Sujet Précédent Sujet Suivant

Impossibilité de supprimer trojans

Fermé
yishan Messages postés 158 Date d'inscription vendredi 8 août 2008 Statut Membre Dernière intervention 22 mars 2010 - 17 nov. 2008 à 00:39
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 - 18 nov. 2008 à 19:46
Bonjour a tous ...

j'ai été infecté par 2 trojans dont 1 qui porte le nom de (TR/Agent.iob).

En effet, j'utilise antivir qui les a détectés et qui m'a proposer de les supprimer.

Après suppression, il me renouvelle l'opération toutes les heures.

j'ai donc pris l'initiative de scanner avec hijackthis dont voici le rapport :



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:18:35, on 16/11/2008
Platform: Windows XP SP3, v.5512 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20772)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\mstsc.exe
C:\Program Files\Taskix\Taskix32.exe
C:\Program Files\VisualTaskTips\VisualTaskTips.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\WinRoll\winroll.exe
C:\Program Files\LClock\LClock.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Program Files\Hercules\WiFi Station\WifiStation.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\PnkBstrB.exe
E:\Program Files\eMule\emule.exe
C:\Program Files\KVIrc\kvirc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\HiJackThis\HijackThis.exe
C:\Program Files\Notepad++\notepad++.exe

F3 - REG:win.ini: load=C:\WINDOWS\mstsc.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [Taskix] C:\Program Files\Taskix\Taskix32.exe start
O4 - HKLM\..\Run: [VisualTaskTips] "C:\Program Files\VisualTaskTips\VisualTaskTips.exe"
O4 - HKLM\..\Run: [Vistadrv] C:\Program Files\VistaDriveStatus\vsdrv.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKCU\..\Run: [TransBar] C:\Program Files\TransBar\TransBar.exe /s
O4 - HKCU\..\Run: [WinRoll] "C:\Program Files\WinRoll\winroll.exe"
O4 - HKCU\..\Run: [LClock] "C:\Program Files\LClock\LClock.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKLM\..\Policies\Explorer\Run: [DllHst] C:\DOCUME~1\ADMINI~1\APPLIC~1\dllhst3g.exe /waitservice
O4 - HKCU\..\Policies\Explorer\Run: [SessMgr] C:\WINDOWS\sessmgr.exe /waitservice
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [CmSTP] C:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1\MICROS~1\cmstp.exe /waitservice (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [CmSTP] C:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1\MICROS~1\cmstp.exe /waitservice (User 'Default user')
O4 - Global Startup: Logiciel Kodak EasyShare.lnk = C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: WiFi Station.lnk = ?
O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
O16 - DPF: {BD8667B7-38D8-4C77-B580-18C3E146372C} (Creative Toolbox Plug-in) - http://kiw.imgag.com/imgag/cp/install/crusher-kiwen.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DE8FC1B4-C831-4178-9D25-5CA273C2E683}: NameServer = 192.168.1.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Application Driver Auto Removal Service (01) (appdrvrem01) - Protection Technology - C:\WINDOWS\System32\appdrvrem01.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
A voir également:

48 réponses

Précédent
Réponse 21 / 48
yishan Messages postés 158 Date d'inscription vendredi 8 août 2008 Statut Membre Dernière intervention 22 mars 2010 20
17 nov. 2008 à 19:44
nouveau rapport d'RSIT


Logfile of random's system information tool 1.04 (written by random/random)
Run by Administrateur at 2008-11-17 19:42:54
Microsoft Windows XP Professionnel Service Pack 3, v.5512
System drive C: has 9 GB (30%) free of 30 GB
Total RAM: 2046 MB (71% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:42:57, on 17/11/2008
Platform: Windows XP SP3, v.5512 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20772)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\comrepl.exe
C:\Program Files\Taskix\Taskix32.exe
C:\Program Files\VisualTaskTips\VisualTaskTips.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\WinRoll\winroll.exe
C:\Program Files\LClock\LClock.exe
C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Program Files\Hercules\WiFi Station\WifiStation.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Notepad++\notepad++.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Administrateur\Bureau\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\Administrateur.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
F3 - REG:win.ini: load=C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\comrepl.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [Taskix] C:\Program Files\Taskix\Taskix32.exe start
O4 - HKLM\..\Run: [VisualTaskTips] "C:\Program Files\VisualTaskTips\VisualTaskTips.exe"
O4 - HKLM\..\Run: [Vistadrv] C:\Program Files\VistaDriveStatus\vsdrv.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKCU\..\Run: [TransBar] C:\Program Files\TransBar\TransBar.exe /s
O4 - HKCU\..\Run: [WinRoll] "C:\Program Files\WinRoll\winroll.exe"
O4 - HKCU\..\Run: [LClock] "C:\Program Files\LClock\LClock.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKLM\..\Policies\Explorer\Run: [DllHst] C:\DOCUME~1\ADMINI~1\APPLIC~1\dllhst3g.exe /waitservice
O4 - HKCU\..\Policies\Explorer\Run: [SessMgr] C:\WINDOWS\sessmgr.exe /waitservice
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [CmSTP] C:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1\MICROS~1\cmstp.exe /waitservice (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [CmSTP] C:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1\MICROS~1\cmstp.exe /waitservice (User 'Default user')
O4 - Global Startup: Logiciel Kodak EasyShare.lnk = C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: WiFi Station.lnk = ?
O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
O16 - DPF: {BD8667B7-38D8-4C77-B580-18C3E146372C} (Creative Toolbox Plug-in) - http://kiw.imgag.com/imgag/cp/install/crusher-kiwen.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DE8FC1B4-C831-4178-9D25-5CA273C2E683}: NameServer = 192.168.1.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Application Driver Auto Removal Service (01) (appdrvrem01) - Protection Technology - C:\WINDOWS\System32\appdrvrem01.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
0
Réponse 22 / 48
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
17 nov. 2008 à 19:54
Supprime le dossier SDFix que tu as et le SDFix.exe ...

et fais comme ceci pour le télécharger :

Télécharges SDFix sur ton bureau :

Cliques droit sur un de ces deux lien :
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe.
ou ici http://sdfix.net/SDFix.exe

et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tapes yishan et valides .
enregistre le bie sur ton bureau ...

--> Double-cliques sur "yishan.exe" ( =SDFix.exe) et choisis "Install" .

( tuto ici : https://www.malekal.com/slenfbot-still-an-other-irc-bot/ )

Puis une fois l'installe faite ,

Impératif : Démarrer en mode sans echec .

/!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\

Comment aller en Mode sans échec :
1) Redémarres ton ordi .
2) Tapotes la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" .
3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage .
4) Choisis la première option : Sans Échec , et valides en tapant sur [Entrée] .
5) Choisis ton compte habituel ( et pas Administrateur ).
attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreurs ...

Ouvres le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double cliques sur RunThis.bat pour lancer le script.
--->Tapes Y pour lancer le script ...
Le Fix supprime les services du virus et nettoie le registre, de ce fait un redémarrage est nécessaire , donc :
presses une touche pour redémarrer quand il te le sera demandé .

Le PC va mettre du temps avant de démarrer ( c'est normale ), après le chargement du Bureau presses une touche lorsque "Finished" s'affiche .

Le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier
C:\SDFix sous le nom "Report.txt".
Postes ce dernier dans ta prochaine réponse accompagné d'un nouveau rapport Hijakcthis pour analyse ...
0
Réponse 23 / 48
yishan Messages postés 158 Date d'inscription vendredi 8 août 2008 Statut Membre Dernière intervention 22 mars 2010 20
17 nov. 2008 à 20:09
ca marche toujours pas ....
0
benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
17 nov. 2008 à 20:11
hello
0
Réponse 24 / 48
yishan Messages postés 158 Date d'inscription vendredi 8 août 2008 Statut Membre Dernière intervention 22 mars 2010 20
17 nov. 2008 à 20:13
salut benurr,
t'a eu le temps de considérer mon probleme !!!
impossible de supprimer deux trojans :(
Allume ton msn
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 48
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
17 nov. 2008 à 20:20
Arf ....

On va essayer avec Combofix mit à jour ...

donc supprimes le combofix que tu as ( version plus à jour ) , et fais exactement ceci :


Télécharges ComboFix (par sUBs) sur ton Bureau (et pas ailleurs !):

http://download.bleepingcomputer.com/sUBs/ComboFix.exe


--------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
!! Déconnectes toi,fermes tes applications en cours et DESACTIVES TOUTES TES DEFENSES (anti-virus, guardes anti spy-ware, pare-feu) le temps de la manipe :
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!
--->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

---------------------------------------------------------------------------------------------------------------------------------

Ensuite :
double-cliques sur l'icône "combofix.exe" pour lancer l'outil .

Appuyes sur la touche Y (Yes) pour démarrer le scan .

Notes importantes :
-> n'utilises pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisses le faire .
-> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes ...
-> si un message d'erreur windows apparait à un momment : cliques sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )

Le rapport sera crée dans: C:\Combofix.txt

Postes le rapport Combofix accompagné d'un nouveau rapport hijackthis pour analyse ...
0
Réponse 26 / 48
yishan Messages postés 158 Date d'inscription vendredi 8 août 2008 Statut Membre Dernière intervention 22 mars 2010 20
17 nov. 2008 à 20:52
voici le rapport combofix :

ComboFix 08-11-16.05 - Administrateur 2008-11-17 20:31:06.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.1683 [GMT 1:00]
Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe

[COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Administrateur\Application Data\dllhst3g.exe

.
((((((((((((((((((((((((((((( Fichiers créés du 2008-10-17 au 2008-11-17 ))))))))))))))))))))))))))))))))))))
.

2008-11-17 19:57 . 2008-11-06 02:03 <REP> d-------- C:\SDFix
2008-11-17 10:58 . 2008-11-17 10:58 <REP> d-------- C:\rsit
2008-11-17 10:48 . 2008-11-17 10:52 <REP> d-------- c:\program files\UsbFix
2008-11-17 09:30 . 2008-11-17 09:38 <REP> d-------- C:\MSNFix
2008-11-17 09:25 . 2008-11-17 09:25 <REP> d-------- C:\_OTMoveIt
2008-11-17 01:26 . 2008-11-17 01:29 <REP> d-------- C:\Lop SD
2008-11-17 01:00 . 2008-11-17 01:24 <REP> d-------- C:\ToolBar SD
2008-11-17 00:59 . 2008-11-17 00:59 <REP> d-------- c:\program files\Trend Micro
2008-11-16 23:33 . 2008-11-14 14:55 81,920 --a------ c:\windows\cmstp.exe
2008-11-16 23:30 . 2008-11-16 23:30 <REP> d-------- c:\windows\system32\xircom
2008-11-16 23:30 . 2008-11-16 23:30 <REP> d-------- c:\windows\system32\restore
2008-11-16 23:30 . 2008-11-16 23:30 <REP> d-------- c:\windows\system32\oobe
2008-11-16 23:30 . 2008-11-16 23:30 <REP> d-------- c:\windows\srchasst
2008-11-16 23:30 . 2008-11-16 23:30 <REP> d-------- c:\windows\msagent
2008-11-16 23:30 . 2008-11-16 23:30 <REP> d-------- c:\program files\microsoft frontpage
2008-11-16 20:12 . 2008-11-16 21:20 <REP> d-------- c:\documents and settings\Administrateur\.housecall6.6
2008-11-16 03:25 . 2008-11-16 03:25 38 --a------ c:\windows\AviSplitter.INI
2008-11-15 01:44 . 2008-11-15 01:44 2,915,944 --a------ c:\windows\system32\drivers\appdrv01.sys
2008-11-15 01:44 . 2008-11-15 01:44 304,528 --a------ c:\windows\system32\appdrvrem01.exe
2008-11-15 01:07 . 2008-11-15 01:07 <REP> d-------- c:\program files\Folding@Home #01
2008-11-14 15:04 . 2008-11-14 15:04 279,712 --a------ c:\windows\system32\drivers\atksgt.sys
2008-11-14 15:04 . 2008-11-14 15:04 25,888 --a------ c:\windows\system32\drivers\lirsgt.sys
2008-11-14 14:55 . 2008-11-14 14:55 81,920 --a------ c:\windows\sessmgr.exe
2008-11-14 14:55 . 2008-11-14 14:55 81,920 --a------ c:\windows\mstsc.exe
2008-11-14 14:54 . 2008-05-30 14:11 3,850,760 --a------ c:\windows\system32\D3DX9_38.dll
2008-11-14 14:54 . 2008-05-30 14:11 1,491,992 --a------ c:\windows\system32\D3DCompiler_38.dll
2008-11-14 14:54 . 2008-05-30 14:19 507,400 --a------ c:\windows\system32\XAudio2_1.dll
2008-11-14 14:54 . 2008-05-30 14:11 467,984 --a------ c:\windows\system32\d3dx10_38.dll
2008-11-14 14:54 . 2008-05-30 14:18 238,088 --a------ c:\windows\system32\xactengine3_1.dll
2008-11-14 14:54 . 2008-05-30 14:17 65,032 --a------ c:\windows\system32\XAPOFX1_0.dll
2008-11-14 14:54 . 2008-05-30 14:17 25,608 --a------ c:\windows\system32\X3DAudio1_4.dll
2008-11-14 14:53 . 2008-11-14 14:53 <REP> d-------- c:\windows\Logs
2008-11-13 15:19 . 2008-11-14 13:18 <REP> d-------- c:\program files\Windows Live Safety Center
2008-11-11 00:25 . 2008-11-11 00:25 <REP> d-------- c:\documents and settings\Administrateur\Application Data\teamspeak2
2008-11-11 00:24 . 2008-11-11 00:25 <REP> d-------- c:\program files\Teamspeak2_RC2
2008-11-11 00:24 . 2008-11-11 00:24 34,064 --a------ c:\windows\system32\lhacm.acm
2008-11-09 11:33 . 1999-12-17 09:13 86,016 --a------ c:\windows\unvise32.exe
2008-11-08 21:10 . 2008-11-17 15:42 54,156 --ah----- c:\windows\QTFont.qfn
2008-11-08 21:10 . 2008-11-08 21:10 1,409 --a------ c:\windows\QTFont.for
2008-11-05 14:43 . 2008-11-05 14:43 <REP> d-------- c:\documents and settings\NetworkService\Application Data\Xfire
2008-11-02 18:25 . 2008-11-02 18:25 <REP> d-------- c:\documents and settings\Administrateur\Application Data\Leadertech
2008-11-02 15:14 . 2008-11-02 15:14 107,888 --a------ c:\windows\system32\CmdLineExt.dll
2008-11-01 21:05 . 2008-11-01 21:05 <REP> d-------- c:\program files\DAEMON Tools Lite
2008-10-31 07:11 . 2008-10-31 07:11 <REP> d-------- c:\program files\Opera
2008-10-30 02:24 . 2008-10-30 02:24 42,320 --a------ c:\windows\system32\xfcodec.dll
2008-10-29 08:41 . 2008-10-30 18:02 <REP> d-------- c:\program files\Thoosje Sidebar V2.3
2008-10-26 12:44 . 2008-10-26 12:44 <REP> d-------- c:\program files\VSTplugins
2008-10-26 12:44 . 2008-10-26 12:44 <REP> d-------- c:\documents and settings\Administrateur\Application Data\Publish Providers
2008-10-26 12:42 . 2008-10-26 12:42 <REP> d-------- c:\documents and settings\Administrateur\Application Data\Sony
2008-10-26 12:41 . 2008-10-26 12:41 <REP> d-------- c:\program files\Sony
2008-10-21 07:37 . 2008-10-21 07:37 <REP> d-------- c:\program files\Sony Setup
2008-10-19 23:48 . 2008-10-19 23:48 <REP> d-------- c:\program files\DivX
2008-10-19 20:29 . 2008-10-19 20:47 <REP> d-------- c:\program files\PGameScan

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-17 09:35 98,304 ----a-w c:\windows\DUMP5294.tmp
2008-11-17 00:35 202,648 ----a-w c:\windows\system32\PnkBstrB.exe
2008-11-17 00:35 138,408 ----a-w c:\windows\system32\drivers\PnkBstrK.sys
2008-11-16 20:21 --------- d-----w c:\program files\PeerGuardian2
2008-11-16 18:55 --------- d-----w c:\documents and settings\Administrateur\Application Data\Xfire
2008-11-12 04:39 --------- d-----w c:\program files\Xfire
2008-11-07 18:11 --------- d-----w c:\program files\Picasa2
2008-10-31 16:52 --------- d-----w c:\documents and settings\Administrateur\Application Data\Skype
2008-10-31 10:49 --------- d-----w c:\documents and settings\Administrateur\Application Data\skypePM
2008-10-30 04:51 --------- d-----w c:\documents and settings\Administrateur\Application Data\OpenOffice.org2
2008-10-26 11:50 --------- d-----w c:\program files\TuneUp Utilities 2008
2008-10-26 11:48 --------- d-----w c:\program files\MediaMonkey
2008-10-23 19:37 --------- d-----w c:\program files\Malwarebytes' Anti-Malware
2008-10-22 14:10 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2008-10-22 14:10 15,504 ----a-w c:\windows\system32\drivers\mbam.sys
2008-10-16 01:29 --------- d--h--w c:\program files\InstallShield Installation Information
2008-10-13 15:58 --------- d-----w c:\documents and settings\Administrateur\Application Data\Canneverbe_Limited
2008-10-13 15:57 --------- d-----w c:\program files\CDBurnerXP
2008-10-11 16:14 --------- d-----w c:\program files\Notepad++
2008-10-11 15:58 --------- d-----w c:\documents and settings\Administrateur\Application Data\Notepad++
2008-10-11 06:10 --------- d-----w c:\program files\free-downloads.net
2008-10-11 05:49 --------- d-----w c:\documents and settings\All Users\Application Data\Malwarebytes
2008-10-11 05:49 --------- d-----w c:\documents and settings\Administrateur\Application Data\Malwarebytes
2008-10-11 04:45 --------- d-----w c:\program files\Shock Utility
2008-10-10 21:03 --------- d-----w c:\program files\MagicISO
2008-10-10 20:45 66,872 ----a-w c:\windows\system32\PnkBstrA.exe
2008-10-10 20:42 22,328 ----a-w c:\documents and settings\Administrateur\Application Data\PnkBstrK.sys
2008-10-10 20:30 --------- d-----w c:\program files\Activision
2008-10-10 20:14 717,296 ----a-w c:\windows\system32\drivers\sptd.sys
2008-10-10 20:14 --------- d-----w c:\documents and settings\Administrateur\Application Data\DAEMON Tools
2008-10-10 19:55 --------- d-----w c:\program files\Fichiers communs\DirectX
2008-10-10 19:42 --------- d-----w c:\program files\Conduit
2008-10-10 19:42 --------- d-----w c:\program files\Alcohol Soft
2008-10-10 19:41 --------- d-----w c:\documents and settings\Administrateur\Application Data\Skinux
2008-10-10 12:34 --------- d-----w c:\documents and settings\Administrateur\Application Data\Apple Computer
2008-10-10 11:27 --------- d-----w c:\program files\QuickTime
2008-10-10 11:26 --------- d-----w c:\program files\Kodak
2008-10-10 11:26 --------- d-----w c:\documents and settings\All Users\Application Data\Apple Computer
2008-10-10 11:23 --------- d-----w c:\program files\Fichiers communs\Kodak
2008-10-09 23:25 --------- d-----w c:\documents and settings\All Users\Application Data\Kodak
2008-10-09 15:32 348,160 ----a-w c:\windows\system32\msvcr71.dll
2008-10-09 15:32 339,968 ----a-w c:\windows\system32\pythoncom25.dll
2008-10-09 15:32 2,117,632 ----a-w c:\windows\system32\python25.dll
2008-10-09 15:32 114,688 ----a-w c:\windows\system32\pywintypes25.dll
2008-10-09 10:18 --------- d-----w c:\documents and settings\NetworkService\Application Data\agi
2008-10-09 10:01 90,112 ----a-w c:\windows\DUMP45b3.tmp
2008-10-09 07:38 --------- d-----w c:\program files\KVIrc
2008-10-09 06:27 355,584 ----a-w c:\windows\system32\TuneUpDefragService.exe
2008-10-09 06:27 --------- d-----w c:\documents and settings\All Users\Application Data\TuneUp Software
2008-10-09 06:27 --------- d-----w c:\documents and settings\Administrateur\Application Data\TuneUp Software
2008-10-09 06:26 --------- d-----w c:\program files\Fichiers communs\Wise Installation Wizard
2008-10-07 21:35 --------- d-----w c:\program files\SEGA
2008-10-06 16:08 --------- d-----w c:\program files\PKR
2008-10-06 12:03 --------- d-----w c:\documents and settings\Administrateur\Application Data\KVIrc
2008-10-05 22:36 --------- d-----w c:\documents and settings\Administrateur\Application Data\pokerth
2008-10-05 22:34 --------- d-----w c:\program files\PokerTH
2008-10-05 22:30 --------- d-----w c:\documents and settings\Administrateur\Application Data\vlc
2008-10-05 22:11 --------- d-----w c:\program files\OpenOffice.org 2.4
2008-10-05 22:11 --------- d-----w c:\program files\Java
2008-10-05 21:33 --------- d-----w c:\program files\Capturino V2
2008-10-05 21:18 --------- d-----w c:\documents and settings\All Users\Application Data\Messenger Plus!
2008-10-05 21:10 --------- d-----w c:\program files\Google
2008-10-05 20:28 --------- d-----w c:\program files\Silicon Integrated Systems
2008-10-05 20:28 --------- d-----w c:\program files\Realtek Sound Manager
2008-10-05 20:28 --------- d-----w c:\program files\Realtek AC97
2008-10-05 20:28 --------- d-----w c:\program files\AvRack
2008-10-05 20:27 --------- d-----w c:\program files\SiSLan
2008-10-05 20:25 --------- d-----w c:\program files\sisagp
2008-10-05 20:24 --------- d-----w c:\program files\Fichiers communs\InstallShield
2008-10-05 20:13 --------- d-----w c:\program files\Hercules
2008-10-05 19:57 --------- d-----w c:\program files\Skype
2008-10-05 19:57 --------- d-----w c:\program files\Fichiers communs\Skype
2008-10-05 19:57 --------- d-----w c:\documents and settings\All Users\Application Data\Skype
2008-10-05 19:48 --------- d-----w c:\program files\mIRC
2008-10-05 19:48 --------- d-----w c:\documents and settings\Administrateur\Application Data\mIRC
2008-10-05 19:31 --------- d-----w c:\program files\Satsuki Decoder Pack
2008-10-05 19:22 --------- d-----w c:\program files\Media Player Classic
2008-10-05 19:21 --------- d-----w c:\documents and settings\Administrateur\Application Data\Media Player Classic
2008-10-05 19:20 --------- d-----w c:\program files\Messenger Plus! Live
2008-10-05 19:02 --------- d-----w c:\documents and settings\All Users\Application Data\ATI
2008-10-05 19:02 --------- d-----w c:\documents and settings\Administrateur\Application Data\ATI
2008-10-05 18:54 --------- d-----w c:\program files\ATI Technologies
2008-10-05 18:52 --------- d-----w c:\program files\Fichiers communs\ATI Technologies
2008-10-05 18:35 --------- d-----w c:\program files\VideoLAN
2008-10-05 18:32 --------- d-----w c:\program files\Fichiers communs\Adobe
2008-10-05 18:24 --------- d-----w c:\program files\Avira
2008-10-05 18:24 --------- d-----w c:\documents and settings\All Users\Application Data\Avira
2008-10-05 18:12 21,419 ----a-w c:\windows\system32\drivers\AegisP.sys
2008-10-05 18:11 --------- d-----w c:\documents and settings\Administrateur\Application Data\InstallShield
2008-10-05 18:07 --------- d-----w c:\program files\VistaDriveStatus
2008-10-05 18:06 --------- d-----w c:\program files\WinRoll
2008-10-05 18:06 --------- d-----w c:\program files\Windows Live
2008-10-05 18:06 --------- d-----w c:\program files\VisualTaskTips
2008-10-05 18:06 --------- d-----w c:\program files\TransBar
2008-10-05 18:06 --------- d-----w c:\program files\Taskix
2008-10-05 18:06 --------- d-----w c:\program files\LClock
2008-10-05 18:06 --------- d-----w c:\program files\Fichiers communs\Java
2008-10-05 18:06 --------- d-----w c:\program files\CCleaner
2008-10-05 18:01 --------- d-----w c:\program files\WTInstaller
2008-10-05 17:51 --------- d-----w c:\program files\Windows Trust
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TransBar"="c:\program files\TransBar\TransBar.exe" [2005-06-01 65536]
"WinRoll"="c:\program files\WinRoll\winroll.exe" [2004-04-07 15360]
"LClock"="c:\program files\LClock\LClock.exe" [2004-09-19 65536]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2008-07-24 490952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Taskix"="c:\program files\Taskix\Taskix32.exe" [2007-01-25 65536]
"VisualTaskTips"="c:\program files\VisualTaskTips\VisualTaskTips.exe" [2007-09-05 36352]
"Vistadrv"="c:\program files\VistaDriveStatus\vsdrv.exe" [2006-07-30 121089]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]

[HKEY_CURRENT_USER\software\microsoft\windows\Currentversion\policies\explorer\Run]
"SessMgr"="c:\windows\sessmgr.exe" [2008-11-14 81920]

[HKEY_USERS\.DEFAULT\software\microsoft\windows\Currentversion\policies\explorer\Run]
"CmSTP"="c:\docume~1\ADMINI~1\LOCALS~1\APPLIC~1\MICROS~1\cmstp.exe" [2008-11-14 81920]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Logiciel Kodak EasyShare.lnk - c:\program files\Kodak\Kodak EasyShare software\bin\EasyShare.exe [2008-05-10 282624]
WiFi Station.lnk - c:\program files\Hercules\WiFi Station\WifiStation.exe [2008-10-05 654336]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SynchronousMachineGroupPolicy"= 0 (0x0)
"SynchronousUserGroupPolicy"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 1 (0x1)
"HideRunAsVerb"= 1 (0x1)
"NoNetConnectDisconnect"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)
"ForceClassicControlPanel"= 1 (0x1)
"NoResolveSearch"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
"NoStrCmpLogical"= 0 (0x0)
"NoWelcomeScreen"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)
"ForceClassicControlPanel"= 1 (0x1)
"NoResolveSearch"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
"NoStrCmpLogical"= 0 (0x0)
"NoWelcomeScreen"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.XFR1"= xfcodec.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\keygen.exe]
"Debugger"=StripMyRights.exe /D /L C

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"PeerGuardian"=c:\program files\PeerGuardian2\pg2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" -atboottime
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

R1 appdrv01;Application Driver (01);c:\windows\system32\Drivers\appdrv01.sys [2008-11-15 2915944]
R2 UxTuneUp;TuneUp Extension de thème;c:\windows\System32\svchost.exe -k netsvcs [2008-04-14 14336]
R3 camfilt2;camfilt2;c:\windows\system32\DRIVERS\camfilt2.sys [2008-10-05 94720]
S2 appdrvrem01;Application Driver Auto Removal Service (01);c:\windows\System32\appdrvrem01.exe svc []
S3 TuneUp.Defrag;TuneUp Drive Defrag Service;c:\windows\System32\TuneUpDefragService.exe [2008-10-09 355584]

[COLOR=RED]NETSVCS REQUIRES REPAIRS - current entries shown[/COLOR]
AppMgmt
AudioSrv
Browser
CryptSvc
DMServer
DHCP
EventSystem
FastUserSwitchingCompatibility
HidServ
Ias
Iprip
Irmon
LanmanServer
LanmanWorkstation
Netman
Nla
Ntmssvc
NWCWorkstation
Nwsapagent
Rasauto
Rasman
Remoteaccess
Schedule
Seclogon
SENS
Sharedaccess
Tapisrv
Themes
UxTuneUp
W32Time
WZCSVC
Wmi
WmdmPmSp
winmgmt
xmlprov
napagent
hkmsvc
BITS
ShellHWDetection
WmdmPmSN

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

.
Contenu du dossier 'Tâches planifiées'

2008-11-17 c:\windows\Tasks\Maintenance en 1 clic.job
- c:\program files\TuneUp Utilities 2008\OneClickStarter.exe [2008-06-20 08:23]
.
- - - - ORPHELINS SUPPRIMES - - - -

HKLM-Explorer_Run-DllHst - c:\docume~1\ADMINI~1\APPLIC~1\dllhst3g.exe


.
------- Examen supplémentaire -------
.
FireFox -: Profile - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\mqmae2t5.default\
FF -: plugin - c:\program files\Picasa2\npPicasa2.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-17 20:32:32
Windows 5.1.2600 Service Pack 3, v.5512 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
Heure de fin: 2008-11-17 20:33:21
ComboFix-quarantined-files.txt 2008-11-17 19:33:18

Avant-CF: 9 417 191 424 octets libres
Après-CF: 9,413,816,320 octets libres

300


rapport hidjackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:49:51, on 17/11/2008
Platform: Windows XP SP3, v.5512 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20772)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System\mstinit.exe
C:\Program Files\Taskix\Taskix32.exe
C:\Program Files\VisualTaskTips\VisualTaskTips.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\WinRoll\winroll.exe
C:\Program Files\LClock\LClock.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Program Files\Hercules\WiFi Station\WifiStation.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Notepad++\notepad++.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
F3 - REG:win.ini: load=C:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1\cisvc.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [Taskix] C:\Program Files\Taskix\Taskix32.exe start
O4 - HKLM\..\Run: [VisualTaskTips] "C:\Program Files\VisualTaskTips\VisualTaskTips.exe"
O4 - HKLM\..\Run: [Vistadrv] C:\Program Files\VistaDriveStatus\vsdrv.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKCU\..\Run: [TransBar] C:\Program Files\TransBar\TransBar.exe /s
O4 - HKCU\..\Run: [WinRoll] "C:\Program Files\WinRoll\winroll.exe"
O4 - HKCU\..\Run: [LClock] "C:\Program Files\LClock\LClock.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKLM\..\Policies\Explorer\Run: [MstInit] C:\WINDOWS\System\mstinit.exe /waitservice
O4 - HKCU\..\Policies\Explorer\Run: [SessMgr] C:\WINDOWS\sessmgr.exe /waitservice
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [CmSTP] C:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1\MICROS~1\cmstp.exe /waitservice (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [CmSTP] C:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1\MICROS~1\cmstp.exe /waitservice (User 'Default user')
O4 - Global Startup: Logiciel Kodak EasyShare.lnk = C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: WiFi Station.lnk = ?
O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
O16 - DPF: {BD8667B7-38D8-4C77-B580-18C3E146372C} (Creative Toolbox Plug-in) - http://kiw.imgag.com/imgag/cp/install/crusher-kiwen.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DE8FC1B4-C831-4178-9D25-5CA273C2E683}: NameServer = 192.168.1.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Application Driver Auto Removal Service (01) (appdrvrem01) - Protection Technology - C:\WINDOWS\System32\appdrvrem01.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
17 nov. 2008 à 22:02
Bien ... j'ai bien peur que cela soir grave ... -_-



1- Avoir accès aux fichiers cachés :

Vas dans Menu Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage
* "Afficher les fichiers et dossiers cachés" ---> coché
* "Masquer les extensions des fichiers dont le type est connu" ---> décoché
* "masquer les fichiers du système" ---> décoché
-> valides la modif ( "appliquer" puis "ok" ).
( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... )



2- Rends toi sur ce site :

https://www.virustotal.com/gui/

Copies ce qui suit et colles le dans l'espace pour la recherche :
C:\WINDOWS\System\mstinit.exe

Cliques sur Send File ( = " Envoyer le fichier " ).

Un rapport va s'élaborer ligne à ligne.

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copies le dans ta prochaine réponse ...

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )


Fais de même pour :
C:\WINDOWS\sessmgr.exe
C:\windows\cmstp.exe
C:\windows\mstsc.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1\cisvc.exe

postes moi donc ces 5 rapports ( surtout le début avec le listing des AV , et en précisant bien au début de chacuns à quel fichier ils correspondent ) et attends la suite ...
0
Réponse 27 / 48
yishan Messages postés 158 Date d'inscription vendredi 8 août 2008 Statut Membre Dernière intervention 22 mars 2010 20
17 nov. 2008 à 21:03
antivir vient de me redétecter le trojan avec le nom TR/ATRAPS.gen
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
17 nov. 2008 à 21:52
t'inquète on y travail là ... j'analyse tout cela et te donne la suite ...
0
Réponse 28 / 48
yishan Messages postés 158 Date d'inscription vendredi 8 août 2008 Statut Membre Dernière intervention 22 mars 2010 20
17 nov. 2008 à 22:18
ok merci ske69 c en route ... :-)
0
Réponse 29 / 48
yishan Messages postés 158 Date d'inscription vendredi 8 août 2008 Statut Membre Dernière intervention 22 mars 2010 20
17 nov. 2008 à 22:20
alors le premier rapport avec le fichier C:\WINDOWS\System\mstinit.exe


Fichier mstinit.exe reçu le 2008.11.17 22:16:44 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 4/36 (11.12%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 2.
L'heure estimée de démarrage est entre 46 et 66 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.11.18.0 2008.11.17 -
AntiVir 7.9.0.31 2008.11.17 -
Authentium 5.1.0.4 2008.11.17 -
Avast 4.8.1281.0 2008.11.17 -
AVG 8.0.0.199 2008.11.17 -
BitDefender 7.2 2008.11.17 -
CAT-QuickHeal 10.00 2008.11.17 -
ClamAV 0.94.1 2008.11.17 -
DrWeb 4.44.0.09170 2008.11.17 -
eSafe 7.0.17.0 2008.11.17 -
eTrust-Vet 31.6.6210 2008.11.14 -
Ewido 4.0 2008.11.17 -
F-Prot 4.4.4.56 2008.11.17 -
F-Secure 8.0.14332.0 2008.11.17 -
Fortinet 3.117.0.0 2008.11.15 -
GData 19 2008.11.17 -
Ikarus T3.1.1.45.0 2008.11.17 -
K7AntiVirus 7.10.526 2008.11.15 -
Kaspersky 7.0.0.125 2008.11.17 Heur.Trojan.Generic
McAfee 5437 2008.11.17 -
Microsoft 1.4104 2008.11.17 -
NOD32 3619 2008.11.17 -
Norman 5.80.02 2008.11.17 -
Panda 9.0.0.4 2008.11.17 Suspicious file
PCTools 4.4.2.0 2008.11.17 -
Prevx1 V2 2008.11.17 -
Rising 21.04.02.00 2008.11.17 -
SecureWeb-Gateway 6.7.6 2008.11.17 Worm.LooksLike.Agent
Sophos 4.35.0 2008.11.17 -
Sunbelt 3.1.1801.2 2008.11.14 BehavesLike.Win32.Malware (v)
Symantec 10 2008.11.17 -
TheHacker 6.3.1.1.155 2008.11.15 -
TrendMicro 8.700.0.1004 2008.11.17 -
VBA32 3.12.8.9 2008.11.17 -
ViRobot 2008.11.17.1472 2008.11.17 -
VirusBuster 4.5.11.0 2008.11.17 -
Information additionnelle
File size: 81920 bytes
MD5...: 3d4177883e52f9505e05ee1036f85efa
SHA1..: 150cbffdd2ed280275a69403a099b69efd4db79f
SHA256: d1f980e4b86d9a90cf80053065fe00dec21e0bd3f73b82e787bd8a79f176f847
SHA512: a21d2e4907c68b162c0e295c54b95f2859951fcdfc225ac2773dfc96950d9371
645635fc3474f48cab0f5b96e0cc0014c56b0054ca8199c412ec1b4bad169494
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x40ad96
timedatestamp.....: 0x491d82e9 (Fri Nov 14 13:53:45 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xf62f 0x10000 6.23 b742a33dc6d99fcbb5aff868f508a1a0
.rdata 0x11000 0x1fe2 0x2000 5.48 0c552409c16c6f8ffa2bfad01c3be727
.data 0x13000 0x3798 0x1000 1.46 4b1ed85b1d32fa3473b88b615346257c

( 6 imports )
> USER32.dll: LoadImageA
> ADVAPI32.dll: RegCloseKey, RegEnumValueA, RegOpenKeyExA, RegGetKeySecurity, RegCreateKeyExA, RegSetValueExA, RegQueryValueExA, LookupAccountSidA, GetTokenInformation, OpenProcessToken
> WS2_32.dll: -, -
> WININET.dll: InternetReadFile, HttpQueryInfoA, InternetCloseHandle, InternetOpenUrlA, InternetOpenA
> NETAPI32.dll: NetUserGetInfo, NetApiBufferFree
> KERNEL32.dll: SetEnvironmentVariableA, GetSystemInfo, VirtualProtect, GetLocaleInfoA, FlushFileBuffers, GetStringTypeW, GetStringTypeA, LCMapStringW, LCMapStringA, SetStdHandle, GetCPInfo, GetOEMCP, GetACP, GetProcessPriorityBoost, GetStartupInfoA, GetFileTime, CreateDirectoryA, GetSystemDirectoryA, GetVolumeInformationA, GetFileType, OpenProcess, OpenMutexA, CreateMutexA, CloseHandle, GetDriveTypeA, GetLogicalDriveStringsA, Sleep, GetLastError, GetLocalTime, GetShortPathNameA, GetEnvironmentVariableA, ExitProcess, SetFileAttributesA, CreateFileA, CreateProcessA, GlobalFree, CreateThread, GlobalAlloc, MultiByteToWideChar, GetModuleFileNameA, GetCurrentProcess, CopyFileA, WriteFile, RtlUnwind, GetSystemTimeAsFileTime, GetProcAddress, GetModuleHandleA, TerminateProcess, GetCommandLineA, GetVersionExA, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, HeapReAlloc, HeapAlloc, HeapSize, GetStdHandle, UnhandledExceptionFilter, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStringsW, SetHandleCount, HeapDestroy, HeapCreate, VirtualFree, HeapFree, LoadLibraryA, InterlockedExchange, VirtualQuery, SetFilePointer, SetUnhandledExceptionFilter, IsBadReadPtr, IsBadWritePtr, IsBadCodePtr, VirtualAlloc

( 0 exports )
0
Réponse 30 / 48
yishan Messages postés 158 Date d'inscription vendredi 8 août 2008 Statut Membre Dernière intervention 22 mars 2010 20
17 nov. 2008 à 22:25
le second avec le fichier sessmgr.exe


Fichier sessmgr.exe reçu le 2008.11.17 22:22:28 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 5/36 (13.89%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: ___.
L'heure estimée de démarrage est entre ___ et ___ .
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.11.18.0 2008.11.17 -
AntiVir 7.9.0.31 2008.11.17 -
Authentium 5.1.0.4 2008.11.17 -
Avast 4.8.1281.0 2008.11.17 -
AVG 8.0.0.199 2008.11.17 -
BitDefender 7.2 2008.11.17 -
CAT-QuickHeal 10.00 2008.11.17 -
ClamAV 0.94.1 2008.11.17 -
DrWeb 4.44.0.09170 2008.11.17 -
eSafe 7.0.17.0 2008.11.17 -
eTrust-Vet 31.6.6209 2008.11.14 -
Ewido 4.0 2008.11.17 -
F-Prot 4.4.4.56 2008.11.17 -
F-Secure 8.0.14332.0 2008.11.17 -
Fortinet 3.117.0.0 2008.11.15 -
GData 19 2008.11.17 -
Ikarus T3.1.1.45.0 2008.11.17 -
K7AntiVirus 7.10.526 2008.11.15 -
Kaspersky 7.0.0.125 2008.11.17 Heur.Trojan.Generic
McAfee 5437 2008.11.17 -
Microsoft 1.4104 2008.11.17 -
NOD32 3619 2008.11.17 -
Norman 5.80.02 2008.11.17 -
Panda 9.0.0.4 2008.11.17 Suspicious file
PCTools 4.4.2.0 2008.11.17 -
Prevx1 V2 2008.11.17 Cloaked Malware
Rising 21.04.02.00 2008.11.17 -
SecureWeb-Gateway 6.7.6 2008.11.17 Worm.LooksLike.Agent
Sophos 4.35.0 2008.11.17 -
Sunbelt 3.1.1801.2 2008.11.14 BehavesLike.Win32.Malware (v)
Symantec 10 2008.11.17 -
TheHacker 6.3.1.1.155 2008.11.15 -
TrendMicro 8.700.0.1004 2008.11.17 -
VBA32 3.12.8.9 2008.11.17 -
ViRobot 2008.11.17.1472 2008.11.17 -
VirusBuster 4.5.11.0 2008.11.17 -
Information additionnelle
File size: 81920 bytes
MD5...: 3d4177883e52f9505e05ee1036f85efa
SHA1..: 150cbffdd2ed280275a69403a099b69efd4db79f
SHA256: d1f980e4b86d9a90cf80053065fe00dec21e0bd3f73b82e787bd8a79f176f847
SHA512: a21d2e4907c68b162c0e295c54b95f2859951fcdfc225ac2773dfc96950d9371
645635fc3474f48cab0f5b96e0cc0014c56b0054ca8199c412ec1b4bad169494
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x40ad96
timedatestamp.....: 0x491d82e9 (Fri Nov 14 13:53:45 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xf62f 0x10000 6.23 b742a33dc6d99fcbb5aff868f508a1a0
.rdata 0x11000 0x1fe2 0x2000 5.48 0c552409c16c6f8ffa2bfad01c3be727
.data 0x13000 0x3798 0x1000 1.46 4b1ed85b1d32fa3473b88b615346257c

( 6 imports )
> USER32.dll: LoadImageA
> ADVAPI32.dll: RegCloseKey, RegEnumValueA, RegOpenKeyExA, RegGetKeySecurity, RegCreateKeyExA, RegSetValueExA, RegQueryValueExA, LookupAccountSidA, GetTokenInformation, OpenProcessToken
> WS2_32.dll: -, -
> WININET.dll: InternetReadFile, HttpQueryInfoA, InternetCloseHandle, InternetOpenUrlA, InternetOpenA
> NETAPI32.dll: NetUserGetInfo, NetApiBufferFree
> KERNEL32.dll: SetEnvironmentVariableA, GetSystemInfo, VirtualProtect, GetLocaleInfoA, FlushFileBuffers, GetStringTypeW, GetStringTypeA, LCMapStringW, LCMapStringA, SetStdHandle, GetCPInfo, GetOEMCP, GetACP, GetProcessPriorityBoost, GetStartupInfoA, GetFileTime, CreateDirectoryA, GetSystemDirectoryA, GetVolumeInformationA, GetFileType, OpenProcess, OpenMutexA, CreateMutexA, CloseHandle, GetDriveTypeA, GetLogicalDriveStringsA, Sleep, GetLastError, GetLocalTime, GetShortPathNameA, GetEnvironmentVariableA, ExitProcess, SetFileAttributesA, CreateFileA, CreateProcessA, GlobalFree, CreateThread, GlobalAlloc, MultiByteToWideChar, GetModuleFileNameA, GetCurrentProcess, CopyFileA, WriteFile, RtlUnwind, GetSystemTimeAsFileTime, GetProcAddress, GetModuleHandleA, TerminateProcess, GetCommandLineA, GetVersionExA, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, HeapReAlloc, HeapAlloc, HeapSize, GetStdHandle, UnhandledExceptionFilter, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStringsW, SetHandleCount, HeapDestroy, HeapCreate, VirtualFree, HeapFree, LoadLibraryA, InterlockedExchange, VirtualQuery, SetFilePointer, SetUnhandledExceptionFilter, IsBadReadPtr, IsBadWritePtr, IsBadCodePtr, VirtualAlloc

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=BB7E8BDF0011C114404801B661F9A3002372E2B9
0
Réponse 31 / 48
yishan Messages postés 158 Date d'inscription vendredi 8 août 2008 Statut Membre Dernière intervention 22 mars 2010 20
17 nov. 2008 à 22:31
le troisieme avec le fichier C:\windows\cmstp.exe


Fichier cmstp.exe reçu le 2008.11.17 22:27:13 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 4/36 (11.12%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 4.
L'heure estimée de démarrage est entre 62 et 88 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.11.18.0 2008.11.17 -
AntiVir 7.9.0.31 2008.11.17 -
Authentium 5.1.0.4 2008.11.17 -
Avast 4.8.1281.0 2008.11.17 -
AVG 8.0.0.199 2008.11.17 -
BitDefender 7.2 2008.11.17 -
CAT-QuickHeal 10.00 2008.11.17 -
ClamAV 0.94.1 2008.11.17 -
DrWeb 4.44.0.09170 2008.11.17 -
eSafe 7.0.17.0 2008.11.17 -
eTrust-Vet 31.6.6210 2008.11.14 -
Ewido 4.0 2008.11.17 -
F-Prot 4.4.4.56 2008.11.17 -
F-Secure 8.0.14332.0 2008.11.17 -
Fortinet 3.117.0.0 2008.11.15 -
GData 19 2008.11.17 -
Ikarus T3.1.1.45.0 2008.11.17 -
K7AntiVirus 7.10.526 2008.11.15 -
Kaspersky 7.0.0.125 2008.11.17 Heur.Trojan.Generic
McAfee 5437 2008.11.17 -
Microsoft 1.4104 2008.11.17 -
NOD32 3619 2008.11.17 -
Norman 5.80.02 2008.11.17 -
Panda 9.0.0.4 2008.11.17 Suspicious file
PCTools 4.4.2.0 2008.11.17 -
Prevx1 V2 2008.11.17 -
Rising 21.04.02.00 2008.11.17 -
SecureWeb-Gateway 6.7.6 2008.11.17 Worm.LooksLike.Agent
Sophos 4.35.0 2008.11.17 -
Sunbelt 3.1.1801.2 2008.11.14 BehavesLike.Win32.Malware (v)
Symantec 10 2008.11.17 -
TheHacker 6.3.1.1.155 2008.11.15 -
TrendMicro 8.700.0.1004 2008.11.17 -
VBA32 3.12.8.9 2008.11.17 -
ViRobot 2008.11.17.1472 2008.11.17 -
VirusBuster 4.5.11.0 2008.11.17 -
Information additionnelle
File size: 81920 bytes
MD5...: 3d4177883e52f9505e05ee1036f85efa
SHA1..: 150cbffdd2ed280275a69403a099b69efd4db79f
SHA256: d1f980e4b86d9a90cf80053065fe00dec21e0bd3f73b82e787bd8a79f176f847
SHA512: a21d2e4907c68b162c0e295c54b95f2859951fcdfc225ac2773dfc96950d9371
645635fc3474f48cab0f5b96e0cc0014c56b0054ca8199c412ec1b4bad169494
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x40ad96
timedatestamp.....: 0x491d82e9 (Fri Nov 14 13:53:45 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xf62f 0x10000 6.23 b742a33dc6d99fcbb5aff868f508a1a0
.rdata 0x11000 0x1fe2 0x2000 5.48 0c552409c16c6f8ffa2bfad01c3be727
.data 0x13000 0x3798 0x1000 1.46 4b1ed85b1d32fa3473b88b615346257c

( 6 imports )
> USER32.dll: LoadImageA
> ADVAPI32.dll: RegCloseKey, RegEnumValueA, RegOpenKeyExA, RegGetKeySecurity, RegCreateKeyExA, RegSetValueExA, RegQueryValueExA, LookupAccountSidA, GetTokenInformation, OpenProcessToken
> WS2_32.dll: -, -
> WININET.dll: InternetReadFile, HttpQueryInfoA, InternetCloseHandle, InternetOpenUrlA, InternetOpenA
> NETAPI32.dll: NetUserGetInfo, NetApiBufferFree
> KERNEL32.dll: SetEnvironmentVariableA, GetSystemInfo, VirtualProtect, GetLocaleInfoA, FlushFileBuffers, GetStringTypeW, GetStringTypeA, LCMapStringW, LCMapStringA, SetStdHandle, GetCPInfo, GetOEMCP, GetACP, GetProcessPriorityBoost, GetStartupInfoA, GetFileTime, CreateDirectoryA, GetSystemDirectoryA, GetVolumeInformationA, GetFileType, OpenProcess, OpenMutexA, CreateMutexA, CloseHandle, GetDriveTypeA, GetLogicalDriveStringsA, Sleep, GetLastError, GetLocalTime, GetShortPathNameA, GetEnvironmentVariableA, ExitProcess, SetFileAttributesA, CreateFileA, CreateProcessA, GlobalFree, CreateThread, GlobalAlloc, MultiByteToWideChar, GetModuleFileNameA, GetCurrentProcess, CopyFileA, WriteFile, RtlUnwind, GetSystemTimeAsFileTime, GetProcAddress, GetModuleHandleA, TerminateProcess, GetCommandLineA, GetVersionExA, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, HeapReAlloc, HeapAlloc, HeapSize, GetStdHandle, UnhandledExceptionFilter, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStringsW, SetHandleCount, HeapDestroy, HeapCreate, VirtualFree, HeapFree, LoadLibraryA, InterlockedExchange, VirtualQuery, SetFilePointer, SetUnhandledExceptionFilter, IsBadReadPtr, IsBadWritePtr, IsBadCodePtr, VirtualAlloc

( 0 exports )
0
Réponse 32 / 48
yishan Messages postés 158 Date d'inscription vendredi 8 août 2008 Statut Membre Dernière intervention 22 mars 2010 20
17 nov. 2008 à 22:35
le quatrieme avec le fichier C:\windows\mstsc.exe



Fichier mstsc.exe reçu le 2008.11.17 22:31:48 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 5/36 (13.89%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 5.
L'heure estimée de démarrage est entre 70 et 100 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.11.18.0 2008.11.17 -
AntiVir 7.9.0.31 2008.11.17 -
Authentium 5.1.0.4 2008.11.17 -
Avast 4.8.1281.0 2008.11.17 -
AVG 8.0.0.199 2008.11.17 -
BitDefender 7.2 2008.11.17 -
CAT-QuickHeal 10.00 2008.11.17 -
ClamAV 0.94.1 2008.11.17 -
DrWeb 4.44.0.09170 2008.11.17 -
eSafe 7.0.17.0 2008.11.17 -
eTrust-Vet 31.6.6209 2008.11.14 -
Ewido 4.0 2008.11.17 -
F-Prot 4.4.4.56 2008.11.17 -
F-Secure 8.0.14332.0 2008.11.17 -
Fortinet 3.117.0.0 2008.11.15 -
GData 19 2008.11.17 -
Ikarus T3.1.1.45.0 2008.11.17 -
K7AntiVirus 7.10.526 2008.11.15 -
Kaspersky 7.0.0.125 2008.11.17 Heur.Trojan.Generic
McAfee 5437 2008.11.17 -
Microsoft 1.4104 2008.11.17 -
NOD32 3619 2008.11.17 -
Norman 5.80.02 2008.11.17 -
Panda 9.0.0.4 2008.11.17 Suspicious file
PCTools 4.4.2.0 2008.11.17 -
Prevx1 V2 2008.11.17 Cloaked Malware
Rising 21.04.02.00 2008.11.17 -
SecureWeb-Gateway 6.7.6 2008.11.17 Worm.LooksLike.Agent
Sophos 4.35.0 2008.11.17 -
Sunbelt 3.1.1801.2 2008.11.14 BehavesLike.Win32.Malware (v)
Symantec 10 2008.11.17 -
TheHacker 6.3.1.1.155 2008.11.15 -
TrendMicro 8.700.0.1004 2008.11.17 -
VBA32 3.12.8.9 2008.11.17 -
ViRobot 2008.11.17.1472 2008.11.17 -
VirusBuster 4.5.11.0 2008.11.17 -
Information additionnelle
File size: 81920 bytes
MD5...: 3d4177883e52f9505e05ee1036f85efa
SHA1..: 150cbffdd2ed280275a69403a099b69efd4db79f
SHA256: d1f980e4b86d9a90cf80053065fe00dec21e0bd3f73b82e787bd8a79f176f847
SHA512: a21d2e4907c68b162c0e295c54b95f2859951fcdfc225ac2773dfc96950d9371
645635fc3474f48cab0f5b96e0cc0014c56b0054ca8199c412ec1b4bad169494
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x40ad96
timedatestamp.....: 0x491d82e9 (Fri Nov 14 13:53:45 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xf62f 0x10000 6.23 b742a33dc6d99fcbb5aff868f508a1a0
.rdata 0x11000 0x1fe2 0x2000 5.48 0c552409c16c6f8ffa2bfad01c3be727
.data 0x13000 0x3798 0x1000 1.46 4b1ed85b1d32fa3473b88b615346257c

( 6 imports )
> USER32.dll: LoadImageA
> ADVAPI32.dll: RegCloseKey, RegEnumValueA, RegOpenKeyExA, RegGetKeySecurity, RegCreateKeyExA, RegSetValueExA, RegQueryValueExA, LookupAccountSidA, GetTokenInformation, OpenProcessToken
> WS2_32.dll: -, -
> WININET.dll: InternetReadFile, HttpQueryInfoA, InternetCloseHandle, InternetOpenUrlA, InternetOpenA
> NETAPI32.dll: NetUserGetInfo, NetApiBufferFree
> KERNEL32.dll: SetEnvironmentVariableA, GetSystemInfo, VirtualProtect, GetLocaleInfoA, FlushFileBuffers, GetStringTypeW, GetStringTypeA, LCMapStringW, LCMapStringA, SetStdHandle, GetCPInfo, GetOEMCP, GetACP, GetProcessPriorityBoost, GetStartupInfoA, GetFileTime, CreateDirectoryA, GetSystemDirectoryA, GetVolumeInformationA, GetFileType, OpenProcess, OpenMutexA, CreateMutexA, CloseHandle, GetDriveTypeA, GetLogicalDriveStringsA, Sleep, GetLastError, GetLocalTime, GetShortPathNameA, GetEnvironmentVariableA, ExitProcess, SetFileAttributesA, CreateFileA, CreateProcessA, GlobalFree, CreateThread, GlobalAlloc, MultiByteToWideChar, GetModuleFileNameA, GetCurrentProcess, CopyFileA, WriteFile, RtlUnwind, GetSystemTimeAsFileTime, GetProcAddress, GetModuleHandleA, TerminateProcess, GetCommandLineA, GetVersionExA, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, HeapReAlloc, HeapAlloc, HeapSize, GetStdHandle, UnhandledExceptionFilter, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStringsW, SetHandleCount, HeapDestroy, HeapCreate, VirtualFree, HeapFree, LoadLibraryA, InterlockedExchange, VirtualQuery, SetFilePointer, SetUnhandledExceptionFilter, IsBadReadPtr, IsBadWritePtr, IsBadCodePtr, VirtualAlloc

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=BB7E8BDF0011C114404801B661F9A3002372E2B9
0
Réponse 33 / 48
yishan Messages postés 158 Date d'inscription vendredi 8 août 2008 Statut Membre Dernière intervention 22 mars 2010 20
17 nov. 2008 à 22:39
et le dernier avec le fichier : C:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1\cisvc.exe



Fichier cisvc.exe reçu le 2008.11.17 22:36:55 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 4/36 (11.12%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 3.
L'heure estimée de démarrage est entre 54 et 77 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.11.18.0 2008.11.17 -
AntiVir 7.9.0.31 2008.11.17 -
Authentium 5.1.0.4 2008.11.17 -
Avast 4.8.1281.0 2008.11.17 -
AVG 8.0.0.199 2008.11.17 -
BitDefender 7.2 2008.11.17 -
CAT-QuickHeal 10.00 2008.11.17 -
ClamAV 0.94.1 2008.11.17 -
DrWeb 4.44.0.09170 2008.11.17 -
eSafe 7.0.17.0 2008.11.17 -
eTrust-Vet 31.6.6210 2008.11.14 -
Ewido 4.0 2008.11.17 -
F-Prot 4.4.4.56 2008.11.17 -
F-Secure 8.0.14332.0 2008.11.17 -
Fortinet 3.117.0.0 2008.11.15 -
GData 19 2008.11.17 -
Ikarus T3.1.1.45.0 2008.11.17 -
K7AntiVirus 7.10.526 2008.11.15 -
Kaspersky 7.0.0.125 2008.11.17 Heur.Trojan.Generic
McAfee 5437 2008.11.17 -
Microsoft 1.4104 2008.11.17 -
NOD32 3619 2008.11.17 -
Norman 5.80.02 2008.11.17 -
Panda 9.0.0.4 2008.11.17 Suspicious file
PCTools 4.4.2.0 2008.11.17 -
Prevx1 V2 2008.11.17 -
Rising 21.04.02.00 2008.11.17 -
SecureWeb-Gateway 6.7.6 2008.11.17 Worm.LooksLike.Agent
Sophos 4.35.0 2008.11.17 -
Sunbelt 3.1.1801.2 2008.11.14 BehavesLike.Win32.Malware (v)
Symantec 10 2008.11.17 -
TheHacker 6.3.1.1.155 2008.11.15 -
TrendMicro 8.700.0.1004 2008.11.17 -
VBA32 3.12.8.9 2008.11.17 -
ViRobot 2008.11.17.1472 2008.11.17 -
VirusBuster 4.5.11.0 2008.11.17 -
Information additionnelle
File size: 81920 bytes
MD5...: 3d4177883e52f9505e05ee1036f85efa
SHA1..: 150cbffdd2ed280275a69403a099b69efd4db79f
SHA256: d1f980e4b86d9a90cf80053065fe00dec21e0bd3f73b82e787bd8a79f176f847
SHA512: a21d2e4907c68b162c0e295c54b95f2859951fcdfc225ac2773dfc96950d9371
645635fc3474f48cab0f5b96e0cc0014c56b0054ca8199c412ec1b4bad169494
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x40ad96
timedatestamp.....: 0x491d82e9 (Fri Nov 14 13:53:45 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xf62f 0x10000 6.23 b742a33dc6d99fcbb5aff868f508a1a0
.rdata 0x11000 0x1fe2 0x2000 5.48 0c552409c16c6f8ffa2bfad01c3be727
.data 0x13000 0x3798 0x1000 1.46 4b1ed85b1d32fa3473b88b615346257c

( 6 imports )
> USER32.dll: LoadImageA
> ADVAPI32.dll: RegCloseKey, RegEnumValueA, RegOpenKeyExA, RegGetKeySecurity, RegCreateKeyExA, RegSetValueExA, RegQueryValueExA, LookupAccountSidA, GetTokenInformation, OpenProcessToken
> WS2_32.dll: -, -
> WININET.dll: InternetReadFile, HttpQueryInfoA, InternetCloseHandle, InternetOpenUrlA, InternetOpenA
> NETAPI32.dll: NetUserGetInfo, NetApiBufferFree
> KERNEL32.dll: SetEnvironmentVariableA, GetSystemInfo, VirtualProtect, GetLocaleInfoA, FlushFileBuffers, GetStringTypeW, GetStringTypeA, LCMapStringW, LCMapStringA, SetStdHandle, GetCPInfo, GetOEMCP, GetACP, GetProcessPriorityBoost, GetStartupInfoA, GetFileTime, CreateDirectoryA, GetSystemDirectoryA, GetVolumeInformationA, GetFileType, OpenProcess, OpenMutexA, CreateMutexA, CloseHandle, GetDriveTypeA, GetLogicalDriveStringsA, Sleep, GetLastError, GetLocalTime, GetShortPathNameA, GetEnvironmentVariableA, ExitProcess, SetFileAttributesA, CreateFileA, CreateProcessA, GlobalFree, CreateThread, GlobalAlloc, MultiByteToWideChar, GetModuleFileNameA, GetCurrentProcess, CopyFileA, WriteFile, RtlUnwind, GetSystemTimeAsFileTime, GetProcAddress, GetModuleHandleA, TerminateProcess, GetCommandLineA, GetVersionExA, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, HeapReAlloc, HeapAlloc, HeapSize, GetStdHandle, UnhandledExceptionFilter, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStringsW, SetHandleCount, HeapDestroy, HeapCreate, VirtualFree, HeapFree, LoadLibraryA, InterlockedExchange, VirtualQuery, SetFilePointer, SetUnhandledExceptionFilter, IsBadReadPtr, IsBadWritePtr, IsBadCodePtr, VirtualAlloc

( 0 exports )


voila :)
0
Réponse 34 / 48
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
17 nov. 2008 à 22:59
La suite:


1-Crées un doc texte sur ton bureau :
pointes ta souris sur ton bureau , cliques droit : vas dans "nouveau" et choisis "document texte" .

Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :

Registry::
[HKEY_CURRENT_USER\software\microsoft\windows\Currentversion\policies\explorer\Run]
"SessMgr"=-
[HKEY_USERS\.DEFAULT\software\microsoft\windows\Currentversion\policies\explorer\Run]
"CmSTP"=-


File::
C:\WINDOWS\System\mstinit.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1\cisvc.exe
C:\WINDOWS\sessmgr.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1\MICROS~1\cmstp.exe
c:\windows\cmstp.exe
c:\windows\sessmgr.exe
c:\windows\mstsc.exe
c:\windows\DUMP5294.tmp
c:\windows\DUMP45b3.tmp


Puis vas dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valides ...


2-Nettoyage :

!! Déconnectes toi, fermes toutes tes applications et désactives TOUTES TES DEFENSES ( tu les réactiveras après ) !!

--->Sur ton bureau, fais un glissé avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

(Regarde ici : http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript.gif )

Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tapes 1 puis valide.

Puis patientes le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

!! Ne touches à rien tant que le scan n'est pas terminé !!

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisses-le faire.

Une fois le scan achevé, un rapport va s'afficher : Postes le accompagné d' un nouveau rapport HijackThis pour analyse ...

( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )
0
Réponse 35 / 48
yishan Messages postés 158 Date d'inscription vendredi 8 août 2008 Statut Membre Dernière intervention 22 mars 2010 20
17 nov. 2008 à 23:14
alors voici le rapport combofix :

ComboFix 08-11-16.05 - Administrateur 2008-11-17 23:08:55.3 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.1658 [GMT 1:00]
Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Administrateur\Bureau\CFSCRIPT.txt

[COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR]

FILE ::
c:\docume~1\ADMINI~1\LOCALS~1\APPLIC~1\cisvc.exe
c:\docume~1\ADMINI~1\LOCALS~1\APPLIC~1\MICROS~1\cmstp.exe
c:\windows\cmstp.exe
c:\windows\DUMP45b3.tmp
c:\windows\DUMP5294.tmp
c:\windows\mstsc.exe
c:\windows\sessmgr.exe
c:\windows\System\mstinit.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\docume~1\ADMINI~1\LOCALS~1\APPLIC~1\cisvc.exe
c:\docume~1\ADMINI~1\LOCALS~1\APPLIC~1\MICROS~1\cmstp.exe
c:\windows\cmstp.exe
c:\windows\DUMP45b3.tmp
c:\windows\DUMP5294.tmp
c:\windows\mstsc.exe
c:\windows\sessmgr.exe
c:\windows\System\mstinit.exe

.
((((((((((((((((((((((((((((( Fichiers créés du 2008-10-17 au 2008-11-17 ))))))))))))))))))))))))))))))))))))
.

2008-11-17 23:09 . 2008-11-14 14:55 81,920 --a------ c:\windows\system\comrepl.exe
2008-11-17 19:57 . 2008-11-06 02:03 <REP> d-------- C:\SDFix
2008-11-17 10:58 . 2008-11-17 10:58 <REP> d-------- C:\rsit
2008-11-17 10:48 . 2008-11-17 10:52 <REP> d-------- c:\program files\UsbFix
2008-11-17 09:30 . 2008-11-17 09:38 <REP> d-------- C:\MSNFix
2008-11-17 09:25 . 2008-11-17 09:25 <REP> d-------- C:\_OTMoveIt
2008-11-17 01:26 . 2008-11-17 01:29 <REP> d-------- C:\Lop SD
2008-11-17 01:00 . 2008-11-17 01:24 <REP> d-------- C:\ToolBar SD
2008-11-17 00:59 . 2008-11-17 00:59 <REP> d-------- c:\program files\Trend Micro
2008-11-16 23:30 . 2008-11-16 23:30 <REP> d-------- c:\windows\system32\xircom
2008-11-16 23:30 . 2008-11-16 23:30 <REP> d-------- c:\windows\system32\restore
2008-11-16 23:30 . 2008-11-16 23:30 <REP> d-------- c:\windows\system32\oobe
2008-11-16 23:30 . 2008-11-16 23:30 <REP> d-------- c:\windows\srchasst
2008-11-16 23:30 . 2008-11-16 23:30 <REP> d-------- c:\windows\msagent
2008-11-16 23:30 . 2008-11-16 23:30 <REP> d-------- c:\program files\microsoft frontpage
2008-11-16 20:12 . 2008-11-16 21:20 <REP> d-------- c:\documents and settings\Administrateur\.housecall6.6
2008-11-16 03:25 . 2008-11-16 03:25 38 --a------ c:\windows\AviSplitter.INI
2008-11-15 01:44 . 2008-11-15 01:44 2,915,944 --a------ c:\windows\system32\drivers\appdrv01.sys
2008-11-15 01:44 . 2008-11-15 01:44 304,528 --a------ c:\windows\system32\appdrvrem01.exe
2008-11-15 01:07 . 2008-11-15 01:07 <REP> d-------- c:\program files\Folding@Home #01
2008-11-14 15:04 . 2008-11-14 15:04 279,712 --a------ c:\windows\system32\drivers\atksgt.sys
2008-11-14 15:04 . 2008-11-14 15:04 25,888 --a------ c:\windows\system32\drivers\lirsgt.sys
2008-11-14 14:54 . 2008-05-30 14:11 3,850,760 --a------ c:\windows\system32\D3DX9_38.dll
2008-11-14 14:54 . 2008-05-30 14:11 1,491,992 --a------ c:\windows\system32\D3DCompiler_38.dll
2008-11-14 14:54 . 2008-05-30 14:19 507,400 --a------ c:\windows\system32\XAudio2_1.dll
2008-11-14 14:54 . 2008-05-30 14:11 467,984 --a------ c:\windows\system32\d3dx10_38.dll
2008-11-14 14:54 . 2008-05-30 14:18 238,088 --a------ c:\windows\system32\xactengine3_1.dll
2008-11-14 14:54 . 2008-05-30 14:17 65,032 --a------ c:\windows\system32\XAPOFX1_0.dll
2008-11-14 14:54 . 2008-05-30 14:17 25,608 --a------ c:\windows\system32\X3DAudio1_4.dll
2008-11-14 14:53 . 2008-11-14 14:53 <REP> d-------- c:\windows\Logs
2008-11-13 15:19 . 2008-11-14 13:18 <REP> d-------- c:\program files\Windows Live Safety Center
2008-11-11 00:25 . 2008-11-11 00:25 <REP> d-------- c:\documents and settings\Administrateur\Application Data\teamspeak2
2008-11-11 00:24 . 2008-11-11 00:25 <REP> d-------- c:\program files\Teamspeak2_RC2
2008-11-11 00:24 . 2008-11-11 00:24 34,064 --a------ c:\windows\system32\lhacm.acm
2008-11-09 11:33 . 1999-12-17 09:13 86,016 --a------ c:\windows\unvise32.exe
2008-11-08 21:10 . 2008-11-17 15:42 54,156 --ah----- c:\windows\QTFont.qfn
2008-11-08 21:10 . 2008-11-08 21:10 1,409 --a------ c:\windows\QTFont.for
2008-11-05 14:43 . 2008-11-05 14:43 <REP> d-------- c:\documents and settings\NetworkService\Application Data\Xfire
2008-11-02 18:25 . 2008-11-02 18:25 <REP> d-------- c:\documents and settings\Administrateur\Application Data\Leadertech
2008-11-02 15:14 . 2008-11-02 15:14 107,888 --a------ c:\windows\system32\CmdLineExt.dll
2008-11-01 21:05 . 2008-11-01 21:05 <REP> d-------- c:\program files\DAEMON Tools Lite
2008-10-31 07:11 . 2008-10-31 07:11 <REP> d-------- c:\program files\Opera
2008-10-30 02:24 . 2008-10-30 02:24 42,320 --a------ c:\windows\system32\xfcodec.dll
2008-10-29 08:41 . 2008-10-30 18:02 <REP> d-------- c:\program files\Thoosje Sidebar V2.3
2008-10-26 12:44 . 2008-10-26 12:44 <REP> d-------- c:\program files\VSTplugins
2008-10-26 12:44 . 2008-10-26 12:44 <REP> d-------- c:\documents and settings\Administrateur\Application Data\Publish Providers
2008-10-26 12:42 . 2008-10-26 12:42 <REP> d-------- c:\documents and settings\Administrateur\Application Data\Sony
2008-10-26 12:41 . 2008-10-26 12:41 <REP> d-------- c:\program files\Sony
2008-10-21 07:37 . 2008-10-21 07:37 <REP> d-------- c:\program files\Sony Setup
2008-10-19 23:48 . 2008-10-19 23:48 <REP> d-------- c:\program files\DivX
2008-10-19 20:29 . 2008-10-19 20:47 <REP> d-------- c:\program files\PGameScan

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-17 21:44 202,648 ----a-w c:\windows\system32\PnkBstrB.exe
2008-11-17 21:44 138,408 ----a-w c:\windows\system32\drivers\PnkBstrK.sys
2008-11-16 20:21 --------- d-----w c:\program files\PeerGuardian2
2008-11-16 18:55 --------- d-----w c:\documents and settings\Administrateur\Application Data\Xfire
2008-11-12 04:39 --------- d-----w c:\program files\Xfire
2008-11-07 18:11 --------- d-----w c:\program files\Picasa2
2008-10-31 16:52 --------- d-----w c:\documents and settings\Administrateur\Application Data\Skype
2008-10-31 10:49 --------- d-----w c:\documents and settings\Administrateur\Application Data\skypePM
2008-10-30 04:51 --------- d-----w c:\documents and settings\Administrateur\Application Data\OpenOffice.org2
2008-10-26 11:50 --------- d-----w c:\program files\TuneUp Utilities 2008
2008-10-26 11:48 --------- d-----w c:\program files\MediaMonkey
2008-10-23 19:37 --------- d-----w c:\program files\Malwarebytes' Anti-Malware
2008-10-22 14:10 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2008-10-22 14:10 15,504 ----a-w c:\windows\system32\drivers\mbam.sys
2008-10-16 01:29 --------- d--h--w c:\program files\InstallShield Installation Information
2008-10-13 15:58 --------- d-----w c:\documents and settings\Administrateur\Application Data\Canneverbe_Limited
2008-10-13 15:57 --------- d-----w c:\program files\CDBurnerXP
2008-10-11 16:14 --------- d-----w c:\program files\Notepad++
2008-10-11 15:58 --------- d-----w c:\documents and settings\Administrateur\Application Data\Notepad++
2008-10-11 06:10 --------- d-----w c:\program files\free-downloads.net
2008-10-11 05:49 --------- d-----w c:\documents and settings\All Users\Application Data\Malwarebytes
2008-10-11 05:49 --------- d-----w c:\documents and settings\Administrateur\Application Data\Malwarebytes
2008-10-11 04:45 --------- d-----w c:\program files\Shock Utility
2008-10-10 21:03 --------- d-----w c:\program files\MagicISO
2008-10-10 20:45 66,872 ----a-w c:\windows\system32\PnkBstrA.exe
2008-10-10 20:42 22,328 ----a-w c:\documents and settings\Administrateur\Application Data\PnkBstrK.sys
2008-10-10 20:30 --------- d-----w c:\program files\Activision
2008-10-10 20:14 717,296 ----a-w c:\windows\system32\drivers\sptd.sys
2008-10-10 20:14 --------- d-----w c:\documents and settings\Administrateur\Application Data\DAEMON Tools
2008-10-10 19:55 --------- d-----w c:\program files\Fichiers communs\DirectX
2008-10-10 19:42 --------- d-----w c:\program files\Conduit
2008-10-10 19:42 --------- d-----w c:\program files\Alcohol Soft
2008-10-10 19:41 --------- d-----w c:\documents and settings\Administrateur\Application Data\Skinux
2008-10-10 12:34 --------- d-----w c:\documents and settings\Administrateur\Application Data\Apple Computer
2008-10-10 11:27 --------- d-----w c:\program files\QuickTime
2008-10-10 11:26 --------- d-----w c:\program files\Kodak
2008-10-10 11:26 --------- d-----w c:\documents and settings\All Users\Application Data\Apple Computer
2008-10-10 11:23 --------- d-----w c:\program files\Fichiers communs\Kodak
2008-10-09 23:25 --------- d-----w c:\documents and settings\All Users\Application Data\Kodak
2008-10-09 15:32 348,160 ----a-w c:\windows\system32\msvcr71.dll
2008-10-09 15:32 339,968 ----a-w c:\windows\system32\pythoncom25.dll
2008-10-09 15:32 2,117,632 ----a-w c:\windows\system32\python25.dll
2008-10-09 15:32 114,688 ----a-w c:\windows\system32\pywintypes25.dll
2008-10-09 10:18 --------- d-----w c:\documents and settings\NetworkService\Application Data\agi
2008-10-09 07:38 --------- d-----w c:\program files\KVIrc
2008-10-09 06:27 355,584 ----a-w c:\windows\system32\TuneUpDefragService.exe
2008-10-09 06:27 --------- d-----w c:\documents and settings\All Users\Application Data\TuneUp Software
2008-10-09 06:27 --------- d-----w c:\documents and settings\Administrateur\Application Data\TuneUp Software
2008-10-09 06:26 --------- d-----w c:\program files\Fichiers communs\Wise Installation Wizard
2008-10-07 21:35 --------- d-----w c:\program files\SEGA
2008-10-06 16:08 --------- d-----w c:\program files\PKR
2008-10-06 12:03 --------- d-----w c:\documents and settings\Administrateur\Application Data\KVIrc
2008-10-05 22:36 --------- d-----w c:\documents and settings\Administrateur\Application Data\pokerth
2008-10-05 22:34 --------- d-----w c:\program files\PokerTH
2008-10-05 22:30 --------- d-----w c:\documents and settings\Administrateur\Application Data\vlc
2008-10-05 22:11 --------- d-----w c:\program files\OpenOffice.org 2.4
2008-10-05 22:11 --------- d-----w c:\program files\Java
2008-10-05 21:33 --------- d-----w c:\program files\Capturino V2
2008-10-05 21:18 --------- d-----w c:\documents and settings\All Users\Application Data\Messenger Plus!
2008-10-05 21:10 --------- d-----w c:\program files\Google
2008-10-05 20:28 --------- d-----w c:\program files\Silicon Integrated Systems
2008-10-05 20:28 --------- d-----w c:\program files\Realtek Sound Manager
2008-10-05 20:28 --------- d-----w c:\program files\Realtek AC97
2008-10-05 20:28 --------- d-----w c:\program files\AvRack
2008-10-05 20:27 --------- d-----w c:\program files\SiSLan
2008-10-05 20:25 --------- d-----w c:\program files\sisagp
2008-10-05 20:24 --------- d-----w c:\program files\Fichiers communs\InstallShield
2008-10-05 20:13 --------- d-----w c:\program files\Hercules
2008-10-05 19:57 --------- d-----w c:\program files\Skype
2008-10-05 19:57 --------- d-----w c:\program files\Fichiers communs\Skype
2008-10-05 19:57 --------- d-----w c:\documents and settings\All Users\Application Data\Skype
2008-10-05 19:48 --------- d-----w c:\program files\mIRC
2008-10-05 19:48 --------- d-----w c:\documents and settings\Administrateur\Application Data\mIRC
2008-10-05 19:31 --------- d-----w c:\program files\Satsuki Decoder Pack
2008-10-05 19:22 --------- d-----w c:\program files\Media Player Classic
2008-10-05 19:21 --------- d-----w c:\documents and settings\Administrateur\Application Data\Media Player Classic
2008-10-05 19:20 --------- d-----w c:\program files\Messenger Plus! Live
2008-10-05 19:02 --------- d-----w c:\documents and settings\All Users\Application Data\ATI
2008-10-05 19:02 --------- d-----w c:\documents and settings\Administrateur\Application Data\ATI
2008-10-05 18:54 --------- d-----w c:\program files\ATI Technologies
2008-10-05 18:52 --------- d-----w c:\program files\Fichiers communs\ATI Technologies
2008-10-05 18:35 --------- d-----w c:\program files\VideoLAN
2008-10-05 18:32 --------- d-----w c:\program files\Fichiers communs\Adobe
2008-10-05 18:24 --------- d-----w c:\program files\Avira
2008-10-05 18:24 --------- d-----w c:\documents and settings\All Users\Application Data\Avira
2008-10-05 18:12 21,419 ----a-w c:\windows\system32\drivers\AegisP.sys
2008-10-05 18:11 --------- d-----w c:\documents and settings\Administrateur\Application Data\InstallShield
2008-10-05 18:07 --------- d-----w c:\program files\VistaDriveStatus
2008-10-05 18:06 --------- d-----w c:\program files\WinRoll
2008-10-05 18:06 --------- d-----w c:\program files\Windows Live
2008-10-05 18:06 --------- d-----w c:\program files\VisualTaskTips
2008-10-05 18:06 --------- d-----w c:\program files\TransBar
2008-10-05 18:06 --------- d-----w c:\program files\Taskix
2008-10-05 18:06 --------- d-----w c:\program files\LClock
2008-10-05 18:06 --------- d-----w c:\program files\Fichiers communs\Java
2008-10-05 18:06 --------- d-----w c:\program files\CCleaner
2008-10-05 18:01 --------- d-----w c:\program files\WTInstaller
2008-10-05 17:51 --------- d-----w c:\program files\Windows Trust
2008-10-05 17:51 --------- d-----w c:\program files\Unlocker
2008-10-05 17:50 --------- d-----w c:\program files\Paint.NET
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TransBar"="c:\program files\TransBar\TransBar.exe" [2005-06-01 65536]
"WinRoll"="c:\program files\WinRoll\winroll.exe" [2004-04-07 15360]
"LClock"="c:\program files\LClock\LClock.exe" [2004-09-19 65536]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2008-07-24 490952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Taskix"="c:\program files\Taskix\Taskix32.exe" [2007-01-25 65536]
"VisualTaskTips"="c:\program files\VisualTaskTips\VisualTaskTips.exe" [2007-09-05 36352]
"Vistadrv"="c:\program files\VistaDriveStatus\vsdrv.exe" [2006-07-30 121089]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]

[HKEY_CURRENT_USER\software\microsoft\windows\Currentversion\policies\explorer\Run]
"ClipSrv"="c:\docume~1\ADMINI~1\LOCALS~1\APPLIC~1\clipsrv.exe" [2008-11-14 81920]

[HKEY_USERS\.DEFAULT\software\microsoft\windows\Currentversion\policies\explorer\Run]
"ComRepl"="c:\windows\System\comrepl.exe" [2008-11-14 81920]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Logiciel Kodak EasyShare.lnk - c:\program files\Kodak\Kodak EasyShare software\bin\EasyShare.exe [2008-05-10 282624]
WiFi Station.lnk - c:\program files\Hercules\WiFi Station\WifiStation.exe [2008-10-05 654336]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SynchronousMachineGroupPolicy"= 0 (0x0)
"SynchronousUserGroupPolicy"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 1 (0x1)
"HideRunAsVerb"= 1 (0x1)
"NoNetConnectDisconnect"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)
"ForceClassicControlPanel"= 1 (0x1)
"NoResolveSearch"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
"NoStrCmpLogical"= 0 (0x0)
"NoWelcomeScreen"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)
"ForceClassicControlPanel"= 1 (0x1)
"NoResolveSearch"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
"NoStrCmpLogical"= 0 (0x0)
"NoWelcomeScreen"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.XFR1"= xfcodec.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\keygen.exe]
"Debugger"=StripMyRights.exe /D /L C

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"PeerGuardian"=c:\program files\PeerGuardian2\pg2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" -atboottime
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

R1 appdrv01;Application Driver (01);c:\windows\system32\Drivers\appdrv01.sys [2008-11-15 2915944]
R2 UxTuneUp;TuneUp Extension de thème;c:\windows\System32\svchost.exe -k netsvcs [2008-04-14 14336]
R3 camfilt2;camfilt2;c:\windows\system32\DRIVERS\camfilt2.sys [2008-10-05 94720]
S2 appdrvrem01;Application Driver Auto Removal Service (01);c:\windows\System32\appdrvrem01.exe svc []
S3 TuneUp.Defrag;TuneUp Drive Defrag Service;c:\windows\System32\TuneUpDefragService.exe [2008-10-09 355584]

[COLOR=RED]NETSVCS REQUIRES REPAIRS - current entries shown[/COLOR]
AppMgmt
AudioSrv
Browser
CryptSvc
DMServer
DHCP
EventSystem
FastUserSwitchingCompatibility
HidServ
Ias
Iprip
Irmon
LanmanServer
LanmanWorkstation
Netman
Nla
Ntmssvc
NWCWorkstation
Nwsapagent
Rasauto
Rasman
Remoteaccess
Schedule
Seclogon
SENS
Sharedaccess
Tapisrv
Themes
UxTuneUp
W32Time
WZCSVC
Wmi
WmdmPmSp
winmgmt
xmlprov
napagent
hkmsvc
BITS
ShellHWDetection
WmdmPmSN

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs


*Newly Created Service* - PNKBSTRB
.
Contenu du dossier 'Tâches planifiées'

2008-11-17 c:\windows\Tasks\Maintenance en 1 clic.job
- c:\program files\TuneUp Utilities 2008\OneClickStarter.exe [2008-06-20 08:23]
.
- - - - ORPHELINS SUPPRIMES - - - -

HKLM-Explorer_Run-MstInit - c:\windows\System\mstinit.exe



**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-17 23:10:15
Windows 5.1.2600 Service Pack 3, v.5512 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
Heure de fin: 2008-11-17 23:11:00
ComboFix-quarantined-files.txt 2008-11-17 22:10:56
ComboFix2.txt 2008-11-17 19:33:23

Avant-CF: 9 418 731 520 octets libres
Après-CF: 9,410,363,392 octets libres

311



et le rapport d'hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:12:49, on 17/11/2008
Platform: Windows XP SP3, v.5512 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20772)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\VisualTaskTips\VisualTaskTips.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\WinRoll\winroll.exe
C:\Program Files\LClock\LClock.exe
C:\Program Files\Hercules\WiFi Station\WifiStation.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [Taskix] C:\Program Files\Taskix\Taskix32.exe start
O4 - HKLM\..\Run: [VisualTaskTips] "C:\Program Files\VisualTaskTips\VisualTaskTips.exe"
O4 - HKLM\..\Run: [Vistadrv] C:\Program Files\VistaDriveStatus\vsdrv.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKCU\..\Run: [TransBar] C:\Program Files\TransBar\TransBar.exe /s
O4 - HKCU\..\Run: [WinRoll] "C:\Program Files\WinRoll\winroll.exe"
O4 - HKCU\..\Run: [LClock] "C:\Program Files\LClock\LClock.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Policies\Explorer\Run: [ClipSrv] C:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1\clipsrv.exe /waitservice
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [ComRepl] C:\WINDOWS\System\comrepl.exe /waitservice (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [ComRepl] C:\WINDOWS\System\comrepl.exe /waitservice (User 'Default user')
O4 - Global Startup: Logiciel Kodak EasyShare.lnk = C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: WiFi Station.lnk = ?
O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
O16 - DPF: {BD8667B7-38D8-4C77-B580-18C3E146372C} (Creative Toolbox Plug-in) - http://kiw.imgag.com/imgag/cp/install/crusher-kiwen.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DE8FC1B4-C831-4178-9D25-5CA273C2E683}: NameServer = 192.168.1.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Application Driver Auto Removal Service (01) (appdrvrem01) - Protection Technology - C:\WINDOWS\System32\appdrvrem01.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
0
Réponse 36 / 48
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
17 nov. 2008 à 23:27
bizard ... un bestiole change de nom à chaque fois qu'on la supprime ... à moins que ....



Réessayes ceci pour voir maintenant qu'on à mis un coup sur la tronche :


Télécharges SDFix sur ton bureau :
ici http://downloads.andymanchesta.com/RemovalTools/SDFix.exe.
ou ici http://sdfix.net/SDFix.exe

--> Double-cliques sur SDFix.exe et choisis "Install" .

( tuto ici : https://www.malekal.com/slenfbot-still-an-other-irc-bot/ )

Puis une fois l'installe faite ,

Impératif : Démarrer en mode sans echec .

/!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\

Comment aller en Mode sans échec :
1) Redémarres ton ordi .
2) Tapotes la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" .
3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage .
4) Choisis la première option : Sans Échec , et valides en tapant sur [Entrée] .
5) Choisis ton compte habituel ( et pas Administrateur ).
attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreurs ...

Ouvres le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double cliques sur RunThis.bat pour lancer le script.
--->Tapes Y pour lancer le script ...
Le Fix supprime les services du virus et nettoie le registre, de ce fait un redémarrage est nécessaire , donc :
presses une touche pour redémarrer quand il te le sera demandé .

Le PC va mettre du temps avant de démarrer ( c'est normale ), après le chargement du Bureau presses une touche lorsque "Finished" s'affiche .

Le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier
C:\SDFix sous le nom "Report.txt".
Postes ce dernier dans ta prochaine réponse accompagné d'un nouveau rapport Hijakcthis pour analyse ...




0
Réponse 37 / 48
yishan Messages postés 158 Date d'inscription vendredi 8 août 2008 Statut Membre Dernière intervention 22 mars 2010 20
17 nov. 2008 à 23:52
non malheuresement il ne veut toujours pas s'ouvrir :(
0
Réponse 38 / 48
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
18 nov. 2008 à 00:00
Fait ceci pour voir


Télécharges GenProc (de Jean-Chretien1 et Narco4) sur ton bureau (et pas ailleur !) :
http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip

!!Déconnectes toi et fermes tes application en cours !!

Dézippes (=extraire tout) le contenu de ce que tu viens de télécharger sur ton bureau .

Ouvres le dossier Genproc :
double-cliques sur GenProc.bat et laisses faire ...

Une fois terminé, postes le contenu du rapport qui s'ouvre ...

Aide en images ici : http://www.alt-shift-return.org/Info/GenProc-HowTo.html

IMPORTANT : postes le rapport et ne fait rien d'autre pour l'instant ( souvant il faut ajouter des consignes à la manipe indiquée pour que cela fonctionne parfaitement ) .



0
Réponse 39 / 48
yishan Messages postés 158 Date d'inscription vendredi 8 août 2008 Statut Membre Dernière intervention 22 mars 2010 20
18 nov. 2008 à 00:15
voila le log :


Rapport GenProc 2.222 [1] -18/11/2008- Windows Inconnu


GenProc n'a détecté aucune infection caractéristique et suggère de suivre la procédure suivante :


Poste un rapport Nod32 https://www.eset.com/
- coche toutes les cases à chaque fois, et lorsque c'est terminé, colle le rapport :
- C:\Program Files\EsetOnlineScanner\log.txt
0
Réponse 40 / 48
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
18 nov. 2008 à 00:19
Bon ....


fais ceci dans l'ordre :


1-Télécharges ToolsCleaner (de A.Rothstein) sur ton Bureau.
http://pc-system.fr/

Déconnectes toi et fermes bien toutes tes applications en cours .

Lances le .
*Cliques sur Recherche et laisses le scan se terminer (cela peut être long).
*Cliques sur Suppression pour finaliser.
*Cliques sur "quitter" pour générer un rapport ( et pas sur la croix rouge !) :
--> Postes ce rapport : il se trouve à la racine de ton disque dur -> C:\TCleaner.txt .

Note : Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection .
Supprimes tout les outils , dossiers ou rapports consernant la désinfection que Toolscleaner2 n'a pas supprimé .

( gardes CCleaner et Malwarebytes : très utiles ! )

======================================

2- Refais un coup de CCleaner ( registre compris ) .

======================================

3- Retélécharges et réinstalles hijackthis ( car supprimé par Toolscleaner2 ) ,

Télécharges et installes le logiciel HijackThis :

ici ftp://ftp.commentcamarche.com/download/HJTInstall.exe
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html

-> Cliques sur le setup pour lancer l'installe : laisses toi guider et ne modifies pas les paramètres d'installation .
A la fin de l'installe , le prg ce lance automatiquement : fermes le en cliquant sur la croix rouge .
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

( ne fais pas de scan pour le moment )

======================================

4- Purge de la restauration système
*Désactives ta restauration :
Cliques droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK
--->Redémarres ton PC
*Réactives ta restauration :
Cliques droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK
--->Redémarres ton PC
( Note : tu peux aussi y accéder via panneau de configuration->" système "->" restauration système " ).


======================================

5- Fais ce scan en ligne pour vérifier :

Fais un scan en ligne avec Kaspersky : https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
- Sous Démonstration en ligne, on t'explique la marche à suivre, et pour lancer le scan il faut sélectionner < Exécuter l'analyse en ligne >.
Le scan ne marche que sous Internet Explorer(et pas sous firefox ou autre...).
- On va te demander de télécharger un contôle active x, accepte .
- Dans le menu Choisissez la cible de l'analyse, sélectionne Poste de travail. Le scan va commencer.
- Sauvegardes le rapport qui sera généré, puis copies/colles le dans ta prochaine réponse pour analyse et attends la suite ...

--> tuto :
https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId291566

Note :
*Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte-toi sur le site de Kaspersky pour retenter le scan en ligne.

*S'il y a un problème, assure toi que les contrôles active x sont bien configurés dans les options internet comme décrit sur ce lien : http://www.inoculer.com/activex.php3
Rappel : le scan est à faire sous Internet Explorer !


-> tiens moi au courant de l'évolution du scan si celui-ci s'avère positif ( si il détecte des Malwares , donne moi les noms de temps en temps ...)


0