Isass.exe aidez moi svp
Fermé
Dadou1979
-
4 nov. 2008 à 11:34
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 - 5 nov. 2008 à 18:16
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 - 5 nov. 2008 à 18:16
A voir également:
- Isass.exe aidez moi svp
- Isass.exe - Forum Windows
- Erreur de isass.exe au démarrage - Forum Windows
- Help!!!!!! isass.exe pb ✓ - Forum Windows
- Isas.exe et Isass.exe - Forum Virus
11 réponses
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
463
4 nov. 2008 à 11:35
4 nov. 2008 à 11:35
Salut,
fais ceci pour commencer :
Télécharges et installes le logiciel HijackThis :
ici HijackThis
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html
1- Cliques sur le setup pour lancer l'installe : laisses toi guider et ne modifies pas les paramètres d'installation .
A la fin de l'installe , le prg se lance automatiquement : fermes le en cliquant sur la croix rouge .
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .
Supprimes le raccourcis stp ...
Important :
Renommer le prg HijackThis (pour contrer l'infection Vundo):
Rends toi sur ton PC ici "C:\ program files\Trend Micro\HijackThis\HijackThis.exe"<---cliques droit sur ce dernier et choisis "renommer" : tapes monjack et valides .
Puis cliques droit sur "monjack.exe" et choisis "envoyer vers" -> le bureau ( créer un raccourci ).
tuto pour utilisation
Regardes ici, c'est parfaitement expliqué en images (merci balltrap34) :
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm
( Ne fixes encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement )
2-!! Déconnectes toi et fermes toute tes applications en cours !!
Cliques sur le raccourci du bureau pour lancer le prg :
fais un scan "monjack" (ou HijackThis renommé) en cliquant sur : "Do a system scan and save a logfile"
---> Postes le rapport généré pour analyse ...
fais ceci pour commencer :
Télécharges et installes le logiciel HijackThis :
ici HijackThis
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html
1- Cliques sur le setup pour lancer l'installe : laisses toi guider et ne modifies pas les paramètres d'installation .
A la fin de l'installe , le prg se lance automatiquement : fermes le en cliquant sur la croix rouge .
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .
Supprimes le raccourcis stp ...
Important :
Renommer le prg HijackThis (pour contrer l'infection Vundo):
Rends toi sur ton PC ici "C:\ program files\Trend Micro\HijackThis\HijackThis.exe"<---cliques droit sur ce dernier et choisis "renommer" : tapes monjack et valides .
Puis cliques droit sur "monjack.exe" et choisis "envoyer vers" -> le bureau ( créer un raccourci ).
tuto pour utilisation
Regardes ici, c'est parfaitement expliqué en images (merci balltrap34) :
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm
( Ne fixes encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement )
2-!! Déconnectes toi et fermes toute tes applications en cours !!
Cliques sur le raccourci du bureau pour lancer le prg :
fais un scan "monjack" (ou HijackThis renommé) en cliquant sur : "Do a system scan and save a logfile"
---> Postes le rapport généré pour analyse ...
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
463
4 nov. 2008 à 11:51
4 nov. 2008 à 11:51
Bien infecté ! .... Du boulot ....
Et pas d'Antivirus ! Donc pas étonnant ... on fois qu'on aura désinfecté le PC , on en instalera un ( t'inquiète , du gratos et du performant ;) )
Commences par ceci :
1- Important :
Désactives le "tea timer" de Spybot S&D en t'aidant de ce tuto animé (merci Balltrap ;) ) :
http://perso.orange.fr/rginformatique/section%20virus/demo%20spybot.htm
( sur la 1er image , cliques sur "tea timer" pour lancer l'animation ).
En effet , il risque de géner dans le bon déroulement des outils de désinfections ...
Tu le réactiveras une fois qu'on aura finis de désinfecter ( et pas avant ! ) .
Attention , à ce moment là, Spybot te demandera des modifs de registres :
tu les accepteras toutes ! ...
2- On va faire une petite vérif :
Avoir accès aux fichiers cachés :
Vas dans Menu Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage
* "Afficher les fichiers et dossiers cachés" ---> coché
* "Masquer les extensions des fichiers dont le type est connu" ---> décoché
* "masquer les fichiers du système" ---> décoché
-> valides la modif ( "appliquer" puis "ok" ).
( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... )
3- Rends toi sur ce site :
https://www.virustotal.com/gui/
Copies ce qui suit et colles le dans l'espace pour la recherche :
C:\WINDOWS\system32\QI02\QI022328.exe
Cliques sur Send File ( = " Envoyer le fichier " ).
Un rapport va s'élaborer ligne à ligne.
Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.
Sauvegarde le rapport avec le bloc-note.
Copies le dans ta prochaine réponse ( surtout le début avec le listing des AV ... )
( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )
Et pas d'Antivirus ! Donc pas étonnant ... on fois qu'on aura désinfecté le PC , on en instalera un ( t'inquiète , du gratos et du performant ;) )
Commences par ceci :
1- Important :
Désactives le "tea timer" de Spybot S&D en t'aidant de ce tuto animé (merci Balltrap ;) ) :
http://perso.orange.fr/rginformatique/section%20virus/demo%20spybot.htm
( sur la 1er image , cliques sur "tea timer" pour lancer l'animation ).
En effet , il risque de géner dans le bon déroulement des outils de désinfections ...
Tu le réactiveras une fois qu'on aura finis de désinfecter ( et pas avant ! ) .
Attention , à ce moment là, Spybot te demandera des modifs de registres :
tu les accepteras toutes ! ...
2- On va faire une petite vérif :
Avoir accès aux fichiers cachés :
Vas dans Menu Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage
* "Afficher les fichiers et dossiers cachés" ---> coché
* "Masquer les extensions des fichiers dont le type est connu" ---> décoché
* "masquer les fichiers du système" ---> décoché
-> valides la modif ( "appliquer" puis "ok" ).
( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... )
3- Rends toi sur ce site :
https://www.virustotal.com/gui/
Copies ce qui suit et colles le dans l'espace pour la recherche :
C:\WINDOWS\system32\QI02\QI022328.exe
Cliques sur Send File ( = " Envoyer le fichier " ).
Un rapport va s'élaborer ligne à ligne.
Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.
Sauvegarde le rapport avec le bloc-note.
Copies le dans ta prochaine réponse ( surtout le début avec le listing des AV ... )
( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
463
>
Dadou1979
4 nov. 2008 à 12:06
4 nov. 2008 à 12:06
c'est bien ceci que tu colles pour la recherche :
C:\WINDOWS\system32\QI02\QI022328.exe
?
C:\WINDOWS\system32\QI02\QI022328.exe
?
Dadou1979
>
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
4 nov. 2008 à 12:12
4 nov. 2008 à 12:12
oui oui,
C'est juste qu'au moment de coller le lien dans la fenetre de recherche, j'ai le sablier qui tourne et qui m'empeche de coller le lien.....
C'est juste qu'au moment de coller le lien dans la fenetre de recherche, j'ai le sablier qui tourne et qui m'empeche de coller le lien.....
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
463
4 nov. 2008 à 12:12
4 nov. 2008 à 12:12
Alors ? ..... marche pas ? ....
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
463
4 nov. 2008 à 12:13
4 nov. 2008 à 12:13
laisses courir , j'aviserai en temps voulu ....
commences par ceci :
1-Vas dans panneau de config/ajout et suppression de prg .
Regardes dans la liste si tu trouves un prg comme : " CID Help ", "Circle Developement" ou
"Adverts" --->si ils s'y trouvent , supprimes les .
2-Télécharges Lop S&D :
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/LopSD.exe?attachauth=ANoY7co3ntqUavpZ3q1BG-h4pc13vqDZmhcNeEPChtsyrgAykRbhE8bZzhk979EfQD4AgwtQUHCaQ7ZQwNYMo3_0kA8htAspckDJtu2K5t6J9z6dLW4fpZyH4FpFL1tVMBZ8H-KnN7afZ5vt-WxZRpnynk-a0XmV_Y0C0q6DxGEDKie1TnPT7gFoZnoCnspzBmbW6ZzxA4fNr3oEDlbelNZON-LjF8nOmQ%3D%3D&attredirects=2
Déconnetes toi et fermes toutes tes applications en cours .
Double cliques sur sur l'.exe que tu viens de télécharger pour lancer l'installe .
Une fois l'installation faite, cliques sur le raccourci pour lancer l'outil .
Là,laisses toi guider:
--->choisis l'option 1 (recherche) et valides.
(Tu ne fais pas l'option de nettoyage ( 2 ou 3) ).
Une fois le scan terminer ,le Bloc-Notes contenant le rapport va s'ouvrir.
Postes ce rapport dans ta prochaine réponse pour analyse .
Tuto : https://sites.google.com/site/eric71mespages/lop.sd.exe
commences par ceci :
1-Vas dans panneau de config/ajout et suppression de prg .
Regardes dans la liste si tu trouves un prg comme : " CID Help ", "Circle Developement" ou
"Adverts" --->si ils s'y trouvent , supprimes les .
2-Télécharges Lop S&D :
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/LopSD.exe?attachauth=ANoY7co3ntqUavpZ3q1BG-h4pc13vqDZmhcNeEPChtsyrgAykRbhE8bZzhk979EfQD4AgwtQUHCaQ7ZQwNYMo3_0kA8htAspckDJtu2K5t6J9z6dLW4fpZyH4FpFL1tVMBZ8H-KnN7afZ5vt-WxZRpnynk-a0XmV_Y0C0q6DxGEDKie1TnPT7gFoZnoCnspzBmbW6ZzxA4fNr3oEDlbelNZON-LjF8nOmQ%3D%3D&attredirects=2
Déconnetes toi et fermes toutes tes applications en cours .
Double cliques sur sur l'.exe que tu viens de télécharger pour lancer l'installe .
Une fois l'installation faite, cliques sur le raccourci pour lancer l'outil .
Là,laisses toi guider:
--->choisis l'option 1 (recherche) et valides.
(Tu ne fais pas l'option de nettoyage ( 2 ou 3) ).
Une fois le scan terminer ,le Bloc-Notes contenant le rapport va s'ouvrir.
Postes ce rapport dans ta prochaine réponse pour analyse .
Tuto : https://sites.google.com/site/eric71mespages/lop.sd.exe
voici le rapport :
--------------------\\ Lop S&D 4.2.4-9c XP/Vista
Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : Intel(R) Pentium(R) M processor 1.60GHz )
BIOS : Phoenix ROM BIOS PLUS Version 1.10 A04
USER : Damien ( Administrator )
BOOT : Normal boot
C:\ (Local Disk) - NTFS - Total:37 Go (Free:15 Go)
D:\ (CD or DVD)
"C:\Lop SD" ( MAJ : 01-11-2008|16:30 )
Option : [1] ( 04/11/2008|12:16 )
--------------------\\ Listing des dossiers dans APPLIC~1
[03/07/2008|19:33] C:\DOCUME~1\ADMINI~1\APPLIC~1\Identities
[03/07/2008|19:23] C:\DOCUME~1\ADMINI~1\APPLIC~1\Microsoft
[28/10/2008|15:44] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Adobe
[28/10/2008|15:42] C:\DOCUME~1\ALLUSE~1\APPLIC~1\FLEXnet
[03/11/2008|09:31] C:\DOCUME~1\ALLUSE~1\APPLIC~1\F-Secure
[02/11/2008|20:42] C:\DOCUME~1\ALLUSE~1\APPLIC~1\fssg
[14/07/2008|12:12] C:\DOCUME~1\ALLUSE~1\APPLIC~1\ma-config.com
[19/07/2008|13:36] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Messenger Plus!
[16/07/2008|14:54] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Microsoft
[16/10/2008|08:36] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Microsoft Help
[03/11/2008|09:25] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
[14/07/2008|12:51] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Windows Genuine Advantage
[14/07/2008|12:56] C:\DOCUME~1\ALLUSE~1\APPLIC~1\WLInstaller
[03/11/2008|13:43] C:\DOCUME~1\Damien\APPLIC~1\Adobe
[03/11/2008|13:46] C:\DOCUME~1\Damien\APPLIC~1\AdobeUM
[02/11/2008|21:54] C:\DOCUME~1\Damien\APPLIC~1\Facegame
[02/11/2008|20:55] C:\DOCUME~1\Damien\APPLIC~1\F-Secure
[02/11/2008|09:40] C:\DOCUME~1\Damien\APPLIC~1\Gool
[03/07/2008|19:35] C:\DOCUME~1\Damien\APPLIC~1\Identities
[11/09/2008|13:51] C:\DOCUME~1\Damien\APPLIC~1\InstallShield
[03/10/2008|08:22] C:\DOCUME~1\Damien\APPLIC~1\LimeWire
[14/07/2008|11:34] C:\DOCUME~1\Damien\APPLIC~1\Macromedia
[03/11/2008|13:15] C:\DOCUME~1\Damien\APPLIC~1\Microsoft
[14/07/2008|11:46] C:\DOCUME~1\Damien\APPLIC~1\Mozilla
[20/08/2008|19:47] C:\DOCUME~1\Damien\APPLIC~1\Samsung
[02/11/2008|22:09] C:\DOCUME~1\Damien\APPLIC~1\SpeedRunner
[14/07/2008|12:24] C:\DOCUME~1\Damien\APPLIC~1\Sun
[01/11/2008|09:33] C:\DOCUME~1\Damien\APPLIC~1\uTorrent
[14/07/2008|12:34] C:\DOCUME~1\Damien\APPLIC~1\vlc
[03/07/2008|19:02] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Microsoft
[15/07/2008|14:29] C:\DOCUME~1\LOCALS~1\APPLIC~1\Microsoft
[03/07/2008|19:06] C:\DOCUME~1\NETWOR~1\APPLIC~1\Microsoft
--------------------\\ Tâches planifiées dans C:\WINDOWS\tasks
[04/11/2008 10:12][--ah-----] C:\WINDOWS\tasks\SA.DAT
[05/08/2004 05:00][-r-h-----] C:\WINDOWS\tasks\desktop.ini
--------------------\\ Listing des dossiers dans C:\Program Files
[29/10/2008|09:45] C:\Program Files\Adobe
[03/11/2008|10:06] C:\Program Files\a-squared Free
[28/10/2008|15:36] C:\Program Files\Bonjour
[14/07/2008|11:13] C:\Program Files\DIFX
[02/11/2008|22:37] C:\Program Files\Fichiers communs
[01/11/2008|08:46] C:\Program Files\Free Easy Burner
[03/11/2008|12:53] C:\Program Files\F-Secure Internet Security
[20/08/2008|20:20] C:\Program Files\Google
[03/07/2008|19:33] C:\Program Files\HighMAT CD Writing Wizard
[11/09/2008|13:52] C:\Program Files\InstallShield Installation Information
[23/07/2008|11:21] C:\Program Files\Internet Explorer
[14/07/2008|11:28] C:\Program Files\Inventel
[14/07/2008|12:23] C:\Program Files\Java
[18/08/2008|13:46] C:\Program Files\Logitech
[14/07/2008|12:12] C:\Program Files\ma-config.com
[14/08/2008|07:44] C:\Program Files\Messenger
[30/08/2008|15:00] C:\Program Files\Messenger Plus! Live
[20/08/2008|10:11] C:\Program Files\Microsoft CAPICOM 2.1.0.2
[03/07/2008|19:03] C:\Program Files\microsoft frontpage
[16/07/2008|14:55] C:\Program Files\Microsoft Office
[16/07/2008|14:55] C:\Program Files\Microsoft Visual Studio
[16/07/2008|14:55] C:\Program Files\Microsoft Works
[02/11/2008|09:30] C:\Program Files\Mjcore
[23/07/2008|11:21] C:\Program Files\Movie Maker
[04/11/2008|11:42] C:\Program Files\Mozilla Firefox
[16/07/2008|14:55] C:\Program Files\MSBuild
[22/07/2008|12:55] C:\Program Files\msn
[03/07/2008|18:58] C:\Program Files\MSN Gaming Zone
[28/07/2008|14:15] C:\Program Files\MSXML 4.0
[22/07/2008|12:51] C:\Program Files\NetMeeting
[15/07/2008|13:59] C:\Program Files\Odebit Multim‚dia
[23/07/2008|11:21] C:\Program Files\Outlook Express
[20/08/2008|20:20] C:\Program Files\Picasa2
[20/08/2008|19:41] C:\Program Files\Samsung
[14/07/2008|11:28] C:\Program Files\Securitoo
[03/07/2008|19:00] C:\Program Files\Services en ligne
[14/07/2008|11:35] C:\Program Files\SigmaTel
[02/11/2008|22:12] C:\Program Files\Spybot - Search & Destroy
[14/07/2008|14:32] C:\Program Files\Thoosje Sidebar V2.3
[04/11/2008|11:38] C:\Program Files\Trend Micro
[03/07/2008|19:33] C:\Program Files\Uninstall Information
[27/10/2008|09:58] C:\Program Files\uTorrent
[08/10/2008|10:52] C:\Program Files\VAG-COM
[14/07/2008|12:34] C:\Program Files\VideoLAN
[15/07/2008|21:51] C:\Program Files\Wanadoo
[02/11/2008|09:35] C:\Program Files\Webtools
[14/07/2008|13:03] C:\Program Files\Windows Live
[15/07/2008|14:24] C:\Program Files\Windows Media Connect 2
[22/07/2008|12:56] C:\Program Files\Windows Media Player
[22/07/2008|12:51] C:\Program Files\Windows NT
[03/07/2008|19:00] C:\Program Files\WindowsUpdate
[03/07/2008|19:24] C:\Program Files\WinRAR
[03/07/2008|19:03] C:\Program Files\xerox
--------------------\\ Listing des dossiers dans C:\Program Files\Fichiers communs
[28/10/2008|15:36] C:\Program Files\Fichiers communs\Adobe
[16/07/2008|14:55] C:\Program Files\Fichiers communs\DESIGNER
[14/07/2008|11:35] C:\Program Files\Fichiers communs\InstallShield
[14/07/2008|12:20] C:\Program Files\Fichiers communs\Java
[18/08/2008|13:46] C:\Program Files\Fichiers communs\Logitech
[28/10/2008|15:18] C:\Program Files\Fichiers communs\Macrovision Shared
[25/07/2008|09:59] C:\Program Files\Fichiers communs\Microsoft Shared
[03/07/2008|18:59] C:\Program Files\Fichiers communs\MSSoap
[03/07/2008|20:53] C:\Program Files\Fichiers communs\ODBC
[03/07/2008|18:59] C:\Program Files\Fichiers communs\Services
[11/09/2008|13:52] C:\Program Files\Fichiers communs\snp325
[03/07/2008|20:53] C:\Program Files\Fichiers communs\SpeechEngines
[22/07/2008|12:51] C:\Program Files\Fichiers communs\System
[14/07/2008|13:00] C:\Program Files\Fichiers communs\WindowsLiveInstaller
--------------------\\ Process
( 37 Processes )
... OK !
--------------------\\ Recherche avec S_Lop
Aucun fichier / dossier Lop trouvé !
--------------------\\ Recherche de Fichiers / Dossiers Lop
C:\DOCUME~1\Damien\LOCALS~1\Temp\nsk87.tmp
C:\DOCUME~1\Damien\Cookies\damien@bigpoint[2].txt
C:\DOCUME~1\Damien\Cookies\damien@fr.thepimps.bigpoint[1].txt
C:\DOCUME~1\Damien\Cookies\damien@fr1.darkorbit.bigpoint[2].txt
C:\DOCUME~1\Damien\Cookies\damien@banner.cotedazurpalace[2].txt
C:\DOCUME~1\Damien\Cookies\damien@cotedazurpalace[1].txt
C:\DOCUME~1\Damien\Cookies\damien@32vegas[1].txt
C:\DOCUME~1\Damien\Cookies\damien@banner.32vegas[2].txt
C:\DOCUME~1\Damien\Cookies\damien@w2.royalvegas[1].txt
C:\DOCUME~1\Damien\Cookies\damien@888[2].txt
C:\DOCUME~1\Damien\Cookies\damien@888[3].txt
--------------------\\ Verification du Registre
..... OK !
--------------------\\ Verification du fichier Hosts
Fichier Hosts PROPRE
--------------------\\ Recherche de fichiers avec Catchme
catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-04 12:23:03
Windows 5.1.2600 Service Pack 3 NTFS
scanning hidden processes ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden files: 43
--------------------\\ Recherche d'autres infections
C:\WINDOWS\system32\PqAIlnpo.ini
C:\WINDOWS\system32\PqAIlnpo.ini2
C:\WINDOWS\system32\opnlIAqP.dll
[b]==> VUNDO <==/b
--------------------\\ Cracks & Keygens ..
C:\DOCUME~1\Damien\Local Settings\Temporary Internet Files\Content.IE5\8Q5UGGW9\keyGen[1].htm
C:\DOCUME~1\Damien\Mes documents\LimeWire\Incomplete\T-512255599-Adobe_Photoshop_CS3_Extended_v10__(with_crack_full_version).zip
C:\DOCUME~1\Damien\Recent\keygen.lnk
C:\DOCUME~1\Damien\Recent\vagcomv311[1].2keygen.lnk
C:\DOCUME~1\Damien\Recent\Vagcom_3112_incl_Keygen (2).lnk
C:\DOCUME~1\Damien\Recent\Vagcom_3112_incl_Keygen.lnk
[F:119][D:473]-> C:\DOCUME~1\Damien\LOCALS~1\Temp
[F:237][D:0]-> C:\DOCUME~1\Damien\Cookies
[F:8577][D:12]-> C:\DOCUME~1\Damien\LOCALS~1\TEMPOR~1\content.IE5
1 - "C:\Lop SD\LopR_1.txt" - 04/11/2008|12:26 - Option : [1]
--------------------\\ Fin du rapport a 12:26:09
--------------------\\ Lop S&D 4.2.4-9c XP/Vista
Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : Intel(R) Pentium(R) M processor 1.60GHz )
BIOS : Phoenix ROM BIOS PLUS Version 1.10 A04
USER : Damien ( Administrator )
BOOT : Normal boot
C:\ (Local Disk) - NTFS - Total:37 Go (Free:15 Go)
D:\ (CD or DVD)
"C:\Lop SD" ( MAJ : 01-11-2008|16:30 )
Option : [1] ( 04/11/2008|12:16 )
--------------------\\ Listing des dossiers dans APPLIC~1
[03/07/2008|19:33] C:\DOCUME~1\ADMINI~1\APPLIC~1\Identities
[03/07/2008|19:23] C:\DOCUME~1\ADMINI~1\APPLIC~1\Microsoft
[28/10/2008|15:44] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Adobe
[28/10/2008|15:42] C:\DOCUME~1\ALLUSE~1\APPLIC~1\FLEXnet
[03/11/2008|09:31] C:\DOCUME~1\ALLUSE~1\APPLIC~1\F-Secure
[02/11/2008|20:42] C:\DOCUME~1\ALLUSE~1\APPLIC~1\fssg
[14/07/2008|12:12] C:\DOCUME~1\ALLUSE~1\APPLIC~1\ma-config.com
[19/07/2008|13:36] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Messenger Plus!
[16/07/2008|14:54] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Microsoft
[16/10/2008|08:36] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Microsoft Help
[03/11/2008|09:25] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
[14/07/2008|12:51] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Windows Genuine Advantage
[14/07/2008|12:56] C:\DOCUME~1\ALLUSE~1\APPLIC~1\WLInstaller
[03/11/2008|13:43] C:\DOCUME~1\Damien\APPLIC~1\Adobe
[03/11/2008|13:46] C:\DOCUME~1\Damien\APPLIC~1\AdobeUM
[02/11/2008|21:54] C:\DOCUME~1\Damien\APPLIC~1\Facegame
[02/11/2008|20:55] C:\DOCUME~1\Damien\APPLIC~1\F-Secure
[02/11/2008|09:40] C:\DOCUME~1\Damien\APPLIC~1\Gool
[03/07/2008|19:35] C:\DOCUME~1\Damien\APPLIC~1\Identities
[11/09/2008|13:51] C:\DOCUME~1\Damien\APPLIC~1\InstallShield
[03/10/2008|08:22] C:\DOCUME~1\Damien\APPLIC~1\LimeWire
[14/07/2008|11:34] C:\DOCUME~1\Damien\APPLIC~1\Macromedia
[03/11/2008|13:15] C:\DOCUME~1\Damien\APPLIC~1\Microsoft
[14/07/2008|11:46] C:\DOCUME~1\Damien\APPLIC~1\Mozilla
[20/08/2008|19:47] C:\DOCUME~1\Damien\APPLIC~1\Samsung
[02/11/2008|22:09] C:\DOCUME~1\Damien\APPLIC~1\SpeedRunner
[14/07/2008|12:24] C:\DOCUME~1\Damien\APPLIC~1\Sun
[01/11/2008|09:33] C:\DOCUME~1\Damien\APPLIC~1\uTorrent
[14/07/2008|12:34] C:\DOCUME~1\Damien\APPLIC~1\vlc
[03/07/2008|19:02] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Microsoft
[15/07/2008|14:29] C:\DOCUME~1\LOCALS~1\APPLIC~1\Microsoft
[03/07/2008|19:06] C:\DOCUME~1\NETWOR~1\APPLIC~1\Microsoft
--------------------\\ Tâches planifiées dans C:\WINDOWS\tasks
[04/11/2008 10:12][--ah-----] C:\WINDOWS\tasks\SA.DAT
[05/08/2004 05:00][-r-h-----] C:\WINDOWS\tasks\desktop.ini
--------------------\\ Listing des dossiers dans C:\Program Files
[29/10/2008|09:45] C:\Program Files\Adobe
[03/11/2008|10:06] C:\Program Files\a-squared Free
[28/10/2008|15:36] C:\Program Files\Bonjour
[14/07/2008|11:13] C:\Program Files\DIFX
[02/11/2008|22:37] C:\Program Files\Fichiers communs
[01/11/2008|08:46] C:\Program Files\Free Easy Burner
[03/11/2008|12:53] C:\Program Files\F-Secure Internet Security
[20/08/2008|20:20] C:\Program Files\Google
[03/07/2008|19:33] C:\Program Files\HighMAT CD Writing Wizard
[11/09/2008|13:52] C:\Program Files\InstallShield Installation Information
[23/07/2008|11:21] C:\Program Files\Internet Explorer
[14/07/2008|11:28] C:\Program Files\Inventel
[14/07/2008|12:23] C:\Program Files\Java
[18/08/2008|13:46] C:\Program Files\Logitech
[14/07/2008|12:12] C:\Program Files\ma-config.com
[14/08/2008|07:44] C:\Program Files\Messenger
[30/08/2008|15:00] C:\Program Files\Messenger Plus! Live
[20/08/2008|10:11] C:\Program Files\Microsoft CAPICOM 2.1.0.2
[03/07/2008|19:03] C:\Program Files\microsoft frontpage
[16/07/2008|14:55] C:\Program Files\Microsoft Office
[16/07/2008|14:55] C:\Program Files\Microsoft Visual Studio
[16/07/2008|14:55] C:\Program Files\Microsoft Works
[02/11/2008|09:30] C:\Program Files\Mjcore
[23/07/2008|11:21] C:\Program Files\Movie Maker
[04/11/2008|11:42] C:\Program Files\Mozilla Firefox
[16/07/2008|14:55] C:\Program Files\MSBuild
[22/07/2008|12:55] C:\Program Files\msn
[03/07/2008|18:58] C:\Program Files\MSN Gaming Zone
[28/07/2008|14:15] C:\Program Files\MSXML 4.0
[22/07/2008|12:51] C:\Program Files\NetMeeting
[15/07/2008|13:59] C:\Program Files\Odebit Multim‚dia
[23/07/2008|11:21] C:\Program Files\Outlook Express
[20/08/2008|20:20] C:\Program Files\Picasa2
[20/08/2008|19:41] C:\Program Files\Samsung
[14/07/2008|11:28] C:\Program Files\Securitoo
[03/07/2008|19:00] C:\Program Files\Services en ligne
[14/07/2008|11:35] C:\Program Files\SigmaTel
[02/11/2008|22:12] C:\Program Files\Spybot - Search & Destroy
[14/07/2008|14:32] C:\Program Files\Thoosje Sidebar V2.3
[04/11/2008|11:38] C:\Program Files\Trend Micro
[03/07/2008|19:33] C:\Program Files\Uninstall Information
[27/10/2008|09:58] C:\Program Files\uTorrent
[08/10/2008|10:52] C:\Program Files\VAG-COM
[14/07/2008|12:34] C:\Program Files\VideoLAN
[15/07/2008|21:51] C:\Program Files\Wanadoo
[02/11/2008|09:35] C:\Program Files\Webtools
[14/07/2008|13:03] C:\Program Files\Windows Live
[15/07/2008|14:24] C:\Program Files\Windows Media Connect 2
[22/07/2008|12:56] C:\Program Files\Windows Media Player
[22/07/2008|12:51] C:\Program Files\Windows NT
[03/07/2008|19:00] C:\Program Files\WindowsUpdate
[03/07/2008|19:24] C:\Program Files\WinRAR
[03/07/2008|19:03] C:\Program Files\xerox
--------------------\\ Listing des dossiers dans C:\Program Files\Fichiers communs
[28/10/2008|15:36] C:\Program Files\Fichiers communs\Adobe
[16/07/2008|14:55] C:\Program Files\Fichiers communs\DESIGNER
[14/07/2008|11:35] C:\Program Files\Fichiers communs\InstallShield
[14/07/2008|12:20] C:\Program Files\Fichiers communs\Java
[18/08/2008|13:46] C:\Program Files\Fichiers communs\Logitech
[28/10/2008|15:18] C:\Program Files\Fichiers communs\Macrovision Shared
[25/07/2008|09:59] C:\Program Files\Fichiers communs\Microsoft Shared
[03/07/2008|18:59] C:\Program Files\Fichiers communs\MSSoap
[03/07/2008|20:53] C:\Program Files\Fichiers communs\ODBC
[03/07/2008|18:59] C:\Program Files\Fichiers communs\Services
[11/09/2008|13:52] C:\Program Files\Fichiers communs\snp325
[03/07/2008|20:53] C:\Program Files\Fichiers communs\SpeechEngines
[22/07/2008|12:51] C:\Program Files\Fichiers communs\System
[14/07/2008|13:00] C:\Program Files\Fichiers communs\WindowsLiveInstaller
--------------------\\ Process
( 37 Processes )
... OK !
--------------------\\ Recherche avec S_Lop
Aucun fichier / dossier Lop trouvé !
--------------------\\ Recherche de Fichiers / Dossiers Lop
C:\DOCUME~1\Damien\LOCALS~1\Temp\nsk87.tmp
C:\DOCUME~1\Damien\Cookies\damien@bigpoint[2].txt
C:\DOCUME~1\Damien\Cookies\damien@fr.thepimps.bigpoint[1].txt
C:\DOCUME~1\Damien\Cookies\damien@fr1.darkorbit.bigpoint[2].txt
C:\DOCUME~1\Damien\Cookies\damien@banner.cotedazurpalace[2].txt
C:\DOCUME~1\Damien\Cookies\damien@cotedazurpalace[1].txt
C:\DOCUME~1\Damien\Cookies\damien@32vegas[1].txt
C:\DOCUME~1\Damien\Cookies\damien@banner.32vegas[2].txt
C:\DOCUME~1\Damien\Cookies\damien@w2.royalvegas[1].txt
C:\DOCUME~1\Damien\Cookies\damien@888[2].txt
C:\DOCUME~1\Damien\Cookies\damien@888[3].txt
--------------------\\ Verification du Registre
..... OK !
--------------------\\ Verification du fichier Hosts
Fichier Hosts PROPRE
--------------------\\ Recherche de fichiers avec Catchme
catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-04 12:23:03
Windows 5.1.2600 Service Pack 3 NTFS
scanning hidden processes ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden files: 43
--------------------\\ Recherche d'autres infections
C:\WINDOWS\system32\PqAIlnpo.ini
C:\WINDOWS\system32\PqAIlnpo.ini2
C:\WINDOWS\system32\opnlIAqP.dll
[b]==> VUNDO <==/b
--------------------\\ Cracks & Keygens ..
C:\DOCUME~1\Damien\Local Settings\Temporary Internet Files\Content.IE5\8Q5UGGW9\keyGen[1].htm
C:\DOCUME~1\Damien\Mes documents\LimeWire\Incomplete\T-512255599-Adobe_Photoshop_CS3_Extended_v10__(with_crack_full_version).zip
C:\DOCUME~1\Damien\Recent\keygen.lnk
C:\DOCUME~1\Damien\Recent\vagcomv311[1].2keygen.lnk
C:\DOCUME~1\Damien\Recent\Vagcom_3112_incl_Keygen (2).lnk
C:\DOCUME~1\Damien\Recent\Vagcom_3112_incl_Keygen.lnk
[F:119][D:473]-> C:\DOCUME~1\Damien\LOCALS~1\Temp
[F:237][D:0]-> C:\DOCUME~1\Damien\Cookies
[F:8577][D:12]-> C:\DOCUME~1\Damien\LOCALS~1\TEMPOR~1\content.IE5
1 - "C:\Lop SD\LopR_1.txt" - 04/11/2008|12:26 - Option : [1]
--------------------\\ Fin du rapport a 12:26:09
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
463
4 nov. 2008 à 12:36
4 nov. 2008 à 12:36
Bien ....
Dans l'ordre :
1- Télécharges OTMoveIt3 (de Old_Timer) sur ton Bureau.
http://oldtimer.geekstogo.com/OTMoveIt3.exe
! Déconnectes toi et fermes toute tes applications en cours !
Double cliques sur "OTMoveIt3.exe" pour ouvrir le prg .
Puis copies ce qui se trouve en citation ci-dessous,
:Processes
explorer.exe
:Services
:Reg
:Files
C:\DOCUME~1\Damien\Local Settings\Temporary Internet Files\Content.IE5\8Q5UGGW9\keyGen[1].htm
C:\DOCUME~1\Damien\Mes documents\LimeWire\Incomplete\T-512255599-Adobe_Photoshop_CS3_Extended_v10__(with_crack_full_version).zip
C:\DOCUME~1\Damien\Recent\keygen.lnk
C:\DOCUME~1\Damien\Recent\vagcomv311[1].2keygen.lnk
C:\DOCUME~1\Damien\Recent\Vagcom_3112_incl_Keygen (2).lnk
C:\DOCUME~1\Damien\Recent\Vagcom_3112_incl_Keygen.lnk
:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]
et colles le dans le cadre de gauche de OTMoveIt3 :
Paste Instructions for items to be moved.
(ne touche à rien d'autre !)
-> cliques sur MoveIt! pour lancer la suppression.
-> laisses travailler l'outil ...
( Note : ton bureau va disparaitre puis réapparaitre, c'est normal .)
-> une fois finis , un petite fenêtre s'ouvre : cliques sur " Yes " .
Ton PC va redémarrer de lui même ...
-->Postes le contenu du rapport qui se trouve dans le dossier "C:\_OTMoveIt\MovedFiles"
( " xxxx2008_xxxxxx.log " où les "x" correspondent au jour et à l'heure de l'utilisation ).
2- ! Déconnectes toi et fermes toutes tes applications en cours !
Relances Lop S&D ,
--->choisis cette fois l'option 2 ( nettoyage ) et valides ...
->ne touches à rien pendant que l'outil travail .
Une fois le scan terminer ,le Bloc-Notes contenant le rapport va s'ouvrir.
Postes ce rapport dans ta prochaine réponse + un nouveau rapport Hijackthis pour analyse ...
Dans l'ordre :
1- Télécharges OTMoveIt3 (de Old_Timer) sur ton Bureau.
http://oldtimer.geekstogo.com/OTMoveIt3.exe
! Déconnectes toi et fermes toute tes applications en cours !
Double cliques sur "OTMoveIt3.exe" pour ouvrir le prg .
Puis copies ce qui se trouve en citation ci-dessous,
:Processes
explorer.exe
:Services
:Reg
:Files
C:\DOCUME~1\Damien\Local Settings\Temporary Internet Files\Content.IE5\8Q5UGGW9\keyGen[1].htm
C:\DOCUME~1\Damien\Mes documents\LimeWire\Incomplete\T-512255599-Adobe_Photoshop_CS3_Extended_v10__(with_crack_full_version).zip
C:\DOCUME~1\Damien\Recent\keygen.lnk
C:\DOCUME~1\Damien\Recent\vagcomv311[1].2keygen.lnk
C:\DOCUME~1\Damien\Recent\Vagcom_3112_incl_Keygen (2).lnk
C:\DOCUME~1\Damien\Recent\Vagcom_3112_incl_Keygen.lnk
:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]
et colles le dans le cadre de gauche de OTMoveIt3 :
Paste Instructions for items to be moved.
(ne touche à rien d'autre !)
-> cliques sur MoveIt! pour lancer la suppression.
-> laisses travailler l'outil ...
( Note : ton bureau va disparaitre puis réapparaitre, c'est normal .)
-> une fois finis , un petite fenêtre s'ouvre : cliques sur " Yes " .
Ton PC va redémarrer de lui même ...
-->Postes le contenu du rapport qui se trouve dans le dossier "C:\_OTMoveIt\MovedFiles"
( " xxxx2008_xxxxxx.log " où les "x" correspondent au jour et à l'heure de l'utilisation ).
2- ! Déconnectes toi et fermes toutes tes applications en cours !
Relances Lop S&D ,
--->choisis cette fois l'option 2 ( nettoyage ) et valides ...
->ne touches à rien pendant que l'outil travail .
Une fois le scan terminer ,le Bloc-Notes contenant le rapport va s'ouvrir.
Postes ce rapport dans ta prochaine réponse + un nouveau rapport Hijackthis pour analyse ...
alors voici la rapport :
========== PROCESSES ==========
Process explorer.exe killed successfully.
========== SERVICES/DRIVERS ==========
========== REGISTRY ==========
========== FILES ==========
C:\DOCUME~1\Damien\Local Settings\Temporary Internet Files\Content.IE5\8Q5UGGW9\keyGen[1].htm moved successfully.
C:\DOCUME~1\Damien\Mes documents\LimeWire\Incomplete\T-512255599-Adobe_Photoshop_CS3_Extended_v10__(with_crack_full_version).zip moved successfully.
C:\DOCUME~1\Damien\Recent\keygen.lnk moved successfully.
C:\DOCUME~1\Damien\Recent\vagcomv311[1].2keygen.lnk moved successfully.
C:\DOCUME~1\Damien\Recent\Vagcom_3112_incl_Keygen (2).lnk moved successfully.
C:\DOCUME~1\Damien\Recent\Vagcom_3112_incl_Keygen.lnk moved successfully.
========== COMMANDS ==========
C:\WINDOWS\Mіcrosoft moved successfully.
File delete failed. C:\DOCUME~1\Damien\LOCALS~1\Temp\5.wmz scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\Damien\LOCALS~1\Temp\etilqs_g6CeHb2Na7xaRwVvzGCy scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\Damien\LOCALS~1\Temp\etilqs_g6CeHb2Na7xaRwVvzGCy-journal scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\Damien\LOCALS~1\Temp\etilqs_nDUnoV2g3ZfnAzNxRLLf scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\Damien\LOCALS~1\Temp\Perflib_Perfdata_234.dat scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
Java cache emptied.
File delete failed. C:\Documents and Settings\Damien\Local Settings\Application Data\Mozilla\Firefox\Profiles\redwbgg1.default\OfflineCache\index.sqlite scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Damien\Local Settings\Application Data\Mozilla\Firefox\Profiles\redwbgg1.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Damien\Local Settings\Application Data\Mozilla\Firefox\Profiles\redwbgg1.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Damien\Local Settings\Application Data\Mozilla\Firefox\Profiles\redwbgg1.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Damien\Local Settings\Application Data\Mozilla\Firefox\Profiles\redwbgg1.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Damien\Local Settings\Application Data\Mozilla\Firefox\Profiles\redwbgg1.default\urlclassifier3.sqlite scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Damien\Local Settings\Application Data\Mozilla\Firefox\Profiles\redwbgg1.default\XUL.mfl scheduled to be deleted on reboot.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully
OTMoveIt3 by OldTimer - Version 1.0.7.0 log created on 11042008_123800
Files moved on Reboot...
C:\DOCUME~1\Damien\LOCALS~1\Temp\5.wmz moved successfully.
File C:\DOCUME~1\Damien\LOCALS~1\Temp\etilqs_g6CeHb2Na7xaRwVvzGCy not found!
File C:\DOCUME~1\Damien\LOCALS~1\Temp\etilqs_g6CeHb2Na7xaRwVvzGCy-journal not found!
File C:\DOCUME~1\Damien\LOCALS~1\Temp\etilqs_nDUnoV2g3ZfnAzNxRLLf not found!
File C:\DOCUME~1\Damien\LOCALS~1\Temp\Perflib_Perfdata_234.dat not found!
File move failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be moved on reboot.
C:\Documents and Settings\Damien\Local Settings\Application Data\Mozilla\Firefox\Profiles\redwbgg1.default\OfflineCache\index.sqlite moved successfully.
C:\Documents and Settings\Damien\Local Settings\Application Data\Mozilla\Firefox\Profiles\redwbgg1.default\Cache\_CACHE_001_ moved successfully.
C:\Documents and Settings\Damien\Local Settings\Application Data\Mozilla\Firefox\Profiles\redwbgg1.default\Cache\_CACHE_002_ moved successfully.
C:\Documents and Settings\Damien\Local Settings\Application Data\Mozilla\Firefox\Profiles\redwbgg1.default\Cache\_CACHE_003_ moved successfully.
C:\Documents and Settings\Damien\Local Settings\Application Data\Mozilla\Firefox\Profiles\redwbgg1.default\Cache\_CACHE_MAP_ moved successfully.
C:\Documents and Settings\Damien\Local Settings\Application Data\Mozilla\Firefox\Profiles\redwbgg1.default\urlclassifier3.sqlite moved successfully.
C:\Documents and Settings\Damien\Local Settings\Application Data\Mozilla\Firefox\Profiles\redwbgg1.default\XUL.mfl moved successfully.
Et maintenant je passe a la partie 2 nettoyage
========== PROCESSES ==========
Process explorer.exe killed successfully.
========== SERVICES/DRIVERS ==========
========== REGISTRY ==========
========== FILES ==========
C:\DOCUME~1\Damien\Local Settings\Temporary Internet Files\Content.IE5\8Q5UGGW9\keyGen[1].htm moved successfully.
C:\DOCUME~1\Damien\Mes documents\LimeWire\Incomplete\T-512255599-Adobe_Photoshop_CS3_Extended_v10__(with_crack_full_version).zip moved successfully.
C:\DOCUME~1\Damien\Recent\keygen.lnk moved successfully.
C:\DOCUME~1\Damien\Recent\vagcomv311[1].2keygen.lnk moved successfully.
C:\DOCUME~1\Damien\Recent\Vagcom_3112_incl_Keygen (2).lnk moved successfully.
C:\DOCUME~1\Damien\Recent\Vagcom_3112_incl_Keygen.lnk moved successfully.
========== COMMANDS ==========
C:\WINDOWS\Mіcrosoft moved successfully.
File delete failed. C:\DOCUME~1\Damien\LOCALS~1\Temp\5.wmz scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\Damien\LOCALS~1\Temp\etilqs_g6CeHb2Na7xaRwVvzGCy scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\Damien\LOCALS~1\Temp\etilqs_g6CeHb2Na7xaRwVvzGCy-journal scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\Damien\LOCALS~1\Temp\etilqs_nDUnoV2g3ZfnAzNxRLLf scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\Damien\LOCALS~1\Temp\Perflib_Perfdata_234.dat scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
Java cache emptied.
File delete failed. C:\Documents and Settings\Damien\Local Settings\Application Data\Mozilla\Firefox\Profiles\redwbgg1.default\OfflineCache\index.sqlite scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Damien\Local Settings\Application Data\Mozilla\Firefox\Profiles\redwbgg1.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Damien\Local Settings\Application Data\Mozilla\Firefox\Profiles\redwbgg1.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Damien\Local Settings\Application Data\Mozilla\Firefox\Profiles\redwbgg1.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Damien\Local Settings\Application Data\Mozilla\Firefox\Profiles\redwbgg1.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Damien\Local Settings\Application Data\Mozilla\Firefox\Profiles\redwbgg1.default\urlclassifier3.sqlite scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Damien\Local Settings\Application Data\Mozilla\Firefox\Profiles\redwbgg1.default\XUL.mfl scheduled to be deleted on reboot.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully
OTMoveIt3 by OldTimer - Version 1.0.7.0 log created on 11042008_123800
Files moved on Reboot...
C:\DOCUME~1\Damien\LOCALS~1\Temp\5.wmz moved successfully.
File C:\DOCUME~1\Damien\LOCALS~1\Temp\etilqs_g6CeHb2Na7xaRwVvzGCy not found!
File C:\DOCUME~1\Damien\LOCALS~1\Temp\etilqs_g6CeHb2Na7xaRwVvzGCy-journal not found!
File C:\DOCUME~1\Damien\LOCALS~1\Temp\etilqs_nDUnoV2g3ZfnAzNxRLLf not found!
File C:\DOCUME~1\Damien\LOCALS~1\Temp\Perflib_Perfdata_234.dat not found!
File move failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be moved on reboot.
C:\Documents and Settings\Damien\Local Settings\Application Data\Mozilla\Firefox\Profiles\redwbgg1.default\OfflineCache\index.sqlite moved successfully.
C:\Documents and Settings\Damien\Local Settings\Application Data\Mozilla\Firefox\Profiles\redwbgg1.default\Cache\_CACHE_001_ moved successfully.
C:\Documents and Settings\Damien\Local Settings\Application Data\Mozilla\Firefox\Profiles\redwbgg1.default\Cache\_CACHE_002_ moved successfully.
C:\Documents and Settings\Damien\Local Settings\Application Data\Mozilla\Firefox\Profiles\redwbgg1.default\Cache\_CACHE_003_ moved successfully.
C:\Documents and Settings\Damien\Local Settings\Application Data\Mozilla\Firefox\Profiles\redwbgg1.default\Cache\_CACHE_MAP_ moved successfully.
C:\Documents and Settings\Damien\Local Settings\Application Data\Mozilla\Firefox\Profiles\redwbgg1.default\urlclassifier3.sqlite moved successfully.
C:\Documents and Settings\Damien\Local Settings\Application Data\Mozilla\Firefox\Profiles\redwbgg1.default\XUL.mfl moved successfully.
Et maintenant je passe a la partie 2 nettoyage
1er rapport :
--------------------\\ Lop S&D 4.2.4-9c XP/Vista
Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : Intel(R) Pentium(R) M processor 1.60GHz )
BIOS : Phoenix ROM BIOS PLUS Version 1.10 A04
USER : Damien ( Administrator )
BOOT : Normal boot
C:\ (Local Disk) - NTFS - Total:37 Go (Free:15 Go)
D:\ (CD or DVD)
"C:\Lop SD" ( MAJ : 01-11-2008|16:30 )
Option : [2] ( 04/11/2008|12:45 )
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ SUPPRESSION
-
[ Fichier Hosts ] .. Restaure!
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\
--------------------\\ Listing des dossiers dans APPLIC~1
[03/07/2008|19:33] C:\DOCUME~1\ADMINI~1\APPLIC~1\Identities
[03/07/2008|19:23] C:\DOCUME~1\ADMINI~1\APPLIC~1\Microsoft
[28/10/2008|15:44] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Adobe
[28/10/2008|15:42] C:\DOCUME~1\ALLUSE~1\APPLIC~1\FLEXnet
[03/11/2008|09:31] C:\DOCUME~1\ALLUSE~1\APPLIC~1\F-Secure
[02/11/2008|20:42] C:\DOCUME~1\ALLUSE~1\APPLIC~1\fssg
[14/07/2008|12:12] C:\DOCUME~1\ALLUSE~1\APPLIC~1\ma-config.com
[19/07/2008|13:36] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Messenger Plus!
[16/07/2008|14:54] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Microsoft
[16/10/2008|08:36] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Microsoft Help
[03/11/2008|09:25] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
[14/07/2008|12:51] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Windows Genuine Advantage
[14/07/2008|12:56] C:\DOCUME~1\ALLUSE~1\APPLIC~1\WLInstaller
[03/11/2008|13:43] C:\DOCUME~1\Damien\APPLIC~1\Adobe
[03/11/2008|13:46] C:\DOCUME~1\Damien\APPLIC~1\AdobeUM
[02/11/2008|21:54] C:\DOCUME~1\Damien\APPLIC~1\Facegame
[02/11/2008|20:55] C:\DOCUME~1\Damien\APPLIC~1\F-Secure
[02/11/2008|09:40] C:\DOCUME~1\Damien\APPLIC~1\Gool
[03/07/2008|19:35] C:\DOCUME~1\Damien\APPLIC~1\Identities
[11/09/2008|13:51] C:\DOCUME~1\Damien\APPLIC~1\InstallShield
[03/10/2008|08:22] C:\DOCUME~1\Damien\APPLIC~1\LimeWire
[14/07/2008|11:34] C:\DOCUME~1\Damien\APPLIC~1\Macromedia
[03/11/2008|13:15] C:\DOCUME~1\Damien\APPLIC~1\Microsoft
[14/07/2008|11:46] C:\DOCUME~1\Damien\APPLIC~1\Mozilla
[20/08/2008|19:47] C:\DOCUME~1\Damien\APPLIC~1\Samsung
[02/11/2008|22:09] C:\DOCUME~1\Damien\APPLIC~1\SpeedRunner
[14/07/2008|12:24] C:\DOCUME~1\Damien\APPLIC~1\Sun
[01/11/2008|09:33] C:\DOCUME~1\Damien\APPLIC~1\uTorrent
[14/07/2008|12:34] C:\DOCUME~1\Damien\APPLIC~1\vlc
[03/07/2008|19:02] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Microsoft
[15/07/2008|14:29] C:\DOCUME~1\LOCALS~1\APPLIC~1\Microsoft
[03/07/2008|19:06] C:\DOCUME~1\NETWOR~1\APPLIC~1\Microsoft
--------------------\\ Tâches planifiées dans C:\WINDOWS\tasks
[04/11/2008 12:40][--ah-----] C:\WINDOWS\tasks\SA.DAT
[05/08/2004 05:00][-r-h-----] C:\WINDOWS\tasks\desktop.ini
--------------------\\ Listing des dossiers dans C:\Program Files
[29/10/2008|09:45] C:\Program Files\Adobe
[03/11/2008|10:06] C:\Program Files\a-squared Free
[28/10/2008|15:36] C:\Program Files\Bonjour
[14/07/2008|11:13] C:\Program Files\DIFX
[02/11/2008|22:37] C:\Program Files\Fichiers communs
[01/11/2008|08:46] C:\Program Files\Free Easy Burner
[03/11/2008|12:53] C:\Program Files\F-Secure Internet Security
[20/08/2008|20:20] C:\Program Files\Google
[03/07/2008|19:33] C:\Program Files\HighMAT CD Writing Wizard
[11/09/2008|13:52] C:\Program Files\InstallShield Installation Information
[23/07/2008|11:21] C:\Program Files\Internet Explorer
[14/07/2008|11:28] C:\Program Files\Inventel
[14/07/2008|12:23] C:\Program Files\Java
[18/08/2008|13:46] C:\Program Files\Logitech
[14/07/2008|12:12] C:\Program Files\ma-config.com
[14/08/2008|07:44] C:\Program Files\Messenger
[30/08/2008|15:00] C:\Program Files\Messenger Plus! Live
[20/08/2008|10:11] C:\Program Files\Microsoft CAPICOM 2.1.0.2
[03/07/2008|19:03] C:\Program Files\microsoft frontpage
[16/07/2008|14:55] C:\Program Files\Microsoft Office
[16/07/2008|14:55] C:\Program Files\Microsoft Visual Studio
[16/07/2008|14:55] C:\Program Files\Microsoft Works
[02/11/2008|09:30] C:\Program Files\Mjcore
[23/07/2008|11:21] C:\Program Files\Movie Maker
[04/11/2008|12:42] C:\Program Files\Mozilla Firefox
[16/07/2008|14:55] C:\Program Files\MSBuild
[22/07/2008|12:55] C:\Program Files\msn
[03/07/2008|18:58] C:\Program Files\MSN Gaming Zone
[28/07/2008|14:15] C:\Program Files\MSXML 4.0
[22/07/2008|12:51] C:\Program Files\NetMeeting
[15/07/2008|13:59] C:\Program Files\Odebit Multim‚dia
[23/07/2008|11:21] C:\Program Files\Outlook Express
[20/08/2008|20:20] C:\Program Files\Picasa2
[20/08/2008|19:41] C:\Program Files\Samsung
[14/07/2008|11:28] C:\Program Files\Securitoo
[03/07/2008|19:00] C:\Program Files\Services en ligne
[14/07/2008|11:35] C:\Program Files\SigmaTel
[02/11/2008|22:12] C:\Program Files\Spybot - Search & Destroy
[14/07/2008|14:32] C:\Program Files\Thoosje Sidebar V2.3
[04/11/2008|11:38] C:\Program Files\Trend Micro
[03/07/2008|19:33] C:\Program Files\Uninstall Information
[27/10/2008|09:58] C:\Program Files\uTorrent
[08/10/2008|10:52] C:\Program Files\VAG-COM
[14/07/2008|12:34] C:\Program Files\VideoLAN
[15/07/2008|21:51] C:\Program Files\Wanadoo
[02/11/2008|09:35] C:\Program Files\Webtools
[14/07/2008|13:03] C:\Program Files\Windows Live
[15/07/2008|14:24] C:\Program Files\Windows Media Connect 2
[22/07/2008|12:56] C:\Program Files\Windows Media Player
[22/07/2008|12:51] C:\Program Files\Windows NT
[03/07/2008|19:00] C:\Program Files\WindowsUpdate
[03/07/2008|19:24] C:\Program Files\WinRAR
[03/07/2008|19:03] C:\Program Files\xerox
--------------------\\ Listing des dossiers dans C:\Program Files\Fichiers communs
[28/10/2008|15:36] C:\Program Files\Fichiers communs\Adobe
[16/07/2008|14:55] C:\Program Files\Fichiers communs\DESIGNER
[14/07/2008|11:35] C:\Program Files\Fichiers communs\InstallShield
[14/07/2008|12:20] C:\Program Files\Fichiers communs\Java
[18/08/2008|13:46] C:\Program Files\Fichiers communs\Logitech
[28/10/2008|15:18] C:\Program Files\Fichiers communs\Macrovision Shared
[25/07/2008|09:59] C:\Program Files\Fichiers communs\Microsoft Shared
[03/07/2008|18:59] C:\Program Files\Fichiers communs\MSSoap
[03/07/2008|20:53] C:\Program Files\Fichiers communs\ODBC
[03/07/2008|18:59] C:\Program Files\Fichiers communs\Services
[11/09/2008|13:52] C:\Program Files\Fichiers communs\snp325
[03/07/2008|20:53] C:\Program Files\Fichiers communs\SpeechEngines
[22/07/2008|12:51] C:\Program Files\Fichiers communs\System
[14/07/2008|13:00] C:\Program Files\Fichiers communs\WindowsLiveInstaller
--------------------\\ Process
( 37 Processes )
... OK !
--------------------\\ Recherche avec S_Lop
Aucun fichier / dossier Lop trouvé !
--------------------\\ Recherche de Fichiers / Dossiers Lop
Aucun fichier / dossier Lop trouvé !
--------------------\\ Verification du Registre
..... OK !
--------------------\\ Verification du fichier Hosts
Fichier Hosts PROPRE
--------------------\\ Recherche de fichiers avec Catchme
catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-04 12:52:48
Windows 5.1.2600 Service Pack 3 NTFS
scanning hidden processes ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden files: 43
--------------------\\ Recherche d'autres infections
C:\WINDOWS\system32\PqAIlnpo.ini
C:\WINDOWS\system32\PqAIlnpo.ini2
C:\WINDOWS\system32\opnlIAqP.dll
[b]==> VUNDO <==/b
[F:6][D:1]-> C:\DOCUME~1\Damien\LOCALS~1\Temp
[F:2][D:0]-> C:\DOCUME~1\Damien\Cookies
[F:2358][D:12]-> C:\DOCUME~1\Damien\LOCALS~1\TEMPOR~1\content.IE5
1 - "C:\Lop SD\LopR_1.txt" - 04/11/2008|12:26 - Option : [1]
2 - "C:\Lop SD\LopR_2.txt" - 04/11/2008|12:55 - Option : [2]
--------------------\\ Fin du rapport a 12:55:40
Ensuite raaport hijack :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:56:13, on 04/11/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\WINDOWS\tsnp325.exe
C:\WINDOWS\vsnp325.exe
C:\Documents and Settings\Damien\lsass.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Thoosje Sidebar V2.3\Thoosje Vista Sidebar.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\monjack.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {2013E402-E33F-4F82-91B4-26B5501A1583} - (no file)
O2 - BHO: {2d6d838b-d692-94aa-ef94-d1187c6c4122} - {2214c6c7-811d-49fe-aa49-296db838d6d2} - C:\WINDOWS\system32\orgxfy.dll
O2 - BHO: (no name) - {5198A237-A25A-4B53-98BA-0B58F0DF6796} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {AFBAC55D-6588-4759-9C89-6A2840F35E21} - (no file)
O2 - BHO: (no name) - {C81E7A5C-42C9-4D0C-B1F9-5458899DEFFB} - C:\WINDOWS\system32\geBtTKDu.dll
O2 - BHO: (no name) - {D76524D0-20FB-4F21-910B-0A45CA8E395E} - C:\WINDOWS\system32\opnlIAqP.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [tsnp325] C:\WINDOWS\tsnp325.exe
O4 - HKLM\..\Run: [snp325] C:\WINDOWS\vsnp325.exe
O4 - HKLM\..\Run: [LSA Shellu] C:\Documents and Settings\Damien\lsass.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [Facegame] "C:\Documents and Settings\Damien\Application Data\Facegame\Facegame.exe" 61A847B5BBF72813329B385772FF01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Thoosje Vista Sidebar.lnk = C:\Program Files\Thoosje Sidebar V2.3\Thoosje Vista Sidebar.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=about:blank
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O20 - AppInit_DLLs: orgxfy.dll
O20 - Winlogon Notify: geBtTKDu - C:\WINDOWS\SYSTEM32\geBtTKDu.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
--------------------\\ Lop S&D 4.2.4-9c XP/Vista
Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : Intel(R) Pentium(R) M processor 1.60GHz )
BIOS : Phoenix ROM BIOS PLUS Version 1.10 A04
USER : Damien ( Administrator )
BOOT : Normal boot
C:\ (Local Disk) - NTFS - Total:37 Go (Free:15 Go)
D:\ (CD or DVD)
"C:\Lop SD" ( MAJ : 01-11-2008|16:30 )
Option : [2] ( 04/11/2008|12:45 )
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ SUPPRESSION
-
[ Fichier Hosts ] .. Restaure!
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\
--------------------\\ Listing des dossiers dans APPLIC~1
[03/07/2008|19:33] C:\DOCUME~1\ADMINI~1\APPLIC~1\Identities
[03/07/2008|19:23] C:\DOCUME~1\ADMINI~1\APPLIC~1\Microsoft
[28/10/2008|15:44] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Adobe
[28/10/2008|15:42] C:\DOCUME~1\ALLUSE~1\APPLIC~1\FLEXnet
[03/11/2008|09:31] C:\DOCUME~1\ALLUSE~1\APPLIC~1\F-Secure
[02/11/2008|20:42] C:\DOCUME~1\ALLUSE~1\APPLIC~1\fssg
[14/07/2008|12:12] C:\DOCUME~1\ALLUSE~1\APPLIC~1\ma-config.com
[19/07/2008|13:36] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Messenger Plus!
[16/07/2008|14:54] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Microsoft
[16/10/2008|08:36] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Microsoft Help
[03/11/2008|09:25] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
[14/07/2008|12:51] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Windows Genuine Advantage
[14/07/2008|12:56] C:\DOCUME~1\ALLUSE~1\APPLIC~1\WLInstaller
[03/11/2008|13:43] C:\DOCUME~1\Damien\APPLIC~1\Adobe
[03/11/2008|13:46] C:\DOCUME~1\Damien\APPLIC~1\AdobeUM
[02/11/2008|21:54] C:\DOCUME~1\Damien\APPLIC~1\Facegame
[02/11/2008|20:55] C:\DOCUME~1\Damien\APPLIC~1\F-Secure
[02/11/2008|09:40] C:\DOCUME~1\Damien\APPLIC~1\Gool
[03/07/2008|19:35] C:\DOCUME~1\Damien\APPLIC~1\Identities
[11/09/2008|13:51] C:\DOCUME~1\Damien\APPLIC~1\InstallShield
[03/10/2008|08:22] C:\DOCUME~1\Damien\APPLIC~1\LimeWire
[14/07/2008|11:34] C:\DOCUME~1\Damien\APPLIC~1\Macromedia
[03/11/2008|13:15] C:\DOCUME~1\Damien\APPLIC~1\Microsoft
[14/07/2008|11:46] C:\DOCUME~1\Damien\APPLIC~1\Mozilla
[20/08/2008|19:47] C:\DOCUME~1\Damien\APPLIC~1\Samsung
[02/11/2008|22:09] C:\DOCUME~1\Damien\APPLIC~1\SpeedRunner
[14/07/2008|12:24] C:\DOCUME~1\Damien\APPLIC~1\Sun
[01/11/2008|09:33] C:\DOCUME~1\Damien\APPLIC~1\uTorrent
[14/07/2008|12:34] C:\DOCUME~1\Damien\APPLIC~1\vlc
[03/07/2008|19:02] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Microsoft
[15/07/2008|14:29] C:\DOCUME~1\LOCALS~1\APPLIC~1\Microsoft
[03/07/2008|19:06] C:\DOCUME~1\NETWOR~1\APPLIC~1\Microsoft
--------------------\\ Tâches planifiées dans C:\WINDOWS\tasks
[04/11/2008 12:40][--ah-----] C:\WINDOWS\tasks\SA.DAT
[05/08/2004 05:00][-r-h-----] C:\WINDOWS\tasks\desktop.ini
--------------------\\ Listing des dossiers dans C:\Program Files
[29/10/2008|09:45] C:\Program Files\Adobe
[03/11/2008|10:06] C:\Program Files\a-squared Free
[28/10/2008|15:36] C:\Program Files\Bonjour
[14/07/2008|11:13] C:\Program Files\DIFX
[02/11/2008|22:37] C:\Program Files\Fichiers communs
[01/11/2008|08:46] C:\Program Files\Free Easy Burner
[03/11/2008|12:53] C:\Program Files\F-Secure Internet Security
[20/08/2008|20:20] C:\Program Files\Google
[03/07/2008|19:33] C:\Program Files\HighMAT CD Writing Wizard
[11/09/2008|13:52] C:\Program Files\InstallShield Installation Information
[23/07/2008|11:21] C:\Program Files\Internet Explorer
[14/07/2008|11:28] C:\Program Files\Inventel
[14/07/2008|12:23] C:\Program Files\Java
[18/08/2008|13:46] C:\Program Files\Logitech
[14/07/2008|12:12] C:\Program Files\ma-config.com
[14/08/2008|07:44] C:\Program Files\Messenger
[30/08/2008|15:00] C:\Program Files\Messenger Plus! Live
[20/08/2008|10:11] C:\Program Files\Microsoft CAPICOM 2.1.0.2
[03/07/2008|19:03] C:\Program Files\microsoft frontpage
[16/07/2008|14:55] C:\Program Files\Microsoft Office
[16/07/2008|14:55] C:\Program Files\Microsoft Visual Studio
[16/07/2008|14:55] C:\Program Files\Microsoft Works
[02/11/2008|09:30] C:\Program Files\Mjcore
[23/07/2008|11:21] C:\Program Files\Movie Maker
[04/11/2008|12:42] C:\Program Files\Mozilla Firefox
[16/07/2008|14:55] C:\Program Files\MSBuild
[22/07/2008|12:55] C:\Program Files\msn
[03/07/2008|18:58] C:\Program Files\MSN Gaming Zone
[28/07/2008|14:15] C:\Program Files\MSXML 4.0
[22/07/2008|12:51] C:\Program Files\NetMeeting
[15/07/2008|13:59] C:\Program Files\Odebit Multim‚dia
[23/07/2008|11:21] C:\Program Files\Outlook Express
[20/08/2008|20:20] C:\Program Files\Picasa2
[20/08/2008|19:41] C:\Program Files\Samsung
[14/07/2008|11:28] C:\Program Files\Securitoo
[03/07/2008|19:00] C:\Program Files\Services en ligne
[14/07/2008|11:35] C:\Program Files\SigmaTel
[02/11/2008|22:12] C:\Program Files\Spybot - Search & Destroy
[14/07/2008|14:32] C:\Program Files\Thoosje Sidebar V2.3
[04/11/2008|11:38] C:\Program Files\Trend Micro
[03/07/2008|19:33] C:\Program Files\Uninstall Information
[27/10/2008|09:58] C:\Program Files\uTorrent
[08/10/2008|10:52] C:\Program Files\VAG-COM
[14/07/2008|12:34] C:\Program Files\VideoLAN
[15/07/2008|21:51] C:\Program Files\Wanadoo
[02/11/2008|09:35] C:\Program Files\Webtools
[14/07/2008|13:03] C:\Program Files\Windows Live
[15/07/2008|14:24] C:\Program Files\Windows Media Connect 2
[22/07/2008|12:56] C:\Program Files\Windows Media Player
[22/07/2008|12:51] C:\Program Files\Windows NT
[03/07/2008|19:00] C:\Program Files\WindowsUpdate
[03/07/2008|19:24] C:\Program Files\WinRAR
[03/07/2008|19:03] C:\Program Files\xerox
--------------------\\ Listing des dossiers dans C:\Program Files\Fichiers communs
[28/10/2008|15:36] C:\Program Files\Fichiers communs\Adobe
[16/07/2008|14:55] C:\Program Files\Fichiers communs\DESIGNER
[14/07/2008|11:35] C:\Program Files\Fichiers communs\InstallShield
[14/07/2008|12:20] C:\Program Files\Fichiers communs\Java
[18/08/2008|13:46] C:\Program Files\Fichiers communs\Logitech
[28/10/2008|15:18] C:\Program Files\Fichiers communs\Macrovision Shared
[25/07/2008|09:59] C:\Program Files\Fichiers communs\Microsoft Shared
[03/07/2008|18:59] C:\Program Files\Fichiers communs\MSSoap
[03/07/2008|20:53] C:\Program Files\Fichiers communs\ODBC
[03/07/2008|18:59] C:\Program Files\Fichiers communs\Services
[11/09/2008|13:52] C:\Program Files\Fichiers communs\snp325
[03/07/2008|20:53] C:\Program Files\Fichiers communs\SpeechEngines
[22/07/2008|12:51] C:\Program Files\Fichiers communs\System
[14/07/2008|13:00] C:\Program Files\Fichiers communs\WindowsLiveInstaller
--------------------\\ Process
( 37 Processes )
... OK !
--------------------\\ Recherche avec S_Lop
Aucun fichier / dossier Lop trouvé !
--------------------\\ Recherche de Fichiers / Dossiers Lop
Aucun fichier / dossier Lop trouvé !
--------------------\\ Verification du Registre
..... OK !
--------------------\\ Verification du fichier Hosts
Fichier Hosts PROPRE
--------------------\\ Recherche de fichiers avec Catchme
catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-04 12:52:48
Windows 5.1.2600 Service Pack 3 NTFS
scanning hidden processes ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden files: 43
--------------------\\ Recherche d'autres infections
C:\WINDOWS\system32\PqAIlnpo.ini
C:\WINDOWS\system32\PqAIlnpo.ini2
C:\WINDOWS\system32\opnlIAqP.dll
[b]==> VUNDO <==/b
[F:6][D:1]-> C:\DOCUME~1\Damien\LOCALS~1\Temp
[F:2][D:0]-> C:\DOCUME~1\Damien\Cookies
[F:2358][D:12]-> C:\DOCUME~1\Damien\LOCALS~1\TEMPOR~1\content.IE5
1 - "C:\Lop SD\LopR_1.txt" - 04/11/2008|12:26 - Option : [1]
2 - "C:\Lop SD\LopR_2.txt" - 04/11/2008|12:55 - Option : [2]
--------------------\\ Fin du rapport a 12:55:40
Ensuite raaport hijack :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:56:13, on 04/11/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\WINDOWS\tsnp325.exe
C:\WINDOWS\vsnp325.exe
C:\Documents and Settings\Damien\lsass.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Thoosje Sidebar V2.3\Thoosje Vista Sidebar.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\monjack.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {2013E402-E33F-4F82-91B4-26B5501A1583} - (no file)
O2 - BHO: {2d6d838b-d692-94aa-ef94-d1187c6c4122} - {2214c6c7-811d-49fe-aa49-296db838d6d2} - C:\WINDOWS\system32\orgxfy.dll
O2 - BHO: (no name) - {5198A237-A25A-4B53-98BA-0B58F0DF6796} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {AFBAC55D-6588-4759-9C89-6A2840F35E21} - (no file)
O2 - BHO: (no name) - {C81E7A5C-42C9-4D0C-B1F9-5458899DEFFB} - C:\WINDOWS\system32\geBtTKDu.dll
O2 - BHO: (no name) - {D76524D0-20FB-4F21-910B-0A45CA8E395E} - C:\WINDOWS\system32\opnlIAqP.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [tsnp325] C:\WINDOWS\tsnp325.exe
O4 - HKLM\..\Run: [snp325] C:\WINDOWS\vsnp325.exe
O4 - HKLM\..\Run: [LSA Shellu] C:\Documents and Settings\Damien\lsass.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [Facegame] "C:\Documents and Settings\Damien\Application Data\Facegame\Facegame.exe" 61A847B5BBF72813329B385772FF01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Thoosje Vista Sidebar.lnk = C:\Program Files\Thoosje Sidebar V2.3\Thoosje Vista Sidebar.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=about:blank
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O20 - AppInit_DLLs: orgxfy.dll
O20 - Winlogon Notify: geBtTKDu - C:\WINDOWS\SYSTEM32\geBtTKDu.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
463
4 nov. 2008 à 13:21
4 nov. 2008 à 13:21
Bien ....
voilà la suite :
1- Télécharges : - CCleaner
https://www.pcastuces.com/logitheque/ccleaner.htm
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre .
Lors de l'installation:
-choisis bien "francais" en langue .
-avant de cliquer sur le bouton "installer", décoches toutes les "options supplémentaires" sauf les 2 premières.
Un tuto ( aide ):
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm
---> Utilisation:
! déconnectes toi et fermes toutes applications en cours !
* vas dans "nettoyeur" : fait analyse puis nettoyage
* vas dans "registre" : fait chercher les erreurs et réparer ( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .
( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )
2- Télécharges SDFix sur ton bureau :
ici http://downloads.andymanchesta.com/RemovalTools/SDFix.exe.
ou ici http://sdfix.net/SDFix.exe
--> Double-cliques sur SDFix.exe et choisis "Install" .
( tuto ici : https://www.malekal.com/slenfbot-still-an-other-irc-bot/ )
Puis une fois l'installe faite ,
Impératif : Démarrer en mode sans echec .
/!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\
Comment aller en Mode sans échec :
1) Redémarres ton ordi .
2) Tapotes la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" .
3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage .
4) Choisis la première option : Sans Échec , et valides en tapant sur [Entrée] .
5) Choisis ton compte habituel ( et pas Administrateur ).
attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreurs ...
Ouvres le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double cliques sur RunThis.bat pour lancer le script.
--->Tapes Y pour lancer le script ...
Le Fix supprime les services du virus et nettoie le registre, de ce fait un redémarrage est nécessaire , donc :
presses une touche pour redémarrer quand il te le sera demandé .
Le PC va mettre du temps avant de démarrer ( c'est normale ), après le chargement du Bureau presses une touche lorsque "Finished" s'affiche .
Le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier
C:\SDFix sous le nom "Report.txt".
Postes ce dernier dans ta prochaine réponse accompagné d'un nouveau rapport Hijakcthis pour analyse ...
voilà la suite :
1- Télécharges : - CCleaner
https://www.pcastuces.com/logitheque/ccleaner.htm
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre .
Lors de l'installation:
-choisis bien "francais" en langue .
-avant de cliquer sur le bouton "installer", décoches toutes les "options supplémentaires" sauf les 2 premières.
Un tuto ( aide ):
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm
---> Utilisation:
! déconnectes toi et fermes toutes applications en cours !
* vas dans "nettoyeur" : fait analyse puis nettoyage
* vas dans "registre" : fait chercher les erreurs et réparer ( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .
( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )
2- Télécharges SDFix sur ton bureau :
ici http://downloads.andymanchesta.com/RemovalTools/SDFix.exe.
ou ici http://sdfix.net/SDFix.exe
--> Double-cliques sur SDFix.exe et choisis "Install" .
( tuto ici : https://www.malekal.com/slenfbot-still-an-other-irc-bot/ )
Puis une fois l'installe faite ,
Impératif : Démarrer en mode sans echec .
/!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\
Comment aller en Mode sans échec :
1) Redémarres ton ordi .
2) Tapotes la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" .
3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage .
4) Choisis la première option : Sans Échec , et valides en tapant sur [Entrée] .
5) Choisis ton compte habituel ( et pas Administrateur ).
attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreurs ...
Ouvres le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double cliques sur RunThis.bat pour lancer le script.
--->Tapes Y pour lancer le script ...
Le Fix supprime les services du virus et nettoie le registre, de ce fait un redémarrage est nécessaire , donc :
presses une touche pour redémarrer quand il te le sera demandé .
Le PC va mettre du temps avant de démarrer ( c'est normale ), après le chargement du Bureau presses une touche lorsque "Finished" s'affiche .
Le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier
C:\SDFix sous le nom "Report.txt".
Postes ce dernier dans ta prochaine réponse accompagné d'un nouveau rapport Hijakcthis pour analyse ...
[b]SDFix: Version 1.239 [/b]
Run by Damien on 04/11/2008 at 13:48
Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix
[b]Checking Services [/b]:
Restoring Default Security Values
Restoring Default Hosts File
Rebooting
[b]Checking Files [/b]:
Trojan Files Found:
C:\WINDOWS\system32\geBtTKDu.dll - Deleted
C:\Documents and Settings\Damien\Application Data\Facegame\Facegame.0xe - Deleted
C:\Documents and Settings\Damien\Application Data\Gool\Gool.exe - Deleted
C:\Documents and Settings\Damien\Application Data\SpeedRunner\SpeedRunner.0xe - Deleted
C:\Program Files\Mjcore\Mjcore.dll - Deleted
C:\Program Files\Webtools\webtools.dll - Deleted
C:\Documents and Settings\Damien\lsass.exe - Deleted
C:\WINDOWS\system32\pac.txt - Deleted
Folder C:\Documents and Settings\Damien\Application Data\Facegame - Removed
Folder C:\Documents and Settings\Damien\Application Data\Gool - Removed
Folder C:\Documents and Settings\Damien\Application Data\SpeedRunner - Removed
Folder C:\Program Files\Mjcore - Removed
Folder C:\Program Files\Webtools - Removed
Removing Temp Files
[b]ADS Check [/b]:
[b]Final Check [/b]:
catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-04 13:59:45
Windows 5.1.2600 Service Pack 3 NTFS
scanning hidden processes ...
IPC error: 2 Le fichier spécifié est introuvable.
scanning hidden services & system hive ...
scanning hidden registry entries ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
[b]Remaining Services [/b]:
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\ma-config.com\\maconfservice.exe"="C:\\Program Files\\ma-config.com\\maconfservice.exe:LocalSubNet:Enabled:maconfservice"
"C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"="C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"
"C:\\Program Files\\LimeWire\\LimeWire.exe"="C:\\Program Files\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Program Files\\uTorrent\\uTorrent.exe"="C:\\Program Files\\uTorrent\\uTorrent.exe:*:Enabled:æTorrent"
"C:\\Documents and Settings\\Damien\\Bureau\\utorrent.exe"="C:\\Documents and Settings\\Damien\\Bureau\\utorrent.exe:*:Enabled:æTorrent"
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"="C:\\Program Files\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
[b]Remaining Files [/b]:
File Backups: - C:\SDFix\backups\backups.zip
[b]Files with Hidden Attributes [/b]:
Wed 20 Aug 2008 6,108,728 A..H. --- "C:\Program Files\Picasa2\setup.exe"
Mon 15 Sep 2008 1,562,960 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDHelper.dll"
Mon 7 Jul 2008 1,429,840 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe"
Mon 7 Jul 2008 4,891,472 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"
Tue 16 Sep 2008 1,833,296 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"
Wed 6 Aug 2008 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Tue 15 Jul 2008 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
[b]Finished![/b]
rapport hijack :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:05:49, on 04/11/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\WINDOWS\tsnp325.exe
C:\WINDOWS\vsnp325.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Thoosje Sidebar V2.3\Thoosje Vista Sidebar.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\monjack.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {2013E402-E33F-4F82-91B4-26B5501A1583} - (no file)
O2 - BHO: {2d6d838b-d692-94aa-ef94-d1187c6c4122} - {2214c6c7-811d-49fe-aa49-296db838d6d2} - C:\WINDOWS\system32\orgxfy.dll
O2 - BHO: (no name) - {3335640D-763D-44BA-AA3C-F0C34F6C46A0} - C:\WINDOWS\system32\opnlIAqP.dll
O2 - BHO: (no name) - {5198A237-A25A-4B53-98BA-0B58F0DF6796} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {AFBAC55D-6588-4759-9C89-6A2840F35E21} - (no file)
O2 - BHO: (no name) - {C81E7A5C-42C9-4D0C-B1F9-5458899DEFFB} - (no file)
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [tsnp325] C:\WINDOWS\tsnp325.exe
O4 - HKLM\..\Run: [snp325] C:\WINDOWS\vsnp325.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-21-2000478354-261903793-725345543-1004\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Dadou')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Thoosje Vista Sidebar.lnk = C:\Program Files\Thoosje Sidebar V2.3\Thoosje Vista Sidebar.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=about:blank
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O20 - AppInit_DLLs: orgxfy.dll
O20 - Winlogon Notify: geBtTKDu - C:\WINDOWS\
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
Run by Damien on 04/11/2008 at 13:48
Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix
[b]Checking Services [/b]:
Restoring Default Security Values
Restoring Default Hosts File
Rebooting
[b]Checking Files [/b]:
Trojan Files Found:
C:\WINDOWS\system32\geBtTKDu.dll - Deleted
C:\Documents and Settings\Damien\Application Data\Facegame\Facegame.0xe - Deleted
C:\Documents and Settings\Damien\Application Data\Gool\Gool.exe - Deleted
C:\Documents and Settings\Damien\Application Data\SpeedRunner\SpeedRunner.0xe - Deleted
C:\Program Files\Mjcore\Mjcore.dll - Deleted
C:\Program Files\Webtools\webtools.dll - Deleted
C:\Documents and Settings\Damien\lsass.exe - Deleted
C:\WINDOWS\system32\pac.txt - Deleted
Folder C:\Documents and Settings\Damien\Application Data\Facegame - Removed
Folder C:\Documents and Settings\Damien\Application Data\Gool - Removed
Folder C:\Documents and Settings\Damien\Application Data\SpeedRunner - Removed
Folder C:\Program Files\Mjcore - Removed
Folder C:\Program Files\Webtools - Removed
Removing Temp Files
[b]ADS Check [/b]:
[b]Final Check [/b]:
catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-04 13:59:45
Windows 5.1.2600 Service Pack 3 NTFS
scanning hidden processes ...
IPC error: 2 Le fichier spécifié est introuvable.
scanning hidden services & system hive ...
scanning hidden registry entries ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
[b]Remaining Services [/b]:
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\ma-config.com\\maconfservice.exe"="C:\\Program Files\\ma-config.com\\maconfservice.exe:LocalSubNet:Enabled:maconfservice"
"C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"="C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"
"C:\\Program Files\\LimeWire\\LimeWire.exe"="C:\\Program Files\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Program Files\\uTorrent\\uTorrent.exe"="C:\\Program Files\\uTorrent\\uTorrent.exe:*:Enabled:æTorrent"
"C:\\Documents and Settings\\Damien\\Bureau\\utorrent.exe"="C:\\Documents and Settings\\Damien\\Bureau\\utorrent.exe:*:Enabled:æTorrent"
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"="C:\\Program Files\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
[b]Remaining Files [/b]:
File Backups: - C:\SDFix\backups\backups.zip
[b]Files with Hidden Attributes [/b]:
Wed 20 Aug 2008 6,108,728 A..H. --- "C:\Program Files\Picasa2\setup.exe"
Mon 15 Sep 2008 1,562,960 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDHelper.dll"
Mon 7 Jul 2008 1,429,840 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe"
Mon 7 Jul 2008 4,891,472 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"
Tue 16 Sep 2008 1,833,296 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"
Wed 6 Aug 2008 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Tue 15 Jul 2008 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
[b]Finished![/b]
rapport hijack :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:05:49, on 04/11/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\WINDOWS\tsnp325.exe
C:\WINDOWS\vsnp325.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Thoosje Sidebar V2.3\Thoosje Vista Sidebar.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\monjack.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {2013E402-E33F-4F82-91B4-26B5501A1583} - (no file)
O2 - BHO: {2d6d838b-d692-94aa-ef94-d1187c6c4122} - {2214c6c7-811d-49fe-aa49-296db838d6d2} - C:\WINDOWS\system32\orgxfy.dll
O2 - BHO: (no name) - {3335640D-763D-44BA-AA3C-F0C34F6C46A0} - C:\WINDOWS\system32\opnlIAqP.dll
O2 - BHO: (no name) - {5198A237-A25A-4B53-98BA-0B58F0DF6796} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {AFBAC55D-6588-4759-9C89-6A2840F35E21} - (no file)
O2 - BHO: (no name) - {C81E7A5C-42C9-4D0C-B1F9-5458899DEFFB} - (no file)
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [tsnp325] C:\WINDOWS\tsnp325.exe
O4 - HKLM\..\Run: [snp325] C:\WINDOWS\vsnp325.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-21-2000478354-261903793-725345543-1004\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Dadou')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Thoosje Vista Sidebar.lnk = C:\Program Files\Thoosje Sidebar V2.3\Thoosje Vista Sidebar.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=about:blank
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O20 - AppInit_DLLs: orgxfy.dll
O20 - Winlogon Notify: geBtTKDu - C:\WINDOWS\
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
463
4 nov. 2008 à 14:11
4 nov. 2008 à 14:11
Très bien ....
je me permet de te rappeler ceci car tu ne l'as pas fais ! -_-
Important :
Désactives le "tea timer" de Spybot S&D en t'aidant de ce tuto animé (merci Balltrap ;) ) :
http://perso.orange.fr/rginformatique/section%20virus/demo%20spybot.htm
( sur la 1er image , cliques sur "tea timer" pour lancer l'animation ).
En effet , il risque de géner dans le bon déroulement des outils de désinfections ...
Tu le réactiveras une fois qu'on aura finis de désinfecter ( et pas avant ! ) .
Attention , à ce moment là, Spybot te demandera des modifs de registres :
tu les accepteras toutes ! ...
Une fois fais ( et pas avant ! ) , enchaines la suite :
1- refais un coup de CCleaner (registre compris) .
2- Télécharges MalwareByte's :
ici ftp://ftp.commentcamarche.com/download/mbam-setup.exe
ou ici : http://www.malwarebytes.org/mbam.php
* Installes le ( choisis bien "francais" ; ne modifies pas les paramètres d'installe ) et mets le à jour .
(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharges le ici : https://www.malekal.com/tutorial-aboutbuster/ )
* Potasses le tuto pour te familiariser avec le prg :
https://forum.pcastuces.com/sujet.asp?f=31&s=3
https://www.androidworld.fr/
( cela dis, il est très simple d'utilisation ).
! Déconnectes toi et fermes toutes applications en cours !
* Lances Malwarebyte's .
Fais un scan dit "complet" ( sélectionnes bien tous tes disks avant le scan ! ).
--> Laisses le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "résultat" .
--> Vérifies que tous les objets infectés soient validés, puis cliques sur " suppression " .
Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !
Postes le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date) accompagné d'un nouvel hijackthis pour analyse ...
je me permet de te rappeler ceci car tu ne l'as pas fais ! -_-
Important :
Désactives le "tea timer" de Spybot S&D en t'aidant de ce tuto animé (merci Balltrap ;) ) :
http://perso.orange.fr/rginformatique/section%20virus/demo%20spybot.htm
( sur la 1er image , cliques sur "tea timer" pour lancer l'animation ).
En effet , il risque de géner dans le bon déroulement des outils de désinfections ...
Tu le réactiveras une fois qu'on aura finis de désinfecter ( et pas avant ! ) .
Attention , à ce moment là, Spybot te demandera des modifs de registres :
tu les accepteras toutes ! ...
Une fois fais ( et pas avant ! ) , enchaines la suite :
1- refais un coup de CCleaner (registre compris) .
2- Télécharges MalwareByte's :
ici ftp://ftp.commentcamarche.com/download/mbam-setup.exe
ou ici : http://www.malwarebytes.org/mbam.php
* Installes le ( choisis bien "francais" ; ne modifies pas les paramètres d'installe ) et mets le à jour .
(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharges le ici : https://www.malekal.com/tutorial-aboutbuster/ )
* Potasses le tuto pour te familiariser avec le prg :
https://forum.pcastuces.com/sujet.asp?f=31&s=3
https://www.androidworld.fr/
( cela dis, il est très simple d'utilisation ).
! Déconnectes toi et fermes toutes applications en cours !
* Lances Malwarebyte's .
Fais un scan dit "complet" ( sélectionnes bien tous tes disks avant le scan ! ).
--> Laisses le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "résultat" .
--> Vérifies que tous les objets infectés soient validés, puis cliques sur " suppression " .
Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !
Postes le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date) accompagné d'un nouvel hijackthis pour analyse ...
Malwarebytes' Anti-Malware 1.30
Version de la base de données: 1306
Windows 5.1.2600 Service Pack 3
04/11/2008 14:37:59
mbam-log-2008-11-04 (14-37-59).txt
Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 85495
Temps écoulé: 18 minute(s), 55 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 16
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 22
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
C:\WINDOWS\system32\opnlIAqP.dll (Trojan.Vundo.H) -> Delete on reboot.
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3335640d-763d-44ba-aa3c-f0c34f6c46a0} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{3335640d-763d-44ba-aa3c-f0c34f6c46a0} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\Interface\{17e44256-51e0-4d46-a0c8-44e80ab4ba5b} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{2e4a04a1-a24d-45ae-aca4-949778400813} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{e0f01490-dcf3-4357-95aa-169a8c2b2190} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{63334394-3da3-4b29-a041-03535909d361} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{f7fa36a4-3177-4b57-b9c1-e9c5b2e0d3a9} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{ff46f4ab-a85f-487e-b399-3f191ac0fe23} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\OINAnalytics.DLL (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\testCPV6.DLL (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR (Trojan.DNSChanger) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE (Trojan.Downloader) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\opnliaqp -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\opnliaqp -> Delete on reboot.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\WINDOWS\system32\opnlIAqP.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\PqAIlnpo.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\PqAIlnpo.ini2 (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\hmpenunc.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\cnunepmh.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{16B46F52-DC62-41EB-898F-77DB988DC8CD}\RP66\A0018710.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{16B46F52-DC62-41EB-898F-77DB988DC8CD}\RP67\A0018784.exe (Adware.ClickSpring) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{16B46F52-DC62-41EB-898F-77DB988DC8CD}\RP67\A0018793.dll (Adware.ClickSpring) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{16B46F52-DC62-41EB-898F-77DB988DC8CD}\RP68\A0019040.dll (Adware.CommAd) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{16B46F52-DC62-41EB-898F-77DB988DC8CD}\RP68\A0019041.exe (Adware.CommAd) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{16B46F52-DC62-41EB-898F-77DB988DC8CD}\RP68\A0020044.exe (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{16B46F52-DC62-41EB-898F-77DB988DC8CD}\RP68\A0020054.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{16B46F52-DC62-41EB-898F-77DB988DC8CD}\RP68\A0020060.exe (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{16B46F52-DC62-41EB-898F-77DB988DC8CD}\RP68\A0020063.exe (Adware.ISM) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{16B46F52-DC62-41EB-898F-77DB988DC8CD}\RP68\A0020601.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{16B46F52-DC62-41EB-898F-77DB988DC8CD}\RP69\A0020828.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{16B46F52-DC62-41EB-898F-77DB988DC8CD}\RP69\A0020830.dll (Trojan.BHO) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{16B46F52-DC62-41EB-898F-77DB988DC8CD}\RP69\A0020831.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{16B46F52-DC62-41EB-898F-77DB988DC8CD}\RP69\A0020836.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{16B46F52-DC62-41EB-898F-77DB988DC8CD}\RP69\A0020837.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{16B46F52-DC62-41EB-898F-77DB988DC8CD}\RP69\A0020840.dll (Trojan.BHO) -> Quarantined and deleted successfully.
C:\Documents and Settings\Damien\lsass.0xe (Backdoor.Bot) -> Quarantined and deleted successfully.
Rapport hijack :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:42:47, on 04/11/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\WINDOWS\tsnp325.exe
C:\WINDOWS\vsnp325.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Thoosje Sidebar V2.3\Thoosje Vista Sidebar.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\monjack.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {2013E402-E33F-4F82-91B4-26B5501A1583} - (no file)
O2 - BHO: {2d6d838b-d692-94aa-ef94-d1187c6c4122} - {2214c6c7-811d-49fe-aa49-296db838d6d2} - C:\WINDOWS\system32\orgxfy.dll
O2 - BHO: (no name) - {5198A237-A25A-4B53-98BA-0B58F0DF6796} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {AFBAC55D-6588-4759-9C89-6A2840F35E21} - (no file)
O2 - BHO: (no name) - {C81E7A5C-42C9-4D0C-B1F9-5458899DEFFB} - (no file)
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [tsnp325] C:\WINDOWS\tsnp325.exe
O4 - HKLM\..\Run: [snp325] C:\WINDOWS\vsnp325.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Thoosje Vista Sidebar.lnk = C:\Program Files\Thoosje Sidebar V2.3\Thoosje Vista Sidebar.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=about:blank
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O20 - AppInit_DLLs: orgxfy.dll
O20 - Winlogon Notify: geBtTKDu - C:\WINDOWS\
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
Version de la base de données: 1306
Windows 5.1.2600 Service Pack 3
04/11/2008 14:37:59
mbam-log-2008-11-04 (14-37-59).txt
Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 85495
Temps écoulé: 18 minute(s), 55 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 16
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 22
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
C:\WINDOWS\system32\opnlIAqP.dll (Trojan.Vundo.H) -> Delete on reboot.
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3335640d-763d-44ba-aa3c-f0c34f6c46a0} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{3335640d-763d-44ba-aa3c-f0c34f6c46a0} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\Interface\{17e44256-51e0-4d46-a0c8-44e80ab4ba5b} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{2e4a04a1-a24d-45ae-aca4-949778400813} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{e0f01490-dcf3-4357-95aa-169a8c2b2190} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{63334394-3da3-4b29-a041-03535909d361} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{f7fa36a4-3177-4b57-b9c1-e9c5b2e0d3a9} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{ff46f4ab-a85f-487e-b399-3f191ac0fe23} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\OINAnalytics.DLL (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\testCPV6.DLL (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR (Trojan.DNSChanger) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE (Trojan.Downloader) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\opnliaqp -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\opnliaqp -> Delete on reboot.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\WINDOWS\system32\opnlIAqP.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\PqAIlnpo.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\PqAIlnpo.ini2 (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\hmpenunc.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\cnunepmh.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{16B46F52-DC62-41EB-898F-77DB988DC8CD}\RP66\A0018710.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{16B46F52-DC62-41EB-898F-77DB988DC8CD}\RP67\A0018784.exe (Adware.ClickSpring) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{16B46F52-DC62-41EB-898F-77DB988DC8CD}\RP67\A0018793.dll (Adware.ClickSpring) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{16B46F52-DC62-41EB-898F-77DB988DC8CD}\RP68\A0019040.dll (Adware.CommAd) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{16B46F52-DC62-41EB-898F-77DB988DC8CD}\RP68\A0019041.exe (Adware.CommAd) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{16B46F52-DC62-41EB-898F-77DB988DC8CD}\RP68\A0020044.exe (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{16B46F52-DC62-41EB-898F-77DB988DC8CD}\RP68\A0020054.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{16B46F52-DC62-41EB-898F-77DB988DC8CD}\RP68\A0020060.exe (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{16B46F52-DC62-41EB-898F-77DB988DC8CD}\RP68\A0020063.exe (Adware.ISM) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{16B46F52-DC62-41EB-898F-77DB988DC8CD}\RP68\A0020601.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{16B46F52-DC62-41EB-898F-77DB988DC8CD}\RP69\A0020828.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{16B46F52-DC62-41EB-898F-77DB988DC8CD}\RP69\A0020830.dll (Trojan.BHO) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{16B46F52-DC62-41EB-898F-77DB988DC8CD}\RP69\A0020831.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{16B46F52-DC62-41EB-898F-77DB988DC8CD}\RP69\A0020836.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{16B46F52-DC62-41EB-898F-77DB988DC8CD}\RP69\A0020837.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{16B46F52-DC62-41EB-898F-77DB988DC8CD}\RP69\A0020840.dll (Trojan.BHO) -> Quarantined and deleted successfully.
C:\Documents and Settings\Damien\lsass.0xe (Backdoor.Bot) -> Quarantined and deleted successfully.
Rapport hijack :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:42:47, on 04/11/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\WINDOWS\tsnp325.exe
C:\WINDOWS\vsnp325.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Thoosje Sidebar V2.3\Thoosje Vista Sidebar.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\monjack.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {2013E402-E33F-4F82-91B4-26B5501A1583} - (no file)
O2 - BHO: {2d6d838b-d692-94aa-ef94-d1187c6c4122} - {2214c6c7-811d-49fe-aa49-296db838d6d2} - C:\WINDOWS\system32\orgxfy.dll
O2 - BHO: (no name) - {5198A237-A25A-4B53-98BA-0B58F0DF6796} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {AFBAC55D-6588-4759-9C89-6A2840F35E21} - (no file)
O2 - BHO: (no name) - {C81E7A5C-42C9-4D0C-B1F9-5458899DEFFB} - (no file)
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [tsnp325] C:\WINDOWS\tsnp325.exe
O4 - HKLM\..\Run: [snp325] C:\WINDOWS\vsnp325.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Thoosje Vista Sidebar.lnk = C:\Program Files\Thoosje Sidebar V2.3\Thoosje Vista Sidebar.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=about:blank
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O20 - AppInit_DLLs: orgxfy.dll
O20 - Winlogon Notify: geBtTKDu - C:\WINDOWS\
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
463
4 nov. 2008 à 14:51
4 nov. 2008 à 14:51
impec ... on avance ... ^^
1- Supprimes tout ce qui se trouve dans la quarantaine de Malwarebytes ( via celle-ci ) .
2- refais un coup de CCleaner ( registre compris )
3- Fais exactement ce qui suit :
Télécharges ComboFix (par sUBs) sur ton Bureau (et pas ailleurs !):
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
--------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
!! Déconnectes toi,fermes tes applications en cours et DESACTIVES TOUTES TES DEFENSES (anti-virus, guardes anti spy-ware, pare-feu) le temps de la manipe :
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!
--->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
---------------------------------------------------------------------------------------------------------------------------------
Ensuite :
double-cliques sur l'icône "combofix.exe" pour lancer l'outil .
Appuyes sur la touche Y (Yes) pour démarrer le scan .
Notes importantes :
-> n'utilises pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisses le faire .
-> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes ...
-> si un message d'erreur windows apparait à un momment : cliques sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )
Le rapport sera crée dans: C:\Combofix.txt
Postes le rapport Combofix accompagné d'un nouveau rapport hijackthis pour analyse ...
1- Supprimes tout ce qui se trouve dans la quarantaine de Malwarebytes ( via celle-ci ) .
2- refais un coup de CCleaner ( registre compris )
3- Fais exactement ce qui suit :
Télécharges ComboFix (par sUBs) sur ton Bureau (et pas ailleurs !):
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
--------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
!! Déconnectes toi,fermes tes applications en cours et DESACTIVES TOUTES TES DEFENSES (anti-virus, guardes anti spy-ware, pare-feu) le temps de la manipe :
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!
--->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
---------------------------------------------------------------------------------------------------------------------------------
Ensuite :
double-cliques sur l'icône "combofix.exe" pour lancer l'outil .
Appuyes sur la touche Y (Yes) pour démarrer le scan .
Notes importantes :
-> n'utilises pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisses le faire .
-> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes ...
-> si un message d'erreur windows apparait à un momment : cliques sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )
Le rapport sera crée dans: C:\Combofix.txt
Postes le rapport Combofix accompagné d'un nouveau rapport hijackthis pour analyse ...
ComboFix 08-11-03.06 - Damien 2008-11-04 15:12:52.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.196 [GMT 1:00]
Lancé depuis: c:\documents and settings\Damien\Bureau\ComboFix.exe
* Un nouveau point de restauration a été créé
[COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR]
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\gmgtrk.dll
c:\windows\system32\hgGyYrpP.dll
c:\windows\system32\lomfcvsm.ini
c:\windows\system32\MSINET.oca
c:\windows\system32\nnnljkIa.dll
c:\windows\system32\orgxfy.dll
c:\windows\system32\qoMfdbcd.dll
c:\windows\system32\qoMgeBUk.dll
c:\windows\system32\rqRHywts.dll
c:\windows\system32\ufqsetbw.dll
c:\windows\system32\uhjadnjy.dll
c:\windows\system32\unimybps.ini
c:\windows\system32\urqNDSJd.dll
c:\windows\system32\vtUnnNDW.dll
c:\windows\system32\win
c:\windows\system32\win\RME21TM.exe
c:\windows\system32\xxyaWPJC.dll
c:\windows\system32\xxyvtRjk.dll
c:\windows\system32\zzhjym.dll
.
((((((((((((((((((((((((((((( Fichiers créés du 2008-10-04 au 2008-11-04 ))))))))))))))))))))))))))))))))))))
.
2008-11-04 14:17 . 2008-11-04 14:17 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2008-11-04 14:17 . 2008-11-04 14:17 <REP> d-------- c:\documents and settings\Damien\Application Data\Malwarebytes
2008-11-04 14:17 . 2008-11-04 14:17 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2008-11-04 14:17 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-11-04 14:17 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-11-04 13:54 . 2008-07-03 20:52 <REP> d--h----- c:\documents and settings\Dadou\Voisinage réseau
2008-11-04 13:54 . 2008-07-03 20:52 <REP> d--h----- c:\documents and settings\Dadou\Voisinage d'impression
2008-11-04 13:54 . 2008-07-03 18:57 <REP> d--h----- c:\documents and settings\Dadou\Modèles
2008-11-04 13:54 . 2008-11-04 13:55 <REP> d---s---- c:\documents and settings\Dadou\Mes documents
2008-11-04 13:54 . 2008-07-03 20:52 <REP> dr------- c:\documents and settings\Dadou\Menu Démarrer
2008-11-04 13:54 . 2008-11-04 13:55 <REP> d---s---- c:\documents and settings\Dadou\Favoris
2008-11-04 13:54 . 2008-07-03 20:52 <REP> d-------- c:\documents and settings\Dadou\Bureau
2008-11-04 13:54 . 2008-11-04 13:54 <REP> d-------- c:\documents and settings\Dadou
2008-11-04 13:45 . 2008-11-04 13:45 579,584 --a--c--- c:\windows\system32\dllcache\user32.dll
2008-11-04 13:38 . 2008-11-04 13:38 <REP> d-------- c:\windows\ERUNT
2008-11-04 13:31 . 2008-11-04 14:01 <REP> d-------- C:\SDFix
2008-11-04 13:28 . 2008-11-04 13:28 <REP> d-------- c:\program files\CCleaner
2008-11-04 12:38 . 2008-11-04 12:38 <REP> d-------- C:\_OTMoveIt
2008-11-04 12:15 . 2008-11-04 12:55 <REP> d-------- C:\Lop SD
2008-11-04 11:38 . 2008-11-04 11:38 <REP> d-------- c:\program files\Trend Micro
2008-11-03 12:55 . 2008-11-03 12:55 120 ---hs---- c:\windows\system32\aribnqyg.ini
2008-11-03 09:48 . 2008-11-03 10:06 <REP> d-------- c:\program files\a-squared Free
2008-11-02 22:37 . 2008-11-03 14:06 210 --a------ c:\windows\wininit.ini
2008-11-02 22:08 . 2008-11-02 22:12 <REP> d-------- c:\program files\Spybot - Search & Destroy
2008-11-02 22:08 . 2008-11-04 14:15 <REP> d-------- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2008-11-02 20:55 . 2008-11-02 20:55 <REP> d-------- c:\documents and settings\Damien\Application Data\F-Secure
2008-11-02 20:44 . 2008-11-03 09:31 <REP> d-------- c:\documents and settings\All Users\Application Data\F-Secure
2008-11-02 20:42 . 2008-11-03 12:53 <REP> d-------- c:\program files\F-Secure Internet Security
2008-11-02 20:42 . 2008-11-02 20:42 <REP> d-------- c:\documents and settings\All Users\Application Data\fssg
2008-11-02 10:07 . 2008-11-02 10:07 13,502 --a------ c:\windows\system32\JambaIconFR.ico
2008-11-02 10:07 . 2008-11-02 10:07 9,662 --a------ c:\windows\system32\ZoneAlarmIconFR.ico
2008-10-31 12:31 . 2008-10-31 12:31 113,664 --a------ c:\windows\system32\mopsaqvv.0ll
2008-10-31 11:26 . 2008-10-31 11:26 113,664 --a------ c:\windows\system32\rwamyl.0ll
2008-10-31 11:26 . 2008-10-31 11:26 113,664 --a------ c:\windows\system32\puyaqoef.0ll
2008-10-31 11:21 . 2008-11-03 13:52 <REP> d--hs---- c:\windows\VXRpbGlzYXRldXIgRW5yZWdpc3Ry6Q
2008-10-31 11:21 . 2008-11-03 13:52 <REP> d-------- c:\windows\system32\shell
2008-10-31 11:21 . 2008-10-31 11:21 <REP> d-------- c:\windows\system32\QI02
2008-10-31 11:21 . 2008-10-31 11:21 <REP> d-------- c:\windows\system32\ini
2008-10-31 11:21 . 2008-10-31 11:21 <REP> d-------- c:\temp\NT32
2008-10-31 11:21 . 2008-11-02 22:37 <REP> d-------- C:\Temp
2008-10-28 15:42 . 2008-10-28 15:42 <REP> d-------- c:\documents and settings\All Users\Application Data\FLEXnet
2008-10-28 15:36 . 2008-10-28 15:36 <REP> d-------- c:\program files\Bonjour
2008-10-28 15:18 . 2008-10-28 15:18 <REP> d-------- c:\program files\Fichiers communs\Macrovision Shared
2008-10-27 09:54 . 2008-10-27 09:58 <REP> d-------- c:\program files\uTorrent
2008-10-27 09:54 . 2008-11-01 09:33 <REP> d-------- c:\documents and settings\Damien\Application Data\uTorrent
2008-10-24 13:56 . 2008-10-15 17:35 337,408 -----c--- c:\windows\system32\dllcache\netapi32.dll
2008-10-24 09:07 . 2008-10-24 09:07 268 --ah----- C:\sqmdata04.sqm
2008-10-24 09:07 . 2008-10-24 09:07 244 --ah----- C:\sqmnoopt04.sqm
2008-10-15 07:51 . 2008-08-14 14:23 2,191,232 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe
2008-10-15 07:51 . 2008-08-14 14:23 2,147,328 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe
2008-10-15 07:51 . 2008-08-14 14:23 2,068,096 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe
2008-10-15 07:51 . 2008-08-14 14:23 2,025,984 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe
2008-10-15 07:51 . 2008-09-15 16:26 1,846,528 -----c--- c:\windows\system32\dllcache\win32k.sys
2008-10-15 07:51 . 2008-09-08 11:41 333,824 -----c--- c:\windows\system32\dllcache\srv.sys
2008-10-09 09:38 . 2008-10-09 09:38 230,424 --a------ C:\img2-001.raw
2008-10-08 10:52 . 2008-10-08 10:52 <REP> d-------- c:\program files\VAG-COM
2008-10-08 09:04 . 2008-08-28 20:52 16,896 --a------ c:\windows\system32\drivers\VirtualAudio.sys
2008-10-08 09:01 . 2008-10-08 09:02 668 --a------ c:\documents and settings\Damien\Application Data\waver_2.95.dat
2008-10-08 09:01 . 2008-10-08 09:01 4 --a------ c:\windows\system32\qwolt.pdg
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-03 12:46 --------- d-----w c:\documents and settings\Damien\Application Data\AdobeUM
2008-11-01 07:46 --------- d-----w c:\program files\Free Easy Burner
2008-10-28 14:36 --------- d-----w c:\program files\Fichiers communs\Adobe
2008-10-16 07:36 --------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help
2008-10-03 07:22 --------- d-----w c:\documents and settings\Damien\Application Data\LimeWire
2008-09-15 15:26 1,846,528 ----a-w c:\windows\system32\win32k.sys
2008-09-11 12:52 --------- d--h--w c:\program files\InstallShield Installation Information
2008-09-11 12:52 --------- d-----w c:\program files\Fichiers communs\snp325
2008-09-11 12:51 --------- d-----w c:\documents and settings\Damien\Application Data\InstallShield
2008-09-10 15:47 5,632 ----a-w c:\windows\system32\drivers\StarOpen.sys
2008-09-08 10:41 333,824 ----a-w c:\windows\system32\drivers\srv.sys
2008-08-20 05:10 670,208 ----a-w c:\windows\system32\wininet.dll
2008-08-14 13:23 2,191,232 ----a-w c:\windows\system32\ntoskrnl.exe
2008-08-14 13:23 2,068,096 ----a-w c:\windows\system32\ntkrnlpa.exe
2005-07-29 15:24 472 --sha-r c:\windows\VXRpbGlzYXRldXIgRW5yZWdpc3Ry6Q\prlDv35Wsrl5xrK0lqcVtqxDwalVdk.vbs
.
------- Sigcheck -------
2008-04-14 03:34 979968 3efe912dd25d2586e6a0341db0a66f69 c:\windows\explorer.exe
2004-08-05 05:00 978432 9f3b76c8cf787449a47f05abab4e13e6 c:\windows\$NtServicePackUninstall$\explorer.exe
2008-04-14 03:34 979968 3efe912dd25d2586e6a0341db0a66f69 c:\windows\ServicePackFiles\i386\explorer.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-01-13 131072]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-01-13 163840]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-01-13 135168]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"LVCOMSX"="c:\windows\system32\LVCOMSX.EXE" [2005-07-19 221184]
"tsnp325"="c:\windows\tsnp325.exe" [2007-04-21 270336]
"snp325"="c:\windows\vsnp325.exe" [2007-05-10 835584]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\documents and settings\Damien\Menu D‚marrer\Programmes\D‚marrage\
Thoosje Vista Sidebar.lnk - c:\program files\Thoosje Sidebar V2.3\Thoosje Vista Sidebar.exe [2007-10-22 524288]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=orgxfy.dll
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk
backup=c:\windows\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^Damien^Menu Démarrer^Programmes^Démarrage^RocketDock.lnk]
path=c:\documents and settings\Damien\Menu Démarrer\Programmes\Démarrage\RocketDock.lnk
backup=c:\windows\pss\RocketDock.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FixCamera]
--a------ 2007-02-12 13:50 20480 c:\windows\FixCamera.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechSoftwareUpdate]
--a------ 2005-06-08 13:44 196608 c:\program files\Logitech\Video\ManifestEngine.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoRepair]
--a------ 2005-06-08 14:24 458752 c:\program files\Logitech\Video\ISStart.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoTray]
--a------ 2005-06-08 14:14 217088 c:\program files\Logitech\Video\LogiTray.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2007-10-18 10:34 5724184 c:\program files\Windows Live\Messenger\msnmsgr.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
S3 SNP325;USB PC Camera (SNPSTD325);c:\windows\system32\DRIVERS\snp325.sys [2007-05-24 10343424]
S3 wsvad_driver;WS Audio Device;c:\windows\system32\drivers\VirtualAudio.sys [2008-08-28 16896]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
\Shell\Auto\command - E:\Start.exe
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Start.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{aec1d5f1-54ab-11dd-9615-0013ce0e7d01}]
\Shell\Auto\command - aohfquzal.exe
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL aohfquzal.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f497b9ab-86d8-11dd-96b6-0013ce0e7d01}]
\Shell\Auto\command - F:\Start.exe
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Start.exe
.
- - - - ORPHELINS SUPPRIMES - - - -
BHO-{2013E402-E33F-4F82-91B4-26B5501A1583} - (no file)
BHO-{2214c6c7-811d-49fe-aa49-296db838d6d2} - c:\windows\system32\orgxfy.dll
BHO-{5198A237-A25A-4B53-98BA-0B58F0DF6796} - (no file)
BHO-{AFBAC55D-6588-4759-9C89-6A2840F35E21} - (no file)
BHO-{C81E7A5C-42C9-4D0C-B1F9-5458899DEFFB} - (no file)
Notify-geBtTKDu - (no file)
MSConfigStartUp-GetPack23 - c:\program files\GetPack\GetPack23.exe
MSConfigStartUp-Gool - c:\documents and settings\Damien\Application Data\Gool\Gool.exe
MSConfigStartUp-WinampAgent - c:\program files\Winamp\winampa.exe
.
------- Examen supplémentaire -------
.
FireFox -: Profile - c:\documents and settings\Damien\Application Data\Mozilla\Firefox\Profiles\redwbgg1.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - www.google.fr
FF -: plugin - c:\documents and settings\Damien\Application Data\Mozilla\Firefox\Profiles\redwbgg1.default\extensions\{bb628310-0ab7-11db-9cd8-0800200c9a66}\plugins\nphardwaredetection.dll
FF -: plugin - c:\program files\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - c:\program files\ma-config.com\nphardwaredetection.dll
FF -: plugin - c:\program files\Picasa2\npPicasa2.dll
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-04 15:16:45
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\a-squared Free\a2service.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\igfxsrvc.exe
c:\program files\Mozilla Firefox\firefox.exe
.
**************************************************************************
.
Heure de fin: 2008-11-04 15:22:47 - La machine a redémarré
ComboFix-quarantined-files.txt 2008-11-04 14:22:00
Avant-CF: 16 885 997 568 octets libres
Après-CF: 16,871,501,824 octets libres
219 --- E O F --- 2008-10-29 09:04:37
Rapport hijack :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:24:10, on 04/11/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\WINDOWS\tsnp325.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Thoosje Sidebar V2.3\Thoosje Vista Sidebar.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\HijackThis\monjack.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [tsnp325] C:\WINDOWS\tsnp325.exe
O4 - HKLM\..\Run: [snp325] C:\WINDOWS\vsnp325.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Thoosje Vista Sidebar.lnk = C:\Program Files\Thoosje Sidebar V2.3\Thoosje Vista Sidebar.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=about:blank
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O20 - AppInit_DLLs: orgxfy.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.196 [GMT 1:00]
Lancé depuis: c:\documents and settings\Damien\Bureau\ComboFix.exe
* Un nouveau point de restauration a été créé
[COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR]
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\gmgtrk.dll
c:\windows\system32\hgGyYrpP.dll
c:\windows\system32\lomfcvsm.ini
c:\windows\system32\MSINET.oca
c:\windows\system32\nnnljkIa.dll
c:\windows\system32\orgxfy.dll
c:\windows\system32\qoMfdbcd.dll
c:\windows\system32\qoMgeBUk.dll
c:\windows\system32\rqRHywts.dll
c:\windows\system32\ufqsetbw.dll
c:\windows\system32\uhjadnjy.dll
c:\windows\system32\unimybps.ini
c:\windows\system32\urqNDSJd.dll
c:\windows\system32\vtUnnNDW.dll
c:\windows\system32\win
c:\windows\system32\win\RME21TM.exe
c:\windows\system32\xxyaWPJC.dll
c:\windows\system32\xxyvtRjk.dll
c:\windows\system32\zzhjym.dll
.
((((((((((((((((((((((((((((( Fichiers créés du 2008-10-04 au 2008-11-04 ))))))))))))))))))))))))))))))))))))
.
2008-11-04 14:17 . 2008-11-04 14:17 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2008-11-04 14:17 . 2008-11-04 14:17 <REP> d-------- c:\documents and settings\Damien\Application Data\Malwarebytes
2008-11-04 14:17 . 2008-11-04 14:17 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2008-11-04 14:17 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-11-04 14:17 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-11-04 13:54 . 2008-07-03 20:52 <REP> d--h----- c:\documents and settings\Dadou\Voisinage réseau
2008-11-04 13:54 . 2008-07-03 20:52 <REP> d--h----- c:\documents and settings\Dadou\Voisinage d'impression
2008-11-04 13:54 . 2008-07-03 18:57 <REP> d--h----- c:\documents and settings\Dadou\Modèles
2008-11-04 13:54 . 2008-11-04 13:55 <REP> d---s---- c:\documents and settings\Dadou\Mes documents
2008-11-04 13:54 . 2008-07-03 20:52 <REP> dr------- c:\documents and settings\Dadou\Menu Démarrer
2008-11-04 13:54 . 2008-11-04 13:55 <REP> d---s---- c:\documents and settings\Dadou\Favoris
2008-11-04 13:54 . 2008-07-03 20:52 <REP> d-------- c:\documents and settings\Dadou\Bureau
2008-11-04 13:54 . 2008-11-04 13:54 <REP> d-------- c:\documents and settings\Dadou
2008-11-04 13:45 . 2008-11-04 13:45 579,584 --a--c--- c:\windows\system32\dllcache\user32.dll
2008-11-04 13:38 . 2008-11-04 13:38 <REP> d-------- c:\windows\ERUNT
2008-11-04 13:31 . 2008-11-04 14:01 <REP> d-------- C:\SDFix
2008-11-04 13:28 . 2008-11-04 13:28 <REP> d-------- c:\program files\CCleaner
2008-11-04 12:38 . 2008-11-04 12:38 <REP> d-------- C:\_OTMoveIt
2008-11-04 12:15 . 2008-11-04 12:55 <REP> d-------- C:\Lop SD
2008-11-04 11:38 . 2008-11-04 11:38 <REP> d-------- c:\program files\Trend Micro
2008-11-03 12:55 . 2008-11-03 12:55 120 ---hs---- c:\windows\system32\aribnqyg.ini
2008-11-03 09:48 . 2008-11-03 10:06 <REP> d-------- c:\program files\a-squared Free
2008-11-02 22:37 . 2008-11-03 14:06 210 --a------ c:\windows\wininit.ini
2008-11-02 22:08 . 2008-11-02 22:12 <REP> d-------- c:\program files\Spybot - Search & Destroy
2008-11-02 22:08 . 2008-11-04 14:15 <REP> d-------- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2008-11-02 20:55 . 2008-11-02 20:55 <REP> d-------- c:\documents and settings\Damien\Application Data\F-Secure
2008-11-02 20:44 . 2008-11-03 09:31 <REP> d-------- c:\documents and settings\All Users\Application Data\F-Secure
2008-11-02 20:42 . 2008-11-03 12:53 <REP> d-------- c:\program files\F-Secure Internet Security
2008-11-02 20:42 . 2008-11-02 20:42 <REP> d-------- c:\documents and settings\All Users\Application Data\fssg
2008-11-02 10:07 . 2008-11-02 10:07 13,502 --a------ c:\windows\system32\JambaIconFR.ico
2008-11-02 10:07 . 2008-11-02 10:07 9,662 --a------ c:\windows\system32\ZoneAlarmIconFR.ico
2008-10-31 12:31 . 2008-10-31 12:31 113,664 --a------ c:\windows\system32\mopsaqvv.0ll
2008-10-31 11:26 . 2008-10-31 11:26 113,664 --a------ c:\windows\system32\rwamyl.0ll
2008-10-31 11:26 . 2008-10-31 11:26 113,664 --a------ c:\windows\system32\puyaqoef.0ll
2008-10-31 11:21 . 2008-11-03 13:52 <REP> d--hs---- c:\windows\VXRpbGlzYXRldXIgRW5yZWdpc3Ry6Q
2008-10-31 11:21 . 2008-11-03 13:52 <REP> d-------- c:\windows\system32\shell
2008-10-31 11:21 . 2008-10-31 11:21 <REP> d-------- c:\windows\system32\QI02
2008-10-31 11:21 . 2008-10-31 11:21 <REP> d-------- c:\windows\system32\ini
2008-10-31 11:21 . 2008-10-31 11:21 <REP> d-------- c:\temp\NT32
2008-10-31 11:21 . 2008-11-02 22:37 <REP> d-------- C:\Temp
2008-10-28 15:42 . 2008-10-28 15:42 <REP> d-------- c:\documents and settings\All Users\Application Data\FLEXnet
2008-10-28 15:36 . 2008-10-28 15:36 <REP> d-------- c:\program files\Bonjour
2008-10-28 15:18 . 2008-10-28 15:18 <REP> d-------- c:\program files\Fichiers communs\Macrovision Shared
2008-10-27 09:54 . 2008-10-27 09:58 <REP> d-------- c:\program files\uTorrent
2008-10-27 09:54 . 2008-11-01 09:33 <REP> d-------- c:\documents and settings\Damien\Application Data\uTorrent
2008-10-24 13:56 . 2008-10-15 17:35 337,408 -----c--- c:\windows\system32\dllcache\netapi32.dll
2008-10-24 09:07 . 2008-10-24 09:07 268 --ah----- C:\sqmdata04.sqm
2008-10-24 09:07 . 2008-10-24 09:07 244 --ah----- C:\sqmnoopt04.sqm
2008-10-15 07:51 . 2008-08-14 14:23 2,191,232 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe
2008-10-15 07:51 . 2008-08-14 14:23 2,147,328 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe
2008-10-15 07:51 . 2008-08-14 14:23 2,068,096 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe
2008-10-15 07:51 . 2008-08-14 14:23 2,025,984 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe
2008-10-15 07:51 . 2008-09-15 16:26 1,846,528 -----c--- c:\windows\system32\dllcache\win32k.sys
2008-10-15 07:51 . 2008-09-08 11:41 333,824 -----c--- c:\windows\system32\dllcache\srv.sys
2008-10-09 09:38 . 2008-10-09 09:38 230,424 --a------ C:\img2-001.raw
2008-10-08 10:52 . 2008-10-08 10:52 <REP> d-------- c:\program files\VAG-COM
2008-10-08 09:04 . 2008-08-28 20:52 16,896 --a------ c:\windows\system32\drivers\VirtualAudio.sys
2008-10-08 09:01 . 2008-10-08 09:02 668 --a------ c:\documents and settings\Damien\Application Data\waver_2.95.dat
2008-10-08 09:01 . 2008-10-08 09:01 4 --a------ c:\windows\system32\qwolt.pdg
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-03 12:46 --------- d-----w c:\documents and settings\Damien\Application Data\AdobeUM
2008-11-01 07:46 --------- d-----w c:\program files\Free Easy Burner
2008-10-28 14:36 --------- d-----w c:\program files\Fichiers communs\Adobe
2008-10-16 07:36 --------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help
2008-10-03 07:22 --------- d-----w c:\documents and settings\Damien\Application Data\LimeWire
2008-09-15 15:26 1,846,528 ----a-w c:\windows\system32\win32k.sys
2008-09-11 12:52 --------- d--h--w c:\program files\InstallShield Installation Information
2008-09-11 12:52 --------- d-----w c:\program files\Fichiers communs\snp325
2008-09-11 12:51 --------- d-----w c:\documents and settings\Damien\Application Data\InstallShield
2008-09-10 15:47 5,632 ----a-w c:\windows\system32\drivers\StarOpen.sys
2008-09-08 10:41 333,824 ----a-w c:\windows\system32\drivers\srv.sys
2008-08-20 05:10 670,208 ----a-w c:\windows\system32\wininet.dll
2008-08-14 13:23 2,191,232 ----a-w c:\windows\system32\ntoskrnl.exe
2008-08-14 13:23 2,068,096 ----a-w c:\windows\system32\ntkrnlpa.exe
2005-07-29 15:24 472 --sha-r c:\windows\VXRpbGlzYXRldXIgRW5yZWdpc3Ry6Q\prlDv35Wsrl5xrK0lqcVtqxDwalVdk.vbs
.
------- Sigcheck -------
2008-04-14 03:34 979968 3efe912dd25d2586e6a0341db0a66f69 c:\windows\explorer.exe
2004-08-05 05:00 978432 9f3b76c8cf787449a47f05abab4e13e6 c:\windows\$NtServicePackUninstall$\explorer.exe
2008-04-14 03:34 979968 3efe912dd25d2586e6a0341db0a66f69 c:\windows\ServicePackFiles\i386\explorer.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-01-13 131072]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-01-13 163840]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-01-13 135168]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"LVCOMSX"="c:\windows\system32\LVCOMSX.EXE" [2005-07-19 221184]
"tsnp325"="c:\windows\tsnp325.exe" [2007-04-21 270336]
"snp325"="c:\windows\vsnp325.exe" [2007-05-10 835584]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\documents and settings\Damien\Menu D‚marrer\Programmes\D‚marrage\
Thoosje Vista Sidebar.lnk - c:\program files\Thoosje Sidebar V2.3\Thoosje Vista Sidebar.exe [2007-10-22 524288]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=orgxfy.dll
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk
backup=c:\windows\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^Damien^Menu Démarrer^Programmes^Démarrage^RocketDock.lnk]
path=c:\documents and settings\Damien\Menu Démarrer\Programmes\Démarrage\RocketDock.lnk
backup=c:\windows\pss\RocketDock.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FixCamera]
--a------ 2007-02-12 13:50 20480 c:\windows\FixCamera.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechSoftwareUpdate]
--a------ 2005-06-08 13:44 196608 c:\program files\Logitech\Video\ManifestEngine.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoRepair]
--a------ 2005-06-08 14:24 458752 c:\program files\Logitech\Video\ISStart.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoTray]
--a------ 2005-06-08 14:14 217088 c:\program files\Logitech\Video\LogiTray.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2007-10-18 10:34 5724184 c:\program files\Windows Live\Messenger\msnmsgr.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
S3 SNP325;USB PC Camera (SNPSTD325);c:\windows\system32\DRIVERS\snp325.sys [2007-05-24 10343424]
S3 wsvad_driver;WS Audio Device;c:\windows\system32\drivers\VirtualAudio.sys [2008-08-28 16896]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
\Shell\Auto\command - E:\Start.exe
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Start.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{aec1d5f1-54ab-11dd-9615-0013ce0e7d01}]
\Shell\Auto\command - aohfquzal.exe
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL aohfquzal.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f497b9ab-86d8-11dd-96b6-0013ce0e7d01}]
\Shell\Auto\command - F:\Start.exe
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Start.exe
.
- - - - ORPHELINS SUPPRIMES - - - -
BHO-{2013E402-E33F-4F82-91B4-26B5501A1583} - (no file)
BHO-{2214c6c7-811d-49fe-aa49-296db838d6d2} - c:\windows\system32\orgxfy.dll
BHO-{5198A237-A25A-4B53-98BA-0B58F0DF6796} - (no file)
BHO-{AFBAC55D-6588-4759-9C89-6A2840F35E21} - (no file)
BHO-{C81E7A5C-42C9-4D0C-B1F9-5458899DEFFB} - (no file)
Notify-geBtTKDu - (no file)
MSConfigStartUp-GetPack23 - c:\program files\GetPack\GetPack23.exe
MSConfigStartUp-Gool - c:\documents and settings\Damien\Application Data\Gool\Gool.exe
MSConfigStartUp-WinampAgent - c:\program files\Winamp\winampa.exe
.
------- Examen supplémentaire -------
.
FireFox -: Profile - c:\documents and settings\Damien\Application Data\Mozilla\Firefox\Profiles\redwbgg1.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - www.google.fr
FF -: plugin - c:\documents and settings\Damien\Application Data\Mozilla\Firefox\Profiles\redwbgg1.default\extensions\{bb628310-0ab7-11db-9cd8-0800200c9a66}\plugins\nphardwaredetection.dll
FF -: plugin - c:\program files\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - c:\program files\ma-config.com\nphardwaredetection.dll
FF -: plugin - c:\program files\Picasa2\npPicasa2.dll
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-04 15:16:45
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\a-squared Free\a2service.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\igfxsrvc.exe
c:\program files\Mozilla Firefox\firefox.exe
.
**************************************************************************
.
Heure de fin: 2008-11-04 15:22:47 - La machine a redémarré
ComboFix-quarantined-files.txt 2008-11-04 14:22:00
Avant-CF: 16 885 997 568 octets libres
Après-CF: 16,871,501,824 octets libres
219 --- E O F --- 2008-10-29 09:04:37
Rapport hijack :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:24:10, on 04/11/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\WINDOWS\tsnp325.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Thoosje Sidebar V2.3\Thoosje Vista Sidebar.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\HijackThis\monjack.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [tsnp325] C:\WINDOWS\tsnp325.exe
O4 - HKLM\..\Run: [snp325] C:\WINDOWS\vsnp325.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Thoosje Vista Sidebar.lnk = C:\Program Files\Thoosje Sidebar V2.3\Thoosje Vista Sidebar.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=about:blank
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O20 - AppInit_DLLs: orgxfy.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
463
4 nov. 2008 à 16:29
4 nov. 2008 à 16:29
Bien ...
voilà la suite :
1-Crées un doc texte sur ton bureau :
pointes ta souris sur ton bureau , cliques droit : vas dans "nouveau" et choisis "document texte" .
Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{aec1d5f1-54ab-11dd-9615-0013ce0e7d01}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f497b9ab-86d8-11dd-96b6-0013ce0e7d01}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=""
File::
E:\Start.exe
F:\Start.exe
c:\windows\VXRpbGlzYXRldXIgRW5yZWdpc3Ry6Q\prlDv35Wsrl5xrK0lqcVtqxDwalVdk.vbs
c:\windows\system32\mopsaqvv.0ll
c:\windows\system32\rwamyl.0ll
c:\windows\system32\puyaqoef.0ll
c:\windows\system32\aribnqyg.ini
Folder::
c:\windows\VXRpbGlzYXRldXIgRW5yZWdpc3Ry6Q
c:\windows\system32\shell
c:\windows\system32\QI02
c:\windows\system32\ini
c:\temp\NT32
C:\Temp
Puis vas dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valides ...
2-Nettoyage :
!! Déconnectes toi, fermes toutes tes applications et désactives TOUTES TES DEFENSES ( tu les réactiveras après ) !!
--->Sur ton bureau, fais un glissé avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .
(Regarde ici : http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript.gif )
Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tapes 1 puis valide.
Puis patientes le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)
!! Ne touches à rien tant que le scan n'est pas terminé !!
Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisses-le faire.
Une fois le scan achevé, un rapport va s'afficher : Postes le accompagné d' un nouveau rapport HijackThis pour analyse ...
( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )
voilà la suite :
1-Crées un doc texte sur ton bureau :
pointes ta souris sur ton bureau , cliques droit : vas dans "nouveau" et choisis "document texte" .
Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{aec1d5f1-54ab-11dd-9615-0013ce0e7d01}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f497b9ab-86d8-11dd-96b6-0013ce0e7d01}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=""
File::
E:\Start.exe
F:\Start.exe
c:\windows\VXRpbGlzYXRldXIgRW5yZWdpc3Ry6Q\prlDv35Wsrl5xrK0lqcVtqxDwalVdk.vbs
c:\windows\system32\mopsaqvv.0ll
c:\windows\system32\rwamyl.0ll
c:\windows\system32\puyaqoef.0ll
c:\windows\system32\aribnqyg.ini
Folder::
c:\windows\VXRpbGlzYXRldXIgRW5yZWdpc3Ry6Q
c:\windows\system32\shell
c:\windows\system32\QI02
c:\windows\system32\ini
c:\temp\NT32
C:\Temp
Puis vas dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valides ...
2-Nettoyage :
!! Déconnectes toi, fermes toutes tes applications et désactives TOUTES TES DEFENSES ( tu les réactiveras après ) !!
--->Sur ton bureau, fais un glissé avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .
(Regarde ici : http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript.gif )
Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tapes 1 puis valide.
Puis patientes le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)
!! Ne touches à rien tant que le scan n'est pas terminé !!
Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisses-le faire.
Une fois le scan achevé, un rapport va s'afficher : Postes le accompagné d' un nouveau rapport HijackThis pour analyse ...
( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )
ComboFix 08-11-03.06 - Damien 2008-11-05 11:23:38.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.184 [GMT 1:00]
Lancé depuis: c:\documents and settings\Damien\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Damien\Bureau\CFScript.txt
* Un nouveau point de restauration a été créé
[COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR]
FILE ::
c:\windows\system32\aribnqyg.ini
c:\windows\system32\mopsaqvv.0ll
c:\windows\system32\puyaqoef.0ll
c:\windows\system32\rwamyl.0ll
c:\windows\VXRpbGlzYXRldXIgRW5yZWdpc3Ry6Q\prlDv35Wsrl5xrK0lqcVtqxDwalVdk.vbs
E:\Start.exe
F:\Start.exe
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Temp
c:\temp\NT32\zBV.log
c:\windows\system32\aribnqyg.ini
c:\windows\system32\ini
c:\windows\system32\mopsaqvv.0ll
c:\windows\system32\puyaqoef.0ll
c:\windows\system32\QI02
c:\windows\system32\QI02\QI022328.exe
c:\windows\system32\rwamyl.0ll
c:\windows\system32\shell
c:\windows\VXRpbGlzYXRldXIgRW5yZWdpc3Ry6Q
c:\windows\VXRpbGlzYXRldXIgRW5yZWdpc3Ry6Q\prlDv35Wsrl5xrK0lqcVtqxDwalVdk.vbs
.
((((((((((((((((((((((((((((( Fichiers créés du 2008-10-05 au 2008-11-05 ))))))))))))))))))))))))))))))))))))
.
2008-11-04 14:17 . 2008-11-04 14:17 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2008-11-04 14:17 . 2008-11-04 14:17 <REP> d-------- c:\documents and settings\Damien\Application Data\Malwarebytes
2008-11-04 14:17 . 2008-11-04 14:17 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2008-11-04 14:17 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-11-04 14:17 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-11-04 13:54 . 2008-07-03 20:52 <REP> d--h----- c:\documents and settings\Dadou\Voisinage réseau
2008-11-04 13:54 . 2008-07-03 20:52 <REP> d--h----- c:\documents and settings\Dadou\Voisinage d'impression
2008-11-04 13:54 . 2008-07-03 18:57 <REP> d--h----- c:\documents and settings\Dadou\Modèles
2008-11-04 13:54 . 2008-11-04 13:55 <REP> d---s---- c:\documents and settings\Dadou\Mes documents
2008-11-04 13:54 . 2008-07-03 20:52 <REP> dr------- c:\documents and settings\Dadou\Menu Démarrer
2008-11-04 13:54 . 2008-11-04 13:55 <REP> d---s---- c:\documents and settings\Dadou\Favoris
2008-11-04 13:54 . 2008-07-03 20:52 <REP> d-------- c:\documents and settings\Dadou\Bureau
2008-11-04 13:54 . 2008-11-04 13:54 <REP> d-------- c:\documents and settings\Dadou
2008-11-04 13:45 . 2008-11-04 13:45 579,584 --a--c--- c:\windows\system32\dllcache\user32.dll
2008-11-04 13:38 . 2008-11-04 13:38 <REP> d-------- c:\windows\ERUNT
2008-11-04 13:31 . 2008-11-04 14:01 <REP> d-------- C:\SDFix
2008-11-04 13:28 . 2008-11-04 13:28 <REP> d-------- c:\program files\CCleaner
2008-11-04 12:38 . 2008-11-04 12:38 <REP> d-------- C:\_OTMoveIt
2008-11-04 12:15 . 2008-11-04 12:55 <REP> d-------- C:\Lop SD
2008-11-04 11:38 . 2008-11-04 11:38 <REP> d-------- c:\program files\Trend Micro
2008-11-03 09:48 . 2008-11-03 10:06 <REP> d-------- c:\program files\a-squared Free
2008-11-02 22:37 . 2008-11-03 14:06 210 --a------ c:\windows\wininit.ini
2008-11-02 22:08 . 2008-11-02 22:12 <REP> d-------- c:\program files\Spybot - Search & Destroy
2008-11-02 22:08 . 2008-11-04 14:15 <REP> d-------- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2008-11-02 20:55 . 2008-11-02 20:55 <REP> d-------- c:\documents and settings\Damien\Application Data\F-Secure
2008-11-02 20:44 . 2008-11-03 09:31 <REP> d-------- c:\documents and settings\All Users\Application Data\F-Secure
2008-11-02 20:42 . 2008-11-03 12:53 <REP> d-------- c:\program files\F-Secure Internet Security
2008-11-02 20:42 . 2008-11-02 20:42 <REP> d-------- c:\documents and settings\All Users\Application Data\fssg
2008-11-02 10:07 . 2008-11-02 10:07 13,502 --a------ c:\windows\system32\JambaIconFR.ico
2008-11-02 10:07 . 2008-11-02 10:07 9,662 --a------ c:\windows\system32\ZoneAlarmIconFR.ico
2008-10-28 15:42 . 2008-10-28 15:42 <REP> d-------- c:\documents and settings\All Users\Application Data\FLEXnet
2008-10-28 15:36 . 2008-10-28 15:36 <REP> d-------- c:\program files\Bonjour
2008-10-28 15:18 . 2008-10-28 15:18 <REP> d-------- c:\program files\Fichiers communs\Macrovision Shared
2008-10-27 09:54 . 2008-10-27 09:58 <REP> d-------- c:\program files\uTorrent
2008-10-27 09:54 . 2008-11-01 09:33 <REP> d-------- c:\documents and settings\Damien\Application Data\uTorrent
2008-10-24 13:56 . 2008-10-15 17:35 337,408 -----c--- c:\windows\system32\dllcache\netapi32.dll
2008-10-24 09:07 . 2008-10-24 09:07 268 --ah----- C:\sqmdata04.sqm
2008-10-24 09:07 . 2008-10-24 09:07 244 --ah----- C:\sqmnoopt04.sqm
2008-10-15 07:51 . 2008-08-14 14:23 2,191,232 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe
2008-10-15 07:51 . 2008-08-14 14:23 2,147,328 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe
2008-10-15 07:51 . 2008-08-14 14:23 2,068,096 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe
2008-10-15 07:51 . 2008-08-14 14:23 2,025,984 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe
2008-10-15 07:51 . 2008-09-15 16:26 1,846,528 -----c--- c:\windows\system32\dllcache\win32k.sys
2008-10-15 07:51 . 2008-09-08 11:41 333,824 -----c--- c:\windows\system32\dllcache\srv.sys
2008-10-09 09:38 . 2008-10-09 09:38 230,424 --a------ C:\img2-001.raw
2008-10-08 10:52 . 2008-10-08 10:52 <REP> d-------- c:\program files\VAG-COM
2008-10-08 09:04 . 2008-08-28 20:52 16,896 --a------ c:\windows\system32\drivers\VirtualAudio.sys
2008-10-08 09:01 . 2008-10-08 09:02 668 --a------ c:\documents and settings\Damien\Application Data\waver_2.95.dat
2008-10-08 09:01 . 2008-10-08 09:01 4 --a------ c:\windows\system32\qwolt.pdg
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-03 12:46 --------- d-----w c:\documents and settings\Damien\Application Data\AdobeUM
2008-11-01 07:46 --------- d-----w c:\program files\Free Easy Burner
2008-10-28 14:36 --------- d-----w c:\program files\Fichiers communs\Adobe
2008-10-16 07:36 --------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help
2008-10-03 07:22 --------- d-----w c:\documents and settings\Damien\Application Data\LimeWire
2008-09-15 15:26 1,846,528 ----a-w c:\windows\system32\win32k.sys
2008-09-11 12:52 --------- d--h--w c:\program files\InstallShield Installation Information
2008-09-11 12:52 --------- d-----w c:\program files\Fichiers communs\snp325
2008-09-11 12:51 --------- d-----w c:\documents and settings\Damien\Application Data\InstallShield
2008-09-10 15:47 5,632 ----a-w c:\windows\system32\drivers\StarOpen.sys
2008-09-08 10:41 333,824 ----a-w c:\windows\system32\drivers\srv.sys
2008-08-20 05:10 670,208 ----a-w c:\windows\system32\wininet.dll
2008-08-14 13:23 2,191,232 ----a-w c:\windows\system32\ntoskrnl.exe
2008-08-14 13:23 2,068,096 ----a-w c:\windows\system32\ntkrnlpa.exe
.
------- Sigcheck -------
2008-04-14 03:34 979968 3efe912dd25d2586e6a0341db0a66f69 c:\windows\explorer.exe
2004-08-05 05:00 978432 9f3b76c8cf787449a47f05abab4e13e6 c:\windows\$NtServicePackUninstall$\explorer.exe
2008-04-14 03:34 979968 3efe912dd25d2586e6a0341db0a66f69 c:\windows\ServicePackFiles\i386\explorer.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-01-13 131072]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-01-13 163840]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-01-13 135168]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"LVCOMSX"="c:\windows\system32\LVCOMSX.EXE" [2005-07-19 221184]
"tsnp325"="c:\windows\tsnp325.exe" [2007-04-21 270336]
"snp325"="c:\windows\vsnp325.exe" [2007-05-10 835584]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\documents and settings\Damien\Menu D‚marrer\Programmes\D‚marrage\
Thoosje Vista Sidebar.lnk - c:\program files\Thoosje Sidebar V2.3\Thoosje Vista Sidebar.exe [2007-10-22 524288]
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk
backup=c:\windows\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^Damien^Menu Démarrer^Programmes^Démarrage^RocketDock.lnk]
path=c:\documents and settings\Damien\Menu Démarrer\Programmes\Démarrage\RocketDock.lnk
backup=c:\windows\pss\RocketDock.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FixCamera]
--a------ 2007-02-12 13:50 20480 c:\windows\FixCamera.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechSoftwareUpdate]
--a------ 2005-06-08 13:44 196608 c:\program files\Logitech\Video\ManifestEngine.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoRepair]
--a------ 2005-06-08 14:24 458752 c:\program files\Logitech\Video\ISStart.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoTray]
--a------ 2005-06-08 14:14 217088 c:\program files\Logitech\Video\LogiTray.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2007-10-18 10:34 5724184 c:\program files\Windows Live\Messenger\msnmsgr.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
S3 SNP325;USB PC Camera (SNPSTD325);c:\windows\system32\DRIVERS\snp325.sys [2007-05-24 10343424]
S3 wsvad_driver;WS Audio Device;c:\windows\system32\drivers\VirtualAudio.sys [2008-08-28 16896]
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-05 11:26:18
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
Heure de fin: 2008-11-05 11:27:39
ComboFix-quarantined-files.txt 2008-11-05 10:27:30
ComboFix2.txt 2008-11-04 14:22:49
Avant-CF: 16 850 649 088 octets libres
Après-CF: 16,842,055,680 octets libres
170 --- E O F --- 2008-10-29 09:04:37
Rapport hijack
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:33:46, on 05/11/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\WINDOWS\tsnp325.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Thoosje Sidebar V2.3\Thoosje Vista Sidebar.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\monjack.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [tsnp325] C:\WINDOWS\tsnp325.exe
O4 - HKLM\..\Run: [snp325] C:\WINDOWS\vsnp325.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Thoosje Vista Sidebar.lnk = C:\Program Files\Thoosje Sidebar V2.3\Thoosje Vista Sidebar.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=about:blank
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.184 [GMT 1:00]
Lancé depuis: c:\documents and settings\Damien\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Damien\Bureau\CFScript.txt
* Un nouveau point de restauration a été créé
[COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR]
FILE ::
c:\windows\system32\aribnqyg.ini
c:\windows\system32\mopsaqvv.0ll
c:\windows\system32\puyaqoef.0ll
c:\windows\system32\rwamyl.0ll
c:\windows\VXRpbGlzYXRldXIgRW5yZWdpc3Ry6Q\prlDv35Wsrl5xrK0lqcVtqxDwalVdk.vbs
E:\Start.exe
F:\Start.exe
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Temp
c:\temp\NT32\zBV.log
c:\windows\system32\aribnqyg.ini
c:\windows\system32\ini
c:\windows\system32\mopsaqvv.0ll
c:\windows\system32\puyaqoef.0ll
c:\windows\system32\QI02
c:\windows\system32\QI02\QI022328.exe
c:\windows\system32\rwamyl.0ll
c:\windows\system32\shell
c:\windows\VXRpbGlzYXRldXIgRW5yZWdpc3Ry6Q
c:\windows\VXRpbGlzYXRldXIgRW5yZWdpc3Ry6Q\prlDv35Wsrl5xrK0lqcVtqxDwalVdk.vbs
.
((((((((((((((((((((((((((((( Fichiers créés du 2008-10-05 au 2008-11-05 ))))))))))))))))))))))))))))))))))))
.
2008-11-04 14:17 . 2008-11-04 14:17 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2008-11-04 14:17 . 2008-11-04 14:17 <REP> d-------- c:\documents and settings\Damien\Application Data\Malwarebytes
2008-11-04 14:17 . 2008-11-04 14:17 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2008-11-04 14:17 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-11-04 14:17 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-11-04 13:54 . 2008-07-03 20:52 <REP> d--h----- c:\documents and settings\Dadou\Voisinage réseau
2008-11-04 13:54 . 2008-07-03 20:52 <REP> d--h----- c:\documents and settings\Dadou\Voisinage d'impression
2008-11-04 13:54 . 2008-07-03 18:57 <REP> d--h----- c:\documents and settings\Dadou\Modèles
2008-11-04 13:54 . 2008-11-04 13:55 <REP> d---s---- c:\documents and settings\Dadou\Mes documents
2008-11-04 13:54 . 2008-07-03 20:52 <REP> dr------- c:\documents and settings\Dadou\Menu Démarrer
2008-11-04 13:54 . 2008-11-04 13:55 <REP> d---s---- c:\documents and settings\Dadou\Favoris
2008-11-04 13:54 . 2008-07-03 20:52 <REP> d-------- c:\documents and settings\Dadou\Bureau
2008-11-04 13:54 . 2008-11-04 13:54 <REP> d-------- c:\documents and settings\Dadou
2008-11-04 13:45 . 2008-11-04 13:45 579,584 --a--c--- c:\windows\system32\dllcache\user32.dll
2008-11-04 13:38 . 2008-11-04 13:38 <REP> d-------- c:\windows\ERUNT
2008-11-04 13:31 . 2008-11-04 14:01 <REP> d-------- C:\SDFix
2008-11-04 13:28 . 2008-11-04 13:28 <REP> d-------- c:\program files\CCleaner
2008-11-04 12:38 . 2008-11-04 12:38 <REP> d-------- C:\_OTMoveIt
2008-11-04 12:15 . 2008-11-04 12:55 <REP> d-------- C:\Lop SD
2008-11-04 11:38 . 2008-11-04 11:38 <REP> d-------- c:\program files\Trend Micro
2008-11-03 09:48 . 2008-11-03 10:06 <REP> d-------- c:\program files\a-squared Free
2008-11-02 22:37 . 2008-11-03 14:06 210 --a------ c:\windows\wininit.ini
2008-11-02 22:08 . 2008-11-02 22:12 <REP> d-------- c:\program files\Spybot - Search & Destroy
2008-11-02 22:08 . 2008-11-04 14:15 <REP> d-------- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2008-11-02 20:55 . 2008-11-02 20:55 <REP> d-------- c:\documents and settings\Damien\Application Data\F-Secure
2008-11-02 20:44 . 2008-11-03 09:31 <REP> d-------- c:\documents and settings\All Users\Application Data\F-Secure
2008-11-02 20:42 . 2008-11-03 12:53 <REP> d-------- c:\program files\F-Secure Internet Security
2008-11-02 20:42 . 2008-11-02 20:42 <REP> d-------- c:\documents and settings\All Users\Application Data\fssg
2008-11-02 10:07 . 2008-11-02 10:07 13,502 --a------ c:\windows\system32\JambaIconFR.ico
2008-11-02 10:07 . 2008-11-02 10:07 9,662 --a------ c:\windows\system32\ZoneAlarmIconFR.ico
2008-10-28 15:42 . 2008-10-28 15:42 <REP> d-------- c:\documents and settings\All Users\Application Data\FLEXnet
2008-10-28 15:36 . 2008-10-28 15:36 <REP> d-------- c:\program files\Bonjour
2008-10-28 15:18 . 2008-10-28 15:18 <REP> d-------- c:\program files\Fichiers communs\Macrovision Shared
2008-10-27 09:54 . 2008-10-27 09:58 <REP> d-------- c:\program files\uTorrent
2008-10-27 09:54 . 2008-11-01 09:33 <REP> d-------- c:\documents and settings\Damien\Application Data\uTorrent
2008-10-24 13:56 . 2008-10-15 17:35 337,408 -----c--- c:\windows\system32\dllcache\netapi32.dll
2008-10-24 09:07 . 2008-10-24 09:07 268 --ah----- C:\sqmdata04.sqm
2008-10-24 09:07 . 2008-10-24 09:07 244 --ah----- C:\sqmnoopt04.sqm
2008-10-15 07:51 . 2008-08-14 14:23 2,191,232 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe
2008-10-15 07:51 . 2008-08-14 14:23 2,147,328 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe
2008-10-15 07:51 . 2008-08-14 14:23 2,068,096 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe
2008-10-15 07:51 . 2008-08-14 14:23 2,025,984 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe
2008-10-15 07:51 . 2008-09-15 16:26 1,846,528 -----c--- c:\windows\system32\dllcache\win32k.sys
2008-10-15 07:51 . 2008-09-08 11:41 333,824 -----c--- c:\windows\system32\dllcache\srv.sys
2008-10-09 09:38 . 2008-10-09 09:38 230,424 --a------ C:\img2-001.raw
2008-10-08 10:52 . 2008-10-08 10:52 <REP> d-------- c:\program files\VAG-COM
2008-10-08 09:04 . 2008-08-28 20:52 16,896 --a------ c:\windows\system32\drivers\VirtualAudio.sys
2008-10-08 09:01 . 2008-10-08 09:02 668 --a------ c:\documents and settings\Damien\Application Data\waver_2.95.dat
2008-10-08 09:01 . 2008-10-08 09:01 4 --a------ c:\windows\system32\qwolt.pdg
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-03 12:46 --------- d-----w c:\documents and settings\Damien\Application Data\AdobeUM
2008-11-01 07:46 --------- d-----w c:\program files\Free Easy Burner
2008-10-28 14:36 --------- d-----w c:\program files\Fichiers communs\Adobe
2008-10-16 07:36 --------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help
2008-10-03 07:22 --------- d-----w c:\documents and settings\Damien\Application Data\LimeWire
2008-09-15 15:26 1,846,528 ----a-w c:\windows\system32\win32k.sys
2008-09-11 12:52 --------- d--h--w c:\program files\InstallShield Installation Information
2008-09-11 12:52 --------- d-----w c:\program files\Fichiers communs\snp325
2008-09-11 12:51 --------- d-----w c:\documents and settings\Damien\Application Data\InstallShield
2008-09-10 15:47 5,632 ----a-w c:\windows\system32\drivers\StarOpen.sys
2008-09-08 10:41 333,824 ----a-w c:\windows\system32\drivers\srv.sys
2008-08-20 05:10 670,208 ----a-w c:\windows\system32\wininet.dll
2008-08-14 13:23 2,191,232 ----a-w c:\windows\system32\ntoskrnl.exe
2008-08-14 13:23 2,068,096 ----a-w c:\windows\system32\ntkrnlpa.exe
.
------- Sigcheck -------
2008-04-14 03:34 979968 3efe912dd25d2586e6a0341db0a66f69 c:\windows\explorer.exe
2004-08-05 05:00 978432 9f3b76c8cf787449a47f05abab4e13e6 c:\windows\$NtServicePackUninstall$\explorer.exe
2008-04-14 03:34 979968 3efe912dd25d2586e6a0341db0a66f69 c:\windows\ServicePackFiles\i386\explorer.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-01-13 131072]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-01-13 163840]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-01-13 135168]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"LVCOMSX"="c:\windows\system32\LVCOMSX.EXE" [2005-07-19 221184]
"tsnp325"="c:\windows\tsnp325.exe" [2007-04-21 270336]
"snp325"="c:\windows\vsnp325.exe" [2007-05-10 835584]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\documents and settings\Damien\Menu D‚marrer\Programmes\D‚marrage\
Thoosje Vista Sidebar.lnk - c:\program files\Thoosje Sidebar V2.3\Thoosje Vista Sidebar.exe [2007-10-22 524288]
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk
backup=c:\windows\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^Damien^Menu Démarrer^Programmes^Démarrage^RocketDock.lnk]
path=c:\documents and settings\Damien\Menu Démarrer\Programmes\Démarrage\RocketDock.lnk
backup=c:\windows\pss\RocketDock.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FixCamera]
--a------ 2007-02-12 13:50 20480 c:\windows\FixCamera.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechSoftwareUpdate]
--a------ 2005-06-08 13:44 196608 c:\program files\Logitech\Video\ManifestEngine.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoRepair]
--a------ 2005-06-08 14:24 458752 c:\program files\Logitech\Video\ISStart.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoTray]
--a------ 2005-06-08 14:14 217088 c:\program files\Logitech\Video\LogiTray.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2007-10-18 10:34 5724184 c:\program files\Windows Live\Messenger\msnmsgr.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
S3 SNP325;USB PC Camera (SNPSTD325);c:\windows\system32\DRIVERS\snp325.sys [2007-05-24 10343424]
S3 wsvad_driver;WS Audio Device;c:\windows\system32\drivers\VirtualAudio.sys [2008-08-28 16896]
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-05 11:26:18
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
Heure de fin: 2008-11-05 11:27:39
ComboFix-quarantined-files.txt 2008-11-05 10:27:30
ComboFix2.txt 2008-11-04 14:22:49
Avant-CF: 16 850 649 088 octets libres
Après-CF: 16,842,055,680 octets libres
170 --- E O F --- 2008-10-29 09:04:37
Rapport hijack
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:33:46, on 05/11/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\WINDOWS\tsnp325.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Thoosje Sidebar V2.3\Thoosje Vista Sidebar.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\monjack.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [tsnp325] C:\WINDOWS\tsnp325.exe
O4 - HKLM\..\Run: [snp325] C:\WINDOWS\vsnp325.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Thoosje Vista Sidebar.lnk = C:\Program Files\Thoosje Sidebar V2.3\Thoosje Vista Sidebar.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=about:blank
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
ComboFix 08-11-03.06 - Damien 2008-11-05 11:23:38.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.184 [GMT 1:00]
Lancé depuis: c:\documents and settings\Damien\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Damien\Bureau\CFScript.txt
* Un nouveau point de restauration a été créé
[COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR]
FILE ::
c:\windows\system32\aribnqyg.ini
c:\windows\system32\mopsaqvv.0ll
c:\windows\system32\puyaqoef.0ll
c:\windows\system32\rwamyl.0ll
c:\windows\VXRpbGlzYXRldXIgRW5yZWdpc3Ry6Q\prlDv35Wsrl5xrK0lqcVtqxDwalVdk.vbs
E:\Start.exe
F:\Start.exe
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Temp
c:\temp\NT32\zBV.log
c:\windows\system32\aribnqyg.ini
c:\windows\system32\ini
c:\windows\system32\mopsaqvv.0ll
c:\windows\system32\puyaqoef.0ll
c:\windows\system32\QI02
c:\windows\system32\QI02\QI022328.exe
c:\windows\system32\rwamyl.0ll
c:\windows\system32\shell
c:\windows\VXRpbGlzYXRldXIgRW5yZWdpc3Ry6Q
c:\windows\VXRpbGlzYXRldXIgRW5yZWdpc3Ry6Q\prlDv35Wsrl5xrK0lqcVtqxDwalVdk.vbs
.
((((((((((((((((((((((((((((( Fichiers créés du 2008-10-05 au 2008-11-05 ))))))))))))))))))))))))))))))))))))
.
2008-11-04 14:17 . 2008-11-04 14:17 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2008-11-04 14:17 . 2008-11-04 14:17 <REP> d-------- c:\documents and settings\Damien\Application Data\Malwarebytes
2008-11-04 14:17 . 2008-11-04 14:17 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2008-11-04 14:17 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-11-04 14:17 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-11-04 13:54 . 2008-07-03 20:52 <REP> d--h----- c:\documents and settings\Dadou\Voisinage réseau
2008-11-04 13:54 . 2008-07-03 20:52 <REP> d--h----- c:\documents and settings\Dadou\Voisinage d'impression
2008-11-04 13:54 . 2008-07-03 18:57 <REP> d--h----- c:\documents and settings\Dadou\Modèles
2008-11-04 13:54 . 2008-11-04 13:55 <REP> d---s---- c:\documents and settings\Dadou\Mes documents
2008-11-04 13:54 . 2008-07-03 20:52 <REP> dr------- c:\documents and settings\Dadou\Menu Démarrer
2008-11-04 13:54 . 2008-11-04 13:55 <REP> d---s---- c:\documents and settings\Dadou\Favoris
2008-11-04 13:54 . 2008-07-03 20:52 <REP> d-------- c:\documents and settings\Dadou\Bureau
2008-11-04 13:54 . 2008-11-04 13:54 <REP> d-------- c:\documents and settings\Dadou
2008-11-04 13:45 . 2008-11-04 13:45 579,584 --a--c--- c:\windows\system32\dllcache\user32.dll
2008-11-04 13:38 . 2008-11-04 13:38 <REP> d-------- c:\windows\ERUNT
2008-11-04 13:31 . 2008-11-04 14:01 <REP> d-------- C:\SDFix
2008-11-04 13:28 . 2008-11-04 13:28 <REP> d-------- c:\program files\CCleaner
2008-11-04 12:38 . 2008-11-04 12:38 <REP> d-------- C:\_OTMoveIt
2008-11-04 12:15 . 2008-11-04 12:55 <REP> d-------- C:\Lop SD
2008-11-04 11:38 . 2008-11-04 11:38 <REP> d-------- c:\program files\Trend Micro
2008-11-03 09:48 . 2008-11-03 10:06 <REP> d-------- c:\program files\a-squared Free
2008-11-02 22:37 . 2008-11-03 14:06 210 --a------ c:\windows\wininit.ini
2008-11-02 22:08 . 2008-11-02 22:12 <REP> d-------- c:\program files\Spybot - Search & Destroy
2008-11-02 22:08 . 2008-11-04 14:15 <REP> d-------- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2008-11-02 20:55 . 2008-11-02 20:55 <REP> d-------- c:\documents and settings\Damien\Application Data\F-Secure
2008-11-02 20:44 . 2008-11-03 09:31 <REP> d-------- c:\documents and settings\All Users\Application Data\F-Secure
2008-11-02 20:42 . 2008-11-03 12:53 <REP> d-------- c:\program files\F-Secure Internet Security
2008-11-02 20:42 . 2008-11-02 20:42 <REP> d-------- c:\documents and settings\All Users\Application Data\fssg
2008-11-02 10:07 . 2008-11-02 10:07 13,502 --a------ c:\windows\system32\JambaIconFR.ico
2008-11-02 10:07 . 2008-11-02 10:07 9,662 --a------ c:\windows\system32\ZoneAlarmIconFR.ico
2008-10-28 15:42 . 2008-10-28 15:42 <REP> d-------- c:\documents and settings\All Users\Application Data\FLEXnet
2008-10-28 15:36 . 2008-10-28 15:36 <REP> d-------- c:\program files\Bonjour
2008-10-28 15:18 . 2008-10-28 15:18 <REP> d-------- c:\program files\Fichiers communs\Macrovision Shared
2008-10-27 09:54 . 2008-10-27 09:58 <REP> d-------- c:\program files\uTorrent
2008-10-27 09:54 . 2008-11-01 09:33 <REP> d-------- c:\documents and settings\Damien\Application Data\uTorrent
2008-10-24 13:56 . 2008-10-15 17:35 337,408 -----c--- c:\windows\system32\dllcache\netapi32.dll
2008-10-24 09:07 . 2008-10-24 09:07 268 --ah----- C:\sqmdata04.sqm
2008-10-24 09:07 . 2008-10-24 09:07 244 --ah----- C:\sqmnoopt04.sqm
2008-10-15 07:51 . 2008-08-14 14:23 2,191,232 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe
2008-10-15 07:51 . 2008-08-14 14:23 2,147,328 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe
2008-10-15 07:51 . 2008-08-14 14:23 2,068,096 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe
2008-10-15 07:51 . 2008-08-14 14:23 2,025,984 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe
2008-10-15 07:51 . 2008-09-15 16:26 1,846,528 -----c--- c:\windows\system32\dllcache\win32k.sys
2008-10-15 07:51 . 2008-09-08 11:41 333,824 -----c--- c:\windows\system32\dllcache\srv.sys
2008-10-09 09:38 . 2008-10-09 09:38 230,424 --a------ C:\img2-001.raw
2008-10-08 10:52 . 2008-10-08 10:52 <REP> d-------- c:\program files\VAG-COM
2008-10-08 09:04 . 2008-08-28 20:52 16,896 --a------ c:\windows\system32\drivers\VirtualAudio.sys
2008-10-08 09:01 . 2008-10-08 09:02 668 --a------ c:\documents and settings\Damien\Application Data\waver_2.95.dat
2008-10-08 09:01 . 2008-10-08 09:01 4 --a------ c:\windows\system32\qwolt.pdg
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-03 12:46 --------- d-----w c:\documents and settings\Damien\Application Data\AdobeUM
2008-11-01 07:46 --------- d-----w c:\program files\Free Easy Burner
2008-10-28 14:36 --------- d-----w c:\program files\Fichiers communs\Adobe
2008-10-16 07:36 --------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help
2008-10-03 07:22 --------- d-----w c:\documents and settings\Damien\Application Data\LimeWire
2008-09-15 15:26 1,846,528 ----a-w c:\windows\system32\win32k.sys
2008-09-11 12:52 --------- d--h--w c:\program files\InstallShield Installation Information
2008-09-11 12:52 --------- d-----w c:\program files\Fichiers communs\snp325
2008-09-11 12:51 --------- d-----w c:\documents and settings\Damien\Application Data\InstallShield
2008-09-10 15:47 5,632 ----a-w c:\windows\system32\drivers\StarOpen.sys
2008-09-08 10:41 333,824 ----a-w c:\windows\system32\drivers\srv.sys
2008-08-20 05:10 670,208 ----a-w c:\windows\system32\wininet.dll
2008-08-14 13:23 2,191,232 ----a-w c:\windows\system32\ntoskrnl.exe
2008-08-14 13:23 2,068,096 ----a-w c:\windows\system32\ntkrnlpa.exe
.
------- Sigcheck -------
2008-04-14 03:34 979968 3efe912dd25d2586e6a0341db0a66f69 c:\windows\explorer.exe
2004-08-05 05:00 978432 9f3b76c8cf787449a47f05abab4e13e6 c:\windows\$NtServicePackUninstall$\explorer.exe
2008-04-14 03:34 979968 3efe912dd25d2586e6a0341db0a66f69 c:\windows\ServicePackFiles\i386\explorer.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-01-13 131072]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-01-13 163840]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-01-13 135168]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"LVCOMSX"="c:\windows\system32\LVCOMSX.EXE" [2005-07-19 221184]
"tsnp325"="c:\windows\tsnp325.exe" [2007-04-21 270336]
"snp325"="c:\windows\vsnp325.exe" [2007-05-10 835584]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\documents and settings\Damien\Menu D‚marrer\Programmes\D‚marrage\
Thoosje Vista Sidebar.lnk - c:\program files\Thoosje Sidebar V2.3\Thoosje Vista Sidebar.exe [2007-10-22 524288]
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk
backup=c:\windows\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^Damien^Menu Démarrer^Programmes^Démarrage^RocketDock.lnk]
path=c:\documents and settings\Damien\Menu Démarrer\Programmes\Démarrage\RocketDock.lnk
backup=c:\windows\pss\RocketDock.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FixCamera]
--a------ 2007-02-12 13:50 20480 c:\windows\FixCamera.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechSoftwareUpdate]
--a------ 2005-06-08 13:44 196608 c:\program files\Logitech\Video\ManifestEngine.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoRepair]
--a------ 2005-06-08 14:24 458752 c:\program files\Logitech\Video\ISStart.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoTray]
--a------ 2005-06-08 14:14 217088 c:\program files\Logitech\Video\LogiTray.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2007-10-18 10:34 5724184 c:\program files\Windows Live\Messenger\msnmsgr.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
S3 SNP325;USB PC Camera (SNPSTD325);c:\windows\system32\DRIVERS\snp325.sys [2007-05-24 10343424]
S3 wsvad_driver;WS Audio Device;c:\windows\system32\drivers\VirtualAudio.sys [2008-08-28 16896]
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-05 11:26:18
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
Heure de fin: 2008-11-05 11:27:39
ComboFix-quarantined-files.txt 2008-11-05 10:27:30
ComboFix2.txt 2008-11-04 14:22:49
Avant-CF: 16 850 649 088 octets libres
Après-CF: 16,842,055,680 octets libres
170 --- E O F --- 2008-10-29 09:04:37
Rapport hijack
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:33:46, on 05/11/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\WINDOWS\tsnp325.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Thoosje Sidebar V2.3\Thoosje Vista Sidebar.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\monjack.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [tsnp325] C:\WINDOWS\tsnp325.exe
O4 - HKLM\..\Run: [snp325] C:\WINDOWS\vsnp325.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Thoosje Vista Sidebar.lnk = C:\Program Files\Thoosje Sidebar V2.3\Thoosje Vista Sidebar.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=about:blank
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.184 [GMT 1:00]
Lancé depuis: c:\documents and settings\Damien\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Damien\Bureau\CFScript.txt
* Un nouveau point de restauration a été créé
[COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR]
FILE ::
c:\windows\system32\aribnqyg.ini
c:\windows\system32\mopsaqvv.0ll
c:\windows\system32\puyaqoef.0ll
c:\windows\system32\rwamyl.0ll
c:\windows\VXRpbGlzYXRldXIgRW5yZWdpc3Ry6Q\prlDv35Wsrl5xrK0lqcVtqxDwalVdk.vbs
E:\Start.exe
F:\Start.exe
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Temp
c:\temp\NT32\zBV.log
c:\windows\system32\aribnqyg.ini
c:\windows\system32\ini
c:\windows\system32\mopsaqvv.0ll
c:\windows\system32\puyaqoef.0ll
c:\windows\system32\QI02
c:\windows\system32\QI02\QI022328.exe
c:\windows\system32\rwamyl.0ll
c:\windows\system32\shell
c:\windows\VXRpbGlzYXRldXIgRW5yZWdpc3Ry6Q
c:\windows\VXRpbGlzYXRldXIgRW5yZWdpc3Ry6Q\prlDv35Wsrl5xrK0lqcVtqxDwalVdk.vbs
.
((((((((((((((((((((((((((((( Fichiers créés du 2008-10-05 au 2008-11-05 ))))))))))))))))))))))))))))))))))))
.
2008-11-04 14:17 . 2008-11-04 14:17 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2008-11-04 14:17 . 2008-11-04 14:17 <REP> d-------- c:\documents and settings\Damien\Application Data\Malwarebytes
2008-11-04 14:17 . 2008-11-04 14:17 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2008-11-04 14:17 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-11-04 14:17 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-11-04 13:54 . 2008-07-03 20:52 <REP> d--h----- c:\documents and settings\Dadou\Voisinage réseau
2008-11-04 13:54 . 2008-07-03 20:52 <REP> d--h----- c:\documents and settings\Dadou\Voisinage d'impression
2008-11-04 13:54 . 2008-07-03 18:57 <REP> d--h----- c:\documents and settings\Dadou\Modèles
2008-11-04 13:54 . 2008-11-04 13:55 <REP> d---s---- c:\documents and settings\Dadou\Mes documents
2008-11-04 13:54 . 2008-07-03 20:52 <REP> dr------- c:\documents and settings\Dadou\Menu Démarrer
2008-11-04 13:54 . 2008-11-04 13:55 <REP> d---s---- c:\documents and settings\Dadou\Favoris
2008-11-04 13:54 . 2008-07-03 20:52 <REP> d-------- c:\documents and settings\Dadou\Bureau
2008-11-04 13:54 . 2008-11-04 13:54 <REP> d-------- c:\documents and settings\Dadou
2008-11-04 13:45 . 2008-11-04 13:45 579,584 --a--c--- c:\windows\system32\dllcache\user32.dll
2008-11-04 13:38 . 2008-11-04 13:38 <REP> d-------- c:\windows\ERUNT
2008-11-04 13:31 . 2008-11-04 14:01 <REP> d-------- C:\SDFix
2008-11-04 13:28 . 2008-11-04 13:28 <REP> d-------- c:\program files\CCleaner
2008-11-04 12:38 . 2008-11-04 12:38 <REP> d-------- C:\_OTMoveIt
2008-11-04 12:15 . 2008-11-04 12:55 <REP> d-------- C:\Lop SD
2008-11-04 11:38 . 2008-11-04 11:38 <REP> d-------- c:\program files\Trend Micro
2008-11-03 09:48 . 2008-11-03 10:06 <REP> d-------- c:\program files\a-squared Free
2008-11-02 22:37 . 2008-11-03 14:06 210 --a------ c:\windows\wininit.ini
2008-11-02 22:08 . 2008-11-02 22:12 <REP> d-------- c:\program files\Spybot - Search & Destroy
2008-11-02 22:08 . 2008-11-04 14:15 <REP> d-------- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2008-11-02 20:55 . 2008-11-02 20:55 <REP> d-------- c:\documents and settings\Damien\Application Data\F-Secure
2008-11-02 20:44 . 2008-11-03 09:31 <REP> d-------- c:\documents and settings\All Users\Application Data\F-Secure
2008-11-02 20:42 . 2008-11-03 12:53 <REP> d-------- c:\program files\F-Secure Internet Security
2008-11-02 20:42 . 2008-11-02 20:42 <REP> d-------- c:\documents and settings\All Users\Application Data\fssg
2008-11-02 10:07 . 2008-11-02 10:07 13,502 --a------ c:\windows\system32\JambaIconFR.ico
2008-11-02 10:07 . 2008-11-02 10:07 9,662 --a------ c:\windows\system32\ZoneAlarmIconFR.ico
2008-10-28 15:42 . 2008-10-28 15:42 <REP> d-------- c:\documents and settings\All Users\Application Data\FLEXnet
2008-10-28 15:36 . 2008-10-28 15:36 <REP> d-------- c:\program files\Bonjour
2008-10-28 15:18 . 2008-10-28 15:18 <REP> d-------- c:\program files\Fichiers communs\Macrovision Shared
2008-10-27 09:54 . 2008-10-27 09:58 <REP> d-------- c:\program files\uTorrent
2008-10-27 09:54 . 2008-11-01 09:33 <REP> d-------- c:\documents and settings\Damien\Application Data\uTorrent
2008-10-24 13:56 . 2008-10-15 17:35 337,408 -----c--- c:\windows\system32\dllcache\netapi32.dll
2008-10-24 09:07 . 2008-10-24 09:07 268 --ah----- C:\sqmdata04.sqm
2008-10-24 09:07 . 2008-10-24 09:07 244 --ah----- C:\sqmnoopt04.sqm
2008-10-15 07:51 . 2008-08-14 14:23 2,191,232 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe
2008-10-15 07:51 . 2008-08-14 14:23 2,147,328 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe
2008-10-15 07:51 . 2008-08-14 14:23 2,068,096 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe
2008-10-15 07:51 . 2008-08-14 14:23 2,025,984 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe
2008-10-15 07:51 . 2008-09-15 16:26 1,846,528 -----c--- c:\windows\system32\dllcache\win32k.sys
2008-10-15 07:51 . 2008-09-08 11:41 333,824 -----c--- c:\windows\system32\dllcache\srv.sys
2008-10-09 09:38 . 2008-10-09 09:38 230,424 --a------ C:\img2-001.raw
2008-10-08 10:52 . 2008-10-08 10:52 <REP> d-------- c:\program files\VAG-COM
2008-10-08 09:04 . 2008-08-28 20:52 16,896 --a------ c:\windows\system32\drivers\VirtualAudio.sys
2008-10-08 09:01 . 2008-10-08 09:02 668 --a------ c:\documents and settings\Damien\Application Data\waver_2.95.dat
2008-10-08 09:01 . 2008-10-08 09:01 4 --a------ c:\windows\system32\qwolt.pdg
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-03 12:46 --------- d-----w c:\documents and settings\Damien\Application Data\AdobeUM
2008-11-01 07:46 --------- d-----w c:\program files\Free Easy Burner
2008-10-28 14:36 --------- d-----w c:\program files\Fichiers communs\Adobe
2008-10-16 07:36 --------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help
2008-10-03 07:22 --------- d-----w c:\documents and settings\Damien\Application Data\LimeWire
2008-09-15 15:26 1,846,528 ----a-w c:\windows\system32\win32k.sys
2008-09-11 12:52 --------- d--h--w c:\program files\InstallShield Installation Information
2008-09-11 12:52 --------- d-----w c:\program files\Fichiers communs\snp325
2008-09-11 12:51 --------- d-----w c:\documents and settings\Damien\Application Data\InstallShield
2008-09-10 15:47 5,632 ----a-w c:\windows\system32\drivers\StarOpen.sys
2008-09-08 10:41 333,824 ----a-w c:\windows\system32\drivers\srv.sys
2008-08-20 05:10 670,208 ----a-w c:\windows\system32\wininet.dll
2008-08-14 13:23 2,191,232 ----a-w c:\windows\system32\ntoskrnl.exe
2008-08-14 13:23 2,068,096 ----a-w c:\windows\system32\ntkrnlpa.exe
.
------- Sigcheck -------
2008-04-14 03:34 979968 3efe912dd25d2586e6a0341db0a66f69 c:\windows\explorer.exe
2004-08-05 05:00 978432 9f3b76c8cf787449a47f05abab4e13e6 c:\windows\$NtServicePackUninstall$\explorer.exe
2008-04-14 03:34 979968 3efe912dd25d2586e6a0341db0a66f69 c:\windows\ServicePackFiles\i386\explorer.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-01-13 131072]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-01-13 163840]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-01-13 135168]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"LVCOMSX"="c:\windows\system32\LVCOMSX.EXE" [2005-07-19 221184]
"tsnp325"="c:\windows\tsnp325.exe" [2007-04-21 270336]
"snp325"="c:\windows\vsnp325.exe" [2007-05-10 835584]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\documents and settings\Damien\Menu D‚marrer\Programmes\D‚marrage\
Thoosje Vista Sidebar.lnk - c:\program files\Thoosje Sidebar V2.3\Thoosje Vista Sidebar.exe [2007-10-22 524288]
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk
backup=c:\windows\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^Damien^Menu Démarrer^Programmes^Démarrage^RocketDock.lnk]
path=c:\documents and settings\Damien\Menu Démarrer\Programmes\Démarrage\RocketDock.lnk
backup=c:\windows\pss\RocketDock.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FixCamera]
--a------ 2007-02-12 13:50 20480 c:\windows\FixCamera.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechSoftwareUpdate]
--a------ 2005-06-08 13:44 196608 c:\program files\Logitech\Video\ManifestEngine.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoRepair]
--a------ 2005-06-08 14:24 458752 c:\program files\Logitech\Video\ISStart.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoTray]
--a------ 2005-06-08 14:14 217088 c:\program files\Logitech\Video\LogiTray.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2007-10-18 10:34 5724184 c:\program files\Windows Live\Messenger\msnmsgr.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
S3 SNP325;USB PC Camera (SNPSTD325);c:\windows\system32\DRIVERS\snp325.sys [2007-05-24 10343424]
S3 wsvad_driver;WS Audio Device;c:\windows\system32\drivers\VirtualAudio.sys [2008-08-28 16896]
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-05 11:26:18
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
Heure de fin: 2008-11-05 11:27:39
ComboFix-quarantined-files.txt 2008-11-05 10:27:30
ComboFix2.txt 2008-11-04 14:22:49
Avant-CF: 16 850 649 088 octets libres
Après-CF: 16,842,055,680 octets libres
170 --- E O F --- 2008-10-29 09:04:37
Rapport hijack
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:33:46, on 05/11/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\WINDOWS\tsnp325.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Thoosje Sidebar V2.3\Thoosje Vista Sidebar.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\monjack.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [tsnp325] C:\WINDOWS\tsnp325.exe
O4 - HKLM\..\Run: [snp325] C:\WINDOWS\vsnp325.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Thoosje Vista Sidebar.lnk = C:\Program Files\Thoosje Sidebar V2.3\Thoosje Vista Sidebar.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=about:blank
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
463
5 nov. 2008 à 13:32
5 nov. 2008 à 13:32
impec ...
dis moi comment va le PC maintenant ... encore des soucis ? ...
Fais ceci dans l'ordre :
1-Télécharges ToolsCleaner (de A.Rothstein) sur ton Bureau.
http://pc-system.fr/
Déconnectes toi et fermes bien toutes tes applications en cours .
Lances le .
*Cliques sur Recherche et laisses le scan se terminer (cela peut être long).
*Cliques sur Suppression pour finaliser.
*Cliques sur "quitter" pour générer un rapport ( et pas sur la croix rouge !) :
--> Postes ce rapport : il se trouve à la racine de ton disque dur -> C:\TCleaner.txt .
Note : Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection .
Supprimes tout les outils , dossiers ou rapports consernant la désinfection que Toolscleaner2 n'a pas supprimé .
( gardes CCleaner et Malwarebytes : très utiles ! )
2- Refais un coup de CCleaner ( registre compris ) .
3- Retélécharges et réinstalles hijackthis ( car supprimé par Toolscleaner2 ) ,
Télécharges et installes le logiciel HijackThis :
ici ftp://ftp.commentcamarche.com/download/HJTInstall.exe
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html
-> Cliques sur le setup pour lancer l'installe : laisses toi guider et ne modifies pas les paramètres d'installation .
A la fin de l'installe , le prg ce lance automatiquement : fermes le en cliquant sur la croix rouge .
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .
( ne fais pas de scan pour le moment )
4- Purge de la restauration système
*Désactives ta restauration :
Cliques droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK
--->Redémarres ton PC
*Réactives ta restauration :
Cliques droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK
--->Redémarres ton PC
( Note : tu peux aussi y accéder via panneau de configuration->" système "->" restauration système " ).
5- installation de ton Antivirus :
Télécharges AntiVir Personal Edition ici :
https://www.pcastuces.com/logitheque/antivir.htm
ou
https://www.avira.com/
Anti-virus gratuit ( en anglais mais très simple )
Installes le et mets le à jour (fais ce-ci très régulièrement ) .
Aide AntiVir : https://www.malekal.com/avira-free-security-antivirus-gratuit/
Si jamais tu as un problème avec la mise à jour , regardes ici :
http://www.commentcamarche.net/faq/sujet 8622 mise a jour d antivir impossible
fais ce réglage supplémentaire :
***************************************
Une fois AntiVir ouvert click sur configuration et coches la case "expert mode" .
*Puis click sur configuration en haut a droite; dans la nouvelle fenetre à gauche ->scanner -> coches "scan all files" et en dessous ->scanner priority = High
*coches : allow stopping the scanner, comme cela tu peux faire une pause pendant le scan si tu le desir.
*puis sur la droite, coches les cases suivantes :
scan boot sectors of selected drives
scan master boot sectors
scan memory
search for rootkit before scan
et décoches :
ignore off line files
*toujours a gauche -> scan -> deploie -> heuristique -> macrovirus heuristic = coché et en dessous -> win32 heuristic la case cochée et high detection level aussi ...
---> cliques sur "OK" pour valider le réglage ...
****************************************
Une fois fait ,
Impératif : Démarrer en mode sans echec .
/!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\
Comment aller en Mode sans échec :
1) Redémarres ton ordi .
2) Tapotes la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" .
3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage .
4) Choisis la première option : Sans Échec , et valides en tapant sur [Entrée] .
5) Choisis ton compte habituel ( et pas Administrateur ).
attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreurs ...
Lances un scan complet de ton PC , mets tout ce qu'il peut trouver en "quarantaine" ...
Redémarres ton PC et postes moi le rapport obtenu ... Aides toi bien du tuto ;)
( PS : Si AntiVir s'affolle dès la fin de son installe , ainsi qu'au redémarrage du PC , mets tout en quarantaine et postes moi tous les rapports ... )
dis moi comment va le PC maintenant ... encore des soucis ? ...
Fais ceci dans l'ordre :
1-Télécharges ToolsCleaner (de A.Rothstein) sur ton Bureau.
http://pc-system.fr/
Déconnectes toi et fermes bien toutes tes applications en cours .
Lances le .
*Cliques sur Recherche et laisses le scan se terminer (cela peut être long).
*Cliques sur Suppression pour finaliser.
*Cliques sur "quitter" pour générer un rapport ( et pas sur la croix rouge !) :
--> Postes ce rapport : il se trouve à la racine de ton disque dur -> C:\TCleaner.txt .
Note : Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection .
Supprimes tout les outils , dossiers ou rapports consernant la désinfection que Toolscleaner2 n'a pas supprimé .
( gardes CCleaner et Malwarebytes : très utiles ! )
2- Refais un coup de CCleaner ( registre compris ) .
3- Retélécharges et réinstalles hijackthis ( car supprimé par Toolscleaner2 ) ,
Télécharges et installes le logiciel HijackThis :
ici ftp://ftp.commentcamarche.com/download/HJTInstall.exe
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html
-> Cliques sur le setup pour lancer l'installe : laisses toi guider et ne modifies pas les paramètres d'installation .
A la fin de l'installe , le prg ce lance automatiquement : fermes le en cliquant sur la croix rouge .
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .
( ne fais pas de scan pour le moment )
4- Purge de la restauration système
*Désactives ta restauration :
Cliques droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK
--->Redémarres ton PC
*Réactives ta restauration :
Cliques droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK
--->Redémarres ton PC
( Note : tu peux aussi y accéder via panneau de configuration->" système "->" restauration système " ).
5- installation de ton Antivirus :
Télécharges AntiVir Personal Edition ici :
https://www.pcastuces.com/logitheque/antivir.htm
ou
https://www.avira.com/
Anti-virus gratuit ( en anglais mais très simple )
Installes le et mets le à jour (fais ce-ci très régulièrement ) .
Aide AntiVir : https://www.malekal.com/avira-free-security-antivirus-gratuit/
Si jamais tu as un problème avec la mise à jour , regardes ici :
http://www.commentcamarche.net/faq/sujet 8622 mise a jour d antivir impossible
fais ce réglage supplémentaire :
***************************************
Une fois AntiVir ouvert click sur configuration et coches la case "expert mode" .
*Puis click sur configuration en haut a droite; dans la nouvelle fenetre à gauche ->scanner -> coches "scan all files" et en dessous ->scanner priority = High
*coches : allow stopping the scanner, comme cela tu peux faire une pause pendant le scan si tu le desir.
*puis sur la droite, coches les cases suivantes :
scan boot sectors of selected drives
scan master boot sectors
scan memory
search for rootkit before scan
et décoches :
ignore off line files
*toujours a gauche -> scan -> deploie -> heuristique -> macrovirus heuristic = coché et en dessous -> win32 heuristic la case cochée et high detection level aussi ...
---> cliques sur "OK" pour valider le réglage ...
****************************************
Une fois fait ,
Impératif : Démarrer en mode sans echec .
/!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\
Comment aller en Mode sans échec :
1) Redémarres ton ordi .
2) Tapotes la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" .
3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage .
4) Choisis la première option : Sans Échec , et valides en tapant sur [Entrée] .
5) Choisis ton compte habituel ( et pas Administrateur ).
attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreurs ...
Lances un scan complet de ton PC , mets tout ce qu'il peut trouver en "quarantaine" ...
Redémarres ton PC et postes moi le rapport obtenu ... Aides toi bien du tuto ;)
( PS : Si AntiVir s'affolle dès la fin de son installe , ainsi qu'au redémarrage du PC , mets tout en quarantaine et postes moi tous les rapports ... )
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
463
>
Dadou1979
5 nov. 2008 à 13:43
5 nov. 2008 à 13:43
de rien .... ;)
Dadou1979
>
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
5 nov. 2008 à 15:07
5 nov. 2008 à 15:07
Rapport antivir :
Avira AntiVir Personal
Report file date: mercredi 5 novembre 2008 14:09
Scanning for 1008426 virus strains and unwanted programs.
Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 3) [5.1.2600]
Boot mode: Save mode
Username: Damien
Computer name: XP_PRO
Version information:
BUILD.DAT : 8.2.0.334 16933 Bytes 16/10/2008 14:55:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 26/06/2008 09:57:53
AVSCAN.DLL : 8.1.4.0 40705 Bytes 26/05/2008 08:56:40
LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 13:44:19
LUKERES.DLL : 8.1.4.0 12033 Bytes 26/05/2008 08:58:52
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 13:02:22
ANTIVIR1.VDF : 7.1.0.21 130560 Bytes 31/10/2008 13:02:22
ANTIVIR2.VDF : 7.1.0.22 2048 Bytes 31/10/2008 13:02:22
ANTIVIR3.VDF : 7.1.0.40 114176 Bytes 05/11/2008 13:02:22
Engineversion : 8.2.0.26
AEVDF.DLL : 8.1.0.6 102772 Bytes 14/10/2008 11:05:56
AESCRIPT.DLL : 8.1.1.13 332156 Bytes 05/11/2008 13:02:31
AESCN.DLL : 8.1.1.3 123252 Bytes 14/10/2008 11:05:56
AERDL.DLL : 8.1.1.3 438645 Bytes 05/11/2008 13:02:30
AEPACK.DLL : 8.1.3.3 393591 Bytes 05/11/2008 13:02:29
AEOFFICE.DLL : 8.1.0.29 196988 Bytes 05/11/2008 13:02:27
AEHEUR.DLL : 8.1.0.68 1479029 Bytes 05/11/2008 13:02:26
AEHELP.DLL : 8.1.1.2 115062 Bytes 14/10/2008 11:05:56
AEGEN.DLL : 8.1.0.43 319862 Bytes 05/11/2008 13:02:22
AEEMU.DLL : 8.1.0.9 393588 Bytes 14/10/2008 11:05:56
AECORE.DLL : 8.1.2.9 172407 Bytes 05/11/2008 13:02:22
AEBB.DLL : 8.1.0.3 53618 Bytes 14/10/2008 11:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 09:40:05
AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 10:28:01
AVREP.DLL : 8.0.0.2 98344 Bytes 05/11/2008 13:02:22
AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 12:26:40
AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 09:29:23
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 13:27:49
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 18:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 13:49:40
NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 13:05:10
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12/06/2008 14:48:07
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27/06/2008 14:34:37
Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: C:,
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: on
Scan all files...................: All files
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: high
Start of the scan: mercredi 5 novembre 2008 14:09
Starting search for hidden objects.
The driver could not be initialized.
The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'wmiprvse.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
12 processes with 12 modules were scanned
Starting master boot sector scan:
Master boot sector HD0
[INFO] No virus was found!
Start scanning boot sectors:
Boot sector 'C:\'
[INFO] No virus was found!
Starting to scan the registry.
The registry was scanned ( '55' files ).
Starting the file scan:
Begin scan in 'C:\' <SYSTEM>
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\Backups\backups.zip
[0] Archive type: ZIP
--> backups/Facegame.0xe
[DETECTION] Is the TR/Agent.AJDU.2 Trojan
--> backups/lsass.exe
[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan
--> backups/pac.txt
[DETECTION] Is the TR/Dldr.VB.VPG Trojan
--> backups/SpeedRunner.0xe
[DETECTION] Is the TR/Dldr.Agent.alda Trojan
[NOTE] The file was moved to '49749b81.qua'!
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WinSmallbuy.zip
[DETECTION] Contains suspicious code GEN/PwdZIP
[NOTE] The detection was classified as suspicious.
[NOTE] The file was moved to '497f9b96.qua'!
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Yazzle.zip
[DETECTION] Contains suspicious code GEN/PwdZIP
[NOTE] The detection was classified as suspicious.
[NOTE] The file was moved to '498b9b92.qua'!
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Yazzle1.zip
[DETECTION] Contains suspicious code GEN/PwdZIP
[NOTE] The detection was classified as suspicious.
[NOTE] The file was moved to '498b9b94.qua'!
C:\Documents and Settings\Damien\Mes documents\LimeWire\Saved\toi plus moi.mp3
[DETECTION] Contains recognition pattern of the EXP/ASF.GetCodec.Gen exploit
[NOTE] The file was moved to '497a9cda.qua'!
C:\Documents and Settings\Damien\Mes documents\LimeWire\Saved\Julien Doré - Ersatz\05 - Les Figures Imposées.mp3
[DETECTION] Contains recognition pattern of the EXP/ASF.GetCodec.Gen exploit
[NOTE] The file was moved to '49319cad.qua'!
End of the scan: mercredi 5 novembre 2008 15:01
Used time: 51:42 Minute(s)
The scan has been done completely.
4391 Scanning directories
163929 Files were scanned
6 viruses and/or unwanted programs were found
3 Files were classified as suspicious:
0 files were deleted
0 files were repaired
6 files were moved to quarantine
0 files were renamed
1 Files cannot be scanned
163919 Files not concerned
1209 Archives were scanned
1 Warnings
6 Notes
Avira AntiVir Personal
Report file date: mercredi 5 novembre 2008 14:09
Scanning for 1008426 virus strains and unwanted programs.
Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 3) [5.1.2600]
Boot mode: Save mode
Username: Damien
Computer name: XP_PRO
Version information:
BUILD.DAT : 8.2.0.334 16933 Bytes 16/10/2008 14:55:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 26/06/2008 09:57:53
AVSCAN.DLL : 8.1.4.0 40705 Bytes 26/05/2008 08:56:40
LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 13:44:19
LUKERES.DLL : 8.1.4.0 12033 Bytes 26/05/2008 08:58:52
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 13:02:22
ANTIVIR1.VDF : 7.1.0.21 130560 Bytes 31/10/2008 13:02:22
ANTIVIR2.VDF : 7.1.0.22 2048 Bytes 31/10/2008 13:02:22
ANTIVIR3.VDF : 7.1.0.40 114176 Bytes 05/11/2008 13:02:22
Engineversion : 8.2.0.26
AEVDF.DLL : 8.1.0.6 102772 Bytes 14/10/2008 11:05:56
AESCRIPT.DLL : 8.1.1.13 332156 Bytes 05/11/2008 13:02:31
AESCN.DLL : 8.1.1.3 123252 Bytes 14/10/2008 11:05:56
AERDL.DLL : 8.1.1.3 438645 Bytes 05/11/2008 13:02:30
AEPACK.DLL : 8.1.3.3 393591 Bytes 05/11/2008 13:02:29
AEOFFICE.DLL : 8.1.0.29 196988 Bytes 05/11/2008 13:02:27
AEHEUR.DLL : 8.1.0.68 1479029 Bytes 05/11/2008 13:02:26
AEHELP.DLL : 8.1.1.2 115062 Bytes 14/10/2008 11:05:56
AEGEN.DLL : 8.1.0.43 319862 Bytes 05/11/2008 13:02:22
AEEMU.DLL : 8.1.0.9 393588 Bytes 14/10/2008 11:05:56
AECORE.DLL : 8.1.2.9 172407 Bytes 05/11/2008 13:02:22
AEBB.DLL : 8.1.0.3 53618 Bytes 14/10/2008 11:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 09:40:05
AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 10:28:01
AVREP.DLL : 8.0.0.2 98344 Bytes 05/11/2008 13:02:22
AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 12:26:40
AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 09:29:23
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 13:27:49
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 18:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 13:49:40
NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 13:05:10
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12/06/2008 14:48:07
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27/06/2008 14:34:37
Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: C:,
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: on
Scan all files...................: All files
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: high
Start of the scan: mercredi 5 novembre 2008 14:09
Starting search for hidden objects.
The driver could not be initialized.
The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'wmiprvse.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
12 processes with 12 modules were scanned
Starting master boot sector scan:
Master boot sector HD0
[INFO] No virus was found!
Start scanning boot sectors:
Boot sector 'C:\'
[INFO] No virus was found!
Starting to scan the registry.
The registry was scanned ( '55' files ).
Starting the file scan:
Begin scan in 'C:\' <SYSTEM>
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\Backups\backups.zip
[0] Archive type: ZIP
--> backups/Facegame.0xe
[DETECTION] Is the TR/Agent.AJDU.2 Trojan
--> backups/lsass.exe
[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan
--> backups/pac.txt
[DETECTION] Is the TR/Dldr.VB.VPG Trojan
--> backups/SpeedRunner.0xe
[DETECTION] Is the TR/Dldr.Agent.alda Trojan
[NOTE] The file was moved to '49749b81.qua'!
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\WinSmallbuy.zip
[DETECTION] Contains suspicious code GEN/PwdZIP
[NOTE] The detection was classified as suspicious.
[NOTE] The file was moved to '497f9b96.qua'!
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Yazzle.zip
[DETECTION] Contains suspicious code GEN/PwdZIP
[NOTE] The detection was classified as suspicious.
[NOTE] The file was moved to '498b9b92.qua'!
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Yazzle1.zip
[DETECTION] Contains suspicious code GEN/PwdZIP
[NOTE] The detection was classified as suspicious.
[NOTE] The file was moved to '498b9b94.qua'!
C:\Documents and Settings\Damien\Mes documents\LimeWire\Saved\toi plus moi.mp3
[DETECTION] Contains recognition pattern of the EXP/ASF.GetCodec.Gen exploit
[NOTE] The file was moved to '497a9cda.qua'!
C:\Documents and Settings\Damien\Mes documents\LimeWire\Saved\Julien Doré - Ersatz\05 - Les Figures Imposées.mp3
[DETECTION] Contains recognition pattern of the EXP/ASF.GetCodec.Gen exploit
[NOTE] The file was moved to '49319cad.qua'!
End of the scan: mercredi 5 novembre 2008 15:01
Used time: 51:42 Minute(s)
The scan has been done completely.
4391 Scanning directories
163929 Files were scanned
6 viruses and/or unwanted programs were found
3 Files were classified as suspicious:
0 files were deleted
0 files were repaired
6 files were moved to quarantine
0 files were renamed
1 Files cannot be scanned
163919 Files not concerned
1209 Archives were scanned
1 Warnings
6 Notes
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
463
5 nov. 2008 à 18:16
5 nov. 2008 à 18:16
très bien ....
rien de bien méchant .... il a détecté la quarantaine de Spybot et celle d'un outil qui fut mal nettoyer ...
Donc supprimes tout ce qui se trouve dans la quarantaine d'AntiVir , puis fais ce scan en ligne .... Si cela s'avère clean, on pourra finaliser ...
Fais un scan en ligne avec Kaspersky : https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
- Sous Démonstration en ligne, on t'explique la marche à suivre, et pour lancer le scan il faut sélectionner < Exécuter l'analyse en ligne >.
Le scan ne marche que sous Internet Explorer(et pas sous firefox ou autre...).
- On va te demander de télécharger un contôle active x, accepte .
- Dans le menu Choisissez la cible de l'analyse, sélectionne Poste de travail. Le scan va commencer.
- Sauvegardes le rapport qui sera généré, puis copies/colles le dans ta prochaine réponse pour analyse et attends la suite ...
--> tuto :
https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId291566
Note :
*Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte-toi sur le site de Kaspersky pour retenter le scan en ligne.
*S'il y a un problème, assure toi que les contrôles active x sont bien configurés dans les options internet comme décrit sur ce lien : http://www.inoculer.com/activex.php3
Rappel : le scan est à faire sous Internet Explorer !
rien de bien méchant .... il a détecté la quarantaine de Spybot et celle d'un outil qui fut mal nettoyer ...
Donc supprimes tout ce qui se trouve dans la quarantaine d'AntiVir , puis fais ce scan en ligne .... Si cela s'avère clean, on pourra finaliser ...
Fais un scan en ligne avec Kaspersky : https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
- Sous Démonstration en ligne, on t'explique la marche à suivre, et pour lancer le scan il faut sélectionner < Exécuter l'analyse en ligne >.
Le scan ne marche que sous Internet Explorer(et pas sous firefox ou autre...).
- On va te demander de télécharger un contôle active x, accepte .
- Dans le menu Choisissez la cible de l'analyse, sélectionne Poste de travail. Le scan va commencer.
- Sauvegardes le rapport qui sera généré, puis copies/colles le dans ta prochaine réponse pour analyse et attends la suite ...
--> tuto :
https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId291566
Note :
*Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte-toi sur le site de Kaspersky pour retenter le scan en ligne.
*S'il y a un problème, assure toi que les contrôles active x sont bien configurés dans les options internet comme décrit sur ce lien : http://www.inoculer.com/activex.php3
Rappel : le scan est à faire sous Internet Explorer !
4 nov. 2008 à 11:44
J'ai suivi tes instructions et voici le rapport :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:42:15, on 04/11/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\WINDOWS\tsnp325.exe
C:\WINDOWS\vsnp325.exe
C:\Documents and Settings\Damien\lsass.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Thoosje Sidebar V2.3\Thoosje Vista Sidebar.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\QI02\QI022328.exe
C:\Program Files\Trend Micro\HijackThis\monjack.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {2013E402-E33F-4F82-91B4-26B5501A1583} - (no file)
O2 - BHO: {2d6d838b-d692-94aa-ef94-d1187c6c4122} - {2214c6c7-811d-49fe-aa49-296db838d6d2} - C:\WINDOWS\system32\orgxfy.dll
O2 - BHO: (no name) - {5198A237-A25A-4B53-98BA-0B58F0DF6796} - C:\WINDOWS\system32\opnlIAqP.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {AFBAC55D-6588-4759-9C89-6A2840F35E21} - (no file)
O2 - BHO: (no name) - {C81E7A5C-42C9-4D0C-B1F9-5458899DEFFB} - C:\WINDOWS\system32\geBtTKDu.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [tsnp325] C:\WINDOWS\tsnp325.exe
O4 - HKLM\..\Run: [snp325] C:\WINDOWS\vsnp325.exe
O4 - HKLM\..\Run: [LSA Shellu] C:\Documents and Settings\Damien\lsass.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [Facegame] "C:\Documents and Settings\Damien\Application Data\Facegame\Facegame.exe" 61A847B5BBF72813329B385772FF01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Thoosje Vista Sidebar.lnk = C:\Program Files\Thoosje Sidebar V2.3\Thoosje Vista Sidebar.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=about:blank
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O20 - AppInit_DLLs: orgxfy.dll
O20 - Winlogon Notify: geBtTKDu - C:\WINDOWS\SYSTEM32\geBtTKDu.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe