petit rapport hijackthis plein de virus...

JackDaniels123 · le 1 avril 2007

Bonjour à tous!!

Alors voilà le deuxième PC , je lui ai fait un nettoyage suivant Zebulon, avec l'antivirus Antivir, j'ai effectué une analyse HijackThis ci après.

Pour les problèmes c les mêmes que l'autre ordi mais la en plus au démarrage il ne trouve pas un fichier C:\WINDOWS.

Logfile of HijackThis v1.99.1

Scan saved at 19:46:57, on 01/04/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\ibmpmsvc.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\IBM\IBM Rapid Restore Ultra\rrpcsb.exe

C:\WINDOWS\System32\QCONSVC.EXE

C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\TpKmpSVC.exe

c:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\system32\TpShocks.exe

C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe

C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe

C:\WINDOWS\system32\dla\tfswctrl.exe

C:\IBMTOOLS\UTILS\ibmprc.exe

C:\WINDOWS\system32\RunDll32.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Hewlett-Packard\hp deskjet 460 series\Toolbox\HPWRTBX.exe

C:\Program Files\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\IBM\Messages By IBM\ibmmessages.exe

C:\Program Files\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe

C:\Program Files\Digital Line Detect\DLG.exe

C:\Program Files\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe

C:\Program Files\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\msiexec.exe

C:\Program Files\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/defaul...earch.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.momes.net/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.yahoo.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://fr.rd.yahoo.com/customize/ie/defaul...earch.yahoo.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/defaul...earch.yahoo.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/defaul...earch.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\sembako-dezjkkg.exe"

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll

O4 - HKLM\..\Run: [s3TRAY2] S3Tray2.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Program Files\ThinkPad\Utilities\TpKmapAp.exe -helper

O4 - HKLM\..\Run: [TpShocks] TpShocks.exe

O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe

O4 - HKLM\..\Run: [TP4EX] tp4ex.exe

O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [uC_Start] C:\Program Files\IBM\Updater\\ucstartup.exe

O4 - HKLM\..\Run: [updateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe

O4 - HKLM\..\Run: [ibmmessages] C:\Program Files\IBM\Messages By IBM\\ibmmessages.exe

O4 - HKLM\..\Run: [iBMPRC] C:\IBMTOOLS\UTILS\ibmprc.exe

O4 - HKLM\..\Run: [bMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor

O4 - HKLM\..\Run: [bMMLREF] C:\Program Files\ThinkPad\Utilities\BMMLREF.EXE

O4 - HKLM\..\Run: [bMMMONWND] rundll32.exe C:\PROGRA~1\ThinkPad\UTILIT~1\BatInfEx.dll,BMMAutonomicMonitor

O4 - HKLM\..\Run: [HPWRTOOLBOX] C:\Program Files\Hewlett-Packard\hp deskjet 460 series\Toolbox\HPWRTBX.exe "-i"

O4 - HKLM\..\Run: [statusClient] C:\Program Files\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto

O4 - HKLM\..\Run: [TomcatStartup] C:\Program Files\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\Run: [update] C:\Program Files\AntiVir PersonalEdition Classic\preupd.exe /CALLSCHEDULER /DM="0" /CALLSCHEDULER

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [ibmmessages] C:\Program Files\IBM\Messages By IBM\ibmmessages.exe

O4 - HKCU\..\Run: [Tok-Cirrhatus-6777] "C:\Documents and Settings\PREMIERE URGENCE\Local Settings\Application Data\br14577on.exe"

O4 - Global Startup: Digital Line Detect.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\IBM\Java141\jre\bin\NPJPI141.dll

O9 - Extra 'Tools' menuitem: Console Java (IBM) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\IBM\Java141\jre\bin\NPJPI141.dll

O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesfr.dll

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesfr.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O11 - Options group: [JAVA_IBM] Java (IBM)

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/...lscbase9602.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{8476BEA3-249E-40B6-A12C-3702A550D030}: NameServer = 62.128.175.15,62.128.175.14

O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll

O20 - Winlogon Notify: QConGina - C:\WINDOWS\SYSTEM32\QConGina.dll

O20 - Winlogon Notify: tphotkey - C:\WINDOWS\SYSTEM32\tphklock.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe (file missing)

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: IBM Rapid Restore Ultra Service - Unknown owner - C:\Program Files\IBM\IBM Rapid Restore Ultra\rrpcsb.exe

O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing)

O23 - Service: QCONSVC - IBM Corp. - C:\WINDOWS\System32\QCONSVC.EXE

O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe (file missing)

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe

Voilà merci d'avance et bonne bourre.

chercheur · le 1 avril 2007

Bonsoir

Pour le PC 1

Tu dis ne rien trouver comme services, as tu utilisé le désinstalleur de Norton ?

Si tu as encore une fenêtre qui apparait, cela veut dire qu'il reste quelque chose.

Poste un nouveau rapport Hijackthis en le numérotant PC 1

Pour le PC 2

Il y a une infection Brontok.

Commence par faire ceci.

* Télécharge Silent Runners

http://www.silentrunners.org/Silent%20Runners.zip

Si tu as une alerte de ton antivirus au cours du téléchargement, ou au cours de son utilisation au sujet de ce script, n'en tiend pas compte.

Une fois téléchargé,tu le dézippes dans un dossier dédié.

Puis tu double cliques sur ce fichier,il va travailler, patiente jusqu'à l'affichage d'un message.

Un rapport est généré dans le meme dossier, colle le ici.

La fin doit ressembler à ceci

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,

launch it from a command prompt or a shortcut with the -all parameter.

+ The search for DESKTOP.INI DLL launch points on all local fixed drives

took 104 seconds.

+ The search for all Registry CLSIDs containing dormant Explorer Bars

took 14 seconds.

---------- (total run time: 162 seconds)

* Télécharge LopxpMH sur ton Bureau.

http://perso.numericable.fr/~altshift/Info...rs/lopxpMH2.zip

Dézippe-le (clic droit >> Extraire ici) et double clique sur le fichier lopxpMH.bat.

Poste le contenu du rapport qui va s'ouvrir.

JackDaniels123 · le 2 avril 2007

Bonjour, alors j'ai recommencer les manipulations décrites (installation du logiciel remove, les deux liens), le résultat était tjs le même: fenetre d'installation qui apparait. Alors je suis allé dans la Bande de registre et à l'aide de la fonction rechercher, j'ai effacer toutes les clé Symantec, liveupdate et Norton. Maintenant la fenetre n'apparait plus.

Le rapport hijack du PC1 est le suivant:

Logfile of HijackThis v1.99.1

Scan saved at 11:49:36, on 02/04/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Apoint\Apoint.exe

C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe

C:\Program Files\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe

C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe

C:\WINDOWS\AdobeR.exe

C:\Program Files\Messenger\msmsgs.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe

C:\Program Files\Apoint\Apntex.exe

C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng1.exe

C:\Program Files\Digital Line Detect\DLG.exe

C:\WINDOWS\system32\basfipm.exe

C:\Program Files\Hewlett-Packard\Toolbox\jre\bin\javaw.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe

C:\WINDOWS\System32\PAStiSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\msiexec.exe

C:\Program Files\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.dell.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.yahoo.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe

O4 - HKLM\..\Run: [statusClient 2.6] C:\Program Files\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe /auto

O4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Program Files\Hewlett-Packard\Toolbox\hpbpsttp.exe

O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [OrderReminder] C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe

O4 - HKLM\..\Run: [RavAV] C:\WINDOWS\AdobeR.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Bluetooth Manager.lnk = ?

O4 - Global Startup: Digital Line Detect.lnk = ?

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/...lscbase9602.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{5D89659C-7BD6-4D11-9175-FD22811293EB}: NameServer = 62.128.175.15,62.128.175.14

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

O20 - Winlogon Notify: NavLogon - C:\WINDOWS\

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Broadcom ASF IP monitoring service v6.0.4 (BAsfIpM) - Broadcom Corp. - C:\WINDOWS\system32\basfipm.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

Voilà, je fais les manipulations du 2ème PC et je vous communique tout ça.

Merci!!!

JackDaniels123 · le 2 avril 2007

Voilà j'ai fais les manip sur le 2ème PC donc le rapport silentrunner est le suivant:

"Silent Runners.vbs", revision R50, http://www.silentrunners.org/

Operating System: Windows XP SP2

Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:

---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}

"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]

"ibmmessages" = "C:\Program Files\IBM\Messages By IBM\ibmmessages.exe" ["IBM"]

"Tok-Cirrhatus" = "*a" (unwritable string) [file not found]

"Tok-Cirrhatus-6777" = ""C:\Documents and Settings\PREMIERE URGENCE\Local Settings\Application Data\br14577on.exe"" [file not found]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}

"S3TRAY2" = "S3Tray2.exe" ["S3 Graphics, Inc."]

"SynTPLpr" = "C:\Program Files\Synaptics\SynTP\SynTPLpr.exe" ["Synaptics, Inc."]

"SynTPEnh" = "C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" ["Synaptics, Inc."]

"TPKMAPHELPER" = "C:\Program Files\ThinkPad\Utilities\TpKmapAp.exe -helper" ["IBM Corp."]

"TpShocks" = "TpShocks.exe" ["IBM Corp."]

"TPHOTKEY" = "C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe" [null data]

"TP4EX" = "tp4ex.exe" ["IBM Corporation"]

"EZEJMNAP" = "C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe" ["IBM Corp."]

"ATIPTA" = "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" ["ATI Technologies, Inc."]

"UC_Start" = "C:\Program Files\IBM\Updater\\ucstartup.exe" [null data]

"UpdateManager" = ""C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r" ["Sonic Solutions"]

"dla" = "C:\WINDOWS\system32\dla\tfswctrl.exe" ["Sonic Solutions"]

"(Default)" = "(empty string)" [file not found]

"ibmmessages" = "C:\Program Files\IBM\Messages By IBM\\ibmmessages.exe" ["IBM"]

"IBMPRC" = "C:\IBMTOOLS\UTILS\ibmprc.exe" ["IBM Corp."]

"BMMGAG" = "RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor" [MS]

"BMMLREF" = "C:\Program Files\ThinkPad\Utilities\BMMLREF.EXE" [null data]

"BMMMONWND" = "rundll32.exe C:\PROGRA~1\ThinkPad\UTILIT~1\BatInfEx.dll,BMMAutonomicMonitor" [MS]

"HPWRTOOLBOX" = "C:\Program Files\Hewlett-Packard\hp deskjet 460 series\Toolbox\HPWRTBX.exe "-i"" ["Hewlett-Packard Company"]

"StatusClient" = "C:\Program Files\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto" ["Hewlett-Packard"]

"TomcatStartup" = "C:\Program Files\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe" ["Hewlett-Packard"]

"vptray" = "C:\PROGRA~1\SYMANT~1\VPTray.exe" [file not found]

"Bron-Spizaetus" = "*Z" (unwritable string) [file not found]

"Update" = "C:\Program Files\AntiVir PersonalEdition Classic\preupd.exe /CALLSCHEDULER /DM="0" /CALLSCHEDULER" [file not found]

"RavAV" = "C:\WINDOWS\AdobeR.exe" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)

-> {HKLM...CLSID} = "AcroIEHlprObj Class"

\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]

{5CA3D70E-1895-11CF-8E15-001234567890}\(Default) = (no title provided)

-> {HKLM...CLSID} = "DriveLetterAccess"

\InProcServer32\(Default) = "C:\WINDOWS\system32\dla\tfswshx.dll" ["Sonic Solutions"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\

"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal"

-> {HKLM...CLSID} = "HyperTerminal Icon Ext"

\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]

"{DEE12703-6333-4D4E-8F34-738C4DCC2E04}" = "RecordNow! SendToExt"

-> {HKLM...CLSID} = "RecordNow! SendToExt"

\InProcServer32\(Default) = "C:\Program Files\IBM RecordNow!\shlext.dll" [null data]

"{5CA3D70E-1895-11CF-8E15-001234567890}" = "DriveLetterAccess"

-> {HKLM...CLSID} = "DriveLetterAccess"

\InProcServer32\(Default) = "C:\WINDOWS\system32\dla\tfswshx.dll" ["Sonic Solutions"]

"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"

-> {HKLM...CLSID} = "Outlook File Icon Extension"

\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL" [MS]

"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"

-> {HKLM...CLSID} = "WinRAR"

\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

"{BDA77241-42F6-11d0-85E2-00AA001FE28C}" = "LDVP Shell Extensions"

-> {HKLM...CLSID} = "VpshellEx Class"

\InProcServer32\(Default) = "C:\Program Files\Fichiers communs\Symantec Shared\SSC\vpshell2.dll" ["Symantec Corporation"]

"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"

-> {HKLM...CLSID} = "Portable Media Devices Menu"

\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]

"{AB77609F-2178-4E6F-9C4B-44AC179D937A}" = "a-squared Context Menu Shell Extension"

-> {HKLM...CLSID} = "a-squared context menu"

\InProcServer32\(Default) = "C:\PROGRA~1\A-SQUA~1\A2CONT~1.DLL" [file not found]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\

<<!>> "Shell" = "Explorer.exe "C:\WINDOWS\sembako-dezjkkg.exe"" [MS], [file not found]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\

<<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]

<<!>> NavLogon\DLLName = "C:\WINDOWS\system32\NavLogon.dll" ["Symantec Corporation"]

<<!>> QConGina\DLLName = "QConGina.dll" ["IBM Corp."]

<<!>> tphotkey\DLLName = "tphklock.dll" [null data]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\

LDVPMenu\(Default) = "{BDA77241-42F6-11d0-85E2-00AA001FE28C}"

-> {HKLM...CLSID} = "VpshellEx Class"

\InProcServer32\(Default) = "C:\Program Files\Fichiers communs\Symantec Shared\SSC\vpshell2.dll" ["Symantec Corporation"]

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

-> {HKLM...CLSID} = "WinRAR"

\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

-> {HKLM...CLSID} = "WinRAR"

\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\

a2ContMenu\(Default) = "{AB77609F-2178-4E6F-9C4B-44AC179D937A}"

-> {HKLM...CLSID} = "a-squared context menu"

\InProcServer32\(Default) = "C:\PROGRA~1\A-SQUA~1\A2CONT~1.DLL" [file not found]

LDVPMenu\(Default) = "{BDA77241-42F6-11d0-85E2-00AA001FE28C}"

-> {HKLM...CLSID} = "VpshellEx Class"

\InProcServer32\(Default) = "C:\Program Files\Fichiers communs\Symantec Shared\SSC\vpshell2.dll" ["Symantec Corporation"]

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

-> {HKLM...CLSID} = "WinRAR"

\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\

a2ContMenu\(Default) = "{AB77609F-2178-4E6F-9C4B-44AC179D937A}"

-> {HKLM...CLSID} = "a-squared context menu"

\InProcServer32\(Default) = "C:\PROGRA~1\A-SQUA~1\A2CONT~1.DLL" [file not found]

Group Policies {GPedit.msc branch and setting}:

-----------------------------------------------

Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"NoFolderOptions" = (REG_DWORD) hex:0x00000000

{User Configuration|Administrative Templates|Windows Components|Windows Explorer|

Removes the Folder Options menu item from the Tools menu}

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"DisableCMD" = (REG_DWORD) hex:0x00000000

{unrecognized setting}

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001

{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|

Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001

{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|

Devices: Allow undock without having to log on}

Active Desktop and Wallpaper:

-----------------------------

Active Desktop may be disabled at this entry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:

HKCU\Software\Microsoft\Internet Explorer\Desktop\General\

"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:

HKCU\Control Panel\Desktop\

"Wallpaper" = "C:\Documents and Settings\PREMIERE URGENCE\Local Settings\Application Data\Microsoft\Wallpaper1.bmp"

Enabled Screen Saver:

---------------------

HKCU\Control Panel\Desktop\

"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]

Startup items in "PREMIERE URGENCE" & "All Users" startup folders:

------------------------------------------------------------------

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage

"Digital Line Detect" -> shortcut to: "C:\Program Files\Digital Line Detect\DLG.exe" ["BVRP Software"]

"Microsoft Office" -> shortcut to: "C:\Program Files\Microsoft Office\Office\OSA9.EXE -b -l" [MS]

Winsock2 Service Provider DLLs:

-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}

000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]

000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}

0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:

%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 16

%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

Toolbars, Explorer Bars, Extensions:

------------------------------------

Explorer Bars

HKCU\Software\Microsoft\Internet Explorer\Explorer Bars\

{4528BBE0-4E08-11D5-AD55-00010333D0AD}\(Default) = (no title provided)

-> {HKLM...CLSID} = "&Yahoo! Messenger"

\InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Common\yhexbmesfr.dll" ["Yahoo! Inc."]

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\

{4528BBE0-4E08-11D5-AD55-00010333D0AD}\(Default) = (no title provided)

-> {HKLM...CLSID} = "&Yahoo! Messenger"

\InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Common\yhexbmesfr.dll" ["Yahoo! Inc."]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\

{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\

"MenuText" = "Console Java (IBM)"

"CLSIDExtension" = "{08B0E5C0-4FCB-11CF-AAA5-00401C608501}"

{4528BBE0-4E08-11D5-AD55-00010333D0AD}\

"ButtonText" = "Messenger"

"MenuText" = "Yahoo! Messenger"

"CLSIDExtension" = "{4C171D40-8277-11D5-AD55-00010333D0AD}"

-> {HKLM...CLSID} = (no title provided)

\InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Common\yhexbmesfr.dll" ["Yahoo! Inc."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\

"ButtonText" = "Messenger"

"MenuText" = "Windows Messenger"

"Exec" = "C:\Program Files\Messenger\msmsgs.exe" [MS]

Miscellaneous IE Hijack Points

------------------------------

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

Added lines (compared with English-language version):

[strings]: SAFESITE_VALUE="http://home.microsoft.com/intl/fr/"

Missing lines (compared with English-language version):

[strings]: 1 line

Running Services (Display Name, Service Name, Path {Service DLL}):

------------------------------------------------------------------

Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI Technologies Inc."]

Carte de performance WMI, WmiApSrv, "C:\WINDOWS\System32\wbem\wmiapsrv.exe" [MS]

EvtEng, EvtEng, "C:\Program Files\Intel\Wireless\Bin\EvtEng.exe" ["Intel Corporation"]

IBM KCU Service, TpKmpSVC, "C:\WINDOWS\system32\TpKmpSVC.exe" [null data]

IBM PM Service, IBMPMSVC, "C:\WINDOWS\System32\ibmpmsvc.exe" [null data]

IBM Rapid Restore Ultra Service, IBM Rapid Restore Ultra Service, ""C:\Program Files\IBM\IBM Rapid Restore Ultra\rrpcsb.exe"" [empty string]

QCONSVC, QCONSVC, "System32\QCONSVC.EXE" ["IBM Corp."]

RegSrvc, RegSrvc, "C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe" ["Intel Corporation"]

Spectrum24 Event Monitor, S24EventMonitor, "C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe" ["Intel Corporation "]

Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]

Print Monitors:

---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\

HP Master Monitor\Driver = "HPBMMON.DLL" ["Hewlett-Packard"]

hpz3l3xt\Driver = "hpz3l3xt.dll" ["Hewlett-Packard Company"]

Microsoft Shared Fax Monitor\Driver = "FXSMON.DLL" [MS]

PCL Language Monitor\Driver = "hpz3l3y2.dll" ["Hewlett-Packard Company"]

SP501 GDI Language Monitor\Driver = "PWLANMON.DLL" ["Destiny Technology Corporation"]

SP501 GDI Port Monitor\Driver = "PWPRTMON.DLL" [null data]

----------

<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.

+ To see *everywhere* the script checks and *everything* it finds,

launch it from a command prompt or a shortcut with the -all parameter.

+ To search all directories of local fixed drives for DESKTOP.INI

DLL launch points, use the -supp parameter or answer "No" at the

first message box and "Yes" at the second message box.

---------- (total run time: 38 seconds, including 12 seconds for message boxes)

.... et le rapport LoP est :

Rapport fait à 13:13:42,93 le 02/04/2007

******************************************

## Répertoires Application Data

Le volume dans le lecteur C s'appelle IBM_PRELOAD

Le num‚ro de s‚rie du volume est 584B-B6F2

R‚pertoire de C:\Documents and Settings\Administrateur\Application Data

25/02/2003 18:19 <REP> .

25/02/2003 18:19 <REP> ..

25/02/2003 18:19 <REP> Identities

25/02/2003 18:19 <REP> Microsoft

10/09/2005 13:39 <REP> Sonic

10/09/2005 13:40 <REP> Symantec

25/02/2003 18:19 62 desktop.ini

1 fichier(s) 62 octets

6 R‚p(s) 27ÿ121ÿ713ÿ152 octets libres

Le volume dans le lecteur C s'appelle IBM_PRELOAD

Le num‚ro de s‚rie du volume est 584B-B6F2

R‚pertoire de C:\Documents and Settings\Administrateur\Local Settings\Application Data

25/02/2003 18:19 <REP> .

25/02/2003 18:19 <REP> ..

29/03/2007 19:11 <REP> Bron.tok-18-29

10/09/2005 13:32 <REP> BVRP Software

25/02/2003 18:19 <REP> Microsoft

10/09/2005 13:23 33ÿ208 GDIPFONTCACHEV1.DAT

25/02/2003 19:06 1ÿ930ÿ896 IconCache.db

2 fichier(s) 1ÿ964ÿ104 octets

5 R‚p(s) 27ÿ121ÿ709ÿ056 octets libres

Le volume dans le lecteur C s'appelle IBM_PRELOAD

Le num‚ro de s‚rie du volume est 584B-B6F2

R‚pertoire de C:\Documents and Settings\All Users\Application Data

25/02/2003 18:05 <REP> .

25/02/2003 18:05 <REP> ..

30/08/2006 10:18 <REP> Adobe

18/07/2006 17:04 <REP> Apple Computer

10/09/2005 13:39 <REP> IBM

10/09/2005 13:29 <REP> Intel

25/02/2003 18:05 <REP> Microsoft

25/02/2003 18:22 <REP> SBSI

10/09/2005 13:40 <REP> Symantec

12/08/2006 16:14 <REP> Windows Genuine Advantage

10/08/2006 18:44 <REP> Yahoo!

25/02/2003 18:05 62 desktop.ini

1 fichier(s) 62 octets

11 R‚p(s) 27ÿ121ÿ709ÿ056 octets libres

Le volume dans le lecteur C s'appelle IBM_PRELOAD

Le num‚ro de s‚rie du volume est 584B-B6F2

R‚pertoire de C:\Documents and Settings\Default User\Application Data

25/02/2003 18:05 <REP> .

25/02/2003 18:05 <REP> ..

18/07/2006 07:28 <REP> Identities

25/02/2003 18:05 <REP> Microsoft

18/07/2006 07:28 <REP> Sonic

18/07/2006 07:28 <REP> Symantec

25/02/2003 18:05 62 desktop.ini

1 fichier(s) 62 octets

6 R‚p(s) 27ÿ121ÿ709ÿ056 octets libres

Le volume dans le lecteur C s'appelle IBM_PRELOAD

Le num‚ro de s‚rie du volume est 584B-B6F2

R‚pertoire de C:\Documents and Settings\Default User\Local Settings\Application Data

25/02/2003 18:05 <REP> .

25/02/2003 18:05 <REP> ..

18/07/2006 07:28 <REP> BVRP Software

18/07/2006 07:28 <REP> Microsoft

18/07/2006 07:28 13ÿ104 GDIPFONTCACHEV1.DAT

18/07/2006 07:28 6ÿ291ÿ456 IconCache.db

2 fichier(s) 6ÿ304ÿ560 octets

4 R‚p(s) 27ÿ121ÿ709ÿ056 octets libres

Le volume dans le lecteur C s'appelle IBM_PRELOAD

Le num‚ro de s‚rie du volume est 584B-B6F2

R‚pertoire de C:\Documents and Settings\LocalService\Application Data

25/02/2003 18:19 <REP> .

25/02/2003 18:19 <REP> ..

25/02/2003 18:19 <REP> Microsoft

0 fichier(s) 0 octets

3 R‚p(s) 27ÿ121ÿ709ÿ056 octets libres

Le volume dans le lecteur C s'appelle IBM_PRELOAD

Le num‚ro de s‚rie du volume est 584B-B6F2

R‚pertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data

25/02/2003 18:19 <REP> .

25/02/2003 18:19 <REP> ..

25/02/2003 18:19 <REP> Microsoft

0 fichier(s) 0 octets

3 R‚p(s) 27ÿ121ÿ704ÿ960 octets libres

Le volume dans le lecteur C s'appelle IBM_PRELOAD

Le num‚ro de s‚rie du volume est 584B-B6F2

R‚pertoire de C:\Documents and Settings\NetworkService\Application Data

25/02/2003 18:19 <REP> .

25/02/2003 18:19 <REP> ..

25/02/2003 18:19 <REP> Microsoft

0 fichier(s) 0 octets

3 R‚p(s) 27ÿ121ÿ704ÿ960 octets libres

Le volume dans le lecteur C s'appelle IBM_PRELOAD

Le num‚ro de s‚rie du volume est 584B-B6F2

R‚pertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data

25/02/2003 18:19 <REP> .

25/02/2003 18:19 <REP> ..

25/02/2003 18:19 <REP> Microsoft

0 fichier(s) 0 octets

3 R‚p(s) 27ÿ121ÿ704ÿ960 octets libres

Le volume dans le lecteur C s'appelle IBM_PRELOAD

Le num‚ro de s‚rie du volume est 584B-B6F2

R‚pertoire de C:\Documents and Settings\PREMIERE URGENCE\Application Data

18/07/2006 07:29 <REP> .

18/07/2006 07:29 <REP> ..

29/08/2006 08:37 <REP> Adobe

29/08/2006 10:12 <REP> AdobeUM

18/07/2006 17:06 <REP> Apple Computer

09/03/2007 17:11 <REP> DivX

19/07/2006 13:16 <REP> Help

18/07/2006 07:51 <REP> IBM

18/07/2006 07:29 <REP> Identities

09/08/2006 15:22 <REP> InterVideo

18/07/2006 07:45 <REP> Macromedia

18/07/2006 07:29 <REP> Microsoft

18/07/2006 16:55 <REP> Microsoft Web Folders

09/03/2007 17:24 <REP> Mozilla

30/08/2006 10:43 <REP> PlayFirst

18/07/2006 07:29 <REP> Sonic

18/07/2006 07:29 <REP> Symantec

18/07/2006 07:29 62 desktop.ini

27/10/2006 13:07 284 ViewerApp.dat

2 fichier(s) 346 octets

17 R‚p(s) 27ÿ121ÿ704ÿ960 octets libres

Le volume dans le lecteur C s'appelle IBM_PRELOAD

Le num‚ro de s‚rie du volume est 584B-B6F2

R‚pertoire de C:\Documents and Settings\PREMIERE URGENCE\Local Settings\Application Data

18/07/2006 07:29 <REP> .

18/07/2006 07:29 <REP> ..

29/08/2006 10:12 <REP> Adobe

18/07/2006 17:06 <REP> Apple Computer

01/03/2007 16:05 <REP> Bron.tok-18-1

10/12/2006 01:00 <REP> Bron.tok-18-10

11/12/2006 08:02 <REP> Bron.tok-18-11

12/12/2006 08:56 <REP> Bron.tok-18-12

13/12/2006 10:56 <REP> Bron.tok-18-13

14/12/2006 06:53 <REP> Bron.tok-18-14

15/12/2006 08:56 <REP> Bron.tok-18-15

16/03/2007 09:15 <REP> Bron.tok-18-16

17/12/2006 12:43 <REP> Bron.tok-18-17

18/12/2006 08:44 <REP> Bron.tok-18-18

19/12/2006 09:37 <REP> Bron.tok-18-19

02/10/2006 09:41 <REP> Bron.tok-18-2

20/12/2006 09:35 <REP> Bron.tok-18-20

21/12/2006 08:48 <REP> Bron.tok-18-21

24/03/2007 19:44 <REP> Bron.tok-18-24

25/03/2007 01:00 <REP> Bron.tok-18-25

26/03/2007 09:03 <REP> Bron.tok-18-26

27/03/2007 08:53 <REP> Bron.tok-18-27

28/02/2007 12:28 <REP> Bron.tok-18-28

29/03/2007 13:07 <REP> Bron.tok-18-29

05/12/2006 10:54 <REP> Bron.tok-18-5

06/12/2006 09:38 <REP> Bron.tok-18-6

07/12/2006 08:38 <REP> Bron.tok-18-7

08/12/2006 08:18 <REP> Bron.tok-18-8

09/12/2006 07:18 <REP> Bron.tok-18-9

18/07/2006 07:29 <REP> BVRP Software

19/07/2006 13:16 <REP> Help

02/11/2006 09:57 <REP> Identities

02/10/2006 09:46 <REP> Loc.Mail.Bron.Tok

18/07/2006 07:29 <REP> Microsoft

24/08/2006 15:25 <REP> MicroVision Applications

09/03/2007 17:25 <REP> Mozilla

02/10/2006 09:49 <REP> Ok-SendMail-Bron-tok

06/08/2006 13:04 20ÿ480 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

18/07/2006 07:29 13ÿ104 GDIPFONTCACHEV1.DAT

18/07/2006 07:29 4ÿ835ÿ494 IconCache.db

02/10/2006 09:46 51 Kosong.Bron.Tok.txt

4 fichier(s) 4ÿ869ÿ129 octets

37 R‚p(s) 27ÿ121ÿ700ÿ864 octets libres

Le volume dans le lecteur C s'appelle IBM_PRELOAD

Le num‚ro de s‚rie du volume est 584B-B6F2

R‚pertoire de C:\WINDOWS\system32\config\systemprofile\Application Data

25/02/2003 18:17 <REP> .

25/02/2003 18:17 <REP> ..

18/07/2006 07:29 <REP> Identities

25/02/2003 18:17 <REP> Microsoft

18/07/2006 07:29 <REP> Sonic

18/07/2006 07:29 <REP> Symantec

25/02/2003 18:17 62 desktop.ini

1 fichier(s) 62 octets

6 R‚p(s) 27ÿ121ÿ700ÿ864 octets libres

Le volume dans le lecteur C s'appelle IBM_PRELOAD

Le num‚ro de s‚rie du volume est 584B-B6F2

R‚pertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data

25/02/2003 18:17 <REP> .

25/02/2003 18:17 <REP> ..

18/07/2006 07:29 <REP> BVRP Software

18/07/2006 07:26 <REP> Microsoft

18/07/2006 07:29 13ÿ104 GDIPFONTCACHEV1.DAT

18/07/2006 07:29 6ÿ291ÿ456 IconCache.db

2 fichier(s) 6ÿ304ÿ560 octets

4 R‚p(s) 27ÿ121ÿ700ÿ864 octets libres

******************************************

Recherche des taches planifiées dans C:\WINDOWS\tasks

Le volume dans le lecteur C s'appelle IBM_PRELOAD

Le num‚ro de s‚rie du volume est 584B-B6F2

R‚pertoire de C:\WINDOWS\Tasks

10/09/2005 13:49 316 BMMTask.job

25/02/2003 18:13 6 SA.DAT

25/02/2003 18:11 <REP> ..

25/02/2003 18:11 <REP> .

01/01/1980 09:00 65 desktop.ini

3 fichier(s) 387 octets

2 R‚p(s) 27ÿ121ÿ700ÿ864 octets libres

******************************************

## Répertoires de C:\Program Files

Le volume dans le lecteur C s'appelle IBM_PRELOAD

Le num‚ro de s‚rie du volume est 584B-B6F2

R‚pertoire de C:\Program Files

01/04/2007 19:40 <REP> .

01/04/2007 19:40 <REP> ..

18/07/2006 17:15 <REP> Adobe

29/03/2007 21:20 <REP> Alwil Software

10/09/2005 13:32 <REP> ATI Technologies

18/07/2006 17:20 <REP> ClearProg

25/02/2003 18:10 <REP> ComPlus Applications

10/09/2005 13:32 <REP> CONEXANT

10/09/2005 13:32 <REP> Digital Line Detect

30/03/2007 10:58 <REP> DivX

13/01/2007 13:14 <REP> Fichiers communs

30/08/2006 10:23 0 gditst

09/03/2007 17:25 <REP> Google

11/08/2006 11:27 <REP> Hewlett-Packard

01/04/2007 19:47 <REP> hijackthis

10/09/2005 13:36 <REP> IBM

10/09/2005 13:39 <REP> IBM DLA

10/09/2005 13:38 <REP> IBM RecordNow!

20/08/2006 15:02 812 INSTALL.LOG

10/09/2005 13:29 <REP> Intel

24/03/2007 18:16 <REP> Internet Explorer

10/09/2005 13:40 <REP> InterVideo

29/08/2006 18:32 <REP> Messenger

18/07/2006 16:55 <REP> microsoft frontpage

18/07/2006 16:55 <REP> Microsoft Office

18/07/2006 16:57 <REP> Microsoft Visual Studio

06/10/2006 09:47 <REP> MLT1100L

25/02/2003 18:11 <REP> Movie Maker

30/03/2007 11:19 <REP> Mozilla Firefox

25/02/2003 18:09 <REP> MSN

25/02/2003 18:10 <REP> MSN Gaming Zone

01/02/2007 19:03 <REP> MSXML 4.0

25/02/2003 18:11 <REP> NetMeeting

10/09/2005 13:32 <REP> NetWaiting

30/08/2006 10:43 <REP> orange

12/01/2007 19:32 <REP> Outlook Express

10/09/2005 13:47 <REP> PC-Doctor for Windows

13/01/2007 13:17 <REP> QuickTime

25/02/2003 18:10 <REP> Services en ligne

10/09/2005 13:38 <REP> Sonic

01/11/2006 20:30 <REP> Sony Corporation

10/09/2005 13:12 <REP> Synaptics

10/09/2005 13:27 <REP> ThinkPad

29/03/2007 18:12 <REP> Vilma

29/03/2007 17:31 <REP> VirtualDJ

14/02/2007 21:45 <REP> Windows Live Safety Center

29/09/2006 15:56 <REP> Windows Media Player

25/02/2003 18:09 <REP> Windows NT

30/03/2007 11:19 <REP> WinRAR

25/02/2003 18:14 <REP> xerox

01/11/2006 20:35 <REP> Yahoo!

2 fichier(s) 812 octets

49 R‚p(s) 27ÿ121ÿ696ÿ768 octets libres

******************************************

## Popups autorisées

* Internet Explorer

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow

www.citibank.be REG_BINARY

www.safety.live.com REG_BINARY

* Mozilla Firefox (1 autorisé 2 interdit)

******************************************

## Registre

* [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

Tok-Cirrhatus-6777 REG_SZ "C:\Documents and Settings\PREMIERE URGENCE\Local Settings\Application Data\br14577on.exe"

******************************************

## Zones de sécurité

* HKCU Domains (4)

* P3P History (5)

******************************************

## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif"

*************** Fin du rapport ****************

Voilà sur celui ci aussi il doit rester symantec antivirus donc je vais essayer la meme méthode que pour le premier PC.

Merci encore!!

JackDaniels123 · le 2 avril 2007

Oh la la, je crois que j'ai un enorme problème :

les 2 ordi ne veulent plus démarrer et un ecran noir s'affiche me disant que le fichier

C:\WINDOWS\SYSTEM32\Config\SYSTEM est endommagé, il me demande alors d'inserer le CD original pour réparer, malheuresement, je n'ai rien ici, pour info je suis au Congo....

JackDaniels123 · le 2 avril 2007

Bon je crois que j'ai réussi à en sauver un. C'est un IBM de mathusalem et il ya une fonction restauration d'usine, par contre l'autre est un DELL et il y a que dalle je crois.

chercheur · le 2 avril 2007

Bonsoir

Le PC qui ne démarre plus est le PC 1 je crois.

Il a été réinfecté par ceci

C:\WINDOWS\AdobeR.exe

Est ce que les 4 PCs sont en réseau ?

Si c'est le cas, il faut cesser leur relation tant que tous les PCS ne sont pas reconnus propres. Sinon, cela ne va jamais finir.

Pour celui qui ne démarre pas, je ne vois pas trop de solution. Essaye de démarrer en mode sans échec pour faire une restauration.

Pour le PC 2, au travail

Une partie de la procédure se déroulera sans avoir accès à internet, prière d'imprimer ces instructions, ou de les coller dans un fichier texte, pour lecture durant cette désinfection.

Les manipulations sont à faire sans interruption et dans l'ordre.

Si tu ne comprends pas quelque chose, demande des explications avant de commencer.

1 Télécharge

CCleaner.

http://www.filehippo.com/download_ccleaner.html

Installe le dans un répertoire dédié.

SDFix sur ton bureau

http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

2 Redémarre en mode sans echec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.

Démarre l'ordinateur.

Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows.

En utilisant les touches du curseur, sélectionne Mode sans échec et appuye sur Entrée.

3 Relance un scan HijackThis et coche les lignes ci-dessous :