Rapport SmitfraudFix

Fermé
Famous78000 - 24 nov. 2008 à 00:25
jorginho67 Messages postés 14716 Date d'inscription mardi 11 septembre 2007 Statut Contributeur sécurité Dernière intervention 11 février 2011 - 24 nov. 2008 à 18:57
Bonjour,

Je poste ici mon rapport de SmitfraudFix après avoir consulté cette page: http://www.commentcamarche.net/faq/sujet 2964 virus your computer is infected

Merci à vous,

SmitFraudFix v2.376

Rapport fait à 0:16:13,45, 24/11/2008
Executé à partir de D:\Documents and Settings\EdGaR.ED-FFAB0BD41AB8\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

D:\WINDOWS\EDGARR\System32\smss.exe
D:\WINDOWS\EDGARR\system32\winlogon.exe
D:\WINDOWS\EDGARR\system32\services.exe
D:\WINDOWS\EDGARR\system32\lsass.exe
D:\WINDOWS\EDGARR\system32\svchost.exe
D:\WINDOWS\EDGARR\System32\svchost.exe
D:\WINDOWS\EDGARR\system32\ZoneLabs\vsmon.exe
D:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
D:\WINDOWS\EDGARR\Explorer.EXE
D:\WINDOWS\EDGARR\system32\spoolsv.exe
D:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
D:\Program Files\Messenger\msmsgs.exe
D:\WINDOWS\EDGARR\system32\ctfmon.exe
D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
D:\Documents and Settings\EdGaR.ED-FFAB0BD41AB8\Local Settings\Application Data\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe
D:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
D:\Documents and Settings\EdGaR.ED-FFAB0BD41AB8\Mes documents\Mes fichiers reçus\Nero 8\Nero BackItUp\NBService.exe
D:\WINDOWS\EDGARR\system32\nvsvc32.exe
D:\WINDOWS\EDGARR\system32\slserv.exe
D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\WINDOWS\EDGARR\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» D:\


»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\EDGARR

D:\WINDOWS\EDGARR\karna.dat PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\EDGARR\system


»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\EDGARR\Web


»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\EDGARR\system32

D:\WINDOWS\EDGARR\system32\brastk.exe PRESENT !
D:\WINDOWS\EDGARR\system32\karna.dat PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\EDGARR\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» D:\Documents and Settings\EdGaR.ED-FFAB0BD41AB8


»»»»»»»»»»»»»»»»»»»»»»»» D:\DOCUME~1\EDGAR~1.ED-\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» D:\Documents and Settings\EdGaR.ED-FFAB0BD41AB8\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» D:\DOCUME~1\EDGAR~1.ED-\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» D:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="karna.dat"


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="D:\\WINDOWS\\EDGARR\\system32\\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK

D:\WINDOWS\EDGARR\system32\drivers\beep.sys infecté !


»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Carte Fast Ethernet compatible VIA - Miniport d'ordonnancement de paquets
DNS Server Search Order: 89.2.0.1
DNS Server Search Order: 89.2.0.2

HKLM\SYSTEM\CCS\Services\Tcpip\..\{3FA38336-FE03-4D3C-9988-36B6A7F166CF}: DhcpNameServer=89.2.0.1 89.2.0.2
HKLM\SYSTEM\CS1\Services\Tcpip\..\{3FA38336-FE03-4D3C-9988-36B6A7F166CF}: DhcpNameServer=89.2.0.1 89.2.0.2
HKLM\SYSTEM\CS3\Services\Tcpip\..\{3FA38336-FE03-4D3C-9988-36B6A7F166CF}: DhcpNameServer=89.2.0.1 89.2.0.2
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=89.2.0.1 89.2.0.2
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=89.2.0.1 89.2.0.2
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=89.2.0.1 89.2.0.2


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

12 réponses

Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 300
24 nov. 2008 à 00:37
Salut,

---> Télécharge SDFix (créé par AndyManchesta) sur ton Bureau :
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
- Double-clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.
- Redémarre ton ordinateur en mode sans échec.

---> Pour redémarrer en mode sans échec :
- Redémarre ton PC.
- Au démarrage, tapote sur F8 (F5 sur certains PC) juste après l'affichage du BIOS et juste avant le chargement de Windows.
- Dans le menu d'options avancées, choisis Mode sans échec.
- Choisis ton compte.

---> Déroule la liste des instructions ci-dessous :
- Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double-clique sur RunThis.bat pour lancer le script.
- Appuie sur Y pour commencer le processus de nettoyage.
- Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
- Appuie sur une touche pour redémarrer le PC.
- Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
- Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
- Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
- Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
- Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse.
0
Famous78000
24 nov. 2008 à 01:07
J'ai bien telecharger SDFix sur mon bureau, mais quand je doublic dessus il ne se passe rien du tout...
Il n'y aurait-il pas un autre moyen?
0
T911 > Famous78000
24 nov. 2008 à 01:35
Renomme le en SD.EXE



T911
0
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 300
24 nov. 2008 à 01:27
En mode sans échec ?
0
Famous78000
24 nov. 2008 à 01:53
Non je parle en mode normal, j'arrive pas à l'installer.
En tout cas je l'ai renommé SD.exe et j'ai eu le texte suivant:



SDFix has been extracted to %systemdrive%\SDFix\
(Drive that contains the Windows directory - typically C:\SDFix)

Open the SDFix folder in Safe Mode and double click the RunThis.bat file to start the fixtool
If RunThis.bat is started in Normal Mode, options to download and run Anti-Virus command line scanners are displayed

Catchme.exe Stealth Malware Detector by GMER is also included in the SDFix folder

Additional SDFix Instructions & screen shots can be found here - http://www.bleepingcomputer.com/forums/topic131299.html





SDFix a été extrait dans %systemdrive%\SDFix\
(Le disque qui contient le répertoire Windows - typiquement C:\SDFix)

Ouvrez le dossier SDFix en mode sans échec et double cliquez sur le fichier RunThis.bat pour démarrer l'outil.
Si RunThis.bat est lancé en mode normal, les options pour télécharger et lancer les scanners Antivirus en ligne de commande seront affichées

Catchme.exe Stealth Malware Detector de GMER est également inclus dans le dossier SDFix

Instructions supplémentaires pour SDFix & captures d'écran peuvent être trouvées ici - http://www.bleepingcomputer.com/forums/topic131299.html






SDFix wurde nach %systemdrive%\SDFix\ entpackt
(Das ist das laufwerk welches den Windows Ordner enthält - normalerweise c:\SDFix)

Öffe den SDFix Ordner im Abgesicherten Modus und doppelklicke zum starten die RunThis.bat Datei
Sollte die RunThis.bat im normalen Modus gestartet werden, wird einem die Möglichkeiten geboten Antivirenscanner für die Kommandozeile
(Dosbox) downzuloaden.

Das Programm Catchme Malware Detector von Gmer ist auch im SDFix Ordner enthalten.

Zusätzliche SDFix Anleitungen und Screen Shots können hier nach geschaut werden: [url="http://www.bleepingcomputer.com/forums/topic131299.html"]http://www.bleepingcomputer.com/forums/topic131299.html/url
0
T911 Messages postés 3 Date d'inscription lundi 24 novembre 2008 Statut Membre Dernière intervention 24 novembre 2008 > Famous78000
24 nov. 2008 à 02:00
Va dans le repertoire SDFÌX et execute le fichier runthis.bat

T911
0
blopp Messages postés 56 Date d'inscription dimanche 24 février 2008 Statut Membre Dernière intervention 14 avril 2010 4
24 nov. 2008 à 01:58
Salut !
Et l'option 2 Smitfraudfix ???

Redémarre en mode sans échec

Pour cela, tapotes la touche F8 (Si F8 ne marche pas utilise la touche F5) dès le début de l’allumage du pc sans t’arrêter.
Une fenêtre va s’ouvrir, tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape [Entrée].
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !

comment demarrer en mode sans echec en images


Double clique sur smitfraudfix.cmd
Cette fois choisit l’option 2 !!
répond Oui (o) à tout

Une fois le nettoyage terminé, SmitFraudfix ouvre le rapport de nettoyage sur le bloc-note.

Redémarre l'ordinateur en mode normal (comme d'habitude),
Sur le bureau doit se trouver le rapport enregistré (sinon il est sur le Poste de Travail / Disque C / rapport.txt)
0
Famous78000
24 nov. 2008 à 02:03
J'ai donc essayer avec Smidfraudfix.

Le rapport.txt donne ça:

Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

D:\WINDOWS\EDGARR\system32\_scui.cpl supprimé

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{3FA38336-FE03-4D3C-9988-36B6A7F166CF}: DhcpNameServer=89.2.0.1 89.2.0.2
HKLM\SYSTEM\CS1\Services\Tcpip\..\{3FA38336-FE03-4D3C-9988-36B6A7F166CF}: DhcpNameServer=89.2.0.1 89.2.0.2
HKLM\SYSTEM\CS3\Services\Tcpip\..\{3FA38336-FE03-4D3C-9988-36B6A7F166CF}: DhcpNameServer=89.2.0.1 89.2.0.2
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=89.2.0.1 89.2.0.2
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=89.2.0.1 89.2.0.2
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=89.2.0.1 89.2.0.2


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
0
blopp Messages postés 56 Date d'inscription dimanche 24 février 2008 Statut Membre Dernière intervention 14 avril 2010 4
24 nov. 2008 à 02:05
Clique sur ce lien
http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe
pour télécharger le fichier d'installation d'HijackThis.

Enregistre HJTInstall.exe sur ton bureau.

Double-clique sur HJTInstall.exe pour lancer le programme

Par défaut, il s'installera là :
C:\Program Files\Trend Micro\HijackThis

Accepte la license en cliquant sur le bouton "I Accept"

Choisis l'option "Do a system scan and save a log file"

Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note

Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport

Colle le rapport que tu viens de copier sur ce forum
0
Famous78000
24 nov. 2008 à 02:12
Rapport d'hijackthis.log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:10:51, on 24/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
D:\WINDOWS\EDGARR\System32\smss.exe
D:\WINDOWS\EDGARR\system32\winlogon.exe
D:\WINDOWS\EDGARR\system32\services.exe
D:\WINDOWS\EDGARR\system32\lsass.exe
D:\WINDOWS\EDGARR\system32\svchost.exe
D:\WINDOWS\EDGARR\System32\svchost.exe
D:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
D:\WINDOWS\EDGARR\system32\spoolsv.exe
D:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
D:\WINDOWS\EDGARR\Explorer.EXE
D:\Documents and Settings\EdGaR.ED-FFAB0BD41AB8\Mes documents\Mes fichiers reçus\Nero 8\Nero BackItUp\NBService.exe
D:\WINDOWS\EDGARR\system32\nvsvc32.exe
D:\WINDOWS\EDGARR\system32\slserv.exe
D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
D:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
D:\WINDOWS\EDGARR\brastk.exe
D:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
D:\Program Files\Messenger\msmsgs.exe
D:\WINDOWS\EDGARR\system32\ctfmon.exe
D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
D:\Documents and Settings\EdGaR.ED-FFAB0BD41AB8\Local Settings\Application Data\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe
D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
D:\WINDOWS\EDGARR\system32\ZoneLabs\vsmon.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O3 - Toolbar: (no name) - {A057A204-BACC-4D26-C39E-35F1D2A32EC8} - (no file)
O3 - Toolbar: Barre d'outils &Crawler - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - D:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\EDGARR\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "D:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [brastk] brastk.exe
O4 - HKLM\..\Run: [XP Protection Center] "D:\Program Files\XPProtectionCenter\XPProtectionCenter.exe" /hide
O4 - HKCU\..\Run: [MsnMsgr] "D:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\EDGARR\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [AdobeUpdater] D:\Program Files\fichiers communs\Adobe\Updater5\AdobeUpdater.exe
O4 - HKCU\..\Run: [Octoshape Streaming Services] "D:\Documents and Settings\EdGaR.ED-FFAB0BD41AB8\Local Settings\Application Data\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe" -inv:bootrun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\EDGARR\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\EDGARR\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\EDGARR\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\EDGARR\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Liens de téléchargement avec Mega Manager... - D:\Program Files\Megaupload\Mega Manager\mm_file.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\EDGARR\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\EDGARR\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {78ABDC59-D8E7-44D3-9A76-9A0918C52B4A} (DLoader Class) - http://dl.uc.sina.com/cab/downloader.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - https://www.touslesdrivers.com/index.php?v_page=29
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - D:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O20 - AppInit_DLLs: karna.dat
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - D:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - D:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - D:\Documents and Settings\EdGaR.ED-FFAB0BD41AB8\Mes documents\Mes fichiers reçus\Nero 8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - D:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\EDGARR\system32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - D:\WINDOWS\EDGARR\SYSTEM32\slserv.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINDOWS\EDGARR\system32\ZoneLabs\vsmon.exe
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
blopp Messages postés 56 Date d'inscription dimanche 24 février 2008 Statut Membre Dernière intervention 14 avril 2010 4
24 nov. 2008 à 02:18
Télécharge Toolbar S&D de la Team IDN sur ton bureau.
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2


* Double-clique dessus pour lancer l'installation.

* Accepte le contrat de licence.
* Puis double-clique sur le raccourci Toolbar S&D présent sur ton bureau.

* Sélectionne la langue souhaitée et valide par la touche entrée.
* Choisis l'option 1 ( Recherche ).

* Patiente jusqu'à la fin du scan.
* Poste le rapport généré. ( C:\TB.txt )
0
Famous78000
24 nov. 2008 à 02:24
Rapport:

-----------\\ ToolBar S&D 1.2.5 XP/Vista

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
X86-based PC ( Uniprocessor Free : AMD Sempron(tm) 3000+ )
BIOS : Phoenix - AwardBIOS v6.00PG
USER : EdGaR ( Administrator )
BOOT : Normal boot
Firewall : ZoneAlarm Firewall 7.0.362.000 (Not Activated)
C:\ (Local Disk) - NTFS - Total:48 Go (Free:7 Go)
D:\ (Local Disk) - NTFS - Total:100 Go (Free:3 Go)
E:\ (USB)
F:\ (USB)
G:\ (USB)
H:\ (USB)
I:\ (CD or DVD)
J:\ (CD or DVD)

"D:\ToolBar SD" ( MAJ : 20-11-2008|20:25 )
Option : [1] ( 24/11/2008| 2:21 )

-----------\\ Recherche de Fichiers / Dossiers ...

D:\Program Files\Crawler
D:\Program Files\Crawler\Download
D:\Program Files\Crawler\Toolbar
D:\Program Files\Crawler\Toolbar\adrkeys.dat
D:\Program Files\Crawler\Toolbar\COMMON_FF.dat
D:\Program Files\Crawler\Toolbar\confirm.dat
D:\Program Files\Crawler\Toolbar\ctbcomm.dll
D:\Program Files\Crawler\Toolbar\ctbr.dll
D:\Program Files\Crawler\Toolbar\CTConf.dat
D:\Program Files\Crawler\Toolbar\CTipsDef.dll
D:\Program Files\Crawler\Toolbar\CToolbar.exe
D:\Program Files\Crawler\Toolbar\CUpdate.exe
D:\Program Files\Crawler\Toolbar\firefox
D:\Program Files\Crawler\Toolbar\Languages
D:\Program Files\Crawler\Toolbar\STWSGLanguageAct
D:\Program Files\Crawler\Toolbar\STWSG_FF.dat
D:\Program Files\Crawler\Toolbar\TBR5LanguageAct
D:\Program Files\Crawler\Toolbar\Update
D:\Program Files\Crawler\Toolbar\WebSecurityGuard.dll
D:\Program Files\Crawler\Toolbar\WSGData
D:\Program Files\Crawler\Toolbar\firefox\chrome
D:\Program Files\Crawler\Toolbar\firefox\chrome.manifest
D:\Program Files\Crawler\Toolbar\firefox\components
D:\Program Files\Crawler\Toolbar\firefox\install.ini
D:\Program Files\Crawler\Toolbar\firefox\install.rdf
D:\Program Files\Crawler\Toolbar\firefox\stwsg_ff.ini
D:\Program Files\Crawler\Toolbar\firefox\chrome\common.jar
D:\Program Files\Crawler\Toolbar\firefox\chrome\stwsg.jar
D:\Program Files\Crawler\Toolbar\firefox\components\xcomm.dll
D:\Program Files\Crawler\Toolbar\firefox\components\xplugin.xpt
D:\Program Files\Crawler\Toolbar\firefox\components\xshared.dll
D:\Program Files\Crawler\Toolbar\firefox\components\xshared.xpt
D:\Program Files\Crawler\Toolbar\firefox\components\xsupport.dll
D:\Program Files\Crawler\Toolbar\firefox\components\xsupport.xpt
D:\Program Files\Crawler\Toolbar\firefox\components\xwsg.dll
D:\Program Files\Crawler\Toolbar\Languages\STWSG_CS.cab
D:\Program Files\Crawler\Toolbar\Languages\STWSG_DE.cab
D:\Program Files\Crawler\Toolbar\Languages\STWSG_EN.cab
D:\Program Files\Crawler\Toolbar\Languages\STWSG_ES.cab
D:\Program Files\Crawler\Toolbar\Languages\STWSG_FF.cab
D:\Program Files\Crawler\Toolbar\Languages\STWSG_FR.cab
D:\Program Files\Crawler\Toolbar\Languages\STWSG_IT.cab
D:\Program Files\Crawler\Toolbar\Languages\STWSG_NL.cab
D:\Program Files\Crawler\Toolbar\Languages\STWSG_PT-BR.cab
D:\Program Files\Crawler\Toolbar\Languages\STWSG_PT.cab
D:\Program Files\Crawler\Toolbar\Languages\TBR5_CS.cab
D:\Program Files\Crawler\Toolbar\Languages\TBR5_DE.cab
D:\Program Files\Crawler\Toolbar\Languages\TBR5_EN.cab
D:\Program Files\Crawler\Toolbar\Languages\TBR5_ES.cab
D:\Program Files\Crawler\Toolbar\Languages\TBR5_FR.cab
D:\Program Files\Crawler\Toolbar\Languages\TBR5_IT.cab
D:\Program Files\Crawler\Toolbar\Languages\TBR5_NL.cab
D:\Program Files\Crawler\Toolbar\Languages\TBR5_PL.cab
D:\Program Files\Crawler\Toolbar\Languages\TBR5_PT-BR.cab
D:\Program Files\Crawler\Toolbar\Languages\TBR5_PT.cab
D:\Program Files\Crawler\Toolbar\Languages\TBR5_RU.cab
D:\Program Files\Crawler\Toolbar\STWSGLanguageAct\info.ini
D:\Program Files\Crawler\Toolbar\STWSGLanguageAct\language.ini
D:\Program Files\Crawler\Toolbar\TBR5LanguageAct\info.ini
D:\Program Files\Crawler\Toolbar\TBR5LanguageAct\language.ini
D:\Program Files\Crawler\Toolbar\Update\domains.cab
D:\Program Files\Crawler\Toolbar\WSGData\domains
D:\Program Files\Crawler\Toolbar\WSGData\g_S-1-5-21-436374069-527237240-725345543-1003.dat
D:\Program Files\Crawler\Toolbar\WSGData\p_S-1-5-21-436374069-527237240-725345543-1003.dat
D:\Program Files\Crawler\Toolbar\WSGData\wfilter.dat
D:\Program Files\Crawler\Toolbar\WSGData\w_S-1-5-21-436374069-527237240-725345543-1003.dat
D:\Program Files\Crawler\Toolbar\WSGData\domains\domains_000.dat
D:\Program Files\Crawler\Toolbar\WSGData\domains\domains_000_diff.dat
D:\Program Files\Crawler\Toolbar\WSGData\domains\domains_001.dat
D:\Program Files\Crawler\Toolbar\WSGData\domains\domains_001_diff.dat
D:\Program Files\Crawler\Toolbar\WSGData\domains\domains_002.dat
D:\Program Files\Crawler\Toolbar\WSGData\domains\domains_002_diff.dat
D:\Program Files\Crawler\Toolbar\WSGData\domains\domains_003.dat
D:\Program Files\Crawler\Toolbar\WSGData\domains\domains_003_diff.dat
D:\Program Files\Crawler\Toolbar\WSGData\domains\domains_004.dat
D:\Program Files\Crawler\Toolbar\WSGData\domains\domains_004_diff.dat
D:\Program Files\Crawler\Toolbar\WSGData\domains\domains_005.dat
D:\Program Files\Crawler\Toolbar\WSGData\domains\domains_005_diff.dat
D:\Program Files\Crawler\Toolbar\WSGData\domains\domains_006.dat
D:\Program Files\Crawler\Toolbar\WSGData\domains\domains_006_diff.dat
D:\Program Files\Crawler\Toolbar\WSGData\domains\domains_007.dat
D:\Program Files\Crawler\Toolbar\WSGData\domains\domains_007_diff.dat
D:\Program Files\Crawler\Toolbar\WSGData\domains\domains_008.dat
D:\Program Files\Crawler\Toolbar\WSGData\domains\domains_008_diff.dat
D:\Program Files\Crawler\Toolbar\WSGData\domains\domains_009.dat
D:\Program Files\Crawler\Toolbar\WSGData\domains\domains_009_diff.dat
D:\Program Files\Crawler\Toolbar\WSGData\domains\domains_010.dat
D:\Program Files\Crawler\Toolbar\WSGData\domains\domains_010_diff.dat
D:\Program Files\Crawler\Toolbar\WSGData\domains\domains_011.dat
D:\Program Files\Crawler\Toolbar\WSGData\domains\domains_011_diff.dat
D:\Program Files\Crawler\Toolbar\WSGData\domains\domains_012.dat
D:\Program Files\Crawler\Toolbar\WSGData\domains\domains_012_diff.dat
D:\Program Files\Crawler\Toolbar\WSGData\domains\domains_013.dat
D:\Program Files\Crawler\Toolbar\WSGData\domains\domains_013_diff.dat
D:\Program Files\Crawler\Toolbar\WSGData\domains\domains_014.dat
D:\Program Files\Crawler\Toolbar\WSGData\domains\domains_014_diff.dat
D:\Program Files\Crawler\Toolbar\WSGData\domains\domains_015.dat
D:\Program Files\Crawler\Toolbar\WSGData\domains\domains_015_diff.dat
D:\Program Files\Crawler\Toolbar\WSGData\domains\domains_016.dat
D:\Program Files\Crawler\Toolbar\WSGData\domains\domains_016_diff.dat
D:\Program Files\Crawler\Toolbar\WSGData\domains\domains_017.dat
D:\Program Files\Crawler\Toolbar\WSGData\domains\domains_017_diff.dat
D:\Program Files\Crawler\Toolbar\WSGData\domains\domains_018.dat
D:\Program Files\Crawler\Toolbar\WSGData\domains\domains_018_diff.dat
D:\Program Files\Crawler\Toolbar\WSGData\domains\domains_019.dat
D:\Program Files\Crawler\Toolbar\WSGData\domains\domains_019_diff.dat
D:\Program Files\Crawler\Toolbar\WSGData\domains\domains_020.dat
D:\Program Files\Crawler\Toolbar\WSGData\domains\domains_020_diff.dat
D:\Program Files\Crawler\Toolbar\WSGData\domains\domains_021.dat
D:\Program Files\Crawler\Toolbar\WSGData\domains\domains_021_diff.dat
D:\Program Files\Crawler\Toolbar\WSGData\domains\domains_022.dat
D:\Program Files\Crawler\Toolbar\WSGData\domains\domains_022_diff.dat
D:\Program Files\Crawler\Toolbar\WSGData\domains\domains_023.dat
D:\Program Files\Crawler\Toolbar\WSGData\domains\domains_023_diff.dat
D:\Program Files\Crawler\Toolbar\WSGData\domains\domains_024.dat
D:\Program Files\Crawler\Toolbar\WSGData\domains\domains_024_diff.dat
D:\Program Files\Crawler\Toolbar\WSGData\domains\domains_025.dat
D:\Program Files\Crawler\Toolbar\WSGData\domains\domains_025_diff.dat
D:\Program Files\Crawler\Toolbar\WSGData\domains\domains_026.dat
D:\Program Files\Crawler\Toolbar\WSGData\domains\domains_026_diff.dat
D:\Program Files\Crawler\Toolbar\WSGData\domains\domains_027.dat
D:\Program Files\Crawler\Toolbar\WSGData\domains\domains_027_diff.dat
D:\Program Files\Crawler\Toolbar\WSGData\domains\domains_028.dat
D:\Program Files\Crawler\Toolbar\WSGData\domains\domains_028_diff.dat
D:\Program Files\Crawler\Toolbar\WSGData\domains\domains_029.dat
D:\Program Files\Crawler\Toolbar\WSGData\domains\domains_029_diff.dat
D:\Program Files\Crawler\Toolbar\WSGData\domains\index.dat
D:\DOCUME~1\ALLUSE~1.EDG\MENUDM~1\PROGRA~1\Barre d'outils Crawler
D:\DOCUME~1\EDGAR~1.ED-\Cookies\edgar@hotbar[2].txt
D:\DOCUME~1\EdGaR\APPLIC~1\WhenU
D:\DOCUME~1\EdGaR\APPLIC~1\WhenU\dtStore.dat
D:\WINDOWS\EDGARR\iun6002.exe

-----------\\ Extensions

(EdGaR.ED-FFAB0BD41AB8) - {635abd67-4fe9-1b23-4f01-e679fa7484c1} => ytoolbar
(EdGaR.ED-FFAB0BD41AB8) - {991A772A-BA13-4c1d-A9EF-F897F31DEC7D} => megaupload


-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Local Page"="D:\\WINDOWS\\EDGARR\\system32\\blank.htm"
"Start Page"="https://www.google.com/?gws_rd=ssl"
"Search Page"="https://www.google.com/?gws_rd=ssl"
"Search Bar"="http://www.google.com/toolbar/ie8/sidebar.html"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="https://www.msn.com/fr-fr/?ocid=iehp"
"Default_Search_URL"="http://www.google.com/toolbar/ie8/sidebar.html"
"Search Page"="https://www.google.com/?gws_rd=ssl"
"Start Page"="https://www.google.com/?gws_rd=ssl"


--------------------\\ Recherche d'autres infections

--------------------\\ ROOTKIT !!

Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TDSSSERV.SYS]
Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_TDSSSERV.SYS]
Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDSSSERV.SYS]

--------------------\\ Cracks & Keygens ..

D:\DOCUME~1\EDGAR~1.ED-\Mes documents\Ma musique\Ma musique(4)\US\Eminem\VA-Eminem_Presents_The_Re-Up-2006-RNS\08-eminem_and_50_cent-jimmy_crack_corn.mp3
D:\DOCUME~1\EDGAR~1.ED-\Mes documents\Ma musique\Ma musique(4)\US\Kanye West\Kanye_West-Late_Registration-2005-RNS\08-kanye_west-crack_music_(feat_the_game).mp3



1 - "D:\ToolBar SD\TB_1.txt" - 24/11/2008| 2:23 - Option : [1]

-----------\\ Fin du rapport a 2:23:44,82
0
blopp Messages postés 56 Date d'inscription dimanche 24 février 2008 Statut Membre Dernière intervention 14 avril 2010 4
24 nov. 2008 à 02:30
Relance Toolbar S&D


* Choisis cette fois-ci l'option 2. ( Suppression )

Ton bureau va disparaitre, c'est normal. Laisse l'outil travailler.

* Ne ferme pas la fenêtre lors de la suppression !

* Poste le rapport généré. ( C:\TB.txt )
0
Famous78000
24 nov. 2008 à 02:38
Rapport:


-----------\\ ToolBar S&D 1.2.5 XP/Vista

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
X86-based PC ( Uniprocessor Free : AMD Sempron(tm) 3000+ )
BIOS : Phoenix - AwardBIOS v6.00PG
USER : EdGaR ( Administrator )
BOOT : Normal boot
Firewall : ZoneAlarm Firewall 7.0.362.000 (Not Activated)
C:\ (Local Disk) - NTFS - Total:48 Go (Free:7 Go)
D:\ (Local Disk) - NTFS - Total:100 Go (Free:3 Go)
E:\ (USB)
F:\ (USB)
G:\ (USB)
H:\ (USB)
I:\ (CD or DVD)
J:\ (CD or DVD)

"D:\ToolBar SD" ( MAJ : 20-11-2008|20:25 )
Option : [2] ( 24/11/2008| 2:34 )

-----------\\ SUPPRESSION

Supprime! - D:\Program Files\Crawler\Download
Supprime! - D:\Program Files\Crawler\Toolbar
Supprime! - D:\DOCUME~1\ALLUSE~1.EDG\MENUDM~1\PROGRA~1\Barre d'outils Crawler
Supprime! - D:\DOCUME~1\EDGAR~1.ED-\Cookies\edgar@hotbar[2].txt
Supprime! - D:\DOCUME~1\EdGaR\APPLIC~1\WhenU\dtStore.dat
Supprime! - D:\WINDOWS\EDGARR\iun6002.exe
Supprime! - D:\Program Files\Crawler
Supprime! - D:\DOCUME~1\EdGaR\APPLIC~1\WhenU

-----------\\ Recherche de Fichiers / Dossiers ...


-----------\\ Extensions

(EdGaR.ED-FFAB0BD41AB8) - {635abd67-4fe9-1b23-4f01-e679fa7484c1} => ytoolbar
(EdGaR.ED-FFAB0BD41AB8) - {991A772A-BA13-4c1d-A9EF-F897F31DEC7D} => megaupload


-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Local Page"="D:\\WINDOWS\\EDGARR\\system32\\blank.htm"
"Start Page"="https://www.google.com/?gws_rd=ssl"
"Search Page"="https://www.google.com/?gws_rd=ssl"
"Search Bar"="http://www.google.com/toolbar/ie8/sidebar.html"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="https://www.msn.com/fr-fr/?ocid=iehp"
"Default_Search_URL"="http://www.google.com/toolbar/ie8/sidebar.html"
"Search Page"="https://www.google.com/?gws_rd=ssl"
"Start Page"="https://www.msn.com/fr-fr/"


--------------------\\ Recherche d'autres infections

--------------------\\ ROOTKIT !!

Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TDSSSERV.SYS]
Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_TDSSSERV.SYS]
Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDSSSERV.SYS]

--------------------\\ Cracks & Keygens ..

D:\DOCUME~1\EDGAR~1.ED-\Mes documents\Ma musique\Ma musique(4)\US\Eminem\VA-Eminem_Presents_The_Re-Up-2006-RNS\08-eminem_and_50_cent-jimmy_crack_corn.mp3
D:\DOCUME~1\EDGAR~1.ED-\Mes documents\Ma musique\Ma musique(4)\US\Kanye West\Kanye_West-Late_Registration-2005-RNS\08-kanye_west-crack_music_(feat_the_game).mp3



1 - "D:\ToolBar SD\TB_1.txt" - 24/11/2008| 2:23 - Option : [1]
2 - "D:\ToolBar SD\TB_2.txt" - 24/11/2008| 2:37 - Option : [2]

-----------\\ Fin du rapport a 2:37:47,17
0
geoffrey5 Messages postés 13732 Date d'inscription dimanche 20 mai 2007 Statut Contributeur sécurité Dernière intervention 21 mai 2010 10
24 nov. 2008 à 03:35
Oui... En tout cas moi je te connais ;-)
0
Famous78000
24 nov. 2008 à 03:42
Parfait, parfait tout à l'air d'être revenu normalement :)

Merçi beaucoup Jorginho67 et Bloppp

Je te poste quand même le rapport:

[b]SDFix: Version 1.240 [/b]
Run by EdGaR on 24/11/2008 at 03:23

Microsoft Windows XP [version 5.1.2600]
Running From: D:\SDFix

[b]Checking Services [/b]:

Rootkit Found :
D:\WINDOWS\EDGARR\system32\drivers\TDSSiyvv.sys - Rootkit.Win32.Agent.cku

[b]Name [/b]:
TDSSserv.sys

[b]Path [/b]:
\systemroot\system32\drivers\TDSSiyvv.sys

TDSSserv.sys - Deleted



Restoring Default Security Values
Restoring Default Hosts File
Resetting AppInit_DLLs value


Rebooting


[b]Infected beep.sys Found![/b]

beep.sys File Locations:

"D:\WINDOWS\EDGARR\system32\dllcache\beep.sys" 23040 22/11/2008 03:19
"D:\WINDOWS\EDGARR\system32\drivers\beep.sys" 4224 28/08/2001 13:00

Infected File Listed Below:

D:\WINDOWS\EDGARR\system32\dllcache\beep.sys

File copied to Backups Folder
Attempting to replace beep.sys with original version


Original beep.sys Restored

"D:\WINDOWS\EDGARR\system32\dllcache\beep.sys" 4224 07/08/2008 15:27
"D:\WINDOWS\EDGARR\system32\drivers\beep.sys" 4224 07/08/2008 15:27



[b]Checking Files [/b]:

Trojan Files Found:

D:\DOCUME~1\EDGAR~1.ED-\COOKIES\BACOJ.BAN - Deleted
D:\DOCUME~1\EDGAR~1.ED-\LOCALS~1\Temp\wrdwn2 - Deleted
D:\DOCUME~1\EDGAR~1.ED-\LOCALS~1\Temp\wrdwn3 - Deleted
D:\DOCUME~1\EDGAR~1.ED-\LOCALS~1\Temp\wrdwn4 - Deleted
D:\DOCUME~1\EDGAR~1.ED-\LOCALS~1\Temp\wrdwn5 - Deleted
D:\DOCUME~1\EDGAR~1.ED-\LOCALS~1\Temp\wrdwn6 - Deleted
D:\DOCUME~1\EDGAR~1.ED-\LOCALS~1\Temp\wrdwn7 - Deleted
D:\DOCUME~1\EDGAR~1.ED-\LOCALS~1\Temp\wrdwn8 - Deleted
D:\DOCUME~1\EDGAR~1.ED-\LOCALS~1\Temp\wrdwn9 - Deleted
D:\WINDOWS\EDGARR\daxufozu._sy - Deleted
D:\WINDOWS\EDGARR\yqep._sy - Deleted
D:\WINDOWS\EDGARR\system32\piboga._sy - Deleted
D:\WINDOWS\EDGARR\system32\wini10806.exe - Deleted
D:\Program Files\wunauclt.zip - Deleted
D:\Program Files\wunauclt.tbe - Deleted
D:\WINDOWS\EDGARR\brastk.exe - Deleted
D:\WINDOWS\EDGARR\system32\av.dat - Deleted
D:\WINDOWS\EDGARR\system32\delself.bat - Deleted
D:\WINDOWS\EDGARR\system32\karna.dat - Deleted
D:\WINDOWS\EDGARR\system32\drivers\TDSSiyvv.sys - Deleted
D:\WINDOWS\EDGARR\SYSTEM32\DRIVERS\TDSSIYVV.sys - Deleted
D:\WINDOWS\EDGARR\system32\TDSSiykj.dll - Deleted
D:\WINDOWS\EDGARR\system32\TDSSurte.dll - Deleted
D:\WINDOWS\EDGARR\system32\TDSSligr.dll - Deleted
D:\WINDOWS\EDGARR\system32\TDSSicen.dll - Deleted
D:\WINDOWS\EDGARR\system32\TDSSqxum.dll - Deleted
D:\WINDOWS\EDGARR\SYSTEM32\TDSSURTE.dll - Deleted
D:\WINDOWS\EDGARR\SYSTEM32\TDSSLIGR.dll - Deleted
D:\WINDOWS\EDGARR\system32\TDSSljvt.dat - Deleted
D:\WINDOWS\EDGARR\SYSTEM32\TDSSLJVT.dat - Deleted
D:\WINDOWS\EDGARR\system32\TDSSkckv.log - Deleted
D:\WINDOWS\EDGARR\SYSTEM32\TDSSKCKV.log - Deleted

x.dat and z.dat data copied to \SDFix\Data.txt




Removing Temp Files

[b]ADS Check [/b]:



[b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-24 03:34:02
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000a9410f03c]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="D:\Program Files\Alcohol Soft\Alcohol 120\"
"h0"=dword:00000001
"ujdew"=hex:a2,b1,2b,16,7c,ef,54,7a,df,9f,61,e5,33,6b,f7,9e,df,08,52,3f,0d,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="D:\Program Files\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:e3,30,6b,de,02,e8,95,fd,c1,15,da,38,89,8b,e6,85,4d,a1,d9,d8,1a,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,fc,12,20,d8,4c,4d,90,04,14,fa,a5,71,e0,53,82,94,12,..
"khjeh"=hex:6a,b8,9d,11,e7,00,8a,46,be,dd,f8,a8,c4,7b,26,47,cd,7d,36,45,cf,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:12,68,1e,cd,8f,85,a5,24,dc,09,15,b1,6c,2b,71,ea,dc,10,3a,2f,8d,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\000a9410f03c]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="D:\Program Files\Alcohol Soft\Alcohol 120\"
"h0"=dword:00000001
"ujdew"=hex:a2,b1,2b,16,7c,ef,54,7a,df,9f,61,e5,33,6b,f7,9e,df,08,52,3f,0d,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="D:\Program Files\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:e3,30,6b,de,02,e8,95,fd,c1,15,da,38,89,8b,e6,85,4d,a1,d9,d8,1a,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,fc,12,20,d8,4c,4d,90,04,14,fa,a5,71,e0,53,82,94,12,..
"khjeh"=hex:6a,b8,9d,11,e7,00,8a,46,be,dd,f8,a8,c4,7b,26,47,cd,7d,36,45,cf,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:12,68,1e,cd,8f,85,a5,24,dc,09,15,b1,6c,2b,71,ea,dc,10,3a,2f,8d,..

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
"TracesProcessed"=dword:000001cd

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"
"D:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="D:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"D:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="D:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"D:\\Program Files\\SopCast\\adv\\SopAdver.exe"="D:\\Program Files\\SopCast\\adv\\SopAdver.exe:*:Enabled:SopCast Adver"
"D:\\Program Files\\SopCast\\SopCast.exe"="D:\\Program Files\\SopCast\\SopCast.exe:*:Enabled:SopCast Main Application"
"D:\\Program Files\\LimeWire\\LimeWire.exe"="D:\\Program Files\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire"
"D:\\Program Files\\Internet Explorer\\iexplore.exe"="D:\\Program Files\\Internet Explorer\\iexplore.exe:*:Enabled:Internet Explorer"
"D:\\Program Files\\Fichiers communs\\Nero\\Nero Web\\SetupX.exe"="D:\\Program Files\\Fichiers communs\\Nero\\Nero Web\\SetupX.exe:*:Enabled:Nero ControlCenter"
"D:\\Program Files\\TVAnts\\Tvants.exe"="D:\\Program Files\\TVAnts\\Tvants.exe:*:Enabled:TVAnts"
"D:\\Program Files\\eMule\\emule.exe"="D:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"
"C:\\Valve\\Steam\\steamapps\\ph69ers\\counter-strike\\hl.exe"="C:\\Valve\\Steam\\steamapps\\ph69ers\\counter-strike\\hl.exe:*:Enabled:Half-Life Launcher"
"C:\\Program Files\\Sports Interactive\\Football Manager 2008\\no-cd.exe"="C:\\Program Files\\Sports Interactive\\Football Manager 2008\\no-cd.exe:*:Enabled:Football Manager 2008"
"D:\\Program Files\\KONAMI\\Pro Evolution Soccer 6\\PES6.exe"="D:\\Program Files\\KONAMI\\Pro Evolution Soccer 6\\PES6.exe:*:Enabled:pes6.exe"
"D:\\Program Files\\Hamachi\\hamachi.exe"="D:\\Program Files\\Hamachi\\hamachi.exe:*:Enabled:Hamachi Client"
"D:\\Program Files\\TVUPlayer\\TVUPlayer.exe"="D:\\Program Files\\TVUPlayer\\TVUPlayer.exe:*:Enabled:TVUPlayer Component"
"D:\\Program Files\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"="D:\\Program Files\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe:*:Enabled:BlueSoleil"
"D:\\Program Files\\uusee\\UUSeePlayer.exe"="D:\\Program Files\\uusee\\UUSeePlayer.exe:*:Enabled:UUSEE"
"D:\\Documents and Settings\\EdGaR.ED-FFAB0BD41AB8\\Mes documents\\Mes fichiers re‡us\\Nero 8\\Nero Home\\NeroHome.exe"="D:\\Documents and Settings\\EdGaR.ED-FFAB0BD41AB8\\Mes documents\\Mes fichiers re‡us\\Nero 8\\Nero Home\\NeroHome.exe:*:Enabled:Nero Home"
"D:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"="D:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"
"D:\\Program Files\\ma-config.com\\maconfservice.exe"="D:\\Program Files\\ma-config.com\\maconfservice.exe:LocalSubNet:Enabled:maconfservice"
"D:\\Program Files\\Sports Interactive\\Football Manager 2009 Demo\\fm.exe"="D:\\Program Files\\Sports Interactive\\Football Manager 2009 Demo\\fm.exe:*:Enabled:Football Manager 2009 Demo"
"D:\\Program Files\\Sports Interactive\\Football Manager 2009\\fm.exe"="D:\\Program Files\\Sports Interactive\\Football Manager 2009\\fm.exe:*:Enabled:Football Manager 2009"
"D:\\WINDOWS\\EDGARR\\system32\\ZoneLabs\\avsys\\ScanningProcess.exe"="D:\\WINDOWS\\EDGARR\\system32\\ZoneLabs\\avsys\\ScanningProcess.exe:*:Enabled:Kaspersky AV Scanner"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"D:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="D:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"D:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="D:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[b]Remaining Files [/b]:


File Backups: - D:\SDFix\backups\backups.zip

[b]Files with Hidden Attributes [/b]:

Mon 15 Oct 2007 6,465 ..SH. --- "D:\WINDOWS\system32\hgjlm.bak1"
Thu 18 Oct 2007 251,390 ..SH. --- "D:\WINDOWS\system32\hgjlm.bak2"
Thu 18 Oct 2007 20,640 ..SH. --- "D:\WINDOWS\system32\ihtcqjuy.dllbox"
Tue 16 Oct 2007 17,006 ..SH. --- "D:\WINDOWS\system32\qcacufhr.dllbox"
Wed 17 Oct 2007 20,640 ..SH. --- "D:\WINDOWS\system32\zzpmszvd.dllbox"
Sun 14 Oct 2007 0 A.SH. --- "D:\WINDOWS\Temp\$b17a2e8.tmp"
Mon 17 Apr 2006 4,348 A.SH. --- "D:\Documents and Settings\All Users\DRM\DRMv1.bak"
Sat 3 May 2008 4,348 A.SH. --- "D:\Documents and Settings\All Users.EDGARR\DRM\DRMv1.bak"
Wed 21 Mar 2007 0 A.SH. --- "D:\Documents and Settings\All Users\DRM\Cache\Indiv02.tmp"
Fri 9 May 2008 0 A.SH. --- "D:\Documents and Settings\All Users.EDGARR\DRM\Cache\Indiv01.tmp"
Tue 16 Oct 2007 4,286 A..H. --- "D:\Documents and Settings\EdGaR\Local Settings\Temp\ico1.tmp"
Tue 16 Oct 2007 4,286 A..H. --- "D:\Documents and Settings\EdGaR\Local Settings\Temp\ico12.tmp"
Tue 16 Oct 2007 4,286 A..H. --- "D:\Documents and Settings\EdGaR\Local Settings\Temp\ico13.tmp"
Tue 16 Oct 2007 4,286 A..H. --- "D:\Documents and Settings\EdGaR\Local Settings\Temp\ico14.tmp"
Tue 16 Oct 2007 4,286 A..H. --- "D:\Documents and Settings\EdGaR\Local Settings\Temp\ico15.tmp"
Tue 16 Oct 2007 4,286 A..H. --- "D:\Documents and Settings\EdGaR\Local Settings\Temp\ico16.tmp"
Tue 16 Oct 2007 4,286 A..H. --- "D:\Documents and Settings\EdGaR\Local Settings\Temp\ico17.tmp"
Tue 16 Oct 2007 4,286 A..H. --- "D:\Documents and Settings\EdGaR\Local Settings\Temp\ico18.tmp"
Tue 16 Oct 2007 4,286 A..H. --- "D:\Documents and Settings\EdGaR\Local Settings\Temp\ico19.tmp"
Tue 16 Oct 2007 4,286 A..H. --- "D:\Documents and Settings\EdGaR\Local Settings\Temp\ico1A.tmp"
Tue 16 Oct 2007 4,286 A..H. --- "D:\Documents and Settings\EdGaR\Local Settings\Temp\ico1B.tmp"
Tue 16 Oct 2007 4,286 A..H. --- "D:\Documents and Settings\EdGaR\Local Settings\Temp\ico1C.tmp"
Tue 16 Oct 2007 4,286 A..H. --- "D:\Documents and Settings\EdGaR\Local Settings\Temp\ico1D.tmp"
Tue 16 Oct 2007 4,286 A..H. --- "D:\Documents and Settings\EdGaR\Local Settings\Temp\ico1E.tmp"
Tue 16 Oct 2007 4,286 A..H. --- "D:\Documents and Settings\EdGaR\Local Settings\Temp\ico1F.tmp"
Tue 16 Oct 2007 4,286 A..H. --- "D:\Documents and Settings\EdGaR\Local Settings\Temp\ico2.tmp"
Tue 16 Oct 2007 4,286 A..H. --- "D:\Documents and Settings\EdGaR\Local Settings\Temp\ico20.tmp"
Tue 16 Oct 2007 4,286 A..H. --- "D:\Documents and Settings\EdGaR\Local Settings\Temp\ico21.tmp"
Tue 16 Oct 2007 4,286 A..H. --- "D:\Documents and Settings\EdGaR\Local Settings\Temp\ico22.tmp"
Tue 16 Oct 2007 4,286 A..H. --- "D:\Documents and Settings\EdGaR\Local Settings\Temp\ico23.tmp"
Tue 16 Oct 2007 4,286 A..H. --- "D:\Documents and Settings\EdGaR\Local Settings\Temp\ico24.tmp"
Tue 16 Oct 2007 4,286 A..H. --- "D:\Documents and Settings\EdGaR\Local Settings\Temp\ico25.tmp"
Tue 16 Oct 2007 4,286 A..H. --- "D:\Documents and Settings\EdGaR\Local Settings\Temp\ico26.tmp"
Tue 16 Oct 2007 4,286 A..H. --- "D:\Documents and Settings\EdGaR\Local Settings\Temp\ico27.tmp"
Tue 16 Oct 2007 4,286 A..H. --- "D:\Documents and Settings\EdGaR\Local Settings\Temp\ico28.tmp"
Tue 16 Oct 2007 4,286 A..H. --- "D:\Documents and Settings\EdGaR\Local Settings\Temp\ico29.tmp"
Tue 16 Oct 2007 4,286 A..H. --- "D:\Documents and Settings\EdGaR\Local Settings\Temp\ico2A.tmp"
Tue 16 Oct 2007 4,286 A..H. --- "D:\Documents and Settings\EdGaR\Local Settings\Temp\ico2B.tmp"
Tue 16 Oct 2007 4,286 A..H. --- "D:\Documents and Settings\EdGaR\Local Settings\Temp\ico2C.tmp"
Tue 16 Oct 2007 4,286 A..H. --- "D:\Documents and Settings\EdGaR\Local Settings\Temp\ico2D.tmp"
Tue 16 Oct 2007 4,286 A..H. --- "D:\Documents and Settings\EdGaR\Local Settings\Temp\ico2E.tmp"
Tue 16 Oct 2007 4,286 A..H. --- "D:\Documents and Settings\EdGaR\Local Settings\Temp\ico2F.tmp"
Tue 16 Oct 2007 4,286 A..H. --- "D:\Documents and Settings\EdGaR\Local Settings\Temp\ico3.tmp"
Tue 16 Oct 2007 4,286 A..H. --- "D:\Documents and Settings\EdGaR\Local Settings\Temp\ico4.tmp"
Tue 16 Oct 2007 4,286 A..H. --- "D:\Documents and Settings\EdGaR\Local Settings\Temp\ico5.tmp"
Tue 16 Oct 2007 4,286 A..H. --- "D:\Documents and Settings\EdGaR\Local Settings\Temp\ico6.tmp"
Tue 16 Oct 2007 4,286 A..H. --- "D:\Documents and Settings\EdGaR\Local Settings\Temp\ico7.tmp"
Tue 16 Oct 2007 4,286 A..H. --- "D:\Documents and Settings\EdGaR\Local Settings\Temp\ico8.tmp"
Tue 16 Oct 2007 4,286 A..H. --- "D:\Documents and Settings\EdGaR\Local Settings\Temp\ico9.tmp"
Tue 16 Oct 2007 4,286 A..H. --- "D:\Documents and Settings\EdGaR\Local Settings\Temp\icoA.tmp"
Tue 16 Oct 2007 4,286 A..H. --- "D:\Documents and Settings\EdGaR\Local Settings\Temp\icoB.tmp"
Tue 16 Oct 2007 4,286 A..H. --- "D:\Documents and Settings\EdGaR\Local Settings\Temp\icoC.tmp"
Tue 16 Oct 2007 4,286 A..H. --- "D:\Documents and Settings\EdGaR\Local Settings\Temp\icoD.tmp"
Tue 16 Oct 2007 4,286 A..H. --- "D:\Documents and Settings\EdGaR\Local Settings\Temp\icoE.tmp"
Tue 16 Oct 2007 4,286 A..H. --- "D:\Documents and Settings\EdGaR\Local Settings\Temp\icoF.tmp"

[b]Finished![/b]
0
jorginho67 Messages postés 14716 Date d'inscription mardi 11 septembre 2007 Statut Contributeur sécurité Dernière intervention 11 février 2011 1 169
24 nov. 2008 à 08:52
Hello,

On vérifie quand même...

Sauvegarde ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

Clic droit sur le bureau => nouveau document => document texte et copi/colle ces instructions que tu porras consulter pour faire la manip' correctement !

* Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton Bureau.
S'il manque le fichier COMCTL32.OCX, tu pourras le télécharger ici

C'est un bon scan passif que tu peux garder avec lequel tu pourras effectuer un nettoyage hebdomadaire, sans oublier de faire une mise à jour manuelle avant d'exécuter l’analyse .

A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celle-ci.

* Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware soient cochées.

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

* Dans l'onglet analyse, vérifie que "Exécuter un examen RAPIDE" soit coché et clique sur le bouton Rechercher pour démarrer l'analyse.

MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

* Si des malwares ont été détectés, leur liste s'affiche.

Coche tous les éléments détectés par Malwarebytes' Anti-Malware puis clique sur Supprimer la sélection afin d'éradiquer les malwares détectés.
/!\ (a faire impérativement sous peine de recommencer le scan) /!\ , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.


MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

Ferme MBAM en cliquant sur Quitter.

Poste le rapport dans ta réponse

Tutoriel
0
Famous78000
24 nov. 2008 à 16:15
Rapport:

Malwarebytes' Anti-Malware 1.30
Version de la base de données: 1419
Windows 5.1.2600 Service Pack 2

24/11/2008 16:14:39
mbam-log-2008-11-24 (16-14-39).txt

Type de recherche: Examen rapide
Eléments examinés: 86381
Temps écoulé: 12 minute(s), 32 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 4
Fichier(s) infecté(s): 17

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{100eb1fd-d03e-47fd-81f3-ee91287f9465} (Adware.Shopping.Report) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\XPProtectionCenter (Rogue.XPProtectionCenter) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\XP Protection Center (Rogue.XPProtectionCenter) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
D:\Program Files\XPProtectionCenter (Rogue.XPProtectionCenter) -> Quarantined and deleted successfully.
D:\Documents and Settings\EdGaR\Local Settings\Temp\NI.UGA6P_0001_N115M0110 (Rogue.Multiple) -> Quarantined and deleted successfully.
D:\Documents and Settings\EdGaR\Application Data\WinTouch (Adware.WinPop) -> Quarantined and deleted successfully.
D:\Documents and Settings\All Users\Application Data\VideoEgg (Adware.VideoEgg) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
D:\Documents and Settings\EdGaR\Local Settings\Temp\MBDownloader_876923.exe (Adware.Mirar) -> Quarantined and deleted successfully.
D:\Documents and Settings\EdGaR\Local Settings\Temp\camg-77798.exe (Trojan.Agent) -> Quarantined and deleted successfully.
D:\Documents and Settings\EdGaR\Local Settings\Temp\is-3CJLC.tmp\gfl.exe (Rogue.Multiple) -> Quarantined and deleted successfully.
D:\Documents and Settings\EdGaR\Local Settings\Temp\is-3CJLC.tmp\XmlReplacer.exe (Generic.Malware) -> Quarantined and deleted successfully.
D:\Documents and Settings\EdGaR\Local Settings\Temp\is-6DOKH.tmp\gfl.exe (Rogue.Multiple) -> Quarantined and deleted successfully.
D:\Documents and Settings\EdGaR\Local Settings\Temp\is-6DOKH.tmp\XmlReplacer.exe (Generic.Malware) -> Quarantined and deleted successfully.
D:\Documents and Settings\EdGaR\Local Settings\Temp\is-ODEDT.tmp\gfl.exe (Rogue.Multiple) -> Quarantined and deleted successfully.
D:\Documents and Settings\EdGaR\Local Settings\Temp\is-ODEDT.tmp\XmlReplacer.exe (Generic.Malware) -> Quarantined and deleted successfully.
D:\Program Files\XPProtectionCenter\Uninstall.exe (Rogue.XPProtectionCenter) -> Quarantined and deleted successfully.
D:\Documents and Settings\EdGaR\Local Settings\Temp\NI.UGA6P_0001_N115M0110\settings.ini (Rogue.Multiple) -> Quarantined and deleted successfully.
D:\Documents and Settings\EdGaR\Local Settings\Temp\NI.UGA6P_0001_N115M0110\setup.exe (Rogue.Multiple) -> Quarantined and deleted successfully.
D:\Documents and Settings\EdGaR\Local Settings\Temp\NI.UGA6P_0001_N115M0110\setup.len (Rogue.Multiple) -> Quarantined and deleted successfully.
D:\Documents and Settings\EdGaR\Application Data\WinTouch\wintouch.cfg (Adware.WinPop) -> Quarantined and deleted successfully.
D:\Documents and Settings\EdGaR\Application Data\WinTouch\WinTouch.exe (Adware.WinPop) -> Quarantined and deleted successfully.
D:\Documents and Settings\EdGaR\Application Data\WinTouch\WTUninstaller.exe (Adware.WinPop) -> Quarantined and deleted successfully.
D:\Documents and Settings\All Users\Application Data\VideoEgg\user.dat (Adware.VideoEgg) -> Quarantined and deleted successfully.
D:\Documents and Settings\All Users\Menu Démarrer\Online Security Guide.lnk (Rogue.Link) -> Quarantined and deleted successfully.
0
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 300
24 nov. 2008 à 16:37
jorginho67 ---> Je te laisse continuer, bonne chasse ;)
0
jorginho67 Messages postés 14716 Date d'inscription mardi 11 septembre 2007 Statut Contributeur sécurité Dernière intervention 11 février 2011 1 169
24 nov. 2008 à 17:36
Merci Destrio ;-) MP.

Famous de Versailles ;-),

refais moi un rapport scan avec HiJackThis

Choisis l'option "Do a system scan and save a log file"

Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note

Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport

Colle le rapport que tu viens de copier sur ce forum

0
Famous78000
24 nov. 2008 à 18:03
Rapport:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:03:22, on 24/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
D:\WINDOWS\EDGARR\System32\smss.exe
D:\WINDOWS\EDGARR\system32\winlogon.exe
D:\WINDOWS\EDGARR\system32\services.exe
D:\WINDOWS\EDGARR\system32\lsass.exe
D:\WINDOWS\EDGARR\system32\svchost.exe
D:\WINDOWS\EDGARR\System32\svchost.exe
D:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
D:\WINDOWS\EDGARR\system32\spoolsv.exe
D:\WINDOWS\EDGARR\Explorer.EXE
D:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
D:\Program Files\Messenger\msmsgs.exe
D:\WINDOWS\EDGARR\system32\ctfmon.exe
D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
D:\Documents and Settings\EdGaR.ED-FFAB0BD41AB8\Local Settings\Application Data\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe
D:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
D:\Documents and Settings\EdGaR.ED-FFAB0BD41AB8\Mes documents\Mes fichiers reçus\Nero 8\Nero BackItUp\NBService.exe
D:\WINDOWS\EDGARR\system32\nvsvc32.exe
D:\WINDOWS\EDGARR\system32\slserv.exe
D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
D:\WINDOWS\EDGARR\system32\wscntfy.exe
D:\Program Files\Windows Live\Messenger\usnsvc.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O3 - Toolbar: (no name) - {A057A204-BACC-4D26-C39E-35F1D2A32EC8} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\EDGARR\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "D:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [MsnMsgr] "D:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\EDGARR\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Octoshape Streaming Services] "D:\Documents and Settings\EdGaR.ED-FFAB0BD41AB8\Local Settings\Application Data\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe" -inv:bootrun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\EDGARR\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\EDGARR\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\EDGARR\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\EDGARR\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Liens de téléchargement avec Mega Manager... - D:\Program Files\Megaupload\Mega Manager\mm_file.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\EDGARR\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\EDGARR\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {78ABDC59-D8E7-44D3-9A76-9A0918C52B4A} (DLoader Class) - http://dl.uc.sina.com/cab/downloader.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - https://www.touslesdrivers.com/index.php?v_page=29
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - D:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - D:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - D:\Documents and Settings\EdGaR.ED-FFAB0BD41AB8\Mes documents\Mes fichiers reçus\Nero 8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - D:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\EDGARR\system32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - D:\WINDOWS\EDGARR\SYSTEM32\slserv.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
0
jorginho67 Messages postés 14716 Date d'inscription mardi 11 septembre 2007 Statut Contributeur sécurité Dernière intervention 11 février 2011 1 169
24 nov. 2008 à 18:57
Une question...

D:\WINDOWS\EDGARR

C'est le nom de ta session ?

Sauvegarde ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

Clic droit sur le bureau => nouveau => document texte => double clique dessus et copi/colle ces instructions que tu pourras consulter pour faire la manip' correctement !

Ferme toutes les autres fenêtres, tous les autres programmes. Pas de connections Internet.

1) • Désactive le tea timer de Spybot S&D

Il faut seulement désactiver la fonction Résident de Spybot-S&D.
Lance Spybot-S&D, passe en Mode avancé via le Menu Mode (en haut) ? clique sur Oui ? choisis Outils dans la barre de navigation sur la gauche ? Résident et là, décocher la case résident "tea timer" et referme Spybot.

Le mieux serait que tu désinstalles Spybot S&D et que tu le réinstalles sans activer le Tea-Timer.

2) • Relance HijackThis, choisis "do a scan only"
coche la case devant les lignes ci-dessous et clic en bas sur "fix checked", puis clique sur OK.

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O3 - Toolbar: (no name) - {A057A204-BACC-4D26-C39E-35F1D2A32EC8} - (no file)
O4 - HKLM\..\Run: [TkBellExe] "D:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [MsnMsgr] "D:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\EDGARR\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\EDGARR\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\EDGARR\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\EDGARR\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\EDGARR\system32\CTFMON.EXE (User 'Default user')


Ferme HijackThis.

3) • La console Java n'est pas à jour: Faille de sécurité !!!
Voir ici pourquoi
Clique sur Download Latest Version

Choisis la première ligne de téléchargement puis installe java.
En fin d'installation, revient sur la page pour vérifier ton installation.
Quand l'installation a réussi, ouvre le panneau de configuration >
Ajout/suppression de programmes et supprimes les anciennes versions (de java) afin d’éliminer les failles de sécurité présentes dans ces anciennes versions.
Fais cela pour chacune d'elle, une a une, fais redémarrer ton PC quand cela te le sera demandé .
Tu gardes la Java\1.6.0.10 !


5) • Tu n'as aucun protection sur ton pc !!!

Télécharge et installe Avira Antivir qui est très bon et gratuit .
https://www.clubic.com/telecharger-fiche10821-avira-antivir-personal-free-antivirus.html

Ici, lien de téléchargement et tutoriel.
http://site-naheulbeuk.com/

ensuite, instale un pare feu

Tu sembles ne pas avoir de parefeu contrôlant les connexions sortantes, ce qui est un risque de sécurité.
Tu DOIS ABSOLUMENT installer un vrai FIREWALL ( pare feu autre que celui de Windows qui est une vrai passoire ) .
Tu as le choix entre ces possibilités :

========== /!\ Bien lire les Tutos pour un parametrage optimal /!\ ==========

* ComodoFirewallPro 2.4 En Français et simple aussi.

* Téléchargement et tutorial d'instalation
* ComodoFirewallPro 2.4
* Téléchargement de Comodo
* Tuto de config'
* ou encore ici

Attention la 3.0 est en anglais uniquement et est plus difficile a paramétrer
* Tuto de config'
--------------------------------------------------------------------------------------

* Zone Alarm En Français et le plus simple d'utilisation.

* Tuto et lien de téléchargement
---------------------------------------------------------------------------------------

* Kerio Efficace mais un poil plus compliqué.

* Tuto et lien de téléchargement
autre lien
---------------------------------------------------------------------------------------

5) • Fais redémarrer ton PC et poste un nouveau rapport HijackThis
0