Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Petite analyse SVP

Jamie

Par Jamie
dans Analyses et éradication malwares

 Partager

Messages recommandés

Jamie Mega Power Member

Jamie

Posté(e)
Posté(e)

Bonjour à tous,

J'avais posté précedemment dans ce forum suite à une invasion massive de virus et de spywares que j'ai plus ou moins réglée...

Mais Antivir me bipe TRES souvent pour me dire qu'il me trouve encore et toujours des virus malgré un nettoyage en mode sans échec préconisé dans "pré-nettoyage d'un PC infecté".

J'ai refait une analyse HijackThis et j'aimerais bien savoir si mon PC est de nouveau "sain" ou encore infecté.

 

Logfile of HijackThis v1.99.1

Scan saved at 19:22:37, on 08/01/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\CTFMON.EXE

C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe

C:\Program Files\SAGEM WiFi manager\WLANUTL.exe

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: VMN Toolbar - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - C:\PROGRA~1\VMNTOO~1\VMNTOO~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll

O3 - Toolbar: VMN Toolbar - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - C:\PROGRA~1\VMNTOO~1\VMNTOO~1.DLL

O4 - HKLM\..\Run: [RTHDCPL] --RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] --ALCMTR.EXE

O4 - HKLM\..\Run: [ATICCC] --"C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime

O4 - HKLM\..\Run: [Adobe Photo Downloader] --"D:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] --"C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"

O4 - HKLM\..\Run: [surfAccuracy] C:\Program Files\SurfAccuracy\SAcc.exe

O4 - HKLM\..\Run: [{4E-E9-9A-AE-ZN}] c:\windows\system32\nsdsregl.exe OLI001

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Adobe Reader Synchronizer.lnk = D:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

O4 - Global Startup: Barre d'état système d'ATI CATALYST.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = D:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe

O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\npjpi150_09.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\npjpi150_09.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Adobe LM Service - Unknown owner - --"C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe (file missing)

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\QW1hdXJ5\command.exe (file missing)

O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe (file missing)

O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe (file missing)

O23 - Service: Office Source Engine (ose) - Unknown owner - --"C:\Program Files\Fichiers communs\Microsoft Shared\Source Engine\OSE.EXE (file missing)

O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - --"C:\Program Files\Windows Media Player\WMPNetwk.exe (file missing)

 

 

Merci beaucoup :P

Jamie

Lien vers le commentaire
Partager sur d’autres sites

Thanos Devil Member !

Thanos

Posté(e)
Posté(e) (modifié)

salut :P

 

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.

Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur C:\SDFix. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

  • Redémarre ton ordinateur
  • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  • Choisis ton compte.

Déroule la liste des instructions ci-dessous :

  • Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
  • Appuie sur Y pour commencer le processus de nettoyage.
  • Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
  • Appuie sur une touche pour redémarrer le PC.
  • Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
  • Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
  • Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
  • Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
  • Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

@ toute à l'heure pour la suite.

Modifié par charles ingals
Lien vers le commentaire
Partager sur d’autres sites
Jamie Mega Power Member

Jamie

Posté(e)
  • Auteur
Posté(e)

RE, tout d'abord merci. donc voici ce que tu m'as demandé :

Rapport SDFix :

SDFix: Version 1.57

****************

 

08/01/2007 - 20:25:39,64

 

Microsoft Windows XP [version 5.1.2600]

 

Running From: C:\SDFix

 

Stage One - Safe Mode

 

Checking Services...

 

Service Name:

 

MsaSvc

 

File Path:

 

C:\WINDOWS\system32\msasvc.exe

 

MsaSvc Deleted...

 

 

Starting Registry Repairs...

 

Restoring Default Hosts File...

 

Stage One Complete

 

Rebooting...

 

Stage Two - Normal Mode

 

Checking For Malware:

--------------------

 

C:\uniq

C:\WINDOWS\system32\msnav32.ax

 

Backing Up and Removing any Files Found...

 

Alternate Stream Check:

 

C:\WINDOWS\system32

No streams found.

Final Check:

 

Remaining Services:

------------------

 

Rootkit PE386 Found!

 

 

Remaining Files:

---------------

 

Backups Folder: - C:\SDFix\backups\backups.zip

 

Checking for files with Hidden Attributes:

 

C:\NTDETECT.COM

C:\WINDOWS\system32\cdplayer.exe.manifest

C:\WINDOWS\system32\logonui.exe.manifest

C:\IO.SYS

C:\MSDOS.SYS

C:\pagefile.sys

C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp

C:\WINDOWS\Temp\$_2341233.TMP

C:\WINDOWS\Temp\$_2341235.TMP

 

FINISHED!

 

Rapport HijackThis

 

Logfile of HijackThis v1.99.1

Scan saved at 20:28:54, on 08/01/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe

D:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe

C:\Program Files\SAGEM WiFi manager\WLANUTL.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: VMN Toolbar - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - C:\PROGRA~1\VMNTOO~1\VMNTOO~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll

O3 - Toolbar: VMN Toolbar - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - C:\PROGRA~1\VMNTOO~1\VMNTOO~1.DLL

O4 - HKLM\..\Run: [RTHDCPL] --RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] --ALCMTR.EXE

O4 - HKLM\..\Run: [ATICCC] --"C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime

O4 - HKLM\..\Run: [Adobe Photo Downloader] --"D:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] --"C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"

O4 - HKLM\..\Run: [surfAccuracy] C:\Program Files\SurfAccuracy\SAcc.exe

O4 - HKLM\..\Run: [{4E-E9-9A-AE-ZN}] c:\windows\system32\nsdsregl.exe OLI001

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Adobe Reader Synchronizer.lnk = D:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

O4 - Global Startup: Barre d'état système d'ATI CATALYST.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = D:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe

O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\npjpi150_09.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\npjpi150_09.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Adobe LM Service - Unknown owner - --"C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe (file missing)

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\QW1hdXJ5\command.exe (file missing)

O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe (file missing)

O23 - Service: Office Source Engine (ose) - Unknown owner - --"C:\Program Files\Fichiers communs\Microsoft Shared\Source Engine\OSE.EXE (file missing)

O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - --"C:\Program Files\Windows Media Player\WMPNetwk.exe (file missing)

 

Voilà, voilà prêt pour la suite ! :P

Lien vers le commentaire
Partager sur d’autres sites
Thanos Devil Member !

Thanos

Posté(e)
Posté(e) (modifié)

ok SDFix a fait son boulot :P et il aussi mis en évidence une vilaine infection : le rootkit pe386!

 

On continue comme ceci stp >

 

* Démarre Hijackthis et clique sur la case "Do a system scan only",puis coche les lignes suivantes :

O2 - BHO: VMN Toolbar - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - C:\PROGRA~1\VMNTOO~1\VMNTOO~1.DLL

 

O3 - Toolbar: VMN Toolbar - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - C:\PROGRA~1\VMNTOO~1\VMNTOO~1.DLL

 

O4 - HKLM\..\Run: [Alcmtr] --ALCMTR.EXE

O4 - HKLM\..\Run: [surfAccuracy] C:\Program Files\SurfAccuracy\SAcc.exe

O4 - HKLM\..\Run: [{4E-E9-9A-AE-ZN}] c:\windows\system32\nsdsregl.exe OLI001

-Ferme tous les programmes et clique sur "Fix Checked"

 

 

* Passe par "Ajouter ou Supprimer des Programmes"(Panneau de Configuration) et désinstalle les programmes suivant:

 

SurfAccuracy

 

* Télécharge rustbfix (par ejvindh) de l'un de ces deux liens :

 

http://www.uploads.ejvindh.net/rustbfix.exe

http://uploads.ejvindh.andymanchesta.com/Rustbfix.exe

...et sauvegarde-le sur ton Bureau.

 

Double clique rustbfix.exe afin de lancer l'outil.

Si une infection Rustock.b est détectée, une invite t'indiquera qu'il est nécessaire de redémarrer l'ordi. Ce redémarrage pourrait être plus long que d'habitude, et il est possible que deux redémarrages soient requis. Tout cela se fera automatiquement.

Suite au(x) redémarrage(s), deux rapports s'ouvriront : (C:\avenger.txt et C:\rustbfix\pelog.txt).

Poste (Copie/Colle) le contenu de ces deux rapports, ainsi qu'un nouveau log HijackThis dans ta prochaine réponse.

 

Après ca, poste moi un rapport comme ceci car il reste des choses à éliminer >

 

* Télécharge DiagHelp.exe sur ton bureau

  • quitte toutes les applications en cours, il va y avoir un redémarrage de ton pc.
  • Double-clique sur DiagHelp.exe : une fenêtre cmd va s'ouvrir, choisis l'option 1
  • On te demandera d'appuyer sur une touche lorsque le scan est terminé: le pc va alors redémarrer.
  • au redémarrage du pc copie/colle le contenu du bloc-note qui vient de s'ouvrir, dans ton prochain post.

3 rapports à poster donc >

 

-le nouveau rapport hijackthis

-les deux rapports générés par rustbfix

-le rapport DiagHelp.

 

@+ tard et courage :P

Modifié par charles ingals
Lien vers le commentaire
Partager sur d’autres sites
Jamie Mega Power Member

Jamie

Posté(e)
  • Auteur
Posté(e)

Bonjour et me revoilà !

 

Alors j'ai fais tout ce que tu m'as demandé :

 

-Nouveau rapport hijackthis

Logfile of HijackThis v1.99.1

Scan saved at 13:03:05, on 09/01/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe

D:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe

C:\Program Files\SAGEM WiFi manager\WLANUTL.exe

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll

O4 - HKLM\..\Run: [RTHDCPL] --RTHDCPL.EXE

O4 - HKLM\..\Run: [ATICCC] --"C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime

O4 - HKLM\..\Run: [Adobe Photo Downloader] --"D:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] --"C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [dgvuixfr] C:\dvwodfnr.bat

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Adobe Reader Synchronizer.lnk = D:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

O4 - Global Startup: Barre d'état système d'ATI CATALYST.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = D:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe

O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\npjpi150_09.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\npjpi150_09.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Adobe LM Service - Unknown owner - --"C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe (file missing)

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\QW1hdXJ5\command.exe (file missing)

O23 - Service: Office Source Engine (ose) - Unknown owner - --"C:\Program Files\Fichiers communs\Microsoft Shared\Source Engine\OSE.EXE (file missing)

O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - --"C:\Program Files\Windows Media Player\WMPNetwk.exe (file missing)

 

 

-Les deux rapports rustbix

 

//////////////////////////////////////////

Avenger Pre-Processor log

//////////////////////////////////////////

 

Error: could not create zip file.

Error code: 80

 

 

Error: could not create reboot file.

Error code: 80

 

 

Error: could not create reboot batch.

Error code: 80

 

 

//////////////////////////////////////////

 

 

Logfile of The Avenger version 1, by Swandog46

Running from registry key:

\Registry\Machine\System\CurrentControlSet\Services\dftnsmoh

 

*******************

 

Script file located at: \??\C:\Documents and Settings\mnhtfhrc.txt

Script file opened successfully.

 

Script file read successfully

 

Backups directory opened successfully at C:\Avenger

 

*******************

 

Beginning to process script file:

 

Driver PE386 unloaded successfully.

Program C:\Rustbfix\2run.bat successfully set up to run once on reboot.

 

Completed script processing.

 

*******************

 

Finished! Terminate.//////////////////////////////////////////

 

 

Logfile of The Avenger version 1, by Swandog46

Running from registry key:

\Registry\Machine\System\CurrentControlSet\Services\xkhcbbyy

 

*******************

 

Script file located at: \??\C:\sfbrmxeg.txt

Script file opened successfully.

 

Script file read successfully

 

Backups directory opened successfully at C:\Avenger

 

*******************

 

Beginning to process script file:

 

 

 

Registry key \Registry\Machine\System\CurrentControlSet\Services\PE386 not found!

Unload of driver PE386 failed!

 

Could not process line:

PE386

Status: 0xc0000034

 

Program F:\Rustbfix\2run.bat successfully set up to run once on reboot.

 

Completed script processing.

 

*******************

 

Finished! Terminate.

 

************************* Rustock.b-fix -- By ejvindh *************************

09/01/2007 12:50:56,82

 

******************* Pre-run Status of system *******************

 

Rootkit driver PE386 is found. Starting the unload-procedure....

 

Rustock.b-ADS attached to the System32-folder:

:lzx32.sys 69682

Total size: 69682 bytes.

Attempting to remove ADS...

system32: deleted 69682 bytes in 1 streams.

 

Looking for Rustock.b-files in the System32-folder:

No Rustock.b-files found in system32

 

 

******************* Post-run Status of system *******************

 

Rustock.b-driver on the system: NONE!

 

Rustock.b-ADS attached to the System32-folder:

No System32-ADS found.

 

Looking for Rustock.b-files in the System32-folder:

No Rustock.b-files found in system32

 

 

******************************* End of Logfile ********************************

 

-Le rapport DiagHelp :

C:\WINDOWS\System32\wpa.dbl -->09/01/2007 12:59:08

C:\WINDOWS\System32\CONFIG.NT -->27/12/2006 19:45:28

C:\WINDOWS\System32\winpfz32.sys -->27/12/2006 16:08:38

C:\WINDOWS\System32\atmtd.dll.tmp -->27/12/2006 16:07:58

C:\WINDOWS\System32\zxdnt3d.cfg -->27/12/2006 16:06:43

C:\WINDOWS\System32\sporder.dll -->27/12/2006 16:06:42

C:\WINDOWS\System32\msvcp71.dll -->27/12/2006 15:34:43

C:\WINDOWS\System32\FNTCACHE.DAT -->18/12/2006 12:59:49

C:\WINDOWS\System32\jupdate-1.5.0_09-b03.log -->08/12/2006 18:36:15

C:\WINDOWS\System32\BASSMOD.dll -->03/12/2006 20:44:21

C:\WINDOWS\System32\perfh00C.dat -->30/11/2006 20:42:25

C:\WINDOWS\System32\perfh009.dat -->30/11/2006 20:42:25

C:\WINDOWS\System32\perfc00C.dat -->30/11/2006 20:42:25

C:\WINDOWS\System32\perfc009.dat -->30/11/2006 20:42:25

C:\WINDOWS\System32\PerfStringBackup.INI -->30/11/2006 20:42:24

C:\WINDOWS\System32\nscompat.tlb -->25/11/2006 10:32:45

C:\WINDOWS\System32\amcompat.tlb -->25/11/2006 10:32:45

C:\WINDOWS\System32\wpa.bak -->17/11/2006 17:53:33

C:\WINDOWS\System32\h323log.txt -->17/11/2006 17:46:15

C:\WINDOWS\System32\LoopyMusic.wav -->17/11/2006 17:10:01

C:\WINDOWS\System32\BuzzingBee.wav -->17/11/2006 17:10:01

C:\WINDOWS\System32\$winnt$.inf -->17/11/2006 16:53:30

C:\WINDOWS\System32\WindowsLogon.manifest -->17/11/2006 16:50:21

C:\WINDOWS\System32\logonui.exe.manifest -->17/11/2006 16:50:21

C:\WINDOWS\System32\wuaucpl.cpl.manifest -->17/11/2006 16:50:16

 

C:\WINDOWS\ntbtlog.txt -->09/01/2007 13:09:06

C:\WINDOWS\WindowsUpdate.log -->09/01/2007 12:58:29

C:\WINDOWS\0.log -->09/01/2007 12:58:26

C:\WINDOWS\bootstat.dat -->09/01/2007 12:58:25

C:\WINDOWS\setupapi.log -->08/01/2007 17:09:11

C:\WINDOWS\OEWABLog.txt -->08/01/2007 17:08:31

C:\WINDOWS\wmsetup.log -->08/01/2007 17:08:30

C:\WINDOWS\wiadebug.log -->08/01/2007 16:28:05

C:\WINDOWS\wiaservc.log -->08/01/2007 16:07:58

C:\WINDOWS\SchedLgU.Txt -->27/12/2006 16:14:50

C:\WINDOWS\XPlite.log -->21/12/2006 20:59:08

C:\WINDOWS\win.ini -->15/12/2006 16:11:25

C:\WINDOWS\ODBC.INI -->03/12/2006 20:37:23

C:\WINDOWS\spupdsvc.log -->30/11/2006 20:40:05

C:\WINDOWS\updspapi.log -->30/11/2006 20:28:42

 

C:\WINDOWS\Alcmtr.exe |17/11/2006 17:06:01

C:\WINDOWS\alcwzrd.exe |17/11/2006 17:06:01

C:\WINDOWS\MicCal.exe |17/11/2006 17:06:02

C:\WINDOWS\RTHDCPL.exe |17/11/2006 17:06:03

C:\WINDOWS\RTLCPL.exe |17/11/2006 17:06:06

C:\WINDOWS\RtlUpd.exe |17/11/2006 17:06:09

C:\WINDOWS\SoundMan.exe |17/11/2006 17:06:09

C:\WINDOWS\twunk_16.exe |05/08/2004 13:00:00

C:\WINDOWS\twunk_32.exe |05/08/2004 13:00:00

C:\WINDOWS\unvise32.exe |20/11/2006 17:29:09

C:\WINDOWS\RtlExUpd.dll |17/11/2006 17:05:55

C:\WINDOWS\twain.dll |05/08/2004 13:00:00

C:\WINDOWS\twain_32.dll |05/08/2004 13:00:00

C:\WINDOWS\system32\append.exe |05/08/2004 13:00:00

C:\WINDOWS\system32\ati2evxx.exe |04/08/2005 04:02:58

C:\WINDOWS\system32\Ati2mdxx.exe |04/08/2005 04:04:34

C:\WINDOWS\system32\ati2sgag.exe |17/11/2006 17:14:00

C:\WINDOWS\system32\ChCfg.exe |17/11/2006 17:06:59

C:\WINDOWS\system32\debug.exe |05/08/2004 13:00:00

C:\WINDOWS\system32\dosx.exe |05/08/2004 13:00:00

C:\WINDOWS\system32\dvdplay.exe |23/08/2001 18:47:34

C:\WINDOWS\system32\edlin.exe |05/08/2004 13:00:00

C:\WINDOWS\system32\exe2bin.exe |05/08/2004 13:00:00

C:\WINDOWS\system32\fastopen.exe |05/08/2004 13:00:00

C:\WINDOWS\system32\HdAShCut.exe |07/01/2005 17:07:16

C:\WINDOWS\system32\java.exe |08/12/2006 18:36:16

C:\WINDOWS\system32\javaw.exe |08/12/2006 18:36:16

C:\WINDOWS\system32\javaws.exe |08/12/2006 18:36:16

C:\WINDOWS\system32\mem.exe |05/08/2004 13:00:00

C:\WINDOWS\system32\mscdexnt.exe |05/08/2004 13:00:00

C:\WINDOWS\system32\nlsfunc.exe |05/08/2004 13:00:00

C:\WINDOWS\system32\NVUNINST.EXE |17/11/2006 17:03:23

C:\WINDOWS\system32\nvunrm.exe |17/11/2006 17:03:31

C:\WINDOWS\system32\nvusmb.exe |17/11/2006 17:03:30

C:\WINDOWS\system32\nw16.exe |05/08/2004 13:00:00

C:\WINDOWS\system32\redir.exe |05/08/2004 13:00:00

C:\WINDOWS\system32\setver.exe |05/08/2004 13:00:00

C:\WINDOWS\system32\share.exe |05/08/2004 13:00:00

C:\WINDOWS\system32\usrmlnka.exe |23/08/2001 18:47:48

C:\WINDOWS\system32\usrprbda.exe |23/08/2001 18:47:48

C:\WINDOWS\system32\usrshuta.exe |23/08/2001 18:47:48

C:\WINDOWS\system32\vwipxspx.exe |05/08/2004 13:00:00

C:\WINDOWS\system32\ACDV.dll |20/06/2005 13:56:52

C:\WINDOWS\system32\AegisE5.dll |08/01/2007 16:47:17

C:\WINDOWS\system32\amstream.dll |05/08/2004 13:00:00

C:\WINDOWS\system32\ati2cqag.dll |04/08/2005 03:02:26

C:\WINDOWS\system32\ati2dvag.dll |04/08/2005 04:10:38

C:\WINDOWS\system32\ati2edxx.dll |04/08/2005 04:04:28

C:\WINDOWS\system32\ati2evxx.dll |04/08/2005 04:04:18

C:\WINDOWS\system32\ati3duag.dll |04/08/2005 03:54:08

C:\WINDOWS\system32\ATIDDC.DLL |04/08/2005 04:02:32

C:\WINDOWS\system32\ATIDEMGR.dll |04/08/2005 06:27:54

C:\WINDOWS\system32\atiiiexx.dll |17/11/2006 17:13:54

C:\WINDOWS\system32\atikvmag.dll |04/08/2005 03:34:12

C:\WINDOWS\system32\atioglx1.dll |04/08/2005 05:46:26

C:\WINDOWS\system32\atioglxx.dll |04/08/2005 04:28:52

C:\WINDOWS\system32\atipdlxx.dll |04/08/2005 04:04:56

C:\WINDOWS\system32\atitvo32.dll |04/08/2005 03:08:22

C:\WINDOWS\system32\ativcoxx.dll |09/11/2001 16:01:04

C:\WINDOWS\system32\ativvaxx.dll |04/08/2005 03:47:08

C:\WINDOWS\system32\atmfd.dll |05/08/2004 13:00:00

C:\WINDOWS\system32\atmlib.dll |05/08/2004 13:00:00

C:\WINDOWS\system32\avsda.dll |27/12/2006 17:35:49

C:\WINDOWS\system32\BASSMOD.dll |03/12/2006 20:44:21

C:\WINDOWS\system32\bdco1.dll |17/11/2006 17:03:31

C:\WINDOWS\system32\bdco1ins.dll |17/11/2006 17:03:31

C:\WINDOWS\system32\compatUI.dll |05/08/2004 13:00:00

C:\WINDOWS\system32\dgrpsetu.dll |17/11/2006 17:27:40

C:\WINDOWS\system32\dgsetup.dll |17/11/2006 17:27:40

C:\WINDOWS\system32\encdec.dll |05/08/2004 13:00:00

C:\WINDOWS\system32\EqnClass.Dll |17/11/2006 17:27:39

C:\WINDOWS\system32\fdco1.dll |17/11/2006 17:03:33

C:\WINDOWS\system32\fdco1ins.dll |17/11/2006 17:03:33

C:\WINDOWS\system32\fdco_l1028.dll |17/11/2006 17:03:33

C:\WINDOWS\system32\fdco_l1031.dll |17/11/2006 17:03:33

C:\WINDOWS\system32\fdco_l1034.dll |17/11/2006 17:03:33

C:\WINDOWS\system32\fdco_l1036.dll |17/11/2006 17:03:33

C:\WINDOWS\system32\fdco_l1040.dll |17/11/2006 17:03:33

C:\WINDOWS\system32\fdco_l1041.dll |17/11/2006 17:03:33

C:\WINDOWS\system32\fdco_l1042.dll |17/11/2006 17:03:33

C:\WINDOWS\system32\fdco_l1046.dll |17/11/2006 17:03:33

C:\WINDOWS\system32\fdco_l2052.dll |17/11/2006 17:03:33

C:\WINDOWS\system32\frapsvid.dll |26/10/2006 10:43:36

C:\WINDOWS\system32\HdAProp.dll |07/01/2005 17:07:16

C:\WINDOWS\system32\HdAudRes.dll |07/01/2005 17:07:04

C:\WINDOWS\system32\HHActiveX.dll |20/03/2002 22:01:58

C:\WINDOWS\system32\hticons.dll |17/11/2006 16:47:52

C:\WINDOWS\system32\hypertrm.dll |17/11/2006 16:47:31

C:\WINDOWS\system32\iccvid.dll |05/08/2004 13:00:00

C:\WINDOWS\system32\ieencode.dll |05/08/2004 13:00:00

C:\WINDOWS\system32\ir32_32.dll |05/08/2004 13:00:00

C:\WINDOWS\system32\ir41_qc.dll |05/08/2004 13:00:00

C:\WINDOWS\system32\ir41_qcx.dll |05/08/2004 13:00:00

C:\WINDOWS\system32\ir50_32.dll |05/08/2004 13:00:00

C:\WINDOWS\system32\ir50_qc.dll |05/08/2004 13:00:00

C:\WINDOWS\system32\ir50_qcx.dll |05/08/2004 13:00:00

C:\WINDOWS\system32\isrdbg32.dll |17/11/2006 16:49:07

C:\WINDOWS\system32\jgaw400.dll |05/08/2004 13:00:00

C:\WINDOWS\system32\jgdw400.dll |05/08/2004 13:00:00

C:\WINDOWS\system32\jgmd400.dll |05/08/2004 13:00:00

C:\WINDOWS\system32\jgpl400.dll |05/08/2004 13:00:00

C:\WINDOWS\system32\jgsd400.dll |05/08/2004 13:00:00

C:\WINDOWS\system32\jgsh400.dll |05/08/2004 13:00:00

C:\WINDOWS\system32\libeay32.dll |08/01/2007 16:47:17

C:\WINDOWS\system32\mdwmdmsp.dll |23/08/2001 18:47:06

C:\WINDOWS\system32\msdmo.dll |05/08/2004 13:00:00

C:\WINDOWS\system32\msencode.dll |05/08/2004 13:00:00

C:\WINDOWS\system32\nvconrm.dll |17/11/2006 17:03:31

C:\WINDOWS\system32\Oemdspif.dll |04/08/2005 04:04:42

C:\WINDOWS\system32\paqsp.dll |23/08/2001 18:47:16

C:\WINDOWS\system32\qedwipes.dll |05/08/2004 13:00:00

C:\WINDOWS\system32\RtlCPAPI.dll |17/11/2006 17:06:59

C:\WINDOWS\system32\sbe.dll |05/08/2004 13:00:00

C:\WINDOWS\system32\scriptpw.dll |05/08/2004 13:00:00

C:\WINDOWS\system32\slbcsp.dll |05/08/2004 13:00:00

C:\WINDOWS\system32\slbiop.dll |05/08/2004 13:00:00

C:\WINDOWS\system32\slbrccsp.dll |05/08/2004 13:00:00

C:\WINDOWS\system32\spnike.dll |23/08/2001 18:47:18

C:\WINDOWS\system32\sprio600.dll |23/08/2001 18:47:18

C:\WINDOWS\system32\sprio800.dll |23/08/2001 18:47:18

C:\WINDOWS\system32\spxcoins.dll |17/11/2006 17:27:40

C:\WINDOWS\system32\ssleay32.dll |08/01/2007 16:47:17

C:\WINDOWS\system32\tsd32.dll |05/08/2004 13:00:00

C:\WINDOWS\system32\UNACEV2.DLL |21/03/2002 15:39:02

C:\WINDOWS\system32\usrcntra.dll |23/08/2001 18:47:20

C:\WINDOWS\system32\usrcoina.dll |23/08/2001 18:47:20

C:\WINDOWS\system32\usrdpa.dll |23/08/2001 18:47:20

C:\WINDOWS\system32\usrdtea.dll |23/08/2001 18:47:20

C:\WINDOWS\system32\usrfaxa.dll |23/08/2001 18:47:20

C:\WINDOWS\system32\usrlbva.dll |23/08/2001 18:47:20

C:\WINDOWS\system32\usrrtosa.dll |23/08/2001 18:47:20

C:\WINDOWS\system32\usrsdpia.dll |23/08/2001 18:47:20

C:\WINDOWS\system32\usrsvpia.dll |23/08/2001 18:47:20

C:\WINDOWS\system32\usrv42a.dll |23/08/2001 18:47:20

C:\WINDOWS\system32\usrv80a.dll |23/08/2001 18:47:20

C:\WINDOWS\system32\usrvoica.dll |23/08/2001 18:47:20

C:\WINDOWS\system32\usrvpa.dll |23/08/2001 18:47:20

C:\WINDOWS\system32\W32N50.dll |17/11/2006 17:18:59

C:\WINDOWS\system32\win87em.dll |05/08/2004 13:00:00

C:\WINDOWS\system32\WLANUTL.dll |17/11/2006 17:18:59

 

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est BC64-E9AE

 

Répertoire de C:\WINDOWS\system32

 

05/08/2004 13:00 6 144 csrss.exe

1 fichier(s) 6 144 octets

0 Rép(s) 4 747 362 304 octets libres

 

Contenu de Downloaded Program Files

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est BC64-E9AE

 

Répertoire de C:\WINDOWS\Downloaded Program Files

 

22/12/2006 16:56 <REP> .

22/12/2006 16:56 <REP> ..

17/11/2006 16:50 65 desktop.ini

09/11/2006 14:36 5 019 swflash.inf

2 fichier(s) 5 084 octets

 

Total des fichiers listés :

2 fichier(s) 5 084 octets

2 Rép(s) 4 747 362 304 octets libres

 

Recherche de rootkit! (Merci S!Ri)

 

Recherche d'infections connues

 

 

 

 

Liste des programmes installes

 

ACDSee Pro

Ad-Aware SE Personal

Adobe Bridge 1.0

Adobe Common File Installer

Adobe Flash Player 9 ActiveX

Adobe Help Center 1.0

Adobe Photoshop CS2

Adobe Photoshop CS2

Adobe Reader 8 - Français

Adobe Stock Photos 1.0

Archiveur WinRAR

ATI - Utilitaire de désinstallation du logiciel

ATI Catalyst Control Center

ATI Display Driver

ATI HYDRAVISION

Avira AntiVir PersonalEdition Classic

BitComet 0.70

Correctif Windows XP - KB873339

Correctif Windows XP - KB885835

Correctif Windows XP - KB885836

Correctif Windows XP - KB886185

Correctif Windows XP - KB888302

Correctif Windows XP - KB890859

Correctif Windows XP - KB891781

Enhanced Ads by Think-Adz removal

EVEREST Home Edition v2.20

Fraps (remove only)

FTP Expert 3

High Definition Audio Driver Package - KB888111

HijackThis 1.99.1

Hotfix for Windows XP (KB926239)

J2SE Runtime Environment 5.0 Update 9

Language pack for Ad-Aware SE

Lecteur Windows Media 11

Livebox

Macromedia Dreamweaver 8

Macromedia Extension Manager

Messenger Plus! Live

Microsoft .NET Framework 1.1

Microsoft Compression Client Pack 1.0 for Windows XP

Microsoft Office Professional Edition 2003

Microsoft User-Mode Driver Framework Feature Pack 1.0

Mise à jour de sécurité pour Lecteur Windows Media (KB911564)

Mise à jour de sécurité pour Windows XP (KB893756)

Mise à jour de sécurité pour Windows XP (KB896358)

Mise à jour de sécurité pour Windows XP (KB896423)

Mise à jour de sécurité pour Windows XP (KB896424)

Mise à jour de sécurité pour Windows XP (KB896428)

Mise à jour de sécurité pour Windows XP (KB899587)

Mise à jour de sécurité pour Windows XP (KB899591)

Mise à jour de sécurité pour Windows XP (KB900725)

Mise à jour de sécurité pour Windows XP (KB901017)

Mise à jour de sécurité pour Windows XP (KB901214)

Mise à jour de sécurité pour Windows XP (KB902400)

Mise à jour de sécurité pour Windows XP (KB904706)

Mise à jour de sécurité pour Windows XP (KB905414)

Mise à jour de sécurité pour Windows XP (KB905749)

Mise à jour de sécurité pour Windows XP (KB908519)

Mise à jour de sécurité pour Windows XP (KB911562)

Mise à jour de sécurité pour Windows XP (KB911567)

Mise à jour de sécurité pour Windows XP (KB911927)

Mise à jour de sécurité pour Windows XP (KB912919)

Mise à jour de sécurité pour Windows XP (KB913580)

Mise à jour de sécurité pour Windows XP (KB914388)

Mise à jour de sécurité pour Windows XP (KB914389)

Mise à jour de sécurité pour Windows XP (KB917344)

Mise à jour de sécurité pour Windows XP (KB917422)

Mise à jour de sécurité pour Windows XP (KB917953)

Mise à jour de sécurité pour Windows XP (KB918439)

Mise à jour de sécurité pour Windows XP (KB919007)

Mise à jour de sécurité pour Windows XP (KB920213)

Mise à jour de sécurité pour Windows XP (KB920214)

Mise à jour de sécurité pour Windows XP (KB920670)

Mise à jour de sécurité pour Windows XP (KB920683)

Mise à jour de sécurité pour Windows XP (KB920685)

Mise à jour de sécurité pour Windows XP (KB921398)

Mise à jour de sécurité pour Windows XP (KB922616)

Mise à jour de sécurité pour Windows XP (KB922760)

Mise à jour de sécurité pour Windows XP (KB922819)

Mise à jour de sécurité pour Windows XP (KB923191)

Mise à jour de sécurité pour Windows XP (KB923414)

Mise à jour de sécurité pour Windows XP (KB923980)

Mise à jour de sécurité pour Windows XP (KB924191)

Mise à jour de sécurité pour Windows XP (KB924270)

Mise à jour de sécurité pour Windows XP (KB924496)

Mise à jour de sécurité pour Windows XP (KB925486)

Mise à jour pour Windows XP (KB894391)

Mise à jour pour Windows XP (KB898461)

Mise à jour pour Windows XP (KB900485)

Mise à jour pour Windows XP (KB908531)

Mise à jour pour Windows XP (KB910437)

Mise à jour pour Windows XP (KB911280)

Mise à jour pour Windows XP (KB916595)

Mise à jour pour Windows XP (KB920872)

Mise à jour pour Windows XP (KB922582)

Mozilla Firefox (2.0.0.1)

Need for Speed Carbon

New.net Domains 6.38

NVIDIA Drivers

Parallel Port Joystick

PeerGuardian 2.0

Realtek High Definition Audio Driver

Sagem Wi-Fi 11g USB adapter (driver)

SAGEM Wi-Fi 11g USB adapter (outil)

SAGEM Wi-Fi 11g USB adapter (pilote)

SAGEM Wi-Fi 11g USB adapter (pilote)

Think-Adz Search Assistant removal

VideoLAN VLC media player 0.8.6

VMN Toolbar

WebFldrs XP

Windows Installer 3.1 (KB893803)

Windows Live Messenger

Windows Media Format 11 runtime

Windows Media Format 11 runtime

Windows Media Player 11

Yahoo! Extras

Yahoo! Install Manager

Yahoo! Internet Mail

Yahoo! Messenger

 

 

 

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est BC64-E9AE

 

Répertoire de C:\Program Files

 

08/01/2007 21:24 <REP> .

08/01/2007 21:24 <REP> ..

03/12/2006 20:42 <REP> ACD Systems

15/12/2006 16:06 <REP> Adobe

08/01/2007 16:33 <REP> AntiVir PersonalEdition Classic

17/11/2006 17:15 <REP> ATI Technologies

17/11/2006 16:48 <REP> ComPlus Applications

15/12/2006 16:03 <REP> Fichiers communs

27/12/2006 16:06 <REP> Grisoft

09/01/2007 13:03 <REP> HijackThis

30/11/2006 20:23 <REP> Internet Explorer

08/12/2006 18:36 <REP> Java

17/11/2006 18:05 <REP> Lavasoft

17/11/2006 18:00 <REP> Messenger

17/11/2006 18:14 <REP> Messenger Plus! Live

17/11/2006 16:51 <REP> microsoft frontpage

15/12/2006 16:14 <REP> Microsoft Office

03/12/2006 20:36 <REP> Microsoft.NET

17/11/2006 16:49 <REP> Movie Maker

08/01/2007 20:21 <REP> Mozilla Firefox

17/11/2006 16:47 <REP> MSN

23/11/2006 20:14 <REP> MSN Games

17/11/2006 16:48 <REP> MSN Gaming Zone

17/11/2006 18:14 <REP> MSN Messenger

17/11/2006 16:49 <REP> NetMeeting

17/11/2006 16:48 <REP> Online Services

30/11/2006 20:23 <REP> Outlook Express

17/11/2006 17:08 <REP> Realtek

08/01/2007 16:47 <REP> SAGEM

08/01/2007 16:47 <REP> SAGEM WiFi manager

08/01/2007 20:17 717 350 SDFix.exe

17/11/2006 16:50 <REP> Services en ligne

24/11/2006 13:43 <REP> Windows Media Connect 2

30/11/2006 20:26 <REP> Windows Media Player

17/11/2006 16:47 <REP> Windows NT

17/11/2006 18:55 <REP> WinRAR

17/11/2006 16:51 <REP> xerox

20/11/2006 18:28 <REP> Yahoo!

1 fichier(s) 717 350 octets

37 Rép(s) 4 747 370 496 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est BC64-E9AE

 

Répertoire de C:\Program Files\fichiers communs

 

15/12/2006 16:03 <REP> .

15/12/2006 16:03 <REP> ..

03/12/2006 20:42 <REP> ACD Systems

15/12/2006 16:04 <REP> Adobe

15/12/2006 16:03 <REP> Adobe Systems Shared

03/12/2006 20:36 <REP> DESIGNER

17/11/2006 17:15 <REP> InstallShield

08/12/2006 18:34 <REP> Java

20/11/2006 16:25 <REP> Macromedia

15/12/2006 16:14 <REP> Microsoft Shared

17/11/2006 16:49 <REP> MSSoap

17/11/2006 17:27 <REP> ODBC

17/11/2006 16:49 <REP> Services

17/11/2006 17:27 <REP> SpeechEngines

27/12/2006 15:28 <REP> System

0 fichier(s) 0 octets

15 Rép(s) 4 747 370 496 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est BC64-E9AE

 

Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

 

27/12/2006 16:19 <REP> .

27/12/2006 16:19 <REP> ..

03/12/2006 20:36 <REP> 1033

15/12/2006 16:11 <REP> 1036

26/10/2006 19:49 970 528 MSONSEXT.DLL

15/07/2003 06:52 35 896 MSOSV.DLL

03/06/1999 12:09 122 937 MSOWS409.DLL

07/03/2001 07:00 127 033 MSOWS40c.DLL

11/07/2003 02:25 80 448 PKMWS.DLL

5 fichier(s) 1 336 842 octets

4 Rép(s) 4 747 370 496 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est BC64-E9AE

 

Répertoire de C:\

 

09/01/2007 12:41 420 791 DiagHelp.exe

11/11/2001 00:00 68 096 diff.exe

27/08/2006 14:10 32 768 FilesInfoCmd.exe

27/08/2006 14:10 114 688 Fport.exe

27/08/2006 14:10 103 424 grep.exe

27/08/2006 14:10 28 672 LFiles.exe

27/08/2006 14:10 65 536 LISTDLLS.exe

27/08/2006 14:10 86 016 pslist.exe

09/01/2007 12:40 400 940 rustbfix.exe

27/08/2006 14:10 36 864 streams.exe

20/10/2006 08:48 135 168 swreg.exe

11 fichier(s) 1 492 963 octets

0 Rép(s) 4 747 370 496 octets libres

c:\Documents and Settings\amauryjanin\Bureau\rustbfix.exe

c:\Documents and Settings\aaaa\Application Data\Mozilla\Firefox\Profiles\sc82vjzg.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbar.dll

c:\Documents and Settings\aaaa\Application Data\Mozilla\Firefox\Profiles\sc82vjzg.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\metrics.dll

c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll

c:\Documents and Settings\LocalService\Application Data\Microsoft\UPnP Device Host\upnphost\udhisapi.dll

 

Paré pour la suite ! :P

Lien vers le commentaire
Partager sur d’autres sites
Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

salut jamie :P

 

Tu as bien bossé , le rootkit a été éliminé :P ceci dit il reste du boulot!! Etant actuellement au travail , je ne pourrais te préparer une procédure que ce soir.

 

Stp recherche ce fichier >

 

C:\dvwodfnr.bat et fais un clic droit dessus(ne double clique pas dessus!!) , dans la liste qui s'ouvre choisis Modifier > le notepad s'ouvre : copie/colle le contenu du fichier dans ton prochain message.Ferme le fichier texte.

 

@ toute à l'heure.

Lien vers le commentaire
Partager sur d’autres sites
Jamie Mega Power Member

Jamie

Posté(e)
  • Auteur
Posté(e)

Bonsoir, Charles Ingals

 

"Le fichier est introuvable" voilà ce que me dit mon cher windows.

J'ai essayé :

- recherche windows

-chemin d'accès direct dans l'explorateur

 

Voilà voilà pour l'instant

merci encore de ton aide

 

Jamie :P

Lien vers le commentaire
Partager sur d’autres sites
Thanos Devil Member !

Thanos

Posté(e)
Posté(e) (modifié)

re!

 

Bon allons y pour la suite!Ca a l'air long et compliqué mais ca n'est pas du tout le cas!!c'est juste détaillé!

Va jusqu'au bout et si tu rencontres un problème, n'hésite pas à me le dire :P

 

Tu as deux possiblités pour consulter les instructions qui suivent:

 

-Soit tu copie/colles le contenu de la procédure dans un fichier texte(que tu met sur le bureau) pour pouvoir le consulter en mode sans échec(tu n'auras pas accès à internet!).

 

-Tu peux également enregistrer la page web complète, sur laquelle se trouve la procédure,

en le faisant à partir de ton navigateur :

 

-Aller en haut de page et cliquer sur le menu"Fichier" : une liste apparait=>

-Choisis "Enregistrer sous" et choisis "Bureau".

-Ensuite cliquer sur le bouton "Enregistrer" à droite du champs "nom du fichier".

 

Pour lire la procédure en mode sans échec, tu n'auras qu'à double cliquer sur le fichier Petite analyse SVP (avec l'icone de ton navigateur) situé sur le bureau.(tu noteras qu'un nouveau dossier va se créer sur le bureau en plus du fichier : c'est normal!) De cette manière, tu conserveras toutes les mises en formes et les couleurs de la procédure, et cela permettra de t'y retrouver.

--------------------------------------------------------------------------------------------------------------------------

 

La procédure:

 

-Télécharge ATF Cleaner by Atribune sur ton bureau.

 

-Télécharge puis installe AVG Anti-Spyware (AVG AS)

Une fois AVG AS lancé, clique sur "Mise à jour"

Lorsque la mise à jour est terminée, ferme le programme.

 

-Télécharge LSPfix d'une de ces deux adresse :

http://www.downloads.subratam.org/lspfix.zip

http://www.cexx.org/lspfix.htm

Conserve le de côté: on l'utilisera au besoin.

 

Étape 1:

 

* Ouvre Hijackthis et clique sur "Open the misc tools section"=> puis "Delete an NT service".

  • la fenêtre "Delete a Windows NT service" va s'ouvrir
  • Dans la fenêtre qui s'ouvre, copie/colle ceci => cmdService

    Note : assure-toi de ne pas mettre d'espace avant le nom du service que tu as copié/collé dans le champs.

  • clique sur OK
  • Une autre fenêtre devrait s'ouvrir, donnant des informations sur le service et demandant si tu veux re-démarrer.
  • Cliquer sur YES

Le pc devrait redémarrer : redémarre en mode sans échec comme indiqué ci dessous.

 

Étape 2:

 

*Redémarre le PC, impérativement en mode sans échec,(au démarrage, tapoter immédiatement la touche F8,puis apparaitra un écran avec choix de démarrages : choisir "Mode sans échec" avec les flèches du clavier, puis valider avec "Entrée".

Choisir le compte usuel (et non Administrateur).

 

en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec"

 

(n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte)

 

Étape 3:

 

* Démarre Hijackthis et clique sur la case "Do a system scan only",puis coche les lignes suivantes :

O4 - HKLM\..\Run: [dgvuixfr] C:\dvwodfnr.bat

-Ferme tous les programmes et clique sur "Fix Checked"

 

Étape 4:

 

*Passe par "Ajouter ou Supprimer des Programmes"(Panneau de Configuration) et désinstalle les programmes suivant:

 

Enhanced Ads by Think-Adz removal

New.net Domains 6.38

Think-Adz Search Assistant removal

VMN Toolbar

 

Étape 5:

 

Double-clique sur ATF-Cleaner.exe afin de lancer le programme.

  • Pour internet explorer
    Sous l'onglet Main, choisis : Select All
    Clique sur le bouton Empty Selected
     
    Pour Firefox(si tu l'utilises)
    Sous l'onglet Firefox, choisis : Select All
    Clique le bouton Empty Selected
    NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
    Clique Exit, du menu prinicipal, afin de fermer le programme.

* Si l'onglet "Firefox" est grisé dans ATF,nettoie le cache et les cookies dans Firefox comme ceci :

  • Ouvre Firefox et clique sur Outils=> Options
  • Clique sur l'onglet Vie Privée
  • clique sur le bouton Vider le cache dans l'onglet "Historique"
  • clique sur le bouton Supprimer les cookies dans l'onglet "Cookies"
  • clique sur le bouton Vider le cache dans l'onglet "Cache"
  • clique sur le bouton Ok pour fermer la fenêtre des options et valider tes choix.

Étape 6:

 

Relance AVG AS puis choisis l'onglet "Analyse"

Puis l'onglet "Paramètres

Sous la question "Comment réagir ?", clique sur "Actions recommandées" et choisis "Quarantaine"

scanavgjk2.jpg

Re-clique sur l'onglet "Analyse" puis réalise une "Analyse complète du système"

 

/!\ Si un fichier infecté est détécté en fin d'analyse /!\

Clique sur "Appliquer toutes les actions "

 

Clique sur "Enregistrer le rapport" puis sur "Enregistrer le rapport sous"

Enregistre ce fichier texte sur ton bureau.

 

Étape 7:

 

Redémarre normalement et poste stp les rapports suivants >

 

- un nouveau rapport hijackthis.

- le rapport d'Avg As

- un nouveau rapport DiagHelp.

 

Note:

 

Si tu a perdu ta connexion à Internet, fais ceci >

 

Dézippe Lspfix.zip sur ton bureau.

Démarre LSPFix. en double cliquant sur LSPFix.exe

Coche 'I know what I'm doing'

Clique sur 'Finish'.

Redémarre ton PC.

 

Allez courage!! après ca ca ira beaucoup mieux :P

Modifié par charles ingals
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...