Probleme lsass.exe, userunit.exe, winlogon.ex
Rumg
-
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
Bonjour à tous,
Je n'arrive pas à sortir de mon problème de connexion, et je souhaite de l'aide, vous en remerciant par avance.
Depuis un certain temps, Zone Alarm bloque toutes les minutes un nombre considérable de connexion sortante venant de ces 3 programmes :
- lsass.exe
- userinit.exe
- winlogon.exe
ce que j'ai dans ZoneAlarm :
le programme : lsass.exe , direction : sortant (connecter) ou des fois : données, a été bloqué, nombre 45 fois
et 30 secondes après cela recommence : bloqué : nombre 56 fois
et cela pour les 3 programmes cités et sans arrêt tout au long de la journée.
Le programme qui essaye le plus de se connecter est quand même lsass.exe
J'ai bien cherché sur le net et j'ai déjà essayé ces programmes en pensant que comme expliqué des fois, c'était un virus :
- FxSasser.exe
- f-sasser.exe
- stng10441.exe
- sassgui.com
aucune détection de quoi que ce soit !
Je suis sous windows xp avec la sp3 d'installé, Zone Alarm depuis ma 1ère connection internet et Avast idem.
Je joins le rapport de Hijackthis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:50:17, on 25/09/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://intranet/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.xxxxxxxx.net:3128
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 10.*;<local>;*.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - C:\Program Files\Adobe\/Adobe Contribute CS3/contributeieplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - C:\Program Files\Adobe\/Adobe Contribute CS3/contributeieplugin.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [Adobe_ID0EYTHM] C:\PROGRA~1\FICHIE~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 52\axcmd.exe" /automount
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\xxxxx\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
O8 - Extra context menu item: Ajouter au fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = xxxxxxxx
O17 - HKLM\Software\..\Telephony: DomainName = xxxxxxxx
O17 - HKLM\System\CCS\Services\Tcpip\..\{51AE1CA4-67EE-43F2-B3ED-D5DDAE1D54D7}: NameServer = 10.50.1.17
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = xxxxxxxx
O17 - HKLM\System\CS1\Services\Tcpip\..\{51AE1CA4-67EE-43F2-B3ED-D5DDAE1D54D7}: NameServer = 10.50.1.17
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = xxxxxxxxx
O17 - HKLM\System\CS2\Services\Tcpip\..\{51AE1CA4-67EE-43F2-B3ED-D5DDAE1D54D7}: NameServer = 10.50.1.17
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = xxxxxxxxx
O17 - HKLM\System\CS3\Services\Tcpip\..\{51AE1CA4-67EE-43F2-B3ED-D5DDAE1D54D7}: NameServer = 10.50.1.17
O23 - Service: Adobe Version Cue CS3 {fr_FR} (Adobe Version Cue CS3) - Adobe Systems Incorporated - C:\Program Files\Fichiers communs\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Je n'arrive pas à sortir de mon problème de connexion, et je souhaite de l'aide, vous en remerciant par avance.
Depuis un certain temps, Zone Alarm bloque toutes les minutes un nombre considérable de connexion sortante venant de ces 3 programmes :
- lsass.exe
- userinit.exe
- winlogon.exe
ce que j'ai dans ZoneAlarm :
le programme : lsass.exe , direction : sortant (connecter) ou des fois : données, a été bloqué, nombre 45 fois
et 30 secondes après cela recommence : bloqué : nombre 56 fois
et cela pour les 3 programmes cités et sans arrêt tout au long de la journée.
Le programme qui essaye le plus de se connecter est quand même lsass.exe
J'ai bien cherché sur le net et j'ai déjà essayé ces programmes en pensant que comme expliqué des fois, c'était un virus :
- FxSasser.exe
- f-sasser.exe
- stng10441.exe
- sassgui.com
aucune détection de quoi que ce soit !
Je suis sous windows xp avec la sp3 d'installé, Zone Alarm depuis ma 1ère connection internet et Avast idem.
Je joins le rapport de Hijackthis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:50:17, on 25/09/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://intranet/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.xxxxxxxx.net:3128
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 10.*;<local>;*.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - C:\Program Files\Adobe\/Adobe Contribute CS3/contributeieplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - C:\Program Files\Adobe\/Adobe Contribute CS3/contributeieplugin.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [Adobe_ID0EYTHM] C:\PROGRA~1\FICHIE~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 52\axcmd.exe" /automount
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\xxxxx\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
O8 - Extra context menu item: Ajouter au fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = xxxxxxxx
O17 - HKLM\Software\..\Telephony: DomainName = xxxxxxxx
O17 - HKLM\System\CCS\Services\Tcpip\..\{51AE1CA4-67EE-43F2-B3ED-D5DDAE1D54D7}: NameServer = 10.50.1.17
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = xxxxxxxx
O17 - HKLM\System\CS1\Services\Tcpip\..\{51AE1CA4-67EE-43F2-B3ED-D5DDAE1D54D7}: NameServer = 10.50.1.17
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = xxxxxxxxx
O17 - HKLM\System\CS2\Services\Tcpip\..\{51AE1CA4-67EE-43F2-B3ED-D5DDAE1D54D7}: NameServer = 10.50.1.17
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = xxxxxxxxx
O17 - HKLM\System\CS3\Services\Tcpip\..\{51AE1CA4-67EE-43F2-B3ED-D5DDAE1D54D7}: NameServer = 10.50.1.17
O23 - Service: Adobe Version Cue CS3 {fr_FR} (Adobe Version Cue CS3) - Adobe Systems Incorporated - C:\Program Files\Fichiers communs\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
A voir également:
- Probleme lsass.exe, userunit.exe, winlogon.ex
- Lsass.exe ✓ - Forum Virus
- Virus lsass.exe ! ✓ - Forum Virus
- C'est quoi lsass.exe ou isass.exe??? - Forum Virus
- Lsass.exe consomme toutes les ressources ✓ - Forum Virus
- Lsass.exe avec 50-60% d'occupation du CPU - Forum Virus
6 réponses
Merci jlpjlp pour ta réponse rapide,
le réseau ce n'est pas moi qui l'ai configuré, je suis sur un réseau d'entreprise, j'ai juste mis xxxxxxxxx pour cacher le nom de domaine.
Je télécharge le combofix en suivant tes instructions et le tuto et je poste le résultat.
merci
le réseau ce n'est pas moi qui l'ai configuré, je suis sur un réseau d'entreprise, j'ai juste mis xxxxxxxxx pour cacher le nom de domaine.
Je télécharge le combofix en suivant tes instructions et le tuto et je poste le résultat.
merci
Re Bonjour,
Voilà le rapport de ComboFix :
ComboFix 08-09-24.09 - xxxxx 2008-09-25 11:51:10.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.1649 [GMT 2:00]
Lancé depuis: C:\Documents and Settings\xxxxx\Bureau\ComboFix.exe
* Un nouveau point de restauration a été créé
[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.
((((((((((((((((((((((((((((( Fichiers créés du 2008-08-25 au 2008-09-25 ))))))))))))))))))))))))))))))))))))
.
2008-09-16 14:42 . 2008-09-16 14:42 <REP> d-------- C:\Program Files\MP4 Converter
2008-09-12 10:27 . 2008-09-12 10:27 <REP> d-------- C:\Documents and Settings\xxxxx\Application Data\Leadertech
2008-09-12 09:24 . 2007-05-16 16:45 3,497,832 --a------ C:\WINDOWS\system32\d3dx9_34.dll
2008-09-12 08:45 . 2008-09-12 08:45 <REP> d-------- C:\WINDOWS\system32\IOSUBSYS
2008-09-09 10:00 . 2008-09-09 10:00 <REP> d-------- C:\Documents and Settings\xxxxx\.thumbnails
2008-09-04 08:43 . 2008-09-04 08:43 57,164 --ah----- C:\WINDOWS\system32\mlfcache.dat
2008-09-03 12:28 . 2008-09-12 09:16 <REP> d-------- C:\Program Files\Google
2008-08-27 11:04 . 2008-08-27 11:04 <REP> d-------- C:\WINDOWS\system32\fr
2008-08-27 11:04 . 2008-08-27 11:04 <REP> d-------- C:\WINDOWS\system32\bits
2008-08-27 11:04 . 2008-08-27 11:04 <REP> d-------- C:\WINDOWS\l2schemas
2008-08-27 11:00 . 2008-08-27 11:04 <REP> d-------- C:\WINDOWS\ServicePackFiles
2008-08-27 10:08 . 2008-08-27 10:08 <REP> d-------- C:\Program Files\Opera
2008-08-27 09:40 . 2008-08-27 09:41 <REP> d-------- C:\Program Files\Safari
2008-08-27 09:40 . 2008-08-27 09:40 <REP> d-------- C:\Program Files\Apple Software Update
2008-08-26 09:04 . 2004-08-03 22:29 25,471 --------- C:\WINDOWS\system32\drivers\watv10nt.sys
2008-08-26 09:04 . 2004-08-03 22:29 22,271 --------- C:\WINDOWS\system32\drivers\watv06nt.sys
2008-08-26 09:04 . 2004-08-03 22:29 11,935 --------- C:\WINDOWS\system32\drivers\wadv11nt.sys
2008-08-26 09:02 . 2004-08-03 22:41 1,041,536 --------- C:\WINDOWS\system32\drivers\hsfdpsp2.sys
2008-08-26 09:02 . 2004-08-03 22:41 685,056 --------- C:\WINDOWS\system32\drivers\hsfcxts2.sys
2008-08-26 09:02 . 2004-08-03 22:41 220,032 --------- C:\WINDOWS\system32\drivers\hsfbs2s2.sys
2008-08-26 09:02 . 2004-08-03 22:41 11,868 --------- C:\WINDOWS\system32\drivers\mdmxsdk.sys
2008-08-26 09:01 . 2004-07-17 22:55 129,045 --------- C:\WINDOWS\system32\drivers\cxthsfs2.cty
2008-08-26 08:58 . 2004-08-03 22:29 63,663 --------- C:\WINDOWS\system32\drivers\ati1rvxx.sys
2008-08-26 08:58 . 2004-08-03 22:29 56,623 --------- C:\WINDOWS\system32\drivers\ati1btxx.sys
2008-08-26 08:58 . 2004-08-03 22:29 36,463 --------- C:\WINDOWS\system32\drivers\ati1tuxx.sys
2008-08-26 08:58 . 2004-08-03 22:29 34,735 --------- C:\WINDOWS\system32\drivers\ati1xsxx.sys
2008-08-26 08:58 . 2004-08-03 22:29 30,671 --------- C:\WINDOWS\system32\drivers\ati1raxx.sys
2008-08-26 08:58 . 2004-08-03 22:29 29,455 --------- C:\WINDOWS\system32\drivers\ati1xbxx.sys
2008-08-26 08:58 . 2004-08-03 22:29 26,367 --------- C:\WINDOWS\system32\drivers\ati1snxx.sys
2008-08-26 08:58 . 2004-08-03 22:29 21,343 --------- C:\WINDOWS\system32\drivers\ati1ttxx.sys
2008-08-26 08:58 . 2004-08-03 22:29 12,047 --------- C:\WINDOWS\system32\drivers\ati1pdxx.sys
2008-08-26 08:58 . 2004-08-03 22:29 11,615 --------- C:\WINDOWS\system32\drivers\ati1mdxx.sys
2008-08-26 08:51 . 2008-04-11 21:05 691,712 -----c--- C:\WINDOWS\system32\dllcache\inetcomm.dll
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-25 09:59 2,760,736 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-09-24 15:41 34,772 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-09-23 09:51 --------- d-----w C:\Documents and Settings\xxxxx\Application Data\gtk-2.0
2008-09-15 07:31 --------- d-----w C:\Program Files\free-downloads.net
2008-09-15 07:31 --------- d-----w C:\Program Files\Conduit
2008-09-12 08:44 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple Computer
2008-09-12 08:33 --------- d-----w C:\Program Files\Bonjour
2008-09-11 01:04 --------- d-----w C:\Documents and Settings\All Users\Application Data\Microsoft Help
2008-09-01 19:19 --------- d-----w C:\Documents and Settings\All Users\Application Data\FLEXnet
2008-08-27 07:42 --------- d-----w C:\Documents and Settings\xxxxx\Application Data\Apple Computer
2008-08-04 06:39 1,765,928 ----a-w C:\WINDOWS\Internet Logs\tvDebug.zip
2008-07-29 07:37 --------- d-----w C:\Program Files\Java
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-18 20:07 270,880 ----a-w C:\WINDOWS\system32\mucltui.dll
2008-07-18 20:07 210,976 ----a-w C:\WINDOWS\system32\muweb.dll
2008-07-07 20:28 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-03-16 20:03 15,397 ----a-w C:\Program Files\settings.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"AlcoholAutomount"="C:\Program Files\Alcohol Soft\Alcohol 52\axcmd.exe" [2008-03-20 217544]
"Google Update"="C:\Documents and Settings\xxxxx\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2008-09-04 133104]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 78008]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"Acrobat Assistant 8.0"="C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2006-10-22 620152]
"Adobe_ID0EYTHM"="C:\PROGRA~1\FICHIE~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE" [2007-03-20 1884160]
"PinnacleDriverCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [2004-03-11 406016]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-03-28 413696]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 919016]
"SoundMan"="SOUNDMAN.EXE" [2003-07-16 C:\WINDOWS\SOUNDMAN.EXE]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]
C:\Documents and Settings\xxxxx\Menu D‚marrer\Programmes\D‚marrage\
RocketDock.lnk - C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe [2007-03-19 630784]
TransBar.lnk - C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe [2005-06-01 65536]
UberIcon.lnk - C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe [2006-05-21 180224]
Y'z Shadow.lnk - C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe [2006-05-21 155648]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= vdrcodec.dll
"VIDC.MJPG"= Pvmjpg30.dll
"VIDC.PIM1"= pclepim1.dll
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 78416]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560]
S3 NPF;WinPcap Packet Driver (NPF);C:\WINDOWS\system32\drivers\NPF.sys [2008-05-03 34064]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\##stockage#partage_com]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{258b76b3-2573-11dd-8566-00112fac7731}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe
\Shell\Open(&0)\command - Recycled\ctfmon.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{31b5c2de-00c8-11dd-8557-00112fac7731}]
\Shell\AutoRun\command - G:\LaunchU3.exe -a
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f027442b-7418-11dd-8580-00112fac7731}]
\Shell\AutoRun\command - G:\Autorun.exe /run
\Shell\Shell00\Command - G:\Autorun.exe /run
\Shell\Shell01\Command - G:\Autorun.exe /action
\Shell\Shell02\Command - G:\Autorun.exe /uninstall
*Newly Created Service* - PROCEXP90
.
Contenu du dossier 'Tâches planifiées'
.
.
------- Examen supplémentaire -------
.
FireFox -: Profile - C:\Documents and Settings\xxxxx\Application Data\Mozilla\Firefox\Profiles\kd0rg00a.default\
FF -: plugin - C:\Documents and Settings\xxxxx\Local Settings\Application Data\Google\Update\1.2.131.11\npGoogleOneClick5.dll
FF -: plugin - C:\Program Files\iTunes\Mozilla Plugins\npitunes.dll
FF -: plugin - F:\LIBERKEY\APPS\FIREFOX\APP\FIREFOX\plugins\npnul32.dll
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-25 11:59:03
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
PROCESSUS: C:\WINDOWS\explorer.exe
-> C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.dll
.
Heure de fin: 2008-09-25 12:02:30
ComboFix-quarantined-files.txt 2008-09-25 10:02:00
Avant-CF: 50ÿ444ÿ722ÿ176 octets libres
Après-CF: 53,860,667,392 octets libres
150 --- E O F --- 2008-09-11 01:06:36
merci encore pour vos réponses et les solutions que vous pouvez m'apporter
.
Voilà le rapport de ComboFix :
ComboFix 08-09-24.09 - xxxxx 2008-09-25 11:51:10.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.1649 [GMT 2:00]
Lancé depuis: C:\Documents and Settings\xxxxx\Bureau\ComboFix.exe
* Un nouveau point de restauration a été créé
[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.
((((((((((((((((((((((((((((( Fichiers créés du 2008-08-25 au 2008-09-25 ))))))))))))))))))))))))))))))))))))
.
2008-09-16 14:42 . 2008-09-16 14:42 <REP> d-------- C:\Program Files\MP4 Converter
2008-09-12 10:27 . 2008-09-12 10:27 <REP> d-------- C:\Documents and Settings\xxxxx\Application Data\Leadertech
2008-09-12 09:24 . 2007-05-16 16:45 3,497,832 --a------ C:\WINDOWS\system32\d3dx9_34.dll
2008-09-12 08:45 . 2008-09-12 08:45 <REP> d-------- C:\WINDOWS\system32\IOSUBSYS
2008-09-09 10:00 . 2008-09-09 10:00 <REP> d-------- C:\Documents and Settings\xxxxx\.thumbnails
2008-09-04 08:43 . 2008-09-04 08:43 57,164 --ah----- C:\WINDOWS\system32\mlfcache.dat
2008-09-03 12:28 . 2008-09-12 09:16 <REP> d-------- C:\Program Files\Google
2008-08-27 11:04 . 2008-08-27 11:04 <REP> d-------- C:\WINDOWS\system32\fr
2008-08-27 11:04 . 2008-08-27 11:04 <REP> d-------- C:\WINDOWS\system32\bits
2008-08-27 11:04 . 2008-08-27 11:04 <REP> d-------- C:\WINDOWS\l2schemas
2008-08-27 11:00 . 2008-08-27 11:04 <REP> d-------- C:\WINDOWS\ServicePackFiles
2008-08-27 10:08 . 2008-08-27 10:08 <REP> d-------- C:\Program Files\Opera
2008-08-27 09:40 . 2008-08-27 09:41 <REP> d-------- C:\Program Files\Safari
2008-08-27 09:40 . 2008-08-27 09:40 <REP> d-------- C:\Program Files\Apple Software Update
2008-08-26 09:04 . 2004-08-03 22:29 25,471 --------- C:\WINDOWS\system32\drivers\watv10nt.sys
2008-08-26 09:04 . 2004-08-03 22:29 22,271 --------- C:\WINDOWS\system32\drivers\watv06nt.sys
2008-08-26 09:04 . 2004-08-03 22:29 11,935 --------- C:\WINDOWS\system32\drivers\wadv11nt.sys
2008-08-26 09:02 . 2004-08-03 22:41 1,041,536 --------- C:\WINDOWS\system32\drivers\hsfdpsp2.sys
2008-08-26 09:02 . 2004-08-03 22:41 685,056 --------- C:\WINDOWS\system32\drivers\hsfcxts2.sys
2008-08-26 09:02 . 2004-08-03 22:41 220,032 --------- C:\WINDOWS\system32\drivers\hsfbs2s2.sys
2008-08-26 09:02 . 2004-08-03 22:41 11,868 --------- C:\WINDOWS\system32\drivers\mdmxsdk.sys
2008-08-26 09:01 . 2004-07-17 22:55 129,045 --------- C:\WINDOWS\system32\drivers\cxthsfs2.cty
2008-08-26 08:58 . 2004-08-03 22:29 63,663 --------- C:\WINDOWS\system32\drivers\ati1rvxx.sys
2008-08-26 08:58 . 2004-08-03 22:29 56,623 --------- C:\WINDOWS\system32\drivers\ati1btxx.sys
2008-08-26 08:58 . 2004-08-03 22:29 36,463 --------- C:\WINDOWS\system32\drivers\ati1tuxx.sys
2008-08-26 08:58 . 2004-08-03 22:29 34,735 --------- C:\WINDOWS\system32\drivers\ati1xsxx.sys
2008-08-26 08:58 . 2004-08-03 22:29 30,671 --------- C:\WINDOWS\system32\drivers\ati1raxx.sys
2008-08-26 08:58 . 2004-08-03 22:29 29,455 --------- C:\WINDOWS\system32\drivers\ati1xbxx.sys
2008-08-26 08:58 . 2004-08-03 22:29 26,367 --------- C:\WINDOWS\system32\drivers\ati1snxx.sys
2008-08-26 08:58 . 2004-08-03 22:29 21,343 --------- C:\WINDOWS\system32\drivers\ati1ttxx.sys
2008-08-26 08:58 . 2004-08-03 22:29 12,047 --------- C:\WINDOWS\system32\drivers\ati1pdxx.sys
2008-08-26 08:58 . 2004-08-03 22:29 11,615 --------- C:\WINDOWS\system32\drivers\ati1mdxx.sys
2008-08-26 08:51 . 2008-04-11 21:05 691,712 -----c--- C:\WINDOWS\system32\dllcache\inetcomm.dll
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-25 09:59 2,760,736 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-09-24 15:41 34,772 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-09-23 09:51 --------- d-----w C:\Documents and Settings\xxxxx\Application Data\gtk-2.0
2008-09-15 07:31 --------- d-----w C:\Program Files\free-downloads.net
2008-09-15 07:31 --------- d-----w C:\Program Files\Conduit
2008-09-12 08:44 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple Computer
2008-09-12 08:33 --------- d-----w C:\Program Files\Bonjour
2008-09-11 01:04 --------- d-----w C:\Documents and Settings\All Users\Application Data\Microsoft Help
2008-09-01 19:19 --------- d-----w C:\Documents and Settings\All Users\Application Data\FLEXnet
2008-08-27 07:42 --------- d-----w C:\Documents and Settings\xxxxx\Application Data\Apple Computer
2008-08-04 06:39 1,765,928 ----a-w C:\WINDOWS\Internet Logs\tvDebug.zip
2008-07-29 07:37 --------- d-----w C:\Program Files\Java
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-18 20:07 270,880 ----a-w C:\WINDOWS\system32\mucltui.dll
2008-07-18 20:07 210,976 ----a-w C:\WINDOWS\system32\muweb.dll
2008-07-07 20:28 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-03-16 20:03 15,397 ----a-w C:\Program Files\settings.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"AlcoholAutomount"="C:\Program Files\Alcohol Soft\Alcohol 52\axcmd.exe" [2008-03-20 217544]
"Google Update"="C:\Documents and Settings\xxxxx\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2008-09-04 133104]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 78008]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"Acrobat Assistant 8.0"="C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2006-10-22 620152]
"Adobe_ID0EYTHM"="C:\PROGRA~1\FICHIE~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE" [2007-03-20 1884160]
"PinnacleDriverCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [2004-03-11 406016]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-03-28 413696]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 919016]
"SoundMan"="SOUNDMAN.EXE" [2003-07-16 C:\WINDOWS\SOUNDMAN.EXE]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]
C:\Documents and Settings\xxxxx\Menu D‚marrer\Programmes\D‚marrage\
RocketDock.lnk - C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe [2007-03-19 630784]
TransBar.lnk - C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe [2005-06-01 65536]
UberIcon.lnk - C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe [2006-05-21 180224]
Y'z Shadow.lnk - C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe [2006-05-21 155648]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= vdrcodec.dll
"VIDC.MJPG"= Pvmjpg30.dll
"VIDC.PIM1"= pclepim1.dll
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 78416]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560]
S3 NPF;WinPcap Packet Driver (NPF);C:\WINDOWS\system32\drivers\NPF.sys [2008-05-03 34064]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\##stockage#partage_com]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{258b76b3-2573-11dd-8566-00112fac7731}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe
\Shell\Open(&0)\command - Recycled\ctfmon.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{31b5c2de-00c8-11dd-8557-00112fac7731}]
\Shell\AutoRun\command - G:\LaunchU3.exe -a
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f027442b-7418-11dd-8580-00112fac7731}]
\Shell\AutoRun\command - G:\Autorun.exe /run
\Shell\Shell00\Command - G:\Autorun.exe /run
\Shell\Shell01\Command - G:\Autorun.exe /action
\Shell\Shell02\Command - G:\Autorun.exe /uninstall
*Newly Created Service* - PROCEXP90
.
Contenu du dossier 'Tâches planifiées'
.
.
------- Examen supplémentaire -------
.
FireFox -: Profile - C:\Documents and Settings\xxxxx\Application Data\Mozilla\Firefox\Profiles\kd0rg00a.default\
FF -: plugin - C:\Documents and Settings\xxxxx\Local Settings\Application Data\Google\Update\1.2.131.11\npGoogleOneClick5.dll
FF -: plugin - C:\Program Files\iTunes\Mozilla Plugins\npitunes.dll
FF -: plugin - F:\LIBERKEY\APPS\FIREFOX\APP\FIREFOX\plugins\npnul32.dll
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-25 11:59:03
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
PROCESSUS: C:\WINDOWS\explorer.exe
-> C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.dll
.
Heure de fin: 2008-09-25 12:02:30
ComboFix-quarantined-files.txt 2008-09-25 10:02:00
Avant-CF: 50ÿ444ÿ722ÿ176 octets libres
Après-CF: 53,860,667,392 octets libres
150 --- E O F --- 2008-09-11 01:06:36
merci encore pour vos réponses et les solutions que vous pouvez m'apporter
.
Bonjour à tous,
je poste comme convenu les 2 rapports :
dans celui de ComboFix : Rien
Malwarebytes' Anti-Malware 1.28
Version de la base de données: 1203
Windows 5.1.2600 Service Pack 3
2008-09-25 13:54:59
mbam-log-2008-09-25 (13-54-59).txt
Type de recherche: Examen complet (C:\|)
Eléments examinés: 188743
Temps écoulé: 1 hour(s), 15 minute(s), 29 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Par contre sur kapersjy online : problèmes dans C:\System Volume Information\
-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Friday, September 26, 2008 9:19:49 AM
Système d'exploitation : Microsoft Windows XP Professional, Service Pack 3 (Build 2600)
Kaspersky On-line Scanner version : 5.0.84.2
Dernière mise à jour de la base antivirus Kaspersky : 25/09/2008
Enregistrements dans la base antivirus Kaspersky : 1258684
-------------------------------------------------------------------------------
Paramètres d'analyse:
Analyser avec la base antivirus suivante: étendue
Analyser les archives: vrai
Analyser les bases de messagerie: vrai
Cible de l'analyse - Dossiers:
C:\
Statistiques de l'analyse:
Total d'objets analysés: 150553
Nombre de virus trouvés: 6
Nombre d'objets infectés: 6 / 0
Nombre d'objets suspects: 0
Durée de l'analyse: 03:50:09
Nom de l'objet infecté / Nom du virus / Dernière action
C:\Documents and Settings\All Users\Application Data\FLEXnet\adobe_00080000_tsf.data L'objet est verrouillé ignoré
C:\Documents and Settings\xxxxx\Application Data\Microsoft\Outlook\Outlook.srs L'objet est verrouillé ignoré
C:\Documents and Settings\xxxxx\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\xxxxx\Local Settings\Application Data\Adobe\Updater5\aumLib.log L'objet est verrouillé ignoré
C:\Documents and Settings\xxxxx\Local Settings\Application Data\Microsoft\Feeds Cache\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\xxxxx\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\xxxxx\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\xxxxx\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\xxxxx\Local Settings\Historique\History.IE5\MSHist012008092520080926\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\xxxxx\Local Settings\Temp\alm.log L'objet est verrouillé ignoré
C:\Documents and Settings\xxxxx\Local Settings\Temp\amt.log L'objet est verrouillé ignoré
C:\Documents and Settings\xxxxx\Local Settings\Temp\ExchangePerflog_8484fa319d69c50dcfcccd43.dat L'objet est verrouillé ignoré
C:\Documents and Settings\xxxxx\Local Settings\Temp\~DFAB11.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\xxxxx\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\xxxxx\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\xxxxx\NTUSER.DAT.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Temp\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Temp\History\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\logs\sw_ae-20080925-091746.log L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\log\nshield.log L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\log\selfdef.log L'objet est verrouillé ignoré
C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
C:\System Volume Information\_restore{63B1DEA9-BED5-4015-B1F0-30FD966A5E15}\RP115\A0025614.exe Infecté : not-a-virus:RemoteAdmin.Win32.WinVNC-based.aj ignoré
C:\System Volume Information\_restore{63B1DEA9-BED5-4015-B1F0-30FD966A5E15}\RP115\A0026883.exe Infecté : not-a-virus:NetTool.Win32.Portscan.l ignoré
C:\System Volume Information\_restore{63B1DEA9-BED5-4015-B1F0-30FD966A5E15}\RP115\A0026984.exe Infecté : not-a-virus:Server-FTP.Win32.SFH.d ignoré
C:\System Volume Information\_restore{63B1DEA9-BED5-4015-B1F0-30FD966A5E15}\RP115\A0027460.exe Infecté : not-a-virus:NetTool.Win32.Etoolz ignoré
C:\System Volume Information\_restore{63B1DEA9-BED5-4015-B1F0-30FD966A5E15}\RP115\A0027473.exe Infecté : Trojan-Downloader.Win32.Agent.afvr ignoré
C:\System Volume Information\_restore{63B1DEA9-BED5-4015-B1F0-30FD966A5E15}\RP115\A0027483.exe Infecté : not-a-virus:RiskTool.Win32.Shutdown.j ignoré
C:\System Volume Information\_restore{63B1DEA9-BED5-4015-B1F0-30FD966A5E15}\RP138\change.log L'objet est verrouillé ignoré
C:\WINDOWS\CSC\00000001 L'objet est verrouillé ignoré
C:\WINDOWS\Debug\Netlogon.log L'objet est verrouillé ignoré
C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
C:\WINDOWS\Internet Logs\IAMDB.RDB L'objet est verrouillé ignoré
C:\WINDOWS\Internet Logs\MAIRIE.ldb L'objet est verrouillé ignoré
C:\WINDOWS\Internet Logs\tvDebug.log L'objet est verrouillé ignoré
C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré
C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\Antivirus.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\Internet.evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\ODiag.evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\OSession.evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\drivers\fidbox.dat L'objet est verrouillé ignoré
C:\WINDOWS\system32\drivers\fidbox.idx L'objet est verrouillé ignoré
C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré
C:\WINDOWS\Temp\Perflib_Perfdata_664.dat L'objet est verrouillé ignoré
C:\WINDOWS\Temp\ZLT01488.TMP L'objet est verrouillé ignoré
C:\WINDOWS\Temp\ZLT0148b.TMP L'objet est verrouillé ignoré
C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré
C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré
C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré
Analyse terminée.
La question maintenant c'est comment je peux faire pour éliminer ces problèmes ?
je vous remercie encore pour toutes les réponses que vous voudrez bien m'apporter
.
je poste comme convenu les 2 rapports :
dans celui de ComboFix : Rien
Malwarebytes' Anti-Malware 1.28
Version de la base de données: 1203
Windows 5.1.2600 Service Pack 3
2008-09-25 13:54:59
mbam-log-2008-09-25 (13-54-59).txt
Type de recherche: Examen complet (C:\|)
Eléments examinés: 188743
Temps écoulé: 1 hour(s), 15 minute(s), 29 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Par contre sur kapersjy online : problèmes dans C:\System Volume Information\
-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Friday, September 26, 2008 9:19:49 AM
Système d'exploitation : Microsoft Windows XP Professional, Service Pack 3 (Build 2600)
Kaspersky On-line Scanner version : 5.0.84.2
Dernière mise à jour de la base antivirus Kaspersky : 25/09/2008
Enregistrements dans la base antivirus Kaspersky : 1258684
-------------------------------------------------------------------------------
Paramètres d'analyse:
Analyser avec la base antivirus suivante: étendue
Analyser les archives: vrai
Analyser les bases de messagerie: vrai
Cible de l'analyse - Dossiers:
C:\
Statistiques de l'analyse:
Total d'objets analysés: 150553
Nombre de virus trouvés: 6
Nombre d'objets infectés: 6 / 0
Nombre d'objets suspects: 0
Durée de l'analyse: 03:50:09
Nom de l'objet infecté / Nom du virus / Dernière action
C:\Documents and Settings\All Users\Application Data\FLEXnet\adobe_00080000_tsf.data L'objet est verrouillé ignoré
C:\Documents and Settings\xxxxx\Application Data\Microsoft\Outlook\Outlook.srs L'objet est verrouillé ignoré
C:\Documents and Settings\xxxxx\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\xxxxx\Local Settings\Application Data\Adobe\Updater5\aumLib.log L'objet est verrouillé ignoré
C:\Documents and Settings\xxxxx\Local Settings\Application Data\Microsoft\Feeds Cache\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\xxxxx\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\xxxxx\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\xxxxx\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\xxxxx\Local Settings\Historique\History.IE5\MSHist012008092520080926\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\xxxxx\Local Settings\Temp\alm.log L'objet est verrouillé ignoré
C:\Documents and Settings\xxxxx\Local Settings\Temp\amt.log L'objet est verrouillé ignoré
C:\Documents and Settings\xxxxx\Local Settings\Temp\ExchangePerflog_8484fa319d69c50dcfcccd43.dat L'objet est verrouillé ignoré
C:\Documents and Settings\xxxxx\Local Settings\Temp\~DFAB11.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\xxxxx\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\xxxxx\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\xxxxx\NTUSER.DAT.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Temp\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Temp\History\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\logs\sw_ae-20080925-091746.log L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\log\nshield.log L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\log\selfdef.log L'objet est verrouillé ignoré
C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
C:\System Volume Information\_restore{63B1DEA9-BED5-4015-B1F0-30FD966A5E15}\RP115\A0025614.exe Infecté : not-a-virus:RemoteAdmin.Win32.WinVNC-based.aj ignoré
C:\System Volume Information\_restore{63B1DEA9-BED5-4015-B1F0-30FD966A5E15}\RP115\A0026883.exe Infecté : not-a-virus:NetTool.Win32.Portscan.l ignoré
C:\System Volume Information\_restore{63B1DEA9-BED5-4015-B1F0-30FD966A5E15}\RP115\A0026984.exe Infecté : not-a-virus:Server-FTP.Win32.SFH.d ignoré
C:\System Volume Information\_restore{63B1DEA9-BED5-4015-B1F0-30FD966A5E15}\RP115\A0027460.exe Infecté : not-a-virus:NetTool.Win32.Etoolz ignoré
C:\System Volume Information\_restore{63B1DEA9-BED5-4015-B1F0-30FD966A5E15}\RP115\A0027473.exe Infecté : Trojan-Downloader.Win32.Agent.afvr ignoré
C:\System Volume Information\_restore{63B1DEA9-BED5-4015-B1F0-30FD966A5E15}\RP115\A0027483.exe Infecté : not-a-virus:RiskTool.Win32.Shutdown.j ignoré
C:\System Volume Information\_restore{63B1DEA9-BED5-4015-B1F0-30FD966A5E15}\RP138\change.log L'objet est verrouillé ignoré
C:\WINDOWS\CSC\00000001 L'objet est verrouillé ignoré
C:\WINDOWS\Debug\Netlogon.log L'objet est verrouillé ignoré
C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
C:\WINDOWS\Internet Logs\IAMDB.RDB L'objet est verrouillé ignoré
C:\WINDOWS\Internet Logs\MAIRIE.ldb L'objet est verrouillé ignoré
C:\WINDOWS\Internet Logs\tvDebug.log L'objet est verrouillé ignoré
C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré
C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\Antivirus.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\Internet.evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\ODiag.evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\OSession.evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\drivers\fidbox.dat L'objet est verrouillé ignoré
C:\WINDOWS\system32\drivers\fidbox.idx L'objet est verrouillé ignoré
C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré
C:\WINDOWS\Temp\Perflib_Perfdata_664.dat L'objet est verrouillé ignoré
C:\WINDOWS\Temp\ZLT01488.TMP L'objet est verrouillé ignoré
C:\WINDOWS\Temp\ZLT0148b.TMP L'objet est verrouillé ignoré
C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré
C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré
C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré
Analyse terminée.
La question maintenant c'est comment je peux faire pour éliminer ces problèmes ?
je vous remercie encore pour toutes les réponses que vous voudrez bien m'apporter
.
slt
c'est toi qui a configuré ce reseau : ?
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = xxxxxxxx
O17 - HKLM\Software\..\Telephony: DomainName = xxxxxxxx
O17 - HKLM\System\CCS\Services\Tcpip\..\{51AE1CA4-67EE-43F2-B3ED-D5DDAE1D54D7}: NameServer = 10.50.1.17
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = xxxxxxxx
O17 - HKLM\System\CS1\Services\Tcpip\..\{51AE1CA4-67EE-43F2-B3ED-D5DDAE1D54D7}: NameServer = 10.50.1.17
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = xxxxxxxxx
O17 - HKLM\System\CS2\Services\Tcpip\..\{51AE1CA4-67EE-43F2-B3ED-D5DDAE1D54D7}: NameServer = 10.50.1.17
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = xxxxxxxxx
O17 - HKLM\System\CS3\Services\Tcpip\..\{51AE1CA4-67EE-43F2-B3ED-D5DDAE1D54D7}: NameServer = 10.50.1.17
_______________________
sinon pour verifier:
télécharge combofix (par sUBs) ici :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
et enregistre le sur le bureau.
déconnecte toi d'internet et ferme toutes tes applications.
désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)
double-clique sur combofix.exe et suis les instructions
à la fin, il va produire un rapport C:\ComboFix.txt
réactive ton parefeu, ton antivirus, la garde de ton antispyware
copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.
Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.
Tu as un tutoriel complet ici :
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
c'est toi qui a configuré ce reseau : ?
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = xxxxxxxx
O17 - HKLM\Software\..\Telephony: DomainName = xxxxxxxx
O17 - HKLM\System\CCS\Services\Tcpip\..\{51AE1CA4-67EE-43F2-B3ED-D5DDAE1D54D7}: NameServer = 10.50.1.17
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = xxxxxxxx
O17 - HKLM\System\CS1\Services\Tcpip\..\{51AE1CA4-67EE-43F2-B3ED-D5DDAE1D54D7}: NameServer = 10.50.1.17
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = xxxxxxxxx
O17 - HKLM\System\CS2\Services\Tcpip\..\{51AE1CA4-67EE-43F2-B3ED-D5DDAE1D54D7}: NameServer = 10.50.1.17
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = xxxxxxxxx
O17 - HKLM\System\CS3\Services\Tcpip\..\{51AE1CA4-67EE-43F2-B3ED-D5DDAE1D54D7}: NameServer = 10.50.1.17
_______________________
sinon pour verifier:
télécharge combofix (par sUBs) ici :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
et enregistre le sur le bureau.
déconnecte toi d'internet et ferme toutes tes applications.
désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)
double-clique sur combofix.exe et suis les instructions
à la fin, il va produire un rapport C:\ComboFix.txt
réactive ton parefeu, ton antivirus, la garde de ton antispyware
copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.
Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.
Tu as un tutoriel complet ici :
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
scan avec
MalwareByte's Anti-Malware et vire ce qui est trouvé et colle le rapport
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
____________________
colle le rapport d'un scan en ligne
avec un des suivants:
bitdefender en ligne :
http://www.bitdefender.fr/scan_fr/scan8/ie.html
Kaspersky en ligne
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
Panda en ligne :
http://pandasoftware.fr
MalwareByte's Anti-Malware et vire ce qui est trouvé et colle le rapport
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
____________________
colle le rapport d'un scan en ligne
avec un des suivants:
bitdefender en ligne :
http://www.bitdefender.fr/scan_fr/scan8/ie.html
Kaspersky en ligne
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
Panda en ligne :
http://pandasoftware.fr
pour zone alarm supprime les alertes comme cela tu ne sera plus embété et il bloquera de lui meme les attaques sans te prevenir car on en a tous plusieurs dizaines par jour voire centaines...
sinon rien dans les rappport
comme le dis kaspersky : " not a virus " donc pas inquiétant de plus c'est dans ta restauration qu'il suffit de désactiver puis de redemarrer ton ordi puis de la réactiver pour les virer (il y a notamment VNC que tu as du mettre pour te faire aider a distance)
https://www.informatruc.com
C:\System Volume Information\_restore{63B1DEA9-BED5-4015-B1F0-30FD966A5E15}\RP115\A0025614.exe Infecté : not-a-virus:RemoteAdmin.Win32.WinVNC-based.aj ignoré
C:\System Volume Information\_restore{63B1DEA9-BED5-4015-B1F0-30FD966A5E15}\RP115\A0026883.exe Infecté : not-a-virus:NetTool.Win32.Portscan.l ignoré
C:\System Volume Information\_restore{63B1DEA9-BED5-4015-B1F0-30FD966A5E15}\RP115\A0026984.exe Infecté : not-a-virus:Server-FTP.Win32.SFH.d ignoré
C:\System Volume Information\_restore{63B1DEA9-BED5-4015-B1F0-30FD966A5E15}\RP115\A0027460.exe Infecté : not-a-virus:NetTool.Win32.Etoolz ignoré
C:\System Volume Information\_restore{63B1DEA9-BED5-4015-B1F0-30FD966A5E15}\RP115\A0027473.exe Infecté : Trojan-Downloader.Win32.Agent.afvr ignoré
C:\System Volume Information\_restore{63B1DEA9-BED5-4015-B1F0-30FD966A5E15}\RP115\A0027483.exe Infecté : not-a-virus:RiskTool.Win32.Shutdown.j ignoré
sinon rien dans les rappport
comme le dis kaspersky : " not a virus " donc pas inquiétant de plus c'est dans ta restauration qu'il suffit de désactiver puis de redemarrer ton ordi puis de la réactiver pour les virer (il y a notamment VNC que tu as du mettre pour te faire aider a distance)
https://www.informatruc.com
C:\System Volume Information\_restore{63B1DEA9-BED5-4015-B1F0-30FD966A5E15}\RP115\A0025614.exe Infecté : not-a-virus:RemoteAdmin.Win32.WinVNC-based.aj ignoré
C:\System Volume Information\_restore{63B1DEA9-BED5-4015-B1F0-30FD966A5E15}\RP115\A0026883.exe Infecté : not-a-virus:NetTool.Win32.Portscan.l ignoré
C:\System Volume Information\_restore{63B1DEA9-BED5-4015-B1F0-30FD966A5E15}\RP115\A0026984.exe Infecté : not-a-virus:Server-FTP.Win32.SFH.d ignoré
C:\System Volume Information\_restore{63B1DEA9-BED5-4015-B1F0-30FD966A5E15}\RP115\A0027460.exe Infecté : not-a-virus:NetTool.Win32.Etoolz ignoré
C:\System Volume Information\_restore{63B1DEA9-BED5-4015-B1F0-30FD966A5E15}\RP115\A0027473.exe Infecté : Trojan-Downloader.Win32.Agent.afvr ignoré
C:\System Volume Information\_restore{63B1DEA9-BED5-4015-B1F0-30FD966A5E15}\RP115\A0027483.exe Infecté : not-a-virus:RiskTool.Win32.Shutdown.j ignoré
