMoveIt.exe pour le lancer.
Copie la liste qui se trouve en citation ci-dessous et colle-la dans le cadre de gauche de OTMoveIt sous Paste List of Files/Folders to move.
C:\Program Files\rnamfler\
clique sur MoveIt! pour lancer la suppression.
Le résultat apparaitra dans le cadre "Results".
Clique sur Exit pour fermer.
Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
Il est possible que ton ordinateur redémarre pour supprimer les fichiers.
2) Tu dis que les antivirus se périmment rapidemment.
C'est faux, ils se mettent à jour régulièrement.
Et il faut absoilument que tu ais un antivirus, un antispyware et un parefeu.
Le plus réactif ( parmi les antivirus gratuits ) est Antivir.
C'est le plus côté actuellement. Il est en anglais amis la version française va bientôt sortir.
Installe le .
tuto antivir :
https://www.malekal.com/avira-free-security-antivirus-gratuit/
pare-feu gratuits :
Zone alarm :
https://www.malekal.com/tutoriel-zonealarm-firewall/
- Comodo™ Firewall ( version 3.0 en anglais, sinon 2.4 multi-langues )
https://www.malekal.com/tutorial-comodo-firewall/
http://www.personalfirewall.comodo.com/download_firewall.html#fw2.4
- Kerio Personal Firewall
https://www.malekal.com/tutorial-et-guide-counterspy/
Antispywares :
AVG anti spyware:
http://www.commentcamarche.net/telecharger/telecharger 218 avg anti spyware
Spybot :
https://www.malekal.com/spybot-search-destroy-proteger-desinfecter-pc-virus/ ( avec le tea timer )
Installe ces trois types de protections.
A+
