Aller au contenu

jeanphy

Membres
 Afficher le profil  Afficher son activité

  • Compteur de contenus

    68

  • Inscription

  • Dernière visite

jeanphy's Achievements

Member

Member (4/12)

0

Réputation sur la communauté

  1. jeanphy
    ok alors explicite moi ce que veux dire compresser fort? je fais clic droit ajouter à l'archive et aprés,
  2. jeanphy
    je dois partir! je te fais la total demain matin! dis moi juste comment nettoyer aprés comme ca j'enchainerai!! Merci encore pour ton boulot énorme!
  3. jeanphy
    oui!
  4. jeanphy
    pardon pardon.... je le ferais plus! je me suis dit que ca ferait rien de mal! Du coup j'ai pas fait d'action. En effet j'ai compris que c'était ce qui était dans la restauration système! la machine est super normal!
  5. jeanphy
    fix reg fait! entre temps j'ai lancé un scan avira et 22 résultat positif: Avira AntiVir Personal Date de création du fichier de rapport : jeudi 6 août 2009 17:48 La recherche porte sur 1614368 souches de virus. Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus Numéro de série : 0000149996-ADJIE-0000001 Plateforme : Windows XP Version de Windows : (Service Pack 3) [5.1.2600] Mode Boot : Démarré normalement Identifiant : NICOLAS BECQUET Nom de l'ordinateur : NICOLAS Informations de version : BUILD.DAT : 9.0.0.66 17958 Bytes 17/06/2009 14:44:00 AVSCAN.EXE : 9.0.3.6 466689 Bytes 21/04/2009 12:20:54 AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02 LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11 LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 11:30:36 ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24/06/2009 15:14:58 ANTIVIR2.VDF : 7.1.5.60 2235904 Bytes 03/08/2009 15:14:58 ANTIVIR3.VDF : 7.1.5.80 370176 Bytes 06/08/2009 15:13:56 Version du moteur : 8.2.0.240 AEVDF.DLL : 8.1.1.1 106868 Bytes 05/08/2009 15:14:58 AESCRIPT.DLL : 8.1.2.22 450938 Bytes 05/08/2009 15:14:58 AESCN.DLL : 8.1.2.4 127348 Bytes 05/08/2009 15:14:58 AERDL.DLL : 8.1.2.4 430452 Bytes 05/08/2009 15:14:58 AEPACK.DLL : 8.1.3.18 401783 Bytes 05/08/2009 15:14:58 AEOFFICE.DLL : 8.1.0.38 196987 Bytes 05/08/2009 15:14:58 AEHEUR.DLL : 8.1.0.147 1884536 Bytes 05/08/2009 15:14:58 AEHELP.DLL : 8.1.5.3 233846 Bytes 05/08/2009 15:14:58 AEGEN.DLL : 8.1.1.54 356723 Bytes 05/08/2009 15:14:58 AEEMU.DLL : 8.1.0.9 393588 Bytes 09/10/2008 13:32:40 AECORE.DLL : 8.1.7.6 184694 Bytes 05/08/2009 15:14:58 AEBB.DLL : 8.1.0.3 53618 Bytes 09/10/2008 13:32:40 AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30 AVPREF.DLL : 9.0.0.1 43777 Bytes 03/12/2008 10:39:26 AVREP.DLL : 8.0.0.3 155905 Bytes 20/01/2009 13:34:28 AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42 AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22 AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37 SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49 SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57 NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59 RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 05/08/2009 15:14:57 RCTEXT.DLL : 9.0.37.0 88321 Bytes 15/04/2009 09:07:05 Configuration pour la recherche actuelle : Nom de la tâche...............................: Sélection manuelle Fichier de configuration......................: C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\PROFILES\folder.avp Documentation.................................: bas Action principale.............................: interactif Action secondaire.............................: ignorer Recherche sur les secteurs d'amorçage maître..: marche Recherche sur les secteurs d'amorçage.........: marche Secteurs d'amorçage...........................: C:, Recherche dans les programmes actifs..........: marche Recherche en cours sur l'enregistrement.......: marche Recherche de Rootkits.........................: arrêt Contrôle d'intégrité de fichiers système......: arrêt Fichier mode de recherche.....................: Sélection de fichiers intelligente Recherche sur les archives....................: marche Limiter la profondeur de récursivité..........: 20 Archive Smart Extensions......................: marche Heuristique de macrovirus.....................: marche Heuristique fichier...........................: moyen Début de la recherche : jeudi 6 août 2009 17:48 La recherche sur les processus démarrés commence : Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés Processus de recherche 'wmiprvse.exe' - '1' module(s) sont contrôlés Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés Processus de recherche 'reader_sl.exe' - '1' module(s) sont contrôlés Processus de recherche 'NMBgMonitor.exe' - '1' module(s) sont contrôlés Processus de recherche 'msmsgs.exe' - '1' module(s) sont contrôlés Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés Processus de recherche 'NvMixerTray.exe' - '1' module(s) sont contrôlés Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés Processus de recherche 'nvsvc32.exe' - '1' module(s) sont contrôlés Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés Processus de recherche 'services.exe' - '1' module(s) sont contrôlés Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés '30' processus ont été contrôlés avec '30' modules La recherche sur les secteurs d'amorçage maître commence : Secteur d'amorçage maître HD0 [iNFO] Aucun virus trouvé ! La recherche sur les secteurs d'amorçage commence : Secteur d'amorçage 'C:\' [iNFO] Aucun virus trouvé ! La recherche sur les renvois aux fichiers exécutables (registre) commence : Le registre a été contrôlé ( '55' fichiers). La recherche sur les fichiers sélectionnés commence : Recherche débutant dans 'C:\' C:\pagefile.sys [AVERTISSEMENT] Impossible d'ouvrir le fichier ! [REMARQUE] Ce fichier est un fichier système Windows. [REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche. C:\Qoobox\Quarantine\[4]-Submit_2009-08-06_16.43.19.zip [0] Type d'archive: ZIP --> A0010497.exe [RESULTAT] Contient le cheval de Troie TR/Drop.Agent.ayzp --> A0010499.exe [RESULTAT] Contient le cheval de Troie TR/Drop.Agent.ayzp --> A0010603.exe [RESULTAT] Contient le cheval de Troie TR/Drop.Agent.ayzp --> A0010673.exe [RESULTAT] Contient le cheval de Troie TR/Drop.Agent.ayzp --> A0010674.exe [RESULTAT] Contient le cheval de Troie TR/Drop.Agent.ayzp C:\Qoobox\Quarantine\C\Documents and Settings\All Users\Application Data\osyxaver.exe.vir [RESULTAT] Contient le cheval de Troie TR/Trash.Gen C:\Qoobox\Quarantine\C\Documents and Settings\All Users\Application Data\Microsoft\Shortcuts\icwsetup.exe.vir [RESULTAT] Contient le cheval de Troie TR/Trash.Gen C:\Qoobox\Quarantine\C\Documents and Settings\NICOLAS BECQUET.CPS-BE\hp32_nword.exe.vir [RESULTAT] Contient le cheval de Troie TR/Drop.Agent.ayzp C:\Qoobox\Quarantine\C\Program Files\Internet Explorer\Connection Wizard\icwsetup.exe.vir [RESULTAT] Contient le cheval de Troie TR/Trash.Gen C:\Qoobox\Quarantine\C\Qoobox\Quarantine\[4]-Submit_2009-08-05_15.47.13.zip.vir [0] Type d'archive: ZIP --> hp32_nword.exe [RESULTAT] Contient le cheval de Troie TR/Drop.Agent.ayzp --> hp32_nword.exe.1 [RESULTAT] Contient le cheval de Troie TR/Drop.Agent.ayzp C:\Qoobox\Quarantine\C\System Volume Information\_restore{A7913E16-20FB-49C4-883F-6F1004AE143F}\RP80\A0010497.exe.vir [RESULTAT] Contient le cheval de Troie TR/Trash.Gen C:\Qoobox\Quarantine\C\System Volume Information\_restore{A7913E16-20FB-49C4-883F-6F1004AE143F}\RP80\A0010499.exe.vir [RESULTAT] Contient le cheval de Troie TR/Trash.Gen C:\Qoobox\Quarantine\C\System Volume Information\_restore{A7913E16-20FB-49C4-883F-6F1004AE143F}\RP81\A0010603.exe.vir [RESULTAT] Contient le cheval de Troie TR/Trash.Gen C:\Qoobox\Quarantine\C\System Volume Information\_restore{A7913E16-20FB-49C4-883F-6F1004AE143F}\RP81\A0010673.exe.vir [RESULTAT] Contient le cheval de Troie TR/Trash.Gen C:\Qoobox\Quarantine\C\System Volume Information\_restore{A7913E16-20FB-49C4-883F-6F1004AE143F}\RP81\A0010674.exe.vir [RESULTAT] Contient le cheval de Troie TR/Trash.Gen C:\Qoobox\Quarantine\C\WINDOWS\system32\hp32_nword.exe.vir [RESULTAT] Contient le cheval de Troie TR/Drop.Agent.ayzp C:\System Volume Information\_restore{A7913E16-20FB-49C4-883F-6F1004AE143F}\RP80\A0010444.dll [RESULTAT] Contient le cheval de Troie TR/FakeRean.A.52 C:\System Volume Information\_restore{A7913E16-20FB-49C4-883F-6F1004AE143F}\RP85\A0013186.exe [RESULTAT] Contient le cheval de Troie TR/Trash.Gen C:\System Volume Information\_restore{A7913E16-20FB-49C4-883F-6F1004AE143F}\RP85\A0013338.exe [RESULTAT] Contient le modèle de détection du programme backdoor (dangereux) BDS/Zdoogu.FB C:\System Volume Information\_restore{A7913E16-20FB-49C4-883F-6F1004AE143F}\RP85\A0013351.exe [0] Type d'archive: RSRC --> Object [RESULTAT] Contient le cheval de Troie TR/Spy.Delf.fmy C:\System Volume Information\_restore{A7913E16-20FB-49C4-883F-6F1004AE143F}\RP85\A0013356.nfo [RESULTAT] Contient le cheval de Troie TR/Trash.Gen C:\WINDOWS\system32\drivers\sptd.sys [AVERTISSEMENT] Impossible d'ouvrir le fichier ! Début de la désinfection : C:\Qoobox\Quarantine\[4]-Submit_2009-08-06_16.43.19.zip [AVERTISSEMENT] Fichier ignoré. C:\Qoobox\Quarantine\C\Documents and Settings\All Users\Application Data\osyxaver.exe.vir [RESULTAT] Contient le cheval de Troie TR/Trash.Gen [AVERTISSEMENT] Fichier ignoré. C:\Qoobox\Quarantine\C\Documents and Settings\All Users\Application Data\Microsoft\Shortcuts\icwsetup.exe.vir [RESULTAT] Contient le cheval de Troie TR/Trash.Gen [AVERTISSEMENT] Fichier ignoré. C:\Qoobox\Quarantine\C\Documents and Settings\NICOLAS BECQUET.CPS-BE\hp32_nword.exe.vir [RESULTAT] Contient le cheval de Troie TR/Drop.Agent.ayzp [AVERTISSEMENT] Fichier ignoré. C:\Qoobox\Quarantine\C\Program Files\Internet Explorer\Connection Wizard\icwsetup.exe.vir [RESULTAT] Contient le cheval de Troie TR/Trash.Gen [AVERTISSEMENT] Fichier ignoré. C:\Qoobox\Quarantine\C\Qoobox\Quarantine\[4]-Submit_2009-08-05_15.47.13.zip.vir [AVERTISSEMENT] Fichier ignoré. C:\Qoobox\Quarantine\C\System Volume Information\_restore{A7913E16-20FB-49C4-883F-6F1004AE143F}\RP80\A0010497.exe.vir [RESULTAT] Contient le cheval de Troie TR/Trash.Gen [AVERTISSEMENT] Fichier ignoré. C:\Qoobox\Quarantine\C\System Volume Information\_restore{A7913E16-20FB-49C4-883F-6F1004AE143F}\RP80\A0010499.exe.vir [RESULTAT] Contient le cheval de Troie TR/Trash.Gen [AVERTISSEMENT] Fichier ignoré. C:\Qoobox\Quarantine\C\System Volume Information\_restore{A7913E16-20FB-49C4-883F-6F1004AE143F}\RP81\A0010603.exe.vir [RESULTAT] Contient le cheval de Troie TR/Trash.Gen [AVERTISSEMENT] Fichier ignoré. C:\Qoobox\Quarantine\C\System Volume Information\_restore{A7913E16-20FB-49C4-883F-6F1004AE143F}\RP81\A0010673.exe.vir [RESULTAT] Contient le cheval de Troie TR/Trash.Gen [AVERTISSEMENT] Fichier ignoré. C:\Qoobox\Quarantine\C\System Volume Information\_restore{A7913E16-20FB-49C4-883F-6F1004AE143F}\RP81\A0010674.exe.vir [RESULTAT] Contient le cheval de Troie TR/Trash.Gen [AVERTISSEMENT] Fichier ignoré. C:\Qoobox\Quarantine\C\WINDOWS\system32\hp32_nword.exe.vir [RESULTAT] Contient le cheval de Troie TR/Drop.Agent.ayzp [AVERTISSEMENT] Fichier ignoré. C:\System Volume Information\_restore{A7913E16-20FB-49C4-883F-6F1004AE143F}\RP80\A0010444.dll [RESULTAT] Contient le cheval de Troie TR/FakeRean.A.52 [AVERTISSEMENT] Fichier ignoré. C:\System Volume Information\_restore{A7913E16-20FB-49C4-883F-6F1004AE143F}\RP85\A0013186.exe [RESULTAT] Contient le cheval de Troie TR/Trash.Gen [AVERTISSEMENT] Fichier ignoré. C:\System Volume Information\_restore{A7913E16-20FB-49C4-883F-6F1004AE143F}\RP85\A0013338.exe [RESULTAT] Contient le modèle de détection du programme backdoor (dangereux) BDS/Zdoogu.FB [AVERTISSEMENT] Fichier ignoré. C:\System Volume Information\_restore{A7913E16-20FB-49C4-883F-6F1004AE143F}\RP85\A0013351.exe [AVERTISSEMENT] Fichier ignoré. C:\System Volume Information\_restore{A7913E16-20FB-49C4-883F-6F1004AE143F}\RP85\A0013356.nfo [RESULTAT] Contient le cheval de Troie TR/Trash.Gen [AVERTISSEMENT] Fichier ignoré. Fin de la recherche : jeudi 6 août 2009 17:59 Temps nécessaire: 11:04 Minute(s) La recherche a été effectuée intégralement 2925 Les répertoires ont été contrôlés 155767 Des fichiers ont été contrôlés 22 Des virus ou programmes indésirables ont été trouvés 0 Des fichiers ont été classés comme suspects 0 Des fichiers ont été supprimés 0 Des virus ou programmes indésirables ont été réparés 0 Les fichiers ont été déplacés dans la quarantaine 0 Les fichiers ont été renommés 2 Impossible de contrôler des fichiers 155743 Fichiers non infectés 1277 Les archives ont été contrôlées 19 Avertissements 1 Consignes
  6. jeanphy
    aprés avoir shooter les 2 trojan avec mbam, au redemarrage plus de message avira... :P le rapport rsit: Logfile of random's system information tool 1.06 (written by random/random) Run by NICOLAS BECQUET at 2009-08-06 17:47:06 Microsoft Windows XP Professionnel Service Pack 3 System drive C: has 29 GB (76%) free of 39 GB Total RAM: 2047 MB (79% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:47:14, on 06/08/2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16791) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Avira\AntiVir Desktop\sched.exe C:\Program Files\Avira\AntiVir Desktop\avguard.exe C:\Program Files\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\Explorer.EXE C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Program Files\Java\jre6\bin\jusched.exe C:\Program Files\Avira\AntiVir Desktop\avgnt.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\wscntfy.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Documents and Settings\NICOLAS BECQUET.CPS-BE\Bureau\RSIT.exe C:\Documents and Settings\NICOLAS BECQUET.CPS-BE\Bureau\NICOLAS BECQUET.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [RegistryMonitor1] C:\WINDOWS\system32\qtplugin.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = C:\Program Files\Fichiers communs\Autodesk Shared\acstart17.exe O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000 O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = CPS-BE.local O17 - HKLM\Software\..\Telephony: DomainName = CPS-BE.local O17 - HKLM\System\CCS\Services\Tcpip\..\{E0CD094C-C97D-499F-8FB3-87C4C0FB0BAE}: NameServer = 192.168.1.26 O17 - HKLM\System\CCS\Services\Tcpip\..\{E92561B5-E14E-4608-ABA3-FDE3649EF27E}: NameServer = 192.168.1.26 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = CPS-BE.local O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = CPS-BE.local O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe -- End of file - 5466 bytes ======Registry dump====== [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "NVMixerTray"=C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe [2004-12-20 131072] "NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2009-02-18 13680640] "NvMediaCenter"=C:\WINDOWS\system32\NvMcTray.dll [2009-02-18 86016] "SunJavaUpdateSched"=C:\Program Files\Java\jre6\bin\jusched.exe [2009-08-05 149280] "avgnt"=C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153] "RegistryMonitor1"=C:\WINDOWS\system32\qtplugin.exe [] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "MSMSGS"=C:\Program Files\Messenger\msmsgs.exe [2008-04-13 1695232] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"=C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe [2006-04-21 94208] "ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360] C:\Documents and Settings\All Users\Application Data\Microsoft\Shortcuts Accélérateur de démarrage AutoCAD.lnk - C:\Program Files\Fichiers communs\Autodesk Shared\acstart17.exe Adobe Reader Synchronizer.lnk - C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon] C:\WINDOWS\system32\WgaLogon.dll [2009-03-10 265088] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{1a3e09be-1e45-494b-9174-d7385b45bbf5}] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveTypeAutoRun"=323 "NoDriveAutoRun"=67108863 "NoDrives"=0 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "HonorAutoRunSetting"= "NoWelcomeScreen"= "NoDriveAutoRun"= "NoDriveTypeAutoRun"= "NoDrives"= [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE"="C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook" "C:\Program Files\Nero\Nero 7\Nero Home\NeroHome.exe"="C:\Program Files\Nero\Nero 7\Nero Home\NeroHome.exe:*:Disabled:Nero Home" ======File associations====== .scr - open - "C:\WINDOWS\system32\NOTEPAD.EXE" "%1" .scr - install - .scr - config - ======List of files/folders created in the last 1 months====== 2009-08-06 17:14:30 ----SHD---- C:\RECYCLER 2009-08-06 16:48:39 ----A---- C:\ComboFix.txt 2009-08-06 16:44:42 ----D---- C:\WINDOWS\temp 2009-08-06 08:49:47 ----A---- C:\njtyten.txt 2009-08-05 17:51:00 ----A---- C:\regfile.txt 2009-08-05 17:13:29 ----D---- C:\Documents and Settings\All Users\Application Data\Avira 2009-08-05 17:10:51 ----D---- C:\WINDOWS\Sun 2009-08-05 17:05:54 ----A---- C:\WINDOWS\system32\javaws.exe 2009-08-05 17:05:54 ----A---- C:\WINDOWS\system32\javaw.exe 2009-08-05 17:05:54 ----A---- C:\WINDOWS\system32\java.exe 2009-08-05 17:05:54 ----A---- C:\WINDOWS\system32\deploytk.dll 2009-08-05 17:05:44 ----D---- C:\Program Files\Java 2009-08-05 17:04:28 ----D---- C:\Documents and Settings\NICOLAS BECQUET.CPS-BE\Application Data\Sun 2009-08-05 15:44:29 ----A---- C:\WINDOWS\zip.exe 2009-08-05 15:44:29 ----A---- C:\WINDOWS\SWXCACLS.exe 2009-08-05 15:44:29 ----A---- C:\WINDOWS\SWSC.exe 2009-08-05 15:44:29 ----A---- C:\WINDOWS\SWREG.exe 2009-08-05 15:44:29 ----A---- C:\WINDOWS\sed.exe 2009-08-05 15:44:29 ----A---- C:\WINDOWS\PEV.exe 2009-08-05 15:44:29 ----A---- C:\WINDOWS\NIRCMD.exe 2009-08-05 15:44:29 ----A---- C:\WINDOWS\grep.exe 2009-08-04 16:29:24 ----D---- C:\_OTM 2009-08-04 16:00:53 ----D---- C:\rsit 2009-08-04 11:59:09 ----D---- C:\WINDOWS\ERDNT 2009-08-04 11:58:54 ----D---- C:\Qoobox 2009-08-04 11:24:42 ----A---- C:\WINDOWS\ntbtlog.txt 2009-08-04 11:08:44 ----D---- C:\WINDOWS\pss 2009-08-04 11:03:44 ----A---- C:\WINDOWS\system32\gifowola.vbs 2009-08-04 09:36:14 ----D---- C:\Documents and Settings\NICOLAS BECQUET.CPS-BE\Application Data\Malwarebytes 2009-08-04 09:36:11 ----D---- C:\Program Files\Malwarebytes' Anti-Malware 2009-08-04 09:36:11 ----D---- C:\Documents and Settings\All Users\Application Data\Malwarebytes ======List of files/folders modified in the last 1 months====== 2009-08-06 17:43:47 ----D---- C:\WINDOWS\system32\CatRoot2 2009-08-06 17:43:12 ----D---- C:\WINDOWS\system32\drivers 2009-08-06 17:43:12 ----D---- C:\WINDOWS\system32 2009-08-06 17:42:31 ----A---- C:\WINDOWS\SchedLgU.Txt 2009-08-06 16:46:57 ----D---- C:\WINDOWS 2009-08-06 16:46:57 ----A---- C:\WINDOWS\system.ini 2009-08-06 16:44:40 ----RD---- C:\Program Files 2009-08-06 16:44:39 ----SHD---- C:\WINDOWS\Installer 2009-08-06 16:44:13 ----D---- C:\WINDOWS\AppPatch 2009-08-06 16:44:10 ----D---- C:\Program Files\Fichiers communs 2009-08-06 15:58:09 ----D---- C:\WINDOWS\system32\config 2009-08-06 15:56:20 ----D---- C:\WINDOWS\Prefetch 2009-08-06 15:11:35 ----A---- C:\WINDOWS\NeroDigital.ini 2009-08-06 09:30:55 ----RSHDC---- C:\WINDOWS\system32\dllcache 2009-08-06 08:46:51 ----D---- C:\WINDOWS\security 2009-08-05 17:13:35 ----HD---- C:\WINDOWS\inf 2009-08-05 17:13:13 ----D---- C:\WINDOWS\WinSxS 2009-08-05 17:13:12 ----D---- C:\Program Files\Fichiers communs\Microsoft Shared 2009-08-05 16:37:23 ----SHD---- C:\WINDOWS\CSC 2009-08-05 15:52:06 ----SD---- C:\Documents and Settings\All Users\Application Data\Microsoft 2009-08-04 11:09:14 ----SH---- C:\boot.ini 2009-08-04 11:09:14 ----A---- C:\WINDOWS\win.ini 2009-08-03 11:24:51 ----A---- C:\WINDOWS\ccolwiz.ini 2009-07-17 10:46:26 ----D---- C:\ImageLT 2009-07-08 15:34:20 ----A---- C:\WINDOWS\PhotoSnapViewer.INI ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 avgio;avgio; \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys [] R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104] R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-08-05 28520] R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-03-24 55640] R3 Arp1394;Protocole client ARP 1394; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2008-04-14 60800] R3 HidUsb;Pilote de classe HID Microsoft; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368] R3 mouhid;Pilote HID de souris; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-23 12288] R3 ms_mpu401;Pilote UART MIDI MPU-401 Microsoft; C:\WINDOWS\system32\drivers\msmpu401.sys [2001-08-18 2944] R3 NIC1394;Pilote réseau 1394; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2008-04-14 61824] R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2009-02-18 6308224] R3 nvax;Service for NVIDIA® nForce Audio Enumerator; C:\WINDOWS\system32\drivers\nvax.sys [2005-07-26 53376] R3 NVENETFD;NVIDIA nForce Networking Controller Driver; C:\WINDOWS\system32\DRIVERS\NVENETFD.sys [2006-04-14 34176] R3 nvnetbus;NVIDIA Network Bus Enumerator; C:\WINDOWS\system32\DRIVERS\nvnetbus.sys [2006-04-14 13056] R3 nvnforce;Service for NVIDIA® nForce Audio; C:\WINDOWS\system32\drivers\nvapu.sys [2005-07-26 415360] R3 usbehci;Pilote miniport de contrôleur d'hôte amélioré Microsoft USB 2.0; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-14 30208] R3 usbhub;Concentrateur USB2; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-14 59520] R3 usbohci;Pilote miniport de contrôleur hôte ouvert USB Microsoft; C:\WINDOWS\system32\DRIVERS\usbohci.sys [2008-04-14 17152] R3 yukonwxp;NDIS5.1 Miniport Driver for Marvell Yukon Ethernet Controller; C:\WINDOWS\system32\DRIVERS\yk51x86.sys [2008-12-09 296448] S3 catchme;catchme; \??\C:\ComboFix\catchme.sys [] S3 USBSTOR;Pilote de stockage de masse USB; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368] S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys [] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 AntiVirSchedulerService;Avira AntiVir Planificateur; C:\Program Files\Avira\AntiVir Desktop\sched.exe [2009-08-05 108289] R2 AntiVirService;Avira AntiVir Guard; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [2009-08-05 185089] R2 JavaQuickStarterService;Java Quick Starter; C:\Program Files\Java\jre6\bin\jqs.exe [2009-08-05 153376] R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2009-02-18 163908] S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2005-09-23 29896] S3 Autodesk Licensing Service;Autodesk Licensing Service; C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe [2009-04-03 77944] S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2005-09-23 66240] S3 odserv;Microsoft Office Diagnostics Service; C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE12\ODSERV.EXE [2006-10-26 441136] S3 ose;Office Source Engine; C:\Program Files\Fichiers communs\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184] -----------------EOF-----------------
  7. jeanphy
    rsit? c'est quoi ca?
  8. jeanphy
    j'ai fait un mbam en attendant et il me trouve plus que 2 trojan: Malwarebytes' Anti-Malware 1.40 Version de la base de données: 2561 Windows 5.1.2600 Service Pack 3 06/08/2009 17:34:21 mbam-log-2009-08-06 (17-34-16).txt Type de recherche: Examen rapide Eléments examinés: 92998 Temps écoulé: 2 minute(s), 2 second(s) Processus mémoire infecté(s): 0 Module(s) mémoire infecté(s): 0 Clé(s) du Registre infectée(s): 0 Valeur(s) du Registre infectée(s): 0 Elément(s) de données du Registre infecté(s): 0 Dossier(s) infecté(s): 0 Fichier(s) infecté(s): 2 Processus mémoire infecté(s): (Aucun élément nuisible détecté) Module(s) mémoire infecté(s): (Aucun élément nuisible détecté) Clé(s) du Registre infectée(s): (Aucun élément nuisible détecté) Valeur(s) du Registre infectée(s): (Aucun élément nuisible détecté) Elément(s) de données du Registre infecté(s): (Aucun élément nuisible détecté) Dossier(s) infecté(s): (Aucun élément nuisible détecté) Fichier(s) infecté(s): C:\WINDOWS\system32\tapi.nfo (Trojan.Agent) -> No action taken. C:\Documents and Settings\NICOLAS BECQUET.CPS-BE\Application Data\wiaserva.log (Malware.Trace) -> No action taken. pour l'instant j'ai rien fait comme action....
  9. jeanphy
    le rapport: All processes killed ========== PROCESSES ========== No active process named explorer.exe was found! ========== FILES ========== File move failed. c:\documents and settings\NICOLAS BECQUET.CPS-BE\Menu Démarrer\Programmes\Démarrage\ikowin32.exe scheduled to be moved on reboot. c:\documents and settings\All Users\Application Data\Microsoft\Shortcuts\icwsetup.exe moved successfully. File/Folder c:\documents and settings\NICOLAS BECQUET.CPS-BE\hp32_nword.exe not found. File/Folder c:\windows\system32\hp32_nword.exe not found. File/Folder c:\documents and settings\NICOLAS _\Menu Démarrer\Programmes\Démarrage\ikowin32.exe not found. c:\program files\Internet Explorer\Connection Wizard\icwsetup.exe moved successfully. File/Folder c:\documents and settings\All Users\Application Data\Microsoft\Shortcuts\ikowin32.exe not found. File/Folder c:\documents and settings\All Users\Application Data\Microsoft\Shortcuts\icwsetup.exe not found. ========== COMMANDS ========== [EMPTYTEMP] User: All Users User: Default User ->Temp folder emptied: 0 bytes User: LocalService ->Temp folder emptied: 0 bytes User: NetworkService ->Temp folder emptied: 0 bytes User: NICOLAS BECQUET ->Temp folder emptied: 0 bytes User: NICOLAS BECQUET.CPS-BE File delete failed. C:\Documents and Settings\NICOLAS BECQUET.CPS-BE\Local Settings\Temp\7.tmp scheduled to be deleted on reboot. ->Temp folder emptied: 2882836 bytes ->Java cache emptied: 13556944 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes Windows Temp folder emptied: 0 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 15,68 mb OTM by OldTimer - Version 3.0.0.5 log created on 08062009_171357 Files moved on Reboot... File c:\documents and settings\NICOLAS BECQUET.CPS-BE\Menu Démarrer\Programmes\Démarrage\ikowin32.exe not found! C:\Documents and Settings\NICOLAS BECQUET.CPS-BE\Local Settings\Temp\7.tmp moved successfully. Registry entries deleted on Reboot... au redémarrage plus de install.exe détecté mais un qtplugin.exe dans systeme 32.... que j'ai mis en quarantaine!
  10. jeanphy
    ok j'envoi! mais c'est quoi l'origine?
  11. jeanphy
    j'ai déja OTM, je suis pas obligé de le re-télécharger?
  12. jeanphy
    voici le rapport Fichier icwsetup.exe reçu le 2009.08.06 15:12:18 (UTC)Antivirus Version Dernière mise à jour Résultat a-squared 4.5.0.24 2009.08.06 Trojan.Win32.Cecapix!IK AhnLab-V3 5.0.0.2 2009.08.06 - AntiVir 7.9.0.240 2009.08.06 - Antiy-AVL 2.0.3.7 2009.08.05 - Authentium 5.1.2.4 2009.08.06 - Avast 4.8.1335.0 2009.08.06 - AVG 8.5.0.406 2009.08.06 SHeur2.AUQM BitDefender 7.2 2009.08.06 - CAT-QuickHeal 10.00 2009.08.06 (Suspicious) - DNAScan ClamAV 0.94.1 2009.08.06 - Comodo 1887 2009.08.06 - DrWeb 5.0.0.12182 2009.08.06 - eSafe 7.0.17.0 2009.08.05 Suspicious File eTrust-Vet 31.6.6662 2009.08.06 - F-Prot 4.4.4.56 2009.08.06 - F-Secure 8.0.14470.0 2009.08.06 - Fortinet 3.120.0.0 2009.08.06 - GData 19 2009.08.06 - Ikarus T3.1.1.64.0 2009.08.06 Trojan.Win32.Cecapix Jiangmin 11.0.800 2009.08.06 - K7AntiVirus 7.10.811 2009.08.05 - Kaspersky 7.0.0.125 2009.08.06 - McAfee 5699 2009.08.05 - McAfee+Artemis 5699 2009.08.05 Artemis!84D5FC769C0D McAfee-GW-Edition 6.8.5 2009.08.06 Heuristic.LooksLike.Win32.Suspicious.H Microsoft 1.4903 2009.08.06 Trojan:Win32/Cecapix.A NOD32 4312 2009.08.06 - Norman 6.01.09 2009.08.06 W32/Bredolab.M nProtect 2009.1.8.0 2009.08.06 - Panda 10.0.0.14 2009.08.05 - PCTools 4.4.2.0 2009.08.06 - Prevx 3.0 2009.08.06 - Rising 21.41.34.00 2009.08.06 - Sophos 4.44.0 2009.08.06 - Sunbelt 3.2.1858.2 2009.08.06 Bulk Trojan Symantec 1.4.4.12 2009.08.06 - TheHacker 6.3.4.3.377 2009.08.05 - TrendMicro 8.950.0.1094 2009.08.06 - VBA32 3.12.10.9 2009.08.06 - ViRobot 2009.8.6.1871 2009.08.06 - VirusBuster 4.6.5.0 2009.08.05 - Information additionnelle File size: 23040 bytes MD5...: 84d5fc769c0da784e8cb0b7066690d3b SHA1..: 1998448e4c4e1a641d1e2a858884e9737dbc63b3 SHA256: 9eebf37281b1944e87756a0c48f4ae946787006b11e5c6e3b1e10a3641cfebf0 ssdeep: 384:eybdmgAoolSf8BbrAAhhQpDIhqqVhMdJ9dmmKIgVcSs:dliSfoMA7QpsNVhM<BR>Nds7Vcd<BR> PEiD..: - TrID..: File type identification<BR>Generic Win/DOS Executable (49.6%)<BR>DOS Executable Generic (49.5%)<BR>VXD Driver (0.7%) PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x1000<BR>timedatestamp.....: 0x49bf8188 (Tue Mar 17 10:55:04 2009)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 7 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x1000 0x11000 0x3a00 7.95 6eff5fde7aba58b0695fc9beb64479a8<BR>.data 0x12000 0x1000 0x200 0.26 78577af7f938b60739e80f11daf747ec<BR>.rdata 0x13000 0x1000 0x200 0.00 bf619eac0cdf3f68d496ea9344137e8b<BR>.idata 0x14000 0x1000 0x200 1.35 b5f1e464dc881140ee17b7d4d8dc729b<BR>.data 0x15000 0x1000 0x400 2.66 8865a37311232f1eb8c6ab37b65bb7dc<BR>brat 0x16000 0xfef 0x1000 6.44 f9c209418fc8432c2937716dd7f88f1a<BR>.reloc 0x17000 0x1c 0x200 0.45 f65b0ed113ddd74382ec6dfbea72d816<BR><BR>( 1 imports ) <BR>> KERNEL32.dll: GetLastError, OpenFile, OpenFile, WriteFile, WriteFile<BR><BR>( 0 exports ) <BR> PDFiD.: - RDS...: NSRL Reference Data Set<BR>- Antivirus Version Dernière mise à jour Résultat a-squared 4.5.0.24 2009.08.06 Trojan.Win32.Cecapix!IK AhnLab-V3 5.0.0.2 2009.08.06 - AntiVir 7.9.0.240 2009.08.06 - Antiy-AVL 2.0.3.7 2009.08.05 - Authentium 5.1.2.4 2009.08.06 - Avast 4.8.1335.0 2009.08.06 - AVG 8.5.0.406 2009.08.06 SHeur2.AUQM BitDefender 7.2 2009.08.06 - CAT-QuickHeal 10.00 2009.08.06 (Suspicious) - DNAScan ClamAV 0.94.1 2009.08.06 - Comodo 1887 2009.08.06 - DrWeb 5.0.0.12182 2009.08.06 - eSafe 7.0.17.0 2009.08.05 Suspicious File eTrust-Vet 31.6.6662 2009.08.06 - F-Prot 4.4.4.56 2009.08.06 - F-Secure 8.0.14470.0 2009.08.06 - Fortinet 3.120.0.0 2009.08.06 - GData 19 2009.08.06 - Ikarus T3.1.1.64.0 2009.08.06 Trojan.Win32.Cecapix Jiangmin 11.0.800 2009.08.06 - K7AntiVirus 7.10.811 2009.08.05 - Kaspersky 7.0.0.125 2009.08.06 - McAfee 5699 2009.08.05 - McAfee+Artemis 5699 2009.08.05 Artemis!84D5FC769C0D McAfee-GW-Edition 6.8.5 2009.08.06 Heuristic.LooksLike.Win32.Suspicious.H Microsoft 1.4903 2009.08.06 Trojan:Win32/Cecapix.A NOD32 4312 2009.08.06 - Norman 6.01.09 2009.08.06 W32/Bredolab.M nProtect 2009.1.8.0 2009.08.06 - Panda 10.0.0.14 2009.08.05 - PCTools 4.4.2.0 2009.08.06 - Prevx 3.0 2009.08.06 - Rising 21.41.34.00 2009.08.06 - Sophos 4.44.0 2009.08.06 - Sunbelt 3.2.1858.2 2009.08.06 Bulk Trojan Symantec 1.4.4.12 2009.08.06 - TheHacker 6.3.4.3.377 2009.08.05 - TrendMicro 8.950.0.1094 2009.08.06 - VBA32 3.12.10.9 2009.08.06 - ViRobot 2009.8.6.1871 2009.08.06 - VirusBuster 4.6.5.0 2009.08.05 - Information additionnelle File size: 23040 bytes MD5...: 84d5fc769c0da784e8cb0b7066690d3b SHA1..: 1998448e4c4e1a641d1e2a858884e9737dbc63b3 SHA256: 9eebf37281b1944e87756a0c48f4ae946787006b11e5c6e3b1e10a3641cfebf0 ssdeep: 384:eybdmgAoolSf8BbrAAhhQpDIhqqVhMdJ9dmmKIgVcSs:dliSfoMA7QpsNVhM<BR>Nds7Vcd<BR> PEiD..: - TrID..: File type identification<BR>Generic Win/DOS Executable (49.6%)<BR>DOS Executable Generic (49.5%)<BR>VXD Driver (0.7%) PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x1000<BR>timedatestamp.....: 0x49bf8188 (Tue Mar 17 10:55:04 2009)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 7 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x1000 0x11000 0x3a00 7.95 6eff5fde7aba58b0695fc9beb64479a8<BR>.data 0x12000 0x1000 0x200 0.26 78577af7f938b60739e80f11daf747ec<BR>.rdata 0x13000 0x1000 0x200 0.00 bf619eac0cdf3f68d496ea9344137e8b<BR>.idata 0x14000 0x1000 0x200 1.35 b5f1e464dc881140ee17b7d4d8dc729b<BR>.data 0x15000 0x1000 0x400 2.66 8865a37311232f1eb8c6ab37b65bb7dc<BR>brat 0x16000 0xfef 0x1000 6.44 f9c209418fc8432c2937716dd7f88f1a<BR>.reloc 0x17000 0x1c 0x200 0.45 f65b0ed113ddd74382ec6dfbea72d816<BR><BR>( 1 imports ) <BR>> KERNEL32.dll: GetLastError, OpenFile, OpenFile, WriteFile, WriteFile<BR><BR>( 0 exports ) <BR> PDFiD.: - RDS...: NSRL Reference Data Set<BR>- je fais ce que tu m'as dit au dessus?
  13. jeanphy
    shoot à la main c'est a dire? supprimer? sinon le chemin entier du install.exe: http://img11.imageshack.us/img11/1608/42182657.jpg
  14. jeanphy
    c'est dans document and setting mais aprés il y a des ....le chemin n'apparait pas entièrement et je sais pas comment faire pour qu'il apparaisse... le rapport est bon?
  15. jeanphy
    le rapport: ComboFix 09-08-04.04 - NICOLAS BECQUET 06/08/2009 16:43.5.2 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.2047.1597 [GMT 2:00] Running from: c:\documents and settings\NICOLAS BECQUET.CPS-BE\Bureau\ComboFix.exe Command switches used :: c:\documents and settings\NICOLAS BECQUET.CPS-BE\Bureau\CFscriptJP2.txt AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! FILE :: "c:\docume~1\NICOLA~1.CPS\LOCALS~1\temp\8.tmp" "c:\documents and settings\All Users\Application Data\Microsoft\Shortcuts\icwsetup.exe" "c:\documents and settings\All Users\Application Data\Microsoft\Shortcuts\ikowin32.exe" "c:\documents and settings\All Users\Application Data\osyxaver.exe" "c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\WinMessenger StartUp.lnk" "c:\documents and settings\NICOLAS _\hp32_nword.exe" "c:\documents and settings\NICOLAS _\Local Settings\temp\LOADER1.EXE" "c:\documents and settings\NICOLAS _\Menu Démarrer\Programmes\Démarrage\ikowin32.exe" "c:\documents and settings\NICOLAS BECQUET.CPS-BE\hp32_nword.exe" "c:\program files\Internet Explorer\Connection Wizard\icwsetup.exe" "c:\program files\WinMessenger\WinMesgr.exe" "c:\qoobox\Quarantine\[4]-Submit_2009-08-05_15.47.13.zip" "c:\qoobox\Quarantine\C\DOCUME~1\NICOLA~1.CPS\LOCALS~1\Temp\BN11.tmp.vir" "c:\system volume information\_restore{A7913E16-20FB-49C4-883F-6F1004AE143F}\RP80\A0010497.exe" "c:\system volume information\_restore{A7913E16-20FB-49C4-883F-6F1004AE143F}\RP80\A0010499.exe" "c:\system volume information\_restore{A7913E16-20FB-49C4-883F-6F1004AE143F}\RP81\A0010603.exe" "c:\system volume information\_restore{A7913E16-20FB-49C4-883F-6F1004AE143F}\RP81\A0010673.exe" "c:\system volume information\_restore{A7913E16-20FB-49C4-883F-6F1004AE143F}\RP81\A0010674.exe" "c:\windows\eraqygywas.scr" "c:\windows\Installer\1a69cb.msi" "c:\windows\system32\dazevibyb.exe" "c:\windows\system32\hp32_nword.exe" "c:\windows\system32\qtplugin.exe" "c:\windows\temp\wpv131249475257.exe" "c:\windows\temp\wpv511249365049.exe" "c:\windows\temp\wpv641249321620.exe" "c:\windows\xazuvily.dll" . ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) . c:\documents and settings\All Users\Application Data\Microsoft\Shortcuts\icwsetup.exe c:\documents and settings\All Users\Application Data\osyxaver.exe c:\documents and settings\NICOLAS BECQUET.CPS-BE\Application Data\wiaserva.log c:\program files\Internet Explorer\Connection Wizard\icwsetup.exe c:\program files\WinMessenger c:\program files\WinMessenger\Send.exe c:\program files\WinMessenger\Setup\install.inf c:\program files\WinMessenger\Setup\Setup.exe c:\program files\WinMessenger\WinMess.chm c:\program files\WinMessenger\WinMess.GID c:\program files\WinMessenger\WinMess.hlp c:\program files\WinMessenger\WinMsRes.dll c:\program files\WinMessenger\WMCmnRes.dll c:\program files\WinMessenger\wmutl.dll c:\program files\WinMessenger\WmXPRes.dll c:\system volume information\_restore{A7913E16-20FB-49C4-883F-6F1004AE143F}\RP80\A0010497.exe c:\system volume information\_restore{A7913E16-20FB-49C4-883F-6F1004AE143F}\RP80\A0010499.exe c:\system volume information\_restore{A7913E16-20FB-49C4-883F-6F1004AE143F}\RP81\A0010603.exe c:\system volume information\_restore{A7913E16-20FB-49C4-883F-6F1004AE143F}\RP81\A0010673.exe c:\system volume information\_restore{A7913E16-20FB-49C4-883F-6F1004AE143F}\RP81\A0010674.exe c:\windows\eraqygywas.scr c:\windows\Installer\1a69cb.msi c:\windows\system32\dazevibyb.exe c:\windows\xazuvily.dll . ((((((((((((((((((((((((( Files Created from 2009-07-06 to 2009-08-06 ))))))))))))))))))))))))))))))) . 2009-08-05 16:43 . 2009-08-06 07:10 574976 -c--a-w- c:\windows\system32\dllcache\ntfs.sys 2009-08-05 16:43 . 2009-08-06 07:10 574976 ----a-w- c:\windows\system32\drivers\ntfs.sys 2009-08-05 15:14 . 2009-08-05 15:14 404225 ----a-w- c:\documents and settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\TMP_UPDATE\update.exe 2009-08-05 15:14 . 2009-08-05 15:14 345345 ----a-w- c:\documents and settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\TMP_UPDATE\update.dll 2009-08-05 15:14 . 2009-04-17 15:07 87297 ----a-w- c:\documents and settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\TMP_UPDATE\updaterc.dll 2009-08-05 15:14 . 2009-03-03 09:21 9985 ----a-w- c:\documents and settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\TMP_UPDATE\updguirc.dll 2009-08-05 15:14 . 2009-02-24 11:16 117505 ----a-w- c:\documents and settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\TMP_UPDATE\updgui.dll 2009-08-05 15:14 . 2009-02-17 12:49 79105 ----a-w- c:\documents and settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\TMP_UPDATE\updext.dll 2009-08-05 15:14 . 2008-10-20 06:38 126721 ----a-w- c:\documents and settings\All Users\Application Data\Avira\AntiVir Desktop\TEMP\UPDATE\TMP_UPDATE\scewxmlw.dll 2009-08-05 15:13 . 2009-03-30 08:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys 2009-08-05 15:13 . 2009-02-13 10:28 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys 2009-08-05 15:13 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys 2009-08-05 15:13 . 2009-08-05 15:13 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira 2009-08-05 15:10 . 2009-08-05 15:10 -------- d-----w- c:\windows\Sun 2009-08-05 15:05 . 2009-08-05 15:05 411368 ----a-w- c:\windows\system32\deploytk.dll 2009-08-05 15:05 . 2009-08-05 15:05 -------- d-----w- c:\program files\Java 2009-08-05 15:05 . 2009-08-05 15:05 152576 ----a-w- c:\documents and settings\NICOLAS BECQUET.CPS-BE\Application Data\Sun\Java\jre1.6.0_15\lzma.dll 2009-08-04 14:29 . 2009-08-04 14:29 -------- d-----w- C:\_OTM 2009-08-04 14:00 . 2009-08-04 14:01 -------- d-----w- C:\rsit 2009-08-04 09:31 . 2009-08-04 09:31 -------- d-----w- c:\documents and settings\NICOLAS BECQUET\Application Data\Malwarebytes 2009-08-04 09:03 . 2009-08-04 09:03 18475 ----a-w- c:\documents and settings\NICOLAS BECQUET.CPS-BE\Local Settings\Application Data\cepy.sys 2009-08-04 09:03 . 2009-08-04 09:03 18398 ----a-w- c:\program files\Fichiers communs\fowy.dat 2009-08-04 09:03 . 2009-08-04 09:03 18077 ----a-w- c:\windows\system32\gifowola.vbs 2009-08-04 09:03 . 2009-08-04 09:03 17335 ----a-w- c:\windows\fovefisepa.dat 2009-08-04 07:36 . 2009-08-04 07:36 -------- d-----w- c:\documents and settings\NICOLAS BECQUET.CPS-BE\Application Data\Malwarebytes 2009-08-04 07:36 . 2009-08-03 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2009-08-04 07:36 . 2009-08-04 07:36 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware 2009-08-04 07:36 . 2009-08-04 07:36 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes 2009-08-04 07:36 . 2009-08-03 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-08-06 14:47 . 2009-08-06 14:47 23040 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\Shortcuts\icwsetup.exe 2009-06-10 07:47 . 2009-06-10 07:47 -------- d-----w- c:\program files\Avira . ((((((((((((((((((((((((((((( SnapShot@2009-08-04_10.05.47 ))))))))))))))))))))))))))))))))))))))))) . + 2009-08-06 14:47 . 2009-08-06 14:47 23040 c:\windows\temp\wpv851249321620.exe + 2009-08-06 14:47 . 2009-08-06 14:47 19456 c:\windows\temp\wpv401249475257.exe + 2009-08-06 14:46 . 2009-08-06 14:46 16384 c:\windows\temp\Perflib_Perfdata_7e0.dat + 2009-08-06 14:46 . 2009-08-06 14:46 16384 c:\windows\temp\History\History.IE5\index.dat - 2009-08-04 10:05 . 2009-08-04 10:05 16384 c:\windows\temp\History\History.IE5\index.dat + 2009-08-06 14:46 . 2009-08-06 14:46 32768 c:\windows\temp\Fichiers Internet temporaires\Content.IE5\index.dat - 2009-08-04 10:05 . 2009-08-04 10:05 32768 c:\windows\temp\Fichiers Internet temporaires\Content.IE5\index.dat + 2009-08-06 14:46 . 2009-08-06 14:46 16384 c:\windows\temp\Cookies\index.dat - 2009-08-04 10:05 . 2009-08-04 10:05 16384 c:\windows\temp\Cookies\index.dat + 2009-08-05 15:13 . 2009-08-05 15:14 28520 c:\windows\system32\drivers\ssmdrv.sys - 2009-06-10 07:47 . 2009-07-15 06:54 28520 c:\windows\system32\drivers\ssmdrv.sys + 2009-08-04 10:06 . 2009-08-04 10:39 1910 c:\windows\SoftwareDistribution\EventCache\{E7FA0FB2-80E5-43F2-B7BF-72E73B6B0A14}.bin + 2009-08-04 11:51 . 2009-08-04 12:03 1978 c:\windows\SoftwareDistribution\EventCache\{1D72F027-AE71-4C9A-9E1A-D082FE5F4E7E}.bin + 2009-08-06 14:47 . 2009-08-06 14:47 159675 c:\windows\temp\wpv891249365049.exe + 2009-08-05 15:05 . 2009-08-05 15:05 149280 c:\windows\system32\javaws.exe + 2009-08-05 15:05 . 2009-08-05 15:05 145184 c:\windows\system32\javaw.exe + 2009-08-05 15:05 . 2009-08-05 15:05 145184 c:\windows\system32\java.exe . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-13 1695232] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2006-04-21 94208] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NVMixerTray"="c:\program files\NVIDIA Corporation\NvMixer\NVMixerTray.exe" [2004-12-20 131072] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-02-18 13680640] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-02-18 86016] "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-08-05 149280] "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "Internet Connection Wizard Setup Tool"="c:\program files\Internet Explorer\Connection Wizard\icwsetup.exe" [2009-08-06 23040] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\documents and settings\NICOLAS BECQUET.CPS-BE\Menu D‚marrer\Programmes\D‚marrage\ ikowin32.exe [2008-4-14 29696] c:\documents and settings\All Users\Application Data\Microsoft\Shortcuts\ Acc‚l‚rateur de d‚marrage AutoCAD.lnk - c:\program files\Fichiers communs\Autodesk Shared\acstart17.exe [2006-3-5 11000] Adobe Reader Synchronizer.lnk - c:\program files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe [2006-10-23 734872] icwsetup.exe [2009-8-6 23040] Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe [2006-10-23 40048] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "NoWelcomeScreen"= 1 (0x1) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon] "Shell"="Explorer.exe rundll32.exe tapi.nfo beforeglav" [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "%windir%\\system32\\sessmgr.exe"= R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [05/08/2009 17:13 108289] . . ------- Supplementary Scan ------- . uStart Page = hxxp://www.google.com mStart Page = hxxp://www.google.com IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000 TCP: {E0CD094C-C97D-499F-8FB3-87C4C0FB0BAE} = 192.168.1.26 TCP: {E92561B5-E14E-4608-ABA3-FDE3649EF27E} = 192.168.1.26 . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-08-06 16:46 Windows 5.1.2600 Service Pack 3 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . --------------------- DLLs Loaded Under Running Processes --------------------- - - - - - - - > 'Explorer.exe'(524) c:\windows\system32\eappprxy.dll . ------------------------ Other Running Processes ------------------------ . c:\program files\Avira\AntiVir Desktop\avguard.exe c:\program files\Java\jre6\bin\jqs.exe c:\windows\system32\nvsvc32.exe c:\windows\system32\rundll32.exe c:\windows\system32\wscntfy.exe . ************************************************************************** . Completion time: 2009-08-06 16:48 - machine was rebooted ComboFix-quarantined-files.txt 2009-08-06 14:48 ComboFix2.txt 2009-08-06 14:01 ComboFix3.txt 2009-08-05 13:53 ComboFix4.txt 2009-08-05 07:45 ComboFix5.txt 2009-08-06 14:43 Pre-Run: 30 503 333 888 octets libres Post-Run: 30 462 210 048 octets libres 197 --- E O F --- 2009-04-03 08:52 aprés le redémarrage toujours message sur install.exe mais quand je fais une action il me dit qu'il trouve pas le fichier!
×
×
  • Créer...