Sujet Précédent Sujet Suivant

Antivir xp 2008

Fermé
logoden - 23 août 2008 à 17:11
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 - 24 août 2008 à 20:24
Merci pour votre aide a tous

Alors Smitfraudfix ok

Rapport après recherche :

SmitFraudFix v2.339

Rapport fait à 16:55:43,03, 23/08/2008
Executé à partir de C:\Documents and Settings\kat\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\kat\Bureau\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\tdssservers.dat détecté, utilisez un scanner de Rootkit
C:\WINDOWS\system32\tdssadw.dll détecté, utilisez un scanner de Rootkit
C:\WINDOWS\system32\tdssinit.dll détecté, utilisez un scanner de Rootkit
C:\WINDOWS\system32\tdssl.dll détecté, utilisez un scanner de Rootkit
C:\WINDOWS\system32\tdsslog.dll détecté, utilisez un scanner de Rootkit
C:\WINDOWS\system32\tdssmain.dll détecté, utilisez un scanner de Rootkit
C:\WINDOWS\system32\drivers\tdssserv.sys détecté, utilisez un scanner de Rootkit

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\kat


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\kat\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\kat\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!



»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,C:\\WINDOWS\\system32\\oembios.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{147BD2D0-3094-4864-8333-1946BDF02243}: NameServer=212.27.54.252,212.27.53.252
HKLM\SYSTEM\CS1\Services\Tcpip\..\{147BD2D0-3094-4864-8333-1946BDF02243}: NameServer=212.27.54.252,212.27.53.252
HKLM\SYSTEM\CS2\Services\Tcpip\..\{147BD2D0-3094-4864-8333-1946BDF02243}: NameServer=212.27.54.252,212.27.53.252


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin




voila le rapport après nettoyage :

SmitFraudFix v2.339

Rapport fait à 17:00:37,43, 23/08/2008
Executé à partir de C:\Documents and Settings\kat\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{147BD2D0-3094-4864-8333-1946BDF02243}: NameServer=212.27.54.252,212.27.53.252
HKLM\SYSTEM\CS1\Services\Tcpip\..\{147BD2D0-3094-4864-8333-1946BDF02243}: NameServer=212.27.54.252,212.27.53.252
HKLM\SYSTEM\CS2\Services\Tcpip\..\{147BD2D0-3094-4864-8333-1946BDF02243}: NameServer=212.27.54.252,212.27.53.252


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin


Je viens de lancer Toolbar
A voir également:

53 réponses

Précédent
Réponse 21 / 53
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
23 août 2008 à 22:45
Et après redémarrage ?
0
Réponse 22 / 53
ep44 Messages postés 7393 Date d'inscription samedi 10 novembre 2007 Statut Contributeur Dernière intervention 11 novembre 2010 3
23 août 2008 à 22:50
Bon on essaye quelque chose :)

1/ Télécharge The Avenger par Swandog46 sur votre Bureau.
The avenger =>http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/

2/ Copie tout le texte en gras ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):

Files to Delete:

C:\WINDOWS\system32\tdssservers.dat
C:\WINDOWS\system32\tdssadw.dll
C:\WINDOWS\system32\tdssinit.dll
C:\WINDOWS\system32\tdssl.dll
C:\WINDOWS\system32\tdsslog.dll
C:\WINDOWS\system32\tdssmain.dll
C:\WINDOWS\system32\drivers\tdssserv.sys 


Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.


3/ Maintenant, lance The Avenger en cliquant sur son icône du Bureau.
Cet écran apparait :
http://pix.nofrag.com/2/0/c/22741c76a297e69cf88c226dfa93c.html

Clique sur le bouton montré avec la flèche et choisis Execute.

Renommer (The Avenger) va automatiquement faire ce qui suit:

4/ * Il va Re-démarrer le système. ( Dans les cas où le script contient un/des "Drivers to Unload", The Avenger re-démarrera votre système 2 fois.)
* Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur votre bureau, ceci est NORMAL.
* Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
* The Avenger aura également sauvegardé tous les fichiers, etc., que vous lui avez demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.

5. Pour finir copier/coller le contenu du ficher c:\avenger.txt.


@+
0
Réponse 23 / 53
logoden
23 août 2008 à 22:56
Destrio5 , apreès redemarrage et en mode normal j'ai un message qui me dit que je sais plus quel fichier n'est pas une image valide et apre message disant que le system recupere d'une erreur serieuse. apres le pc se coupe.


Ep44, j'essaie de suite the avanger

Merci pour votre patience tous les 2 ;)
0
Réponse 24 / 53
logoden
23 août 2008 à 23:08
Ep44, quand je clique sur execute, j'ai le message d'erreur suivant :

"Error : invalid script. a valid script must begin with a command directive. aborting execution"


Je fais toutes ces manip en mode sans echec car si je reviens en mode normal, le pc reboot au bout de 2 minutes apres les messages d'erreur mentionnés ci dessus
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 53
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
23 août 2008 à 23:14
Ça ne fonctionnerait pas mieux avec le script suivant ?

Files to delete:
%windir%\system32\tdssservers.dat
%windir%\system32\tdssadw.dll
%windir%\system32\tdssinit.dll
%windir%\system32\tdssl.dll
%windir%\system32\tdsslog.dll
%windir%\system32\tdssmain.dll
%windir%\system32\drivers\tdssserv.sys
0
Réponse 26 / 53
logoden
23 août 2008 à 23:20
Non destrio j'ai le meme message
0
Réponse 27 / 53
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
23 août 2008 à 23:27
Réessaie ComboFix le temps que ep44 revienne.
0
Réponse 28 / 53
logoden
23 août 2008 à 23:35
Pour combofix Pas de changeemnt : des que je le lance j'ai la barre d'avanaceement puis plus rien : 2 bip et le pc reboot .
Au redemarrage, combofix se relance, barre de défilement, puis plus rien
0
Réponse 29 / 53
ep44 Messages postés 7393 Date d'inscription samedi 10 novembre 2007 Statut Contributeur Dernière intervention 11 novembre 2010 3
23 août 2008 à 23:36
Bon je viens de voir que sdfix devrait régler ce soucis

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec

------
= Redémarre en mode Sans Échec (le démarrage peut prendre plusieurs minutes)
Attention, pas d’accès à internet dans ce mode. Enregistre ou imprime les consignes.

Relance le Pc et tapote la touche F8 ( ou F5 pour certains) , jusqu’à l’apparition des inscriptions avec choix de démarrage
Avec les touches « flèches », sélectionne Mode sans échec ==> entrée ==>nom utilisateur habituel
-------

= Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
= Appuie sur Y pour commencer le processus de nettoyage.
= Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
= Appuie sur une touche pour redémarrer le PC.
= Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
= Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
= Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
= Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
= Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse

Si SDFix ne se lance pas
Clique sur Démarrer > Exécuter
Copie/colle ceci :
%systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe


Clique sur Ok.
Redémarre et essaie de relancer SDFix.
@+

0
Réponse 30 / 53
logoden
24 août 2008 à 00:01
J'ai dans ma fenetre dos un message qui me fait penser a un message d'erreur : grep isq : no such file or directory

Est ce normal ?
0
Réponse 31 / 53
logoden
24 août 2008 à 00:51
je file me coucher, j'ai lancer lapplication, je vous donnerai le rapport demain, en esperant que vous serez encore là.

Merci beaucoup
0
Réponse 32 / 53
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
24 août 2008 à 00:54
Ok.
0
Réponse 33 / 53
logoden
24 août 2008 à 12:23
Il semblerait que tout soit revenu a la normal. j'ai enfin pu lancer mbma et combix ce matin. voila les raports correspondants :

Rapport combofix :

ComboFix 08-08-23.03 - kat 2008-08-24 11:56:26.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.504 [GMT 2:00]
Endroit: I:\ComboFix.exe
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_TDSSSERV
-------\Service_tdssserv


((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-07-24 to 2008-08-24 ))))))))))))))))))))))))))))))))))))
.

2008-08-24 00:07 . 2008-08-24 00:07 579,584 --a--c--- C:\WINDOWS\system32\dllcache\user32.dll
2008-08-23 23:48 . 2008-08-23 23:48 <REP> d-------- C:\WINDOWS\erunt
2008-08-23 23:47 . 2008-08-23 23:55 <REP> d-------- C:\SDFix
2008-08-23 22:31 . 2008-08-23 22:31 <REP> d-------- C:\_OTMoveIt
2008-08-23 20:17 . 2008-08-23 20:17 12,175,237 --a------ C:\upload_moi_PC-KAT.tar.gz
2008-08-23 17:45 . 2008-08-24 10:39 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-08-23 17:45 . 2008-08-17 15:01 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-23 17:45 . 2008-08-17 15:01 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-23 17:08 . 2008-08-23 21:09 3,352 --a------ C:\Documents and Settings\Orph.egd
2008-08-23 17:06 . 2008-08-23 21:14 <REP> d-------- C:\ToolBar SD
2008-08-23 15:54 . 2008-08-23 17:03 3,494 --a------ C:\WINDOWS\system32\tmp.reg
2008-08-23 15:53 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-08-23 15:53 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-08-23 15:53 . 2008-08-21 23:41 87,552 --a------ C:\WINDOWS\system32\AntiXPVSTFix.exe
2008-08-23 15:53 . 2008-05-29 09:35 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
2008-08-23 15:53 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-08-23 15:53 . 2008-08-14 21:52 82,432 --a------ C:\WINDOWS\system32\IEDFix.C.exe
2008-08-23 15:53 . 2008-08-18 12:19 82,432 --a------ C:\WINDOWS\system32\404Fix.exe
2008-08-23 15:53 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-08-23 15:53 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-08-23 15:53 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-08-23 12:40 . 2008-08-23 12:40 <REP> d-------- C:\Documents and Settings\kat\Application Data\Malwarebytes
2008-08-23 12:40 . 2008-08-23 12:40 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-08-23 10:12 . 2008-08-23 14:59 <REP> d-------- C:\Program Files\RogueRemover FREE
2008-08-23 00:19 . 2008-08-23 00:19 <REP> d--hs---- C:\Documents and Settings\LocalService\Application Data\sysproc64
2008-08-22 21:30 . 2008-08-22 21:30 <REP> d--hs---- C:\Documents and Settings\NetworkService\Application Data\sysproc64
2008-08-22 19:58 . 2008-08-22 19:58 <REP> d-------- C:\WINDOWS\system32\config\systemprofile\Application Data\Search Settings
2008-08-22 19:57 . 2008-08-24 11:36 <REP> d--hs---- C:\WINDOWS\system32\sysproc64
2008-08-22 18:33 . 2008-08-22 18:33 <REP> d-------- C:\Program Files\Sun
2008-08-18 20:12 . 2008-05-01 16:36 331,776 -----c--- C:\WINDOWS\system32\dllcache\msadce.dll
2008-08-18 20:07 . 2008-04-11 21:05 691,712 -----c--- C:\WINDOWS\system32\dllcache\inetcomm.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-22 18:53 --------- d-----w C:\Documents and Settings\kat\Application Data\uTorrent
2008-08-22 16:32 --------- d-----w C:\Program Files\Java
2008-07-24 21:17 --------- d-----w C:\Program Files\eMule
2008-07-20 11:43 --------- d-----w C:\Documents and Settings\All Users\Application Data\Soulseek
2008-07-20 11:02 --------- d-----w C:\Program Files\SoulseekNS
2008-07-20 11:01 --------- d-----w C:\Program Files\Soulseek
2008-07-20 08:08 --------- d-----w C:\Program Files\SopCast
2008-07-06 13:13 --------- d-----w C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-07-06 11:43 --------- d-----w C:\Program Files\Alcohol Soft
2008-07-02 16:58 --------- d-----w C:\Documents and Settings\kat\Application Data\Media Player Classic
2008-07-01 20:29 --------- d-----w C:\Program Files\K-Lite Codec Pack
2008-07-01 19:49 --------- d-----w C:\Program Files\XP Codec Pack
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 04:33 15360]
"NvMediaCenter"="C:\WINDOWS\System32\NVMCTRAY.DLL" [2003-07-28 15:19 49152]
"MessengerPlus3"="C:\Program Files\MessengerPlus! 3\MsgPlus.exe" [2008-03-22 20:30 190024]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2008-04-14 04:34 1695232]
"AlcoholAutomount"="C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" [2007-12-22 09:20 222080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2003-07-28 15:19 4841472]
"StartCCC"="C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 13:17 61440]
"LVCOMSX"="C:\WINDOWS\system32\LVCOMSX.EXE" [2004-10-08 12:52 221184]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
"HTpatch"="C:\WINDOWS\htpatch.exe" [2002-10-30 11:40 28672]
"SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2002-07-12 12:15 106496]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-02-16 10:54 282624]
"nwiz"="nwiz.exe" [2003-07-28 15:19 323584 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 04:33 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.YV12"= yv12vfw.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"C:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"C:\\Program Files\\SopCast\\adv\\SopAdver.exe"=
"C:\\Program Files\\SopCast\\SopCast.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"59200:TCP"= 59200:TCP:BitComet 59200 TCP
"59200:UDP"= 59200:UDP:BitComet 59200 UDP
"25428:TCP"= 25428:TCP:Soulseek
"4661:TCP"= 4661:TCP:Emule TCP
"4665:UDP"= 4665:UDP:Emule UDP

R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 20:45]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b1f7a3ed-f830-11dc-bcec-000b6a4f5da8}]
\Shell\AutoRun\command - H:\WD_Windows_Tools\Setup.exe

*Newly Created Service* - WINIO
.
- - - - ORPHANS REMOVED - - - -

HKLM-Run-avgnt - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
HKLM-Run-Cmaudio - cmicnfg.cpl


.
------- Supplementary Scan -------
.
FireFox -: Profile - C:\Documents and Settings\kat\Application Data\Mozilla\Firefox\Profiles\jczmdmsk.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - www.google.fr
FF -: plugin - C:\Documents and Settings\All Users\Application Data\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF -: plugin - C:\Program Files\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - C:\Program Files\Mozilla Firefox\plugins\npzylomgamesplayer.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-24 12:03:04
Windows 5.1.2600 Service Pack 3 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\WI1F86~1\MESSEN~1\msnmsgr.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-08-24 12:11:12 - machine was rebooted
ComboFix-quarantined-files.txt 2008-08-24 10:11:08

Pre-Run: 32,027,107,328 octets libres
Post-Run: 31,967,895,552 octets libres

150 --- E O F --- 2008-08-18 19:06:12


Rapport mbma :

Malwarebytes' Anti-Malware 1.25
Version de la base de données: 1080
Windows 5.1.2600 Service Pack 3

11:49:04 24/08/2008
mbam-log-08-24-2008 (11-49-04).txt

Type de recherche: Examen complet (C:\|D:\|E:\|)
Eléments examinés: 90360
Temps écoulé: 1 hour(s), 7 minute(s), 24 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 5
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 12
Fichier(s) infecté(s): 12

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\rhcj37j0ee41 (Rogue.Multiple) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lphcn37j0ee41 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\smrhcj37j0ee41 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\oembios.exe -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\oembios.exe -> Delete on reboot.

Dossier(s) infecté(s):
C:\Program Files\rhcj37j0ee41 (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\kat\Application Data\rhcj37j0ee41 (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\kat\Application Data\rhcj37j0ee41\Quarantine (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\kat\Application Data\rhcj37j0ee41\Quarantine\Autorun (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\kat\Application Data\rhcj37j0ee41\Quarantine\Autorun\HKCU (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\kat\Application Data\rhcj37j0ee41\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\kat\Application Data\rhcj37j0ee41\Quarantine\Autorun\HKLM (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\kat\Application Data\rhcj37j0ee41\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\kat\Application Data\rhcj37j0ee41\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\kat\Application Data\rhcj37j0ee41\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\kat\Application Data\rhcj37j0ee41\Quarantine\BrowserObjects (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\kat\Application Data\rhcj37j0ee41\Quarantine\Packages (Rogue.Multiple) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\System Volume Information\_restore{FAD2C2DA-CF6A-42FF-8330-683CF620C078}\RP1\A0001018.dll (Trojan.Virantix) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{FAD2C2DA-CF6A-42FF-8330-683CF620C078}\RP1\A0001021.dll (Trojan.Virantix) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{FAD2C2DA-CF6A-42FF-8330-683CF620C078}\RP1\A0001022.dll (Trojan.Virantix) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tdssserf.dll (Trojan.Virantix) -> Quarantined and deleted successfully.
C:\Program Files\rhcj37j0ee41\database.dat (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Program Files\rhcj37j0ee41\license.txt (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Program Files\rhcj37j0ee41\MFC71.dll (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Program Files\rhcj37j0ee41\MFC71ENU.DLL (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Program Files\rhcj37j0ee41\msvcp71.dll (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Program Files\rhcj37j0ee41\msvcr71.dll (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Program Files\rhcj37j0ee41\rhcj37j0ee41.exe.local (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\oembios.exe (Trojan.Agent) -> Delete on reboot.
0
Réponse 34 / 53
logoden
24 août 2008 à 13:30
Je n'ai pas trouvé le dernier élément, donc voici pour le premier :

Fichier Orph.egd reçu le 2008.08.24 13:20:49 (CET)
Situation actuelle: terminé
Résultat: 0/36 (0.00%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.8.21.0 2008.08.22 -
AntiVir 7.8.1.23 2008.08.23 -
Authentium 5.1.0.4 2008.08.24 -
Avast 4.8.1195.0 2008.08.23 -
AVG 8.0.0.161 2008.08.23 -
BitDefender 7.2 2008.08.24 -
CAT-QuickHeal 9.50 2008.08.22 -
ClamAV 0.93.1 2008.08.24 -
DrWeb 4.44.0.09170 2008.08.24 -
eSafe 7.0.17.0 2008.08.21 -
eTrust-Vet 31.6.6044 2008.08.23 -
Ewido 4.0 2008.08.24 -
F-Prot 4.4.4.56 2008.08.24 -
F-Secure 7.60.13501.0 2008.08.24 -
Fortinet 3.14.0.0 2008.08.24 -
GData 2.0.7306.1023 2008.08.20 -
Ikarus T3.1.1.34.0 2008.08.24 -
K7AntiVirus 7.10.427 2008.08.23 -
Kaspersky 7.0.0.125 2008.08.24 -
McAfee 5368 2008.08.22 -
Microsoft 1.3807 2008.08.24 -
NOD32v2 3382 2008.08.23 -
Norman 5.80.02 2008.08.22 -
Panda 9.0.0.4 2008.08.24 -
PCTools 4.4.2.0 2008.08.23 -
Prevx1 V2 2008.08.24 -
Rising 20.58.62.00 2008.08.24 -
Sophos 4.32.0 2008.08.24 -
Sunbelt 3.1.1575.1 2008.08.23 -
Symantec 10 2008.08.24 -
TheHacker 6.3.0.6.060 2008.08.23 -
TrendMicro 8.700.0.1004 2008.08.23 -
VBA32 3.12.8.4 2008.08.23 -
ViRobot 2008.8.22.1346 2008.08.22 -
VirusBuster 4.5.11.0 2008.08.23 -
Webwasher-Gateway 6.6.2 2008.08.24 -
Information additionnelle
File size: 3352 bytes
MD5...: af663aeca6a53f023c9202437c0c1274
SHA1..: d33df53a0f8aa276ddff7902e3f4238184c58618
SHA256: 0cb6189a4835d877f084681fd2b931ee03f98c3e4b70420617462c3f0022deb3
SHA512: 323710e39a85a66b3b49b1532519ac0144afb8024f8ad6429e9a644d93178e4f
b244c0275457dc82e620661784662b8fd50c5c0f16e2c74f6b7ee925d64ed3d1
PEiD..: -
PEInfo: -
packers (F-Prot): Unicode




*******************************************************************************************

Et pour le 2e :

Fichier AntiXPVSTFix.exe reçu le 2008.08.22 19:51:12 (CET)
Situation actuelle: terminé
Résultat: 3/34 (8.82%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.8.21.0 2008.08.22 -
AntiVir 7.8.1.23 2008.08.22 -
Authentium 5.1.0.4 2008.08.22 -
Avast 4.8.1195.0 2008.08.22 -
AVG 8.0.0.161 2008.08.22 -
BitDefender 7.2 2008.08.22 -
CAT-QuickHeal 9.50 2008.08.22 -
ClamAV 0.93.1 2008.08.22 -
DrWeb 4.44.0.09170 2008.08.22 -
eSafe 7.0.17.0 2008.08.21 Suspicious File
eTrust-Vet 31.6.6040 2008.08.22 -
Ewido 4.0 2008.08.22 -
F-Prot 4.4.4.56 2008.08.21 -
Fortinet 3.14.0.0 2008.08.22 -
GData 2.0.7306.1023 2008.08.20 -
Ikarus T3.1.1.34.0 2008.08.22 -
K7AntiVirus 7.10.423 2008.08.21 -
Kaspersky 7.0.0.125 2008.08.22 -
McAfee 5368 2008.08.22 -
Microsoft 1.3807 2008.08.22 -
NOD32v2 3380 2008.08.22 -
Panda 9.0.0.4 2008.08.22 Suspicious file
PCTools 4.4.2.0 2008.08.22 -
Prevx1 V2 2008.08.22 -
Rising 20.58.42.00 2008.08.22 -
Sophos 4.32.0 2008.08.22 Sus/Behav-1004
Sunbelt 3.1.1571.1 2008.08.22 -
Symantec 10 2008.08.22 -
TheHacker 6.3.0.6.058 2008.08.22 -
TrendMicro 8.700.0.1004 2008.08.22 -
VBA32 3.12.8.4 2008.08.22 -
ViRobot 2008.8.22.1346 2008.08.22 -
VirusBuster 4.5.11.0 2008.08.22 -
Webwasher-Gateway 6.6.2 2008.08.22 -
Information additionnelle
File size: 87552 bytes
MD5...: 831f9c1b5c02b95b62baf43bee4900bd
SHA1..: 7abdba1125a616eb04981c3b93858f32b4bf2270
SHA256: a3130b8edd405126b798789e0710ea7c03e60c2a2cf6799cf97087f819f73331
SHA512: 6bdbd2fa27d9d6c50f8372a262873f57bd2ada88e3980d2bfa0ae28c5b18e74a
6046f87e6b8ca1be556c5540f6d90f1e1ce200cdb68fda425387027bac49c433
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4f4b60
timedatestamp.....: 0x48ade0ed (Thu Aug 21 21:41:01 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0xdf000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0xe0000 0x15000 0x14e00 7.91 ca76ea1c40c3e4ca6f116e684b491b0c
.rsrc 0xf5000 0x1000 0x600 2.84 42a9c45009b70c13dad540a6a2b5d7f3

( 4 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> ADVAPI32.DLL: RegCloseKey
> msvcrt.dll: _iob
> SHELL32.DLL: ShellExecuteA

( 0 exports )
packers (F-Prot): UPX
packers (Kaspersky): PE_Patch.UPX, UPX
0
Réponse 35 / 53
ep44 Messages postés 7393 Date d'inscription samedi 10 novembre 2007 Statut Contributeur Dernière intervention 11 novembre 2010 3
24 août 2008 à 13:45
Télécharge OTMoveIt (de OldTimer) sur ton Bureau.
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe
clic double sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :
Paste List of Files/Folders to be moved.

C:\WINDOWS\system32\AntiXPVSTFix.exe
EmptyTemp

clique sur MoveIt! pour lancer la suppression.
le résultat apparaîtra dans le cadre Results.
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

il te sera peut-être demandé de faire redémarrer le PC pour achever la suppression.








0
Réponse 36 / 53
logoden
24 août 2008 à 13:58
Je me suis trompée en recopiant alors j'ai fait en 2 partie :

première partie :
C:\WINDOWS\system32\AntiXPVSTFix.exe moved successfully.
File/Folder empty temp not found.

OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 08242008_134847


*********************************************************************************************

2e partie :

File/Folder C:\WINDOWS\system32\AntiXPVSTFix.exe not found.
< EmptyTemp >
File delete failed. C:\DOCUME~1\kat\LOCALS~1\Temp\~DF34B6.tmp scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\kat\LOCALS~1\Temp\~DF34F6.tmp scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\kat\LOCALS~1\Temp\~DF3D28.tmp scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\kat\LOCALS~1\Temp\~DF3D7D.tmp scheduled to be deleted on reboot.
Temp folders emptied.
IE temp folders emptied.

OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 08242008_134934

Files moved on Reboot...
File C:\DOCUME~1\kat\LOCALS~1\Temp\~DF34B6.tmp not found!
File C:\DOCUME~1\kat\LOCALS~1\Temp\~DF34F6.tmp not found!
File C:\DOCUME~1\kat\LOCALS~1\Temp\~DF3D28.tmp not found!
File C:\DOCUME~1\kat\LOCALS~1\Temp\~DF3D7D.tmp not found!
0
Réponse 37 / 53
ep44 Messages postés 7393 Date d'inscription samedi 10 novembre 2007 Statut Contributeur Dernière intervention 11 novembre 2010 3
24 août 2008 à 14:00
très bien comment ce comporte ton PC ?

as tu passé sdfix ?
0
Réponse 38 / 53
logoden
24 août 2008 à 14:05
Il a l'ai de fonctionner normalement.
Oui j'ai encore sdfix. j'ai conservé tous les og que vous m'avez tous demandé d'installer. d'ailleurs faudra me dire lesquels garder et lesquels supprimer.

Je lance donc sdfix ? en mode normal ou sans echec ?
0
Réponse 39 / 53
ep44 Messages postés 7393 Date d'inscription samedi 10 novembre 2007 Statut Contributeur Dernière intervention 11 novembre 2010 3
24 août 2008 à 14:10
oui par sécurité lance sdfix

ensuite nous verrons a la fin pour la suppression des outils utilisé

0
Réponse 40 / 53
microlynz Messages postés 40 Date d'inscription dimanche 24 août 2008 Statut Membre Dernière intervention 2 octobre 2010
24 août 2008 à 14:28
salut
ce anti virus nommé "antivirus xp 2008" contieent lui meme un virus
attention
Il m'a causé bq de PRO
0

Discussions similaires

cartouche imprimante Epson XP 2200
fafouic -
jeannets -

3 réponses
configurer imprimante sans cd EPSON XP-225
socanelle -
jmarion3 -

1 réponse
Je veux télécharger google earth 2008
manon45 -
jomana -

18 réponses
Epson XP 2200
Sklyd -
txiki -

2 réponses