Virus supprimé ????
Fermé
Kaze37
Messages postés
474
Date d'inscription
lundi 12 novembre 2007
Statut
Membre
Dernière intervention
26 janvier 2019
-
12 sept. 2008 à 20:29
Kaze37 Messages postés 474 Date d'inscription lundi 12 novembre 2007 Statut Membre Dernière intervention 26 janvier 2019 - 12 sept. 2008 à 22:15
Kaze37 Messages postés 474 Date d'inscription lundi 12 novembre 2007 Statut Membre Dernière intervention 26 janvier 2019 - 12 sept. 2008 à 22:15
A voir également:
- Virus supprimé ????
- Recuperer message whatsapp supprimé - Guide
- Message supprimé whatsapp - Guide
- Youtu.be virus - Accueil - Guide virus
- Comment supprimer un fichier qui refuse d'être supprimé - Guide
- Svchost.exe virus - Guide
11 réponses
Kaze37
Messages postés
474
Date d'inscription
lundi 12 novembre 2007
Statut
Membre
Dernière intervention
26 janvier 2019
134
12 sept. 2008 à 21:42
12 sept. 2008 à 21:42
J'espère ne pas avoir fait d'erreur !!!
Kaze37
Messages postés
474
Date d'inscription
lundi 12 novembre 2007
Statut
Membre
Dernière intervention
26 janvier 2019
134
12 sept. 2008 à 21:56
12 sept. 2008 à 21:56
12/09/2008 a 21:52:02,90
*** Recherche des fichiers dans C:
*** Recherche des fichiers dans C:\WINDOWS\
*** Recherche des fichiers dans C:\WINDOWS\system32
C:\WINDOWS\system32\winsys.exe FOUND
*** Recherche des fichiers dans C:\Program Files
*** Fin du rapport !
*** Recherche des fichiers dans C:
*** Recherche des fichiers dans C:\WINDOWS\
*** Recherche des fichiers dans C:\WINDOWS\system32
C:\WINDOWS\system32\winsys.exe FOUND
*** Recherche des fichiers dans C:\Program Files
*** Fin du rapport !
Kaze37
Messages postés
474
Date d'inscription
lundi 12 novembre 2007
Statut
Membre
Dernière intervention
26 janvier 2019
134
12 sept. 2008 à 22:08
12 sept. 2008 à 22:08
J'ai quitté le logiciel !!!
Je relance Clean ou je passe directement à la suite ?
Je relance Clean ou je passe directement à la suite ?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Utilisateur anonyme
12 sept. 2008 à 21:26
12 sept. 2008 à 21:26
Bonjour
As-tu le rapport de Malwarebytes afin de voir ce qui a été supprimé ?
* Relance HijackThis, choisis "do a scan only" coche la case devant les lignes ci-dessous et clic en bas sur "fix checked"
- Ferme Internet Explorer avant de cliquer sur Fix checked
- S'il manque des lignes ce n'est pas grave
- Rien n'est supprimé
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
* Clic sur "démarrer", "exécuter", tape: services.msc
Cherche dans la liste la ligne ci-dessous, tu fais un clic droit dessus choisis "propriétés" et régle-la sur "désactivé"
- NVIDIA Display Driver Service
* Vas dans ajouter/supprimer des programmes et désinstalle : Bonjour (Service Bonjour) inutile.
* Redémarre ton système pour prendre en compte les modifications.
As-tu le rapport de Malwarebytes afin de voir ce qui a été supprimé ?
* Relance HijackThis, choisis "do a scan only" coche la case devant les lignes ci-dessous et clic en bas sur "fix checked"
- Ferme Internet Explorer avant de cliquer sur Fix checked
- S'il manque des lignes ce n'est pas grave
- Rien n'est supprimé
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
* Clic sur "démarrer", "exécuter", tape: services.msc
Cherche dans la liste la ligne ci-dessous, tu fais un clic droit dessus choisis "propriétés" et régle-la sur "désactivé"
- NVIDIA Display Driver Service
* Vas dans ajouter/supprimer des programmes et désinstalle : Bonjour (Service Bonjour) inutile.
* Redémarre ton système pour prendre en compte les modifications.
Kaze37
Messages postés
474
Date d'inscription
lundi 12 novembre 2007
Statut
Membre
Dernière intervention
26 janvier 2019
134
12 sept. 2008 à 21:37
12 sept. 2008 à 21:37
Les lignes de HijackThis que j'ai supprimées, c'étaient quoi exactement ??
Le rapport de Malewarebytes précise que ces deux virus ont étés supprimés !!!!!
Et encore merci
Le rapport de Malewarebytes précise que ces deux virus ont étés supprimés !!!!!
Et encore merci
Utilisateur anonyme
12 sept. 2008 à 21:40
12 sept. 2008 à 21:40
Des programmes inutiles au démarrage, ça permet d'éviter des lenteurs et suconsommation de ressources système inutiles. Malwarebytes peut très bien s'être trompé, méfiance donc quand on supprime !
Utilisateur anonyme
12 sept. 2008 à 21:46
12 sept. 2008 à 21:46
Normalement, si tu n'as pas supprimé ce qui est en quarantaine, tout y est encore.
Peux-tu faire ceci, car un dossier me semble suspect !
¤ Télécharge Clean
----> http://www.malekal.com/download/clean.zip
Dézippe tout le contenu dans le même dossier. Double clic sur clean ou clean.cmd choisissez l'option 1.
Un rapport va s'ouvrir, copie et colle le contenu ici
Tuto si besoin d'aide
http://kerio.probb.fr/Clean-h15.html
Peux-tu faire ceci, car un dossier me semble suspect !
¤ Télécharge Clean
----> http://www.malekal.com/download/clean.zip
Dézippe tout le contenu dans le même dossier. Double clic sur clean ou clean.cmd choisissez l'option 1.
Un rapport va s'ouvrir, copie et colle le contenu ici
Tuto si besoin d'aide
http://kerio.probb.fr/Clean-h15.html
Kaze37
Messages postés
474
Date d'inscription
lundi 12 novembre 2007
Statut
Membre
Dernière intervention
26 janvier 2019
134
12 sept. 2008 à 21:56
12 sept. 2008 à 21:56
DiagHelp version v1.4 - http://www.malekal.com
excute le 13/04/2008 à 17:41:52,21
Liste des derniers fichies modifies/crees dans windir\system32 et prefetch
C:\WINDOWS\prefetch\WSCNTFY.EXE-1B24F5EB.pf -->13/04/2008 17:41:51
C:\WINDOWS\prefetch\CHCP.COM-18156052.pf -->13/04/2008 17:41:50
C:\WINDOWS\prefetch\NOTEPAD.EXE-336351A9.pf -->13/04/2008 17:40:39
C:\WINDOWS\prefetch\AVP.EXE-05A8165C.pf -->13/04/2008 17:26:26
C:\WINDOWS\prefetch\IEXPLORE.EXE-27122324.pf -->13/04/2008 17:15:36
C:\WINDOWS\prefetch\FIND.EXE-0EC32F1E.pf -->13/04/2008 17:15:13
C:\WINDOWS\prefetch\CMD.EXE-087B4001.pf -->13/04/2008 17:15:13
C:\WINDOWS\prefetch\GZIP.EXE-1F1F9B49.pf -->13/04/2008 17:15:08
C:\WINDOWS\prefetch\NTVDM.EXE-1A10A423.pf -->13/04/2008 17:13:16
C:\WINDOWS\prefetch\SORT.EXE-194AE83C.pf -->13/04/2008 17:13:06
C:\WINDOWS\System32\drivers\fidbox.dat -->13/04/2008 17:38:19
C:\WINDOWS\System32\drivers\fidbox2.dat -->13/04/2008 17:12:59
C:\WINDOWS\System32\drivers\fidbox2.idx -->13/04/2008 13:08:35
C:\WINDOWS\System32\drivers\fidbox.idx -->13/04/2008 13:08:35
C:\WINDOWS\System32\drivers\klif.sys -->12/04/2008 15:51:50
C:\WINDOWS\System32\drivers\klin.dat -->12/04/2008 15:51:45
C:\WINDOWS\System32\drivers\klick.dat -->12/04/2008 15:51:45
C:\WINDOWS\System32\wpa.dbl -->12/04/2008 14:27:34
C:\WINDOWS\System32\FNTCACHE.DAT -->09/04/2008 20:33:38
C:\WINDOWS\System32\MRT.exe -->06/04/2008 07:56:20
C:\WINDOWS\System32\PerfStringBackup.INI -->03/04/2008 20:36:50
C:\WINDOWS\System32\perfh00C.dat -->03/04/2008 20:36:50
C:\WINDOWS\System32\perfh009.dat -->03/04/2008 20:36:50
C:\WINDOWS\System32\perfc00C.dat -->03/04/2008 20:36:50
C:\WINDOWS\System32\perfc009.dat -->03/04/2008 20:36:50
C:\WINDOWS\System32\jupdate-1.6.0_05-b13.log -->26/03/2008 23:43:13
C:\WINDOWS\System32\jupdate-1.6.0_03-b05.log -->26/03/2008 22:06:43
C:\WINDOWS\System32\TZLog.log -->25/03/2008 23:17:47
C:\WINDOWS\System32\h323log.txt -->25/03/2008 22:40:58
C:\WINDOWS\System32\wpa.bak -->25/03/2008 22:13:07
C:\WINDOWS\System32\LoopyMusic.wav -->25/03/2008 22:05:26
C:\WINDOWS\System32\BuzzingBee.wav -->25/03/2008 22:05:26
C:\WINDOWS\System32\nvapps.xml -->25/03/2008 21:52:27
C:\WINDOWS\System32\$winnt$.inf -->25/03/2008 21:47:20
C:\WINDOWS\System32\CONFIG.NT -->25/03/2008 21:45:40
C:\WINDOWS\System32\nscompat.tlb -->25/03/2008 21:45:38
C:\WINDOWS\System32\amcompat.tlb -->25/03/2008 21:45:38
C:\WINDOWS\System32\WindowsLogon.manifest -->25/03/2008 21:45:00
C:\WINDOWS\System32\logonui.exe.manifest -->25/03/2008 21:45:00
C:\WINDOWS\System32\wuaucpl.cpl.manifest -->25/03/2008 21:44:56
C:\WINDOWS\System32\sapi.cpl.manifest -->25/03/2008 21:44:56
C:\WINDOWS\System32\nwc.cpl.manifest -->25/03/2008 21:44:56
C:\WINDOWS\wiadebug.log -->13/04/2008 15:24:05
C:\WINDOWS\wiaservc.log -->13/04/2008 15:24:04
C:\WINDOWS\WindowsUpdate.log -->13/04/2008 15:03:31
C:\WINDOWS\0.log -->13/04/2008 15:02:41
C:\WINDOWS\bootstat.dat -->13/04/2008 15:02:35
C:\WINDOWS\SchedLgU.Txt -->13/04/2008 13:08:24
C:\WINDOWS\setupapi.log -->12/04/2008 15:17:14
C:\WINDOWS\HELPINST.LOG -->12/04/2008 15:12:05
C:\WINDOWS\fsdgunst.log -->12/04/2008 15:12:04
C:\WINDOWS\daasunin.LOG -->12/04/2008 15:12:04
C:\WINDOWS\fsmaunin.log -->12/04/2008 15:12:03
C:\WINDOWS\FSGUIINS.LOG -->12/04/2008 15:12:01
C:\WINDOWS\fstnbins.LOG -->12/04/2008 15:11:57
C:\WINDOWS\fsavunin.log -->12/04/2008 15:11:56
C:\WINDOWS\fwesinst.log -->12/04/2008 15:11:47
winlogon.exe
Verified: Signed
svchost.exe
Verified: Signed
ws2_32.dll
Verified: Signed
user32.dll
Verified: Signed
tcpip.sys
Verified: Signed
ndis.sys
Verified: Signed
null.sys
Verified: Signed
ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com
------------------------------------------------------------------------------
explorer.exe pid: 704
Command line: C:\WINDOWS\Explorer.EXE
Base Size Version Path
*** Loaded C:\WINDOWS\system32\kernel32.dll differs from file image:
*** File timestamp: Mon Apr 16 17:53:11 2007
*** Loaded image timestamp: Mon Apr 16 17:53:12 2007
*** Loaded C:\WINDOWS\system32\USER32.dll differs from file image:
*** File timestamp: Thu Mar 08 16:37:50 2007
*** Loaded image timestamp: Thu Mar 08 16:50:02 2007
*** Loaded C:\WINDOWS\system32\SHDOCVW.dll differs from file image:
*** File timestamp: Fri Dec 07 01:47:19 2007
*** Loaded image timestamp: Fri Dec 07 01:49:33 2007
0x44080000 0xd0000 7.00.6000.16640 C:\WINDOWS\system32\WININET.dll
0x00400000 0x9000 6.00.5441.0000 C:\WINDOWS\system32\Normaliz.dll
0x43e00000 0x45000 7.00.6000.16640 C:\WINDOWS\system32\iertutil.dll
*** Loaded C:\WINDOWS\system32\SHELL32.dll differs from file image:
*** File timestamp: Thu Oct 25 18:43:25 2007
*** Loaded image timestamp: Thu Oct 25 18:56:00 2007
0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\comctl32.dll
0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL
0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll
0x10000000 0x17000 7.00.0000.0124 C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\miscr3.dll
0x015a0000 0x28000 7.00.0000.0124 C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\scrchpg.dll
0x01680000 0x2be000 3.01.4000.4039 C:\WINDOWS\system32\msi.dll
0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL
0x44360000 0x5cd000 7.00.6000.16640 C:\WINDOWS\system32\ieframe.dll
0x44160000 0x127000 7.00.6000.16640 C:\WINDOWS\system32\urlmon.dll
0x442b0000 0x3c000 7.00.6000.16640 C:\WINDOWS\system32\webcheck.dll
0x023d0000 0x4c000 8.00.0000.0000 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.FRA
0x78130000 0x9b000 8.00.50727.1433 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.1433_x-ww_5cf844d2\MSVCR80.dll
0x7c420000 0x87000 8.00.50727.1433 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.1433_x-ww_5cf844d2\MSVCP80.dll
0x66600000 0x17000 7.00.0000.0124 C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\prremote.dll
0x028d0000 0x48000 7.00.0000.0124 C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\prloader.dll
0x63380000 0x78000 5.07.0000.5730 C:\WINDOWS\system32\jscript.dll
0x01be0000 0xb000 7.00.0000.0124 C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\klscav.dll
0x64a00000 0x30000 7.00.0000.0124 C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\prkernel.ppl
0x03120000 0x6c000 7.00.0000.0124 c:\program files\kaspersky lab\kaspersky internet security 7.0\params.ppl
0x03190000 0x9000 7.00.0000.0124 c:\program files\kaspersky lab\kaspersky internet security 7.0\pxstub.ppl
0x67f00000 0x7000 7.00.0000.0124 c:\program files\kaspersky lab\kaspersky internet security 7.0\tempfile.ppl
0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll
0x058b0000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
0x60510000 0x19000 2.00.50727.1433 c:\WINDOWS\system32\dfshim.dll
0x79000000 0x46000 2.00.50727.1433 c:\WINDOWS\system32\mscoree.dll
0x79e70000 0x58f000 2.00.50727.1433 c:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorwks.dll
0x16200000 0x6000 4.01.0000.0000 C:\Program Files\WinZip\wzshlstb.dll
0x055f0000 0xc000 7.00.0000.0124 C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ShellEx.dll
0x62350000 0x53000 2.00.0500.0000 C:\Program Files\OpenOffice.org 2.3\program\shlxthdl.dll
0x60400000 0x18000 2.00.0500.0000 C:\Program Files\OpenOffice.org 2.3\program\uwinapi.dll
0x7c340000 0x56000 7.10.3052.0004 C:\Program Files\OpenOffice.org 2.3\program\MSVCR71.dll
0x61e70000 0x8e000 4.05.2003.0120 C:\Program Files\OpenOffice.org 2.3\program\stlport_vc7145.dll
0x7c3a0000 0x7b000 7.10.3077.0000 C:\Program Files\OpenOffice.org 2.3\program\MSVCP71.dll
0x02840000 0x5b000 8.01.0000.0000 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.dll
0x60980000 0x7000 3.01.4000.1823 C:\WINDOWS\system32\MSISIP.DLL
0x74e10000 0x10000 5.06.0000.8820 C:\WINDOWS\system32\wshext.dll
0x73d20000 0xfe000 6.02.4131.0000 C:\WINDOWS\system32\MFC42.DLL
0x61d70000 0xe000 6.00.8665.0000 C:\WINDOWS\system32\MFC42LOC.DLL
0x59000000 0xe000 5.06.0000.6626 C:\WINDOWS\system32\wshFR.DLL
ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com
------------------------------------------------------------------------------
winlogon.exe pid: 1332
Command line: winlogon.exe
Base Size Version Path
0x01000000 0x81000 \??\C:\WINDOWS\system32\winlogon.exe
*** Loaded C:\WINDOWS\system32\kernel32.dll differs from file image:
*** File timestamp: Mon Apr 16 17:53:11 2007
*** Loaded image timestamp: Mon Apr 16 17:53:12 2007
*** Loaded C:\WINDOWS\system32\USER32.dll differs from file image:
*** File timestamp: Thu Mar 08 16:37:50 2007
*** Loaded image timestamp: Thu Mar 08 16:50:02 2007
*** Loaded C:\WINDOWS\system32\SHELL32.dll differs from file image:
*** File timestamp: Thu Oct 25 18:43:25 2007
*** Loaded image timestamp: Thu Oct 25 18:56:00 2007
0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\COMCTL32.dll
0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll
0x20000000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
0x10000000 0x17000 7.00.0000.0124 C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\miscr3.dll
0x011a0000 0x33000 7.00.0000.0124 C:\WINDOWS\system32\klogon.dll
0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL
0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll
0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 7C8D-20CB
Répertoire de C:\WINDOWS\system32
02/03/2006 14:00 6 144 csrss.exe
1 fichier(s) 6 144 octets
0 Rép(s) 239 608 688 640 octets libres
Contenu de Downloaded Program Files
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 7C8D-20CB
Répertoire de C:\WINDOWS\Downloaded Program Files
25/03/2008 21:45 <REP> .
25/03/2008 21:45 <REP> ..
25/03/2008 21:45 65 desktop.ini
1 fichier(s) 65 octets
Total des fichiers listés :
1 fichier(s) 65 octets
2 Rép(s) 239 608 688 640 octets libres
Recherche de rootkit! (Merci S!Ri)
Recherche d'infections connues
Export des clefs sensibles..
Liste des fichiers en exception sur le pare-feu XP SP2
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"="C:\\Program Files\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
Export de la clef SharedTaskScheduler
[SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"
exports des policies
REGEDIT4
[system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
Export des clefs sensibles..
Rechercher adresses sensibles dans le fichier HOSTS...
excute le 13/04/2008 à 17:41:52,21
Liste des derniers fichies modifies/crees dans windir\system32 et prefetch
C:\WINDOWS\prefetch\WSCNTFY.EXE-1B24F5EB.pf -->13/04/2008 17:41:51
C:\WINDOWS\prefetch\CHCP.COM-18156052.pf -->13/04/2008 17:41:50
C:\WINDOWS\prefetch\NOTEPAD.EXE-336351A9.pf -->13/04/2008 17:40:39
C:\WINDOWS\prefetch\AVP.EXE-05A8165C.pf -->13/04/2008 17:26:26
C:\WINDOWS\prefetch\IEXPLORE.EXE-27122324.pf -->13/04/2008 17:15:36
C:\WINDOWS\prefetch\FIND.EXE-0EC32F1E.pf -->13/04/2008 17:15:13
C:\WINDOWS\prefetch\CMD.EXE-087B4001.pf -->13/04/2008 17:15:13
C:\WINDOWS\prefetch\GZIP.EXE-1F1F9B49.pf -->13/04/2008 17:15:08
C:\WINDOWS\prefetch\NTVDM.EXE-1A10A423.pf -->13/04/2008 17:13:16
C:\WINDOWS\prefetch\SORT.EXE-194AE83C.pf -->13/04/2008 17:13:06
C:\WINDOWS\System32\drivers\fidbox.dat -->13/04/2008 17:38:19
C:\WINDOWS\System32\drivers\fidbox2.dat -->13/04/2008 17:12:59
C:\WINDOWS\System32\drivers\fidbox2.idx -->13/04/2008 13:08:35
C:\WINDOWS\System32\drivers\fidbox.idx -->13/04/2008 13:08:35
C:\WINDOWS\System32\drivers\klif.sys -->12/04/2008 15:51:50
C:\WINDOWS\System32\drivers\klin.dat -->12/04/2008 15:51:45
C:\WINDOWS\System32\drivers\klick.dat -->12/04/2008 15:51:45
C:\WINDOWS\System32\wpa.dbl -->12/04/2008 14:27:34
C:\WINDOWS\System32\FNTCACHE.DAT -->09/04/2008 20:33:38
C:\WINDOWS\System32\MRT.exe -->06/04/2008 07:56:20
C:\WINDOWS\System32\PerfStringBackup.INI -->03/04/2008 20:36:50
C:\WINDOWS\System32\perfh00C.dat -->03/04/2008 20:36:50
C:\WINDOWS\System32\perfh009.dat -->03/04/2008 20:36:50
C:\WINDOWS\System32\perfc00C.dat -->03/04/2008 20:36:50
C:\WINDOWS\System32\perfc009.dat -->03/04/2008 20:36:50
C:\WINDOWS\System32\jupdate-1.6.0_05-b13.log -->26/03/2008 23:43:13
C:\WINDOWS\System32\jupdate-1.6.0_03-b05.log -->26/03/2008 22:06:43
C:\WINDOWS\System32\TZLog.log -->25/03/2008 23:17:47
C:\WINDOWS\System32\h323log.txt -->25/03/2008 22:40:58
C:\WINDOWS\System32\wpa.bak -->25/03/2008 22:13:07
C:\WINDOWS\System32\LoopyMusic.wav -->25/03/2008 22:05:26
C:\WINDOWS\System32\BuzzingBee.wav -->25/03/2008 22:05:26
C:\WINDOWS\System32\nvapps.xml -->25/03/2008 21:52:27
C:\WINDOWS\System32\$winnt$.inf -->25/03/2008 21:47:20
C:\WINDOWS\System32\CONFIG.NT -->25/03/2008 21:45:40
C:\WINDOWS\System32\nscompat.tlb -->25/03/2008 21:45:38
C:\WINDOWS\System32\amcompat.tlb -->25/03/2008 21:45:38
C:\WINDOWS\System32\WindowsLogon.manifest -->25/03/2008 21:45:00
C:\WINDOWS\System32\logonui.exe.manifest -->25/03/2008 21:45:00
C:\WINDOWS\System32\wuaucpl.cpl.manifest -->25/03/2008 21:44:56
C:\WINDOWS\System32\sapi.cpl.manifest -->25/03/2008 21:44:56
C:\WINDOWS\System32\nwc.cpl.manifest -->25/03/2008 21:44:56
C:\WINDOWS\wiadebug.log -->13/04/2008 15:24:05
C:\WINDOWS\wiaservc.log -->13/04/2008 15:24:04
C:\WINDOWS\WindowsUpdate.log -->13/04/2008 15:03:31
C:\WINDOWS\0.log -->13/04/2008 15:02:41
C:\WINDOWS\bootstat.dat -->13/04/2008 15:02:35
C:\WINDOWS\SchedLgU.Txt -->13/04/2008 13:08:24
C:\WINDOWS\setupapi.log -->12/04/2008 15:17:14
C:\WINDOWS\HELPINST.LOG -->12/04/2008 15:12:05
C:\WINDOWS\fsdgunst.log -->12/04/2008 15:12:04
C:\WINDOWS\daasunin.LOG -->12/04/2008 15:12:04
C:\WINDOWS\fsmaunin.log -->12/04/2008 15:12:03
C:\WINDOWS\FSGUIINS.LOG -->12/04/2008 15:12:01
C:\WINDOWS\fstnbins.LOG -->12/04/2008 15:11:57
C:\WINDOWS\fsavunin.log -->12/04/2008 15:11:56
C:\WINDOWS\fwesinst.log -->12/04/2008 15:11:47
winlogon.exe
Verified: Signed
svchost.exe
Verified: Signed
ws2_32.dll
Verified: Signed
user32.dll
Verified: Signed
tcpip.sys
Verified: Signed
ndis.sys
Verified: Signed
null.sys
Verified: Signed
ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com
------------------------------------------------------------------------------
explorer.exe pid: 704
Command line: C:\WINDOWS\Explorer.EXE
Base Size Version Path
*** Loaded C:\WINDOWS\system32\kernel32.dll differs from file image:
*** File timestamp: Mon Apr 16 17:53:11 2007
*** Loaded image timestamp: Mon Apr 16 17:53:12 2007
*** Loaded C:\WINDOWS\system32\USER32.dll differs from file image:
*** File timestamp: Thu Mar 08 16:37:50 2007
*** Loaded image timestamp: Thu Mar 08 16:50:02 2007
*** Loaded C:\WINDOWS\system32\SHDOCVW.dll differs from file image:
*** File timestamp: Fri Dec 07 01:47:19 2007
*** Loaded image timestamp: Fri Dec 07 01:49:33 2007
0x44080000 0xd0000 7.00.6000.16640 C:\WINDOWS\system32\WININET.dll
0x00400000 0x9000 6.00.5441.0000 C:\WINDOWS\system32\Normaliz.dll
0x43e00000 0x45000 7.00.6000.16640 C:\WINDOWS\system32\iertutil.dll
*** Loaded C:\WINDOWS\system32\SHELL32.dll differs from file image:
*** File timestamp: Thu Oct 25 18:43:25 2007
*** Loaded image timestamp: Thu Oct 25 18:56:00 2007
0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\comctl32.dll
0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL
0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll
0x10000000 0x17000 7.00.0000.0124 C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\miscr3.dll
0x015a0000 0x28000 7.00.0000.0124 C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\scrchpg.dll
0x01680000 0x2be000 3.01.4000.4039 C:\WINDOWS\system32\msi.dll
0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL
0x44360000 0x5cd000 7.00.6000.16640 C:\WINDOWS\system32\ieframe.dll
0x44160000 0x127000 7.00.6000.16640 C:\WINDOWS\system32\urlmon.dll
0x442b0000 0x3c000 7.00.6000.16640 C:\WINDOWS\system32\webcheck.dll
0x023d0000 0x4c000 8.00.0000.0000 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.FRA
0x78130000 0x9b000 8.00.50727.1433 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.1433_x-ww_5cf844d2\MSVCR80.dll
0x7c420000 0x87000 8.00.50727.1433 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.1433_x-ww_5cf844d2\MSVCP80.dll
0x66600000 0x17000 7.00.0000.0124 C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\prremote.dll
0x028d0000 0x48000 7.00.0000.0124 C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\prloader.dll
0x63380000 0x78000 5.07.0000.5730 C:\WINDOWS\system32\jscript.dll
0x01be0000 0xb000 7.00.0000.0124 C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\klscav.dll
0x64a00000 0x30000 7.00.0000.0124 C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\prkernel.ppl
0x03120000 0x6c000 7.00.0000.0124 c:\program files\kaspersky lab\kaspersky internet security 7.0\params.ppl
0x03190000 0x9000 7.00.0000.0124 c:\program files\kaspersky lab\kaspersky internet security 7.0\pxstub.ppl
0x67f00000 0x7000 7.00.0000.0124 c:\program files\kaspersky lab\kaspersky internet security 7.0\tempfile.ppl
0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll
0x058b0000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
0x60510000 0x19000 2.00.50727.1433 c:\WINDOWS\system32\dfshim.dll
0x79000000 0x46000 2.00.50727.1433 c:\WINDOWS\system32\mscoree.dll
0x79e70000 0x58f000 2.00.50727.1433 c:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorwks.dll
0x16200000 0x6000 4.01.0000.0000 C:\Program Files\WinZip\wzshlstb.dll
0x055f0000 0xc000 7.00.0000.0124 C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ShellEx.dll
0x62350000 0x53000 2.00.0500.0000 C:\Program Files\OpenOffice.org 2.3\program\shlxthdl.dll
0x60400000 0x18000 2.00.0500.0000 C:\Program Files\OpenOffice.org 2.3\program\uwinapi.dll
0x7c340000 0x56000 7.10.3052.0004 C:\Program Files\OpenOffice.org 2.3\program\MSVCR71.dll
0x61e70000 0x8e000 4.05.2003.0120 C:\Program Files\OpenOffice.org 2.3\program\stlport_vc7145.dll
0x7c3a0000 0x7b000 7.10.3077.0000 C:\Program Files\OpenOffice.org 2.3\program\MSVCP71.dll
0x02840000 0x5b000 8.01.0000.0000 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.dll
0x60980000 0x7000 3.01.4000.1823 C:\WINDOWS\system32\MSISIP.DLL
0x74e10000 0x10000 5.06.0000.8820 C:\WINDOWS\system32\wshext.dll
0x73d20000 0xfe000 6.02.4131.0000 C:\WINDOWS\system32\MFC42.DLL
0x61d70000 0xe000 6.00.8665.0000 C:\WINDOWS\system32\MFC42LOC.DLL
0x59000000 0xe000 5.06.0000.6626 C:\WINDOWS\system32\wshFR.DLL
ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com
------------------------------------------------------------------------------
winlogon.exe pid: 1332
Command line: winlogon.exe
Base Size Version Path
0x01000000 0x81000 \??\C:\WINDOWS\system32\winlogon.exe
*** Loaded C:\WINDOWS\system32\kernel32.dll differs from file image:
*** File timestamp: Mon Apr 16 17:53:11 2007
*** Loaded image timestamp: Mon Apr 16 17:53:12 2007
*** Loaded C:\WINDOWS\system32\USER32.dll differs from file image:
*** File timestamp: Thu Mar 08 16:37:50 2007
*** Loaded image timestamp: Thu Mar 08 16:50:02 2007
*** Loaded C:\WINDOWS\system32\SHELL32.dll differs from file image:
*** File timestamp: Thu Oct 25 18:43:25 2007
*** Loaded image timestamp: Thu Oct 25 18:56:00 2007
0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\COMCTL32.dll
0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll
0x20000000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
0x10000000 0x17000 7.00.0000.0124 C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\miscr3.dll
0x011a0000 0x33000 7.00.0000.0124 C:\WINDOWS\system32\klogon.dll
0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL
0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll
0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 7C8D-20CB
Répertoire de C:\WINDOWS\system32
02/03/2006 14:00 6 144 csrss.exe
1 fichier(s) 6 144 octets
0 Rép(s) 239 608 688 640 octets libres
Contenu de Downloaded Program Files
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 7C8D-20CB
Répertoire de C:\WINDOWS\Downloaded Program Files
25/03/2008 21:45 <REP> .
25/03/2008 21:45 <REP> ..
25/03/2008 21:45 65 desktop.ini
1 fichier(s) 65 octets
Total des fichiers listés :
1 fichier(s) 65 octets
2 Rép(s) 239 608 688 640 octets libres
Recherche de rootkit! (Merci S!Ri)
Recherche d'infections connues
Export des clefs sensibles..
Liste des fichiers en exception sur le pare-feu XP SP2
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"="C:\\Program Files\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
Export de la clef SharedTaskScheduler
[SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"
exports des policies
REGEDIT4
[system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
Export des clefs sensibles..
Rechercher adresses sensibles dans le fichier HOSTS...
Kaze37
Messages postés
474
Date d'inscription
lundi 12 novembre 2007
Statut
Membre
Dernière intervention
26 janvier 2019
134
12 sept. 2008 à 22:15
12 sept. 2008 à 22:15
Voilà le rapport :
Rapport clean par Malekal_morte - http://www.malekal.com
Script execute en mode sans echec 12/09/2008 a 22:11:23,71
Microsoft Windows XP [version 5.1.2600]
*** Suppression des fichiers dans C:
*** Suppression des fichiers dans C:\WINDOWS\
*** Suppression des fichiers dans C:\WINDOWS\system32
tentative de suppression de C:\WINDOWS\system32\winsys.exe
*** Suppression des fichiers dans C:\Program Files
*** Suppression des clefs du registre effectuee..
*** Fin du rapport !
C'était un virus important ??
Rapport clean par Malekal_morte - http://www.malekal.com
Script execute en mode sans echec 12/09/2008 a 22:11:23,71
Microsoft Windows XP [version 5.1.2600]
*** Suppression des fichiers dans C:
*** Suppression des fichiers dans C:\WINDOWS\
*** Suppression des fichiers dans C:\WINDOWS\system32
tentative de suppression de C:\WINDOWS\system32\winsys.exe
*** Suppression des fichiers dans C:\Program Files
*** Suppression des clefs du registre effectuee..
*** Fin du rapport !
C'était un virus important ??
