BaK

Membres

Afficher le profil Afficher son activité

Compteur de contenus
2 089
Inscription
le 9 octobre 2003
Dernière visite
le 7 janvier 2016
Jours gagnés
1

Type de contenu

Toute l’activité

Profils

Forums

Blogs

Tout ce qui a été posté par BaK

[Résolu] Activation fenêtre

BaK a répondu à un(e) sujet de BaK dans Optimisation, Trucs & Astuces

Oui, mais c'est pour avoir ça au job et comme ils arrivent à voir le moindre trucs que tu installes... pour ensuite te dire de le désinstaller Et ça me permettra d'apprendre un truc sur la BdR au passage! Par contre je ne manquerai pas d'utiliser cette fonction de TweakUI à la maison!
- le 6 février 2008
- 12 réponses
[Résolu] Activation fenêtre

BaK a répondu à un(e) sujet de BaK dans Optimisation, Trucs & Astuces

Salut Angélique , douds, Merci pour vos réponses! Quand on sait que cette fonction se nomme x-mouse, on trouve même une astuce à son sujet sur zeb! http://www.zebulon.fr/astuces/170-activer-...on-x-mouse.html J'aurais besoin d'une précision sur ce point: N'étant pas très familier de la BdR, je me demande si le fait de renommer une clé permet vraiment de la sauver? EDIT: me semble que je n'ai pas posté dans la rubrique trucs & astuces comme je le pensais...
- le 6 février 2008
- 12 réponses
[Résolu] Activation fenêtre

BaK a posté un sujet dans Optimisation, Trucs & Astuces

Hello, Sous XP SP2, est-il possible de faire en sorte qu'une fenêtre s'active dès que la souris la survole? Sans avoir à cliquer dans ladite fenêtre? Ayant un 2e moniteur, cela me faciliterai grandement les choses! Merci pour vos idées, a+
- le 6 février 2008
- 12 réponses
P4C 2.4

BaK a répondu à un(e) sujet de BaK dans Overclocking

Bon, FSB à 265MHZ, j'ai augmenté le VCore (origine à 1.525V) par palier: - 1.550V : OCCT a crashé après 3 min - 1.575V : OCCT a crashé après 3 min - 1.600V : OCCT a crashé après 9 min Léger mieux, mais finalement on dirait qu'une augmentation de VCore n'améliore pas les choses... Toujours à 1.600V, j'ai désynchronisé ma RAM en 5:4 -> OCCT de 2h réussi! Du coup je suis pas super content de ma PC550 qui devrait théoriquement tenir les 275MHz de FSB! Je vais donc rester en désynchro 5:4, et redescendre le VCore à sa valeur d'origine pour voir si ça tient. Si c'est le cas, je vais resynchroniser ma RAM et voir si une augmentation de VDimm a un effet positif. Les avis des experts sont bien sur les bienvenus!
- le 1 février 2008
- 7 réponses
P4C 2.4

BaK a répondu à un(e) sujet de BaK dans Overclocking

OCCT de 2h avec un FSB de 260 s'est bien déroulé. Par contre... OCCT a crashé à un FSB de 265MHz! Je vais commencer par augmenter le VCore voir si ça améliore les choses! Un FSB de 260MHz semble être la limite pour un VCore d'origine. En espérant que la RAM suive la cadence et qu'elle n'est pas la cause du crash! A+
- le 31 janvier 2008
- 7 réponses
[Résolu] Messages d'alertes

BaK a répondu à un(e) sujet de BaK dans Analyses et éradication malwares

Salut Charles! Merci pour ton message, me voilà rassuré! On dirait que mon routeur me permet de rester clean, c'est bien! Les messages de pub ne sont pas revenus, ce point à l'air résolu! Je vais faire le ménage avec ATF Cleaner et supprimer les programmes de désinfection obsolètes. Une dernière question sur Kaspersky, pour que je puisse m'en servir par moi-même: comment indique-t-il qqch de vraiment méchant?
- le 31 janvier 2008
- 9 réponses
[Résolu] Messages d'alertes

BaK a répondu à un(e) sujet de BaK dans Analyses et éradication malwares

Un ptit UP pour une aide sur l'interprétation du log Kaspersky!
- le 30 janvier 2008
- 9 réponses
P4C 2.4

BaK a répondu à un(e) sujet de BaK dans Overclocking

Merci à tous pour votre aide! Bon, j'ai testé mes applis, jeux, vidéos, etc. pendant 1-2 semaines durant lesquelles je n'a relevé aucun problème. Je suis donc passé à un FSB de 255. 2h de OCCT et mon système est resté stable. Je poursuis!
- le 30 janvier 2008
- 7 réponses
[Résolu] Messages d'alertes

BaK a répondu à un(e) sujet de BaK dans Analyses et éradication malwares

Avec un peu de retard... le scan Kaspersky ------------------------------------------------------------------------------- KASPERSKY ONLINE SCANNER REPORT Tuesday, January 29, 2008 9:17:10 PM Operating System: Microsoft Windows XP Professional, Service Pack 1 (Build 2600) Kaspersky Online Scanner version: 5.0.98.0 Kaspersky Anti-Virus database last update: 29/01/2008 Kaspersky Anti-Virus database records: 535901 ------------------------------------------------------------------------------- Scan Settings: Scan using the following antivirus database: extended Scan Archives: true Scan Mail Bases: true Scan Target - My Computer: A:\ C:\ D:\ E:\ F:\ G:\ H:\ J:\ Scan Statistics: Total number of scanned objects: 145833 Number of viruses found: 12 Number of infected objects: 79 Number of suspicious objects: 0 Duration of the scan process: 03:20:14 Infected Object Name / Virus Name / Last Action C:\Program Files\mIRC\mirc.exe Infected: not-a-virus:Client-IRC.Win32.mIRC.621 skipped C:\System Volume Information\_restore{9DAA206D-2467-44C3-BADA-158D5710C876}\RP23\change.log Object is locked skipped D:\Documents and Settings\Chris-MSI\Application Data\Mozilla\Firefox\Profiles\apzijdxw.default\cert8.db Object is locked skipped D:\Documents and Settings\Chris-MSI\Application Data\Mozilla\Firefox\Profiles\apzijdxw.default\history.dat Object is locked skipped D:\Documents and Settings\Chris-MSI\Application Data\Mozilla\Firefox\Profiles\apzijdxw.default\key3.db Object is locked skipped D:\Documents and Settings\Chris-MSI\Application Data\Mozilla\Firefox\Profiles\apzijdxw.default\parent.lock Object is locked skipped D:\Documents and Settings\Chris-MSI\Application Data\Mozilla\Firefox\Profiles\apzijdxw.default\search.sqlite Object is locked skipped D:\Documents and Settings\Chris-MSI\Application Data\Mozilla\Firefox\Profiles\apzijdxw.default\urlclassifier2.sqlite Object is locked skipped D:\Documents and Settings\Chris-MSI\Cookies\index.dat Object is locked skipped D:\Documents and Settings\Chris-MSI\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped D:\Documents and Settings\Chris-MSI\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped D:\Documents and Settings\Chris-MSI\Local Settings\Application Data\Mozilla\Firefox\Profiles\apzijdxw.default\Cache\_CACHE_001_ Object is locked skipped D:\Documents and Settings\Chris-MSI\Local Settings\Application Data\Mozilla\Firefox\Profiles\apzijdxw.default\Cache\_CACHE_002_ Object is locked skipped D:\Documents and Settings\Chris-MSI\Local Settings\Application Data\Mozilla\Firefox\Profiles\apzijdxw.default\Cache\_CACHE_003_ Object is locked skipped D:\Documents and Settings\Chris-MSI\Local Settings\Application Data\Mozilla\Firefox\Profiles\apzijdxw.default\Cache\_CACHE_MAP_ Object is locked skipped D:\Documents and Settings\Chris-MSI\Local Settings\History\History.IE5\index.dat Object is locked skipped D:\Documents and Settings\Chris-MSI\Local Settings\History\History.IE5\MSHist012008012920080130\index.dat Object is locked skipped D:\Documents and Settings\Chris-MSI\Local Settings\Temp\rohoeofoN1.dll Infected: Trojan.Win32.Inject.mf skipped D:\Documents and Settings\Chris-MSI\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped D:\Documents and Settings\Chris-MSI\NTUSER.DAT Object is locked skipped D:\Documents and Settings\Chris-MSI\ntuser.dat.LOG Object is locked skipped D:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped D:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped D:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped D:\Documents and Settings\LocalService\Local Settings\History\History.IE5\index.dat Object is locked skipped D:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped D:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped D:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped D:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped D:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped D:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped D:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\logs\starwind.2008-01-29.17-42-46.log Object is locked skipped D:\System Volume Information\_restore{9DAA206D-2467-44C3-BADA-158D5710C876}\RP23\change.log Object is locked skipped D:\UBCD4Win\BartPE\I386\SYSTEM32\WM_HOOKS.DLL Infected: not-a-virus:RemoteAdmin.Win32.WinVNC.4 skipped D:\UBCD4Win\BartPE\PROGRAMS\IPScan\ipscan.exe Infected: not-a-virus:NetTool.Win32.Portscan.c skipped D:\UBCD4Win\BartPE\PROGRAMS\Keyfinder\keyfinder.exe/data.rar/officekey.exe Infected: not-a-virus:PSWTool.Win32.RAS.a skipped D:\UBCD4Win\BartPE\PROGRAMS\Keyfinder\keyfinder.exe/data.rar Infected: not-a-virus:PSWTool.Win32.RAS.a skipped D:\UBCD4Win\BartPE\PROGRAMS\Keyfinder\keyfinder.exe RarSFX: infected - 2 skipped D:\UBCD4Win\BartPE\PROGRAMS\ultravnc\vnchooks.dll Infected: not-a-virus:RemoteAdmin.Win32.WinVNC.c skipped D:\UBCD4Win\BartPE\PROGRAMS\ultravnc\vncviewer.exe Infected: not-a-virus:RemoteAdmin.Win32.WinVNC.1102 skipped D:\UBCD4Win\BartPE\PROGRAMS\ultravnc\winvnc.exe Infected: not-a-virus:RemoteAdmin.Win32.WinVNC.c skipped D:\UBCD4Win\BartPE\PROGRAMS\vncserver\vncconfig.exe Infected: not-a-virus:RemoteAdmin.Win32.WinVNC.4 skipped D:\UBCD4Win\BartPE\PROGRAMS\vncserver\winvnc4.exe Infected: not-a-virus:RemoteAdmin.Win32.WinVNC.4 skipped D:\UBCD4Win\plugin\Network\ipscan\ipscan.exe Infected: not-a-virus:NetTool.Win32.Portscan.c skipped D:\UBCD4Win\plugin\Network\ultravnc\files\vnchooks.dll Infected: not-a-virus:RemoteAdmin.Win32.WinVNC.c skipped D:\UBCD4Win\plugin\Network\ultravnc\files\vncviewer.exe Infected: not-a-virus:RemoteAdmin.Win32.WinVNC.1102 skipped D:\UBCD4Win\plugin\Network\ultravnc\files\winvnc.exe Infected: not-a-virus:RemoteAdmin.Win32.WinVNC.c skipped D:\UBCD4Win\plugin\Network\VNCServer\vncconfig.exe Infected: not-a-virus:RemoteAdmin.Win32.WinVNC.4 skipped D:\UBCD4Win\plugin\Network\VNCServer\vncviewer.exe Infected: not-a-virus:RemoteAdmin.Win32.WinVNC.4 skipped D:\UBCD4Win\plugin\Network\VNCServer\winvnc4.exe Infected: not-a-virus:RemoteAdmin.Win32.WinVNC.4 skipped D:\UBCD4Win\plugin\Network\VNCServer\wm_hooks.dll Infected: not-a-virus:RemoteAdmin.Win32.WinVNC.4 skipped D:\UBCD4Win\plugin\System-Info\Information\keyfinderpe\keyfinder.exe/data.rar/officekey.exe Infected: not-a-virus:PSWTool.Win32.RAS.a skipped D:\UBCD4Win\plugin\System-Info\Information\keyfinderpe\keyfinder.exe/data.rar Infected: not-a-virus:PSWTool.Win32.RAS.a skipped D:\UBCD4Win\plugin\System-Info\Information\keyfinderpe\keyfinder.exe RarSFX: infected - 2 skipped D:\WINDOWS\CSC�000001 Object is locked skipped D:\WINDOWS\Debug\oakley.log Object is locked skipped D:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped D:\WINDOWS\SchedLgU.Txt Object is locked skipped D:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped D:\WINDOWS\system32\config\default Object is locked skipped D:\WINDOWS\system32\config\default.LOG Object is locked skipped D:\WINDOWS\system32\config\SAM Object is locked skipped D:\WINDOWS\system32\config\SAM.LOG Object is locked skipped D:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped D:\WINDOWS\system32\config\SECURITY Object is locked skipped D:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped D:\WINDOWS\system32\config\software Object is locked skipped D:\WINDOWS\system32\config\software.LOG Object is locked skipped D:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped D:\WINDOWS\system32\config\system Object is locked skipped D:\WINDOWS\system32\config\system.LOG Object is locked skipped D:\WINDOWS\system32\config\systemprofile\Cookies\index.dat Object is locked skipped D:\WINDOWS\system32\config\systemprofile\Local Settings\History\History.IE5\index.dat Object is locked skipped D:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped D:\WINDOWS\system32\h323log.txt Object is locked skipped D:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped D:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped F:1-ABIT\INSTALL_Abit\XP-BASE\Malekal-Cleaner\clean.zip/clean/pskill.exe Infected: not-a-virus:RiskTool.Win32.PsKill.k skipped F:1-ABIT\INSTALL_Abit\XP-BASE\Malekal-Cleaner\clean.zip ZIP: infected - 1 skipped F:1-ABIT\INSTALL_Abit\XP-BASE\SmitfraudFix\SmitfraudFix.zip/SmitfraudFix/Reboot.exe Infected: not-a-virus:RiskTool.Win32.Reboot.f skipped F:1-ABIT\INSTALL_Abit\XP-BASE\SmitfraudFix\SmitfraudFix.zip ZIP: infected - 1 skipped F:\Base_4_Sell\XP_activation\keyfinder.exe/data.rar/xpkey.exe Infected: not-a-virus:PSWTool.Win32.RAS.a skipped F:\Base_4_Sell\XP_activation\keyfinder.exe/data.rar/officekey.exe Infected: not-a-virus:PSWTool.Win32.RAS.a skipped F:\Base_4_Sell\XP_activation\keyfinder.exe/data.rar Infected: not-a-virus:PSWTool.Win32.RAS.a skipped F:\Base_4_Sell\XP_activation\keyfinder.exe RarSFX: infected - 3 skipped F:\INSTALL-MSI�-2000_ONLY\MIRC.v6.21.Incl.KeyMaker-DVT\Setup\mirc621.exe/stream/data0008 Infected: not-a-virus:Client-IRC.Win32.mIRC.621 skipped F:\INSTALL-MSI�-2000_ONLY\MIRC.v6.21.Incl.KeyMaker-DVT\Setup\mirc621.exe/stream Infected: not-a-virus:Client-IRC.Win32.mIRC.621 skipped F:\INSTALL-MSI�-2000_ONLY\MIRC.v6.21.Incl.KeyMaker-DVT\Setup\mirc621.exe NSIS: infected - 2 skipped F:\INSTALL-MSI�-XP_ONLY\UBCD4Win 3.06\UBCD4WinV306.exe/file3145 Infected: not-a-virus:NetTool.Win32.Portscan.c skipped F:\INSTALL-MSI�-XP_ONLY\UBCD4Win 3.06\UBCD4WinV306.exe/file3324 Infected: not-a-virus:RemoteAdmin.Win32.WinVNC.c skipped F:\INSTALL-MSI�-XP_ONLY\UBCD4Win 3.06\UBCD4WinV306.exe/file3326 Infected: not-a-virus:RemoteAdmin.Win32.WinVNC.1102 skipped F:\INSTALL-MSI�-XP_ONLY\UBCD4Win 3.06\UBCD4WinV306.exe/file3329 Infected: not-a-virus:RemoteAdmin.Win32.WinVNC.c skipped F:\INSTALL-MSI�-XP_ONLY\UBCD4Win 3.06\UBCD4WinV306.exe/file3382 Infected: not-a-virus:RemoteAdmin.Win32.WinVNC.4 skipped F:\INSTALL-MSI�-XP_ONLY\UBCD4Win 3.06\UBCD4WinV306.exe/file3385 Infected: not-a-virus:RemoteAdmin.Win32.WinVNC.4 skipped F:\INSTALL-MSI�-XP_ONLY\UBCD4Win 3.06\UBCD4WinV306.exe/file3386 Infected: not-a-virus:RemoteAdmin.Win32.WinVNC.4 skipped F:\INSTALL-MSI�-XP_ONLY\UBCD4Win 3.06\UBCD4WinV306.exe/file3387 Infected: not-a-virus:RemoteAdmin.Win32.WinVNC.4 skipped F:\INSTALL-MSI�-XP_ONLY\UBCD4Win 3.06\UBCD4WinV306.exe/file3587/data.rar/officekey.exe Infected: not-a-virus:PSWTool.Win32.RAS.a skipped F:\INSTALL-MSI�-XP_ONLY\UBCD4Win 3.06\UBCD4WinV306.exe/file3587/data.rar Infected: not-a-virus:PSWTool.Win32.RAS.a skipped F:\INSTALL-MSI�-XP_ONLY\UBCD4Win 3.06\UBCD4WinV306.exe/file3587 Infected: not-a-virus:PSWTool.Win32.RAS.a skipped F:\INSTALL-MSI�-XP_ONLY\UBCD4Win 3.06\UBCD4WinV306.exe Inno: infected - 11 skipped F:\INSTALL-MSI\Malekal-Cleaner\clean.zip/clean/pskill.exe Infected: not-a-virus:RiskTool.Win32.PsKill.k skipped F:\INSTALL-MSI\Malekal-Cleaner\clean.zip ZIP: infected - 1 skipped F:\INSTALL-MSI\SmitfraudFix\SmitfraudFix.zip/SmitfraudFix/Reboot.exe Infected: not-a-virus:RiskTool.Win32.Reboot.f skipped F:\INSTALL-MSI\SmitfraudFix\SmitfraudFix.zip ZIP: infected - 1 skipped F:\Old_a_trier\Install2000\PSKill\pskill.exe Infected: not-a-virus:RiskTool.Win32.PsKill.1101 skipped F:\Old_a_trier\Install2000\PSKill\pskill.zip/pskill.exe Infected: not-a-virus:RiskTool.Win32.PsKill.1101 skipped F:\Old_a_trier\Install2000\PSKill\pskill.zip ZIP: infected - 1 skipped F:\System Volume Information\_restore{9DAA206D-2467-44C3-BADA-158D5710C876}\RP23\A0001514.exe/data0001.bin Infected: not-a-virus:Client-IRC.Win32.mIRC.617 skipped F:\System Volume Information\_restore{9DAA206D-2467-44C3-BADA-158D5710C876}\RP23\A0001514.exe mIRC: infected - 1 skipped F:\System Volume Information\_restore{9DAA206D-2467-44C3-BADA-158D5710C876}\RP23\A0001517.exe/data0001.bin Infected: not-a-virus:Client-IRC.Win32.mIRC.616 skipped F:\System Volume Information\_restore{9DAA206D-2467-44C3-BADA-158D5710C876}\RP23\A0001517.exe mIRC: infected - 1 skipped F:\System Volume Information\_restore{9DAA206D-2467-44C3-BADA-158D5710C876}\RP23\A0001522.exe/data0001.bin Infected: not-a-virus:Client-IRC.Win32.mIRC.616 skipped F:\System Volume Information\_restore{9DAA206D-2467-44C3-BADA-158D5710C876}\RP23\A0001522.exe mIRC: infected - 1 skipped F:\System Volume Information\_restore{9DAA206D-2467-44C3-BADA-158D5710C876}\RP23\change.log Object is locked skipped F:\Temp\UBCD4Win 3.06\UBCD4WinV306.exe/file3145 Infected: not-a-virus:NetTool.Win32.Portscan.c skipped F:\Temp\UBCD4Win 3.06\UBCD4WinV306.exe/file3324 Infected: not-a-virus:RemoteAdmin.Win32.WinVNC.c skipped F:\Temp\UBCD4Win 3.06\UBCD4WinV306.exe/file3326 Infected: not-a-virus:RemoteAdmin.Win32.WinVNC.1102 skipped F:\Temp\UBCD4Win 3.06\UBCD4WinV306.exe/file3329 Infected: not-a-virus:RemoteAdmin.Win32.WinVNC.c skipped F:\Temp\UBCD4Win 3.06\UBCD4WinV306.exe/file3382 Infected: not-a-virus:RemoteAdmin.Win32.WinVNC.4 skipped F:\Temp\UBCD4Win 3.06\UBCD4WinV306.exe/file3385 Infected: not-a-virus:RemoteAdmin.Win32.WinVNC.4 skipped F:\Temp\UBCD4Win 3.06\UBCD4WinV306.exe/file3386 Infected: not-a-virus:RemoteAdmin.Win32.WinVNC.4 skipped F:\Temp\UBCD4Win 3.06\UBCD4WinV306.exe/file3387 Infected: not-a-virus:RemoteAdmin.Win32.WinVNC.4 skipped F:\Temp\UBCD4Win 3.06\UBCD4WinV306.exe/file3587/data.rar/officekey.exe Infected: not-a-virus:PSWTool.Win32.RAS.a skipped F:\Temp\UBCD4Win 3.06\UBCD4WinV306.exe/file3587/data.rar Infected: not-a-virus:PSWTool.Win32.RAS.a skipped F:\Temp\UBCD4Win 3.06\UBCD4WinV306.exe/file3587 Infected: not-a-virus:PSWTool.Win32.RAS.a skipped F:\Temp\UBCD4Win 3.06\UBCD4WinV306.exe Inno: infected - 11 skipped Scan process completed. Number of viruses found: 12 Number of infected objects: 79 Infected? Not a virus? Skipped? Je pige pas trop ces informations... C'est infecté sans être un virus? Pourquoi il les skip plutôt que de les fixer? Y a-t-il qqch de réellement méchant qu'il faut nettoyer? Merci, a+
- le 29 janvier 2008
- 9 réponses
[Résolu] Messages d'alertes

BaK a répondu à un(e) sujet de BaK dans Analyses et éradication malwares

Hello! Content de voir que DiagHelp n'a rien trouvé de méchant! Trop de mauvaises expériences avec les màj Windows. Maintenant, quand ça fonctionne j'y touche plus! Je sais que cela ne plait pas à tout le monde, mais bon, j'assume... Pour le reste, je fais confiance à mon routeur! Depuis cet OS je ne surfe que sur des sites connus et sinon c'est pour jouer en LAN, pas sur le net. Je reboot sur D:\ et fais le scan...
- le 28 janvier 2008
- 9 réponses
[Résolu] Messages d'alertes

BaK a répondu à un(e) sujet de BaK dans Analyses et éradication malwares

Un ptit up Ca défile dans ce forum! Alors on m'a glissé à l'oreille qu'avec le SP1 il est "normal" de recevoir ce genre de message. Et que d'avoir désactivé le service correspondant suffit. Si qqun à son avis sur la question? Ou sur mon log DiagHelp? Merci, a+
- le 28 janvier 2008
- 9 réponses
[Résolu] Installation Firefox

BaK a répondu à un(e) sujet de BaK dans Analyses et éradication malwares

Le PC fonctionne bien à ce que j'ai pu voir. Je pense qu'on y est cette fois! Firefox est installé depuis le post #9 Reste que j'ai pas capté si le logiciel Samsung est en cause pour finir? Et les rubriques de ComboFix dont je ne connais pas la correspondance Sinon, ben encore merci pour tout! :P
- le 28 janvier 2008
- 26 réponses
[Résolu] Installation Firefox

BaK a répondu à un(e) sujet de BaK dans Analyses et éradication malwares

Salut Charles, J'ai eu un joli message "Success"! et ton .bat s'est volatilisé! Grâce à ça je suppose: del %0 J'ai refait un ComboFix dernière mouture: ComboFix 08-01-27.4 - Chris-ABIT 2008-01-28 18:18:31.8 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1033.18.789 [GMT 1:00] Running from: D:\Documents and Settings\Chris-ABIT\Desktop\ComboFix.exe [color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color] . ((((((((((((((((((((((((( Files Created from 2007-12-28 to 2008-01-28 ))))))))))))))))))))))))))))))) . 2008-01-28 11:40 . 2008-01-28 11:40 <DIR> d-------- D:\Program Files\Creative 2008-01-28 11:40 . 2008-01-27 15:43 64,900 --a------ D:\WINDOWS\system32\DVCState-{00000003-00000000-00000006-00001102-00000005-00211102}.rfx 2008-01-28 11:40 . 2008-01-27 15:43 54,332 --a------ D:\WINDOWS\system32\BMXStateBkp-{00000003-00000000-00000006-00001102-00000005-00211102}.rfx 2008-01-28 11:40 . 2008-01-27 15:43 54,332 --a------ D:\WINDOWS\system32\BMXState-{00000003-00000000-00000006-00001102-00000005-00211102}.rfx 2008-01-28 11:40 . 2008-01-27 15:43 1,080 --a------ D:\WINDOWS\system32\settingsbkup.sfm 2008-01-28 11:40 . 2008-01-27 15:43 1,080 --a------ D:\WINDOWS\system32\settings.sfm 2008-01-28 11:36 . 2008-01-28 11:36 <DIR> d-------- D:\Documents and Settings\All Users\Application Data\Creative 2008-01-28 11:35 . 2008-01-28 11:35 <DIR> d-------- D:\WINDOWS\system32\Data 2008-01-28 11:35 . 2008-01-28 11:35 <DIR> d-------- D:\Documents and Settings\Chris-ABIT\Application Data\Creative 2008-01-27 18:18 . 2008-01-27 18:18 54,156 --ah----- D:\WINDOWS\QTFont.qfn 2008-01-27 18:18 . 2008-01-27 18:18 1,409 --a------ D:\WINDOWS\QTFont.for 2008-01-25 18:23 . 2008-01-25 18:23 <DIR> d-------- D:\WINDOWS\system32\Kaspersky Lab 2008-01-25 18:23 . 2008-01-25 18:23 <DIR> d-------- D:\Documents and Settings\All Users\Application Data\Kaspersky Lab 2008-01-23 21:50 . 2008-01-23 21:50 0 --a------ D:\WINDOWS\nsreg.dat 2008-01-21 18:06 . 2008-01-21 18:06 <DIR> d-------- D:\Program Files\Trend Micro 2008-01-20 22:35 . 2008-01-20 22:35 90,806 --a------ D:\WINDOWS\system32\drivers\srosa.sy_ 2008-01-20 22:25 . 2007-01-18 13:00 3,968 --a------ D:\WINDOWS\system32\drivers\AvgArCln.sys 2008-01-20 22:04 . 2008-01-27 18:15 <DIR> d-------- D:\Program Files\MediaCoder 2008-01-20 20:44 . 2008-01-20 20:44 <DIR> d-------- D:\Documents and Settings\Chris-ABIT\Application Data\vlc 2008-01-20 20:37 . 2008-01-20 20:38 <DIR> d-------- D:\WINDOWS\nview 2008-01-20 20:37 . 2006-10-22 12:22 208,896 --a------ D:\WINDOWS\system32\nvudisp.exe 2008-01-20 20:37 . 2008-01-28 18:10 88,566 --a------ D:\WINDOWS\system32\nvapps.xml 2008-01-20 20:37 . 2006-10-22 12:22 17,056 --a------ D:\WINDOWS\system32\nvdisp.nvu 2008-01-20 20:36 . 2008-01-20 20:36 <DIR> d-------- D:\Program Files\Common Files\InstallShield 2008-01-20 20:36 . 2006-10-22 15:06 208,896 --a------ D:\WINDOWS\system32\NVUNINST.EXE 2008-01-15 22:36 . 2008-01-15 22:36 43,698 --a------ D:\WINDOWS\system32\xvid-uninstall.exe 2008-01-15 22:35 . 2008-01-15 22:35 <DIR> d-------- D:\Program Files\AviSynth 2.5 2008-01-15 22:34 . 2008-01-15 22:34 <DIR> d-------- D:\Program Files\Gabest 2008-01-15 22:33 . 2008-01-15 22:36 <DIR> d-------- D:\Program Files\AutoGK 2008-01-01 18:12 . 2008-01-01 18:12 <DIR> d-------- D:\Program Files\QuickTime Alternative 2008-01-01 18:12 . 2008-01-01 18:12 <DIR> d-------- D:\Program Files\Media Player Classic 2008-01-01 18:12 . 2008-01-01 18:12 <DIR> d-------- D:\Documents and Settings\Chris-ABIT\Application Data\MPEG Streamclip 2008-01-01 18:12 . 2008-01-01 18:12 <DIR> d-------- D:\Documents and Settings\All Users\Application Data\Apple Computer 2008-01-01 18:12 . 2003-03-19 05:14 499,712 --a------ D:\WINDOWS\system32\msvcp71.dll 2008-01-01 18:12 . 2004-01-12 00:00 348,160 --a------ D:\WINDOWS\system32\msvcr71.dll 2008-01-01 18:12 . 2007-04-27 09:42 65,536 --a------ D:\WINDOWS\system32\QuickTimeVR.qtx 2008-01-01 18:12 . 2007-04-27 09:42 49,152 --a------ D:\WINDOWS\system32\QuickTime.qts 2008-01-01 18:12 . 2008-01-15 22:38 664 --a------ D:\WINDOWS\system32\d3d9caps.dat 2008-01-01 18:10 . 2008-01-01 18:10 <DIR> d-------- D:\Program Files\3ivx 2008-01-01 17:51 . 2008-01-01 17:54 <DIR> d-------- D:\Program Files\Yamb 2008-01-01 17:40 . 2008-01-01 17:40 <DIR> d-------- D:\Program Files\VideoInspector 2008-01-01 17:22 . 2008-01-01 17:22 <DIR> d-------- D:\Program Files\Ultra Video Joiner 2007-12-31 19:08 . 2006-03-09 04:05 1,295,582 --a------ D:\WINDOWS\system32\cygwin1.dll 2007-12-31 19:08 . 2006-03-09 04:05 61,440 --a------ D:\WINDOWS\system32\cygz.dll 2007-12-31 15:59 . 2007-12-31 16:00 <DIR> d-------- D:\Documents and Settings\Chris-ABIT\Application Data\DAEMON Tools Pro 2007-12-31 15:59 . 2007-12-31 15:59 <DIR> d-------- D:\Documents and Settings\All Users\Application Data\DAEMON Tools Pro 2007-12-31 15:58 . 2007-12-31 16:02 <DIR> d-------- D:\Program Files\DAEMON Tools Pro 2007-12-31 15:55 . 2007-12-31 15:55 685,816 --a------ D:\WINDOWS\system32\drivers\sptd.sys . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-01-28 10:40 --------- d--h--w D:\Program Files\InstallShield Installation Information 2008-01-28 10:35 86,016 ----a-w D:\WINDOWS\system32\OpenAL32.dll 2008-01-28 10:35 413,696 ----a-w D:\WINDOWS\system32\wrap_oal.dll 2008-01-27 14:43 --------- d-----w D:\Program Files\All Video Splitter . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "DAEMON Tools Pro Agent"="D:\Program Files\DAEMON Tools Pro\DTProAgent.exe" [ ] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SMSTray"="D:\Program Files\Samsung\Samsung Media Studio 5\SMSTray.exe" [ ] "MAAgent"="D:\Program Files\MarkAny\ContentSafer\MAAgent.exe" [2007-01-30 19:36 57344] "NvCplDaemon"="D:\WINDOWS\system32\NvCpl.dll" [2006-10-22 12:22 7700480] "nwiz"="nwiz.exe" [2006-10-22 12:22 1622016 D:\WINDOWS\system32\nwiz.exe] "NvMediaCenter"="D:\WINDOWS\system32\NvMcTray.dll" [2006-10-22 12:22 86016] "CTHelper"="CTHELPER.EXE" [2006-08-17 11:32 17920 D:\WINDOWS\CTHELPER.EXE] "CTxfiHlp"="CTXFIHLP.EXE" [2006-08-17 11:32 18944 D:\WINDOWS\system32\CTXFIHLP.EXE] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="D:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 08:56 15360] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{88485281-8b4b-4f8d-9ede-82e29a064277}"= D:\PROGRA~1\MarkAny\CONTEN~1\MACSMA~1.DLL [2004-11-23 15:51 192512] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys] @="Driver" R0 SI3112r;Silicon Image SiI 3112 SATARaid Controller;D:\WINDOWS\system32\DRIVERS\SI3112r.sys [2006-02-05 22:10] R3 ha20x2k;Creative 20X HAL Driver;D:\WINDOWS\system32\drivers\ha20x2k.sys [2006-08-17 11:16] . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-01-28 18:18:59 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2008-01-28 18:19:12 ComboFix2.txt 2008-01-27 10:47:21 Si je vois bien, il reste encore celui-là: 2008-01-20 22:35 . 2008-01-20 22:35 90,806 --a------ D:\WINDOWS\system32\drivers\srosa.sy_ Etonnant que je n'ai pas eu de fichier log suite à ton .bat? Alors j'ai tenté un nettoyage à la main Reboot et plus de srosa.sy_!!!!! Combofix pour s'en assurer: ComboFix 08-01-27.4 - Chris-ABIT 2008-01-28 18:35:34.9 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1033.18.789 [GMT 1:00] Running from: D:\Documents and Settings\Chris-ABIT\Desktop\ComboFix.exe [color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color] . ((((((((((((((((((((((((( Files Created from 2007-12-28 to 2008-01-28 ))))))))))))))))))))))))))))))) . 2008-01-28 11:40 . 2008-01-28 11:40 <DIR> d-------- D:\Program Files\Creative 2008-01-28 11:40 . 2008-01-28 18:33 64,900 --a------ D:\WINDOWS\system32\DVCState-{00000003-00000000-00000006-00001102-00000005-00211102}.rfx 2008-01-28 11:40 . 2008-01-28 18:33 54,332 --a------ D:\WINDOWS\system32\BMXStateBkp-{00000003-00000000-00000006-00001102-00000005-00211102}.rfx 2008-01-28 11:40 . 2008-01-28 18:33 54,332 --a------ D:\WINDOWS\system32\BMXState-{00000003-00000000-00000006-00001102-00000005-00211102}.rfx 2008-01-28 11:40 . 2008-01-28 18:33 1,080 --a------ D:\WINDOWS\system32\settingsbkup.sfm 2008-01-28 11:40 . 2008-01-28 18:33 1,080 --a------ D:\WINDOWS\system32\settings.sfm 2008-01-28 11:36 . 2008-01-28 11:36 <DIR> d-------- D:\Documents and Settings\All Users\Application Data\Creative 2008-01-28 11:35 . 2008-01-28 11:35 <DIR> d-------- D:\WINDOWS\system32\Data 2008-01-28 11:35 . 2008-01-28 11:35 <DIR> d-------- D:\Documents and Settings\Chris-ABIT\Application Data\Creative 2008-01-27 18:18 . 2008-01-27 18:18 54,156 --ah----- D:\WINDOWS\QTFont.qfn 2008-01-27 18:18 . 2008-01-27 18:18 1,409 --a------ D:\WINDOWS\QTFont.for 2008-01-25 18:23 . 2008-01-25 18:23 <DIR> d-------- D:\WINDOWS\system32\Kaspersky Lab 2008-01-25 18:23 . 2008-01-25 18:23 <DIR> d-------- D:\Documents and Settings\All Users\Application Data\Kaspersky Lab 2008-01-23 21:50 . 2008-01-23 21:50 0 --a------ D:\WINDOWS\nsreg.dat 2008-01-21 18:06 . 2008-01-21 18:06 <DIR> d-------- D:\Program Files\Trend Micro 2008-01-20 22:25 . 2007-01-18 13:00 3,968 --a------ D:\WINDOWS\system32\drivers\AvgArCln.sys 2008-01-20 22:04 . 2008-01-27 18:15 <DIR> d-------- D:\Program Files\MediaCoder 2008-01-20 20:44 . 2008-01-20 20:44 <DIR> d-------- D:\Documents and Settings\Chris-ABIT\Application Data\vlc 2008-01-20 20:37 . 2008-01-20 20:38 <DIR> d-------- D:\WINDOWS\nview 2008-01-20 20:37 . 2006-10-22 12:22 208,896 --a------ D:\WINDOWS\system32\nvudisp.exe 2008-01-20 20:37 . 2008-01-28 18:34 88,566 --a------ D:\WINDOWS\system32\nvapps.xml 2008-01-20 20:37 . 2006-10-22 12:22 17,056 --a------ D:\WINDOWS\system32\nvdisp.nvu 2008-01-20 20:36 . 2008-01-20 20:36 <DIR> d-------- D:\Program Files\Common Files\InstallShield 2008-01-20 20:36 . 2006-10-22 15:06 208,896 --a------ D:\WINDOWS\system32\NVUNINST.EXE 2008-01-15 22:36 . 2008-01-15 22:36 43,698 --a------ D:\WINDOWS\system32\xvid-uninstall.exe 2008-01-15 22:35 . 2008-01-15 22:35 <DIR> d-------- D:\Program Files\AviSynth 2.5 2008-01-15 22:34 . 2008-01-15 22:34 <DIR> d-------- D:\Program Files\Gabest 2008-01-15 22:33 . 2008-01-15 22:36 <DIR> d-------- D:\Program Files\AutoGK 2008-01-01 18:12 . 2008-01-01 18:12 <DIR> d-------- D:\Program Files\QuickTime Alternative 2008-01-01 18:12 . 2008-01-01 18:12 <DIR> d-------- D:\Program Files\Media Player Classic 2008-01-01 18:12 . 2008-01-01 18:12 <DIR> d-------- D:\Documents and Settings\Chris-ABIT\Application Data\MPEG Streamclip 2008-01-01 18:12 . 2008-01-01 18:12 <DIR> d-------- D:\Documents and Settings\All Users\Application Data\Apple Computer 2008-01-01 18:12 . 2003-03-19 05:14 499,712 --a------ D:\WINDOWS\system32\msvcp71.dll 2008-01-01 18:12 . 2004-01-12 00:00 348,160 --a------ D:\WINDOWS\system32\msvcr71.dll 2008-01-01 18:12 . 2007-04-27 09:42 65,536 --a------ D:\WINDOWS\system32\QuickTimeVR.qtx 2008-01-01 18:12 . 2007-04-27 09:42 49,152 --a------ D:\WINDOWS\system32\QuickTime.qts 2008-01-01 18:12 . 2008-01-15 22:38 664 --a------ D:\WINDOWS\system32\d3d9caps.dat 2008-01-01 18:10 . 2008-01-01 18:10 <DIR> d-------- D:\Program Files\3ivx 2008-01-01 17:51 . 2008-01-01 17:54 <DIR> d-------- D:\Program Files\Yamb 2008-01-01 17:40 . 2008-01-01 17:40 <DIR> d-------- D:\Program Files\VideoInspector 2008-01-01 17:22 . 2008-01-01 17:22 <DIR> d-------- D:\Program Files\Ultra Video Joiner 2007-12-31 19:08 . 2006-03-09 04:05 1,295,582 --a------ D:\WINDOWS\system32\cygwin1.dll 2007-12-31 19:08 . 2006-03-09 04:05 61,440 --a------ D:\WINDOWS\system32\cygz.dll 2007-12-31 15:59 . 2007-12-31 16:00 <DIR> d-------- D:\Documents and Settings\Chris-ABIT\Application Data\DAEMON Tools Pro 2007-12-31 15:59 . 2007-12-31 15:59 <DIR> d-------- D:\Documents and Settings\All Users\Application Data\DAEMON Tools Pro 2007-12-31 15:58 . 2007-12-31 16:02 <DIR> d-------- D:\Program Files\DAEMON Tools Pro 2007-12-31 15:55 . 2007-12-31 15:55 685,816 --a------ D:\WINDOWS\system32\drivers\sptd.sys 2007-12-31 15:11 . 2007-12-31 15:12 <DIR> d-------- D:\Program Files\Absolute Video Splitter Joiner . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-01-28 10:40 --------- d--h--w D:\Program Files\InstallShield Installation Information 2008-01-28 10:35 86,016 ----a-w D:\WINDOWS\system32\OpenAL32.dll 2008-01-28 10:35 413,696 ----a-w D:\WINDOWS\system32\wrap_oal.dll 2008-01-27 14:43 --------- d-----w D:\Program Files\All Video Splitter . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "DAEMON Tools Pro Agent"="D:\Program Files\DAEMON Tools Pro\DTProAgent.exe" [ ] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SMSTray"="D:\Program Files\Samsung\Samsung Media Studio 5\SMSTray.exe" [ ] "MAAgent"="D:\Program Files\MarkAny\ContentSafer\MAAgent.exe" [2007-01-30 19:36 57344] "NvCplDaemon"="D:\WINDOWS\system32\NvCpl.dll" [2006-10-22 12:22 7700480] "nwiz"="nwiz.exe" [2006-10-22 12:22 1622016 D:\WINDOWS\system32\nwiz.exe] "NvMediaCenter"="D:\WINDOWS\system32\NvMcTray.dll" [2006-10-22 12:22 86016] "CTHelper"="CTHELPER.EXE" [2006-08-17 11:32 17920 D:\WINDOWS\CTHELPER.EXE] "CTxfiHlp"="CTXFIHLP.EXE" [2006-08-17 11:32 18944 D:\WINDOWS\system32\CTXFIHLP.EXE] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="D:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 08:56 15360] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{88485281-8b4b-4f8d-9ede-82e29a064277}"= D:\PROGRA~1\MarkAny\CONTEN~1\MACSMA~1.DLL [2004-11-23 15:51 192512] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys] @="Driver" R0 SI3112r;Silicon Image SiI 3112 SATARaid Controller;D:\WINDOWS\system32\DRIVERS\SI3112r.sys [2006-02-05 22:10] R3 ha20x2k;Creative 20X HAL Driver;D:\WINDOWS\system32\drivers\ha20x2k.sys [2006-08-17 11:16] . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-01-28 18:36:04 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2008-01-28 18:36:17 ComboFix2.txt 2008-01-28 17:19:12 ComboFix3.txt 2008-01-27 10:47:21 Je suppose que ton .bat m'en a donné les droits... Suis-je désinfecté?
- le 28 janvier 2008
- 26 réponses
[Résolu] Installation Firefox

BaK a répondu à un(e) sujet de BaK dans Analyses et éradication malwares

Salut Charles, Pas de soucis pour les délais, j'ai assez d'autres trucs à faire ailleurs! Pour info, depuis le dernier scan j'ai installé les drivers de ma carte son Creative. Il me semble qu'il y a de nouvelles entrées qui lui correspondent. Voilà le nouveau log ComboFix: ComboFix 08-01-27.4 - Chris-ABIT 2008-01-27 11:46:40.7 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1033.18.776 [GMT 1:00] Running from: D:\Documents and Settings\Chris-ABIT\Desktop\ComboFix.exe * Created a new restore point [color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color] . ((((((((((((((((((((((((( Files Created from 2007-12-27 to 2008-01-27 ))))))))))))))))))))))))))))))) . 2008-01-28 11:40 . 2008-01-28 11:40 <DIR> d-------- D:\Program Files\Creative 2008-01-28 11:40 . 2008-01-28 11:40 64,900 --a------ D:\WINDOWS\system32\DVCState-{00000003-00000000-00000006-00001102-00000005-00211102}.rfx 2008-01-28 11:40 . 2008-01-28 11:40 54,332 --a------ D:\WINDOWS\system32\BMXStateBkp-{00000003-00000000-00000006-00001102-00000005-00211102}.rfx 2008-01-28 11:40 . 2008-01-28 11:40 54,332 --a------ D:\WINDOWS\system32\BMXState-{00000003-00000000-00000006-00001102-00000005-00211102}.rfx 2008-01-28 11:40 . 2008-01-28 11:40 1,080 --a------ D:\WINDOWS\system32\settingsbkup.sfm 2008-01-28 11:40 . 2008-01-28 11:40 1,080 --a------ D:\WINDOWS\system32\settings.sfm 2008-01-28 11:36 . 2008-01-28 11:36 <DIR> d-------- D:\Documents and Settings\All Users\Application Data\Creative 2008-01-28 11:35 . 2008-01-28 11:35 <DIR> d-------- D:\WINDOWS\system32\Data 2008-01-28 11:35 . 2008-01-28 11:35 <DIR> d-------- D:\Documents and Settings\Chris-ABIT\Application Data\Creative 2008-01-27 18:18 . 2008-01-27 18:18 54,156 --ah----- D:\WINDOWS\QTFont.qfn 2008-01-27 18:18 . 2008-01-27 18:18 1,409 --a------ D:\WINDOWS\QTFont.for 2008-01-25 18:23 . 2008-01-25 18:23 <DIR> d-------- D:\WINDOWS\system32\Kaspersky Lab 2008-01-25 18:23 . 2008-01-25 18:23 <DIR> d-------- D:\Documents and Settings\All Users\Application Data\Kaspersky Lab 2008-01-23 21:50 . 2008-01-23 21:50 0 --a------ D:\WINDOWS\nsreg.dat 2008-01-21 18:06 . 2008-01-21 18:06 <DIR> d-------- D:\Program Files\Trend Micro 2008-01-20 22:35 . 2006-06-05 01:07 625,078 --a------ D:\WINDOWS\system32\drivers\hldrrr.ex_ 2008-01-20 22:35 . 2008-01-20 22:35 90,806 --a------ D:\WINDOWS\system32\drivers\srosa.sy_ 2008-01-20 22:25 . 2007-01-18 13:00 3,968 --a------ D:\WINDOWS\system32\drivers\AvgArCln.sys 2008-01-20 22:04 . 2008-01-27 18:15 <DIR> d-------- D:\Program Files\MediaCoder 2008-01-20 20:44 . 2008-01-20 20:44 <DIR> d-------- D:\Documents and Settings\Chris-ABIT\Application Data\vlc 2008-01-20 20:37 . 2008-01-20 20:38 <DIR> d-------- D:\WINDOWS\nview 2008-01-20 20:37 . 2006-10-22 12:22 208,896 --a------ D:\WINDOWS\system32\nvudisp.exe 2008-01-20 20:37 . 2008-01-28 11:42 88,566 --a------ D:\WINDOWS\system32\nvapps.xml 2008-01-20 20:37 . 2006-10-22 12:22 17,056 --a------ D:\WINDOWS\system32\nvdisp.nvu 2008-01-20 20:36 . 2008-01-20 20:36 <DIR> d-------- D:\Program Files\Common Files\InstallShield 2008-01-20 20:36 . 2006-10-22 15:06 208,896 --a------ D:\WINDOWS\system32\NVUNINST.EXE 2008-01-15 22:36 . 2008-01-15 22:36 43,698 --a------ D:\WINDOWS\system32\xvid-uninstall.exe 2008-01-15 22:35 . 2008-01-15 22:35 <DIR> d-------- D:\Program Files\AviSynth 2.5 2008-01-15 22:34 . 2008-01-15 22:34 <DIR> d-------- D:\Program Files\Gabest 2008-01-15 22:33 . 2008-01-15 22:36 <DIR> d-------- D:\Program Files\AutoGK 2008-01-01 18:12 . 2008-01-01 18:12 <DIR> d-------- D:\Program Files\QuickTime Alternative 2008-01-01 18:12 . 2008-01-01 18:12 <DIR> d-------- D:\Program Files\Media Player Classic 2008-01-01 18:12 . 2008-01-01 18:12 <DIR> d-------- D:\Documents and Settings\Chris-ABIT\Application Data\MPEG Streamclip 2008-01-01 18:12 . 2008-01-01 18:12 <DIR> d-------- D:\Documents and Settings\All Users\Application Data\Apple Computer 2008-01-01 18:12 . 2003-03-19 05:14 499,712 --a------ D:\WINDOWS\system32\msvcp71.dll 2008-01-01 18:12 . 2004-01-12 00:00 348,160 --a------ D:\WINDOWS\system32\msvcr71.dll 2008-01-01 18:12 . 2007-04-27 09:42 65,536 --a------ D:\WINDOWS\system32\QuickTimeVR.qtx 2008-01-01 18:12 . 2007-04-27 09:42 49,152 --a------ D:\WINDOWS\system32\QuickTime.qts 2008-01-01 18:12 . 2008-01-15 22:38 664 --a------ D:\WINDOWS\system32\d3d9caps.dat 2008-01-01 18:10 . 2008-01-01 18:10 <DIR> d-------- D:\Program Files\3ivx 2008-01-01 17:51 . 2008-01-01 17:54 <DIR> d-------- D:\Program Files\Yamb 2008-01-01 17:40 . 2008-01-01 17:40 <DIR> d-------- D:\Program Files\VideoInspector 2008-01-01 17:22 . 2008-01-01 17:22 <DIR> d-------- D:\Program Files\Ultra Video Joiner 2007-12-31 19:08 . 2006-03-09 04:05 1,295,582 --a------ D:\WINDOWS\system32\cygwin1.dll 2007-12-31 19:08 . 2006-03-09 04:05 61,440 --a------ D:\WINDOWS\system32\cygz.dll 2007-12-31 15:59 . 2007-12-31 16:00 <DIR> d-------- D:\Documents and Settings\Chris-ABIT\Application Data\DAEMON Tools Pro 2007-12-31 15:59 . 2007-12-31 15:59 <DIR> d-------- D:\Documents and Settings\All Users\Application Data\DAEMON Tools Pro 2007-12-31 15:58 . 2007-12-31 16:02 <DIR> d-------- D:\Program Files\DAEMON Tools Pro 2007-12-31 15:55 . 2007-12-31 15:55 685,816 --a------ D:\WINDOWS\system32\drivers\sptd.sys . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-01-28 10:40 --------- d--h--w D:\Program Files\InstallShield Installation Information 2008-01-28 10:35 86,016 ----a-w D:\WINDOWS\system32\OpenAL32.dll 2008-01-28 10:35 413,696 ----a-w D:\WINDOWS\system32\wrap_oal.dll 2008-01-15 21:45 --------- d-----w D:\Program Files\All Video Splitter . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "DAEMON Tools Pro Agent"="D:\Program Files\DAEMON Tools Pro\DTProAgent.exe" [ ] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SMSTray"="D:\Program Files\Samsung\Samsung Media Studio 5\SMSTray.exe" [ ] "MAAgent"="D:\Program Files\MarkAny\ContentSafer\MAAgent.exe" [2007-01-30 19:36 57344] "NvCplDaemon"="D:\WINDOWS\system32\NvCpl.dll" [2006-10-22 12:22 7700480] "nwiz"="nwiz.exe" [2006-10-22 12:22 1622016 D:\WINDOWS\system32\nwiz.exe] "NvMediaCenter"="D:\WINDOWS\system32\NvMcTray.dll" [2006-10-22 12:22 86016] "CTHelper"="CTHELPER.EXE" [2006-08-17 11:32 17920 D:\WINDOWS\CTHELPER.EXE] "CTxfiHlp"="CTXFIHLP.EXE" [2006-08-17 11:32 18944 D:\WINDOWS\system32\CTXFIHLP.EXE] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="D:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 08:56 15360] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{88485281-8b4b-4f8d-9ede-82e29a064277}"= D:\PROGRA~1\MarkAny\CONTEN~1\MACSMA~1.DLL [2004-11-23 15:51 192512] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys] @="Driver" R0 SI3112r;Silicon Image SiI 3112 SATARaid Controller;D:\WINDOWS\system32\DRIVERS\SI3112r.sys [2006-02-05 22:10] R3 ha20x2k;Creative 20X HAL Driver;D:\WINDOWS\system32\drivers\ha20x2k.sys [2006-08-17 11:16] . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-01-27 11:47:08 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2008-01-27 11:47:21 Hmm, les 2 sont toujours là: 2008-01-20 22:35 . 2006-06-05 01:07 625,078 --a------ D:\WINDOWS\system32\drivers\hldrrr.ex_ 2008-01-20 22:35 . 2008-01-20 22:35 90,806 --a------ D:\WINDOWS\system32\drivers\srosa.sy_ Puis-je tenter de les virer à la main? Je suppose que je ne pourrai pas ou qu'ils seront régénérés ensuite, mais qui sait... Et j'ai remarqué que mes options d'affichage ont été réinitialisées, plus de fichiers cachés et système! Est-ce ComboFix qui fait ça?
- le 27 janvier 2008
- 26 réponses
[Résolu] Installation Firefox

BaK a répondu à un(e) sujet de BaK dans Analyses et éradication malwares

Hello! Si je regarde ton CFScript.txt: Rootkit:: D:\WINDOWS\system32\drivers\hldrrr.ex_ D:\WINDOWS\system32\drivers\srosa.sy_ File:: F:\Games\Rotoblox\rotobloxv2.0gameloader.zip J'avais déjà supprimé Rotoblox à la mimine! Les 2 premières lignes sont-elles différentes du 1er CFScript.txt que tu m'avais préparé? Car comme tu peux le voir ci-dessous, mes 2 bestioles sont toujours là... Log ComboFix: ComboFix 08-01-23.2 - Chris-ABIT 2008-01-26 18:03:38.6 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1033.18.801 [GMT 1:00] Running from: D:\Documents and Settings\Chris-ABIT\Desktop\ComboFix.exe Command switches used :: D:\Documents and Settings\Chris-ABIT\Desktop\CFScript.txt * Created a new restore point [color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color] FILE F:\Games\Rotoblox\rotobloxv2.0gameloader.zip . ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) . . ---- Previous Run ------- . D:\WINDOWS\system32\drivers\down . ((((((((((((((((((((((((( Files Created from 2007-12-26 to 2008-01-26 ))))))))))))))))))))))))))))))) . 2008-01-25 18:23 . 2008-01-25 18:23 <DIR> d-------- D:\WINDOWS\system32\Kaspersky Lab 2008-01-24 20:57 . 2000-08-31 08:00 51,200 --a------ D:\WINDOWS\Nircmd.exe 2008-01-23 21:50 . 2008-01-23 21:50 0 --a------ D:\WINDOWS\nsreg.dat 2008-01-21 18:06 . 2008-01-21 18:06 <DIR> d-------- D:\Program Files\Trend Micro 2008-01-20 22:35 . 2006-06-05 01:07 625,078 --a------ D:\WINDOWS\system32\drivers\hldrrr.ex_ 2008-01-20 22:35 . 2008-01-20 22:35 90,806 --a------ D:\WINDOWS\system32\drivers\srosa.sy_ 2008-01-20 22:25 . 2007-01-18 13:00 3,968 --a------ D:\WINDOWS\system32\drivers\AvgArCln.sys 2008-01-20 22:04 . 2008-01-20 22:09 <DIR> d-------- D:\Program Files\MediaCoder 2008-01-20 20:37 . 2008-01-20 20:38 <DIR> d-------- D:\WINDOWS\nview 2008-01-20 20:37 . 2006-10-22 12:22 208,896 --a------ D:\WINDOWS\system32\nvudisp.exe 2008-01-20 20:37 . 2008-01-26 18:01 88,566 --a------ D:\WINDOWS\system32\nvapps.xml 2008-01-20 20:37 . 2006-10-22 12:22 17,056 --a------ D:\WINDOWS\system32\nvdisp.nvu 2008-01-20 20:36 . 2008-01-20 20:36 <DIR> d-------- D:\Program Files\Common Files\InstallShield 2008-01-20 20:36 . 2006-10-22 15:06 208,896 --a------ D:\WINDOWS\system32\NVUNINST.EXE 2008-01-15 22:36 . 2008-01-15 22:36 43,698 --a------ D:\WINDOWS\system32\xvid-uninstall.exe 2008-01-15 22:35 . 2008-01-15 22:35 <DIR> d-------- D:\Program Files\AviSynth 2.5 2008-01-15 22:34 . 2008-01-15 22:34 <DIR> d-------- D:\Program Files\Gabest 2008-01-15 22:33 . 2008-01-15 22:36 <DIR> d-------- D:\Program Files\AutoGK 2008-01-01 18:12 . 2008-01-01 18:12 <DIR> d-------- D:\Program Files\QuickTime Alternative 2008-01-01 18:12 . 2008-01-01 18:12 <DIR> d-------- D:\Program Files\Media Player Classic 2008-01-01 18:12 . 2003-03-19 05:14 499,712 --a------ D:\WINDOWS\system32\msvcp71.dll 2008-01-01 18:12 . 2004-01-12 00:00 348,160 --a------ D:\WINDOWS\system32\msvcr71.dll 2008-01-01 18:12 . 2007-04-27 09:42 65,536 --a------ D:\WINDOWS\system32\QuickTimeVR.qtx 2008-01-01 18:12 . 2007-04-27 09:42 49,152 --a------ D:\WINDOWS\system32\QuickTime.qts 2008-01-01 18:12 . 2008-01-15 22:38 664 --a------ D:\WINDOWS\system32\d3d9caps.dat 2008-01-01 18:10 . 2008-01-01 18:10 <DIR> d-------- D:\Program Files\3ivx 2008-01-01 17:51 . 2008-01-01 17:54 <DIR> d-------- D:\Program Files\Yamb 2008-01-01 17:40 . 2008-01-01 17:40 <DIR> d-------- D:\Program Files\VideoInspector 2008-01-01 17:22 . 2008-01-01 17:22 <DIR> d-------- D:\Program Files\Ultra Video Joiner 2007-12-31 19:08 . 2006-03-09 04:05 1,295,582 --a------ D:\WINDOWS\system32\cygwin1.dll 2007-12-31 19:08 . 2006-03-09 04:05 61,440 --a------ D:\WINDOWS\system32\cygz.dll 2007-12-31 15:58 . 2007-12-31 16:02 <DIR> d-------- D:\Program Files\DAEMON Tools Pro 2007-12-31 15:55 . 2007-12-31 15:55 685,816 --a------ D:\WINDOWS\system32\drivers\sptd.sys . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-01-15 21:45 --------- d-----w D:\Program Files\All Video Splitter . ((((((((((((((((((((((((((((( snapshot@2008-01-24_20.58.39.87 ))))))))))))))))))))))))))))))))))))))))) . - 2008-01-24 19:57:59 229,376 ----a-w D:\WINDOWS\erdnt\Hiv-backup\Users�000001\NTUSER.DAT + 2008-01-26 17:03:31 229,376 ----a-w D:\WINDOWS\erdnt\Hiv-backup\Users�000001\NTUSER.DAT - 2008-01-24 19:57:59 8,192 ----a-w D:\WINDOWS\erdnt\Hiv-backup\Users�000002\UsrClass.dat + 2008-01-26 17:03:31 8,192 ----a-w D:\WINDOWS\erdnt\Hiv-backup\Users�000002\UsrClass.dat - 2008-01-24 19:57:59 229,376 ----a-w D:\WINDOWS\erdnt\Hiv-backup\Users�000003\NTUSER.DAT + 2008-01-26 17:03:31 229,376 ----a-w D:\WINDOWS\erdnt\Hiv-backup\Users�000003\NTUSER.DAT - 2008-01-24 19:57:59 8,192 ----a-w D:\WINDOWS\erdnt\Hiv-backup\Users�000004\UsrClass.dat + 2008-01-26 17:03:31 8,192 ----a-w D:\WINDOWS\erdnt\Hiv-backup\Users�000004\UsrClass.dat - 2008-01-24 19:57:59 1,036,288 ----a-w D:\WINDOWS\erdnt\Hiv-backup\Users�000005\NTUSER.DAT + 2008-01-26 17:03:31 1,069,056 ----a-w D:\WINDOWS\erdnt\Hiv-backup\Users�000005\NTUSER.DAT - 2008-01-24 19:57:59 8,192 ----a-w D:\WINDOWS\erdnt\Hiv-backup\Users�000006\UsrClass.dat + 2008-01-26 17:03:31 8,192 ----a-w D:\WINDOWS\erdnt\Hiv-backup\Users�000006\UsrClass.dat + 2005-05-24 11:27:16 213,048 ----a-w D:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavss.dll + 2007-08-29 14:47:20 94,208 ----a-w D:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavuninstall.exe + 2007-08-29 14:49:54 950,272 ----a-w D:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavwebscan.dll . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "DAEMON Tools Pro Agent"="D:\Program Files\DAEMON Tools Pro\DTProAgent.exe" [ ] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SMSTray"="D:\Program Files\Samsung\Samsung Media Studio 5\SMSTray.exe" [ ] "MAAgent"="D:\Program Files\MarkAny\ContentSafer\MAAgent.exe" [2007-01-30 19:36 57344] "NvCplDaemon"="D:\WINDOWS\system32\NvCpl.dll" [2006-10-22 12:22 7700480] "nwiz"="nwiz.exe" [2006-10-22 12:22 1622016 D:\WINDOWS\system32\nwiz.exe] "NvMediaCenter"="D:\WINDOWS\system32\NvMcTray.dll" [2006-10-22 12:22 86016] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="D:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 08:56 15360] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{88485281-8b4b-4f8d-9ede-82e29a064277}"= D:\PROGRA~1\MarkAny\CONTEN~1\MACSMA~1.DLL [2004-11-23 15:51 192512] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys] @="Driver" R0 SI3112r;Silicon Image SiI 3112 SATARaid Controller;D:\WINDOWS\system32\DRIVERS\SI3112r.sys [2006-02-05 22:10] . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-01-26 18:04:10 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . Une idée pour la suite? Merci, a+
- le 25 janvier 2008
- 26 réponses
[Résolu] Messages d'alertes

BaK a répondu à un(e) sujet de BaK dans Analyses et éradication malwares

Salut Charles, Désolé pour le délai, j'ai déjà fait la manip hier, préparé mon post , mais j'ai sans doute étends le PC avant de poster.. Non, pas de protection sur ce PC, si ce n'est mon routeur. Je l'utilise presque uniquement pour du jeux en LAN. C'est à nouveau une machine avec dual boot, l'OS sur lequel les messages arrivent est D:\. Voilà le log de DiagHelp: DiagHelp version v1.4 - http://www.malekal.com excute le 25.01.2008 à 17:40:02.85 Liste des derniers fichies modifies/crees dans windir\system32 et prefetch D:\WINDOWS\prefetch\CHCP.COM-17EDBDC9.pf -->25.01.2008 17:40:01 D:\WINDOWS\prefetch\WINRAR.EXE-0AA31BB9.pf -->25.01.2008 17:38:12 D:\WINDOWS\prefetch\7ZFM.EXE-346A75B3.pf -->25.01.2008 17:38:09 D:\WINDOWS\prefetch\FIREFOX.EXE-06188867.pf -->25.01.2008 17:36:13 D:\WINDOWS\prefetch\SUPERCOPIER.EXE-0C71AE46.pf -->25.01.2008 17:36:06 D:\WINDOWS\prefetch\RUNDLL32.EXE-4386D6D3.pf -->25.01.2008 17:36:06 D:\WINDOWS\prefetch\IMAPI.EXE-201490BB.pf -->25.01.2008 17:36:06 D:\WINDOWS\prefetch\RUNDLL32.EXE-3B3AD576.pf -->25.01.2008 17:36:05 D:\WINDOWS\prefetch\EXPLORER.EXE-02121B1A.pf -->25.01.2008 17:36:05 D:\WINDOWS\prefetch\USERINIT.EXE-0743FDA9.pf -->25.01.2008 17:36:04 D:\WINDOWS\System32\drivers\nv4_mini.sys -->22.10.2006 11:22:00 D:\WINDOWS\System32\drivers\Vax347b.sys -->25.04.2005 09:43:58 D:\WINDOWS\System32\drivers\e100b325.sys -->04.03.2005 10:10:38 D:\WINDOWS\System32\drivers\stream.sys -->09.07.2004 03:27:28 D:\WINDOWS\System32\drivers\wstcodec.sys -->09.07.2004 03:26:40 D:\WINDOWS\System32\drivers\streamip.sys -->09.07.2004 03:26:40 D:\WINDOWS\System32\drivers\slip.sys -->09.07.2004 03:26:40 D:\WINDOWS\System32\nvapps.xml -->25.01.2008 17:35:55 D:\WINDOWS\System32\wpa.dbl -->24.01.2008 21:45:58 D:\WINDOWS\System32\PerfStringBackup.INI -->28.10.2007 11:35:56 D:\WINDOWS\System32\perfh009.dat -->28.10.2007 11:35:56 D:\WINDOWS\System32\perfc009.dat -->28.10.2007 11:35:56 D:\WINDOWS\System32\d3d8caps.dat -->26.06.2007 22:32:17 D:\WINDOWS\System32\h323log.txt -->20.02.2007 19:08:44 D:\WINDOWS\System32\wmpscheme.xml -->20.02.2007 18:25:39 D:\WINDOWS\System32\FNTCACHE.DAT -->20.02.2007 18:15:26 D:\WINDOWS\System32\$winnt$.inf -->20.02.2007 18:14:17 D:\WINDOWS\System32\CONFIG.NT -->20.02.2007 18:12:43 D:\WINDOWS\System32\nscompat.tlb -->20.02.2007 18:12:41 D:\WINDOWS\System32\amcompat.tlb -->20.02.2007 18:12:41 D:\WINDOWS\System32\WindowsLogon.manifest -->20.02.2007 18:11:55 D:\WINDOWS\System32\logonui.exe.manifest -->20.02.2007 18:11:55 D:\WINDOWS\System32\wuaucpl.cpl.manifest -->20.02.2007 18:11:51 D:\WINDOWS\System32\sapi.cpl.manifest -->20.02.2007 18:11:51 D:\WINDOWS\System32\nwc.cpl.manifest -->20.02.2007 18:11:51 D:\WINDOWS\System32\ncpa.cpl.manifest -->20.02.2007 18:11:51 D:\WINDOWS\System32\cdplayer.exe.manifest -->20.02.2007 18:11:51 D:\WINDOWS\System32\emptyregdb.dat -->20.02.2007 18:10:25 D:\WINDOWS\System32\NVUNINST.EXE -->22.10.2006 14:06:52 D:\WINDOWS\System32\nwiz.exe -->22.10.2006 11:22:00 D:\WINDOWS\System32\nvwssr.dll -->22.10.2006 11:22:00 D:\WINDOWS\System32\nvwss.dll -->22.10.2006 11:22:00 D:\WINDOWS.log -->25.01.2008 17:33:05 D:\WINDOWS\bootstat.dat -->25.01.2008 17:32:05 D:\WINDOWS\SchedLgU.Txt -->24.01.2008 23:12:03 D:\WINDOWS\nsreg.dat -->24.01.2008 21:52:34 D:\WINDOWS\wiadebug.log -->18.01.2008 23:48:24 D:\WINDOWS\wiaservc.log -->18.01.2008 22:19:29 D:\WINDOWS\setupapi.log -->08.12.2007 14:16:09 D:\WINDOWS\NeroDigital.ini -->21.10.2007 17:11:50 D:\WINDOWS\setupact.log -->19.10.2007 20:27:49 D:\WINDOWS\tsoc.log -->15.10.2007 22:32:49 D:\WINDOWS\tabletoc.log -->15.10.2007 22:32:49 D:\WINDOWS\ocmsn.log -->15.10.2007 22:32:49 D:\WINDOWS\ocgen.log -->15.10.2007 22:32:49 D:\WINDOWS\ntdtcsetup.log -->15.10.2007 22:32:49 D:\WINDOWS\netfxocm.log -->15.10.2007 22:32:49 winlogon.exe Verified: Signed svchost.exe Verified: Signed ws2_32.dll Verified: Signed user32.dll Verified: Signed tcpip.sys Verified: Signed ndis.sys Verified: Signed null.sys Verified: Signed ListDLLs v2.25 - DLL lister for Win9x/NT Copyright (C) 1997-2004 Mark Russinovich Sysinternals - www.sysinternals.com ------------------------------------------------------------------------------ explorer.exe pid: 1352 Command line: D:\WINDOWS\Explorer.EXE Base Size Version Path 0x01000000 0xf8000 6.00.2800.1106 D:\WINDOWS\Explorer.EXE 0x77c10000 0x53000 7.00.2600.1106 D:\WINDOWS\system32\msvcrt.dll 0x70a70000 0x64000 6.00.2800.1106 D:\WINDOWS\system32\SHLWAPI.dll 0x773d0000 0x7f7000 6.00.2800.1106 D:\WINDOWS\system32\SHELL32.dll 0x77120000 0x8b000 3.50.5016.0000 D:\WINDOWS\system32\OLEAUT32.dll 0x75f80000 0xfc000 6.00.2800.1106 D:\WINDOWS\System32\BROWSEUI.dll 0x769c0000 0x14a000 6.00.2800.1106 D:\WINDOWS\System32\SHDOCVW.dll 0x5ad70000 0x34000 6.00.2800.1106 D:\WINDOWS\System32\UxTheme.dll 0x71950000 0xe4000 6.00.2800.1106 D:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.10.0_x-ww_f7fb5805\comctl32.dll 0x77340000 0x8b000 5.82.2800.1106 D:\WINDOWS\system32\comctl32.dll 0x76fd0000 0x78000 2001.12.4414.0042 D:\WINDOWS\System32\CLBCATQ.DLL 0x77050000 0xc5000 2001.12.4414.0042 D:\WINDOWS\System32\COMRes.dll 0x559e0000 0x71000 6.00.2800.1106 D:\WINDOWS\System32\themeui.dll 0x71d40000 0x1b000 6.00.2600.0000 D:\WINDOWS\System32\ACTXPRXY.DLL 0x76b20000 0x15000 3.00.9435.0000 D:\WINDOWS\System32\ATL.DLL 0x760f0000 0x7a000 6.00.2800.1106 D:\WINDOWS\System32\urlmon.dll 0x56780000 0xc000 D:\Program Files\SuperCopier\SCHook.DLL 0x745e0000 0x2c6000 3.01.4000.2435 D:\WINDOWS\System32\msi.dll 0x74b30000 0x41000 6.00.2800.1106 D:\WINDOWS\System32\webcheck.dll 0x74af0000 0x9000 6.00.2600.0000 D:\WINDOWS\System32\BatMeter.dll 0x74ad0000 0x7000 6.00.2600.0000 D:\WINDOWS\System32\POWRPROF.dll 0x76c30000 0x2b000 5.131.2600.0000 D:\WINDOWS\System32\WINTRUST.dll 0x762c0000 0x8b000 5.131.2600.1106 D:\WINDOWS\system32\CRYPT32.dll 0x763b0000 0x45000 6.00.2800.1106 D:\WINDOWS\system32\comdlg32.dll 0x72430000 0x12000 6.00.2800.1106 D:\WINDOWS\System32\browselc.dll 0x76200000 0x98000 6.00.2800.1106 D:\WINDOWS\system32\WININET.dll 0x76170000 0x88000 6.00.2600.0000 D:\WINDOWS\System32\shdoclc.dll 0x1f7b0000 0x31000 3.520.9030.0000 D:\WINDOWS\System32\ODBC32.dll 0x1f850000 0x16000 3.520.7713.0000 D:\WINDOWS\System32\odbcint.dll 0x73380000 0x52000 6.00.2800.1106 D:\WINDOWS\System32\zipfldr.dll 0x01380000 0x2c000 D:\Program Files\WinRAR\rarext.dll 0x10000000 0x24000 4.42.0000.0000 D:\Program Files\7-Zip\7-zip.dll 0x70eb0000 0x7000 1.01.0000.3917 D:\WINDOWS\System32\asfsipc.dll 0x60980000 0x7000 3.01.4000.1823 D:\WINDOWS\System32\MSISIP.DLL 0x74ea0000 0x10000 5.06.0000.6626 D:\WINDOWS\System32\wshext.dll ListDLLs v2.25 - DLL lister for Win9x/NT Copyright (C) 1997-2004 Mark Russinovich Sysinternals - www.sysinternals.com ------------------------------------------------------------------------------ winlogon.exe pid: 904 Command line: winlogon.exe Base Size Version Path 0x01000000 0x83000 \??\D:\WINDOWS\system32\winlogon.exe 0x77c10000 0x53000 7.00.2600.1106 D:\WINDOWS\system32\msvcrt.dll 0x762c0000 0x8b000 5.131.2600.1106 D:\WINDOWS\system32\CRYPT32.dll 0x773d0000 0x7f7000 6.00.2800.1106 D:\WINDOWS\system32\SHELL32.dll 0x70a70000 0x64000 6.00.2800.1106 D:\WINDOWS\system32\SHLWAPI.dll 0x77340000 0x8b000 5.82.2800.1106 D:\WINDOWS\system32\COMCTL32.dll 0x1f7b0000 0x31000 3.520.9030.0000 D:\WINDOWS\System32\ODBC32.dll 0x763b0000 0x45000 6.00.2800.1106 D:\WINDOWS\system32\comdlg32.dll 0x71950000 0xe4000 6.00.2800.1106 D:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.10.0_x-ww_f7fb5805\comctl32.dll 0x1f850000 0x16000 3.520.7713.0000 D:\WINDOWS\System32\odbcint.dll 0x76bd0000 0x1f000 6.00.2800.1106 D:\WINDOWS\System32\SHSVCS.dll 0x76c30000 0x2b000 5.131.2600.0000 D:\WINDOWS\System32\WINTRUST.dll 0x5ad70000 0x34000 6.00.2800.1106 D:\WINDOWS\System32\uxtheme.dll 0x77050000 0xc5000 2001.12.4414.0042 D:\WINDOWS\System32\COMRes.dll 0x77120000 0x8b000 3.50.5016.0000 D:\WINDOWS\system32\OLEAUT32.dll 0x76fd0000 0x78000 2001.12.4414.0042 D:\WINDOWS\System32\CLBCATQ.DLL Volume in drive D is XP Volume Serial Number is 884B-F0EE Directory of D:\WINDOWS\system 17.02.2004 10:51 1'458'176 SmWizard.exe 1 File(s) 1'458'176 bytes 0 Dir(s) 7'975'964'672 bytes free Volume in drive D is XP Volume Serial Number is 884B-F0EE Directory of D:\WINDOWS\system32 23.08.2001 04:00 4'096 csrss.exe 1 File(s) 4'096 bytes 0 Dir(s) 7'975'964'672 bytes free Contenu de Downloaded Program Files Volume in drive D is XP Volume Serial Number is 884B-F0EE Directory of D:\WINDOWS\Downloaded Program Files 20.05.2007 21:02 <DIR> . 20.05.2007 21:02 <DIR> .. 20.02.2007 18:11 65 desktop.ini 14.10.1997 18:52 697 DirectAnimation Java Classes.osd 20.01.2000 15:25 1'162 Microsoft XML Parser for Java.osd 27.03.2007 15:00 5'021 swflash.inf 4 File(s) 6'945 bytes Total Files Listed: 4 File(s) 6'945 bytes 2 Dir(s) 7'975'964'672 bytes free Recherche de rootkit! (Merci S!Ri) Recherche d'infections connues Export des clefs sensibles.. Liste des fichiers en exception sur le pare-feu XP SP2 Export de la clef SharedTaskScheduler [SharedTaskScheduler] exports des policies REGEDIT4 [system] "dontdisplaylastusername"=dword:00000000 "legalnoticecaption"="" "legalnoticetext"="" "shutdownwithoutlogon"=dword:00000001 "undockwithoutlogon"=dword:00000001 Export des clefs sensibles.. Rechercher adresses sensibles dans le fichier HOSTS... catchme 0.3.1319 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-01-25 17:40:17 Windows 5.1.2600 Service Pack 1 NTFS scanning hidden services & system hive ... [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Vax347s\Config\jdgg40] "ujdew"=hex:20,02,00,00,d6,dc,25,b8,6b,a8,1f,37,b2,71,36,ed,25,33,1f,69,b2,.. "ljej40"=hex:09,f8,14,6b,0d,2d,20,99,7d,6f,08,1d,22,61,ce,1b,62,b4,b2,60,44,.. scanning hidden registry entries ... [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}] "DisplayName"="Alcohol 120%" scanning hidden files ... scan completed successfully hidden services: 0 hidden files: 0 KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg) Process list by traversal of KiWaitListHead 4 - System 260 - nvsvc32.exe 768 - cmd.exe 880 - csrss.exe 904 - winlogon.exe 948 - services.exe 960 - lsass.exe 1164 - svchost.exe 1248 - firefox.exe 1352 - explorer.exe 1464 - svchost.exe 1712 - svchost.exe 1752 - svchost.exe Total number of processes = 13 NOTE: Under WinXP, this will not show all processes. KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg) Driver/Module list by traversal of PsLoadedModuleList 804D4000 - \WINDOWS\system32\ntoskrnl.exe 806B9000 - \WINDOWS\system32\hal.dll F7987000 - \WINDOWS\system32\KDCOM.DLL F7897000 - \WINDOWS\system32\BOOTVID.dll F75AF000 - Vax347b.sys F7583000 - ACPI.sys F7989000 - \WINDOWS\System32\DRIVERS\WMILIB.SYS F75F7000 - pci.sys F7607000 - isapnp.sys F7A4F000 - pciide.sys F7707000 - \WINDOWS\System32\DRIVERS\PCIIDEX.SYS F7617000 - MountMgr.sys F74C4000 - ftdisk.sys F798B000 - dmload.sys F74A0000 - dmio.sys F770F000 - PartMgr.sys F7627000 - VolSnap.sys F748A000 - F798D000 - Vax347s.sys F7473000 - \WINDOWS\System32\Drivers\SCSIPORT.SYS F7637000 - disk.sys F7647000 - \WINDOWS\System32\DRIVERS\CLASSPNP.SYS F7462000 - sr.sys F744E000 - KSecDD.sys F7B55000 - Ntfs.sys F7425000 - NDIS.sys F740B000 - Mup.sys F7717000 - agp440.sys F777F000 - \SystemRoot\System32\DRIVERS\processr.sys BAB0E000 - \SystemRoot\System32\DRIVERS\nv4_mini.sys BAAFC000 - \SystemRoot\System32\DRIVERS\VIDEOPRT.SYS F7787000 - \SystemRoot\System32\DRIVERS\usbuhci.sys BAADA000 - \SystemRoot\System32\DRIVERS\USBPORT.SYS F778F000 - \SystemRoot\System32\DRIVERS\usbehci.sys BAAC9000 - \SystemRoot\System32\DRIVERS\GA311ND5.SYS BAAA2000 - \SystemRoot\System32\DRIVERS\e100b325.sys F76A7000 - \SystemRoot\System32\DRIVERS\i8042prt.sys F7797000 - \SystemRoot\System32\DRIVERS\mouclass.sys F779F000 - \SystemRoot\System32\DRIVERS\kbdclass.sys F77A7000 - \SystemRoot\System32\DRIVERS\fdc.sys F76B7000 - \SystemRoot\System32\DRIVERS\serial.sys F7947000 - \SystemRoot\System32\DRIVERS\serenum.sys BAA8F000 - \SystemRoot\System32\DRIVERS\parport.sys F76C7000 - \SystemRoot\System32\DRIVERS\imapi.sys F76D7000 - \SystemRoot\System32\DRIVERS\cdrom.sys F76E7000 - \SystemRoot\System32\DRIVERS\redbook.sys BA9ED000 - \SystemRoot\System32\DRIVERS\ks.sys BA925000 - \SystemRoot\system32\drivers\cmuda.sys BA904000 - \SystemRoot\system32\drivers\portcls.sys F76F7000 - \SystemRoot\system32\drivers\drmk.sys F7AA8000 - \SystemRoot\System32\DRIVERS\audstub.sys F7573000 - \SystemRoot\System32\DRIVERS\rasl2tp.sys BAFFC000 - \SystemRoot\System32\DRIVERS\ndistapi.sys BA8EE000 - \SystemRoot\System32\DRIVERS\ndiswan.sys F7563000 - \SystemRoot\System32\DRIVERS\raspppoe.sys F7553000 - \SystemRoot\System32\DRIVERS\raspptp.sys BAFF0000 - \SystemRoot\System32\DRIVERS\TDI.SYS BA8DD000 - \SystemRoot\System32\DRIVERS\psched.sys F7543000 - \SystemRoot\System32\DRIVERS\msgpc.sys F77B7000 - \SystemRoot\System32\DRIVERS\ptilink.sys F77BF000 - \SystemRoot\System32\DRIVERS\raspti.sys BA810000 - \SystemRoot\System32\DRIVERS\rdpdr.sys F7513000 - \SystemRoot\System32\DRIVERS\termdd.sys F7AB6000 - \SystemRoot\System32\DRIVERS\swenum.sys BA7C6000 - \SystemRoot\System32\DRIVERS\update.sys BAFD4000 - \SystemRoot\system32\drivers\WmBEnum.sys F7503000 - \SystemRoot\system32\drivers\WmXlCore.sys BAF90000 - \SystemRoot\System32\Drivers\NDProxy.SYS BAF70000 - \SystemRoot\System32\DRIVERS\usbhub.sys F79AB000 - \SystemRoot\System32\DRIVERS\USBD.SYS F77CF000 - \SystemRoot\System32\DRIVERS\flpydisk.sys F79AD000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS F7A6E000 - \SystemRoot\System32\Drivers\Null.SYS F79AF000 - \SystemRoot\System32\Drivers\Beep.SYS F77E7000 - \SystemRoot\System32\DRIVERS\HIDPARSE.SYS F77EF000 - \SystemRoot\System32\drivers\vga.sys F79B1000 - \SystemRoot\System32\Drivers\mnmdd.SYS F79B3000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys F77F7000 - \SystemRoot\System32\Drivers\Msfs.SYS F77FF000 - \SystemRoot\System32\Drivers\Npfs.SYS BAEDE000 - \SystemRoot\System32\DRIVERS\rasacd.sys BAF40000 - \SystemRoot\System32\DRIVERS\ipsec.sys B862C000 - \SystemRoot\System32\DRIVERS\tcpip.sys B8605000 - \SystemRoot\System32\DRIVERS\netbt.sys BAF30000 - \SystemRoot\System32\DRIVERS\netbios.sys B85B5000 - \SystemRoot\System32\DRIVERS\rdbss.sys BAF20000 - \SystemRoot\System32\DRIVERS\wanarp.sys B8551000 - \SystemRoot\System32\DRIVERS\mrxsmb.sys BAF10000 - \SystemRoot\System32\Drivers\Fips.SYS BA7EC000 - \SystemRoot\System32\DRIVERS\hidusb.sys F7677000 - \SystemRoot\System32\DRIVERS\HIDCLASS.SYS F7817000 - \SystemRoot\system32\drivers\WmFilter.sys F7687000 - \SystemRoot\System32\Drivers\Cdfs.SYS B849B000 - \SystemRoot\System32\Drivers\dump_atapi.sys F79B7000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS BF800000 - \SystemRoot\System32\win32k.sys BAFCC000 - \SystemRoot\System32\watchdog.sys BAFC8000 - \SystemRoot\System32\drivers\Dxapi.sys BFF80000 - \SystemRoot\System32\drivers\dxg.sys F7A75000 - \SystemRoot\System32\drivers\dxgthk.sys BF9BB000 - \SystemRoot\System32\nv4_disp.dll B7B61000 - \SystemRoot\System32\drivers\afd.sys F79CB000 - \SystemRoot\System32\DRIVERS\LANPkt.sys B85E5000 - \SystemRoot\System32\DRIVERS\ndisuio.sys B79F6000 - \SystemRoot\System32\DRIVERS\mrxdav.sys F79F1000 - \SystemRoot\System32\Drivers\ParVdm.SYS B797D000 - \SystemRoot\System32\DRIVERS\srv.sys B778A000 - \SystemRoot\system32\drivers\wdmaud.sys B7815000 - \SystemRoot\system32\drivers\sysaudio.sys B7740000 - \SystemRoot\system32\drivers\kmixer.sys F7A9F000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys Total number of drivers = 111 Liste des programmes installes 7-Zip 4.42 Adobe Flash Player 9 ActiveX ASUS nVidia Driver C-Media 3D Audio DriveImage XML EasyRecovery Professional EasyRecovery Professional ECHO is off. HijackThis 2.0.2 Intel(R) PRO Network Connections Drivers Logitech Gaming Software MadOnion.com/3DMark2001 SE Mozilla Firefox (2.0.0.11) Nero 6 Ultra Edition NETGEAR GA311 Gigabit Adapter NETGEAR GA311 Smart Wizard Utility NVIDIA Drivers PE Builder 3.1.10a Quake III Team Arena Quake III Arena Quake III Arena Point Release 1.32 Race - The WTCC Game + Expansion SuperCopier Total Uninstall 3.80 UBCD4Win 3.06 WebFldrs XP Windows Installer 3.1 (KB893803) WinRAR archiver Volume in drive D is XP Volume Serial Number is 884B-F0EE Directory of D:\Program Files 24.01.2008 22:31 <DIR> . 24.01.2008 22:31 <DIR> .. 22.02.2007 21:15 <DIR> 7-Zip 22.02.2007 22:50 <DIR> Ahead 01.07.2007 15:59 <DIR> Alcohol Soft 22.02.2007 21:21 <DIR> C-Media 3D Audio 19.10.2007 20:26 <DIR> Common Files 20.02.2007 18:10 <DIR> ComPlus Applications 28.10.2007 11:39 <DIR> DAMN NFO Viewer 25.02.2007 23:23 <DIR> HiJackThis 22.02.2007 21:18 <DIR> Intel 20.02.2007 18:11 <DIR> Internet Explorer 19.10.2007 20:26 <DIR> Logitech 26.06.2007 22:29 <DIR> MadOnion.com 20.02.2007 18:10 <DIR> Messenger 20.02.2007 18:12 <DIR> microsoft frontpage 20.02.2007 18:11 <DIR> Movie Maker 25.01.2008 17:36 <DIR> Mozilla Firefox 15.10.2007 22:16 <DIR> Mplayer 20.02.2007 18:10 <DIR> MSN 20.02.2007 18:09 <DIR> MSN Gaming Zone 22.02.2007 21:26 <DIR> My Company Name 20.02.2007 18:11 <DIR> NetMeeting 20.02.2007 18:10 <DIR> Online Services 28.10.2007 13:02 <DIR> Ontrack 20.02.2007 18:11 <DIR> Outlook Express 20.05.2007 17:02 <DIR> ProcessExplorer 19.10.2007 22:22 <DIR> Quake III Arena 18.01.2008 23:10 <DIR> Race 22.02.2007 22:25 <DIR> Runtime Software 28.10.2007 11:49 <DIR> SuperCopier 22.02.2007 21:40 <DIR> Total Uninstall 3 24.01.2008 22:31 <DIR> Trend Micro 20.02.2007 18:25 <DIR> Windows Media Player 20.02.2007 18:09 <DIR> Windows NT 28.10.2007 11:42 <DIR> WinRAR 20.02.2007 18:12 <DIR> xerox 0 File(s) 0 bytes 37 Dir(s) 7'975'960'576 bytes free Volume in drive D is XP Volume Serial Number is 884B-F0EE Directory of D:\Program Files\common files 19.10.2007 20:26 <DIR> . 19.10.2007 20:26 <DIR> .. 22.02.2007 22:50 <DIR> Ahead 22.02.2007 21:25 <DIR> InstallShield 19.10.2007 20:26 <DIR> Logitech 20.02.2007 18:25 <DIR> Microsoft Shared 20.02.2007 18:11 <DIR> MSSoap 20.02.2007 18:59 <DIR> ODBC 20.02.2007 18:11 <DIR> Services 20.02.2007 18:59 <DIR> SpeechEngines 20.02.2007 18:11 <DIR> System 0 File(s) 0 bytes 11 Dir(s) 7'975'960'576 bytes free c:\Documents and Settings\Chris-MSI\Application Data\ezpinst.exe c:\Documents and Settings\Chris-MSI\Application Data\Microsoft\Installer\{53480370-6CA2-47EC-BC05-02B4B9271C31}\ARPPRODUCTICON.exe c:\Documents and Settings\Chris-MSI\Application Data\Microsoft\Installer\{53480370-6CA2-47EC-BC05-02B4B9271C31}\oodcnt_ds.53480300_6789_44B8_908F_AD7D7990104B.exe c:\Documents and Settings\Chris-MSI\Application Data\Microsoft\Installer\{53480370-6CA2-47EC-BC05-02B4B9271C31}\oodcnt_exe.53480300_6789_44B8_908F_AD7D7990104B.exe c:\Documents and Settings\Chris-MSI\Application Data\Microsoft\Installer\{78CC3BAB-DE2A-4FB4-8FBB-E4DADDC26747}\Icon78CC3BAB.exe c:\Documents and Settings\Chris-MSI\Application Data\Microsoft\Installer\{78CC3BAB-DE2A-4FB4-8FBB-E4DADDC26747}\Icon78CC3BAB2.exe c:\Documents and Settings\Chris-MSI\Application Data\Microsoft\Installer\{F428D0FB-765D-40EB-BDD8-A1E7F5C597FA}\ARPPRODUCTICON.exe c:\Documents and Settings\Chris-MSI\Application Data\Microsoft\Installer\{F428D0FB-765D-40EB-BDD8-A1E7F5C597FA}\Shortcut0.C3A146F5_4B48_11D5_A819_00B0D0428C0C.exe c:\Documents and Settings\Chris-MSI\Local Settings\Temp\7qzpifad.exe c:\Documents and Settings\Chris-MSI\Local Settings\Temp\dblb8byn.exe c:\Documents and Settings\Chris-MSI\Local Settings\Temp\ed2bv87g.exe c:\Documents and Settings\Chris-MSI\Local Settings\Temp\fuk1il9a.exe c:\Documents and Settings\Chris-MSI\Local Settings\Temp\NetLimiter.exe c:\Documents and Settings\Chris-MSI\Local Settings\Temp\utt3.tmp.exe c:\Documents and Settings\Chris-MSI\Local Settings\Temp\7zE1.tmp\HijackThis.exe c:\Documents and Settings\Chris-MSI\Local Settings\Temp\7zE2.tmp\mplayerc.exe c:\Documents and Settings\Chris-MSI\Local Settings\Temp\O&O Defrag Professional\instmsia.exe c:\Documents and Settings\Chris-MSI\Local Settings\Temp\O&O Defrag Professional\instmsiw.exe c:\Documents and Settings\Chris-MSI\Local Settings\Temp\O&O Defrag Professional\setup.exe c:\Documents and Settings\Chris-MSI\Local Settings\Temp\pft1~tmp\PXFirm3.exe c:\Documents and Settings\Chris-MSI\Local Settings\Temp\pft9~tmp\Setup.exe c:\Documents and Settings\Chris-MSI\Local Settings\Temporary Internet Files\Content.IE5\QVUP0XCR\ads[1].exe& c:\Documents and Settings\All Users\Application Data\Grisoft\AVG Anti-Spyware 7.5\Downloads\help.dll ****** Fin du rapport DiagHelp Veuillez svp envoyer le fichier C:\upload_moi_CENTURION1.tar.gz a l'adresse http://upload.malekal.com Ca c'est du log! Y trouve-t-on quelque chose d'intéressant?
- le 25 janvier 2008
- 9 réponses
[Résolu] Messages d'alertes

BaK a posté un sujet dans Analyses et éradication malwares

Hello, J'ai un ptit problème avec une autre de mes machines, des messages apparaissent sans arrêt, même en plein jeux! Voilà les 2 messages auxquels j'ai droit: J'ai désactiver l'affichage des messages: 1) Démarrer 2) Panneau de configuration 3) Outils d'administration 4) Services 5) Affichage des messages 6) Type de message : Sélectionner désactivé. Et après un reboot ça a l'air d'être bon! Est-ce suffisant? Je voudrais être sûr de ne pas avoir des bestioles qui traînent! A tout hasard, voici mon log HJT: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:31:08, on 24.01.2008 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Boot mode: Normal Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\spoolsv.exe D:\WINDOWS\Explorer.EXE D:\WINDOWS\System32\RunDll32.exe D:\WINDOWS\System32\RunDLL32.exe D:\Program Files\SuperCopier\SuperCopier.exe D:\WINDOWS\System32\nvsvc32.exe D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe D:\Program Files\Mozilla Firefox\firefox.exe D:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/ O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKCU\..\Run: [SuperCopier.exe] D:\Program Files\SuperCopier\SuperCopier.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe -- End of file - 2067 bytes Ca m'a l'air clean... hijackthis.de est du même avis. Si qqun pouvait me le confirmer. Merci!
- le 24 janvier 2008
- 9 réponses
[Résolu] Installation Firefox

BaK a répondu à un(e) sujet de BaK dans Analyses et éradication malwares

Re Merci pour ces précisions, j'y vois plus clair maintenant! Alors: 1) Pas de trace ni de tga.sys, ni de sglfb.sys dans D:\WINDOWS\System32\Drivers Rien non plus dans C:\WINDOWS\System32\Drivers En fait rien dans C:\ et D:\ tout court, j'ai effectué une recherche! (Oui oui, les fichiers cachés et systèmes sont bien affichés ) 2) Log ComboFix ComboFix 08-01-23.2 - Chris-ABIT 2008-01-25 18:14:54.5 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1033.18.776 [GMT 1:00] Running from: D:\Documents and Settings\Chris-ABIT\Desktop\ComboFix.exe Command switches used :: D:\Documents and Settings\Chris-ABIT\Desktop\CFScript.txt * Created a new restore point [color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color] . ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) . D:\WINDOWS\system32\drivers\down . ((((((((((((((((((((((((( Files Created from 2007-12-25 to 2008-01-25 ))))))))))))))))))))))))))))))) . 2008-01-24 20:57 . 2000-08-31 08:00 51,200 --a------ D:\WINDOWS\Nircmd.exe 2008-01-23 21:50 . 2008-01-23 21:50 0 --a------ D:\WINDOWS\nsreg.dat 2008-01-21 18:06 . 2008-01-21 18:06 <DIR> d-------- D:\Program Files\Trend Micro 2008-01-20 22:35 . 2006-06-05 01:07 625,078 --a------ D:\WINDOWS\system32\drivers\hldrrr.ex_ 2008-01-20 22:35 . 2008-01-20 22:35 90,806 --a------ D:\WINDOWS\system32\drivers\srosa.sy_ 2008-01-20 22:25 . 2007-01-18 13:00 3,968 --a------ D:\WINDOWS\system32\drivers\AvgArCln.sys 2008-01-20 22:04 . 2008-01-20 22:09 <DIR> d-------- D:\Program Files\MediaCoder 2008-01-20 20:37 . 2008-01-20 20:38 <DIR> d-------- D:\WINDOWS\nview 2008-01-20 20:37 . 2006-10-22 12:22 208,896 --a------ D:\WINDOWS\system32\nvudisp.exe 2008-01-20 20:37 . 2008-01-25 18:01 88,566 --a------ D:\WINDOWS\system32\nvapps.xml 2008-01-20 20:37 . 2006-10-22 12:22 17,056 --a------ D:\WINDOWS\system32\nvdisp.nvu 2008-01-20 20:36 . 2008-01-20 20:36 <DIR> d-------- D:\Program Files\Common Files\InstallShield 2008-01-20 20:36 . 2006-10-22 15:06 208,896 --a------ D:\WINDOWS\system32\NVUNINST.EXE 2008-01-15 22:36 . 2008-01-15 22:36 43,698 --a------ D:\WINDOWS\system32\xvid-uninstall.exe 2008-01-15 22:35 . 2008-01-15 22:35 <DIR> d-------- D:\Program Files\AviSynth 2.5 2008-01-15 22:34 . 2008-01-15 22:34 <DIR> d-------- D:\Program Files\Gabest 2008-01-15 22:33 . 2008-01-15 22:36 <DIR> d-------- D:\Program Files\AutoGK 2008-01-01 18:12 . 2008-01-01 18:12 <DIR> d-------- D:\Program Files\QuickTime Alternative 2008-01-01 18:12 . 2008-01-01 18:12 <DIR> d-------- D:\Program Files\Media Player Classic 2008-01-01 18:12 . 2003-03-19 05:14 499,712 --a------ D:\WINDOWS\system32\msvcp71.dll 2008-01-01 18:12 . 2004-01-12 00:00 348,160 --a------ D:\WINDOWS\system32\msvcr71.dll 2008-01-01 18:12 . 2007-04-27 09:42 65,536 --a------ D:\WINDOWS\system32\QuickTimeVR.qtx 2008-01-01 18:12 . 2007-04-27 09:42 49,152 --a------ D:\WINDOWS\system32\QuickTime.qts 2008-01-01 18:12 . 2008-01-15 22:38 664 --a------ D:\WINDOWS\system32\d3d9caps.dat 2008-01-01 18:10 . 2008-01-01 18:10 <DIR> d-------- D:\Program Files\3ivx 2008-01-01 17:51 . 2008-01-01 17:54 <DIR> d-------- D:\Program Files\Yamb 2008-01-01 17:40 . 2008-01-01 17:40 <DIR> d-------- D:\Program Files\VideoInspector 2008-01-01 17:22 . 2008-01-01 17:22 <DIR> d-------- D:\Program Files\Ultra Video Joiner 2007-12-31 19:08 . 2006-03-09 04:05 1,295,582 --a------ D:\WINDOWS\system32\cygwin1.dll 2007-12-31 19:08 . 2006-03-09 04:05 61,440 --a------ D:\WINDOWS\system32\cygz.dll 2007-12-31 15:58 . 2007-12-31 16:02 <DIR> d-------- D:\Program Files\DAEMON Tools Pro 2007-12-31 15:55 . 2007-12-31 15:55 685,816 --a------ D:\WINDOWS\system32\drivers\sptd.sys . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-01-15 21:45 --------- d-----w D:\Program Files\All Video Splitter . ((((((((((((((((((((((((((((( snapshot@2008-01-24_20.58.39.87 ))))))))))))))))))))))))))))))))))))))))) . - 2008-01-24 19:57:59 229,376 ----a-w D:\WINDOWS\erdnt\Hiv-backup\Users01\NTUSER.DAT + 2008-01-25 17:14:48 229,376 ----a-w D:\WINDOWS\erdnt\Hiv-backup\Users01\NTUSER.DAT - 2008-01-24 19:57:59 8,192 ----a-w D:\WINDOWS\erdnt\Hiv-backup\Users02\UsrClass.dat + 2008-01-25 17:14:48 8,192 ----a-w D:\WINDOWS\erdnt\Hiv-backup\Users02\UsrClass.dat - 2008-01-24 19:57:59 229,376 ----a-w D:\WINDOWS\erdnt\Hiv-backup\Users03\NTUSER.DAT + 2008-01-25 17:14:48 229,376 ----a-w D:\WINDOWS\erdnt\Hiv-backup\Users03\NTUSER.DAT - 2008-01-24 19:57:59 8,192 ----a-w D:\WINDOWS\erdnt\Hiv-backup\Users04\UsrClass.dat + 2008-01-25 17:14:48 8,192 ----a-w D:\WINDOWS\erdnt\Hiv-backup\Users04\UsrClass.dat - 2008-01-24 19:57:59 1,036,288 ----a-w D:\WINDOWS\erdnt\Hiv-backup\Users05\NTUSER.DAT + 2008-01-25 17:14:48 1,056,768 ----a-w D:\WINDOWS\erdnt\Hiv-backup\Users05\NTUSER.DAT - 2008-01-24 19:57:59 8,192 ----a-w D:\WINDOWS\erdnt\Hiv-backup\Users06\UsrClass.dat + 2008-01-25 17:14:48 8,192 ----a-w D:\WINDOWS\erdnt\Hiv-backup\Users06\UsrClass.dat . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "DAEMON Tools Pro Agent"="D:\Program Files\DAEMON Tools Pro\DTProAgent.exe" [ ] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SMSTray"="D:\Program Files\Samsung\Samsung Media Studio 5\SMSTray.exe" [ ] "MAAgent"="D:\Program Files\MarkAny\ContentSafer\MAAgent.exe" [2007-01-30 19:36 57344] "NvCplDaemon"="D:\WINDOWS\system32\NvCpl.dll" [2006-10-22 12:22 7700480] "nwiz"="nwiz.exe" [2006-10-22 12:22 1622016 D:\WINDOWS\system32\nwiz.exe] "NvMediaCenter"="D:\WINDOWS\system32\NvMcTray.dll" [2006-10-22 12:22 86016] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="D:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 08:56 15360] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{88485281-8b4b-4f8d-9ede-82e29a064277}"= D:\PROGRA~1\MarkAny\CONTEN~1\MACSMA~1.DLL [2004-11-23 15:51 192512] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys] @="Driver" R0 SI3112r;Silicon Image SiI 3112 SATARaid Controller;D:\WINDOWS\system32\DRIVERS\SI3112r.sys [2006-02-05 22:10] *Newly Created Service* - HTTPFILTER . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-01-25 18:15:27 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** 2008-01-20 22:35 . 2006-06-05 01:07 625,078 --a------ D:\WINDOWS\system32\drivers\hldrrr.ex_ 2008-01-20 22:35 . 2008-01-20 22:35 90,806 --a------ D:\WINDOWS\system32\drivers\srosa.sy_ J'ai l'impression que ces 2 là araient du disparaître non? 3) Log Kaspersky ------------------------------------------------------------------------------- KASPERSKY ONLINE SCANNER REPORT Friday, January 25, 2008 7:31:56 PM Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600) Kaspersky Online Scanner version: 5.0.98.0 Kaspersky Anti-Virus database last update: 24/01/2008 Kaspersky Anti-Virus database records: 531323 ------------------------------------------------------------------------------- Scan Settings: Scan using the following antivirus database: extended Scan Archives: true Scan Mail Bases: true Scan Target - My Computer: A:\ C:\ D:\ E:\ F:\ G:\ H:\ I:\ Scan Statistics: Total number of scanned objects: 64854 Number of viruses found: 3 Number of infected objects: 4 Number of suspicious objects: 0 Duration of the scan process: 00:58:29 Infected Object Name / Virus Name / Last Action C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\fc1e3851f429ea606d6ff1e01a5229f1_90385b8d-b34a-4b91-995b-d6f140e43eab Object is locked skipped C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson\user.dmp Object is locked skipped C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped D:\Documents and Settings\Chris-ABIT\Application Data\Mozilla\Firefox\Profiles\4135j2kk.default\cert8.db Object is locked skipped D:\Documents and Settings\Chris-ABIT\Application Data\Mozilla\Firefox\Profiles\4135j2kk.default\history.dat Object is locked skipped D:\Documents and Settings\Chris-ABIT\Application Data\Mozilla\Firefox\Profiles\4135j2kk.default\key3.db Object is locked skipped D:\Documents and Settings\Chris-ABIT\Application Data\Mozilla\Firefox\Profiles\4135j2kk.default\parent.lock Object is locked skipped D:\Documents and Settings\Chris-ABIT\Application Data\Mozilla\Firefox\Profiles\4135j2kk.default\search.sqlite Object is locked skipped D:\Documents and Settings\Chris-ABIT\Application Data\Mozilla\Firefox\Profiles\4135j2kk.default\urlclassifier2.sqlite Object is locked skipped D:\Documents and Settings\Chris-ABIT\Cookies\index.dat Object is locked skipped D:\Documents and Settings\Chris-ABIT\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped D:\Documents and Settings\Chris-ABIT\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped D:\Documents and Settings\Chris-ABIT\Local Settings\Application Data\Mozilla\Firefox\Profiles\4135j2kk.default\Cache\_CACHE_001_ Object is locked skipped D:\Documents and Settings\Chris-ABIT\Local Settings\Application Data\Mozilla\Firefox\Profiles\4135j2kk.default\Cache\_CACHE_002_ Object is locked skipped D:\Documents and Settings\Chris-ABIT\Local Settings\Application Data\Mozilla\Firefox\Profiles\4135j2kk.default\Cache\_CACHE_003_ Object is locked skipped D:\Documents and Settings\Chris-ABIT\Local Settings\Application Data\Mozilla\Firefox\Profiles\4135j2kk.default\Cache\_CACHE_MAP_ Object is locked skipped D:\Documents and Settings\Chris-ABIT\Local Settings\History\History.IE5\index.dat Object is locked skipped D:\Documents and Settings\Chris-ABIT\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped D:\Documents and Settings\Chris-ABIT\NTUSER.DAT Object is locked skipped D:\Documents and Settings\Chris-ABIT\ntuser.dat.LOG Object is locked skipped D:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped D:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped D:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped D:\Documents and Settings\LocalService\Local Settings\History\History.IE5\index.dat Object is locked skipped D:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped D:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped D:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped D:\Documents and Settings\NetworkService\Cookies\index.dat Object is locked skipped D:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped D:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped D:\Documents and Settings\NetworkService\Local Settings\History\History.IE5\index.dat Object is locked skipped D:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped D:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped D:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped D:\System Volume Information\_restore{A99A889D-D30B-4AB8-9C0B-EBE9D3A6FCC7}\RP11\change.log Object is locked skipped D:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped D:\WINDOWS\SchedLgU.Txt Object is locked skipped D:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked skipped D:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped D:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped D:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped D:\WINDOWS\system32\config\default Object is locked skipped D:\WINDOWS\system32\config\default.LOG Object is locked skipped D:\WINDOWS\system32\config\SAM Object is locked skipped D:\WINDOWS\system32\config\SAM.LOG Object is locked skipped D:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped D:\WINDOWS\system32\config\SECURITY Object is locked skipped D:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped D:\WINDOWS\system32\config\software Object is locked skipped D:\WINDOWS\system32\config\software.LOG Object is locked skipped D:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped D:\WINDOWS\system32\config\system Object is locked skipped D:\WINDOWS\system32\config\system.LOG Object is locked skipped D:\WINDOWS\system32\drivers\hldrrr.ex_ Infected: Trojan-Downloader.Win32.Bagle.hi skipped D:\WINDOWS\system32\drivers\sptd.sys Object is locked skipped D:\WINDOWS\system32\drivers\srosa.sy_ Infected: Trojan-Downloader.Win32.Bagle.hu skipped D:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped D:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped D:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped D:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped D:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped D:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped D:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped D:\WINDOWS\WindowsUpdate.log Object is locked skipped E:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped F:\Games\Rotoblox\rotobloxv2.0gameloader.zip/Roto20_Loader.exe Infected: HackTool.Win32.Fumn skipped F:\Games\Rotoblox\rotobloxv2.0gameloader.zip ZIP: infected - 1 skipped F:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped G:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped Scan process completed. Number of viruses found: 3 Number of infected objects: 4 Pas top on dirait... Pourrais-tu me donner des explications sur: - A quoi correspondent les différentes rubriques du ComboFix? (Other Deletions, Find3M Report, snapshot et Reg lloading points) - Comment lire le log Kapsersky? Ils indquent: Infected Object Name / Virus Name / Last Action, mais tout est locké! - et bien sûr, quelles sont les prochaines étapes? Merci, a+
- le 24 janvier 2008
- 26 réponses
[Résolu] Installation Firefox

BaK a répondu à un(e) sujet de BaK dans Analyses et éradication malwares

Salut Charles, Euh oui mais... Pour tga.sys et sglfb.sys, je suppose que je peux les récupérer et les mettre sur un autre PC connecté au net pour en faire l'analyse. Par contre, pour le scan en ligne Kaspersky... Je n'ai ni firewall, ni antivirus, ni rien sur ce PC en terme de sécurité, peux-tu stp me confirmer que je ne risque rien si je passe par un routeur pour me connecter? > Sinon, si j'essaie de suivre ton raisonnement, tu veux contrôler ce qui a attrait au mode sans échec (tga.sys et sglfb.sys). Je suppose que c'est pour contrôler qu'Elibagla a bien tout remis en ordre? > Que fais ce CFScript? > Et qu'est-ce que ce "Find3M Report"? Désolé d'insister, c'est déjà bien cool de m'aider! J'aimerais juste comprendre un peu ce qui est indiqué plutôt que d'y aller à l'aveugle! Encore merci, a+
- le 24 janvier 2008
- 26 réponses
[Résolu] Installation Firefox

BaK a répondu à un(e) sujet de BaK dans Analyses et éradication malwares

Yop, merci pour ce complément! Tout s'est déroulé comme tu l'as dit. Ci-dessous le rapport ComboFix: ComboFix 08-01-23.2 - Chris-ABIT 2008-01-24 20:58:05.4 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1033.18.799 [GMT 1:00] Running from: D:\Documents and Settings\Chris-ABIT\Desktop\ComboFix.exe * Created a new restore point [color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color] . ((((((((((((((((((((((((( Files Created from 2007-12-24 to 2008-01-24 ))))))))))))))))))))))))))))))) . 2008-01-24 20:57 . 2000-08-31 08:00 51,200 --a------ D:\WINDOWS\Nircmd.exe 2008-01-23 21:50 . 2008-01-23 21:50 0 --a------ D:\WINDOWS\nsreg.dat 2008-01-21 18:06 . 2008-01-21 18:06 <DIR> d-------- D:\Program Files\Trend Micro 2008-01-20 22:35 . 2006-06-05 01:07 625,078 --a------ D:\WINDOWS\system32\drivers\hldrrr.ex_ 2008-01-20 22:35 . 2008-01-20 22:35 90,806 --a------ D:\WINDOWS\system32\drivers\srosa.sy_ 2008-01-20 22:25 . 2007-01-18 13:00 3,968 --a------ D:\WINDOWS\system32\drivers\AvgArCln.sys 2008-01-20 22:04 . 2008-01-20 22:09 <DIR> d-------- D:\Program Files\MediaCoder 2008-01-20 20:37 . 2008-01-20 20:38 <DIR> d-------- D:\WINDOWS\nview 2008-01-20 20:37 . 2006-10-22 12:22 208,896 --a------ D:\WINDOWS\system32\nvudisp.exe 2008-01-20 20:37 . 2008-01-24 20:54 88,566 --a------ D:\WINDOWS\system32\nvapps.xml 2008-01-20 20:37 . 2006-10-22 12:22 17,056 --a------ D:\WINDOWS\system32\nvdisp.nvu 2008-01-20 20:36 . 2008-01-20 20:36 <DIR> d-------- D:\Program Files\Common Files\InstallShield 2008-01-20 20:36 . 2006-10-22 15:06 208,896 --a------ D:\WINDOWS\system32\NVUNINST.EXE 2008-01-15 22:36 . 2008-01-15 22:36 43,698 --a------ D:\WINDOWS\system32\xvid-uninstall.exe 2008-01-15 22:35 . 2008-01-15 22:35 <DIR> d-------- D:\Program Files\AviSynth 2.5 2008-01-15 22:34 . 2008-01-15 22:34 <DIR> d-------- D:\Program Files\Gabest 2008-01-15 22:33 . 2008-01-15 22:36 <DIR> d-------- D:\Program Files\AutoGK 2008-01-01 18:12 . 2008-01-01 18:12 <DIR> d-------- D:\Program Files\QuickTime Alternative 2008-01-01 18:12 . 2008-01-01 18:12 <DIR> d-------- D:\Program Files\Media Player Classic 2008-01-01 18:12 . 2003-03-19 05:14 499,712 --a------ D:\WINDOWS\system32\msvcp71.dll 2008-01-01 18:12 . 2004-01-12 00:00 348,160 --a------ D:\WINDOWS\system32\msvcr71.dll 2008-01-01 18:12 . 2007-04-27 09:42 65,536 --a------ D:\WINDOWS\system32\QuickTimeVR.qtx 2008-01-01 18:12 . 2007-04-27 09:42 49,152 --a------ D:\WINDOWS\system32\QuickTime.qts 2008-01-01 18:12 . 2008-01-15 22:38 664 --a------ D:\WINDOWS\system32\d3d9caps.dat 2008-01-01 18:10 . 2008-01-01 18:10 <DIR> d-------- D:\Program Files\3ivx 2008-01-01 17:51 . 2008-01-01 17:54 <DIR> d-------- D:\Program Files\Yamb 2008-01-01 17:40 . 2008-01-01 17:40 <DIR> d-------- D:\Program Files\VideoInspector 2008-01-01 17:22 . 2008-01-01 17:22 <DIR> d-------- D:\Program Files\Ultra Video Joiner 2007-12-31 19:08 . 2006-03-09 04:05 1,295,582 --a------ D:\WINDOWS\system32\cygwin1.dll 2007-12-31 19:08 . 2006-03-09 04:05 61,440 --a------ D:\WINDOWS\system32\cygz.dll 2007-12-31 17:12 . 2007-12-31 17:12 <DIR> d-------- D:\WINDOWS\system32\drivers\down 2007-12-31 15:58 . 2007-12-31 16:02 <DIR> d-------- D:\Program Files\DAEMON Tools Pro 2007-12-31 15:55 . 2007-12-31 15:55 685,816 --a------ D:\WINDOWS\system32\drivers\sptd.sys . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-01-15 21:45 --------- d-----w D:\Program Files\All Video Splitter . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "DAEMON Tools Pro Agent"="D:\Program Files\DAEMON Tools Pro\DTProAgent.exe" [ ] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SMSTray"="D:\Program Files\Samsung\Samsung Media Studio 5\SMSTray.exe" [ ] "MAAgent"="D:\Program Files\MarkAny\ContentSafer\MAAgent.exe" [2007-01-30 19:36 57344] "NvCplDaemon"="D:\WINDOWS\system32\NvCpl.dll" [2006-10-22 12:22 7700480] "nwiz"="nwiz.exe" [2006-10-22 12:22 1622016 D:\WINDOWS\system32\nwiz.exe] "NvMediaCenter"="D:\WINDOWS\system32\NvMcTray.dll" [2006-10-22 12:22 86016] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="D:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 08:56 15360] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{88485281-8b4b-4f8d-9ede-82e29a064277}"= D:\PROGRA~1\MarkAny\CONTEN~1\MACSMA~1.DLL [2004-11-23 15:51 192512] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys] @="Driver" R0 SI3112r;Silicon Image SiI 3112 SATARaid Controller;D:\WINDOWS\system32\DRIVERS\SI3112r.sys [2006-02-05 22:10] . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-01-24 20:58:37 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . Peux-tu stp m'indiquer ce qui est listé? P. ex.: qu'est-ce que ce "Find3M Report"? J'espère que le log est clean en tout cas...
- le 23 janvier 2008
- 26 réponses
[Résolu] Installation Firefox

BaK a répondu à un(e) sujet de BaK dans Analyses et éradication malwares

Oh oh, non, le PC n'a pas redémarré! J'ai vu se dérouler les étapes, une trentaine environ je dirais. Ensuite il s'est juste passé quelques chose au niveau de l'affichage du bureau, comme s'il avait été rafraichi. L'icone de combofix.exe a d'ailleurs été déplacée du centre du bureau vers le bord (les autres icones du bureau n'ont pas bougé). Et c'est tout... J'aime pas trop ça... Ok, je post le rapport de DSS dès ce soir! A+
- le 23 janvier 2008
- 26 réponses
[Résolu] Installation Firefox

BaK a répondu à un(e) sujet de BaK dans Analyses et éradication malwares

Re Pas de trace de ComboFix.txt dans D:\ (c'est mon 2e OS que l'on est en train de désinfecté). Rien non plus sur C:\ Tout ce que j'ai c'est un répertoire ComboFix à la racine de D:\, dans lequel j'ai trouvé ComboFix.txt posté dans mon précédent message. Dans le doute, j'ai relancé combofix.exe depuis le bureau de D:\, mais aucun rapport n'est apparu... Comment ça se fait?
- le 22 janvier 2008
- 26 réponses
[Résolu] Installation Firefox

BaK a répondu à un(e) sujet de BaK dans Analyses et éradication malwares

Exact! Hmm, j'ai dû suivre un lien de generationmp3 si je ne me trompe pas... Voilà le rapport de ComboFix (je n'ai pas eu à taper sur 1 pour lancer le scan) ComboFix 08-01-23.1 - Chris-ABIT 2008-01-22 21:29:12.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1033.18.806 [GMT 1:00] Running from: D:\Documents and Settings\Chris-ABIT\Desktop\ComboFix.exe * Created a new restore point [color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color] . J'ai ensuite relancé un ptit Elibagle -> nada! Et pour finir AVG Anti Rootkit, qui me trouve à nouveau un fichier du type D:\WINDOWS\System32\Drivers\auop8pp4.SYS, mais avec d'autres lettres que auop8pp4 ... Si ce n'est ce détail sans importance (j'espère), je dirai que mon PC est désinfecté!!! J'ai pu installer Firefox sans le moindre souci en tout cas! Charles> Peux-tu stp me confirmer que c'est bien le cas? Merci infiniment de m'avoir pris par la main!
- le 22 janvier 2008
- 26 réponses
[Résolu] Installation Firefox

BaK a répondu à un(e) sujet de BaK dans Analyses et éradication malwares

Hola Pear!
- le 21 janvier 2008
- 26 réponses
[Résolu] Installation Firefox

BaK a répondu à un(e) sujet de BaK dans Analyses et éradication malwares

Salut Chrisredfield32, salut charles ingals fidèle au poste, Merci pour votre aide! C'est malheureusement exact! :/ Ci-dessous les 2 rapports: EliBagle Mon Jan 21 17:56:53 2008 EliBagle v10.89 (c)2008 S.G.H. / Satinfo S.L. ---------------------------------------------- Lista de Acciones (por Acción Directa): D:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle (rootkit) D:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Renombrado a .VIR Restaurada Clave: "SafeBoot\Minimal y Network" Mon Jan 21 17:57:16 2008 EliBagle v10.89 (c)2008 S.G.H. / Satinfo S.L. ---------------------------------------------- Lista de Acciones (por Exploración): Explorando Unidad C:\ Nº Total de Directorios: 1177 Nº Total de Ficheros: 14270 Nº de Ficheros Analizados: 5331 Nº de Ficheros Infectados: 0 Nº de Ficheros Limpiados: 0 Mon Jan 21 17:58:20 2008 EliBagle v10.89 (c)2008 S.G.H. / Satinfo S.L. ---------------------------------------------- Lista de Acciones (por Acción Directa): Mon Jan 21 17:58:29 2008 EliBagle v10.89 (c)2008 S.G.H. / Satinfo S.L. ---------------------------------------------- Lista de Acciones (por Exploración): Explorando Unidad D:\ D:\Program Files\Samsung\Samsung Media Studio 5\SMSTRAY.EXE --> Eliminado Bagle.dldr Nº Total de Directorios: 1022 Nº Total de Ficheros: 12215 Nº de Ficheros Analizados: 5101 Nº de Ficheros Infectados: 2 Nº de Ficheros Limpiados: 2 J'y crois pas, Samsung Media Studio 5 c'est le logiciel fournit avec mon lecteur mp3! Qu'il est obligatoire d'utiliser pour le transfert de fichiers! A ce stade, j'ai relancé AVG anti rootkit. Il m'a encore trouvé 4 entrées! Seuls les 2e hldrrr.exe et srosa.sys (Hidden File) ont été supprimés et auop8pp4.SYS a été renommé en amf6jvav.SYS! Par contre, si je relance Elibagla, il ne trouve que le fichier qu'il a renommé: HLDRRR.EXE.VIT HijackThis Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:06:34, on 21.01.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\spoolsv.exe D:\WINDOWS\system32\nvsvc32.exe D:\WINDOWS\Explorer.EXE D:\Program Files\MarkAny\ContentSafer\MAAgent.exe D:\WINDOWS\system32\RUNDLL32.EXE D:\WINDOWS\system32\svchost.exe D:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.regsoft.net/purchase.php3?productid=67184 O4 - HKLM\..\Run: [SMSTray] D:\Program Files\Samsung\Samsung Media Studio 5\SMSTray.exe O4 - HKLM\..\Run: [MAAgent] D:\Program Files\MarkAny\ContentSafer\MAAgent.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\RunOnce: [ReEXEc] F:\Transfert\Elibagla 10.89\EliBaglA.exe O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "D:\Program Files\DAEMON Tools Pro\DTProAgent.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe -- End of file - 2117 bytes Voilà, j'ajouterai que ce PC n'est pas connecté à internet. Heureusement, on peut compter sur Samsung pour se faire infecter tout de même ... Quelques question au passage: - J'ai un dual boot sur ce PC (2 XP). Les malwares détectés sur cet OS sont-ils également dangereux sur l'autre? (Elibagla n'a rien trouvé sur l'autre OS) - Comme j'ai un LAN, est-il dangereux pour les autres PC de communiquer avec celui qui est infecté? Encore merci, j'attends les instructions pour la suite! Dire que maintenant, en plus des log à déchiffrer, faut aussi savoir l'espagnol!
- le 21 janvier 2008
- 26 réponses

Connexion

BaK

Compteur de contenus

Inscription

Dernière visite

Jours gagnés

Type de contenu

Profils

Forums

Blogs

Tout ce qui a été posté par BaK

[Résolu] Activation fenêtre

[Résolu] Activation fenêtre

[Résolu] Activation fenêtre

P4C 2.4

P4C 2.4

[Résolu] Messages d'alertes

[Résolu] Messages d'alertes

P4C 2.4

[Résolu] Messages d'alertes

[Résolu] Messages d'alertes

[Résolu] Messages d'alertes

[Résolu] Installation Firefox

[Résolu] Installation Firefox

[Résolu] Installation Firefox

[Résolu] Installation Firefox

[Résolu] Messages d'alertes

[Résolu] Messages d'alertes

[Résolu] Installation Firefox

[Résolu] Installation Firefox

[Résolu] Installation Firefox

[Résolu] Installation Firefox

[Résolu] Installation Firefox

[Résolu] Installation Firefox

[Résolu] Installation Firefox

[Résolu] Installation Firefox

Zebulon

Outils en ligne

Naviguer