shaman32

J'ai appris par kapersky que je suis infecte par le virus Virus.Win32.Virut.q qui a pour role d'infecter tout les exe tout mes fichiers exe sont donc infectés :P je voudrais savoir un truc le fait de prendre un de mes fichiers supposé infecté et le mettre sur un autre ordinateur infecte t'il celui-ci ou c'est juste sur mon pc qu'il est supposé infecté

personne pour m'aider ?

comme dis plus haut j'avais eu une premiere installation qui contenait le sp2 avec , les mise a jour vu que j'etais insfecté j'ai donc formaté pour avoir une nouvelle installation(celle que j'ai maintenant) mais suis tjrs infecté voici les logs RAPPORT SmitFraudFix SmitFraudFix v2.226 Rapport fait à 11:59:34,32, 21/09/2007 Executé à partir de C:\Documents and Settings\Administrateur\Bureau\outils\SmitfraudFix OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT Le type du système de fichiers est NTFS Fix executé en mode sans echec »»»»»»»»»»»»»»»»»»»»»»»» Process C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Gran Paradiso\firefox.exe C:\WINDOWS\System32\cmd.exe C:\WINDOWS\System32\wbem\wmiprvse.exe »»»»»»»»»»»»»»»»»»»»»»»» hosts »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\Favoris »»»»»»»»»»»»»»»»»»»»»»»» Bureau »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Ma page d'accueil" »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, les clés qui suivent ne sont pas forcément infectées!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs !!!Attention, les clés qui suivent ne sont pas forcément infectées!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, les clés qui suivent ne sont pas forcément infectées!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Rustock »»»»»»»»»»»»»»»»»»»»»»»» DNS HKLM\SYSTEM\CCS\Services\Tcpip\..\{63900BE6-3CF2-4C93-8877-359FFD9CAE23}: DhcpNameServer=213.136.96.2 213.136.93.37 213.136.96.37 192.168.1.1 HKLM\SYSTEM\CS1\Services\Tcpip\..\{63900BE6-3CF2-4C93-8877-359FFD9CAE23}: DhcpNameServer=213.136.96.2 213.136.93.37 213.136.96.37 192.168.1.1 HKLM\SYSTEM\CS2\Services\Tcpip\..\{63900BE6-3CF2-4C93-8877-359FFD9CAE23}: DhcpNameServer=213.136.96.2 213.136.93.37 213.136.96.37 192.168.1.1 HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=213.136.96.2 213.136.93.37 213.136.96.37 192.168.1.1 HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=213.136.96.2 213.136.93.37 213.136.96.37 192.168.1.1 HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=213.136.96.2 213.136.93.37 213.136.96.37 192.168.1.1 »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll »»»»»»»»»»»»»»»»»»»»»»»» Fin RAPPORT SmitFraudFix v2.226 Rapport fait à 11:59:34,32, 21/09/2007 Executé à partir de C:\Documents and Settings\Administrateur\Bureau\outils\SmitfraudFix OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT Le type du système de fichiers est NTFS Fix executé en mode sans echec »»»»»»»»»»»»»»»»»»»»»»»» Process C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Gran Paradiso\firefox.exe C:\WINDOWS\System32\cmd.exe C:\WINDOWS\System32\wbem\wmiprvse.exe »»»»»»»»»»»»»»»»»»»»»»»» hosts »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\Favoris »»»»»»»»»»»»»»»»»»»»»»»» Bureau »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Ma page d'accueil" »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, les clés qui suivent ne sont pas forcément infectées!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs !!!Attention, les clés qui suivent ne sont pas forcément infectées!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, les clés qui suivent ne sont pas forcément infectées!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Rustock »»»»»»»»»»»»»»»»»»»»»»»» DNS HKLM\SYSTEM\CCS\Services\Tcpip\..\{63900BE6-3CF2-4C93-8877-359FFD9CAE23}: DhcpNameServer=213.136.96.2 213.136.93.37 213.136.96.37 192.168.1.1 HKLM\SYSTEM\CS1\Services\Tcpip\..\{63900BE6-3CF2-4C93-8877-359FFD9CAE23}: DhcpNameServer=213.136.96.2 213.136.93.37 213.136.96.37 192.168.1.1 HKLM\SYSTEM\CS2\Services\Tcpip\..\{63900BE6-3CF2-4C93-8877-359FFD9CAE23}: DhcpNameServer=213.136.96.2 213.136.93.37 213.136.96.37 192.168.1.1 HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=213.136.96.2 213.136.93.37 213.136.96.37 192.168.1.1 HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=213.136.96.2 213.136.93.37 213.136.96.37 192.168.1.1 HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=213.136.96.2 213.136.93.37 213.136.96.37 192.168.1.1 »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll »»»»»»»»»»»»»»»»»»»»»»»» Fin RAPPORT SmitFraudFix v2.226 Rapport fait à 11:59:34,32, 21/09/2007 Executé à partir de C:\Documents and Settings\Administrateur\Bureau\outils\SmitfraudFix OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT Le type du système de fichiers est NTFS Fix executé en mode sans echec »»»»»»»»»»»»»»»»»»»»»»»» Process C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Gran Paradiso\firefox.exe C:\WINDOWS\System32\cmd.exe C:\WINDOWS\System32\wbem\wmiprvse.exe »»»»»»»»»»»»»»»»»»»»»»»» hosts »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\Favoris »»»»»»»»»»»»»»»»»»»»»»»» Bureau »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Ma page d'accueil" »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, les clés qui suivent ne sont pas forcément infectées!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs !!!Attention, les clés qui suivent ne sont pas forcément infectées!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, les clés qui suivent ne sont pas forcément infectées!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Rustock »»»»»»»»»»»»»»»»»»»»»»»» DNS HKLM\SYSTEM\CCS\Services\Tcpip\..\{63900BE6-3CF2-4C93-8877-359FFD9CAE23}: DhcpNameServer=213.136.96.2 213.136.93.37 213.136.96.37 192.168.1.1 HKLM\SYSTEM\CS1\Services\Tcpip\..\{63900BE6-3CF2-4C93-8877-359FFD9CAE23}: DhcpNameServer=213.136.96.2 213.136.93.37 213.136.96.37 192.168.1.1 HKLM\SYSTEM\CS2\Services\Tcpip\..\{63900BE6-3CF2-4C93-8877-359FFD9CAE23}: DhcpNameServer=213.136.96.2 213.136.93.37 213.136.96.37 192.168.1.1 HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=213.136.96.2 213.136.93.37 213.136.96.37 192.168.1.1 HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=213.136.96.2 213.136.93.37 213.136.96.37 192.168.1.1 HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=213.136.96.2 213.136.93.37 213.136.96.37 192.168.1.1 »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll »»»»»»»»»»»»»»»»»»»»»»»» Fin SmitFraudFix v2.226 Rapport fait à 11:59:34,32, 21/09/2007 Executé à partir de C:\Documents and Settings\Administrateur\Bureau\outils\SmitfraudFix OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT Le type du système de fichiers est NTFS Fix executé en mode sans echec »»»»»»»»»»»»»»»»»»»»»»»» Process C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Gran Paradiso\firefox.exe C:\WINDOWS\System32\cmd.exe C:\WINDOWS\System32\wbem\wmiprvse.exe »»»»»»»»»»»»»»»»»»»»»»»» hosts »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\Favoris »»»»»»»»»»»»»»»»»»»»»»»» Bureau »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Ma page d'accueil" »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, les clés qui suivent ne sont pas forcément infectées!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs !!!Attention, les clés qui suivent ne sont pas forcément infectées!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, les clés qui suivent ne sont pas forcément infectées!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Rustock »»»»»»»»»»»»»»»»»»»»»»»» DNS HKLM\SYSTEM\CCS\Services\Tcpip\..\{63900BE6-3CF2-4C93-8877-359FFD9CAE23}: DhcpNameServer=213.136.96.2 213.136.93.37 213.136.96.37 192.168.1.1 HKLM\SYSTEM\CS1\Services\Tcpip\..\{63900BE6-3CF2-4C93-8877-359FFD9CAE23}: DhcpNameServer=213.136.96.2 213.136.93.37 213.136.96.37 192.168.1.1 HKLM\SYSTEM\CS2\Services\Tcpip\..\{63900BE6-3CF2-4C93-8877-359FFD9CAE23}: DhcpNameServer=213.136.96.2 213.136.93.37 213.136.96.37 192.168.1.1 HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=213.136.96.2 213.136.93.37 213.136.96.37 192.168.1.1 HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=213.136.96.2 213.136.93.37 213.136.96.37 192.168.1.1 HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=213.136.96.2 213.136.93.37 213.136.96.37 192.168.1.1 »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll »»»»»»»»»»»»»»»»»»»»»»»» Fin SmitFraudFix v2.226 Rapport fait à 11:59:34,32, 21/09/2007 Executé à partir de C:\Documents and Settings\Administrateur\Bureau\outils\SmitfraudFix OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT Le type du système de fichiers est NTFS Fix executé en mode sans echec »»»»»»»»»»»»»»»»»»»»»»»» Process C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Gran Paradiso\firefox.exe C:\WINDOWS\System32\cmd.exe C:\WINDOWS\System32\wbem\wmiprvse.exe »»»»»»»»»»»»»»»»»»»»»»»» hosts »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\Favoris »»»»»»»»»»»»»»»»»»»»»»»» Bureau »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Ma page d'accueil" »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, les clés qui suivent ne sont pas forcément infectées!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs !!!Attention, les clés qui suivent ne sont pas forcément infectées!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, les clés qui suivent ne sont pas forcément infectées!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Rustock »»»»»»»»»»»»»»»»»»»»»»»» DNS HKLM\SYSTEM\CCS\Services\Tcpip\..\{63900BE6-3CF2-4C93-8877-359FFD9CAE23}: DhcpNameServer=213.136.96.2 213.136.93.37 213.136.96.37 192.168.1.1 HKLM\SYSTEM\CS1\Services\Tcpip\..\{63900BE6-3CF2-4C93-8877-359FFD9CAE23}: DhcpNameServer=213.136.96.2 213.136.93.37 213.136.96.37 192.168.1.1 HKLM\SYSTEM\CS2\Services\Tcpip\..\{63900BE6-3CF2-4C93-8877-359FFD9CAE23}: DhcpNameServer=213.136.96.2 213.136.93.37 213.136.96.37 192.168.1.1 HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=213.136.96.2 213.136.93.37 213.136.96.37 192.168.1.1 HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=213.136.96.2 213.136.93.37 213.136.96.37 192.168.1.1 HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=213.136.96.2 213.136.93.37 213.136.96.37 192.168.1.1 »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll »»»»»»»»»»»»»»»»»»»»»»»» Fin SmitFraudFix v2.226 Rapport fait à 11:59:34,32, 21/09/2007 Executé à partir de C:\Documents and Settings\Administrateur\Bureau\outils\SmitfraudFix OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT Le type du système de fichiers est NTFS Fix executé en mode sans echec »»»»»»»»»»»»»»»»»»»»»»»» Process C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Gran Paradiso\firefox.exe C:\WINDOWS\System32\cmd.exe C:\WINDOWS\System32\wbem\wmiprvse.exe »»»»»»»»»»»»»»»»»»»»»»»» hosts »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\Favoris »»»»»»»»»»»»»»»»»»»»»»»» Bureau »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Ma page d'accueil" »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, les clés qui suivent ne sont pas forcément infectées!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs !!!Attention, les clés qui suivent ne sont pas forcément infectées!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, les clés qui suivent ne sont pas forcément infectées!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Rustock »»»»»»»»»»»»»»»»»»»»»»»» DNS HKLM\SYSTEM\CCS\Services\Tcpip\..\{63900BE6-3CF2-4C93-8877-359FFD9CAE23}: DhcpNameServer=213.136.96.2 213.136.93.37 213.136.96.37 192.168.1.1 HKLM\SYSTEM\CS1\Services\Tcpip\..\{63900BE6-3CF2-4C93-8877-359FFD9CAE23}: DhcpNameServer=213.136.96.2 213.136.93.37 213.136.96.37 192.168.1.1 HKLM\SYSTEM\CS2\Services\Tcpip\..\{63900BE6-3CF2-4C93-8877-359FFD9CAE23}: DhcpNameServer=213.136.96.2 213.136.93.37 213.136.96.37 192.168.1.1 HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=213.136.96.2 213.136.93.37 213.136.96.37 192.168.1.1 HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=213.136.96.2 213.136.93.37 213.136.96.37 192.168.1.1 HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=213.136.96.2 213.136.93.37 213.136.96.37 192.168.1.1 »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll »»»»»»»»»»»»»»»»»»»»»»»» Fin RAPPORT AVG --------------------------------------------------------- AVG Anti-Spyware - Rapport d'analyse --------------------------------------------------------- + Créé à: 17:23:10 21/09/2007 + Résultat de l'analyse: E:\soft\ok to grave\soft\Windows\pcaudit_test firewall.exe -> Adware.PCinetpatrol : Nettoyé et sauvegardé (mise en quarantaine). G:\RapidShare Pack - May 2007 -14in1- (AIO)\RapidShare Searcher.rar/RapidShare Searcher.exe -> Backdoor.Rbot.auj : Nettoyé et sauvegardé (mise en quarantaine). E:\Projets\unananted\Make_Your_Copy_of_Windows_100%25_Genuine_in_1_Seconds\Port_RockXP_v4.exe/RockXP4.exe -> Not-A-Virus.PSWTool.Win32.RAS.a : Nettoyé et sauvegardé (mise en quarantaine). Fin du rapport RAPPORT HIJACKTHIS Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:25:02, on 21/09/2007 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Boot mode: Safe mode Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Gran Paradiso\firefox.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\System32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: IDMIEHlprObj Class - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU\..\Run: [superCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe O4 - HKCU\..\Run: [uTorrent] "C:\Program Files\utorrent\utorrent.exe" O8 - Extra context menu item: Download All Links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm O8 - Extra context menu item: Download FLV video content with IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm O14 - IERESET.INF: START_PAGE_URL=http://www.google.com O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: RPPINCSAJS - Sysinternals - www.sysinternals.com - C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\RPPINCSAJS.exe O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\System32\wdfmgr.exe (file missing) -- End of file - 2283 bytes RAPPORT OT MOVEIT Pour ce qui est de coller File/Folder C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\YYNSOL.exe not found. File/Folder C:\WINDOWS\TEMP\VRR2.tmp not found il s'est affiché impossible de creer log car le dossier n'existe pas Created on 09/21/2007 17:26:57 File/Folder C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\YYNSOL.exe not found. File/Folder C:\WINDOWS\TEMP\VRR2.tmp not found. Created on 09/21/2007 17:26:57 j'attends la suite

Bonjour , je voudrais avant tout remercier les concepteurs de ce site et aussi ceux qui y participent j'ai fais la rencontre d'un rootkit ,qui a pris le controle total de ma machine , voici ce que j'ai remarqué: - winlogon est constemment connecter a cette ip :81.95.146.251 - et j'ai remarque ( je pense que c'est winlogon qui les telecharge) la presence des fichiers vrr5.tmp,vrr10.tmp et autre dans windows\temp -j'ai installer netlimiet pour verifier ma bande passante, et le rookit a desintegre le service de netlimiter , donc marche pas -et lorsque j'essai d'ouvrir un programme celui -ci me dit que sa table (signature , un truc de ce genre )ou son contenu a été modifiée et que je suis peut etre infecté, il peut devenir donc lui meme un virus , -j'ai 4 partitions , la partion principale avait été infectée par ce meme rookit une 1ere fois , j'ai donc formater , et reinstaller windows , mais dès que j'ai ouvert la session pour la premiere fois sur le nouveau windows installé j'ai remarqué les memes symptomes (je conclus que le virus est sur 1 autre partition peut etre ) -et quand j'essaie d'ouvrir une application legitime qui doit installer un servcie ou un driver pour marcher , il bloque l'acces , par exemple ,lorsque j'ouvre rootkit revealer , ce message apparait "unable to installe rootkit revealer service :une operation d'entrée/sortie avec chevauchement est en cours d'execution -voici mon log hijacthis : Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 08:20:49, on 21/09/2007 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe C:\WINDOWS\System32\alg.exe C:\Program Files\NetLimiter 2 Pro\nlsvc.exe C:\Program Files\SuperCopier2\SuperCopier2.exe C:\Program Files\utorrent\utorrent.exe C:\Program Files\NetLimiter 2 Pro\NLClient.exe C:\Program Files\Gran Paradiso\firefox.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Program Files\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\System32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: IDMIEHlprObj Class - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [E-Gold] C:\WINDOWS\TEMP\VRR2.tmp O4 - HKCU\..\Run: [superCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe O4 - HKCU\..\Run: [µTorrent] "C:\Program Files\utorrent\utorrent.exe" O4 - HKCU\..\Run: [uTorrent] "C:\Program Files\utorrent\utorrent.exe" O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user') O8 - Extra context menu item: Download All Links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm O8 - Extra context menu item: Download FLV video content with IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm O14 - IERESET.INF: START_PAGE_URL=http://www.google.com O23 - Service: NetLimiter (nlsvc) - Locktime Software - C:\Program Files\NetLimiter 2 Pro\nlsvc.exe O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\System32\wdfmgr.exe (file missing) O23 - Service: YYNSOL - Sysinternals - www.sysinternals.com - C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\YYNSOL.exe -- End of file - 3343 bytes ------------------------------------- MOn LOG COMBOFIX ComboFix 07-09-19.8 - "Administrateur" 2007-09-21 7:18:33.1 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.103 [GMT 1:00] * Created a new restore point . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\install\install.exe . ((((((((((((((((((((((((((((( Fichiers créés 2007-08-21 to 2007-09-21 )))))))))))))))))))))))))))))))))))) . 2007-09-21 07:19 <REP> d-------- C:\Program Files\Trend Micro 2007-09-21 07:17 128,000 --a------ C:\WINDOWS\NirCmd.exe 2007-09-21 07:17 <REP> d-------- C:\Program Files\Yahoo! 2007-09-21 07:17 <REP> d-------- C:\Program Files\CCleaner 2007-09-21 07:09 <REP> d-------- C:\WINDOWS\LastGood 2007-09-21 07:09 <REP> d-------- C:\Program Files\WordBiz 2007-09-21 07:07 <REP> d-------- C:\Program Files\utorrent 2007-09-21 07:07 <REP> d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\utorrent 2007-09-21 07:05 <REP> d-------- C:\Program Files\Internet Download Manager 2007-09-21 07:05 <REP> d-------- C:\Program Files\Gran Paradiso 2007-09-21 07:05 <REP> d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\IDM 2007-09-21 07:05 <REP> d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\DMCache 2007-09-21 07:04 <REP> d--hs---- C:\WINDOWS\Installer 2007-09-21 07:04 <REP> d-------- C:\Program Files\VideoLAN 2007-09-21 07:04 <REP> d-------- C:\Program Files\SuperCopier2 2007-09-21 07:04 <REP> d-------- C:\Program Files\IrfanView 2007-09-21 07:04 <REP> d-------- C:\Program Files\Fichiers communs\InstallShield 2007-09-21 07:03 <REP> d-------- C:\Program Files\Total Video Converter 2007-09-21 07:03 <REP> d-------- C:\Program Files\The KMPlayer 2007-09-21 07:03 <REP> d-------- C:\Program Files\K-Lite Codec Pack 2007-09-21 07:03 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Real 2007-09-21 07:03 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Apple Computer 2007-09-21 07:03 <REP> d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\Real 2007-09-21 07:02 <REP> d-------- C:\Program Files\NetLimiter 2 Pro 2007-09-21 07:02 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Locktime 2007-09-21 03:31 <REP> d-------- C:\network 2007-09-21 03:31 <REP> d-------- C:\install 2007-09-21 03:30 <REP> d-------- C:\MaxSplit Pro . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2007-09-21 02:43 --------- d-------- C:\Program Files\microsoft frontpage 2007-09-21 02:41 --------- d-------- C:\Program Files\Services en ligne 2007-09-21 02:40 --------- d-------- C:\Program Files\Fichiers communs\MSSoap 2007-09-21 02:35 --------- d-------- C:\Program Files\SiSLan 2007-09-21 02:33 --------- d-------- C:\Program Files\Fichiers communs\SpeechEngines 2007-09-21 02:33 --------- d-------- C:\Program Files\Fichiers communs\ODBC 2007-07-23 09:39 202160 --a------ C:\WINDOWS\system32\idmmbc.dll . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SoundMan"="SOUNDMAN.EXE" [2007-05-12 22:17 C:\WINDOWS\SOUNDMAN.EXE] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe" [2005-11-10 13:03] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SuperCopier2.exe"="C:\Program Files\SuperCopier2\SuperCopier2.exe" [2006-07-07 17:45] "µTorrent"="C:\Program Files\utorrent\utorrent.exe" [2007-09-21 07:08] "uTorrent"="C:\Program Files\utorrent\utorrent.exe" [2007-09-21 07:08] [HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce] "nltide_3"=rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "NoDesktopCleanupWizard"=1 (0x1) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "ForceClassicControlPanel"=1 (0x1) [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "ForceClassicControlPanel"=1 (0x1) S1 nltdi;nltdi;\??\C:\WINDOWS\System32\drivers\nltdi.sys S3 FZOMRAKRT;FZOMRAKRT;C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\FZOMRAKRT.exe *Newly Created Service* - BROWSER *Newly Created Service* - CATCHME *Newly Created Service* - FZOMRAKRT *Newly Created Service* - HELPSVC *Newly Created Service* - IMAPISERVICE *Newly Created Service* - LANMANSERVER *Newly Created Service* - MCHINJDRV *Newly Created Service* - MESSENGER *Newly Created Service* - MSISERVER *Newly Created Service* - NDISUIO *Newly Created Service* - POLICYAGENT *Newly Created Service* - PROCEXP100 *Newly Created Service* - RASACD *Newly Created Service* - RASMAN *Newly Created Service* - RDPCDD *Newly Created Service* - RDPNP *Newly Created Service* - SCHEDULE *Newly Created Service* - SENS *Newly Created Service* - SHELLHWDETECTION *Newly Created Service* - SR *Newly Created Service* - SRSERVICE *Newly Created Service* - SRV *Newly Created Service* - SSDPSRV *Newly Created Service* - TERMSERVICE *Newly Created Service* - THEMES *Newly Created Service* - UPLOADMGR *Newly Created Service* - WUAUSERV *Newly Created Service* - WZCSVC . ************************************************************************** catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-09-21 07:20:25 Windows 5.1.2600 Service Pack 1 NTFS detected NTDLL code modification: ZwOpenFile scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2007-09-21 7:21:52 C:\ComboFix-quarantined-files.txt ... 2007-09-21 07:21 . --- E O F --- d'ans l'attente d'une possible aide merci