Sujet Précédent Sujet Suivant

Infecte par spyware

Fermé
lindorie Messages postés 16 Date d'inscription jeudi 31 juillet 2008 Statut Membre Dernière intervention 22 août 2008 - 22 août 2008 à 09:34
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 - 22 août 2008 à 11:08
Bonjour,
fond d'ecran changer!! plus croix rouge
en dessous rapport hidjack this!!
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:29:12, on 22/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\braviax.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Microsoft ActiveSync\Wcescomm.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Comptabilite\Bureau\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www8.hp.com/fr/fr/home.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SetRefresh] C:\Program Files\Compaq\SetRefresh\SetRefresh.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {1663ed61-23eb-11d2-b92f-008048fdd814} (MeadCo ScriptX Basic) - http://53.246.17.200/extranet/prod/actu.nsf/ScriptX.cab
O16 - DPF: {494b8c10-bdb5-11d1-8373-00a0c901b28c} (KClient.ActiveX.1) -
O16 - DPF: {9E4E9EC5-0C3C-11D3-A80A-0000929B0D3A} (MIKONEX Element) - http://53.246.17.217/MPC/x_mikone.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{ECAC80E3-31FE-41F0-A462-FDDCC2EB6108}: NameServer = 194.2.0.20,194.2.0.50,212.30.96.123
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
A voir également:

12 réponses

Réponse 1 / 12
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
22 août 2008 à 09:38
Salut,

Rends toi ici sur ton PC et supprimes ton hijackthis :
C:\Documents and Settings\Comptabilite\Bureau\HiJackThis.exe

Puis reprends exavtement ainsi pour contrer l'infection Vundo dont tu es victime :

Télécharges et installes le logiciel HijackThis :

ici :ftp://ftp.commentcamarche.com/download/HJTInstall.exe
ou ici : http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe

1- Cliques sur le setup pour lancer l'installe : laisses toi guider et ne modifies pas les paramètres d'installation .
A la fin de l'installe , le prg ce lance automatiquement : fermes le en cliquant sur la croix rouge .
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme : "C:\ programme file\Trend Micro\HijackThis\HijackThis.exe " .
Supprimes le raccourcis stp ...

Important pour contrer Vundo :
Renommer le prg HijackThis :
Rends toi sur ton PC ici "C:\ programme file\Trend Micro\HijackThis\HijackThis.exe"<---cliques droit sur ce dernier et choisis "renommer" : tapes monjack et valides .
Puis cliques droit sur "monjack.exe" et choisis "envoyer vers" -> le bureau ( créer un raccourci ).

tuto pour utilisation
Regardes ici, c'est parfaitement expliqué en images (merci balltrap34) :
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm

2-!! Déconnectes toi et fermes toute tes applications en cours !!

Cliques sur le raccourci du bureau pour lancer le prg :
fais un scan "monjack" (ou HijackThis renommé) en cliquant sur : "Do a system scan and save a logfile"

---> Postes le rapport généré pour analyse et attends la suite ...
0
Réponse 2 / 12
lindorie Messages postés 16 Date d'inscription jeudi 31 juillet 2008 Statut Membre Dernière intervention 22 août 2008
22 août 2008 à 09:59
je me suis pas deconnecté du reseau este grave?? et des apply ds la barre a coté de l'horloge il y avait encore!!
j'ai qd mm lancer monjack!! merci pr ton aide

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:57:15, on 22/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Microsoft ActiveSync\Wcescomm.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Program Files\Trend Micro\HijackThis\monjack.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www8.hp.com/fr/fr/home.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SetRefresh] C:\Program Files\Compaq\SetRefresh\SetRefresh.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {1663ed61-23eb-11d2-b92f-008048fdd814} (MeadCo ScriptX Basic) - http://53.246.17.200/extranet/prod/actu.nsf/ScriptX.cab
O16 - DPF: {494b8c10-bdb5-11d1-8373-00a0c901b28c} (KClient.ActiveX.1) -
O16 - DPF: {9E4E9EC5-0C3C-11D3-A80A-0000929B0D3A} (MIKONEX Element) - http://53.246.17.217/MPC/x_mikone.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{ECAC80E3-31FE-41F0-A462-FDDCC2EB6108}: NameServer = 194.2.0.20,194.2.0.50,212.30.96.123
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
0
Réponse 3 / 12
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
22 août 2008 à 10:13
des apply ds la barre a coté de l'horloge il y avait encore!!

--> c'est normal , on a pas encore commencé ... ^^


Donc :

1- Désactives le "tea timer" de Spybot S&D ( tu le réactiveras en fin de désinfection uniquement ) .
Tuto animé ici : http://perso.orange.fr/rginformatique/section%20virus/demo%20spybot.htm
( merci Balltrap34 pour cette réalisation ;) )


2-Télécharges SDFix sur ton bureau :
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe.

--->Double-cliques sur SDFix.exe et choisis "Install" .

( tuto ici : https://www.malekal.com/slenfbot-still-an-other-irc-bot/ )

Puis une fois l'installe faite ,
Impératif : redémarres en mode sans échec .
Comment aller en Mode sans échec :
1) Redémarres ton ordi
2) Tapotes la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisis la première option : Sans Échec, et valide avec "Entrée"
5) Choisis ton compte habituel, et non Administrateur (si besoin ... )
( ps : n'oublies pas , en mode sans échec , pas de connexion ! Donc copies ou imprimes bien les info ci-dessous ...)

Ouvres le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double cliques sur RunThis.bat pour lancer le script.
--->Tapes Y pour lancer le script ...
Le Fix supprime les services du virus et nettoie le registre, de ce fait un redémarrage est nécessaire , donc :
presses une touche pour redémarrer quand il te le sera demandé .

Le PC va mettre du temps avant de démarrer ( c'est normale ), après le chargement du Bureau presses une touche lorsque "Finished" s'affiche .

Le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier C:\SDFix sous le nom "Report.txt".
Postes ce dernier dans ta prochaine réponse accompagné d'un nouveau rapport Hijakcthis pour analyse ...
0
Réponse 4 / 12
lindorie Messages postés 16 Date d'inscription jeudi 31 juillet 2008 Statut Membre Dernière intervention 22 août 2008
22 août 2008 à 10:34
sd fix


[b]SDFix: Version 1.218 [/b]
Run by Comptabilite on 22/08/2008 at 10:27

Microsoft Windows XP [version 5.1.2600]
Running From: C:\Documents and Settings\Comptabilite\Bureau\SDFix

[b]Checking Services [/b]:


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files [/b]:

No Trojan Files Found






Removing Temp Files

[b]ADS Check [/b]:



[b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-22 10:32:18
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"="C:\\Program Files\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe:*:Enabled:BlueSoleil"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Internet Explorer\\iexplore.exe"="C:\\Program Files\\Internet Explorer\\iexplore.exe:*:Enabled:Internet Explorer"
"C:\\WINDOWS\\system32\\dllhost.exe"="C:\\WINDOWS\\system32\\dllhost.exe:*:Enabled:COM Surrogate"
"C:\\Program Files\\Azureus\\Azureus.exe"="C:\\Program Files\\Azureus\\Azureus.exe:*:Enabled:Azureus"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"
"C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"
"C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"
"C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"
"C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"

[b]Remaining Files [/b]:



[b]Files with Hidden Attributes [/b]:

Wed 13 Oct 2004 1,694,208 ..SH. --- "C:\Program Files\Messenger\msmsgs.exe"
Mon 21 Aug 2006 5 A.SH. --- "C:\WINDOWS\system32\aadaaaece_g.dll"
Thu 27 Mar 2008 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Fri 9 May 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\24af2a69c06a4de03e35dc89d706475f\BIT1.tmp"

[b]Finished![/b]
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 12
lindorie Messages postés 16 Date d'inscription jeudi 31 juillet 2008 Statut Membre Dernière intervention 22 août 2008
22 août 2008 à 10:36
rapport de nvx hijack

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:35:26, on 22/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Symantec AntiVirus\DoScan.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft ActiveSync\Wcescomm.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\monjack.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www8.hp.com/fr/fr/home.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SetRefresh] C:\Program Files\Compaq\SetRefresh\SetRefresh.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {1663ed61-23eb-11d2-b92f-008048fdd814} (MeadCo ScriptX Basic) - http://53.246.17.200/extranet/prod/actu.nsf/ScriptX.cab
O16 - DPF: {494b8c10-bdb5-11d1-8373-00a0c901b28c} (KClient.ActiveX.1) -
O16 - DPF: {9E4E9EC5-0C3C-11D3-A80A-0000929B0D3A} (MIKONEX Element) - http://53.246.17.217/MPC/x_mikone.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{ECAC80E3-31FE-41F0-A462-FDDCC2EB6108}: NameServer = 194.2.0.20,194.2.0.50,212.30.96.123
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
0
Réponse 6 / 12
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
22 août 2008 à 10:37
on continue :

Télécharge DiagHelp.zip sur ton bureau :
( note : si ton anti-virus s'affolle lors du téléchargement ou de l'installe, c'est normal , ignore l'alerte ).

-> http://www.malekal.com/download/DiagHelp.zip

!! déconnectes toi et fermes toutes tes applications en cours !!

Fais un clic droit sur le fichier et extraire tout .

--> Un nouveau dossier va être créé : "DiagHelp"
Ouvres le et double-clic sur go.cmd et pas sur autre chose ! (le .cmd peut ne pas apparaître )

--> Une fenêtre va s'ouvrir, choisis l'option 1
L'analyse va commencer, ce-ci peut durer quelques minutes, laisses faire et appuies sur une touche quand on te le demandera :
une page IE va s'ouvrir , fermes la .
Re-appuis sur une touche, le bloc-note s'ouvre :
Sauvegardes ce rapport de façon à le retrouver et postes tout son contenu dans ta prochaine réponse ...
0
Réponse 7 / 12
lindorie Messages postés 16 Date d'inscription jeudi 31 juillet 2008 Statut Membre Dernière intervention 22 août 2008
22 août 2008 à 10:50
voila :)

DiagHelp version v1.4 - http://www.malekal.com
excute le 22/08/2008 à 10:47:10.78


Liste des derniers fichies modifies/crees dans windir\system32 et prefetch
C:\WINDOWS\prefetch\CHCP.COM-18156052.pf -->22/08/2008 10:47:08
C:\WINDOWS\prefetch\RUNDLL32.EXE-268BFF96.pf -->22/08/2008 10:45:17
C:\WINDOWS\prefetch\IEXPLORE.EXE-27122324.pf -->22/08/2008 10:43:22
C:\WINDOWS\prefetch\WINRAR.EXE-39C6DAD9.pf -->22/08/2008 10:41:10
C:\WINDOWS\prefetch\MBAM.EXE-0BEE0439.pf -->22/08/2008 10:38:40
C:\WINDOWS\prefetch\KCLIENT.EXE-1B0F0F6D.pf -->22/08/2008 10:38:35
C:\WINDOWS\prefetch\RUNDLL32.EXE-451FC2C0.pf -->22/08/2008 10:38:25
C:\WINDOWS\prefetch\NOTEPAD.EXE-336351A9.pf -->22/08/2008 10:37:59
C:\WINDOWS\prefetch\VPC32.EXE-2E9C8D92.pf -->22/08/2008 10:37:23
C:\WINDOWS\prefetch\MONJACK.EXE-0BC84F93.pf -->22/08/2008 10:35:14

C:\WINDOWS\System32\drivers\mbamswissarmy.sys -->17/08/2008 15:01:18
C:\WINDOWS\System32\drivers\mbam.sys -->17/08/2008 15:01:14
C:\WINDOWS\System32\drivers\tcpip.sys -->20/06/2008 12:45:13
C:\WINDOWS\System32\drivers\afd.sys -->20/06/2008 12:44:38
C:\WINDOWS\System32\drivers\tcpip6.sys -->20/06/2008 11:52:06
C:\WINDOWS\System32\drivers\bthport.sys -->14/06/2008 19:59:52
C:\WINDOWS\System32\drivers\rmcast.sys -->08/05/2008 14:28:49

C:\WINDOWS\System32\wpa.dbl -->22/08/2008 10:30:39
C:\WINDOWS\System32\perfh00C.dat -->14/08/2008 09:21:41
C:\WINDOWS\System32\perfh009.dat -->14/08/2008 09:21:41
C:\WINDOWS\System32\perfc00C.dat -->14/08/2008 09:21:41
C:\WINDOWS\System32\perfc009.dat -->14/08/2008 09:21:40
C:\WINDOWS\System32\PerfStringBackup.INI -->14/08/2008 09:21:39
C:\WINDOWS\System32\TZLog.log -->13/08/2008 17:58:50
C:\WINDOWS\System32\MRT.exe -->05/08/2008 20:11:01
C:\WINDOWS\System32\tzchange.exe -->14/07/2008 13:09:18
C:\WINDOWS\System32\jupdate-1.6.0_07-b06.log -->11/07/2008 15:55:13
C:\WINDOWS\System32\FNTCACHE.DAT -->11/07/2008 09:05:38
C:\WINDOWS\System32\es.dll -->07/07/2008 22:31:48
C:\WINDOWS\System32\mscms.dll -->24/06/2008 18:23:56
C:\WINDOWS\System32\mshtml.dll -->24/06/2008 10:28:24
C:\WINDOWS\System32\wininet.dll -->23/06/2008 18:28:23
C:\WINDOWS\System32\webcheck.dll -->23/06/2008 18:28:23
C:\WINDOWS\System32\urlmon.dll -->23/06/2008 18:28:23
C:\WINDOWS\System32\url.dll -->23/06/2008 18:28:22
C:\WINDOWS\System32\pngfilt.dll -->23/06/2008 18:28:22
C:\WINDOWS\System32\occache.dll -->23/06/2008 18:28:22
C:\WINDOWS\System32\mstime.dll -->23/06/2008 18:28:22
C:\WINDOWS\System32\msrating.dll -->23/06/2008 18:28:22
C:\WINDOWS\System32\mshtmled.dll -->23/06/2008 18:28:22
C:\WINDOWS\System32\msfeedsbs.dll -->23/06/2008 18:28:20
C:\WINDOWS\System32\msfeeds.dll -->23/06/2008 18:28:20

C:\WINDOWS\0.log -->22/08/2008 10:30:34
C:\WINDOWS\bootstat.dat -->22/08/2008 10:30:00
C:\WINDOWS\ntbtlog.txt -->22/08/2008 10:27:06
C:\WINDOWS\SchedLgU.Txt -->22/08/2008 10:23:48
C:\WINDOWS\WindowsUpdate.log -->22/08/2008 10:23:32
C:\WINDOWS\setupapi.log -->20/08/2008 16:43:07
C:\WINDOWS\wiaservc.log -->19/08/2008 18:12:26
C:\WINDOWS\wiadebug.log -->19/08/2008 18:12:26
C:\WINDOWS\KB909394.log -->18/08/2008 14:41:08
C:\WINDOWS\KB894476.log -->18/08/2008 14:40:36
C:\WINDOWS\tsoc.log -->13/08/2008 18:01:00
C:\WINDOWS\tabletoc.log -->13/08/2008 18:01:00
C:\WINDOWS\ocmsn.log -->13/08/2008 18:01:00
C:\WINDOWS\ocgen.log -->13/08/2008 18:01:00
C:\WINDOWS\ntdtcsetup.log -->13/08/2008 18:01:00

winlogon.exe
Verified: Signed
svchost.exe
Verified: Signed
ws2_32.dll
Verified: Signed
user32.dll
Verified: Signed
tcpip.sys
Verified: Signed
ndis.sys
Verified: Signed
null.sys
Verified: Signed


ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
explorer.exe pid: 1548
Command line: C:\WINDOWS\Explorer.EXE

Base Size Version Path
0x44080000 0xd0000 7.00.6000.16705 C:\WINDOWS\system32\WININET.dll
0x00400000 0x9000 6.00.5441.0000 C:\WINDOWS\system32\Normaliz.dll
0x43e00000 0x45000 7.00.6000.16705 C:\WINDOWS\system32\iertutil.dll
0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\comctl32.dll
0x6bd00000 0xd000 0.01.0002.0003 C:\WINDOWS\system32\SYNCOR11.DLL
0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL
0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll
0x44160000 0x127000 7.00.6000.16705 C:\WINDOWS\system32\urlmon.dll
0x44360000 0x5cd000 7.00.6000.16705 C:\WINDOWS\system32\ieframe.dll
0x074a0000 0x13000 10.00.0000.3646 C:\PROGRA~1\WINDOW~1\wmpband.dll
0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL
0x7d200000 0x2be000 3.01.4000.4039 C:\WINDOWS\system32\msi.dll
0x442b0000 0x3c000 7.00.6000.16705 C:\WINDOWS\system32\webcheck.dll
0x10000000 0x1c000 7.00.0000.0000 C:\Program Files\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll
0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll
0x02ec0000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
0x7c340000 0x56000 7.10.3052.0004 C:\WINDOWS\system32\MSVCR71.dll
0x7c3a0000 0x7b000 7.10.3077.0000 C:\WINDOWS\system32\MSVCP71.dll
0x51440000 0x4e000 10.00.0002.2000 C:\Program Files\Symantec AntiVirus\Cliproxy.dll
0x51800000 0xd000 10.00.0002.2000 C:\Program Files\Symantec AntiVirus\NAVNTUTL.DLL
0x325c0000 0x12000 11.00.5510.0000 C:\Program Files\Microsoft Office\OFFICE11\msohev.dll

ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
winlogon.exe pid: 1172
Command line: winlogon.exe

Base Size Version Path
0x01000000 0x81000 \??\C:\WINDOWS\system32\winlogon.exe
0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\COMCTL32.dll
0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll
0x20000000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
0x6bd00000 0xd000 0.01.0002.0003 C:\WINDOWS\system32\SYNCOR11.DLL
0x012c0000 0x3b000 1.07.0018.0005 C:\WINDOWS\system32\WgaLogon.dll
0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL
0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll
0x51650000 0xd000 10.00.0002.2000 C:\WINDOWS\system32\NavLogon.dll


Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 59C2-7D5E

Répertoire de C:\WINDOWS\system32

05/08/2004 04:00 6 144 csrss.exe
1 fichier(s) 6 144 octets
0 Rép(s) 69 227 565 056 octets libres

Contenu de Downloaded Program Files
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 59C2-7D5E

Répertoire de C:\WINDOWS\Downloaded Program Files

25/07/2008 11:45 <REP> .
25/07/2008 11:45 <REP> ..
16/08/2004 05:22 65 desktop.ini
20/11/2007 17:04 1 523 536 FP_AX_CAB_INSTALLER.exe
28/02/2007 20:24 361 OGAControl.inf
20/06/2005 10:11 1 768 ScriptX.inf
20/06/2005 10:11 670 ScriptX.osd
31/01/2006 11:50 289 setup.inf
20/11/2007 16:50 247 swflash.inf
31/01/2006 11:50 4 010 331 x_mikone.ocx
8 fichier(s) 5 537 267 octets

Total des fichiers listés :
8 fichier(s) 5 537 267 octets
2 Rép(s) 69 227 565 056 octets libres

Recherche de rootkit! (Merci S!Ri)

Recherche d'infections connues

Export des clefs sensibles..


Liste des fichiers en exception sur le pare-feu XP SP2

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"="C:\\Program Files\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe:*:Enabled:BlueSoleil"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Internet Explorer\\iexplore.exe"="C:\\Program Files\\Internet Explorer\\iexplore.exe:*:Enabled:Internet Explorer"
"C:\\WINDOWS\\system32\\dllhost.exe"="C:\\WINDOWS\\system32\\dllhost.exe:*:Enabled:COM Surrogate"
"C:\\Program Files\\Azureus\\Azureus.exe"="C:\\Program Files\\Azureus\\Azureus.exe:*:Enabled:Azureus"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"
"C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"
"C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"
"C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"
"C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"

Export de la clef SharedTaskScheduler

[SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"



exports des policies
REGEDIT4

[system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001



Export des clefs sensibles..
Rechercher adresses sensibles dans le fichier HOSTS...
catchme 0.3.1351 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-22 10:47:45
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden services & system hive ...

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
"TracesProcessed"=dword:000001cc

scanning hidden files ...

scan completed successfully
hidden services: 0
hidden files: 0


KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Process list by traversal of KiWaitListHead

4 - System
184 - spoolsv.exe
512 - BTNtService.exe
568 - MDM.EXE
704 - Rtvscan.exe
1148 - csrss.exe
1172 - winlogon.exe
1216 - services.exe
1228 - lsass.exe
1380 - svchost.exe
1476 - svchost.exe
1548 - explorer.exe
1564 - svchost.exe
1596 - alg.exe
1664 - svchost.exe
1752 - svchost.exe
3368 - ccApp.exe
3388 - VPTray.exe
3508 - GoogleToolbarNo
3540 - ctfmon.exe
3556 - wcescomm.exe
4080 - cmd.exe

Total number of processes = 22
NOTE: Under WinXP, this will not show all processes.

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Driver/Module list by traversal of PsLoadedModuleList

804D7000 - \WINDOWS\system32\ntoskrnl.exe
806FD000 - \WINDOWS\system32\hal.dll
F8A41000 - \WINDOWS\system32\KDCOM.DLL
F8951000 - \WINDOWS\system32\BOOTVID.dll
F84F1000 - ACPI.sys
F8A43000 - \WINDOWS\system32\DRIVERS\WMILIB.SYS
F84E0000 - pci.sys
F8541000 - isapnp.sys
F8B09000 - pciide.sys
F87C1000 - \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
F8551000 - MountMgr.sys
F84C1000 - ftdisk.sys
F8A45000 - dmload.sys
F849B000 - dmio.sys
F87C9000 - PartMgr.sys
F8561000 - VolSnap.sys
F8483000 - atapi.sys
F8571000 - disk.sys
F8581000 - \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
F8463000 - fltMgr.sys
F8451000 - sr.sys
F843A000 - KSecDD.sys
F83AD000 - Ntfs.sys
F8380000 - NDIS.sys
F8365000 - Mup.sys
F87D1000 - BTHidMgr.sys
F8265000 - \SystemRoot\system32\DRIVERS\ialmnt5.sys
F8251000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
F8222000 - \SystemRoot\system32\DRIVERS\b57xp32.sys
F8819000 - \SystemRoot\system32\DRIVERS\usbuhci.sys
F81FF000 - \SystemRoot\system32\DRIVERS\USBPORT.SYS
F8821000 - \SystemRoot\system32\DRIVERS\usbehci.sys
F8169000 - \SystemRoot\system32\drivers\smwdm.sys
F8145000 - \SystemRoot\system32\drivers\portcls.sys
F85A1000 - \SystemRoot\system32\drivers\drmk.sys
F8122000 - \SystemRoot\system32\drivers\ks.sys
F810A000 - \SystemRoot\system32\drivers\aeaudio.sys
F8849000 - \SystemRoot\system32\DRIVERS\mouclass.sys
F8859000 - \SystemRoot\system32\DRIVERS\kbdclass.sys
F80F6000 - \SystemRoot\system32\DRIVERS\parport.sys
F80E5000 - \SystemRoot\system32\DRIVERS\serial.sys
F89ED000 - \SystemRoot\system32\DRIVERS\serenum.sys
F8869000 - \SystemRoot\system32\DRIVERS\fdc.sys
F85C1000 - \SystemRoot\system32\DRIVERS\cdrom.sys
F85D1000 - \SystemRoot\system32\DRIVERS\redbook.sys
F85E1000 - \SystemRoot\system32\DRIVERS\intelppm.sys
F89F5000 - \SystemRoot\system32\DRIVERS\wmiacpi.sys
F85F1000 - \SystemRoot\System32\Drivers\VcommMgr.sys
F89FD000 - \SystemRoot\system32\DRIVERS\vbtenum.sys
F8891000 - \SystemRoot\system32\DRIVERS\blueletaudio.sys
F8BD0000 - \SystemRoot\system32\DRIVERS\audstub.sys
F8A4F000 - \SystemRoot\System32\Drivers\RootMdm.sys
F88A1000 - \SystemRoot\System32\Drivers\Modem.SYS
F8601000 - \SystemRoot\system32\DRIVERS\rasl2tp.sys
F8A05000 - \SystemRoot\system32\DRIVERS\ndistapi.sys
F80CE000 - \SystemRoot\system32\DRIVERS\ndiswan.sys
F8611000 - \SystemRoot\system32\DRIVERS\raspppoe.sys
F8621000 - \SystemRoot\system32\DRIVERS\raspptp.sys
F88C1000 - \SystemRoot\system32\DRIVERS\TDI.SYS
F80BD000 - \SystemRoot\system32\DRIVERS\psched.sys
F8631000 - \SystemRoot\system32\DRIVERS\msgpc.sys
F88D1000 - \SystemRoot\system32\DRIVERS\ptilink.sys
F88E1000 - \SystemRoot\system32\DRIVERS\raspti.sys
F88F1000 - \SystemRoot\system32\DRIVERS\VComm.sys
F8064000 - \SystemRoot\system32\DRIVERS\rdpdr.sys
F8641000 - \SystemRoot\system32\DRIVERS\termdd.sys
F8A55000 - \SystemRoot\system32\DRIVERS\swenum.sys
F8A29000 - \SystemRoot\system32\DRIVERS\mssmbios.sys
F8661000 - \SystemRoot\System32\Drivers\NDProxy.SYS
F8691000 - \SystemRoot\system32\DRIVERS\usbhub.sys
F8A5B000 - \SystemRoot\system32\DRIVERS\USBD.SYS
AAE78000 - \??\C:\Program Files\Symantec AntiVirus\savrt.sys
AAE56000 - \??\C:\Program Files\Symantec\SYMEVENT.SYS
AAE42000 - \??\C:\Program Files\Symantec AntiVirus\Savrtpel.sys
F80A5000 - \SystemRoot\system32\DRIVERS\hidusb.sys
F86A1000 - \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
F8921000 - \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
F8931000 - \SystemRoot\system32\DRIVERS\USBSTOR.SYS
F80A1000 - \SystemRoot\system32\DRIVERS\mouhid.sys
F809D000 - \SystemRoot\system32\DRIVERS\kbdhid.sys
F8A63000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS
F8C5B000 - \SystemRoot\System32\Drivers\Null.SYS
F8A65000 - \SystemRoot\System32\Drivers\Beep.SYS
F86C1000 - \SystemRoot\system32\DRIVERS\i8042prt.sys
F8949000 - \SystemRoot\System32\drivers\vga.sys
F8A67000 - \SystemRoot\System32\Drivers\mnmdd.SYS
F8A69000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys
F87E1000 - \SystemRoot\System32\Drivers\Msfs.SYS
F8811000 - \SystemRoot\System32\Drivers\Npfs.SYS
AAFB8000 - \SystemRoot\system32\DRIVERS\rasacd.sys
AACFE000 - \SystemRoot\system32\DRIVERS\ipsec.sys
AACA6000 - \SystemRoot\system32\DRIVERS\tcpip.sys
AAC6B000 - \SystemRoot\System32\Drivers\SYMTDI.SYS
AAC4A000 - \SystemRoot\system32\DRIVERS\ipnat.sys
F86D1000 - \SystemRoot\system32\DRIVERS\wanarp.sys
AAC22000 - \SystemRoot\system32\DRIVERS\netbt.sys
AAC00000 - \SystemRoot\System32\drivers\afd.sys
F86E1000 - \SystemRoot\system32\DRIVERS\netbios.sys
AABD5000 - \SystemRoot\system32\DRIVERS\rdbss.sys
AAB66000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys
F8731000 - \SystemRoot\System32\Drivers\Fips.SYS
AAB08000 - \??\C:\Program Files\Fichiers communs\Symantec Shared\EENGINE\eeCtrl.sys
AAAEC000 - \??\C:\Program Files\Fichiers communs\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys
AAAC9000 - \SystemRoot\System32\Drivers\Fastfat.SYS
AAAB1000 - \SystemRoot\System32\Drivers\dump_atapi.sys
F8A77000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS
BF800000 - \SystemRoot\System32\win32k.sys
AAF8C000 - \SystemRoot\System32\drivers\Dxapi.sys
F88C9000 - \SystemRoot\System32\watchdog.sys
BF9C3000 - \SystemRoot\System32\drivers\dxg.sys
F8BF2000 - \SystemRoot\System32\drivers\dxgthk.sys
BF9E3000 - \SystemRoot\System32\ialmdnt5.dll
BF9D5000 - \SystemRoot\System32\ialmrnt5.dll
BFA02000 - \SystemRoot\System32\ialmdev5.DLL
BFA28000 - \SystemRoot\System32\ialmdd5.DLL
AA9A9000 - \SystemRoot\system32\DRIVERS\ndisuio.sys
AA5C4000 - \SystemRoot\system32\drivers\wdmaud.sys
AA6F9000 - \SystemRoot\system32\drivers\sysaudio.sys
AA3DA000 - \SystemRoot\system32\DRIVERS\mrxdav.sys
AA248000 - \SystemRoot\system32\DRIVERS\srv.sys
A9EA4000 - \??\C:\PROGRA~1\FICHIE~1\SYMANT~1\VIRUSD~1\20080820.016\navex15.sys
A9E8F000 - \??\C:\PROGRA~1\FICHIE~1\SYMANT~1\VIRUSD~1\20080820.016\naveng.sys
F88F9000 - \??\C:\DOCUME~1\COMPTA~1\LOCALS~1\Temp\catchme.sys
AA170000 - \SystemRoot\System32\Drivers\SYMREDRV.SYS
A9C46000 - \SystemRoot\System32\Drivers\HTTP.sys
A9973000 - \SystemRoot\system32\drivers\kmixer.sys
F8B11000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

Total number of drivers = 127

Liste des programmes installes

Adobe Flash Player ActiveX
Adobe Reader 7.1.0 - Français
Adobe Reader for Pocket PC 2.0
Adobe Reader for Pocket PC 2.0
ADP KCML Client 06.20
Apple Software Update
Archiveur WinRAR
Assistant de connexion Windows Live
BlueSoleil
Broadcom Management Programs
Broadcom Management Programs
Compatibility Pack for the 2007 Office system
Correctif pour Windows Internet Explorer 7 (KB947864)
Correctif pour Windows XP (KB952287)
Correctif Windows XP - KB886199
Désinstallation du logiciel d'imprimante Lexmark
Google Toolbar for Internet Explorer
HijackThis 2.0.2
HP Help and Support
HP Safety and Comfort Guide
Intel(R) Graphics Media Accelerator Driver
InterVideo WinDVD
J2SE Runtime Environment 5.0
Java(TM) 6 Update 3
Java(TM) 6 Update 5
Java(TM) 6 Update 7
K-Lite Codec Pack 3.2.5 Full
Kerridge KCML Client
Lecteur Windows Media 10
LiveUpdate 2.6 (Symantec Corporation)
Malwarebytes' Anti-Malware
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 French Language Pack
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft ActiveSync
Microsoft Office Small Business Edition 2003
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB928090)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB929969)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB931768)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB933566)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB937143)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB938127)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB939653)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB942615)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB944533)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB950759)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB953838)
Mise à jour de sécurité pour Windows XP (KB913433)
Mise à jour de sécurité pour Windows XP (KB946648)
Mise à jour de sécurité pour Windows XP (KB950974)
Mise à jour de sécurité pour Windows XP (KB951066)
Mise à jour de sécurité pour Windows XP (KB952954)
Mise à jour de sécurité pour Windows XP (KB953839)
Mise à jour pour Windows XP (KB951072-v2)
Pdf995
PokerStars
QuickTime
RegSupreme 1.4
RUMBA
Security Update for CAPICOM (KB931906)
Security Update for CAPICOM (KB931906)
Software Setup
SoundMAX
Symantec AntiVirus
Voice Notes Recorder for Pocket PC 2003
WebFldrs XP
Windows Genuine Advantage Notifications (KB905474)
Windows Internet Explorer 7
Windows Live installer
Windows Live Messenger
Windows Media Format Runtime



Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 59C2-7D5E

Répertoire de C:\Program Files

22/08/2008 10:18 <REP> .
22/08/2008 10:18 <REP> ..
28/12/2007 16:12 <REP> Adobe
28/12/2007 11:52 <REP> Alexander Zavorine
26/05/2006 08:58 <REP> Altiris
26/05/2006 08:58 <REP> Analog Devices
30/04/2008 17:49 <REP> Apple Software Update
10/08/2007 17:02 <REP> Azureus
26/05/2006 08:58 <REP> Broadcom
26/05/2006 08:58 <REP> Compaq
26/05/2006 08:58 <REP> ComPlus Applications
23/05/2008 10:10 <REP> Fichiers communs
29/01/2007 10:01 <REP> Google
26/05/2006 08:58 <REP> HPQ
13/08/2008 17:58 <REP> Internet Explorer
26/05/2006 08:58 <REP> InterVideo
14/09/2006 18:13 <REP> IVT Corporation
11/07/2008 15:55 <REP> Java
15/10/2007 18:13 <REP> K-Lite Codec Pack
04/12/2006 16:35 <REP> Lexmark
22/08/2008 10:13 <REP> Malwarebytes' Anti-Malware
13/08/2008 18:00 <REP> Messenger
18/08/2008 14:40 <REP> Microsoft ActiveSync
08/01/2008 19:26 <REP> Microsoft CAPICOM 2.1.0.2
26/05/2006 08:58 <REP> microsoft frontpage
10/07/2008 11:16 <REP> Microsoft Office
26/05/2006 00:26 <REP> Microsoft Visual Studio
25/06/2008 18:28 <REP> Microsoft Works
26/05/2006 00:26 <REP> Microsoft.NET
26/05/2006 08:58 <REP> Movie Maker
10/07/2008 11:16 <REP> MSECache
26/05/2006 08:58 <REP> MSN
26/05/2006 08:58 <REP> MSN Gaming Zone
26/05/2006 10:06 <REP> NetManage
26/05/2006 08:58 <REP> NetMeeting
26/05/2006 08:58 <REP> Online Services
18/06/2007 18:09 <REP> Outlook Express
23/03/2007 10:25 <REP> pdf995
05/06/2008 13:48 <REP> PokerStars
30/04/2008 17:51 <REP> QuickTime
26/05/2006 00:09 <REP> Raccourcis de programmes
21/08/2006 09:34 <REP> RegSupreme
26/05/2006 08:58 <REP> Services en ligne
22/08/2008 10:09 <REP> Spybot - Search & Destroy
26/05/2006 10:13 <REP> Symantec
22/08/2008 10:30 <REP> Symantec AntiVirus
22/08/2008 09:53 <REP> Trend Micro
29/07/2008 12:04 <REP> Unlocker
07/01/2008 14:53 <REP> Windows Live
31/10/2006 09:16 <REP> Windows Media Player
26/05/2006 08:58 <REP> Windows NT
25/07/2007 10:51 <REP> WinRAR
26/05/2006 08:58 <REP> xerox
0 fichier(s) 0 octets
53 Rép(s) 69 214 732 288 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 59C2-7D5E

Répertoire de C:\Program Files\fichiers communs

23/05/2008 10:10 <REP> .
23/05/2008 10:10 <REP> ..
23/05/2008 10:11 <REP> Adobe
26/05/2006 00:26 <REP> DESIGNER
26/05/2006 08:58 <REP> InstallShield
26/05/2006 08:58 <REP> Java
10/07/2008 11:16 <REP> Microsoft Shared
26/05/2006 08:58 <REP> MSSoap
26/05/2006 08:58 <REP> ODBC
26/05/2006 08:58 <REP> Services
26/05/2006 08:58 <REP> SpeechEngines
26/05/2006 10:14 <REP> Symantec Shared
18/06/2007 18:09 <REP> System
0 fichier(s) 0 octets
13 Rép(s) 69 214 728 192 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 59C2-7D5E

Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

25/06/2008 18:28 <REP> .
25/06/2008 18:28 <REP> ..
26/05/2006 00:26 <REP> 1033
25/06/2008 18:28 <REP> 1036
20/09/2005 12:33 1 293 008 MSONSEXT.DLL
22/03/2007 19:29 39 256 MSOSV.DLL
03/06/1999 07:09 122 937 MSOWS409.DLL
07/03/2001 02:00 127 033 MSOWS40c.DLL
11/07/2003 02:25 80 448 PKMWS.DLL
5 fichier(s) 1 662 682 octets
4 Rép(s) 69 214 728 192 octets libres




c:\Documents and Settings\Comptabilite\Application Data\Adobe\Acrobat\7.0\Updater\AdbeRdr709_fr_FR.exe
c:\Documents and Settings\Comptabilite\Application Data\Adobe\Acrobat\7.0\Updater\AdbeRdr710_fr_FR.exe
c:\Documents and Settings\Comptabilite\Application Data\Desktopicon\eBayShortcuts.exe
c:\Documents and Settings\Comptabilite\Bureau\DiagHelp\catchme.exe
c:\Documents and Settings\Comptabilite\Bureau\DiagHelp\diff.exe
c:\Documents and Settings\Comptabilite\Bureau\DiagHelp\dumphive.exe
c:\Documents and Settings\Comptabilite\Bureau\DiagHelp\FilesInfoCmd.exe
c:\Documents and Settings\Comptabilite\Bureau\DiagHelp\find2.exe
c:\Documents and Settings\Comptabilite\Bureau\DiagHelp\Fport.exe
c:\Documents and Settings\Comptabilite\Bureau\DiagHelp\grep.exe
c:\Documents and Settings\Comptabilite\Bureau\DiagHelp\gzip.exe
c:\Documents and Settings\Comptabilite\Bureau\DiagHelp\KProcCheck.exe
c:\Documents and Settings\Comptabilite\Bureau\DiagHelp\LFiles.exe
c:\Documents and Settings\Comptabilite\Bureau\DiagHelp\LISTDLLS.exe
c:\Documents and Settings\Comptabilite\Bureau\DiagHelp\md5sums.exe
c:\Documents and Settings\Comptabilite\Bureau\DiagHelp\pslist.exe
c:\Documents and Settings\Comptabilite\Bureau\DiagHelp\sigcheck.exe
c:\Documents and Settings\Comptabilite\Bureau\DiagHelp\streams.exe
c:\Documents and Settings\Comptabilite\Bureau\DiagHelp\swreg.exe
c:\Documents and Settings\Comptabilite\Bureau\DiagHelp\tar.exe
c:\Documents and Settings\Comptabilite\Bureau\SDFix\catchme.exe
c:\Documents and Settings\Comptabilite\Bureau\SDFix\apps\cliptext.exe
c:\Documents and Settings\Comptabilite\Bureau\SDFix\apps\download.exe
c:\Documents and Settings\Comptabilite\Bureau\SDFix\apps\ERUNT.EXE
c:\Documents and Settings\Comptabilite\Bureau\SDFix\apps\FixPath.exe
c:\Documents and Settings\Comptabilite\Bureau\SDFix\apps\grep.exe
c:\Documents and Settings\Comptabilite\Bureau\SDFix\apps\isadmin.exe
c:\Documents and Settings\Comptabilite\Bureau\SDFix\apps\LS.exe
c:\Documents and Settings\Comptabilite\Bureau\SDFix\apps\MD5File.exe
c:\Documents and Settings\Comptabilite\Bureau\SDFix\apps\moveex.exe
c:\Documents and Settings\Comptabilite\Bureau\SDFix\apps\Process.exe
c:\Documents and Settings\Comptabilite\Bureau\SDFix\apps\procs.exe
c:\Documents and Settings\Comptabilite\Bureau\SDFix\apps\psservice.exe
c:\Documents and Settings\Comptabilite\Bureau\SDFix\apps\RestartIt!.exe
c:\Documents and Settings\Comptabilite\Bureau\SDFix\apps\sc.exe
c:\Documents and Settings\Comptabilite\Bureau\SDFix\apps\sed.exe
c:\Documents and Settings\Comptabilite\Bureau\SDFix\apps\SF.exe
c:\Documents and Settings\Comptabilite\Bureau\SDFix\apps\shutdown.exe
c:\Documents and Settings\Comptabilite\Bureau\SDFix\apps\swreg.exe
c:\Documents and Settings\Comptabilite\Bureau\SDFix\apps\swsc.exe
c:\Documents and Settings\Comptabilite\Bureau\SDFix\apps\unzip.exe
c:\Documents and Settings\Comptabilite\Bureau\SDFix\apps\vfind.exe
c:\Documents and Settings\Comptabilite\Bureau\SDFix\apps\WINMSG.EXE
c:\Documents and Settings\Comptabilite\Bureau\SDFix\apps\zip.exe
c:\Documents and Settings\Comptabilite\Bureau\SDFix\apps\Replace\regedit.exe
c:\Documents and Settings\Comptabilite\Bureau\SDFix\apps\Replace\W2K.exe
c:\Documents and Settings\Comptabilite\Bureau\SDFix\apps\Replace\XP.exe
c:\Documents and Settings\Comptabilite\Local Settings\Temporary Internet Files\Content.IE5\5TEB1R3A\Install[1].exe
c:\Documents and Settings\Comptabilite\Local Settings\Temporary Internet Files\Content.IE5\5TEB1R3A\SDFix[1].exe
c:\Documents and Settings\Comptabilite\Local Settings\Temporary Internet Files\Content.IE5\FSEWDHUD\HiJackThis[1].exe
c:\Documents and Settings\Comptabilite\Local Settings\Temporary Internet Files\Content.IE5\RGWH21V2\mbam-setup[1].exe
c:\Documents and Settings\Comptabilite\Local Settings\Temporary Internet Files\Content.IE5\YC44H3E9\HJTInstall[1].exe
c:\Documents and Settings\Comptabilite\Mes documents\FileFormatConverters.exe
c:\Documents and Settings\Comptabilite\Mes documents\Open Office.org Vers.2.3.1.exe
c:\Documents and Settings\Comptabilite\Mes documents\OUTILS\Argumentaire.exe
c:\Documents and Settings\Comptabilite\Mes documents\Perso\MsgPlusLive-450.exe
c:\Documents and Settings\Comptabilite\Mes documents\Perso\Crack winrar\WinRAR 3.51 Multilangual Patch.exe
c:\Documents and Settings\Comptabilite\Mes documents\Perso\Perso\activesync_activesync_4.2_francais_11338.exe
c:\Documents and Settings\Comptabilite\Mes documents\Perso\Perso\Azureus_2.5.0.4a_Win32.setup.exe
c:\Documents and Settings\Comptabilite\Mes documents\Perso\Perso\eraser_eraser_5.82_anglais_11144.exe
c:\Documents and Settings\Comptabilite\Mes documents\Perso\Perso\everest_everest_2.20_francais_12281.exe
c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll

****** Fin du rapport DiagHelp
Veuillez svp envoyer le fichier C:\upload_moi_W120013.tar.gz a l'adresse http://upload.malekal.com
0
Réponse 8 / 12
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
22 août 2008 à 10:53
Bien ... tes log sont propre ...

Dis moi ... As tu utilisé Malwarebytes ce matin ?
0
Réponse 9 / 12
lindorie Messages postés 16 Date d'inscription jeudi 31 juillet 2008 Statut Membre Dernière intervention 22 août 2008
22 août 2008 à 10:54
heu oui je plaide coupable!!!
fallait ps???
MERCI BCP DE TON AIDE!!!
0
Réponse 10 / 12
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
22 août 2008 à 10:57
Ben il y avais infection sur ton 1er log et après pouff ... plus rien ...

heu oui je plaide coupable!!!
fallait ps???
--> il faut juste me le dire lol =)

Peux tu poster le rapport du scan :

le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date) .
0
Réponse 11 / 12
lindorie Messages postés 16 Date d'inscription jeudi 31 juillet 2008 Statut Membre Dernière intervention 22 août 2008
22 août 2008 à 11:04
Malwarebytes' Anti-Malware 1.25
Version de la base de données: 1076
Windows 5.1.2600 Service Pack 2

10:18:41 22/08/2008
mbam-log-08-22-2008 (10-18-41).txt

Type de recherche: Examen rapide
Eléments examinés: 44948
Temps écoulé: 4 minute(s), 4 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
C:\Program Files\Microsoft Common (Trojan.Agent) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\Program Files\Microsoft Common\wuauclt.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\phcvmvj0e5tc.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.

et excuse moi d'avoir pris des initiatives sans t'avoir preciser!!!
SORRY

et merci encore
0
Réponse 12 / 12
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
22 août 2008 à 11:08
bien ... tu as fais un scan "rapide" et en mode "normal" ...

donc reprends ainsi :

Ouvres malwarebytes et supprimes tout ce qu'il y a dans sa quarantaine .

Mets le à jours .

Impératif : redémarres en mode sans échec :
Comment aller en Mode sans échec
1) Redémarres ton ordi
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisis la première option : Sans Échec, et valide avec "Entrée"
5) Choisis ton compte habituel, et non Administrateur (si besoin ... )
(attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreurs ...)

Lances Malwarebyte's .

Fais un scan dit "complet" ( sélectionnes bien tout tes disks avant le scan ) et supprimes tout ce qu'il peut trouver, c.a.d :
--->une fois le scan terminé , click sur "résultat" : puis vérifies que tous les objets infectés soient validés, puis click sur " suppression " .

Redémarres ton PC ( mode normal ).

Postes le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date) accompagné d'un nouvel hijackthis ( fait en mode normal ) ...
0

Discussions similaires

Virus détecté
Koony -
MisteryBean -

6 réponses
infecté par des virus
Lisy59120 -
Lisy59120 -

5 réponses
Trojan alerte
Titou43 -
gen-hackman -

23 réponses
y a t'il des virus qu'avast ne detecte pas
davivid -
Utilisateur anonyme -

24 réponses
Virus non détecté par mon anti-virus ?
F2L -
cabrier -

12 réponses