TomsGuide.com : 700 000 inscrits répondent à toutes vos questions high-tech et informatique.
Pour obtenir de l'aide, inscrivez-vous gratuitement !
Pour obtenir de l'aide, inscrivez-vous gratuitement !
| Sujet auquel vous répondez | |
|---|---|
| Sujet : Infections par Trojan [Résolu] | |
| alainbelle | Bonjour,
J'ai attrapé des trojans, Antivir ne cesse de hurler à la mort. J'ai relevé les noms des bestioles : TR/Vundo.Gen RTR/Dldr.Age.1131784 TR/Crypt.xPACK.Gen J'ai lancé un Highjack, comment vous l'envoyer ? Merci d'avance pour le coup de main. Amitiés Alain[b][/b] |
| Aperçu |
|---|
| Vue Rapide de la discussion |
|---|
| Egwene | Re,
De rien ce fut un plaisir ! Rapporte ton infection sur malware complain si ce n'est pas fait, c'est important ;) Merci de consulter ce dossier (en pdf) pour en connaître davantage sur les risques du Net. http://www.malekal.com/fichiers/pr [...] iniban.gif Si tu trouves ce document intéressant, n'hésite pas à le transmettre à tes contacts. Bonne continuation :hello: |
| alainbelle | Bonjour,
J'ai indiqué que le problème était résolu. Je vais aller SUR Malware Complaints, bonne idée que de ne pas laisser les "salopards du web" impunis. Il me reste à te remercier pour ton efficacité, je ne manquerai pas de le faire savoir. Bon dimanche Amitiés Alain |
| Egwene | :hello:
C’est OK, tu n’es plus infecté(e) :p Ajoute maintenant [Résolu] au titre. Pour cela : * Clique, dans ton premier message, sur le bouton "Editer" http://img.infos-du-net.com/forum/ [...] 3/edit.gif * Rajoute la mention [Résolu] au titre * Clique ensuite sur "Valider votre message" Ce serait sympa de rapporter ton infection sur > Malware-Complaints < pour faire condamner ses auteurs - Règles du forum <- ici - Poster un message <- ici ( par Malekal ) Pour t'enregistrer clique sur le bouton register ( en haut ) Si tu as plus de 13 ans choisis " I Agree to these terms and am over or exactly 13 years of age " Si tu as moins de 13 ans choisis " I Agree to these terms and am under 13 years of age " Tu auras une liste par type d'infection Si ton infection n'est pas dans la liste crée un message dans Autres infections a+ et bon surf :hello: Quelques liens intéressants : http://mickael.barroux.free.fr/securite/ http://www.malekal.com/ http://www.infos-du-net.com/forum/ [...] protection |
| alainbelle | Bonjour,
J'ai l'impression que tu m'as fait un nettoyage high-quality, je n'ai eu aucune alerte depuis. Je te passerai un message de confirmation d'ici la fin de semaine, mais j'ai l'impression que tu as réussi. Chapeau bas. Bonne journée, Amitiés Alain |
| Egwene | :hello:
Oki, j'attends ta confirmation samedi :p Bonne fin de semaine :hello: |
| alainbelle | Bonjour,
Je suis en déplacements jusqu'à vendredi. Pas de déclenchement d'Antivir depuis lundi, je te confirmerai samedi. Si ça t'intéresse, j'avais écrit un article nommé "Virusseries" sur mon blog pour remercier une personne qui m'avait aidé l'an passé, de la même manière que toi. C'est sur ultrasensible.org, tu peux supprimer cette info après l'avoir lue pour respecter la charte. Bonne journée et merci encore Alain |
| Egwene | Re,
J'attends donc ta confirmation ;) |
| alainbelle | Bonjour,
J'avais envoyé ma réponse avec le rapport hier soir mais je constate que ça n'a pas passé. le voici donc. Sinon, le PC semble plus stable. A confirmer. Bonne jounée -->- Recherche: C:\Vundofix backups: trouvé ! C:\Qoobox: trouvé ! C:\Documents and Settings\Abelle\Bureau\HijackThis.lnk: trouvé ! C:\Documents and Settings\Abelle\Bureau\ComboFix.exe: trouvé ! C:\Documents and Settings\Abelle\Bureau\vundoFix.exe: trouvé ! C:\Documents and Settings\Abelle\Bureau\HJTInstall.exe: trouvé ! C:\Documents and Settings\Abelle\Bureau\Outils\ComboFix.exe: trouvé ! C:\Documents and Settings\Abelle\Bureau\Outils\SDFIX: trouvé ! C:\Documents and Settings\Abelle\Bureau\Outils\DiagHelp: trouvé ! C:\Documents and Settings\Abelle\Bureau\Outils\sdfix\SDFIX: trouvé ! C:\Documents and Settings\Abelle\Local Settings\Application Data\SMSI\Temp\HijackThis: trouvé ! C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé ! C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé ! C:\Program Files\Trend Micro\HijackThis: trouvé ! C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé ! --------------------------------- -->- Suppression: C:\Documents and Settings\Abelle\Bureau\HijackThis.lnk: supprimé ! C:\Documents and Settings\Abelle\Bureau\ComboFix.exe: supprimé ! C:\Documents and Settings\Abelle\Bureau\vundoFix.exe: supprimé ! C:\Documents and Settings\Abelle\Bureau\HJTInstall.exe: supprimé ! C:\Documents and Settings\Abelle\Bureau\Outils\ComboFix.exe: supprimé ! C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé ! C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé ! C:\Vundofix backups: supprimé ! C:\Qoobox: supprimé ! C:\Documents and Settings\Abelle\Bureau\Outils\SDFIX: supprimé ! C:\Documents and Settings\Abelle\Bureau\Outils\DiagHelp: supprimé ! C:\Documents and Settings\Abelle\Local Settings\Application Data\SMSI\Temp\HijackThis: supprimé ! C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé ! C:\Program Files\Trend Micro\HijackThis: supprimé ! |
| Egwene | Re,
Pour le virus détecté, rien d'alarmant. Fais les manipulations ci-dessous, et reviens me voir pour faire le bilan :) 1) Télécharge ToolsCleaner sur ton bureau. http://www.commentcamarche.net/tel [...] nions.php3 Ce programme va te faire désinstaller tous les outils que je t’ai faits utiliser.
3)
|
| alainbelle | Bonsoir,
J'ai encore eu 4 alertes de la part de Antivir aujourd'hui, toujours la même signalant un fichier : Virus or unwanted program 'TR/Vundo.EFU [TR/Vundo.EFU]' detected in file 'C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP196\A0027848.dll. Action performed: Move file to quarantine Je te remercie de tes efforts, demain je dois m'absenter 4 jours, j'aurai mon PC mais pas la connection en continu comme chez moi, donc il se peut que je réponde avec retard. Mais on peut continuer. Merci d'avance |
| Egwene | :hello:
Avant de continuer, j'aimerais savoir comment va le PC et si tu rencontres toujours des problèmes. ;) |
| alainbelle | Désolé, j'ai cru avoir envoyé les deux, le voici :
Fichier tscupgrd.exe reçu le 2008.04.06 09:54:20 (CET) Antivirus Version Dernière mise à jour Résultat AhnLab-V3 2008.4.4.1 2008.04.04 - AntiVir 7.6.0.81 2008.04.05 - Authentium 4.93.8 2008.04.05 - Avast 4.7.1098.0 2008.04.06 - AVG 7.5.0.516 2008.04.05 - BitDefender 7.2 2008.04.06 - CAT-QuickHeal 9.50 2008.04.05 - ClamAV 0.92.1 2008.04.06 - DrWeb 4.44.0.09170 2008.04.05 - eSafe 7.0.15.0 2008.04.01 - eTrust-Vet 31.3.5672 2008.04.04 - Ewido 4.0 2008.04.05 - F-Prot 4.4.2.54 2008.04.05 - F-Secure 6.70.13260.0 2008.04.06 - FileAdvisor 1 2008.04.06 - Fortinet 3.14.0.0 2008.04.06 - Ikarus T3.1.1.20 2008.04.06 - Kaspersky 7.0.0.125 2008.04.06 - McAfee 5267 2008.04.04 - Microsoft 1.3408 2008.04.06 - NOD32v2 3005 2008.04.06 - Norman 5.80.02 2008.04.04 - Panda 9.0.0.4 2008.04.05 - Prevx1 V2 2008.04.06 - Rising 20.38.60.00 2008.04.03 - Sophos 4.28.0 2008.04.06 - Sunbelt 3.0.1032.0 2008.04.05 - Symantec 10 2008.04.06 - TheHacker 6.2.92.266 2008.04.05 - VBA32 3.12.6.4 2008.04.06 - VirusBuster 4.3.26:9 2008.04.05 - Webwasher-Gateway 6.6.2 2008.04.05 - Information additionnelle File size: 44544 bytes MD5...: d2d52012c5a3cd41fec0f090a8e47ee7 SHA1..: 7866539ef9fc8b3852e2a22e0f04e8eeb1245573 SHA256: 7254b18ef4beac47913b23796b62c8b19e9d1f63cd889742e8ffd2f29efd1493 SHA512: 36e99037d254e345599a26e5d8a9be2118ba7136acd7326e3859a096acdd399b<br>4f300cc88971ac50ecd38db076b10f8ab1c2143224fafad5a38731478b6a687b PEiD..: - PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x100264f<br>timedatestamp.....: 0x41107b3a (Wed Aug 04 05:59:22 2004)<br>machinetype.......: 0x14c (I386)<br><br>( 3 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x9616 0x9800 6.32 ac5dc3ec958e41a64a581efae3dd1879<br>.data 0xb000 0x23f8 0xc00 2.05 699e1e76645841fdfe7c9c25553be92d<br>.rsrc 0xe000 0x4e8 0x600 3.91 3e3c9245d30b7489d26ce12c974ca784<br><br>( 6 imports ) <br>> ADVAPI32.dll: RegCloseKey, RegQueryValueExW, RegOpenKeyExW, RegDeleteValueW, RegDeleteKeyW<br>> KERNEL32.dll: GetLastError, SetFilePointer, CreateFileW, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, GetCommandLineA, GetVersionExA, ExitProcess, GetProcAddress, GetModuleHandleA, GetStdHandle, GetModuleFileNameA, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStringsW, SetHandleCount, GetFileType, GetStartupInfoA, DeleteCriticalSection, TlsFree, SetLastError, TlsSetValue, TlsGetValue, TlsAlloc, HeapDestroy, HeapCreate, VirtualFree, HeapFree, LeaveCriticalSection, CreateProcessW, LoadLibraryA, HeapAlloc, GetACP, GetOEMCP, GetCPInfo, InitializeCriticalSection, VirtualAlloc, HeapReAlloc, RtlUnwind, InterlockedExchange, VirtualQuery, MultiByteToWideChar, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, GetLocaleInfoA, SetStdHandle, VirtualProtect, GetSystemInfo, FlushFileBuffers, CloseHandle, FreeLibrary, FindFirstFileW, GetFileAttributesW, SetFileAttributesW, DeleteFileW, FindNextFileW, FindClose, RemoveDirectoryW, lstrcpyW, WriteFile, EnterCriticalSection, LoadLibraryW<br>> USER32.dll: LoadStringW<br>> SHELL32.dll: SHGetPathFromIDListW, SHGetSpecialFolderLocation, SHFileOperationW<br>> msi.dll: -, -<br>> ole32.dll: CoUninitialize, CoCreateInstance, CoInitialize<br><br>( 0 exports ) <br> Antivirus Version Dernière mise à jour Résultat AhnLab-V3 2008.4.4.1 2008.04.04 - AntiVir 7.6.0.81 2008.04.05 - Authentium 4.93.8 2008.04.05 - Avast 4.7.1098.0 2008.04.06 - AVG 7.5.0.516 2008.04.05 - BitDefender 7.2 2008.04.06 - CAT-QuickHeal 9.50 2008.04.05 - ClamAV 0.92.1 2008.04.06 - DrWeb 4.44.0.09170 2008.04.05 - eSafe 7.0.15.0 2008.04.01 - eTrust-Vet 31.3.5672 2008.04.04 - Ewido 4.0 2008.04.05 - F-Prot 4.4.2.54 2008.04.05 - F-Secure 6.70.13260.0 2008.04.06 - FileAdvisor 1 2008.04.06 - Fortinet 3.14.0.0 2008.04.06 - Ikarus T3.1.1.20 2008.04.06 - Kaspersky 7.0.0.125 2008.04.06 - McAfee 5267 2008.04.04 - Microsoft 1.3408 2008.04.06 - NOD32v2 3005 2008.04.06 - Norman 5.80.02 2008.04.04 - Panda 9.0.0.4 2008.04.05 - Prevx1 V2 2008.04.06 - Rising 20.38.60.00 2008.04.03 - Sophos 4.28.0 2008.04.06 - Sunbelt 3.0.1032.0 2008.04.05 - Symantec 10 2008.04.06 - TheHacker 6.2.92.266 2008.04.05 - VBA32 3.12.6.4 2008.04.06 - VirusBuster 4.3.26:9 2008.04.05 - Webwasher-Gateway 6.6.2 2008.04.05 - Information additionnelle File size: 44544 bytes MD5...: d2d52012c5a3cd41fec0f090a8e47ee7 SHA1..: 7866539ef9fc8b3852e2a22e0f04e8eeb1245573 SHA256: 7254b18ef4beac47913b23796b62c8b19e9d1f63cd889742e8ffd2f29efd1493 SHA512: 36e99037d254e345599a26e5d8a9be2118ba7136acd7326e3859a096acdd399b<br>4f300cc88971ac50ecd38db076b10f8ab1c2143224fafad5a38731478b6a687b PEiD..: - PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x100264f<br>timedatestamp.....: 0x41107b3a (Wed Aug 04 05:59:22 2004)<br>machinetype.......: 0x14c (I386)<br><br>( 3 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x9616 0x9800 6.32 ac5dc3ec958e41a64a581efae3dd1879<br>.data 0xb000 0x23f8 0xc00 2.05 699e1e76645841fdfe7c9c25553be92d<br>.rsrc 0xe000 0x4e8 0x600 3.91 3e3c9245d30b7489d26ce12c974ca784<br><br>( 6 imports ) <br>> ADVAPI32.dll: RegCloseKey, RegQueryValueExW, RegOpenKeyExW, RegDeleteValueW, RegDeleteKeyW<br>> KERNEL32.dll: GetLastError, SetFilePointer, CreateFileW, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, GetCommandLineA, GetVersionExA, ExitProcess, GetProcAddress, GetModuleHandleA, GetStdHandle, GetModuleFileNameA, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStringsW, SetHandleCount, GetFileType, GetStartupInfoA, DeleteCriticalSection, TlsFree, SetLastError, TlsSetValue, TlsGetValue, TlsAlloc, HeapDestroy, HeapCreate, VirtualFree, HeapFree, LeaveCriticalSection, CreateProcessW, LoadLibraryA, HeapAlloc, GetACP, GetOEMCP, GetCPInfo, InitializeCriticalSection, VirtualAlloc, HeapReAlloc, RtlUnwind, InterlockedExchange, VirtualQuery, MultiByteToWideChar, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, GetLocaleInfoA, SetStdHandle, VirtualProtect, GetSystemInfo, FlushFileBuffers, CloseHandle, FreeLibrary, FindFirstFileW, GetFileAttributesW, SetFileAttributesW, DeleteFileW, FindNextFileW, FindClose, RemoveDirectoryW, lstrcpyW, WriteFile, EnterCriticalSection, LoadLibraryW<br>> USER32.dll: LoadStringW<br>> SHELL32.dll: SHGetPathFromIDListW, SHGetSpecialFolderLocation, SHFileOperationW<br>> msi.dll: -, -<br>> ole32.dll: CoUninitialize, CoCreateInstance, CoInitialize<br><br>( 0 exports ) <br> |
| Egwene | Bonjour,
Pas de souci ;) Et l'analyse du premier fichier ? |
| alainbelle | Bonjour,
A propos de mes commentaires, il ne s'agit que de te prévneir de ce qui se passe, au cas où cela puisse t'être utile. Voici le résultat du scan virus total Fichier aefea_g.dll reçu le 2008.04.07 06:25:42 (CET) Antivirus Version Dernière mise à jour Résultat AhnLab-V3 2008.4.4.1 2008.04.07 - AntiVir 7.6.0.81 2008.04.05 - Authentium 4.93.8 2008.04.05 - Avast 4.7.1098.0 2008.04.07 - AVG 7.5.0.516 2008.04.06 - BitDefender 7.2 2008.04.07 - CAT-QuickHeal 9.50 2008.04.05 - ClamAV 0.92.1 2008.04.07 - DrWeb 4.44.0.09170 2008.04.06 - eSafe 7.0.15.0 2008.04.01 - eTrust-Vet 31.3.5672 2008.04.04 - Ewido 4.0 2008.04.06 - F-Prot 4.4.2.54 2008.04.06 - F-Secure 6.70.13260.0 2008.04.07 - FileAdvisor 1 2008.04.07 - Fortinet 3.14.0.0 2008.04.07 - Ikarus T3.1.1.20 2008.04.07 - Kaspersky 7.0.0.125 2008.04.07 - McAfee 5267 2008.04.04 - Microsoft 1.3408 2008.04.06 - NOD32v2 3005 2008.04.06 - Norman 5.80.02 2008.04.04 - Panda 9.0.0.4 2008.04.06 - Prevx1 V2 2008.04.07 - Rising 20.38.60.00 2008.04.03 - Sophos 4.28.0 2008.04.07 - Sunbelt 3.0.1032.0 2008.04.07 - Symantec 10 2008.04.07 - TheHacker 6.2.92.266 2008.04.05 - VBA32 3.12.6.4 2008.04.06 - VirusBuster 4.3.26:9 2008.04.06 - Webwasher-Gateway 6.6.2 2008.04.05 - Information additionnelle File size: 5 bytes MD5...: ae4ad24a2f5968bfcb320987501cce68 SHA1..: 88c35e433e7e1ad595f146f40a20b2ba7fe0c7f7 SHA256: be2b81e87486f7f53b782cfbabb435f902f2d327bc292fce6f3bd60e0d87529f SHA512: a3345f59ba7e2d3b51e280edcfebf28668857d6cb89c7ab4e5a443b1639a9baa<br>5e0ffdeee5b3d1911e4fdefa400a1103f8b3b66b7be467b48ea41e8c180694ac PEiD..: - PEInfo: - Antivirus Version Dernière mise à jour Résultat AhnLab-V3 2008.4.4.1 2008.04.07 - AntiVir 7.6.0.81 2008.04.05 - Authentium 4.93.8 2008.04.05 - Avast 4.7.1098.0 2008.04.07 - AVG 7.5.0.516 2008.04.06 - BitDefender 7.2 2008.04.07 - CAT-QuickHeal 9.50 2008.04.05 - ClamAV 0.92.1 2008.04.07 - DrWeb 4.44.0.09170 2008.04.06 - eSafe 7.0.15.0 2008.04.01 - eTrust-Vet 31.3.5672 2008.04.04 - Ewido 4.0 2008.04.06 - F-Prot 4.4.2.54 2008.04.06 - F-Secure 6.70.13260.0 2008.04.07 - FileAdvisor 1 2008.04.07 - Fortinet 3.14.0.0 2008.04.07 - Ikarus T3.1.1.20 2008.04.07 - Kaspersky 7.0.0.125 2008.04.07 - McAfee 5267 2008.04.04 - Microsoft 1.3408 2008.04.06 - NOD32v2 3005 2008.04.06 - Norman 5.80.02 2008.04.04 - Panda 9.0.0.4 2008.04.06 - Prevx1 V2 2008.04.07 - Rising 20.38.60.00 2008.04.03 - Sophos 4.28.0 2008.04.07 - Sunbelt 3.0.1032.0 2008.04.07 - Symantec 10 2008.04.07 - TheHacker 6.2.92.266 2008.04.05 - VBA32 3.12.6.4 2008.04.06 - VirusBuster 4.3.26:9 2008.04.06 - Webwasher-Gateway 6.6.2 2008.04.05 - Information additionnelle File size: 5 bytes MD5...: ae4ad24a2f5968bfcb320987501cce68 SHA1..: 88c35e433e7e1ad595f146f40a20b2ba7fe0c7f7 SHA256: be2b81e87486f7f53b782cfbabb435f902f2d327bc292fce6f3bd60e0d87529f SHA512: a3345f59ba7e2d3b51e280edcfebf28668857d6cb89c7ab4e5a443b1639a9baa<br>5e0ffdeee5b3d1911e4fdefa400a1103f8b3b66b7be467b48ea41e8c180694ac PEiD..: - PEInfo: - |
| Egwene | Re,
Minute, où t'ai-je que chaque manip' devait résoudre le problème ? Pour désinfecter une machine complètement, surtout pour du vundo, il faut une succession de plusieurs manip' bien orchestrées :) Rends toi sur ce lien : Virus Total
Note : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.
|
| alainbelle | Bad news, Antivir a encore sonné :
Virus or unwanted program 'TR/Vundo.Gen [TR/Vundo.Gen]' detected in file 'C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP195\A0026777.dll. Action performed: Deny access |
| alainbelle | OK, voici les rapports
1. Combo ComboFix 08-04-04.1 - Abelle 2008-04-06 15:59:49.3 - NTFSx86 MINIMAL Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.799 [GMT 2:00] Endroit: C:\Documents and Settings\Abelle\Bureau\ComboFix.exe [color=red]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/color] . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\nnidhvhy.dll C:\WINDOWS\system32\soodpkvy.dll . ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-03-06 to 2008-04-06 )))))))))))))))))))))))))))))))))))) . 2008-04-06 13:26 . 2008-04-06 13:26 <REP> d-------- C:\VundoFix Backups 2008-04-05 21:38 . 2008-04-05 21:38 <REP> d-------- C:\Documents and Settings\Abelle\Application Data\Malwarebytes 2008-04-05 21:37 . 2008-04-05 21:37 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware 2008-04-05 21:37 . 2008-04-05 21:37 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes 2008-04-05 12:17 . 2008-04-05 12:17 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab 2008-04-05 12:07 . 2008-04-05 12:07 <REP> d-------- C:\Program Files\Trend Micro 2008-04-02 17:55 . 2008-04-02 17:55 <REP> d-------- C:\Program Files\SiSoftware 2008-03-31 17:33 . 2008-03-31 17:42 <REP> d-------- C:\Program Files\Guitar Pro 5 2008-03-15 18:21 . 2005-06-15 04:00 102,400 --a------ C:\WINDOWS\system32\tsccvid.dll 2008-03-15 18:21 . 2008-03-15 18:21 74 --a------ C:\WINDOWS\BBW_INFO.INI 2008-03-15 18:20 . 2008-03-15 18:23 <REP> d-------- C:\bbdemo . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-04-06 14:10 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP 2008-04-06 14:10 --------- d-----w C:\Program Files\SpeedBit Video Accelerator 2008-04-06 13:43 --------- d-----w C:\Program Files\Mozilla Thunderbird 2008-04-06 06:34 --------- d-----w C:\Documents and Settings\Abelle\Application Data\Wave Systems Corp 2008-04-04 14:36 --------- d-----w C:\Program Files\Synchronizer 2008-04-01 13:30 --------- d-----w C:\Documents and Settings\All Users\Application Data\DVD Shrink 2008-03-31 06:29 --------- d-----w C:\Program Files\ImprimChq 2008-03-29 08:29 --------- d-----w C:\Program Files\Java 2008-03-28 07:02 --------- d-----w C:\Program Files\DAP 2008-03-24 17:41 --------- d-----w C:\Documents and Settings\Abelle\Application Data\AdobeUM 2007-10-03 13:59 2,355 ----a-w C:\Documents and Settings\Abelle\Application Data\SAS7_000.DAT 2007-08-24 09:13 60,968 ----a-w C:\Documents and Settings\Abelle\GoToAssistDownloadHelper.exe 2007-12-10 16:40 6,275,816 ----a-w C:\Program Files\mozilla firefox\plugins\ScorchPDFWrapper.dll 2007-08-07 14:34 5 --sha-w C:\WINDOWS\system32\aefea_g.dll . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 12:00 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784] "SSBkgdUpdate"="C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 09:03 210472] "SigmatelSysTrayApp"="stsystra.exe" [2006-03-24 04:30 282624 C:\WINDOWS\stsystra.exe] "MagicRotation"="C:\Program Files\MagicRotation\MagicPvt.exe" [2005-12-26 22:45 1089536] "IntelZeroConfig"="C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe" [2005-12-28 13:55 667718] "IntelWireless"="C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" [2005-12-28 13:56 602182] "igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2005-12-13 04:44 98304] "igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2005-12-13 04:45 118784] "igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2005-12-13 04:41 77824] "Document Manager"="C:\Program Files\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe" [2006-05-16 14:35 102400] "Dell QuickSet"="C:\Program Files\Dell\QuickSet\quickset.exe" [2006-06-29 14:13 1032192] "BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-05 12:00 110592 C:\WINDOWS\system32\bthprops.cpl] "avgnt"="C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-12 07:39 249896] "Apoint"="C:\Program Files\Apoint\Apoint.exe" [2005-10-07 01:13 176128] "!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25 6731312] "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-06-29 06:24 286720] "ISUSPM Startup"="C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2005-02-16 16:15 221184] "ISUSScheduler"="C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2005-02-16 17:15 81920] "DNS7reminder"="C:\Program Files\Nuance\NaturallySpeaking9\Ereg\Ereg.exe" [2007-03-19 09:20 259624] "DownloadAccelerator"="C:\Program Files\DAP\DAP.exe" [2008-03-23 13:27 3057152] "EoEngine"="" [] "EoMetro"="" [] "SpeedBitVideoAccelerator"="C:\Program Files\SpeedBit Video Accelerator\VideoAccelerator.exe" [2008-03-23 13:28 2283120] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 12:00 15360] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "tscuninstall"="C:\WINDOWS\system32\tscupgrd.exe" [2004-08-05 14:00 44544] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\yayaYSJC] yayaYSJC.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=wxvault.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "msacm.ac3acm"= AC3ACM.acm "msacm.lameacm"= lameACM.acm "msacm.l3fhg"= mp3fhg.acm "msacm.divxa32"= divxa32.acm "VIDC.WMV3"= wmv9vcm.dll "msacm.scg726"= scg726.acm "msacm.alf2cd"= alf2cd.acm "vidc.dvsd"= mcdvd_32.dll "MSVideo8"= VfWWDM32.dll "vidc.mpng"= C:\Program Files\ZS4Video\0.958\686\tabdec.dll "vidc.mvjp"= C:\Program Files\ZS4Video\0.958\686\tabdec.dll "vidc.444p"= C:\Program Files\ZS4Video\0.958\686\tabdec.dll "vidc.tscc"= tsccvid.dll [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Assistant d'Acrobat.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Assistant d'Acrobat.lnk backup=C:\WINDOWS\pss\Assistant d'Acrobat.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DVDLauncher] -----c--- 2005-12-09 22:29 49152 C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eCarteBleue-BP] --a------ 2003-06-20 12:09 188416 C:\Program Files\e-Carte Bleue\Banque Populaire\ECB-BP.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] ---hs---- 2004-10-13 18:24 1694208 C:\Program Files\Messenger\msmsgs.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2006-01-12 17:40 155648 C:\WINDOWS\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OpwareSE4] --a------ 2006-03-21 14:19 69632 C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2007-06-29 06:24 286720 C:\Program Files\QuickTime\qttask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite] -ra------ 2005-10-26 17:17 159744 C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "iPod Service"=3 (0x3) [HKEY_LOCAL_MACHINE\software\microsoft\security center] "SerialNumber"="A109A-K13-3ZXD-BAP5-TE" [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Program Files\\efl\\monoposte\\common\\bd_service\\bin\\mysqld-opt.exe"= "C:\\Program Files\\efl\\monoposte\\common\\jre\\bin\\javaw.exe"= "C:\\PVSW\\Bin\\w3dbsmgr.exe"= "C:\\Program Files\\SiSoftware\\SiSoftware Sandra Lite XII.SP1\\Win32\\RpcDataSrv.exe"= "C:\\Program Files\\SiSoftware\\SiSoftware Sandra Lite XII.SP1\\RpcSandraSrv.exe"= "C:\\Program Files\\SpeedBit Video Accelerator\\VideoAcceleratorEngine.exe"= "C:\\Program Files\\SpeedBit Video Accelerator\\VideoAccelerator.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings] "AllowInboundEchoRequest"= 1 (0x1) R0 PBADRV;PBADRV;C:\WINDOWS\system32\drivers\pbadrv.sys [2005-12-09 17:35] R1 magicpvt;magicpvt;C:\WINDOWS\system32\drivers\magicpvt.sys [2005-11-14 04:26] R2 EBP Pervasive.SQL;EBP Pervasive.SQL;C:\PVSW\Bin\WGE_SRV.exe [2006-12-07 17:08] R2 sbbotdi;sbbotdi;C:\PROGRA~1\SPEEDB~1\sbbotdi.sys [2008-03-23 13:28] R2 SBKUPNT;SBKUPNT;C:\WINDOWS\system32\Drivers\SBKUPNT.SYS [2001-07-13 14:56] R2 Stuffit Archive Name Service;Stuffit Archive Name Service;"C:\Program Files\Smith Micro\StuffIt11\ArcNameService.exe" [2007-05-01 10:15] R2 VideoAcceleratorService;VideoAcceleratorService;C:\PROGRA~1\SPEEDB~1\VideoAcceleratorService.exe [2008-03-23 13:28] R3 TcUsb;TC USB Kernel Driver;C:\WINDOWS\system32\Drivers\tcusb.sys [2006-01-16 11:36] R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-05 12:00] S3 BrScnUsb;Brother USB Still Image driver;C:\WINDOWS\system32\Drivers\BrScnUsb.sys [2004-10-15 13:50] S3 FALSTAFF;USB Storage Adapter ;C:\WINDOWS\system32\DRIVERS\FALSTAFF.SYS [2000-04-05 20:02] S3 MBAMCatchMe;MBAMCatchMe;C:\Program Files\Malwarebytes' Anti-Malware\catchme.sys [2008-04-01 19:54] S3 SE2Ebus;Sony Ericsson Device 046 Driver driver (WDM);C:\WINDOWS\system32\DRIVERS\SE2Ebus.sys [2006-05-01 13:16] S3 SE2Emdfl;Sony Ericsson Device 046 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\SE2Emdfl.sys [2006-05-01 13:17] S3 SE2Emdm;Sony Ericsson Device 046 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\SE2Emdm.sys [2006-05-01 13:17] S3 SE2Emgmt;Sony Ericsson Device 046 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\SE2Emgmt.sys [2006-05-01 13:18] S3 se2End5;Sony Ericsson Device 046 USB Ethernet Emulation SEMC46 (NDIS);C:\WINDOWS\system32\DRIVERS\se2End5.sys [2006-05-01 13:15] S3 SE2Eobex;Sony Ericsson Device 046 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\SE2Eobex.sys [2006-05-01 13:18] S3 se2Eunic;Sony Ericsson Device 046 USB Ethernet Emulation SEMC46 (WDM);C:\WINDOWS\system32\DRIVERS\se2Eunic.sys [2006-05-01 13:15] S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 23:58] . Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es' "2007-10-10 19:44:23 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Program Files\Apple Software Update\SoftwareUpdate.exe . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-04-06 16:10:35 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cach‚s ... Balayage cach‚ autostart entries ... Balayage des fichiers cach‚s ... Scan termin‚ avec succŠs Les fichiers cach‚s: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\Program Files\Intel\Wireless\Bin\EvtEng.exe C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe C:\WINDOWS\system32\brss01a.exe C:\WINDOWS\System32\SCardSvr.exe C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe C:\Program Files\AntiVir PersonalEdition Classic\sched.exe C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Program Files\Wave Systems Corp\Common\DataServer.exe C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe C:\PVSW\BIN\W3dbsmgr.EXE C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe C:\Program Files\NTRU Cryptosystems\NTRU Hybrid TSS v2.0.25\bin\tcsd_win32.exe C:\WINDOWS\system32\igfxsrvc.exe C:\WINDOWS\system32\rundll32.exe C:\Program Files\Apoint\HidFind.exe C:\Program Files\Apoint\Apntex.exe C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe C:\Program Files\Digital Line Detect\DLG.exe C:\Program Files\Wave Systems Corp\Services Manager\Secure Update\AutoUpdate.exe C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe C:\PROGRA~1\SPEEDB~1\VideoAcceleratorEngine.exe C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe C:\WINDOWS\system32\wscntfy.exe . ************************************************************************** . Temps d'accomplissement: 2008-04-06 16:16:38 - machine was rebooted ComboFix-quarantined-files.txt 2008-04-06 14:16:34 ComboFix2.txt 2007-08-14 11:26:02 Pre-Run: 36,235,845,632 octets libres Post-Run: 35,174,555,648 octets libres . 2008-03-12 07:41:58 --- E O F --- 2-Hijack Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:19:32, on 06/04/2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16608) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Intel\Wireless\Bin\EvtEng.exe C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe C:\WINDOWS\system32\brss01a.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe C:\Program Files\AntiVir PersonalEdition Classic\sched.exe C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Program Files\Wave Systems Corp\Common\DataServer.exe C:\PVSW\Bin\WGE_SRV.exe C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe C:\PVSW\BIN\W3dbsmgr.EXE C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Smith Micro\StuffIt11\ArcNameService.exe C:\Program Files\NTRU Cryptosystems\NTRU Hybrid TSS v2.0.25\bin\tcsd_win32.exe C:\PROGRA~1\SPEEDB~1\VideoAcceleratorService.exe C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe C:\WINDOWS\stsystra.exe C:\Program Files\MagicRotation\MagicPvt.exe C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe C:\WINDOWS\system32\igfxpers.exe C:\WINDOWS\system32\igfxsrvc.exe C:\WINDOWS\system32\hkcmd.exe C:\Program Files\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe C:\Program Files\Dell\QuickSet\quickset.exe C:\WINDOWS\system32\rundll32.exe C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe C:\Program Files\Apoint\Apoint.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe C:\Program Files\DAP\DAP.EXE C:\Program Files\Apoint\HidFind.exe C:\Program Files\SpeedBit Video Accelerator\VideoAccelerator.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Apoint\Apntex.exe C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe C:\Program Files\Digital Line Detect\DLG.exe C:\Program Files\Wave Systems Corp\Services Manager\Secure Update\AutoUpdate.exe C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe C:\PROGRA~1\SPEEDB~1\VideoAcceleratorEngine.exe C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\notepad.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = www.google.fr/ig/dell?hl=fr&client [...] bd=5070131 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.fr/ig/dell?hl=fr [...] bd=5070131 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\system32\BhoECart.dll O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing) O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Program Files\Canon\Easy-WebPrint\EWPBrowseLoader.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\BAE\BAE.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe O4 - HKLM\..\Run: [MagicRotation] C:\Program Files\MagicRotation\MagicPvt.exe O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe" O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [Document Manager] C:\Program Files\Wave Systems Corp\Services Manager\DocMgr\bin\docmgr.exe O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\quickset.exe O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [DNS7reminder] "C:\Program Files\Nuance\NaturallySpeaking9\Ereg\Ereg.exe" -r "C:\Documents and Settings\All Users\Application Data\Nuance\NaturallySpeaking9\Ereg.ini O4 - HKLM\..\Run: [DownloadAccelerator] "C:\Program Files\DAP\DAP.EXE" /STARTUP O4 - HKLM\..\Run: [SpeedBitVideoAccelerator] "C:\Program Files\SpeedBit Video Accelerator\VideoAccelerator.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user') O4 - Global Startup: Bluetooth Manager.lnk = ? O4 - Global Startup: Digital Line Detect.lnk = ? O4 - Global Startup: EMBASSY Trust Suite Secure Update.lnk = C:\Program Files\Wave Systems Corp\Services Manager\Secure Update\AutoUpdate.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://c:\program files\adobe\acrobat 6.0\acrobat\acroiefavclient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wi [...] 7711766062 O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab O20 - Winlogon Notify: yayaYSJC - yayaYSJC.dll (file missing) O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: DataSvr2 - Wave Systems Corp. - C:\Program Files\Wave Systems Corp\Common\DataServer.exe O23 - Service: EBP Pervasive.SQL - Unknown owner - C:\PVSW\Bin\WGE_SRV.exe O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XII.SP1\Win32\RpcDataSrv.exe O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XII.SP1\RpcSandraSrv.exe O23 - Service: Stuffit Archive Name Service - Smith Micro Software, Inc. - C:\Program Files\Smith Micro\StuffIt11\ArcNameService.exe O23 - Service: NTRU Hybrid TSS v2.0.25 TCS (tcsd_win32.exe) - Unknown owner - C:\Program Files\NTRU Cryptosystems\NTRU Hybrid TSS v2.0.25\bin\tcsd_win32.exe O23 - Service: VideoAcceleratorService - Speedbit Ltd. - C:\PROGRA~1\SPEEDB~1\VideoAcceleratorService.exe O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe -- End of file - 12848 bytes |
| Egwene | Re,
Oki pour vundofix. Pour les cracks ? Et bien si tu n'en trouves pas ce que tu n'en as pas. Demande quand même aux autres utilisateurs du PC susceptibles de cracker etc. 1) Affiche les fichiers et dossiers cachés … Pour ce faire, tu vas dans un dossier, par ex. "Mes Images". Ensuite, clique sur > Outils > Options des dossiers ... clique sur l' onglet « Affichage » et ... coche ---> Afficher les fichiers et dossiers cachés décoche > Masquer les extensions des fichiers dont le type est connu décoche > Masquer les fichiers protégés du système d' exploitation (recommandé). « Appliquer » et « OK ». 2) Désactive toute protection résidente ( antivirus…) ! Déconnecte-toi d’internet, ferme tous les programmes en cours et laisse combofix travailler : ne fais donc pas autre chose en même temps ! Télécharge Combofix de sUBs Sauvegarde le sur ton bureau et pas ailleurs ! Redémarre en mode sans échecs : aide ici >>> http://forum.telecharger.01net.com [...] ges-1.html /!\ Ne jamais redémarrer en mode sans échec via msconfig ! /!\ Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider, laisse toi guider. Attends que combofix ait terminé, un rapport sera créé. Poste le rapport. Il se trouve ici : C:\Combofix.txt 3) Copie/colle un nouveau rapport HiJackThis avec. ;) |
| alainbelle | J'ai lancé vundo, il n'a rien trouvé mas antivir a alerté 4 fois :
Virus or unwanted program 'TR/Vundo.Gen [TR/Vundo.Gen]' detected in file 'C:\WINDOWS\system32\nnidhvhy.dll. Action performed: Deny access Virus or unwanted program 'TR/Vundo.Gen [TR/Vundo.Gen]' detected in file 'C:\WINDOWS\system32\soodpkvy.dll. Action performed: Deny access Virus or unwanted program 'TR/Vundo.Gen [TR/Vundo.Gen]' detected in file 'C:\WINDOWS\system32\nnidhvhy.dll. Action performed: Deny access Virus or unwanted program 'TR/Vundo.Gen [TR/Vundo.Gen]' detected in file 'C:\WINDOWS\system32\soodpkvy.dll. Action performed: Deny access |
| alainbelle | Je ne pense pas avoir chargé de cracks. Sinon, où les trouver, comment savoir si j'en ai.
Merci |
| Egwene | :hello:
Hum... infecté(e) par Vundo :) Tu es infecté(e) par "Vundo". Supprime tous les cracks de ton PC s'ils sont présents car sinon ils relanceront l'infection. Télécharge Vundofix (par Atribune) sur ton Bureau.
|
| alainbelle | Rebonjour,
Info supplémentaire : après le reboot, Antivir a klaxonné et m'a averti que : Virus or unwanted program 'TR/Vundo.Gen [TR/Vundo.Gen]' detected in file 'C:\System Volume Information\_restore{340C3340-2EBB-4324-859A-C37E85627171}\RP195\A0026777.dll. Action performed: Deny access Bon dimanche, Amitiés Alain |
| alainbelle | Bonjour,
J'ai laissé tourner le logiciel cette nuit : il a trouve 13 infections. Je précise qu'après avoir cliqué sur supprimer la sélection, j'au eu un message me disant que tout ne pouvait êytre supprimé et que le fichier log était sauvegardé sous C:/windows/system32/vtUopMGY.dll, ce ui doit correspondre au virus, non. J'ai fermé la fenêtre en question sas cliquer sur oui ou non. Enfin voici le log que j'ai enregistré sur le bureau : Malwarebytes' Anti-Malware 1.10 Version de la base de données: 593 Type de recherche: Examen complet (C:\|) Eléments examinés: 260984 Temps écoulé: 5 hour(s), 11 minute(s), 20 second(s) Processus mémoire infecté(s): 0 Module(s) mémoire infecté(s): 1 Clé(s) du Registre infectée(s): 6 Valeur(s) du Registre infectée(s): 1 Elément(s) de données du Registre infecté(s): 1 Dossier(s) infecté(s): 0 Fichier(s) infecté(s): 4 Processus mémoire infecté(s): (Aucun élément nuisible détecté) Module(s) mémoire infecté(s): C:\WINDOWS\system32\vtUopMGY.dll (Trojan.Vundo) -> Unloaded module successfully. Clé(s) du Registre infectée(s): HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{a2b8887f-a8fc-4317-8409-a0f352426939} (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{a2b8887f-a8fc-4317-8409-a0f352426939} (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{060bb0ab-4b09-4c51-9ecb-9580a6d08d7f} (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{060bb0ab-4b09-4c51-9ecb-9580a6d08d7f} (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully. Valeur(s) du Registre infectée(s): HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{060bb0ab-4b09-4c51-9ecb-9580a6d08d7f} (Trojan.Vundo) -> Quarantined and deleted successfully. Elément(s) de données du Registre infecté(s): HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\vtuopmgy.dll -> Quarantined and deleted successfully. Dossier(s) infecté(s): (Aucun élément nuisible détecté) Fichier(s) infecté(s): C:\WINDOWS\system32\vtUopMGY.dll (Trojan.Vundo) -> Delete on reboot. C:\WINDOWS\system32\YGMpoUtv.ini (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\YGMpoUtv.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\jghmdttu.dll (Trojan.Vundo) -> Quarantined and deleted successfully. |
| Egwene | Re,
Télécharge MalwareByte's Anti-Malware sur ton Bureau. Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe. Une fois l'installation et la mise à jour effectuées, redémarre en mode sans échec. AIDE : Redémarrer en mode sans échec
-- si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
|
| alainbelle | J'ai été long mais j'ai dû m'absenter et Antivir a bloqué plusieurs fois Kasper. J'ai cliqué à chaque fois sur "access deny"
Voici le rapport, merci d'avance : ------------------------------------------------------------------------------- KASPERSKY ON-LINE SCANNER REPORT Saturday, April 05, 2008 7:07:55 PM Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600) Kaspersky On-line Scanner version : 5.0.83.0 Dernière mise à jour de la base antivirus Kaspersky : 5/04/2008 Enregistrements dans la base antivirus Kaspersky : 613994 ------------------------------------------------------------------------------- Paramètres d'analyse: Analyser avec la base antivirus suivante: standard Analyser les archives: vrai Analyser les bases de messagerie: vrai Cible de l'analyse - Poste de travail: C:\ D:\ F:\ Statistiques de l'analyse: Total d'objets analysés: 215186 Nombre de virus trouvés: 0 Nombre d'objets infectés: 0 / 0 Nombre d'objets suspects: 0 Durée de l'analyse: 06:41:28 Nom de l'objet infecté / Nom du virus / Dernière action C:\Documents and Settings\Abelle\Application Data\Mozilla\Firefox\Profiles\w2f6wjcs.default\cert8.db L'objet est verrouillé ignoré C:\Documents and Settings\Abelle\Application Data\Mozilla\Firefox\Profiles\w2f6wjcs.default\formhistory.dat L'objet est verrouillé ignoré C:\Documents and Settings\Abelle\Application Data\Mozilla\Firefox\Profiles\w2f6wjcs.default\history.dat L'objet est verrouillé ignoré C:\Documents and Settings\Abelle\Application Data\Mozilla\Firefox\Profiles\w2f6wjcs.default\key3.db L'objet est verrouillé ignoré C:\Documents and Settings\Abelle\Application Data\Mozilla\Firefox\Profiles\w2f6wjcs.default\parent.lock L'objet est verrouillé ignoré C:\Documents and Settings\Abelle\Application Data\Mozilla\Firefox\Profiles\w2f6wjcs.default\urlclassifier2.sqlite L'objet est verrouillé ignoré C:\Documents and Settings\Abelle\Application Data\Thunderbird\Profiles\3j3z6lo3.default\abook-20.mab L'objet est verrouillé ignoré C:\Documents and Settings\Abelle\Application Data\Thunderbird\Profiles\3j3z6lo3.default\abook-4.mab L'objet est verrouillé ignoré C:\Documents and Settings\Abelle\Application Data\Thunderbird\Profiles\3j3z6lo3.default\abook-5.mab L'objet est verrouillé ignoré C:\Documents and Settings\Abelle\Application Data\Thunderbird\Profiles\3j3z6lo3.default\abook.mab L'objet est verrouillé ignoré C:\Documents and Settings\Abelle\Application Data\Thunderbird\Profiles\3j3z6lo3.default\cert8.db L'objet est verrouillé ignoré C:\Documents and Settings\Abelle\Application Data\Thunderbird\Profiles\3j3z6lo3.default\impab-2.mab L'objet est verrouillé ignoré C:\Documents and Settings\Abelle\Application Data\Thunderbird\Profiles\3j3z6lo3.default\impab-3.mab L'objet est verrouillé ignoré C:\Documents and Settings\Abelle\Application Data\Thunderbird\Profiles\3j3z6lo3.default\impab-4.mab L'objet est verrouillé ignoré C:\Documents and Settings\Abelle\Application Data\Thunderbird\Profiles\3j3z6lo3.default\impab-6.mab L'objet est verrouillé ignoré C:\Documents and Settings\Abelle\Application Data\Thunderbird\Profiles\3j3z6lo3.default\key3.db L'objet est verrouillé ignoré C:\Documents and Settings\Abelle\Application Data\Thunderbird\Profiles\3j3z6lo3.default\Mail\Inbox.msf L'objet est verrouillé ignoré C:\Documents and Settings\Abelle\Application Data\Thunderbird\Profiles\3j3z6lo3.default\Mail\pop.neuf-2.fr\Inbox.msf L'objet est verrouillé ignoré C:\Documents and Settings\Abelle\Application Data\Thunderbird\Profiles\3j3z6lo3.default\Mail\pop.neuf-2.fr\Trash.msf L'objet est verrouillé ignoré C:\Documents and Settings\Abelle\Application Data\Thunderbird\Profiles\3j3z6lo3.default\Mail\Trash.msf L'objet est verrouillé ignoré C:\Documents and Settings\Abelle\Application Data\Thunderbird\Profiles\3j3z6lo3.default\panacea.dat L'objet est verrouillé ignoré C:\Documents and Settings\Abelle\Application Data\Thunderbird\Profiles\3j3z6lo3.default\parent.lock L'objet est verrouillé ignoré C:\Documents and Settings\Abelle\Application Data\Thunderbird\Profiles\3j3z6lo3.default\urlclassifier2.sqlite L'objet est verrouillé ignoré C:\Documents and Settings\Abelle\Cookies\index.dat L'objet est verrouillé ignoré C:\Documents and Settings\Abelle\Local Settings\Application Data\Microsoft\Feeds Cache\index.dat L'objet est verrouillé ignoré C:\Documents and Settings\Abelle\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré C:\Documents and Settings\Abelle\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré C:\Documents and Settings\Abelle\Local Settings\Application Data\Mozilla\Firefox\Profiles\w2f6wjcs.default\Cache\_CACHE_001_ L'objet est verrouillé ignoré C:\Documents and Settings\Abelle\Local Settings\Application Data\Mozilla\Firefox\Profiles\w2f6wjcs.default\Cache\_CACHE_002_ L'objet est verrouillé ignoré C:\Documents and Settings\Abelle\Local Settings\Application Data\Mozilla\Firefox\Profiles\w2f6wjcs.default\Cache\_CACHE_003_ L'objet est verrouillé ignoré C:\Documents and Settings\Abelle\Local Settings\Application Data\Mozilla\Firefox\Profiles\w2f6wjcs.default\Cache\_CACHE_MAP_ L'objet est verrouillé ignoré C:\Documents and Settings\Abelle\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré C:\Documents and Settings\Abelle\Local Settings\Historique\History.IE5\MSHist012008040520080406\index.dat L'objet est verrouillé ignoré C:\Documents and Settings\Abelle\Local Settings\Temporary Internet Files\AntiPhis |