> Tous les forums > Forum Sécurité
 Windows XP : infecté + écran bleuSujet résolu
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
benhur80
  Posté le 16/11/2008 @ 20:58 
Aller en bas de la page 
Nouvel astucien

Bonjour à tous,

alors que j'ouvrais des onglets (sous FF) en cliquant sur des liens vers des sites US, mon PC a tout à coup affiché un écran bleu et rebooté.
Depuis, je ne peux plus redémarrer sous Windows (en mode normal) car cet écran bleu réapparait au démarrage et reboot à chaque fois. Cu coup, je n'ai pas vraiment le temps de lire le message d'erreur mais il a l'air très généraliste...

Néanmoins j'ai toujours accès à Windows en mode sans-échec (avec ou sans prise en charge du réseau). Et dans ce mode sans échec (avec prise en charge réseau) je me suis aperçu de 2 choses :

  • je peux faire des recherches sous Google mais quand je clique sur les liens (et en particulier ceux menant vers de sites de sécurité ou, par exemple, http://www.hijackthis.de/fr) je suis redirigé vers des sites tiers...
  • une fois certains logiciels de sécurité téléchargés, je ne peux pas les éxecuté directement. Le nom du fichier a l'air d'être bloqué... Je ne pouvais par exemple pas lancer directement HijackThis... Mais, heureusement, en renommant l'exécutable, je suis en mesure de les démarrer.

Je ne sais vraiment pas quoi faire et ça serait vraiment gentil si quelqu'un pouvait se pencher sur mon problème.

J'ai lancé CCleaner plus un certain nombre d'outils dont voici les logs. Je rappelle que tous les logs que je joins ci-dessous ont été fait en mode sans-échec puisque je n'ai plus accès au mode normal à cause de l'écran bleu et du reboot...

Merci !

SmitFraudFix :
SmitFraudFix v2.375

Rapport fait à 18:18:24,70, 16/11/2008
Executé à partir de C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau



»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Marvell Yukon 88E8001/8003/8010 PCI Gigabit Ethernet Controller - Miniport d'ordonnancement de paquets
DNS Server Search Order: 212.27.40.241
DNS Server Search Order: 212.27.40.240

HKLM\SYSTEM\CCS\Services\Tcpip\..\{4F5517A6-0AF0-4B38-A570-661BD510A284}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CCS\Services\Tcpip\..\{DB3B1C61-F1FA-45FF-939A-05426FB3AAF3}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS1\Services\Tcpip\..\{4F5517A6-0AF0-4B38-A570-661BD510A284}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS1\Services\Tcpip\..\{DB3B1C61-F1FA-45FF-939A-05426FB3AAF3}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS3\Services\Tcpip\..\{4F5517A6-0AF0-4B38-A570-661BD510A284}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS3\Services\Tcpip\..\{DB3B1C61-F1FA-45FF-939A-05426FB3AAF3}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

DiagHelp :

DiagHelp version v1.4 - http://www.malekal.com
excute le 16/11/2008 à 18:29:00,98


Liste des derniers fichies modifies/crees dans windir\system32 et prefetch
C:\WINDOWS\prefetch\LOGONUI.EXE-0AF22957.pf -->16/11/2008 16:47:48
C:\WINDOWS\prefetch\NOTEPAD.EXE-336351A9.pf -->16/11/2008 16:47:42
C:\WINDOWS\prefetch\CMD.EXE-087B4001.pf -->16/11/2008 16:47:39
C:\WINDOWS\prefetch\AV.DAT-36555D93.pf -->16/11/2008 16:47:38
C:\WINDOWS\prefetch\WMIPRVSE.EXE-28F301A9.pf -->16/11/2008 16:45:00
C:\WINDOWS\prefetch\WUAUCLT.EXE-399A8E72.pf -->16/11/2008 16:43:04
C:\WINDOWS\prefetch\USNSVC.EXE-373E4DBC.pf -->16/11/2008 16:42:57
C:\WINDOWS\prefetch\RUNDLL32.EXE-35A483DA.pf -->16/11/2008 16:42:57
C:\WINDOWS\prefetch\REGSVR32.EXE-25EEFE2F.pf -->16/11/2008 16:42:57
C:\WINDOWS\prefetch\LULNCHR.EXE-113736AD.pf -->16/11/2008 16:42:57

C:\WINDOWS\System32\drivers\AegisP.sys -->02/10/2008 10:17:56
C:\WINDOWS\System32\drivers\aswFsBlk.sys -->19/07/2008 15:37:42
C:\WINDOWS\System32\drivers\aswmon2.sys -->19/07/2008 15:37:21
C:\WINDOWS\System32\drivers\aswSP.sys -->19/07/2008 15:35:18
C:\WINDOWS\System32\drivers\aswRdr.sys -->19/07/2008 15:33:42
C:\WINDOWS\System32\drivers\aswTdi.sys -->19/07/2008 15:32:36
C:\WINDOWS\System32\drivers\aavmker4.sys -->19/07/2008 15:32:15

C:\WINDOWS\System32\tmp.txt -->16/11/2008 18:18:32
C:\WINDOWS\System32\tmp.reg -->16/11/2008 18:18:32
C:\WINDOWS\System32\delself.bat -->16/11/2008 17:46:44
C:\WINDOWS\System32\app_filter_ui.log -->16/11/2008 16:45:08
C:\WINDOWS\System32\nmp.log -->16/11/2008 16:44:50
C:\WINDOWS\System32\_nvidia_xxx_.log -->16/11/2008 16:41:56
C:\WINDOWS\System32\wpa.dbl -->16/11/2008 16:41:22
C:\WINDOWS\System32\PerfStringBackup.INI -->12/11/2008 08:43:27
C:\WINDOWS\System32\perfh00C.dat -->12/11/2008 08:43:27
C:\WINDOWS\System32\perfh009.dat -->12/11/2008 08:43:27
C:\WINDOWS\System32\perfc00C.dat -->12/11/2008 08:43:27
C:\WINDOWS\System32\perfc009.dat -->12/11/2008 08:43:27
C:\WINDOWS\System32\FNTCACHE.DAT -->12/11/2008 08:40:33
C:\WINDOWS\System32\jupdate-1.6.0_07-b06.log -->31/10/2008 18:34:50
C:\WINDOWS\System32\CONFIG.NT -->11/10/2008 10:04:45
C:\WINDOWS\System32\AntiXPVSTFix.exe -->08/09/2008 22:38:55
C:\WINDOWS\System32\aswBoot.exe -->19/07/2008 15:43:08
C:\WINDOWS\System32\AVASTSS.scr -->19/07/2008 15:30:53
C:\WINDOWS\System32\cdm.dll -->18/07/2008 21:10:48
C:\WINDOWS\System32\wuauclt.exe -->18/07/2008 21:10:42
C:\WINDOWS\System32\wups2.dll -->18/07/2008 21:10:40
C:\WINDOWS\System32\wucltui.dll.mui -->18/07/2008 21:10:36
C:\WINDOWS\System32\wups.dll -->18/07/2008 21:10:20
C:\WINDOWS\System32\wuaucpl.cpl.mui -->18/07/2008 21:09:56
C:\WINDOWS\System32\wucltui.dll -->18/07/2008 21:09:46

C:\WINDOWS\ntbtlog.txt -->16/11/2008 18:24:56
C:\WINDOWS\setupact.log -->16/11/2008 18:15:48
C:\WINDOWS\setuperr.log -->16/11/2008 18:15:31
C:\WINDOWS\WindowsUpdate.log -->16/11/2008 17:58:12
C:\WINDOWS\bootstat.dat -->16/11/2008 17:53:45
C:\WINDOWS\brastk.exe -->16/11/2008 17:53:38
C:\WINDOWS\RTacDbg.txt -->16/11/2008 16:47:48
C:\WINDOWS\win.ini -->21/10/2008 21:28:48
C:\WINDOWS\system.ini -->21/10/2008 21:28:48
C:\WINDOWS\jedit.bat -->09/10/2008 09:56:21
C:\WINDOWS\Thumbs.db -->24/09/2008 01:36:32
C:\WINDOWS\Notepad2.ini -->19/04/2007 00:32:54
C:\WINDOWS\cdplayer.ini -->11/04/2007 18:47:16
C:\WINDOWS\Notepad2.exe -->06/04/2007 23:00:00
C:\WINDOWS\mozver.dat -->30/03/2007 22:04:51

winlogon.exe
Verified: Signed
svchost.exe
Verified: Signed
ws2_32.dll
Verified: Signed
user32.dll
Verified: Signed
tcpip.sys
Verified: Signed
ndis.sys
Verified: Signed
null.sys
Verified: Signed


ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
explorer.exe pid: 372
Command line: C:\WINDOWS\Explorer.EXE

Base Size Version Path
0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\comctl32.dll
0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL
0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll
0x745e0000 0x2c6000 3.01.4000.2435 C:\WINDOWS\system32\msi.dll
0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL
0x5ee60000 0x5b000 2.00.0500.0000 C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
0x78520000 0xa3000 9.00.21022.0008 C:\WINDOWS\WinSxS\x86_Microsoft.VC90.CRT_1fc8b3b9a1e18e3b_9.0.21022.8_x-ww_d08d0375\MSVCR90.dll
0x5e470000 0x97000 4.05.2003.0120 C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\stlport_vc7145.dll
0x012a0000 0x5b000 8.01.0000.0000 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.dll
0x78130000 0x9b000 8.00.50727.0163 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.163_x-ww_681e29fb\MSVCR80.dll
0x01320000 0x4c000 8.00.0000.0000 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.FRA
0x64f00000 0x12000 4.08.1227.0000 D:\OUTILS\Avast\ashShell.dll
0x01a00000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll
0x014a0000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
0x016c0000 0x97000 C:\WINDOWS\system32\b4fm.dll
0x02120000 0x9d000 D:\OUTILS\Compression\IZArc\IZArcCM.dll
0x02350000 0x2a000 7.05.0001.0036 C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\context.dll
0x024b0000 0x24000 4.42.0000.0000 D:\OUTILS\Compression\7-Zip\7-zip.dll
0x014f0000 0x13000 7.05.0001.0036 C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\shellexecutehook.dll

ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
winlogon.exe pid: 716
Command line: winlogon.exe

Base Size Version Path
0x01000000 0x81000 \??\C:\WINDOWS\system32\winlogon.exe
0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\COMCTL32.dll
0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll
0x20000000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll
0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL


Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 3C5C-5A7D

Répertoire de C:\WINDOWS\system32

19/08/2004 16:09 6 144 csrss.exe
1 fichier(s) 6 144 octets
0 Rép(s) 10 020 147 200 octets libres

Contenu de Downloaded Program Files
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 3C5C-5A7D

Répertoire de C:\WINDOWS\Downloaded Program Files

20/11/2006 23:25 <REP> .
20/11/2006 23:25 <REP> ..
20/11/2006 23:14 65 desktop.ini
09/11/2006 14:36 5 019 swflash.inf
2 fichier(s) 5 084 octets

Total des fichiers listés :
2 fichier(s) 5 084 octets
2 Rép(s) 10 020 147 200 octets libres

Recherche de rootkit! (Merci S!Ri)

Recherche d'infections connues

Export des clefs sensibles..


Liste des fichiers en exception sur le pare-feu XP SP2

Export de la clef SharedTaskScheduler



exports des policies



Export des clefs sensibles..
Rechercher adresses sensibles dans le fichier HOSTS...
127.0.0.1 activexupdate.com
127.0.0.1 www.activexupdate.com
127.0.0.1 antispywareupdates.net
127.0.0.1 www.antispywareupdates.net
127.0.0.1 aviupdate.com
127.0.0.1 www.aviupdate.com
127.0.0.1 www.avpcheckupdate.com
127.0.0.1 avpcheckupdate.com
127.0.0.1 client.exeupdate.com
127.0.0.1 www.eupdatepage.com
127.0.0.1 eupdatepage.com
127.0.0.1 www.exeupdate.com
127.0.0.1 exeupdate.com
127.0.0.1 www.flwupdate.com
127.0.0.1 flwupdate.com
127.0.0.1 www.hotwinupdates.com
127.0.0.1 hotwinupdates.com
127.0.0.1 www.lavasoftupdate.com
127.0.0.1 lavasoftupdate.com
127.0.0.1 www.malwarewipeupdate.com
127.0.0.1 malwarewipeupdate.com
127.0.0.1 www.movupdate.com
127.0.0.1 movupdate.com
127.0.0.1 www.mpegupdate.com
127.0.0.1 mpegupdate.com
127.0.0.1 www.msupdate.net
127.0.0.1 msupdate.net
127.0.0.1 www.msupdater.net
127.0.0.1 msupdater.net
127.0.0.1 necessaryupdates.com
127.0.0.1 www.necessaryupdates.com
127.0.0.1 newupdates.lzio.com
127.0.0.1 plupdate.com
127.0.0.1 www.plupdate.com
127.0.0.1 redirect.msupdate.net
127.0.0.1 www.registryupdate.org
127.0.0.1 registryupdate.org
127.0.0.1 search.keyword.exeupdate.com
127.0.0.1 securityupdatesite.com
127.0.0.1 www.securityupdatesite.com
127.0.0.1 settings.updatemysettings.com
127.0.0.1 spyaxeupdate.com
127.0.0.1 www.spyaxeupdate.com
127.0.0.1 www.spyfalconupdate.com
127.0.0.1 spyfalconupdate.com
127.0.0.1 www.systemupdates.net
127.0.0.1 systemupdates.net
127.0.0.1 trial.updates.winsoftware.com
127.0.0.1 update.680180.net
127.0.0.1 update.shareaza.com
127.0.0.1 www.updatemysettings.com
127.0.0.1 updatemysettings.com
127.0.0.1 updates.spywarequake.com
127.0.0.1 www.updatesantivirus.com
127.0.0.1 updatesantivirus.com
127.0.0.1 www.urgentsystemupdate.biz
127.0.0.1 urgentsystemupdate.biz
127.0.0.1 www.urgentsystemupdate.com
127.0.0.1 urgentsystemupdate.com
127.0.0.1 windupdates.com
127.0.0.1 xp-vista-update.net
127.0.0.1 www.xp-vista-update.net
127.0.0.1 pandaantivirus-2007.com
127.0.0.1 www.pandaantivirus-2007.com
127.0.0.1 pandadownload-now.com
127.0.0.1 www.pandadownload-now.com
127.0.0.1 www.panda-hq.com
127.0.0.1 panda-hq.com

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Error loading kernel support driver!
Make sure you are running this as Administrator.

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Error loading kernel support driver!
Make sure you are running this as Administrator.

Liste des programmes installes

3114 SATARAID5
7-Zip 4.42
Ad-Aware
Adobe Acrobat and Reader 8.1.2 Security Update 1 (KB403742)
Adobe Flash Player 9 ActiveX
Adobe Reader 8.1.2 - Français
Adobe Reader 8.1.2 Security Update 1 (KB403742)
adsl TV
Apache Tomcat 5.5 (remove only)
Apple Software Update
AsusUpdate
ATI Remote Wonder
ATI Remote Wonder 3.04
AutoUpdate
avast! Antivirus
AVG Anti-Spyware 7.5
Burn4Free CD and DVD
Burn4Free Toolbar
burnatonce
Canon PowerShot A40 WIA Driver
CCleaner (remove only)
Correctif Windows XP - KB873339
Correctif Windows XP - KB885835
Correctif Windows XP - KB885836
Correctif Windows XP - KB886185
Correctif Windows XP - KB887472
Correctif Windows XP - KB888302
Correctif Windows XP - KB890859
Correctif Windows XP - KB891781
Creative PC-CAM Center
Creative WebCam Monitor
Creative WebCam NX Pro Driver (1.02.03.0218)
DivX Codec
DivX Content Uploader
DivX Player
DivX Web Player
DScaler 4.1.15
EuroTalk Talk Now Plus!
FileZilla (remove only)
GameSpy Arcade
Gimp pour Windows
Google Earth
GrabIt 1.6.2 Beta (build 940)
HijackThis 2.0.2
ImgBurn
iTunes
IZArc 3.6
J2SE Runtime Environment 5.0 Update 11
Java Application Platform SDK
Java(TM) 6 Update 7
jEdit 4.3pre15
K!TV
KhalSetup
Lavasoft VX2 Cleaner
Lecteur Windows Media 10
Logitech SetPoint
Manuel d'utilisation de Creative WebCam NX Pro (Français)
Marvell Miniport Driver
Messenger Plus! Live
Microsoft .NET Framework 2.0
Microsoft .NET Framework 2.0
Microsoft .NET Framework 2.0 Language Pack - FRA
Microsoft Visual C++ 2005 Express - FRA
Microsoft Visual C++ 2005 Express Edition - FRA
Microsoft Visual C++ 2005 Redistributable
Mise à jour de sécurité pour Lecteur Windows Media (KB911564)
Mise à jour de sécurité pour Lecteur Windows Media 10 (KB917734)
Mise à jour de sécurité pour Lecteur Windows Media 9 (KB917734)
Mise à jour de sécurité pour Windows XP (KB893756)
Mise à jour de sécurité pour Windows XP (KB896358)
Mise à jour de sécurité pour Windows XP (KB896423)
Mise à jour de sécurité pour Windows XP (KB896424)
Mise à jour de sécurité pour Windows XP (KB896428)
Mise à jour de sécurité pour Windows XP (KB899587)
Mise à jour de sécurité pour Windows XP (KB899591)
Mise à jour de sécurité pour Windows XP (KB900725)
Mise à jour de sécurité pour Windows XP (KB901017)
Mise à jour de sécurité pour Windows XP (KB901214)
Mise à jour de sécurité pour Windows XP (KB902400)
Mise à jour de sécurité pour Windows XP (KB904706)
Mise à jour de sécurité pour Windows XP (KB905414)
Mise à jour de sécurité pour Windows XP (KB905749)
Mise à jour de sécurité pour Windows XP (KB908519)
Mise à jour de sécurité pour Windows XP (KB911562)
Mise à jour de sécurité pour Windows XP (KB911567)
Mise à jour de sécurité pour Windows XP (KB911927)
Mise à jour de sécurité pour Windows XP (KB912919)
Mise à jour de sécurité pour Windows XP (KB913580)
Mise à jour de sécurité pour Windows XP (KB914388)
Mise à jour de sécurité pour Windows XP (KB914389)
Mise à jour de sécurité pour Windows XP (KB917344)
Mise à jour de sécurité pour Windows XP (KB917422)
Mise à jour de sécurité pour Windows XP (KB917953)
Mise à jour de sécurité pour Windows XP (KB918439)
Mise à jour de sécurité pour Windows XP (KB919007)
Mise à jour de sécurité pour Windows XP (KB920213)
Mise à jour de sécurité pour Windows XP (KB920214)
Mise à jour de sécurité pour Windows XP (KB920670)
Mise à jour de sécurité pour Windows XP (KB920683)
Mise à jour de sécurité pour Windows XP (KB920685)
Mise à jour de sécurité pour Windows XP (KB921398)
Mise à jour de sécurité pour Windows XP (KB922616)
Mise à jour de sécurité pour Windows XP (KB922760)
Mise à jour de sécurité pour Windows XP (KB922819)
Mise à jour de sécurité pour Windows XP (KB923191)
Mise à jour de sécurité pour Windows XP (KB923414)
Mise à jour de sécurité pour Windows XP (KB923689)
Mise à jour de sécurité pour Windows XP (KB923694)
Mise à jour de sécurité pour Windows XP (KB923980)
Mise à jour de sécurité pour Windows XP (KB924191)
Mise à jour de sécurité pour Windows XP (KB924270)
Mise à jour de sécurité pour Windows XP (KB924496)
Mise à jour de sécurité pour Windows XP (KB925454)
Mise à jour de sécurité pour Windows XP (KB925486)
Mise à jour de sécurité pour Windows XP (KB926255)
Mise à jour de sécurité pour Windows XP (KB929969)
Mise à jour pour Windows XP (KB894391)
Mise à jour pour Windows XP (KB898461)
Mise à jour pour Windows XP (KB900485)
Mise à jour pour Windows XP (KB908531)
Mise à jour pour Windows XP (KB910437)
Mise à jour pour Windows XP (KB911280)
Mise à jour pour Windows XP (KB916595)
Mise à jour pour Windows XP (KB920872)
Mise à jour pour Windows XP (KB922582)
Module de prise en charge linguistique de Microsoft .NET Framework 2.0 - FRA
Mozilla Firefox (3.0.3)
Mozilla Thunderbird (1.5)
MySQL Server 5.0
NVIDIA Drivers
NVIDIA ForceWare Network Access Manager
NVIDIA ForceWare Network Access Manager
NvMixer
nxtvepg 2.7.6
OpenOffice.org 3.0
QuickPar 0.9
QuickTime
Race Driver 3
REALTEK RTL8187 Wireless LAN Driver and Utility
Recuva (remove only)
Skype 3.1
Skype Plugin Manager
Sony Media Manager for PSP 2.0b
Spybot - Search & Destroy
Star Downloader Free
Studio PCTV
Studio PCTV
SUPER © Version 2007.bld.22 (Mar 14, 2007)
UltraVNC v1.0.2 Fr
VideoLAN VLC media player 0.8.6a
Virtools 3D Life Player
Virtual Cable Tester
WebFldrs XP
Windows Installer 3.1 (KB893803)
Windows Live Messenger
Windows Media Format Runtime
Windows XP Service Pack 2
WinISO 5.3
Xvid 1.1.2 final uninstall



Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 3C5C-5A7D

Répertoire de C:\Program Files

16/11/2008 18:24 <REP> .
16/11/2008 18:24 <REP> ..
12/11/2008 09:09 <REP> Adobe
18/06/2007 12:06 <REP> Apple Software Update
21/11/2006 21:59 <REP> ATI Multimedia
21/12/2006 20:37 <REP> AviSynth 2.5
08/12/2006 21:55 <REP> Burn4Free Toolbar
30/11/2006 14:03 <REP> Canon
20/11/2006 23:12 <REP> ComPlus Applications
21/11/2006 22:15 <REP> Creative
19/04/2007 22:12 <REP> DivX
17/04/2007 20:42 <REP> eRightSoft
16/06/2007 18:45 <REP> EuroTalk
13/10/2008 09:12 <REP> Fichiers communs
16/11/2008 18:24 <REP> Grisoft
02/02/2007 22:26 <REP> Internet Explorer
18/06/2007 12:09 <REP> iPod
31/10/2008 18:34 <REP> Java
09/10/2008 12:10 <REP> jEdit
31/10/2008 18:35 <REP> JRE
13/10/2008 09:12 <REP> Lavasoft
10/12/2006 14:34 <REP> Logitech
20/11/2006 23:24 <REP> Marvell
21/11/2006 01:19 <REP> Messenger
16/10/2008 08:01 <REP> Messenger Plus! Live
20/11/2006 23:15 <REP> microsoft frontpage
15/05/2007 22:42 <REP> Microsoft Office
15/05/2007 22:42 <REP> Microsoft.NET
20/11/2006 23:43 <REP> Movie Maker
20/11/2006 23:12 <REP> MSN
20/11/2006 23:11 <REP> MSN Gaming Zone
16/10/2008 08:01 <REP> MSN Messenger
08/10/2008 07:24 <REP> MySQL
20/11/2006 23:42 <REP> NetMeeting
21/11/2006 00:48 <REP> NVIDIA Corporation
31/10/2008 18:35 <REP> OpenOffice.org 2.0
31/10/2008 18:35 <REP> OpenOffice.org 3
15/12/2006 08:42 <REP> Outlook Express
02/10/2008 10:17 <REP> REALTEK
03/08/2007 13:42 <REP> Recuva
20/11/2006 23:12 <REP> Services en ligne
30/03/2007 19:41 <REP> Skype
21/10/2008 22:40 <REP> Trend Micro
11/01/2007 20:37 <REP> videofixer
30/03/2007 22:04 <REP> Virtools
12/12/2006 23:26 <REP> VirtualDub
12/06/2007 21:08 <REP> Windows Live
15/12/2006 00:10 <REP> Windows Media Connect 2
15/12/2006 00:10 <REP> Windows Media Player
20/11/2006 23:42 <REP> Windows NT
20/11/2006 23:15 <REP> xerox
05/12/2006 10:54 <REP> Xvid
0 fichier(s) 0 octets
52 Rép(s) 10 019 876 864 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 3C5C-5A7D

Répertoire de C:\Program Files\fichiers communs

13/10/2008 09:12 <REP> .
13/10/2008 09:12 <REP> ..
10/12/2006 22:07 <REP> Adobe
21/11/2006 21:59 <REP> ATI
15/05/2007 22:42 <REP> Designer
21/11/2006 00:48 <REP> InstallShield
17/03/2007 17:59 <REP> Java
10/12/2006 14:34 <REP> Logitech
15/05/2007 22:43 <REP> Merge Modules
15/05/2007 22:44 <REP> Microsoft Shared
20/11/2006 23:12 <REP> MSSoap
21/11/2006 00:48 <REP> NVIDIA Shared
20/11/2006 23:03 <REP> ODBC
20/11/2006 23:13 <REP> Services
30/03/2007 19:41 <REP> Skype
20/11/2006 23:03 <REP> SpeechEngines
15/12/2006 08:42 <REP> System
13/10/2008 09:12 <REP> Wise Installation Wizard
0 fichier(s) 0 octets
18 Rép(s) 10 019 876 864 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 3C5C-5A7D

Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

20/11/2006 23:19 <REP> .
20/11/2006 23:19 <REP> ..
18/05/2001 17:57 561 209 MSONSEXT.DLL
03/06/1999 14:09 122 937 MSOWS409.DLL
07/03/2001 09:00 127 033 MSOWS40c.DLL
3 fichier(s) 811 179 octets
2 Rép(s) 10 019 876 864 octets libres




c:\Documents and Settings\Administrateur\Bureau\ewido-setup.exe
c:\Documents and Settings\Administrateur\Bureau\SmitfraudFix.exe
c:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\404Fix.exe
c:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\dumphive.exe
c:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\exit.exe
c:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\GenericRenosFix.exe
c:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\HostsChk.exe
c:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\IEDFix.C.exe
c:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\IEDFix.exe
c:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\o4Patch.exe
c:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\Policies.exe
c:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\Process.exe
c:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\Reboot.exe
c:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\restart.exe
c:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\SmiUpdate.exe
c:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\SrchSTS.exe
c:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\swreg.exe
c:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\swsc.exe
c:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\swxcacls.exe
c:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\UIFix.exe
c:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\unzip.exe
c:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\VACFix.exe
c:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\VCCLSID.exe
c:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\WS2Fix.exe
c:\Documents and Settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 7.2.0.35\iTunesSetupAdmin.exe
c:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\GLCHK1SL\iTunesSetupAdmin[1].exe
c:\Documents and Settings\All Users\Application Data\Grisoft\AVG Anti-Spyware 7.5\Downloads\help.dll
c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll
c:\Documents and Settings\LocalService\Application Data\Microsoft\UPnP Device Host\upnphost\udhisapi.dll

****** Fin du rapport DiagHelp

Malwarebytes' Anti-Malware :

Malwarebytes' Anti-Malware 1.30
Version de la base de données: 1306
Windows 5.1.2600 Service Pack 2

16/11/2008 19:56:11
mbam-log-2008-11-16 (19-56-11).txt

Type de recherche: Examen complet (C:\|D:\|E:\|)
Eléments examinés: 222099
Temps écoulé: 37 minute(s), 2 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\poof (Rootkit.Agent) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\brastk (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\ -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\ -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\ (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\delself.bat (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dllcache\beep.sys (Fake.Beep.Sys) -> Quarantined and deleted successfully.
C:\WINDOWS\brastk.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HijackThis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:17:40, on 16/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
D:\OUTILS\Internet\Mozilla Firefox\firefox.exe
C:\HT\HT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://upload.malekal.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [avast!] D:\OUTILS\Avast\ashDisp.exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [nTrayFw] D:\NVIDIA\NETWOR~1\bin\nTrayFw.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\OUTILS\Photo-Vidéo\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\OUTILS\Audio\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\OUTILS\Bureautique\Adobe Reader\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKUS\S-1-5-18\..\Run: [brastk] C:\WINDOWS\system32\brastk.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [brastk] C:\WINDOWS\system32\brastk.exe (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = ?
O4 - Global Startup: REALTEK RTL8187 Wireless LAN Utility.lnk = C:\Program Files\REALTEK\RTL8187 Wireless LAN Utility\RtWLan.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\npjpi160_07.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\npjpi160_07.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\OUTILS\SCURIT~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\OUTILS\SCURIT~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\OUTILS\Avast\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\OUTILS\Avast\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\OUTILS\Avast\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\OUTILS\Avast\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - D:\NVIDIA\NETWOR~1\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - D:\NVIDIA\NETWOR~1\Apache Group\Apache2\bin\apache.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: MySQL - Unknown owner - C:\Program.exe (file missing)
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - D:\NVIDIA\NETWOR~1\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - D:\NVIDIA\NETWOR~1\bin\nSvcLog.exe
O23 - Service: Apache Tomcat (Tomcat5) - Apache Software Foundation - D:\OUTILS\Developpement\Tomcat 5.5\bin\tomcat5.exe

--
End of file - 4830 bytes

Publicité
philae
 Posté le 16/11/2008 à 21:00 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Grande Maîtresse astucienne

bonsoir,

en cours d'analyse..............

philae
 Posté le 16/11/2008 à 21:03 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Grande Maîtresse astucienne

re

*- Pour tous les lecteurs :
-- Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.
-- Ne pas utiliser en dehors de ce cas de figure : dangereux!

Téléchargez Combofix (de sUBs) sur l'un de ces liens :

Lien 1
Lien 2
Lien 3

* IMPORTANT !!! Enregistrez ComboFix.exe sur votre Bureau


/!\ Désactivez votre antivirus / antispyware résident / TeaTimer de Spybot (s'ils fonctionnent encore! ) en général via un clic droit sur l'icône de la Zone de notification.

Désactiver les protections résidentes - Tutoriel

* Faites un double clic sur combofix.exe & suivez les invites.

* Lors de son exécution, ComboFix va vérifier si la Console de récupération Microsoft Windows est installée. Avec des infections comme celles d'aujourd'hui, il est fortement conseillé de l'avoir pré-installée sur votre PC avant toute suppression de nuisibles. Elle vous permettra de démarrer dans un mode spécial, de récupération (réparation), qui nous permet de vous aider plus facilement si jamais votre ordinateur rencontre un problème après une tentative de nettoyage.

* Suivez les invites pour permettre à ComboFix de télécharger et installer la Console de récupération Microsoft Windows, et lorsque cela vous est demandé, acceptez le Contrat de Licence Utilisateur Final pour installer la Console de récupération Microsoft Windows.

**Note importante: Si la Console de récupération Microsoft Windows est déjà installée, ComboFix continuera ses procédures de suppression de nuisibles.

* Une fois que la Console de récupération Microsoft Windows est installée via ComboFix, vous devriez voir le message suivant:

* Cliquez sur Oui/Yes, pour poursuivre avec la recherche de nuisibles.

* Lorsque l'outil aura terminé, il vous affichera un rapport. Veuillez copier le contenu de C:\ComboFix.txt dans votre prochaine réponse.

benhur80
 Posté le 17/11/2008 à 09:43 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Merci beaucoup philae!

Dès le début comboFix a trouvé un rootkit, redémarré windows et déjà plus de blue screen!!! Je ne pensais vraiment pas que le virus (rootkit) pouvait être aussi pervers...

Donc merci beaucoup!

Voilà le rapport de comboFix :
ComboFix 08-11-16.05 - Benjamin 2008-11-17 9:25:23.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.2386 [GMT 1:00]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\drivers\TDSSmqlt.sys
c:\windows\system32\drivers\TDSSpqxt.sys
c:\windows\system32\TDSSbrsr.dll
c:\windows\system32\TDSSbubx.log
c:\windows\system32\TDSScfum.dll
c:\windows\system32\TDSSlxwp.dll
c:\windows\system32\TDSSnmxh.log
c:\windows\system32\TDSSoiqh.dll
c:\windows\system32\TDSSosvd.dat
c:\windows\system32\TDSSrhym.dll
c:\windows\system32\TDSSriqp.dll
c:\windows\system32\TDSSsihc.dll
c:\windows\system32\TDSStkdv.log

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_TDSSSERV
-------\Legacy_TDSSSERV
-------\Service_TDSSSERV.SYS
-------\Service_TDSSSERV.SYS)
-------\Legacy_TDSSSERV.SYS)


((((((((((((((((((((((((((((( Fichiers créés du 2008-10-17 au 2008-11-17 ))))))))))))))))))))))))))))))))))))
.

2008-11-17 09:24 . 2008-11-17 09:24 73,728 --a------ c:\windows\system32\TDSSrmxa.dll
2008-11-17 09:24 . 2008-11-17 09:24 60,416 --a------ c:\windows\system32\drivers\TDSSoiqh.sys
2008-11-17 09:24 . 2008-11-17 09:24 31,232 --a------ c:\windows\system32\TDSSfpmp.dll
2008-11-17 09:24 . 2008-11-17 09:24 29,696 --a------ c:\windows\system32\TDSScfub.dll
2008-11-17 09:24 . 2008-11-17 09:24 2,264 --a------ c:\windows\system32\TDSSsbhc.dll
2008-11-17 09:24 . 2008-11-17 09:24 527 --a------ c:\windows\system32\TDSSriqp.dat
2008-11-17 09:23 . 2008-11-17 09:24 35,840 --a------ c:\windows\system32\TDSSnrse.dll
2008-11-17 09:06 . 2008-11-17 09:06 3,047,437 -ra------ C:\CbFx.exe
2008-11-16 18:58 . 2008-11-16 18:58 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2008-11-16 18:58 . 2008-11-16 18:58 <REP> d-------- c:\documents and settings\Administrateur\Application Data\Malwarebytes
2008-11-16 18:58 . 2008-11-16 18:58 <REP> d-------- c:\docume~1\ALLUSE~1\APPLIC~1\Malwarebytes
2008-11-16 18:58 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-11-16 18:58 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-11-16 18:54 . 2008-11-17 09:18 <REP> d-------- C:\HT
2008-11-16 18:24 . 2008-11-16 18:24 <REP> d-------- c:\docume~1\ALLUSE~1\APPLIC~1\Grisoft
2008-11-16 18:24 . 2007-05-30 13:10 10,872 --a------ c:\windows\system32\drivers\AvgAsCln.sys
2008-11-16 17:56 . 2008-11-16 17:56 23,212 --a------ C:\cc_20081116_175607.reg
2008-11-16 17:40 . 2006-11-20 23:02 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage réseau
2008-11-16 17:40 . 2006-11-20 23:02 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage d'impression
2008-11-16 17:40 . 2006-11-20 23:11 <REP> d--h----- c:\documents and settings\Administrateur\Modèles
2008-11-16 17:40 . 2006-11-20 23:02 <REP> d-------- c:\documents and settings\Administrateur\Mes documents
2008-11-16 17:40 . 2006-11-20 23:02 <REP> dr------- c:\documents and settings\Administrateur\Menu Démarrer
2008-11-16 17:40 . 2008-11-16 18:32 <REP> d-------- c:\documents and settings\Administrateur\Favoris
2008-11-16 17:40 . 2008-11-16 20:27 <REP> d-------- c:\documents and settings\Administrateur\Bureau
2008-11-16 17:40 . 2008-11-16 17:55 <REP> d-------- c:\documents and settings\Administrateur
2008-11-16 16:42 . 2008-11-17 09:10 73,728 --a------ c:\windows\system32\TDSSnrsr.dll
2008-11-16 16:42 . 2008-11-17 09:10 31,232 --a------ c:\windows\system32\TDSSosvd.dll
2008-11-16 16:42 . 2008-11-17 09:10 29,696 --a------ c:\windows\system32\TDSSofxh.dll
2008-11-16 16:42 . 2008-11-17 09:09 2,276 --a------ c:\windows\system32\TDSSfxmp.dll
2008-11-16 16:42 . 2008-11-17 09:09 527 --a------ c:\windows\system32\TDSSpaxt.dat
2008-10-31 18:35 . 2008-10-31 18:35 <REP> d-------- c:\program files\OpenOffice.org 3
2008-10-31 18:35 . 2008-10-31 18:35 <REP> d-------- c:\program files\JRE
2008-10-31 18:34 . 2008-06-10 02:32 73,728 --a------ c:\windows\system32\javacpl.cpl
2008-10-21 23:04 . 2008-10-21 23:04 164,934 --a------ C:\cc_20081022_000420.reg
2008-10-21 22:45 . 2005-01-20 12:47 175,616 --a------ c:\windows\system32\strings.exe
2008-10-21 22:45 . 2005-01-13 20:41 39,184 --a------ c:\windows\system32\Ntrights.exe
2008-10-21 22:45 . 2005-10-19 17:50 16,384 --a------ c:\windows\system32\restart.exe
2008-10-21 22:45 . 2005-01-13 20:41 11,254 --a------ c:\windows\system32\locate.com
2008-10-21 22:40 . 2008-10-21 22:40 <REP> d-------- c:\program files\Trend Micro
2008-10-21 22:15 . 2008-09-08 22:38 88,576 --a------ c:\windows\system32\AntiXPVSTFix.exe
2008-10-21 21:36 . 2008-11-16 18:18 2,218 --a------ c:\windows\system32\tmp.reg
2008-10-21 21:10 . 2008-11-17 09:09 35,840 --a------ c:\windows\system32\TDSSosvn.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-31 17:35 --------- d-----w c:\program files\OpenOffice.org 2.0
2008-10-31 17:34 --------- d-----w c:\program files\Java
2008-10-21 22:03 --------- d-----w c:\docume~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
2008-10-16 07:01 --------- d-----w c:\program files\MSN Messenger
2008-10-16 07:01 --------- d-----w c:\program files\Messenger Plus! Live
2008-10-13 08:13 --------- d-----w c:\docume~1\ALLUSE~1\APPLIC~1\Lavasoft
2008-10-13 08:12 --------- d-----w c:\program files\Lavasoft
2008-10-13 08:12 --------- d-----w c:\program files\Fichiers communs\Wise Installation Wizard
2008-10-09 11:10 --------- d-----w c:\program files\jEdit
2008-10-08 06:24 --------- d-----w c:\program files\MySQL
2008-10-02 09:17 21,035 ----a-w c:\windows\system32\drivers\AegisP.sys
2008-10-02 09:17 --------- d--h--w c:\program files\InstallShield Installation Information
2008-10-02 09:17 --------- d-----w c:\program files\REALTEK
2005-05-13 16:12 217,073 --sha-r c:\windows\meta4.exe
2005-10-24 10:13 66,560 --sha-r c:\windows\MOTA113.exe
2005-07-14 11:31 27,648 --sha-r c:\windows\system32\AVSredirect.dll
2005-06-26 14:32 616,448 --sha-r c:\windows\system32\cygwin1.dll
2005-06-21 21:37 45,568 --sha-r c:\windows\system32\cygz.dll
2006-05-03 09:06 163,328 --sh--r c:\windows\system32\flvDX.dll
2004-01-24 23:00 70,656 --sha-r c:\windows\system32\i420vfw.dll
2007-02-21 10:47 31,232 --sh--r c:\windows\system32\msfDX.dll
2005-02-28 12:16 240,128 --sha-r c:\windows\system32\x.264.exe
2004-01-24 23:00 70,656 --sha-r c:\windows\system32\yv12vfw.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2004-10-13 1694208]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2007-03-23 25268776]
"SpybotSD TeaTimer"="d:\outils\Sécurité\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NVMixerTray"="c:\program files\NVIDIA Corporation\NvMixer\NVMixerTray.exe" [2004-12-20 131072]
"nTrayFw"="d:\nvidia\NETWOR~1\bin\nTrayFw.exe" [2005-12-21 270336]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"QuickTime Task"="d:\outils\Photo-Vidéo\QuickTime\qttask.exe" [2007-04-27 282624]
"iTunesHelper"="d:\outils\Audio\iTunes\iTunesHelper.exe" [2007-06-01 257088]
"Adobe Reader Speed Launcher"="d:\outils\Bureautique\Adobe Reader\Reader\Reader_sl.exe" [2008-01-11 39792]
"!AVG Anti-Spyware"="c:\program files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 6731312]

c:\docume~1\ALLUSE~1\MENUDM~1\PROGRA~1\DMARRA~1\
Logitech SetPoint.lnk - c:\program files\Logitech\SetPoint\SetPoint.exe [2006-12-10 671744]
REALTEK RTL8187 Wireless LAN Utility.lnk - c:\program files\REALTEK\RTL8187 Wireless LAN Utility\RtWLan.exe [2008-10-02 815104]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"MSVIDEO"= pctvcap.dll
"vidc.vixl"= miroxl32.dll
"VIDC.PIXL"= PCLEpixl.dll
"VIDC.PIM1"= PCLEPIM1.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
--a------ 2006-11-12 11:48 157592 d:\outils\Gravure\DAEMON Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LaunchList]
--------- 2000-02-07 16:36 36864 d:\outils\TV\Pinnacle Studio\LaunchList.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Logitech Hardware Abstraction Layer]
--a------ 2006-07-19 12:03 94208 c:\program files\Fichiers communs\Logitech\khalshared\KHALMNPR.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Kernel and Hardware Abstraction Layer]
--a------ 2006-07-19 12:03 94208 c:\windows\KHALMNPR.Exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\NVIDIA\\Network Access manager\\Apache Group\\Apache2\\bin\\Apache.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"c:\\Program Files\\MSN Messenger\\livecall.exe"=
"d:\\OUTILS\\Audio\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"22:TCP"= 22:TCP:SSH
"22:UDP"= 22:UDP:SSH

R0 sfsync03;StarForce Protection Synchronization Driver (version 3.x);c:\windows\system32\drivers\sfsync03.sys [2005-12-06 35328]
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-10-11 78416]
R1 pctvNT;Studio PCTV;c:\windows\system32\DRIVERS\pctvW2k.sys [2006-11-21 42448]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2008-10-11 20560]
R2 EAPPkt;Realtek EAPPkt Protocol;c:\windows\system32\DRIVERS\EAPPkt.sys [2008-10-02 38144]
R2 LBeepKE;LBeepKE;c:\windows\system32\Drivers\LBeepKE.sys [2006-12-10 3712]
R3 TESTCAP;Studio PCTV (Audio);c:\windows\system32\DRIVERS\PCTVAud.sys [2006-11-21 2145]
S0 ddqyvk;ddqyvk;c:\windows\system32\drivers\cxhwprud.sys []
S2 vnccom;vnccom;c:\windows\system32\Drivers\vnccom.SYS [2006-11-23 6016]
S3 RTLWUSB;Realtek RTL8187 Wireless 802.11b/g 54Mbps USB 2.0 Network Adapter;c:\windows\system32\DRIVERS\RTL8187.sys [2008-10-02 269824]
S3 SaiH040C;SaiH040C;c:\windows\system32\DRIVERS\SaiH040C.sys [2006-12-10 173568]
S3 SaiU040C;SaiU040C;c:\windows\system32\DRIVERS\SaiU040C.sys [2006-12-10 26496]
S3 Tomcat5;Apache Tomcat;"d:\outils\Developpement\Tomcat 5.5\bin\tomcat5.exe" //RS//Tomcat5 [2007-03-05 53248]
S4 hpt3xx;hpt3xx; []
.
Contenu du dossier 'Tâches planifiées'

2008-10-13 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-01-10 14:42]
.
- - - - ORPHELINS SUPPRIMES - - - -

HKLM-Run-Malwarebytes Anti-Malware (reboot) - c:\program files\Malwarebytes' Anti-Malware\mbam.exe
HKU-Default-Run-brastk - c:\windows\system32\brastk.exe
SafeBoot-TDSSmqlt.sys


.
------- Examen supplémentaire -------
.
FireFox -: Profile - c:\documents and settings\Benjamin\Application Data\Mozilla\Firefox\Profiles\7rhlszp9.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://en-us.start.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official
FF -: plugin - c:\program files\DivX\DivX Content Uploader\npUpload.dll
FF -: plugin - d:\outils\Bureautique\Adobe Reader\Reader\browser\nppdf32.dll
FF -: plugin - d:\outils\Internet\Mozilla Firefox\plugins\npdivx32.dll
FF -: plugin - d:\outils\Internet\Mozilla Firefox\plugins\npDivxPlayerPlugin.dll
FF -: plugin - d:\outils\Internet\Mozilla Firefox\plugins\npitunes.dll
FF -: plugin - d:\outils\Internet\Mozilla Firefox\plugins\npnul32.dll
FF -: plugin - d:\outils\Internet\Mozilla Firefox\plugins\nppdf32.dll
FF -: plugin - d:\outils\Internet\Mozilla Firefox\plugins\npqtplugin.dll
FF -: plugin - d:\outils\Internet\Mozilla Firefox\plugins\npqtplugin2.dll
FF -: plugin - d:\outils\Internet\Mozilla Firefox\plugins\npqtplugin3.dll
FF -: plugin - d:\outils\Internet\Mozilla Firefox\plugins\npqtplugin4.dll
FF -: plugin - d:\outils\Internet\Mozilla Firefox\plugins\npqtplugin5.dll
FF -: plugin - d:\outils\Internet\Mozilla Firefox\plugins\npqtplugin6.dll
FF -: plugin - d:\outils\Internet\Mozilla Firefox\plugins\npqtplugin7.dll
FF -: plugin - d:\outils\Internet\Mozilla Firefox\plugins\NPSWF32.dll
FF -: plugin - d:\outils\Internet\Mozilla Firefox\plugins\npvirtools.dll
FF -: plugin - d:\outils\Photo-Vidéo\QuickTime\Plugins\npqtplugin.dll
FF -: plugin - d:\outils\Photo-Vidéo\QuickTime\Plugins\npqtplugin2.dll
FF -: plugin - d:\outils\Photo-Vidéo\QuickTime\Plugins\npqtplugin3.dll
FF -: plugin - d:\outils\Photo-Vidéo\QuickTime\Plugins\npqtplugin4.dll
FF -: plugin - d:\outils\Photo-Vidéo\QuickTime\Plugins\npqtplugin5.dll
FF -: plugin - d:\outils\Photo-Vidéo\QuickTime\Plugins\npqtplugin6.dll
FF -: plugin - d:\outils\Photo-Vidéo\QuickTime\Plugins\npqtplugin7.dll
FF -: plugin - d:\outils\Photo-Vidéo\VLC\npvlc.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-17 09:28:34
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MySQL]
"ImagePath"="\"c:\program files\MySQL\MySQL Server 5.0\bin\mysqld-nt\" --defaults-file=\"c:\program files\MySQL\MySQL Server 5.0\my.ini\" MySQL"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\TDSSserv.sys]
"imagepath"="\systemroot\system32\drivers\TDSSejtl.sys"
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Lavasoft\Ad-Aware\aawservice.exe
d:\outils\Avast\aswUpdSv.exe
d:\outils\Avast\ashServ.exe
c:\program files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
d:\nvidia\NETWOR~1\Apache Group\Apache2\bin\Apache.exe
d:\nvidia\NETWOR~1\bin\nSvcIp.exe
d:\nvidia\NETWOR~1\bin\nSvcLog.exe
d:\nvidia\NETWOR~1\Apache Group\Apache2\bin\Apache.exe
c:\windows\system32\wdfmgr.exe
d:\nvidia\NETWOR~1\bin\nSvcAppFlt.exe
d:\outils\Avast\ashMaiSv.exe
d:\outils\Avast\ashWebSv.exe
c:\program files\iPod\bin\iPodService.exe
c:\program files\OpenOffice.org 3\program\soffice.exe
c:\program files\OpenOffice.org 3\program\soffice.bin
.
**************************************************************************
.
Heure de fin: 2008-11-17 9:31:54 - La machine a redémarré
ComboFix-quarantined-files.txt 2008-11-17 08:31:49

Avant-CF: 9 920 651 264 octets libres
Après-CF: 9,981,190,144 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP" /fastdetect /NoExecute=OptIn

245


et un petit coup de HijackThis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:41:37, on 17/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
D:\OUTILS\Avast\aswUpdSv.exe
D:\OUTILS\Avast\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
D:\NVIDIA\NETWOR~1\Apache Group\Apache2\bin\apache.exe
D:\NVIDIA\NETWOR~1\bin\nSvcIp.exe
D:\NVIDIA\NETWOR~1\bin\nSvcLog.exe
C:\WINDOWS\System32\svchost.exe
D:\NVIDIA\NETWOR~1\Apache Group\Apache2\bin\apache.exe
D:\NVIDIA\NETWOR~1\bin\nSvcAppFlt.exe
C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe
D:\NVIDIA\NETWOR~1\bin\nTrayFw.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
D:\OUTILS\Photo-Vidéo\QuickTime\qttask.exe
D:\OUTILS\Audio\iTunes\iTunesHelper.exe
D:\OUTILS\Avast\ashMaiSv.exe
D:\OUTILS\Avast\ashWebSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Messenger\msmsgs.exe
D:\OUTILS\Sécurité\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\REALTEK\RTL8187 Wireless LAN Utility\RtWLan.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Program Files\Fichiers communs\Logitech\khalshared\KHALMNPR.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [nTrayFw] D:\NVIDIA\NETWOR~1\bin\nTrayFw.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\OUTILS\Photo-Vidéo\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\OUTILS\Audio\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\OUTILS\Bureautique\Adobe Reader\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\OUTILS\Sécurité\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O4 - Global Startup: REALTEK RTL8187 Wireless LAN Utility.lnk = C:\Program Files\REALTEK\RTL8187 Wireless LAN Utility\RtWLan.exe
O8 - Extra context menu item: Download with Star Downloader - D:\OUTILS\Internet\Téléchargement\Star Downloader\sdie.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\OUTILS\SCURIT~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\OUTILS\SCURIT~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\OUTILS\Avast\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\OUTILS\Avast\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\OUTILS\Avast\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\OUTILS\Avast\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - D:\NVIDIA\NETWOR~1\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - D:\NVIDIA\NETWOR~1\Apache Group\Apache2\bin\apache.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: MySQL - Unknown owner - C:\Program.exe (file missing)
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - D:\NVIDIA\NETWOR~1\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - D:\NVIDIA\NETWOR~1\bin\nSvcLog.exe
O23 - Service: Apache Tomcat (Tomcat5) - Apache Software Foundation - D:\OUTILS\Developpement\Tomcat 5.5\bin\tomcat5.exe

--
End of file - 6118 bytes

philae
 Posté le 17/11/2008 à 14:10 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Grande Maîtresse astucienne

bonjour,

je regarde tes rapports, je reviens ensuite.

pour info : les rootkits sont toujours très pervers. D'ailleurs si tu consultes des sites comme ta banque par exemple en ligne, je te conseillerais de changer de mot de passe, lorsque le pc sera propre à nouveau.

philae
 Posté le 17/11/2008 à 14:31 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Grande Maîtresse astucienne

re

voilà pour la suite. il en reste encore

* tu vas faire analyser ces 4 fichiers ci dessous sur VIRUS TOTAL pour faire analyser ce fichier

Tuto


c:\windows\system32\strings.exe
c:\windows\meta4.exe
c:\windows\system32\msfDX.dll
c:\windows\system32\x.264.exe

et tu posteras le rapport généré pour chacun d'eux ici

ensuite IMPORTANT

* télécharge ERUNT afin de sauvegarder ta base de registre avant les manipulations suivantes

https://forum.pcastuces.com/tuto_erunt-f31s5.htm


Avis aux autres lecteurs, ce code a été rédigé spécialement pour cet utilisateur, il serait dangereux de le réutiliser sur votre ordinateur !

/!\ Désactivez votre antivirus / antispyware résident / TeaTimer de Spybot (si présent)
Désactiver les protections résidentes - Tutoriel
* Fermez tous les navigateurs ouverts

* Sélectionnez et copiez (Ctrl+C) le texte en citation ci-dessous :


driver::
ddqyvk

files::
c:\windows\system32\drivers\cxhwprud.sys
c:\windows\system32\TDSSrmxa.dll
c:\windows\system32\drivers\TDSSoiqh.sys
c:\windows\system32\TDSSfpmp.dll
c:\windows\system32\TDSScfub.dll
c:\windows\system32\TDSSsbhc.dll
c:\windows\system32\TDSSriqp.dat
c:\windows\system32\TDSSnrse.dll
c:\windows\system32\TDSSnrsr.dll
c:\windows\system32\TDSSosvd.dll
c:\windows\system32\TDSSofxh.dll
c:\windows\system32\TDSSfxmp.dll
c:\windows\system32\TDSSpaxt.dat
c:\windows\system32\tmp.reg
c:\windows\system32\TDSSosvn.dll
c:\windows\system32\flvDX.dll
c:\windows\system32\drivers\TDSSejtl.sys
C:\CbFx.exe
C:\cc_20081116_175607.reg
C:\cc_20081022_000420.reg
c:\windows\system32\locate.com
c:\windows\MOTA113.exe


registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\TDSSserv.sys]

  • Ouvrez le Bloc-Notes puis collez (Ctrl+V) le texte précédemment copié. (Bloc-Notes: démarrer > Tous les programmes > Accessoires > Bloc-Notes...)
  • Sauvegardez ce fichier sous le nom de: CFScript.txt au même endroit que ComboFix.exe
  • Comme l'image le montre, fais glisser CFScript.txt sur ComboFix.exe

  • Une fenêtre bleue va apparaître; au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
  • Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises, c'est normal!
  • Ne touche à rien tant que le scan n'est pas terminé.
  • Une fois le scan achevé, un rapport va s'afficher: poste son contenu dans ton prochain message.
  • Si le fichier ne s'ouvre pas, tu le trouveras dans -> C:\ComboFix.txt

benhur80
 Posté le 17/11/2008 à 18:03 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Désolé j'ai dû le refaire 2 fois car la 1ère je n'avais pas rendu visible les fichiers systèmes et certains étaient donc invisibles...

Voilà les résultats :

- VIRUS TOTAL (j'ai fait qq autres fichiers qui me semblaient louches) :

STRINGS.EXE

MD5: d732540c90f9d528de698b296c6a98a6
First received: 2006.11.08 17:27:03 (CET)
Date 2008.07.07 01:12:05 (CET) [>133D]
Résultats 2/33

Fichier strings.exe reçu le 2008.07.07 01:12:05 (CET)
Situation actuelle: terminé
Résultat: 2/33 (6.06%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 - - -
AntiVir - - -
Authentium - - -
Avast - - -
AVG - - -
BitDefender - - -
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - -
eSafe - - Suspicious File
eTrust-Vet - - -
Ewido - - -
F-Prot - - -
F-Secure - - -
Fortinet - - -
GData - - -
Ikarus - - -
Kaspersky - - -
McAfee - - -
Microsoft - - -
NOD32v2 - - -
Norman - - -
Panda - - Suspicious file
Prevx1 - - -
Rising - - -
Sophos - - -
Sunbelt - - -
Symantec - - -
TheHacker - - -
TrendMicro - - -
VBA32 - - -
VirusBuster - - -
Webwasher-Gateway - - -
Information additionnelle
MD5: d732540c90f9d528de698b296c6a98a6
SHA1: 6d8ca57200ab26e8e5b642481173e40cb0c98852
SHA256: 027ae7a89d00a50ad435f1fd7cceda2dd62872cebfa260520d8dc98a45b42d5b
SHA512: c7f691b8c9a76db2b0607ce85dc35e25adb3dc9aa7c387d2c1d9528b49dd6678a9c87a402448307900bca1157a78511795b7f4ecdd00610a121ed87067979b5a


--------------------------------------------------------------

meta4.exe

MD5: fce9e5f5c7ce6d7b1ec49b5ce07070c9
First received: 2006.06.03 06:40:45 (CET)
Date 2008.11.16 16:20:28 (CET) [+1D]
Résultats 4/35

Fichier meta4.exe reçu le 2008.11.16 16:20:28 (CET)
Situation actuelle: terminé
Résultat: 4/35 (11.43%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 - - -
AntiVir - - -
Authentium - - -
Avast - - -
AVG - - -
BitDefender - - -
CAT-QuickHeal - - (Suspicious) - DNAScan
ClamAV - - -
DrWeb - - -
eSafe - - Suspicious File
eTrust-Vet - - -
Ewido - - -
F-Prot - - -
F-Secure - - -
Fortinet - - -
GData - - -
Ikarus - - -
K7AntiVirus - - -
Kaspersky - - -
McAfee - - -
Microsoft - - -
NOD32 - - -
Norman - - -
Panda - - Suspicious file
PCTools - - -
Rising - - -
SecureWeb-Gateway - - Win32.Malware.gen!90 (suspicious)
Sophos - - -
Sunbelt - - -
Symantec - - -
TheHacker - - -
TrendMicro - - -
VBA32 - - -
ViRobot - - -
VirusBuster - - -
Information additionnelle
MD5: fce9e5f5c7ce6d7b1ec49b5ce07070c9
SHA1: 2ca7b4304072b5a2634bae8dbb496ab2ebbc921a
SHA256: 7939dfbfe0860998c18a2949d7cc177e9fe393886aa4160887adf7a48f9a503c
SHA512: 7a88dd8894311fcc92dc66ecedac4689631ccd9e898ddf9deeb37e3a7e07dbbe4ac19ff47faecb8af43f7f456a905b81523b1c5ba83870f00e7c609a42b5b022

-----------------------------------------------------------------------------

MOTA113.exe

MD5: f3f62f42e5ea4e65736338c0c43ad5c0
First received: 2006.06.02 14:09:13 (CET)
Date 2008.11.16 16:24:05 (CET) [+1D]
Résultats 6/36

Fichier MOTA113.exe reçu le 2008.11.16 16:24:05 (CET)
Situation actuelle: terminé
Résultat: 6/36 (16.67%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 - - -
AntiVir - - -
Authentium - - -
Avast - - -
AVG - - -
BitDefender - - -
CAT-QuickHeal - - (Suspicious) - DNAScan
ClamAV - - -
DrWeb - - -
eSafe - - Suspicious File
eTrust-Vet - - -
Ewido - - -
F-Prot - - -
F-Secure - - -
Fortinet - - -
GData - - -
Ikarus - - -
K7AntiVirus - - -
Kaspersky - - -
McAfee - - -
Microsoft - - -
NOD32 - - -
Norman - - -
Panda - - Suspicious file
PCTools - - -
Prevx1 - - -
Rising - - -
SecureWeb-Gateway - - -
Sophos - - Sus/ComPack-C
Sunbelt - - Porn-Dialer.Win32.CapreDeam.SHI (vf)
Symantec - - -
TheHacker - - -
TrendMicro - - PAK_Generic.001
VBA32 - - -
ViRobot - - -
VirusBuster - - -
Information additionnelle
MD5: f3f62f42e5ea4e65736338c0c43ad5c0
SHA1: d45071ec1fd1e805494dc04f5119f6d757e26729
SHA256: ed29a74ec976c7271606bc9b18cb903adcafa73962504624722389192c186684
SHA512: 2d8776e39b4c870e06a4946f0363993b001512a0cd83071c649360f31b7d2ed9aa2f4faf950b9bf4432189ffc230b91fc323e522d7480db77eb74b8d7ecd8b39

-----------------------------------------------------------------------------------------

MsfDX.dll

MD5: 21d8f42d54598b73c2e1a9571399113b
First received: 2007.06.18 18:39:15 (CET)
Date 2008.11.10 19:28:05 (CET) [>6D]
Résultats 1/36

Fichier msfDX.dll reçu le 2008.11.10 19:28:05 (CET)
Situation actuelle: terminé
Résultat: 1/36 (2.78%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 - - -
AntiVir - - -
Authentium - - -
Avast - - -
AVG - - -
BitDefender - - -
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - -
eSafe - - Suspicious File
eTrust-Vet - - -
Ewido - - -
F-Prot - - -
F-Secure - - -
Fortinet - - -
GData - - -
Ikarus - - -
K7AntiVirus - - -
Kaspersky - - -
McAfee - - -
Microsoft - - -
NOD32 - - -
Norman - - -
Panda - - -
PCTools - - -
Prevx1 - - -
Rising - - -
SecureWeb-Gateway - - -
Sophos - - -
Sunbelt - - -
Symantec - - -
TheHacker - - -
TrendMicro - - -
VBA32 - - -
ViRobot - - -
VirusBuster - - -
Information additionnelle
MD5: 21d8f42d54598b73c2e1a9571399113b
SHA1: ed711faa61fdd6d53eacc7a99d60d95dd9137a7d
SHA256: 992e23bddfa1eaaf66cc7ccbef23596be5d2b47aa6a8272028092b4829bde784
SHA512: a7e698a66e2dce5f0f7797a8dc2f992123a7bb7f8a0dc6214738a1ec5fcf9ed9a919e4e9f86522e5355deff30843238e3da7e008d13dc5cc8ad2552e28a32599

-------------------------------------------------------------------------------------

x.264.exe

MD5: 5fdd7d827c1cc58567367d03d24548ce
First received: 2006.07.06 10:22:54 (CET)
Date 2008.11.13 02:47:20 (CET) [>4D]
Résultats 1/36

Fichier x.264.exe reçu le 2008.11.13 02:47:20 (CET)
Situation actuelle: terminé
Résultat: 1/36 (2.78%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 - - -
AntiVir - - -
Authentium - - -
Avast - - -
AVG - - -
BitDefender - - -
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - -
eSafe - - Suspicious File
eTrust-Vet - - -
Ewido - - -
F-Prot - - -
F-Secure - - -
Fortinet - - -
GData - - -
Ikarus - - -
K7AntiVirus - - -
Kaspersky - - -
McAfee - - -
Microsoft - - -
NOD32 - - -
Norman - - -
Panda - - -
PCTools - - -
Prevx1 - - -
Rising - - -
SecureWeb-Gateway - - -
Sophos - - -
Sunbelt - - -
Symantec - - -
TheHacker - - -
TrendMicro - - -
VBA32 - - -
ViRobot - - -
VirusBuster - - -
Information additionnelle
MD5: 5fdd7d827c1cc58567367d03d24548ce
SHA1: 9937882f96f025991634b2833c5f4bcaef70beb2
SHA256: fb38f3faf93a90cfe0b9f0c0d9317eac12c2ccedc37e3058175b6e67598e2b91
SHA512: fe03478d08a06d5aef21a76027e59d2af64e215f753988f7fb3d28f1bc1e275efe0d40b635700e16495dc3085d7003eca58e5ef4c7a394f9a77ebcd10e3a1cd3

----------------------------------------------------------------------------------

yv12vfw.dll

MD5: 7029a7634c8dfa8ee619e79b1b9a378f
First received: 2007.04.07 00:52:49 (CET)
Date 2008.10.26 20:01:35 (CET) [>21D]
Résultats 1/36

Fichier yv12vfw.dll reçu le 2008.10.26 20:01:35 (CET)
Situation actuelle: terminé
Résultat: 1/36 (2.78%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 - - -
AntiVir - - -
Authentium - - -
Avast - - -
AVG - - -
BitDefender - - -
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - -
eSafe - - Suspicious File
eTrust-Vet - - -
Ewido - - -
F-Prot - - -
F-Secure - - -
Fortinet - - -
GData - - -
Ikarus - - -
K7AntiVirus - - -
Kaspersky - - -
McAfee - - -
Microsoft - - -
NOD32 - - -
Norman - - -
Panda - - -
PCTools - - -
Prevx1 - - -
Rising - - -
SecureWeb-Gateway - - -
Sophos - - -
Sunbelt - - -
Symantec - - -
TheHacker - - -
TrendMicro - - -
VBA32 - - -
ViRobot - - -
VirusBuster - - -
Information additionnelle
MD5: 7029a7634c8dfa8ee619e79b1b9a378f
SHA1: 2126dc5c319feb0b0f543216c64d242a5067f560
SHA256: edc075d9117c6bf52cb4079e21cc3b858d4977dd0abedc852dcc840b4231044e
SHA512: 59f8e78df1c20861c2a61659d25c08adc5bee9c261428b97f3e7c528499dd9b017beff4112cae4ec27784955eca8a9471086eee1829078956ef92028d67d3afc

--------------------------------------------------------------------------------

- Log ComboFix :

ComboFix 08-11-16.05 - Benjamin 2008-11-17 17:55:08.3 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.2364 [GMT 1:00]
Lancé depuis: C:\CbFx.exe
Commutateurs utilisés
C:\CFScript.txt
* Un nouveau point de restauration a été créé
.

((((((((((((((((((((((((((((( Fichiers créés du 2008-10-17 au 2008-11-17 ))))))))))))))))))))))))))))))))))))
.

2008-11-17 17:24 . 2008-11-17 17:25 <REP> d-------- c:\program files\ERUNT
2008-11-17 09:51 . 2008-11-17 17:39 200,819 --a------ c:\windows\system32\nvapps.xml
2008-11-17 09:51 . 2008-10-07 13:33 18,477 --a------ c:\windows\system32\nvdisp.nvu
2008-11-17 09:50 . 2008-11-17 09:50 <REP> d-------- C:\NVIDIA
2008-11-17 09:41 . 2008-11-17 09:41 <REP> d-------- C:\HijackThis
2008-11-17 09:40 . 2008-11-17 09:40 812,344 --a------ C:\HJTInstall.exe
2008-11-17 09:06 . 2008-11-17 09:06 3,047,437 -ra------ C:\CbFx.exe
2008-11-16 18:58 . 2008-11-16 18:58 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2008-11-16 18:58 . 2008-11-16 18:58 <REP> d-------- c:\documents and settings\Administrateur\Application Data\Malwarebytes
2008-11-16 18:58 . 2008-11-16 18:58 <REP> d-------- c:\docume~1\ALLUSE~1\APPLIC~1\Malwarebytes
2008-11-16 18:58 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-11-16 18:58 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-11-16 18:54 . 2008-11-17 09:18 <REP> d-------- C:\HT
2008-11-16 18:24 . 2008-11-16 18:24 <REP> d-------- c:\docume~1\ALLUSE~1\APPLIC~1\Grisoft
2008-11-16 18:24 . 2007-05-30 13:10 10,872 --a------ c:\windows\system32\drivers\AvgAsCln.sys
2008-11-16 17:56 . 2008-11-16 17:56 23,212 --a------ C:\cc_20081116_175607.reg
2008-11-16 17:40 . 2006-11-20 23:02 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage réseau
2008-11-16 17:40 . 2006-11-20 23:02 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage d'impression
2008-11-16 17:40 . 2006-11-20 23:11 <REP> d--h----- c:\documents and settings\Administrateur\Modèles
2008-11-16 17:40 . 2006-11-20 23:02 <REP> d-------- c:\documents and settings\Administrateur\Mes documents
2008-11-16 17:40 . 2006-11-20 23:02 <REP> dr------- c:\documents and settings\Administrateur\Menu Démarrer
2008-11-16 17:40 . 2008-11-16 18:32 <REP> d-------- c:\documents and settings\Administrateur\Favoris
2008-11-16 17:40 . 2008-11-16 20:27 <REP> d-------- c:\documents and settings\Administrateur\Bureau
2008-11-16 17:40 . 2008-11-16 17:55 <REP> d-------- c:\documents and settings\Administrateur
2008-10-31 18:35 . 2008-10-31 18:35 <REP> d-------- c:\program files\OpenOffice.org 3
2008-10-31 18:35 . 2008-10-31 18:35 <REP> d-------- c:\program files\JRE
2008-10-31 18:34 . 2008-06-10 02:32 73,728 --a------ c:\windows\system32\javacpl.cpl
2008-10-21 23:04 . 2008-10-21 23:04 164,934 --a------ C:\cc_20081022_000420.reg
2008-10-21 22:45 . 2005-01-20 12:47 175,616 --a------ c:\windows\system32\strings.exe
2008-10-21 22:45 . 2005-01-13 20:41 39,184 --a------ c:\windows\system32\Ntrights.exe
2008-10-21 22:45 . 2005-10-19 17:50 16,384 --a------ c:\windows\system32\restart.exe
2008-10-21 22:45 . 2005-01-13 20:41 11,254 --a------ c:\windows\system32\locate.com
2008-10-21 22:40 . 2008-10-21 22:40 <REP> d-------- c:\program files\Trend Micro
2008-10-21 22:15 . 2008-09-08 22:38 88,576 --a------ c:\windows\system32\AntiXPVSTFix.exe
2008-10-21 21:36 . 2008-11-16 18:18 2,218 --a------ c:\windows\system32\tmp.reg

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-31 17:35 --------- d-----w c:\program files\OpenOffice.org 2.0
2008-10-31 17:34 --------- d-----w c:\program files\Java
2008-10-21 22:03 --------- d-----w c:\docume~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
2008-10-16 07:01 --------- d-----w c:\program files\MSN Messenger
2008-10-16 07:01 --------- d-----w c:\program files\Messenger Plus! Live
2008-10-13 08:13 --------- d-----w c:\docume~1\ALLUSE~1\APPLIC~1\Lavasoft
2008-10-13 08:12 --------- d-----w c:\program files\Lavasoft
2008-10-13 08:12 --------- d-----w c:\program files\Fichiers communs\Wise Installation Wizard
2008-10-09 11:10 --------- d-----w c:\program files\jEdit
2008-10-08 06:24 --------- d-----w c:\program files\MySQL
2008-10-02 09:17 21,035 ----a-w c:\windows\system32\drivers\AegisP.sys
2008-10-02 09:17 --------- d--h--w c:\program files\InstallShield Installation Information
2008-10-02 09:17 --------- d-----w c:\program files\REALTEK
2008-10-02 09:07 453,152 ----a-w c:\windows\system32\NVUNINST.EXE
2005-05-13 16:12 217,073 --sha-r c:\windows\meta4.exe
2005-10-24 10:13 66,560 --sha-r c:\windows\MOTA113.exe
2005-07-14 11:31 27,648 --sha-r c:\windows\system32\AVSredirect.dll
2005-06-26 14:32 616,448 --sha-r c:\windows\system32\cygwin1.dll
2005-06-21 21:37 45,568 --sha-r c:\windows\system32\cygz.dll
2006-05-03 09:06 163,328 --sh--r c:\windows\system32\flvDX.dll
2004-01-24 23:00 70,656 --sha-r c:\windows\system32\i420vfw.dll
2007-02-21 10:47 31,232 --sh--r c:\windows\system32\msfDX.dll
2005-02-28 12:16 240,128 --sha-r c:\windows\system32\x.264.exe
2004-01-24 23:00 70,656 --sha-r c:\windows\system32\yv12vfw.dll
.

((((((((((((((((((((((((((((( snapshot_2008-11-17_17.41.12.62 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-11-17 16:25:45 10,461,184 ----a-w c:\windows\ERDNT\17-11-2008\Users\00000001\NTUSER.DAT
+ 2008-11-17 16:51:26 10,461,184 ----a-w c:\windows\ERDNT\17-11-2008\Users\00000001\NTUSER.DAT
- 2008-11-17 16:25:45 180,224 ----a-w c:\windows\ERDNT\17-11-2008\Users\00000002\UsrClass.dat
+ 2008-11-17 16:51:26 180,224 ----a-w c:\windows\ERDNT\17-11-2008\Users\00000002\UsrClass.dat
+ 2005-10-20 11:02:28 163,328 ----a-w c:\windows\ERDNT\AutoBackup\2008-11-17\ERDNT.EXE
+ 2008-11-17 16:39:48 10,461,184 ----a-w c:\windows\ERDNT\AutoBackup\2008-11-17\Users\00000001\NTUSER.DAT
+ 2008-11-17 16:39:49 180,224 ----a-w c:\windows\ERDNT\AutoBackup\2008-11-17\Users\00000002\UsrClass.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2004-10-13 1694208]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2007-03-23 25268776]
"SpybotSD TeaTimer"="d:\outils\Sécurité\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NVMixerTray"="c:\program files\NVIDIA Corporation\NvMixer\NVMixerTray.exe" [2004-12-20 131072]
"nTrayFw"="d:\nvidia\NETWOR~1\bin\nTrayFw.exe" [2005-12-21 270336]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"QuickTime Task"="d:\outils\Photo-Vidéo\QuickTime\qttask.exe" [2007-04-27 282624]
"iTunesHelper"="d:\outils\Audio\iTunes\iTunesHelper.exe" [2007-06-01 257088]
"Adobe Reader Speed Launcher"="d:\outils\Bureautique\Adobe Reader\Reader\Reader_sl.exe" [2008-01-11 39792]
"!AVG Anti-Spyware"="c:\program files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 6731312]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-10-07 13574144]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-10-07 86016]
"nwiz"="nwiz.exe" [2008-10-07 c:\windows\system32\nwiz.exe]

c:\docume~1\ALLUSE~1\MENUDM~1\PROGRA~1\DMARRA~1\
Logitech SetPoint.lnk - c:\program files\Logitech\SetPoint\SetPoint.exe [2006-12-10 671744]
REALTEK RTL8187 Wireless LAN Utility.lnk - c:\program files\REALTEK\RTL8187 Wireless LAN Utility\RtWLan.exe [2008-10-02 815104]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"MSVIDEO"= pctvcap.dll
"vidc.vixl"= miroxl32.dll
"VIDC.PIXL"= PCLEpixl.dll
"VIDC.PIM1"= PCLEPIM1.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
--a------ 2006-11-12 11:48 157592 d:\outils\Gravure\DAEMON Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LaunchList]
--------- 2000-02-07 16:36 36864 d:\outils\TV\Pinnacle Studio\LaunchList.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Logitech Hardware Abstraction Layer]
--a------ 2006-07-19 12:03 94208 c:\program files\Fichiers communs\Logitech\khalshared\KHALMNPR.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Kernel and Hardware Abstraction Layer]
--a------ 2006-07-19 12:03 94208 c:\windows\KHALMNPR.Exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\NVIDIA\\Network Access manager\\Apache Group\\Apache2\\bin\\Apache.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"c:\\Program Files\\MSN Messenger\\livecall.exe"=
"d:\\OUTILS\\Audio\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"22:TCP"= 22:TCP:SSH
"22:UDP"= 22:UDP:SSH

R0 sfsync03;StarForce Protection Synchronization Driver (version 3.x);c:\windows\system32\drivers\sfsync03.sys [2005-12-06 35328]
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-10-11 78416]
R1 pctvNT;Studio PCTV;c:\windows\system32\DRIVERS\pctvW2k.sys [2006-11-21 42448]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2008-10-11 20560]
R2 EAPPkt;Realtek EAPPkt Protocol;c:\windows\system32\DRIVERS\EAPPkt.sys [2008-10-02 38144]
R2 LBeepKE;LBeepKE;c:\windows\system32\Drivers\LBeepKE.sys [2006-12-10 3712]
R3 TESTCAP;Studio PCTV (Audio);c:\windows\system32\DRIVERS\PCTVAud.sys [2006-11-21 2145]
S2 vnccom;vnccom;c:\windows\system32\Drivers\vnccom.SYS [2006-11-23 6016]
S3 RTLWUSB;Realtek RTL8187 Wireless 802.11b/g 54Mbps USB 2.0 Network Adapter;c:\windows\system32\DRIVERS\RTL8187.sys [2008-10-02 269824]
S3 SaiH040C;SaiH040C;c:\windows\system32\DRIVERS\SaiH040C.sys [2006-12-10 173568]
S3 SaiU040C;SaiU040C;c:\windows\system32\DRIVERS\SaiU040C.sys [2006-12-10 26496]
S3 Tomcat5;Apache Tomcat;"d:\outils\Developpement\Tomcat 5.5\bin\tomcat5.exe" //RS//Tomcat5 [2007-03-05 53248]
S4 hpt3xx;hpt3xx; []
.
Contenu du dossier 'Tâches planifiées'

2008-10-13 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-01-10 14:42]
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-17 17:56:14
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\MySQL]
"ImagePath"="\"c:\program files\MySQL\MySQL Server 5.0\bin\mysqld-nt\" --defaults-file=\"c:\program files\MySQL\MySQL Server 5.0\my.ini\" MySQL"
.
Heure de fin: 2008-11-17 17:56:51
ComboFix-quarantined-files.txt 2008-11-17 16:56:45
ComboFix2.txt 2008-11-17 16:41:40
ComboFix3.txt 2008-11-17 08:31:55

Avant-CF: 9 214 648 320 octets libres
Après-CF: 9,200,939,008 octets libres

170

philae
 Posté le 17/11/2008 à 21:29 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Grande Maîtresse astucienne

bonsoir

ok, merci, mais avant de faire autre chose, j'aimerais éclaircir un point

entre le premier rapport combo posté et celui ci

ComboFix 08-11-16.05 - Benjamin 2008-11-17 17:55:08.3 - NTFSx86

il doit y en avoir un autre. Qu'est-il devenu ?

combien de fois as tu passé combo exactement ?

benhur80
 Posté le 18/11/2008 à 12:23 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

C'est ce que je te disais, j'ai fait cet étape 2 fois...

- 1ère fois :

  • j'ai lancé VIRUS TOTAL seulement sur "Strings.exe" car je ne voyais pas les autres fichiers
  • j'ai lancé Combo qui a fait rebooté mon PC qui s'est finalement figé juste avant l'écran de login
  • j'ai donc rebooté

- 2ème fois

  • après le reboot je me suis aperçu que les fichiers systèmes n'étaient pas visibles...
  • j'ai donc activé l'option pour afficher ces fichiers
  • je me suis aperçu que les autres (que strings.exe) étaient là...
  • j'ai donc recommencé la procédure : VIRUS TOTAL, Erunt et COMBO

mais du coup le 2ème rapport de Combo a dû ecraser le précédent... Désolé...

Publicité
philae
 Posté le 18/11/2008 à 14:28 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Grande Maîtresse astucienne

bonjour,

mais du coup le 2ème rapport de Combo a dû ecraser le précédent... Désolé...

normalement il devrait se trouver au même endroit que les autres. Quand on ne demande pas de passer plusieurs fois combo, il ne faut pas le faire.

Je ne peux pas voir exactement ce qu'il a supprimé, ca me fait perdre pas mal de temps en prime. Pas cool


Avis aux autres lecteurs, ce code a été rédigé spécialement pour cet utilisateur, il serait dangereux de le réutiliser sur votre ordinateur !

/!\ Désactivez votre antivirus / antispyware résident / TeaTimer de Spybot (si présent)
Désactiver les protections résidentes - Tutoriel
* Fermez tous les navigateurs ouverts

* Sélectionnez et copiez (Ctrl+C) le texte en citation ci-dessous :

killAll::

file::

c:\windows\system32\yv12vfw.dll
c:\windows\system32\msfDX.dll
c:\windows\MOTA113.exe
c:\windows\system32\strings.exe
c:\windows\meta4.exe
c:\windows\system32\msfDX.dll
C:\CbFx.exe
C:\cc_20081116_175607.reg
C:\cc_20081022_000420.reg
c:\windows\system32\strings.exe
c:\windows\system32\restart.exe
c:\windows\system32\locate.com
c:\windows\system32\tmp.reg

  • Ouvrez le Bloc-Notes puis collez (Ctrl+V) le texte précédemment copié. (Bloc-Notes: démarrer > Tous les programmes > Accessoires > Bloc-Notes...)
  • Sauvegardez ce fichier sous le nom de: CFScript.txt au même endroit que ComboFix.exe
  • Comme l'image le montre, fais glisser CFScript.txt sur ComboFix.exe

  • Une fenêtre bleue va apparaître; au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
  • Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises, c'est normal!
  • Ne touche à rien tant que le scan n'est pas terminé.
  • Une fois le scan achevé, un rapport va s'afficher: poste son contenu dans ton prochain message.
  • Si le fichier ne s'ouvre pas, tu le trouveras dans -> C:\ComboFix.txt

ensuite

* relance Malwarebyte's, supprime ce qu'il te trouve, poste le rapport ensuite



benhur80
 Posté le 20/11/2008 à 18:44 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Merci et encore désolé, je ne l'ai pas fait exprès et je voulais juste faire les choses bien...
Et le 2ème coup a bien écrasé le 1er puisque c'est le même nom de log : C:\ComboFix.txt

Bref, voilà les résultats que tu m'as demandé.

Voilà le rapport de Combo :

ComboFix 08-11-19.08 - Benjamin 2008-11-20 17:21:56.4 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.2385 [GMT 1:00]
Lancé depuis: C:\CbFx.exe
Commutateurs utilisés
C:\CFScript.txt
* Un nouveau point de restauration a été créé

FILE
:: C:\CbFx.exe
C:\cc_20081022_000420.reg
C:\cc_20081116_175607.reg
c:\windows\meta4.exe
c:\windows\MOTA113.exe
c:\windows\system32\locate.com
c:\windows\system32\msfDX.dll
c:\windows\system32\restart.exe
c:\windows\system32\strings.exe
c:\windows\system32\tmp.reg
c:\windows\system32\yv12vfw.dll
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\CbFx.exe
C:\cc_20081022_000420.reg
C:\cc_20081116_175607.reg
c:\windows\meta4.exe
c:\windows\MOTA113.exe
c:\windows\system32\locate.com
c:\windows\system32\msfDX.dll
c:\windows\system32\restart.exe
c:\windows\system32\strings.exe
c:\windows\system32\tmp.reg
c:\windows\system32\yv12vfw.dll

.
((((((((((((((((((((((((((((( Fichiers créés du 2008-10-20 au 2008-11-20 ))))))))))))))))))))))))))))))))))))
.

2008-11-17 17:24 . 2008-11-17 17:25 <REP> d-------- c:\program files\ERUNT
2008-11-17 09:51 . 2008-11-20 17:25 200,819 --a------ c:\windows\system32\nvapps.xml
2008-11-17 09:51 . 2008-10-07 13:33 18,477 --a------ c:\windows\system32\nvdisp.nvu
2008-11-17 09:50 . 2008-11-17 09:50 <REP> d-------- C:\NVIDIA
2008-11-17 09:41 . 2008-11-17 09:41 <REP> d-------- C:\HijackThis
2008-11-17 09:40 . 2008-11-17 09:40 812,344 --a------ C:\HJTInstall.exe
2008-11-17 09:29 . 2008-11-17 09:29 <REP> d-------- c:\documents and settings\Benjamin\Application Data\Grisoft
2008-11-16 18:58 . 2008-11-16 18:58 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2008-11-16 18:58 . 2008-11-16 18:58 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2008-11-16 18:58 . 2008-11-16 18:58 <REP> d-------- c:\documents and settings\Administrateur\Application Data\Malwarebytes
2008-11-16 18:58 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-11-16 18:58 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-11-16 18:54 . 2008-11-17 09:18 <REP> d-------- C:\HT
2008-11-16 18:24 . 2008-11-16 18:24 <REP> d-------- c:\documents and settings\All Users\Application Data\Grisoft
2008-11-16 18:24 . 2007-05-30 13:10 10,872 --a------ c:\windows\system32\drivers\AvgAsCln.sys
2008-11-16 17:40 . 2006-11-20 23:02 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage réseau
2008-11-16 17:40 . 2006-11-20 23:02 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage d'impression
2008-11-16 17:40 . 2006-11-20 23:11 <REP> d--h----- c:\documents and settings\Administrateur\Modèles
2008-11-16 17:40 . 2006-11-20 23:02 <REP> d-------- c:\documents and settings\Administrateur\Mes documents
2008-11-16 17:40 . 2006-11-20 23:02 <REP> dr------- c:\documents and settings\Administrateur\Menu Démarrer
2008-11-16 17:40 . 2008-11-16 18:32 <REP> d-------- c:\documents and settings\Administrateur\Favoris
2008-11-16 17:40 . 2008-11-16 20:27 <REP> d-------- c:\documents and settings\Administrateur\Bureau
2008-11-16 17:40 . 2008-11-16 17:55 <REP> d-------- c:\documents and settings\Administrateur
2008-10-31 18:36 . 2008-10-31 18:36 <REP> d-------- c:\documents and settings\Benjamin\Application Data\OpenOffice.org
2008-10-31 18:35 . 2008-10-31 18:35 <REP> d-------- c:\program files\OpenOffice.org 3
2008-10-31 18:35 . 2008-10-31 18:35 <REP> d-------- c:\program files\JRE
2008-10-31 18:34 . 2008-06-10 02:32 73,728 --a------ c:\windows\system32\javacpl.cpl
2008-10-21 22:45 . 2005-01-13 20:41 39,184 --a------ c:\windows\system32\Ntrights.exe
2008-10-21 22:40 . 2008-10-21 22:40 <REP> d-------- c:\program files\Trend Micro
2008-10-21 22:15 . 2008-09-08 22:38 88,576 --a------ c:\windows\system32\AntiXPVSTFix.exe

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-20 16:14 --------- d-----w c:\documents and settings\Benjamin\Application Data\Skype
2008-10-31 17:35 --------- d-----w c:\program files\OpenOffice.org 2.0
2008-10-31 17:34 --------- d-----w c:\program files\Java
2008-10-31 17:32 --------- d-----w c:\documents and settings\Benjamin\Application Data\OpenOffice.org2
2008-10-21 22:03 --------- d-----w c:\documents and settings\Benjamin\Application Data\ImgBurn
2008-10-21 22:03 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2008-10-16 07:01 --------- d-----w c:\program files\MSN Messenger
2008-10-16 07:01 --------- d-----w c:\program files\Messenger Plus! Live
2008-10-13 13:49 --------- d-----w c:\documents and settings\Benjamin\Application Data\vlc
2008-10-13 08:13 --------- d-----w c:\documents and settings\All Users\Application Data\Lavasoft
2008-10-13 08:12 --------- d-----w c:\program files\Lavasoft
2008-10-13 08:12 --------- d-----w c:\program files\Fichiers communs\Wise Installation Wizard
2008-10-13 08:08 --------- d-----w c:\documents and settings\Benjamin\Application Data\Lavasoft
2008-10-09 11:10 --------- d-----w c:\program files\jEdit
2008-10-08 06:24 --------- d-----w c:\program files\MySQL
2008-10-02 09:17 21,035 ----a-w c:\windows\system32\drivers\AegisP.sys
2008-10-02 09:17 --------- d--h--w c:\program files\InstallShield Installation Information
2008-10-02 09:17 --------- d-----w c:\program files\REALTEK
2008-10-02 09:17 --------- d-----w c:\documents and settings\Benjamin\Application Data\InstallShield
2008-10-02 09:07 453,152 ----a-w c:\windows\system32\NVUNINST.EXE
2005-07-14 11:31 27,648 --sha-r c:\windows\system32\AVSredirect.dll
2005-06-26 14:32 616,448 --sha-r c:\windows\system32\cygwin1.dll
2005-06-21 21:37 45,568 --sha-r c:\windows\system32\cygz.dll
2006-05-03 09:06 163,328 --sh--r c:\windows\system32\flvDX.dll
2004-01-24 23:00 70,656 --sha-r c:\windows\system32\i420vfw.dll
2005-02-28 12:16 240,128 --sha-r c:\windows\system32\x.264.exe
.

((((((((((((((((((((((((((((( snapshot_2008-11-17_17.41.12.62 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-11-17 16:25:45 10,461,184 ----a-w c:\windows\ERDNT\17-11-2008\Users\00000001\NTUSER.DAT
+ 2008-11-17 16:51:26 10,461,184 ----a-w c:\windows\ERDNT\17-11-2008\Users\00000001\NTUSER.DAT
- 2008-11-17 16:25:45 180,224 ----a-w c:\windows\ERDNT\17-11-2008\Users\00000002\UsrClass.dat
+ 2008-11-17 16:51:26 180,224 ----a-w c:\windows\ERDNT\17-11-2008\Users\00000002\UsrClass.dat
+ 2005-10-20 11:02:28 163,328 ----a-w c:\windows\ERDNT\AutoBackup\20-11-2008\ERDNT.EXE
+ 2008-11-20 16:12:59 10,461,184 ----a-w c:\windows\ERDNT\AutoBackup\20-11-2008\Users\00000001\NTUSER.DAT
+ 2008-11-20 16:13:00 180,224 ----a-w c:\windows\ERDNT\AutoBackup\20-11-2008\Users\00000002\UsrClass.dat
+ 2005-10-20 11:02:28 163,328 ----a-w c:\windows\ERDNT\AutoBackup\2008-11-17\ERDNT.EXE
+ 2008-11-17 16:39:48 10,461,184 ----a-w c:\windows\ERDNT\AutoBackup\2008-11-17\Users\00000001\NTUSER.DAT
+ 2008-11-17 16:39:49 180,224 ----a-w c:\windows\ERDNT\AutoBackup\2008-11-17\Users\00000002\UsrClass.dat
+ 2008-11-20 16:24:36 16,384 ----atw c:\windows\temp\Perflib_Perfdata_684.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2004-10-13 1694208]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2007-03-23 25268776]
"SpybotSD TeaTimer"="d:\outils\Sécurité\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NVMixerTray"="c:\program files\NVIDIA Corporation\NvMixer\NVMixerTray.exe" [2004-12-20 131072]
"nTrayFw"="d:\nvidia\NETWOR~1\bin\nTrayFw.exe" [2005-12-21 270336]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"QuickTime Task"="d:\outils\Photo-Vidéo\QuickTime\qttask.exe" [2007-04-27 282624]
"iTunesHelper"="d:\outils\Audio\iTunes\iTunesHelper.exe" [2007-06-01 257088]
"Adobe Reader Speed Launcher"="d:\outils\Bureautique\Adobe Reader\Reader\Reader_sl.exe" [2008-01-11 39792]
"!AVG Anti-Spyware"="c:\program files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 6731312]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-10-07 13574144]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-10-07 86016]
"nwiz"="nwiz.exe" [2008-10-07 c:\windows\system32\nwiz.exe]

c:\documents and settings\Benjamin\Menu D‚marrer\Programmes\D‚marrage\
ERUNT AutoBackup.lnk - c:\program files\ERUNT\AUTOBACK.EXE [2005-10-20 38912]
OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2008-09-12 384000]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Logitech SetPoint.lnk - c:\program files\Logitech\SetPoint\SetPoint.exe [2006-12-10 671744]
REALTEK RTL8187 Wireless LAN Utility.lnk - c:\program files\REALTEK\RTL8187 Wireless LAN Utility\RtWLan.exe [2008-10-02 815104]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"MSVIDEO"= pctvcap.dll
"vidc.vixl"= miroxl32.dll
"VIDC.PIXL"= PCLEpixl.dll
"VIDC.PIM1"= PCLEPIM1.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
--a------ 2006-11-12 11:48 157592 d:\outils\Gravure\DAEMON Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LaunchList]
--------- 2000-02-07 16:36 36864 d:\outils\TV\Pinnacle Studio\LaunchList.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Logitech Hardware Abstraction Layer]
--a------ 2006-07-19 12:03 94208 c:\program files\Fichiers communs\Logitech\khalshared\KHALMNPR.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Kernel and Hardware Abstraction Layer]
--a------ 2006-07-19 12:03 94208 c:\windows\KHALMNPR.Exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\NVIDIA\\Network Access manager\\Apache Group\\Apache2\\bin\\Apache.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"c:\\Program Files\\MSN Messenger\\livecall.exe"=
"d:\\OUTILS\\Audio\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"22:TCP"= 22:TCP:SSH
"22:UDP"= 22:UDP:SSH

R0 sfsync03;StarForce Protection Synchronization Driver (version 3.x);c:\windows\system32\drivers\sfsync03.sys [2005-12-06 35328]
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-10-11 78416]
R1 pctvNT;Studio PCTV;c:\windows\system32\DRIVERS\pctvW2k.sys [2006-11-21 42448]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2008-10-11 20560]
R2 EAPPkt;Realtek EAPPkt Protocol;c:\windows\system32\DRIVERS\EAPPkt.sys [2008-10-02 38144]
R2 LBeepKE;LBeepKE;c:\windows\system32\Drivers\LBeepKE.sys [2006-12-10 3712]
R3 TESTCAP;Studio PCTV (Audio);c:\windows\system32\DRIVERS\PCTVAud.sys [2006-11-21 2145]
S2 vnccom;vnccom;c:\windows\system32\Drivers\vnccom.SYS [2006-11-23 6016]
S3 RTLWUSB;Realtek RTL8187 Wireless 802.11b/g 54Mbps USB 2.0 Network Adapter;c:\windows\system32\DRIVERS\RTL8187.sys [2008-10-02 269824]
S3 SaiH040C;SaiH040C;c:\windows\system32\DRIVERS\SaiH040C.sys [2006-12-10 173568]
S3 SaiU040C;SaiU040C;c:\windows\system32\DRIVERS\SaiU040C.sys [2006-12-10 26496]
S3 Tomcat5;Apache Tomcat;"d:\outils\Developpement\Tomcat 5.5\bin\tomcat5.exe" //RS//Tomcat5 [2007-03-05 53248]
S4 hpt3xx;hpt3xx; []
.
Contenu du dossier 'Tâches planifiées'

2008-10-13 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-01-10 14:42]
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-20 17:24:55
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MySQL]
"ImagePath"="\"c:\program files\MySQL\MySQL Server 5.0\bin\mysqld-nt\" --defaults-file=\"c:\program files\MySQL\MySQL Server 5.0\my.ini\" MySQL"
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Lavasoft\Ad-Aware\aawservice.exe
d:\outils\Avast\aswUpdSv.exe
d:\outils\Avast\ashServ.exe
c:\program files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
d:\nvidia\NETWOR~1\Apache Group\Apache2\bin\Apache.exe
d:\nvidia\NETWOR~1\bin\nSvcIp.exe
d:\nvidia\NETWOR~1\bin\nSvcLog.exe
d:\nvidia\NETWOR~1\Apache Group\Apache2\bin\Apache.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\wdfmgr.exe
d:\nvidia\NETWOR~1\bin\nSvcAppFlt.exe
c:\windows\system32\rundll32.exe
d:\outils\Avast\ashMaiSv.exe
d:\outils\Avast\ashWebSv.exe
c:\program files\iPod\bin\iPodService.exe
.
**************************************************************************
.
Heure de fin: 2008-11-20 17:28:19 - La machine a redémarré
ComboFix-quarantined-files.txt 2008-11-20 16:28:15
ComboFix2.txt 2008-11-17 16:56:53
ComboFix3.txt 2008-11-17 16:41:40
ComboFix4.txt 2008-11-17 08:31:55

Avant-CF: 9 124 675 584 octets libres
Après-CF: 9,191,923,712 octets libres

221


Le log de Malwarebytes :

Malwarebytes' Anti-Malware 1.30
Database version: 1306
Windows 5.1.2600 Service Pack 2

20/11/2008 18:30:05
mbam-log-2008-11-20 (18-30-05).txt

Scan type: Full Scan (C:\|D:\|E:\|)
Objects scanned: 226285
Time elapsed: 52 minute(s), 54 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 16

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
C:\Documents and Settings\NetworkService\Cookies\MM2048.DAT (Trojan.Agent) -> Delete on reboot.
C:\Documents and Settings\LocalService\Cookies\MM2048.DAT (Trojan.Agent) -> Delete on reboot.
C:\Documents and Settings\NetworkService\Cookies\MM256.DAT (Trojan.Agent) -> Delete on reboot.
C:\Documents and Settings\LocalService\Cookies\MM256.DAT (Trojan.Agent) -> Delete on reboot.
C:\Documents and Settings\NetworkService\Cookies\bumo.reg (Fake.Dropped.Malware) -> Delete on reboot.
C:\Documents and Settings\LocalService\Cookies\bumo.reg (Fake.Dropped.Malware) -> Delete on reboot.
C:\Documents and Settings\NetworkService\Cookies\jababug.inf (Fake.Dropped.Malware) -> Delete on reboot.
C:\Documents and Settings\LocalService\Cookies\jababug.inf (Fake.Dropped.Malware) -> Delete on reboot.
C:\Documents and Settings\NetworkService\Cookies\uwux.exe (Fake.Dropped.Malware) -> Delete on reboot.
C:\Documents and Settings\LocalService\Cookies\uwux.exe (Fake.Dropped.Malware) -> Delete on reboot.
C:\Documents and Settings\NetworkService\Cookies\jiceji._sy (Fake.Dropped.Malware) -> Delete on reboot.
C:\Documents and Settings\LocalService\Cookies\jiceji._sy (Fake.Dropped.Malware) -> Delete on reboot.
C:\Documents and Settings\NetworkService\Cookies\esycire._dl (Fake.Dropped.Malware) -> Delete on reboot.
C:\Documents and Settings\LocalService\Cookies\esycire._dl (Fake.Dropped.Malware) -> Delete on reboot.
C:\Documents and Settings\NetworkService\Cookies\syssp.exe (Fake.Dropped.Malware) -> Delete on reboot.
C:\Documents and Settings\LocalService\Cookies\syssp.exe (Fake.Dropped.Malware) -> Delete on reboot.

philae
 Posté le 20/11/2008 à 20:41 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Grande Maîtresse astucienne

bonsoir,

je regarde les nouveaux rapports, je reviens dans qq minutes

philae
 Posté le 20/11/2008 à 21:08 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Grande Maîtresse astucienne

re

on pourrait faire un point maintenant. Tes problèmes initiaux ? où en es tu ?

benhur80
 Posté le 21/11/2008 à 08:45 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Salut Philae!

Bah écoute depuis la première étape je n'ai plus d'écran bleu ni même de redirection de page web...
Je ne peux pas en dire beaucoup plus mais de mon côté ça a l'air d'aller.

Par contre, moi qui ait toujours eu l'habitude d'avoir avast, adaware et Spybot, je m'apperçois que ça ne sert pas à grand chose face à ça... Depuis j'ai aussi AVG Anti-Spyware d'installé et de lancé au démarrage. Malgré tout je ne sais pas si c'est suffisant s'il y avait une prochaine "attaque". Je pense qu'en retirant les droits admin de mon utilisateur ça limiterait un peu les risques aussi.
En suivant tes conseils ICI : https://forum.pcastuces.com/sujet.asp?f=25&s=25892 j'imagine que ça devrait le faire...

A part ça, si tu as d'autres conseils, je suis preneur.

Merci

Ben



Modifié par benhur80 le 21/11/2008 08:52
philae
 Posté le 21/11/2008 à 20:59 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Grande Maîtresse astucienne

bonsoir,

pour vérif on pourrait peut être faire un scan en ligne quand même

Kaspersky

* poste le rapport ensuite ici

il faudra aussi supprimer ce que l'on a utilisé pour le nettoyage :

* Télécharge ToolsCleaner (de A.Rothstein et Dj Quiou).
* Clique sur Recherche et laisse le scan se terminer.
* Tu peux si tu le souhaites te servir des Options facultatives.
* Clique sur Quitter, pour que le rapport puisse se créer.
* Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

Je pense qu'effectivement en suivant les consignes données dans mon lien, tu devrais arriver à mieux prendre conscience des risques d'internet et la manière dont parer son pc.

surfer sur un mode non administrateur est aussi une bonne solution. Tu peux opter aussi pour sécuriser ton navigateur avec stripmyright ou dropmyright. ca limite pas mal aussi.

benhur80
 Posté le 23/11/2008 à 18:00 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Salut,

j'espère que le week-end a été bon et merci encore pour ton aide!

voilà le rapport Kapersky (j'ai changé mon adresse email pour des raisons de sécurité...) :

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Sunday, November 23, 2008 5:19:19 PM
Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.84.2
Dernière mise à jour de la base antivirus Kaspersky : 23/11/2008
Enregistrements dans la base antivirus Kaspersky : 1404263
-------------------------------------------------------------------------------

Paramètres d'analyse:
Analyser avec la base antivirus suivante: étendue
Analyser les archives: vrai
Analyser les bases de messagerie: vrai

Cible de l'analyse - Poste de travail:
A:\
C:\
D:\
E:\
F:\
Z:\

Statistiques de l'analyse:
Total d'objets analysés: 183848
Nombre de virus trouvés: 16
Nombre d'objets infectés: 81 / 0
Nombre d'objets suspects: 0
Durée de l'analyse: 03:45:11

Nom de l'objet infecté / Nom du virus / Dernière action
C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\Reboot.exe Infecté : not-a-virus:RiskTool.Win32.Reboot.f ignoré
C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix.exe/SmitfraudFix/Reboot.exe Infecté : not-a-virus:RiskTool.Win32.Reboot.f ignoré
C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix.exe RAR: infecté - 1 ignoré
C:\Documents and Settings\Benjamin\Application Data\Thunderbird\Profiles\2c46d2ep.Utilisateur par défaut\Mail\Local Folders\Inbox/[From "Benhur80" <benhur80@toto.com>][Date Fri, 2 Dec 2005 14:50:52 +0100]/reg_pass.zip/File-packed_dataInfo.exe Infecté : Email-Worm.Win32.Sober.y ignoré
C:\Documents and Settings\Benjamin\Application Data\Thunderbird\Profiles\2c46d2ep.Utilisateur par défaut\Mail\Local Folders\Inbox/[From "Benhur80" <benhur80@toto.com>][Date Fri, 2 Dec 2005 14:50:52 +0100]/reg_pass.zip Infecté : Email-Worm.Win32.Sober.y ignoré
C:\Documents and Settings\Benjamin\Application Data\Thunderbird\Profiles\2c46d2ep.Utilisateur par défaut\Mail\Local Folders\Inbox/[From webmaster@cad-belgium.net][Date Sun, 11 Dec 2005 19:56:16 GMT]/UNNAMED/[From "Benhur80" <benhur80@toto.com>][Date Mon, 26 Dec 2005 09:52:27 +0100]/UNNAMED/[From espace-services@groupe-harmonie.fr][Date Thu, 29 Dec 2005 12:09:35 +0100 (CET)]/html/[From Webmaster@gmx.net][Date Mon, 30 Apr 2007 22:04:25 GMT]/UNNAMED/UNNAMED/Winzipped_Data-Files.exe Infecté : Email-Worm.Win32.Sober.aa ignoré
C:\Documents and Settings\Benjamin\Application Data\Thunderbird\Profiles\2c46d2ep.Utilisateur par défaut\Mail\Local Folders\Inbox/[From webmaster@cad-belgium.net][Date Sun, 11 Dec 2005 19:56:16 GMT]/UNNAMED/[From "Benhur80" <benhur80@toto.com>][Date Mon, 26 Dec 2005 09:52:27 +0100]/UNNAMED/[From espace-services@groupe-harmonie.fr][Date Thu, 29 Dec 2005 12:09:35 +0100 (CET)]/html/[From Webmaster@gmx.net][Date Mon, 30 Apr 2007 22:04:25 GMT]/UNNAMED/UNNAMED Infecté : Email-Worm.Win32.Sober.aa ignoré
C:\Documents and Settings\Benjamin\Application Data\Thunderbird\Profiles\2c46d2ep.Utilisateur par défaut\Mail\Local Folders\Inbox/[From webmaster@cad-belgium.net][Date Sun, 11 Dec 2005 19:56:16 GMT]/UNNAMED/[From "Benhur80" <benhur80@toto.com>][Date Mon, 26 Dec 2005 09:52:27 +0100]/UNNAMED/[From espace-services@groupe-harmonie.fr][Date Thu, 29 Dec 2005 12:09:35 +0100 (CET)]/html/[From Webmaster@gmx.net][Date Mon, 30 Apr 2007 22:04:25 GMT]/UNNAMED/[From Postmaster@gmx.net][Date Tue, 01 May 2007 22:06:35 GMT]/UNNAMED/UNNAMED/Winzipped_Data-Files.exe Infecté : Email-Worm.Win32.Sober.aa ignoré
C:\Documents and Settings\Benjamin\Application Data\Thunderbird\Profiles\2c46d2ep.Utilisateur par défaut\Mail\Local Folders\Inbox/[From webmaster@cad-belgium.net][Date Sun, 11 Dec 2005 19:56:16 GMT]/UNNAMED/[From "Benhur80" <benhur80@toto.com>][Date Mon, 26 Dec 2005 09:52:27 +0100]/UNNAMED/[From espace-services@groupe-harmonie.fr][Date Thu, 29 Dec 2005 12:09:35 +0100 (CET)]/html/[From Webmaster@gmx.net][Date Mon, 30 Apr 2007 22:04:25 GMT]/UNNAMED/[From Postmaster@gmx.net][Date Tue, 01 May 2007 22:06:35 GMT]/UNNAMED/UNNAMED Infecté : Email-Worm.Win32.Sober.aa ignoré
C:\Documents and Settings\Benjamin\Application Data\Thunderbird\Profiles\2c46d2ep.Utilisateur par défaut\Mail\Local Folders\Inbox/[From webmaster@cad-belgium.net][Date Sun, 11 Dec 2005 19:56:16 GMT]/UNNAMED/[From "Benhur80" <benhur80@toto.com>][Date Mon, 26 Dec 2005 09:52:27 +0100]/UNNAMED/[From espace-services@groupe-harmonie.fr][Date Thu, 29 Dec 2005 12:09:35 +0100 (CET)]/html/[From Webmaster@gmx.net][Date Mon, 30 Apr 2007 22:04:25 GMT]/UNNAMED/[From Postmaster@gmx.net][Date Tue, 01 May 2007 22:06:35 GMT]/UNNAMED/[From Postmaster@gmx.net][Date Wed, 02 May 2007 10:13:52 ... /Winzipped_Data-Files.exe Infecté : Email-Worm.Win32.Sober.aa ignoré
C:\Documents and Settings\Benjamin\Application Data\Thunderbird\Profiles\2c46d2ep.Utilisateur par défaut\Mail\Local Folders\Inbox/[From webmaster@cad-belgium.net][Date Sun, 11 Dec 2005 19:56:16 GMT]/UNNAMED/[From "Benhur80" <benhur80@toto.com>][Date Mon, 26 Dec 2005 09:52:27 +0100]/UNNAMED/[From espace-services@groupe-harmonie.fr][Date Thu, 29 Dec 2005 12:09:35 +0100 (CET)]/html/[From Webmaster@gmx.net][Date Mon, 30 Apr 2007 22:04:25 GMT]/UNNAMED/[From Postmaster@gmx.net][Date Tue, 01 May 2007 22:06:35 GMT]/UNNAMED/[From Postmaster@gmx.net][Date Wed, 02 May 2007 10:13:52 GMT]/UNNAMED/UNNAMED Infecté : Email-Worm.Win32.Sober.aa ignoré
C:\Documents and Settings\Benjamin\Application Data\Thunderbird\Profiles\2c46d2ep.Utilisateur par défaut\Mail\Local Folders\Inbox/[From webmaster@cad-belgium.net][Date Sun, 11 Dec 2005 19:56:16 GMT]/UNNAMED/[From "Benhur80" <benhur80@toto.com>][Date Mon, 26 Dec 2005 09:52:27 +0100]/UNNAMED/[From espace-services@groupe-harmonie.fr][Date Thu, 29 Dec 2005 12:09:35 +0100 (CET)]/html/[From Webmaster@gmx.net][Date Mon, 30 Apr 2007 22:04:25 GMT]/UNNAMED/[From Postmaster@gmx.net][Date Tue, 01 May 2007 22:06:35 GMT]/UNNAMED/[From Postmaster@gmx.net][Date Wed, 02 May 2007 10:13:52 GMT]/UNNAMED Infecté : Email-Worm.Win32.Sober.aa ignoré
C:\Documents and Settings\Benjamin\Application Data\Thunderbird\Profiles\2c46d2ep.Utilisateur par défaut\Mail\Local Folders\Inbox/[From webmaster@cad-belgium.net][Date Sun, 11 Dec 2005 19:56:16 GMT]/UNNAMED/[From "Benhur80" <benhur80@toto.com>][Date Mon, 26 Dec 2005 09:52:27 +0100]/UNNAMED/[From espace-services@groupe-harmonie.fr][Date Thu, 29 Dec 2005 12:09:35 +0100 (CET)]/html/[From Webmaster@gmx.net][Date Mon, 30 Apr 2007 22:04:25 GMT]/UNNAMED/[From Postmaster@gmx.net][Date Tue, 01 May 2007 22:06:35 GMT]/UNNAMED Infecté : Email-Worm.Win32.Sober.aa ignoré
C:\Documents and Settings\Benjamin\Application Data\Thunderbird\Profiles\2c46d2ep.Utilisateur par défaut\Mail\Local Folders\Inbox/[From webmaster@cad-belgium.net][Date Sun, 11 Dec 2005 19:56:16 GMT]/UNNAMED/[From "Benhur80" <benhur80@toto.com>][Date Mon, 26 Dec 2005 09:52:27 +0100]/UNNAMED/[From espace-services@groupe-harmonie.fr][Date Thu, 29 Dec 2005 12:09:35 +0100 (CET)]/html/[From Webmaster@gmx.net][Date Mon, 30 Apr 2007 22:04:25 GMT]/UNNAMED Infecté : Email-Worm.Win32.Sober.aa ignoré
C:\Documents and Settings\Benjamin\Application Data\Thunderbird\Profiles\2c46d2ep.Utilisateur par défaut\Mail\Local Folders\Inbox/[From webmaster@cad-belgium.net][Date Sun, 11 Dec 2005 19:56:16 GMT]/UNNAMED/[From "Benhur80" <benhur80@toto.com>][Date Mon, 26 Dec 2005 09:52:27 +0100]/UNNAMED/[From espace-services@groupe-harmonie.fr][Date Thu, 29 Dec 2005 12:09:35 +0100 (CET)]/html/[From "Benhur80" <benhur80@toto.com>][Date Wed, 2 May 2007 14:38:11 +0200]/text/[From Postmaster@microsoft.com][Date Wed, 02 May 2007 21:31:25 UTC]/UNNAMED/Winzipped_Data-Files.exe Infecté : Email-Worm.Win32.Sober.aa ignoré
C:\Documents and Settings\Benjamin\Application Data\Thunderbird\Profiles\2c46d2ep.Utilisateur par défaut\Mail\Local Folders\Inbox/[From webmaster@cad-belgium.net][Date Sun, 11 Dec 2005 19:56:16 GMT]/UNNAMED/[From "Benhur80" <benhur80@toto.com>][Date Mon, 26 Dec 2005 09:52:27 +0100]/UNNAMED/[From espace-services@groupe-harmonie.fr][Date Thu, 29 Dec 2005 12:09:35 +0100 (CET)]/html/[From "Benhur80" <benhur80@toto.com>][Date Wed, 2 May 2007 14:38:11 +0200]/text/[From Postmaster@microsoft.com][Date Wed, 02 May 2007 21:31:25 UTC]/UNNAMED Infecté : Email-Worm.Win32.Sober.aa ignoré
C:\Documents and Settings\Benjamin\Application Data\Thunderbird\Profiles\2c46d2ep.Utilisateur par défaut\Mail\Local Folders\Inbox/[From webmaster@cad-belgium.net][Date Sun, 11 Dec 2005 19:56:16 GMT]/UNNAMED/[From "Benhur80" <benhur80@toto.com>][Date Mon, 26 Dec 2005 09:52:27 +0100]/UNNAMED/[From espace-services@groupe-harmonie.fr][Date Thu, 29 Dec 2005 12:09:35 +0100 (CET)]/html/[From "Benhur80" <benhur80@toto.com>][Date Wed, 2 May 2007 14:38:11 +0200]/text Infecté : Email-Worm.Win32.Sober.aa ignoré
C:\Documents and Settings\Benjamin\Application Data\Thunderbird\Profiles\2c46d2ep.Utilisateur par défaut\Mail\Local Folders\Inbox/[From webmaster@cad-belgium.net][Date Sun, 11 Dec 2005 19:56:16 GMT]/UNNAMED/[From "Benhur80" <benhur80@toto.com>][Date Mon, 26 Dec 2005 09:52:27 +0100]/UNNAMED/[From espace-services@groupe-harmonie.fr][Date Thu, 29 Dec 2005 12:09:35 +0100 (CET)]/html Infecté : Email-Worm.Win32.Sober.aa ignoré
C:\Documents and Settings\Benjamin\Application Data\Thunderbird\Profiles\2c46d2ep.Utilisateur par défaut\Mail\Local Folders\Inbox/[From webmaster@cad-belgium.net][Date Sun, 11 Dec 2005 19:56:16 GMT]/UNNAMED/[From "Benhur80" <benhur80@toto.com>][Date Mon, 26 Dec 2005 09:52:27 +0100]/UNNAMED Infecté : Email-Worm.Win32.Sober.aa ignoré
C:\Documents and Settings\Benjamin\Application Data\Thunderbird\Profiles\2c46d2ep.Utilisateur par défaut\Mail\Local Folders\Inbox/[From webmaster@cad-belgium.net][Date Sun, 11 Dec 2005 19:56:16 GMT]/UNNAMED Infecté : Email-Worm.Win32.Sober.aa ignoré
C:\Documents and Settings\Benjamin\Application Data\Thunderbird\Profiles\2c46d2ep.Utilisateur par défaut\Mail\Local Folders\Inbox MailBerkeleymboxx: infecté - 17 ignoré
C:\Documents and Settings\Benjamin\Application Data\Thunderbird\Profiles\2c46d2ep.Utilisateur par défaut\Mail\Local Folders\Junk/[From "Fausta Somerville" <maillou@aberdare.com>][Date Fri, 15 Dec 2006 08:52:05 +0000]/UNNAMED/[From "Prissy Dally" <sheea@waf80.de>][Date Thu, 14 Dec 2006 15:02:46 +0100]/UNNAMED/[From "Jozafat Dahlin" <cooper@gazoscreekgroup.com>][Date Tue, 26 Dec 2006 04:47:05 +0100]/UNNAMED/[From Postmaster@gmx.net][Date Tue, 01 May 2007 22:06:35 GMT]/Passw_Data60.zip/Winzipped_Data-Files.exe Infecté : Email-Worm.Win32.Sober.aa ignoré
C:\Documents and Settings\Benjamin\Application Data\Thunderbird\Profiles\2c46d2ep.Utilisateur par défaut\Mail\Local Folders\Junk/[From "Fausta Somerville" <maillou@aberdare.com>][Date Fri, 15 Dec 2006 08:52:05 +0000]/UNNAMED/[From "Prissy Dally" <sheea@waf80.de>][Date Thu, 14 Dec 2006 15:02:46 +0100]/UNNAMED/[From "Jozafat Dahlin" <cooper@gazoscreekgroup.com>][Date Tue, 26 Dec 2006 04:47:05 +0100]/UNNAMED/[From Postmaster@gmx.net][Date Tue, 01 May 2007 22:06:35 GMT]/Passw_Data60.zip Infecté : Email-Worm.Win32.Sober.aa ignoré
C:\Documents and Settings\Benjamin\Application Data\Thunderbird\Profiles\2c46d2ep.Utilisateur par défaut\Mail\Local Folders\Junk/[From "Fausta Somerville" <maillou@aberdare.com>][Date Fri, 15 Dec 2006 08:52:05 +0000]/UNNAMED/[From "Prissy Dally" <sheea@waf80.de>][Date Thu, 14 Dec 2006 15:02:46 +0100]/UNNAMED/[From "Jozafat Dahlin" <cooper@gazoscreekgroup.com>][Date Tue, 26 Dec 2006 04:47:05 +0100]/UNNAMED Infecté : Email-Worm.Win32.Sober.aa ignoré
C:\Documents and Settings\Benjamin\Application Data\Thunderbird\Profiles\2c46d2ep.Utilisateur par défaut\Mail\Local Folders\Junk/[From "Fausta Somerville" <maillou@aberdare.com>][Date Fri, 15 Dec 2006 08:52:05 +0000]/UNNAMED/[From "Prissy Dally" <sheea@waf80.de>][Date Thu, 14 Dec 2006 15:02:46 +0100]/UNNAMED Infecté : Email-Worm.Win32.Sober.aa ignoré
C:\Documents and Settings\Benjamin\Application Data\Thunderbird\Profiles\2c46d2ep.Utilisateur par défaut\Mail\Local Folders\Junk/[From "Fausta Somerville" <maillou@aberdare.com>][Date Fri, 15 Dec 2006 08:52:05 +0000]/UNNAMED Infecté : Email-Worm.Win32.Sober.aa ignoré
C:\Documents and Settings\Benjamin\Application Data\Thunderbird\Profiles\2c46d2ep.Utilisateur par défaut\Mail\Local Folders\Junk MailBerkeleymboxx: infecté - 5 ignoré
C:\Documents and Settings\Benjamin\Bureau\SmitfraudFix.exe/SmitfraudFix/Reboot.exe Infecté : not-a-virus:RiskTool.Win32.Reboot.f ignoré
C:\Documents and Settings\Benjamin\Bureau\SmitfraudFix.exe RAR: infecté - 1 ignoré
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\TDSSmqlt.sys.vir Infecté : Backdoor.Win32.TDSS.ats ignoré
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\TDSSoiqh.sys.vir Infecté : Backdoor.Win32.TDSS.bkw ignoré
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\__.zip/TDSSpqxt.sys Infecté : Backdoor.Win32.TDSS.bkw ignoré
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\__.zip ZIP: infecté - 1 ignoré
C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSSbrsr.dll.vir Infecté : Backdoor.Win32.TDSS.asz ignoré
C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSScfub.dll.vir Infecté : Backdoor.Win32.TDSS.asz ignoré
C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSScfum.dll.vir Infecté : Backdoor.Win32.Agent.tww ignoré
C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSSfpmp.dll.vir Infecté : Backdoor.Win32.TDSS.atb ignoré
C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSSnrse.dll.vir Infecté : Backdoor.Win32.TDSS.blh ignoré
C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSSofxh.dll.vir Infecté : Backdoor.Win32.TDSS.asz ignoré
C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSSosvd.dll.vir Infecté : Backdoor.Win32.TDSS.atb ignoré
C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSSosvn.dll.vir Infecté : Backdoor.Win32.TDSS.blh ignoré
C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSSrhym.dll.vir Infecté : Trojan.Win32.Agent.akki ignoré
C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSSriqp.dll.vir Infecté : Backdoor.Win32.TDSS.atb ignoré
C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
C:\System Volume Information\_restore{712F9300-1E00-445F-8916-4C9BB1CBB1EB}\RP86\A0033856.exe Infecté : Trojan-Downloader.Win32.Small.agdo ignoré
C:\System Volume Information\_restore{712F9300-1E00-445F-8916-4C9BB1CBB1EB}\RP86\A0036858.exe Infecté : Trojan-Downloader.Win32.Small.agdo ignoré
C:\System Volume Information\_restore{712F9300-1E00-445F-8916-4C9BB1CBB1EB}\RP86\A0036859.exe Infecté : Trojan-Downloader.Win32.Small.agdo ignoré
C:\System Volume Information\_restore{712F9300-1E00-445F-8916-4C9BB1CBB1EB}\RP86\A0037860.exe Infecté : Trojan-Downloader.Win32.Small.agdo ignoré
C:\System Volume Information\_restore{712F9300-1E00-445F-8916-4C9BB1CBB1EB}\RP86\A0037861.exe Infecté : Trojan-Downloader.Win32.Small.agdo ignoré
C:\System Volume Information\_restore{712F9300-1E00-445F-8916-4C9BB1CBB1EB}\RP86\A0038861.exe Infecté : Trojan-Downloader.Win32.Small.agdo ignoré
C:\System Volume Information\_restore{712F9300-1E00-445F-8916-4C9BB1CBB1EB}\RP86\A0044862.exe Infecté : Trojan-Downloader.Win32.Small.agdo ignoré
C:\System Volume Information\_restore{712F9300-1E00-445F-8916-4C9BB1CBB1EB}\RP86\A0044863.exe Infecté : Trojan-Downloader.Win32.Small.agdo ignoré
C:\System Volume Information\_restore{712F9300-1E00-445F-8916-4C9BB1CBB1EB}\RP86\A0045864.exe Infecté : Trojan-Downloader.Win32.Small.agdo ignoré
C:\System Volume Information\_restore{712F9300-1E00-445F-8916-4C9BB1CBB1EB}\RP86\A0045865.exe Infecté : Trojan-Downloader.Win32.Small.agdo ignoré
C:\System Volume Information\_restore{712F9300-1E00-445F-8916-4C9BB1CBB1EB}\RP86\A0046864.exe Infecté : Trojan-Downloader.Win32.Small.agdo ignoré
C:\System Volume Information\_restore{712F9300-1E00-445F-8916-4C9BB1CBB1EB}\RP86\A0046865.exe Infecté : Trojan-Downloader.Win32.Small.agdo ignoré
C:\System Volume Information\_restore{712F9300-1E00-445F-8916-4C9BB1CBB1EB}\RP86\A0047867.sys Infecté : Backdoor.Win32.TDSS.ats ignoré
C:\System Volume Information\_restore{712F9300-1E00-445F-8916-4C9BB1CBB1EB}\RP86\A0047869.dll Infecté : Backdoor.Win32.TDSS.asz ignoré
C:\System Volume Information\_restore{712F9300-1E00-445F-8916-4C9BB1CBB1EB}\RP86\A0047870.dll Infecté : Backdoor.Win32.TDSS.atb ignoré
C:\System Volume Information\_restore{712F9300-1E00-445F-8916-4C9BB1CBB1EB}\RP86\A0047871.dll Infecté : Backdoor.Win32.Agent.tww ignoré
C:\System Volume Information\_restore{712F9300-1E00-445F-8916-4C9BB1CBB1EB}\RP86\A0047873.dll Infecté : Trojan.Win32.Agent.akki ignoré
C:\System Volume Information\_restore{712F9300-1E00-445F-8916-4C9BB1CBB1EB}\RP87\A0048004.sys Infecté : Backdoor.Win32.TDSS.bkw ignoré
C:\System Volume Information\_restore{712F9300-1E00-445F-8916-4C9BB1CBB1EB}\RP87\A0048005.dll Infecté : Backdoor.Win32.TDSS.asz ignoré
C:\System Volume Information\_restore{712F9300-1E00-445F-8916-4C9BB1CBB1EB}\RP87\A0048006.dll Infecté : Backdoor.Win32.TDSS.atb ignoré
C:\System Volume Information\_restore{712F9300-1E00-445F-8916-4C9BB1CBB1EB}\RP87\A0048008.dll Infecté : Backdoor.Win32.TDSS.blh ignoré
C:\System Volume Information\_restore{712F9300-1E00-445F-8916-4C9BB1CBB1EB}\RP87\A0048010.dll Infecté : Backdoor.Win32.TDSS.asz ignoré
C:\System Volume Information\_restore{712F9300-1E00-445F-8916-4C9BB1CBB1EB}\RP87\A0048011.dll Infecté : Backdoor.Win32.TDSS.atb ignoré
C:\System Volume Information\_restore{712F9300-1E00-445F-8916-4C9BB1CBB1EB}\RP87\A0048012.dll Infecté : Backdoor.Win32.TDSS.blh ignoré
D:\OUTILS\Internet\UltraVNC\vnchooks.dll Infecté : not-a-virus:RemoteAdmin.Win32.WinVNC.c ignoré
D:\OUTILS\Internet\UltraVNC\vncviewer.exe Infecté : not-a-virus:RemoteAdmin.Win32.WinVNC.1102 ignoré
D:\OUTILS\Internet\UltraVNC\winvnc.exe Infecté : not-a-virus:RemoteAdmin.Win32.WinVNC.c ignoré
E:\Download old pc\G\SAUVEGARDES E\APdivers.tar.gz/packed/mnt/outils/ANCIEN PC/sauvegardes/bureau/Ca/optim.exe Infecté : Hoax.Win32.BadJoke.Baton.a ignoré
E:\Download old pc\G\SAUVEGARDES E\APdivers.tar.gz/packed/mnt/outils/ANCIEN PC/sauvegardes/Norton_AntiVirus/Quarantine/7ecf39d9.exe Infecté : Email-Flooder.Win32.MailBomb.02 ignoré
E:\Download old pc\G\SAUVEGARDES E\APdivers.tar.gz/packed Infecté : Email-Flooder.Win32.MailBomb.02 ignoré
E:\Download old pc\G\SAUVEGARDES E\APdivers.tar.gz GZIP: infecté - 3 ignoré
E:\Download old pc\G\SAUVEGARDES E\Outlook Express.zip/Documents and Settings/Administrateur/Local Settings/Application Data/Identities/{7C7AFFEC-6099-44D0-9622-79EC460F61E2}/Microsoft/Outlook Express/Boîte de réception.dbx/[From marsollier3 <marsollier3@wanadoo.fr>][Date Sun, 23 Dec 2001 11:41:42 +0100 (MET)]/UNNAMED/dDuring.bat Infecté : Email-Worm.Win32.Magistr.b ignoré
E:\Download old pc\G\SAUVEGARDES E\Outlook Express.zip/Documents and Settings/Administrateur/Local Settings/Application Data/Identities/{7C7AFFEC-6099-44D0-9622-79EC460F61E2}/Microsoft/Outlook Express/Boîte de réception.dbx/[From marsollier3 <marsollier3@wanadoo.fr>][Date Sun, 23 Dec 2001 11:41:42 +0100 (MET)]/UNNAMED Infecté : Email-Worm.Win32.Magistr.b ignoré
E:\Download old pc\G\SAUVEGARDES E\Outlook Express.zip/Documents and Settings/Administrateur/Local Settings/Application Data/Identities/{7C7AFFEC-6099-44D0-9622-79EC460F61E2}/Microsoft/Outlook Express/Boîte de réception.dbx Infecté : Email-Worm.Win32.Magistr.b ignoré
E:\Download old pc\G\SAUVEGARDES E\Outlook Express.zip ZIP: infecté - 3 ignoré
E:\SmitfraudFix.exe/SmitfraudFix/Reboot.exe Infecté : not-a-virus:RiskTool.Win32.Reboot.f ignoré
E:\SmitfraudFix.exe RAR: infecté - 1 ignoré

Analyse terminée.



et les résultat de tools cleaner :

[ Rapport ToolsCleaner version 2.2.6 (par A.Rothstein & dj QUIOU) ]

-->- Recherche:

C:\HJTInstall.exe: trouvé !
C:\Combofix.txt: trouvé !
C:\avenger.txt: trouvé !
C:\avenger: trouvé !
C:\HijackThis: trouvé !
C:\Qoobox: trouvé !
C:\Documents and Settings\Administrateur\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\Administrateur\Bureau\DiagHelp.zip: trouvé !
C:\Documents and Settings\Administrateur\Bureau\SmitFraudFix.exe: trouvé !
C:\Documents and Settings\Administrateur\Bureau\DiagHelp: trouvé !
C:\Documents and Settings\Administrateur\Bureau\SmitFraudfix: trouvé !
C:\Documents and Settings\Administrateur\Recent\HijackThis.lnk: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\Benjamin\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\Benjamin\Bureau\SmitFraudFix.exe: trouvé !
C:\HijackThis\HijackThis.exe: trouvé !
C:\HijackThis\hijackthis.log: trouvé !
C:\HT\hijackthis.log: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !

---------------------------------
-->- Suppression:

C:\HJTInstall.exe: supprimé !
C:\Documents and Settings\Administrateur\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\Administrateur\Bureau\DiagHelp.zip: supprimé !
C:\Documents and Settings\Administrateur\Bureau\SmitFraudFix.exe: supprimé !
C:\Documents and Settings\Administrateur\Recent\HijackThis.lnk: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\Benjamin\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\Benjamin\Bureau\SmitFraudFix.exe: supprimé !
C:\HijackThis\HijackThis.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\avenger.txt: supprimé !
C:\HijackThis\hijackthis.log: supprimé !
C:\HT\hijackthis.log: supprimé !
C:\avenger: supprimé !
C:\HijackThis: supprimé !
C:\Qoobox: supprimé !
C:\Documents and Settings\Administrateur\Bureau\DiagHelp: supprimé !
C:\Documents and Settings\Administrateur\Bureau\SmitFraudfix: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

philae
 Posté le 23/11/2008 à 18:14 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Grande Maîtresse astucienne

bonsoir,

une bonne partie correspondait aux quarantaines

par contre il faudrait supprimer tes mails dans

Thunderbird il y en a pas mal avec des fichiers infectés.

D:\OUTILS\Internet\UltraVNC\vnchooks.dll Infecté : not-a-virus:RemoteAdmin.Win32.WinVNC.c ignoré
D:\OUTILS\Internet\UltraVNC\vncviewer.exe Infecté : not-a-virus:RemoteAdmin.Win32.WinVNC.1102 ignoré
D:\OUTILS\Internet\UltraVNC\winvnc.exe Infecté : not-a-virus:RemoteAdmin.Win32.WinVNC.c ignoré


qu'est-ce que UltraVNC ? un logiciel téléchargé de manière pas très catholique ?

il faut le supprimer entièrement.

E:\Download old pc\G\SAUVEGARDES E\APdivers.tar.gz/packed/mnt/outils/ANCIEN PC/sauvegardes/Norton_AntiVirus/Quarantine/7ecf39d9.exe Infecté : Email-Flooder.Win32.MailBomb.02 ignoré
E:\Download old pc\G\SAUVEGARDES E\APdivers.tar.gz/packed Infecté : Email-Flooder.Win32.MailBomb.02 ignoré

et supprime egalement APdivers.tar.gz

Vide la quarantaine de norton.


ensuite tu pourras désactiver ta restauration système, de manière à repartir sur un point propre.

Tuto :

Desactiver la restauration systeme


Publicité
benhur80
 Posté le 25/11/2008 à 09:03 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Salut!

Merci pour ton coup de main. Je crois que cette fois, tout est nickel...

En ce qui concerne Ultra VNC c'est un logiciel plus que catholique et assez connu pourtant! Une petite description : http://fr.wikipedia.org/wiki/UltraVNC" href="http://fr.wikipedia.org/wiki/UltraVNC">http://fr.wikipedia.org/wiki/UltraVNC. C'est une implémentation de VNC pour prendre la main sur un ordinateur à distance (pour faire du dépanage, accéder un autre système d'exploitation etc.).

Bonne semaine et encore merci

Ben

philae
 Posté le 25/11/2008 à 15:45 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Grande Maîtresse astucienne

bonjour

En ce qui concerne Ultra VNC c'est un logiciel plus que catholique et assez connu pourtant!

je connais de nom uniquement et quand je dis pas catholique, cela veut dire téléchargé illégalement, mais effectivement il est gratuit, je n'avais pas fait attention.

tout est ok je pense maintenant.

IMPORTANT

* Il faut mettre à jour Adobe Reader vers la version 9
http://www.adobe.com/fr/products/acrobat/readstep2.html

- Décocher : Téléchargez également Adobe Photoshop® Album Édition
- Dans Ajout/Suppression des programmes, supprime toutes les autres versions.

-------------


Java Runtime Environment (JRE) 6 Update10 : http://java.sun.com/javase/downloads/index.jsp
-> 1ème lien...Java Runtime Environnement -> JRE:6u10 -> Windows offline
Tuto : https://forum.pcastuces.com/sujet.asp?f=25&s=43715 (suis la version installation offline)


* Enregistre le fichier sur ton Bureau
* Ferme tous tes programmes (surtout les navigateurs Internet)
* Clique sur -> Démarrer -> Panneau de configuration -> Ajout / suppression de programmes
et désinstalle toutes les anciennes versions de JAVA
* Sélectionne tout ce qui contient "Java Runtime Environment (JRE ou J2SE)". Clique sur le bouton "Modifier / supprimer"
* Répète autant de fois que nécessaire pour enlever toutes les autres versions de JAVA
* Redémarre l’ordinateur
* Après le redémarrage, clique sur -> jre-6u10-windows-i586-p-s.exe pour installer la nouvelle version.
* Suis les instructions à l'écran.

* clique sur les liens dans ma signature, afin d'apprendre à mieux utiliser et sécuriser ton pc.

tu pourras mettre ton sujet en RESOLU

bonne fin de journée

Page : [1] 
Page 1 sur 1

Vous devez être connecté pour participer à la discussion.
Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !
Recevoir PC Astuces par e-mail


La Lettre quotidienne +226 000 inscrits
Avec l'actu, des logiciels, des applis, des astuces, des bons plans, ...

Les bonnes affaires
Une fois par semaine, un récap des meilleurs offres.

Les fonds d'écran
De jolies photos pour personnaliser votre bureau. Une fois par semaine.

Les nouveaux Bons Plans
Des notifications pour ne pas rater les bons plans publiés sur le site.

Les bons plans du moment PC Astuces

Tous les Bons Plans
1349,99 €PC portable 15,6 pouces HP Omen (R7 5800H, 16Go/SSD 512Go, GeForce RTX 3070) à 1349,99 € (via ODR)
Valable jusqu'au 22 Octobre

Cdiscount fait une belle promotion sur le PC portable HP Omen 15-en1006nf qui passe à 1499,99 €. Or HP rembourse actuellement 150 € pour l'achat de cet ordinateur qui vous reviendra à 1349,99 € après remboursement. On le trouve ailleus à plus de 2000 €.

e portable dispose d'un écran 15,6 pouces Full HD IPS (1920 x 1080 pixels) à 144 Hz, d'un processeur AMD Ryzen 7 5800H à 8 coeurs, de 16 Go de RAM, d'un SSD NVMe de 512 Go. Il intègre également une carte graphique dédiée GeForce RTX 3070 8 Go.

Il possède 4 ports USB 3.2, un port USB 3.2 Type C, un lecteur de carte mémoire, une webcam, le WiFi 6, bluetooth 5.0 et un port Ethernet Gigabit. Il tourne sous Windows 10. Un ordinateur très performant, parfait pour un usage bureautique, multimédia et gaming.


> Voir l'offre
85,30 €Kit de 16 Go (2x8 Go) de mémoire DDR4 Corsair Vengeance RGB Pro 3600 MHz à 85,30 € livré
Valable jusqu'au 22 Octobre

Amazon Allemagne fait une promotion sur le kit de 16 Go (2x8 Go) de mémoire DDR4 Corsair Vengeance RGB Pro 3600 MT/s CL18 à 80,57 € (avec la TVA ajustée). Comptez 4,73 € pour la livraison en France soit un total de 85,30 € livré alors qu'on le trouve ailleurs autour de 110 €. Vous pourrez personnaliser la palette de couleurs directement depuis le logiciel Corsair iCU.

Vous pouvez utiliser votre compte Amazon France sur Amazon Allemagne et il n'y a pas de douane.


> Voir l'offre
179,99 €Fauteuil gaming Millenium G1-MGC à 179,99 €
Valable jusqu'au 22 Octobre

Fnac fait une promotion sur le fauteuil gaming Millenium G1-MGC qui passe à 179,99 € au lieu de 299 €. Ce fauteuil est doté d'un revêtement en similicuir particulièrement épais (2 mm) qui offre une assise confortable et une grande durabilité. Trouvez la position la plus adaptée pendant vos parties et appréciez le dossier inclinable du fauteuil Millenium Chair. Basculez jusqu'à 170° et profitez d'une pause bien méritée pour reprendre des forces. Vous pourrez même verrouiller l'inclinaison pour retrouver la position souhaitée à tout moment ! Quant aux accoudoirs 4D, vous allez pouvoir trouver la configuration qui vous conviendra le mieux et qui sera la plus confortable pour vous.


> Voir l'offre

Sujets relatifs
Ecran bleu au démarrage de windows infection ?
écran bleu demarrage windows 7
Ecran Bleu et plantage sous Windows 7
Windows et écran bleu : une MàJ de sécurité sous c
ECRAN BLEU WINDOWS NE DEMARRAGE PLUS
écran bleu et redémarrage sans arrêt de Windows
pb bug windows (ecran bleu intempestif)
blocage , ecran bleu , probleme demarrage windows
blocage ecran bleu et probleme demarrage windows
écran bleu après lancement de Windows
Plus de sujets relatifs à Windows XP : infecté + écran bleu
 > Tous les forums > Forum Sécurité