Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

malware

djibril15

Par djibril15
dans Analyses et éradication malwares

 Partager

Messages recommandés

djibril15 Power Member

djibril15

Posté(e)
Posté(e)

Bonjour, je soupconne l'existence de malware. Pourriez vous m'aider a les éradiquer. MERCI d'avance.

 

Logfile of Trend Micro HijackThis v2.0.0 (BETA)

Scan saved at 18:35:09, on 26/06/2007

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

Boot mode: Normal

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Program Files\Avast4\aswUpdSv.exe

C:\Program Files\Avast4\ashServ.exe

C:\WINNT\system32\drivers\CDAC11BA.EXE

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\stisvc.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\mspmspsv.exe

C:\WINNT\system32\svchost.exe

C:\Program Files\Avast4\ashWebSv.exe

C:\WINNT\Explorer.EXE

C:\Program Files\Avast4\ashMaiSv.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

C:\ahead\INCD\InCD.exe

C:\WINNT\SOUNDMAN.EXE

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\PROGRA~1\Avast4\ashDisp.exe

C:\WINNT\avp.exe

C:\Documents and Settings\All Users\Application Data\gbobwfyx.exe

C:\WINNT\mgrs.exe

C:\WINNT\system32\internat.exe

C:\InterVideo\Common\Bin\WinCinemaMgr.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe

C:\Program Files\Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter\WLANUTL.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\x1\Bureau\HiJackThis_v2.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST1.03.0000.1005\en-xu\stmain.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar1.02.5000.1021\fr\msntb.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar1.02.5000.1021\fr\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [EM_EXEC] C:\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe

O4 - HKLM\..\Run: [inCD] C:\ahead\INCD\InCD.exe

O4 - HKLM\..\Run: [WorksFUD] C:\Microsoft Works\wkfud.exe

O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Microsoft Works\WksSb.exe /AllUsers

O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [QuickTime Task] C:\WINNT\system32\qttask.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [update] C:\Program Files\AntiVir PersonalEdition Classic\preupd.exe /CALLSCHEDULER /DM="0" /CALLSCHEDULER

O4 - HKLM\..\Run: [Ads checker] adchkr.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [avp] C:\WINNT\avp.exe

O4 - HKLM\..\Run: [gbobwfyx.exe] C:\Documents and Settings\All Users\Application Data\gbobwfyx.exe

O4 - HKLM\..\Run: [smgr] mgrs.exe

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\InterVideo\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe

O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://www.installengine.com/engine/isetup.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{E55000F0-7373-47C3-9B1E-A8497D12413F}: NameServer = 193.252.19.3,193.252.19.4

O20 - Winlogon Notify: winjks32 - C:\WINNT\SYSTEM32\winjks32.dll

O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINNT\system32\browseui.dll

O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINNT\system32\browseui.dll

O23 - Service: Avertissement (Alerter) - Unknown owner - C:\WINNT\System32\services.exe

O23 - Service: Gestion d'applications (AppMgmt) - Unknown owner - C:\WINNT\system32\services.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe (file missing)

O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Avast4\ashWebSv.exe

O23 - Service: Explorateur d'ordinateur (Browser) - Unknown owner - C:\WINNT\System32\services.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINNT\system32\drivers\CDAC11BA.EXE

O23 - Service: Client DHCP (Dhcp) - Unknown owner - C:\WINNT\System32\services.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINNT\System32\dmadmin.exe

O23 - Service: Gestionnaire de disque logique (dmserver) - Unknown owner - C:\WINNT\System32\services.exe

O23 - Service: Client DNS (Dnscache) - Unknown owner - C:\WINNT\System32\services.exe

O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINNT\system32\services.exe

O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe

O23 - Service: Service de télécopie (Fax) - Unknown owner - C:\WINNT\system32\faxsvc.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: ladchkr - Unknown owner - C:\WINNT\system32\ladchkr.exe

O23 - Service: Serveur (lanmanserver) - Unknown owner - C:\WINNT\System32\services.exe

O23 - Service: Station de travail (lanmanworkstation) - Unknown owner - C:\WINNT\System32\services.exe

O23 - Service: Service d'application d'assistance TCP/IP NetBIOS (LmHosts) - Unknown owner - C:\WINNT\System32\services.exe

O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINNT\System32\mnmsrvc.exe

O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINNT\system32\netdde.exe

O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINNT\system32\netdde.exe

O23 - Service: Ouverture de session réseau (Netlogon) - Unknown owner - C:\WINNT\System32\lsass.exe

O23 - Service: Fournisseur de la prise en charge de sécurité LM NT (NtLmSsp) - Unknown owner - C:\WINNT\System32\lsass.exe

O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINNT\system32\services.exe

O23 - Service: Agent de stratégie IPSEC (PolicyAgent) - Unknown owner - C:\WINNT\System32\lsass.exe

O23 - Service: Emplacement protégé (ProtectedStorage) - Unknown owner - C:\WINNT\system32\services.exe

O23 - Service: Gestionnaire de comptes de sécurité (SamSs) - Unknown owner - C:\WINNT\system32\lsass.exe

O23 - Service: Prise en charge des cartes à puces (SCardDrv) - Unknown owner - C:\WINNT\System32\SCardSvr.exe

O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINNT\System32\SCardSvr.exe

O23 - Service: Planificateur de tâches (Schedule) - Unknown owner - C:\WINNT\system32\MSTask.exe

O23 - Service: Service d'exécution par délégation (seclogon) - Unknown owner - C:\WINNT\system32\services.exe

O23 - Service: Still Image Service (StiSvc) - Unknown owner - C:\WINNT\system32\stisvc.exe

O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINNT\system32\smlogsvc.exe

O23 - Service: Telnet (TlntSvr) - Unknown owner - C:\WINNT\system32\tlntsvr.exe

O23 - Service: Client de suivi de lien distribué (TrkWks) - Unknown owner - C:\WINNT\system32\services.exe

O23 - Service: Gestionnaire d'utilitaires (UtilMan) - Unknown owner - C:\WINNT\System32\UtilMan.exe

O23 - Service: Horloge Windows (W32Time) - Unknown owner - C:\WINNT\System32\services.exe

O23 - Service: Infrastructure de gestion Windows (WinMgmt) - Unknown owner - C:\WINNT\System32\WBEM\WinMgmt.exe

O23 - Service: Extensions du pilote WMI (Wmi) - Unknown owner - C:\WINNT\system32\Services.exe

 

 

Merci encore

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

salut :P

 

Ton pc est bien infecté...!

Stp fais les manipulations suivantes >

 

Va jusqu'au bout et si tu rencontres un problème, n'hésite pas à me le dire :P

 

Tu as deux possiblités pour consulter les instructions qui suivent:

 

-Soit tu copie/colles le contenu de la procédure dans un fichier texte(que tu met sur le bureau) pour pouvoir le consulter en mode sans échec(tu n'auras pas accès à internet!).

 

-Tu peux également enregistrer la page web complète, sur laquelle se trouve la procédure,

en le faisant à partir de ton navigateur :

 

-Aller en haut de page et cliquer sur le menu"Fichier" : une liste apparait=>

-Choisis "Enregistrer sous" et choisis "Bureau".

-Ensuite cliquer sur le bouton "Enregistrer" à droite du champs "nom du fichier".

 

Pour lire la procédure en mode sans échec, tu n'auras qu'à double cliquer sur le fichier malware (avec l'icone de ton navigateur) situé sur le bureau.(tu noteras qu'un nouveau dossier va se créer sur le bureau en plus du fichier : c'est normal!) De cette manière, tu conserveras toutes les mises en formes et les couleurs de la procédure, et cela permettra de t'y retrouver.

--------------------------------------------------------------------------------------------------------------------------

 

La procédure:

 

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.

Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.

 

-Télécharge OTMoveIt (par OldTimer). Sauvegarde-le sur ton Bureau.

 

Étape 1:

 

1) * Démarre Hijackthis et clique sur la case "Do a system scan only",puis coche les lignes suivantes :

O4 - HKLM\..\Run: [update] C:\Program Files\AntiVir PersonalEdition Classic\preupd.exe /CALLSCHEDULER /DM="0" /CALLSCHEDULER

O4 - HKLM\..\Run: [Ads checker] adchkr.exe

O4 - HKLM\..\Run: [avp] C:\WINNT\avp.exe

O4 - HKLM\..\Run: [gbobwfyx.exe] C:\Documents and Settings\All Users\Application Data\gbobwfyx.exe

O4 - HKLM\..\Run: [smgr] mgrs.exe

 

O20 - Winlogon Notify: winjks32 - C:\WINNT\SYSTEM32\winjks32.dll

-Ferme tous les programmes et clique sur "Fix Checked"

 

Étape 2:

  • Copie le texte en bleu/gras ci-bas (sélectionne-le en entier avec ta souris, puis fais un clic-droit dessus et choisis "Copier") :

    C:\WINNT\avp.exe
    C:\WINNT\mgrs.exe
    C:\WINNT\system32\ladchkr.exe
    C:\WINNT\system32\adchkr.exe
    C:\WINNT\SYSTEM32\winjks32.dll
    C:\Documents and Settings\All Users\Application Data\gbobwfyx.exe

     
  • Double-clique sur OTMoveIt.exe afin de lancer le programme.
  • Assure toi que la case "Unregister Dll's and Ocx's" soit bien cochée
  • Fais un Clique-droit sur le cadre de gauche puis choisis Coller.
  • Clique à présent sur le bouton "MoveIt!".

Un rapport va être créé, il se trouve dans C:\_OTMoveIt\MovedFiles\

Le nom du rapport est la date de sa création.

 

Étape 3:

 

 

Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

  • Redémarre ton ordinateur
  • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  • Choisis ton compte.

Déroule la liste des instructions ci-dessous :

  • Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
  • Appuie sur Y pour commencer le processus de nettoyage.
  • Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
  • Appuie sur une touche pour redémarrer le PC.
  • Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
  • Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
  • Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
  • Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
  • Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

Étape 4:

 

Télécharge et lance DiagHelp comme montré dans ce tutoriel> http://www.malekal.com/DiagHelp/DiagHelp.php

Ne lance que l'option 1 et poste le rapport stp.Attention: n'oublie pas d'appuyer sur une touche lorsque cela te sera demandé à la fin du rapport Catchme.

 

4) Poste les rapports de SDFix, DiagHelp ainsi que le nouveau rapport hijackthis et le rapport de OtMoveIt

 

@+

djibril15 Power Member

djibril15

Posté(e)
  • Auteur
Posté(e)

Diaghelp

 

DiagHelp version v1.1.2 - http://www.malekal.com

excute le mer. 27/06/2007 à 14:12:44,81

 

 

Liste des derniers fichies modifies/crees dans windir\system32

C:\WINNT\System32/drivers\sptd.sys -->26/06/2007 15:24:46

C:\WINNT\System32/drivers\aswmon.sys -->30/04/2007 17:41:56

C:\WINNT\System32/drivers\aswmon2.sys -->30/04/2007 17:41:42

C:\WINNT\System32/drivers\aswRdr.sys -->30/04/2007 17:39:42

C:\WINNT\System32/drivers\aswTdi.sys -->30/04/2007 17:38:52

C:\WINNT\System32/drivers\aavmker4.sys -->30/04/2007 17:37:24

C:\WINNT\System32/drivers\vaxscsi.sys -->28/10/2006 18:18:36

 

C:\WINNT\System32\Perflib_Perfdata_2a8.dat -->26/06/2007 18:20:00

C:\WINNT\System32\win_4.exe -->26/06/2007 18:03:18

C:\WINNT\System32\d3d9caps.dat -->22/06/2007 17:33:44

C:\WINNT\System32\Perflib_Perfdata_298.dat -->17/06/2007 00:38:40

C:\WINNT\System32\CONFIG.NT -->16/06/2007 23:55:56

C:\WINNT\System32\aswBoot.exe -->30/04/2007 17:46:10

C:\WINNT\System32\AvastSS.scr -->30/04/2007 17:35:28

C:\WINNT\System32\FNTCACHE.DAT -->25/03/2007 16:16:20

C:\WINNT\System32\Perflib_Perfdata_49c.dat -->01/01/2007 14:01:34

C:\WINNT\System32\Perflib_Perfdata_4d8.dat -->03/11/2006 09:47:38

C:\WINNT\System32\ws718479.ocx -->27/10/2006 14:45:20

C:\WINNT\System32\ansi.cfg -->23/08/2006 12:16:26

C:\WINNT\System32\Perflib_Perfdata_440.dat -->16/08/2006 12:05:08

C:\WINNT\System32\SpoonUninstall-dBpowerAMP Ogg Vorbis Codec.dat -->16/08/2006 00:00:36

C:\WINNT\System32\SpoonUninstall.exe -->16/08/2006 00:00:36

C:\WINNT\System32\SpoonUninstall-dBpowerAMP Ogg Vorbis Codec.bmp -->16/08/2006 00:00:28

C:\WINNT\System32\Perflib_Perfdata_454.dat -->13/08/2006 21:07:58

C:\WINNT\System32\SpoonUninstall-dBpowerAMP Music Converter.dat -->13/08/2006 14:01:58

C:\WINNT\System32\SpoonUninstall-dBpowerAMP Music Converter.bmp -->13/08/2006 14:01:30

C:\WINNT\System32\Perflib_Perfdata_44c.dat -->05/08/2006 16:30:14

C:\WINNT\System32\hosts -->15/07/2006 10:11:56

C:\WINNT\System32\CmdLineExt.dll -->27/06/2006 18:26:00

C:\WINNT\System32\cdral.dll -->24/06/2006 22:37:10

C:\WINNT\System32\cdrtc.dll -->24/06/2006 22:37:10

C:\WINNT\System32\KGyGaAvL.sys -->14/05/2006 12:59:54

 

C:\WINNT\ntbtlog.txt -->27/06/2007 14:03:28

C:\WINNT\SchedLgU.Txt -->27/06/2007 13:41:52

C:\WINNT\ShellIconCache -->27/06/2007 13:41:46

C:\WINNT\tarot.cfg -->26/06/2007 20:35:06

C:\WINNT\setupapi.log -->26/06/2007 15:37:26

C:\WINNT\QTFont.qfn -->26/06/2007 13:56:46

C:\WINNT\ModemLog_AMI-CW52 V.92 PCI Modem.txt -->23/06/2007 01:26:12

C:\WINNT\QTFont.for -->17/06/2007 20:33:24

C:\WINNT\LUINSTALL.LOG -->17/06/2007 00:02:46

C:\WINNT\maplev4.ini -->08/06/2007 23:44:34

C:\WINNT\gotouninstall.exe -->26/05/2007 20:02:02

C:\WINNT\win.ini -->25/04/2007 20:38:36

C:\WINNT\wmsetup.log -->07/04/2007 20:03:18

C:\WINNT\DirectX.log -->18/02/2007 18:18:00

C:\WINNT\sierra.ini -->01/01/2007 18:43:54

 

 

Le volume dans le lecteur C s'appelle WIN2KSP4

Le numéro de série du volume est 0B5D-1AF9

 

Répertoire de C:\WINNT\system32

 

19/06/2003 12:05 5 392 CSRSS.EXE

1 fichier(s) 5 392 octets

0 Rép(s) 1 691 926 528 octets libres

 

Contenu de Downloaded Program Files

Le volume dans le lecteur C s'appelle WIN2KSP4

Le numéro de série du volume est 0B5D-1AF9

 

Répertoire de C:\WINNT\Downloaded Program Files

 

06/08/2005 19:51 <DIR> .

06/08/2005 19:51 <DIR> ..

06/08/2005 21:03 65 desktop.ini

20/01/2000 15:25 1 162 Microsoft XML Parser for Java.osd

14/10/1997 18:52 697 DirectAnimation Java Classes.osd

30/06/2003 22:41 1 689 WMV9VCM.inf

14/08/2005 00:26 113 664 MsnMessengerSetupDownloader.ocx

30/06/2005 15:19 227 MsnMessengerSetupDownloader.inf

05/09/2001 04:21 159 744 iSetup.exe

05/09/2001 04:22 24 576 iSetup.dll

05/09/2001 04:22 411 isetup.inf

27/03/2006 13:00 5 019 swflash.inf

04/03/2005 12:11 2 371 wmvadvd.inf

25/06/2006 12:50 1 793 erma.inf

02/11/2005 18:07 435 712 xscan53.ocx

02/11/2005 18:01 1 777 xscan.inf

14 fichier(s) 748 907 octets

 

Total des fichiers listés :

14 fichier(s) 748 907 octets

2 Rép(s) 1 691 926 528 octets libres

 

Recherche de rootkit! (Merci S!Ri)

 

Recherche d'infections connues

 

Export des clefs sensibles..

 

Liste des fichiers en exception sur le pare-feu XP SP2

 

"C:\\Program Files\\FlashFXP\\FlashFXP.exe"="C:\\Program Files\\FlashFXP\\FlashFXP.exe:*:Enabled:FlashFXP v3"

"C:\\DOCUME~1\\x1\\LOCALS~1\\Temp\\winB.tmp.exe"="C:\\DOCUME~1\\x1\\LOCALS~1\\Temp\\winB.tmp.exe:*:Enabled:winB.tmp"

 

"C:\\Program Files\\FlashFXP\\FlashFXP.exe"="C:\\Program Files\\FlashFXP\\FlashFXP.exe:*:Enabled:FlashFXP v3"

 

Export de la clef SharedTaskScheduler

 

[sharedTaskScheduler]

"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

 

Rechercher adresses sensibles dans le fichier HOSTS...

 

 

 

catchme 0.3.692 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net

Rootkit scan 2007-06-27 14:13:17

Windows 5.0.2195 Service Pack 4 FAT NTAPI

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

 

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

 

Process list by traversal of KiWaitInListHead and KiWaitOutListHead

 

8 - System

188 - cmd.exe

236 - smss.exe

260 - csrss.exe

280 - winlogon.exe

304 - ashWebSv.exe

308 - services.exe

320 - lsass.exe

572 - svchost.exe

596 - spoolsv.exe

648 - aswUpdSv.exe

680 - ashServ.exe

696 - CDAC11BA.EXE

728 - svchost.exe

744 - guard.exe

864 - IEXPLORE.EXE

888 - MSTask.exe

924 - regsvc.exe

1020 - stisvc.exe

1064 - WinMgmt.exe

1076 - mspmspsv.exe

1088 - svchost.exe

1172 - Explorer.EXE

1192 - ashMaiSv.exe

1356 - atiptaxx.exe

1388 - EM_EXEC.EXE

1424 - IEXPLORE.EXE

1480 - wkcalrem.exe

1504 - SOUNDMAN.EXE

1524 - InCD.exe

1536 - realsched.exe

1544 - ashDisp.exe

1564 - internat.exe

1592 - WinCinemaMgr.ex

1628 - WLANUTL.exe

 

Total number of processes = 35

 

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

 

Driver/Module list by traversal of PsLoadedModuleList

 

80400000 - \WINNT\System32\ntoskrnl.exe

80062000 - \WINNT\System32\hal.dll

ED410000 - \WINNT\System32\BOOTVID.DLL

BFF18000 - sptd.sys

BFF05000 - \WINNT\System32\Drivers\SCSIPORT.SYS

BFEDD000 - a347bus.sys

ED000000 - isapnp.sys

BFEB5000 - ACPI.sys

ED5C8000 - \WINNT\System32\DRIVERS\WMILIB.SYS

ED010000 - pci.sys

ED5C9000 - pciide.sys

ED280000 - \WINNT\System32\DRIVERS\PCIIDEX.SYS

ED288000 - MountMgr.sys

BFE98000 - ftdisk.sys

ED500000 - Diskperf.sys

ED502000 - dmload.sys

BFE76000 - dmio.sys

ED414000 - PartMgr.sys

ED504000 - viaide.sys

BFE60000 -

ED506000 - a347scsi.sys

ED290000 - disk.sys

ED020000 - \WINNT\System32\DRIVERS\CLASSPNP.SYS

ED298000 - PxHelp20.sys

BFE3D000 - Fastfat.sys

BFE2B000 - KSecDD.sys

BFE01000 - NDIS.sys

ED2A0000 - viaagp1.sys

BFDEE000 - sfvfs02.sys

ED2A8000 - sfhlp02.sys

ED508000 - sfhlp01.sys

BFDDC000 - sfdrv01.sys

ED50A000 - prosync1.sys

BFDC0000 - prohlp02.sys

BFDAA000 - Mup.sys

ED050000 - \SystemRoot\System32\DRIVERS\VIDEOPRT.SYS

BFCA5000 - \SystemRoot\System32\DRIVERS\ati2mtag.sys

ED060000 - \SystemRoot\System32\DRIVERS\SOAR.SYS

BFC94000 - \SystemRoot\System32\DRIVERS\basic2.sys

ED070000 - \SystemRoot\System32\DRIVERS\rksample.sys

BFBE7000 - \SystemRoot\System32\DRIVERS\AmosNt.SYS

BFC0D000 - \SystemRoot\System32\DRIVERS\HSF_CNXT.sys

ED2F0000 - \SystemRoot\System32\Drivers\Modem.SYS

ED310000 - \SystemRoot\System32\DRIVERS\USBD.SYS

ED2F8000 - \SystemRoot\System32\DRIVERS\uhcd.sys

BFBC5000 - \SystemRoot\System32\DRIVERS\USBPORT.SYS

ED320000 - \SystemRoot\System32\DRIVERS\usbehci.sys

ED330000 - \SystemRoot\System32\Drivers\ElbyCDFL.sys

ED080000 - \SystemRoot\System32\Drivers\Cdr4_2K.SYS

ED348000 - \SystemRoot\System32\DRIVERS\cdrom.sys

ED358000 - \SystemRoot\System32\Drivers\Cdralw2k.SYS

BFA9A000 - \SystemRoot\system32\drivers\KS.SYS

BFABA000 - \SystemRoot\system32\drivers\portcls.sys

BFADF000 - \SystemRoot\system32\drivers\ALCXWDM.SYS

ED090000 - \SystemRoot\System32\DRIVERS\fetnd5b.sys

ED380000 - \SystemRoot\System32\DRIVERS\fdc.sys

ED0A0000 - \SystemRoot\System32\DRIVERS\serial.sys

ED4D4000 - \SystemRoot\System32\DRIVERS\serenum.sys

ED398000 - \SystemRoot\System32\DRIVERS\parport.sys

ED0B0000 - \SystemRoot\System32\DRIVERS\i8042prt.sys

ED0C0000 - \SystemRoot\System32\DRIVERS\L8042pr2.sys

ED0D0000 - \SystemRoot\System32\DRIVERS\lmouflt2.sys

ED3B8000 - \SystemRoot\System32\DRIVERS\mouclass.sys

ED516000 - \SystemRoot\System32\DRIVERS\lkbdflt2.sys

ED3C8000 - \SystemRoot\System32\DRIVERS\kbdclass.sys

ED5D8000 - \SystemRoot\System32\DRIVERS\audstub.sys

ED0E0000 - \SystemRoot\System32\DRIVERS\rasl2tp.sys

ED4E4000 - \SystemRoot\System32\DRIVERS\ndistapi.sys

BFA83000 - \SystemRoot\System32\DRIVERS\ndiswan.sys

ED4F4000 - \SystemRoot\System32\DRIVERS\TDI.SYS

ED0F0000 - \SystemRoot\System32\DRIVERS\raspptp.sys

ED3E8000 - \SystemRoot\System32\DRIVERS\ptilink.sys

ED3F8000 - \SystemRoot\System32\DRIVERS\raspti.sys

ED100000 - \SystemRoot\System32\DRIVERS\parallel.sys

ED5D9000 - \SystemRoot\System32\DRIVERS\swenum.sys

BFA58000 - \SystemRoot\System32\DRIVERS\update.sys

BFD86000 - \SystemRoot\system32\drivers\MODEMCSA.sys

ED140000 - \SystemRoot\System32\DRIVERS\usbhub.sys

ED150000 - \SystemRoot\System32\DRIVERS\usbhub20.sys

ED2B8000 - \SystemRoot\System32\DRIVERS\flpydisk.sys

ED170000 - \SystemRoot\System32\Drivers\NDProxy.SYS

B78E6000 - \SystemRoot\system32\DRIVERS\WlanUZ2K.sys

ED2E0000 - \SystemRoot\System32\DRIVERS\HIDPARSE.SYS

ED2C8000 - \SystemRoot\System32\DRIVERS\HIDCLASS.SYS

BFD52000 - \SystemRoot\System32\DRIVERS\hidusb.sys

ED51E000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS

ED5DD000 - \SystemRoot\System32\Drivers\Null.SYS

ED5DE000 - \SystemRoot\System32\Drivers\Beep.SYS

BFD3E000 - \SystemRoot\System32\drivers\vga.sys

ED5DF000 - \SystemRoot\System32\Drivers\mnmdd.SYS

ED318000 - \SystemRoot\System32\Drivers\Msfs.SYS

ED180000 - \SystemRoot\System32\Drivers\Npfs.SYS

ED526000 - \SystemRoot\System32\DRIVERS\rasacd.sys

B7874000 - \SystemRoot\System32\DRIVERS\tcpip.sys

ED190000 - \SystemRoot\System32\DRIVERS\msgpc.sys

ED1A0000 - \SystemRoot\System32\Drivers\aswTdi.SYS

ED350000 - \SystemRoot\System32\DRIVERS\wanarp.sys

B784A000 - \SystemRoot\System32\DRIVERS\netbt.sys

ED1B0000 - \SystemRoot\System32\DRIVERS\netbios.sys

B781F000 - \SystemRoot\System32\DRIVERS\rdbss.sys

B77F9000 - \SystemRoot\System32\drivers\prodrv06.sys

B7792000 - \SystemRoot\System32\DRIVERS\mrxsmb.sys

ED5E0000 - \??\C:\Program Files\ewido anti-spyware 4.0\guard.sys

ED370000 - \SystemRoot\System32\Drivers\Aavmker4.SYS

ED5E1000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS

B7754000 - \SystemRoot\System32\Drivers\dump_atapi.sys

A0000000 - \??\C:\WINNT\system32\win32k.sys

B7706000 - \SystemRoot\System32\ati2dvag.dll

B7637000 - \SystemRoot\System32\ati3d1ag.dll

B74D2000 - \SystemRoot\System32\Drivers\BsUDF.SYS

B7464000 - \SystemRoot\System32\drivers\afd.sys

ED54C000 - \SystemRoot\System32\Drivers\ParVdm.SYS

B735F000 - \SystemRoot\System32\Drivers\aswMon.SYS

B7482000 - \??\C:\WINNT\system32\drivers\CdaC15BA.SYS

ED552000 - \SystemRoot\System32\Drivers\ElbyCDIO.sys

B72FD000 - \SystemRoot\system32\drivers\wdmaud.sys

B75AF000 - \SystemRoot\system32\drivers\sysaudio.sys

B71C6000 - \SystemRoot\System32\DRIVERS\fallback.sys

B73EC000 - \SystemRoot\System32\Drivers\Fips.SYS

B7184000 - \SystemRoot\System32\DRIVERS\fsksnt.sys

B7124000 - \SystemRoot\System32\DRIVERS\k56nt.sys

B7098000 - \SystemRoot\System32\DRIVERS\srv.sys

B7070000 - \??\C:\WINNT\system32\drivers\SECDRV.SYS

B6F9F000 - \SystemRoot\System32\DRIVERS\faxnt.sys

B7A06000 - \SystemRoot\System32\DRIVERS\tonesnt.sys

B6ED7000 - \SystemRoot\System32\DRIVERS\v124nt.sys

B740C000 - \SystemRoot\System32\Drivers\Cdfs.SYS

B6FD0000 - \SystemRoot\System32\DRIVERS\ipsec.sys

B6E33000 - \SystemRoot\System32\Drivers\aswRdr.SYS

B6BC5000 - \??\C:\WINNT\system32\ZDPNDIS5.SYS

ED5E2000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

 

Total number of drivers = 131

 

Le volume dans le lecteur C s'appelle WIN2KSP4

Le numéro de série du volume est 0B5D-1AF9

 

Répertoire de C:\Program Files

 

06/08/2005 19:43 <DIR> .

06/08/2005 19:43 <DIR> ..

19/02/2006 18:17 <DIR> Acclaim

26/10/2005 19:52 <DIR> Activision

18/08/2005 20:46 <DIR> Adaptec

07/08/2005 19:48 <DIR> AIDA32 - Enterprise System Information

07/08/2005 19:02 <DIR> Alcohol Soft

28/01/2006 20:20 <DIR> A-Ray Scanner

06/08/2005 20:20 <DIR> ATI Technologies

16/06/2007 23:55 <DIR> Avast4

08/08/2005 13:09 <DIR> AvRack

04/07/2006 00:52 <DIR> backups

24/09/2005 13:43 <DIR> Bethesda Softworks

09/08/2005 00:43 <DIR> BzTarot

18/08/2005 12:57 <DIR> CDex_150

15/04/2007 23:35 <DIR> CFWebAdvancedU_BOBTV.FR

06/08/2005 19:51 <DIR> ComPlus Applications

06/08/2005 20:30 <DIR> CONEXANT

27/04/2006 23:14 <DIR> CueClub

22/10/2005 18:20 <DIR> Cyanide

13/08/2006 14:01 <DIR> dBpowerAMP

24/10/2005 16:33 <DIR> directx

07/08/2005 19:29 <DIR> DivX

25/12/2005 19:45 <DIR> EA Sports

26/02/2006 00:21 <DIR> EACOM

28/01/2006 18:25 <DIR> Eidos Interactive

17/03/2006 17:40 <DIR> eMule

11/03/2006 20:09 <DIR> ETAJV PC

23/08/2006 18:42 <DIR> ewido anti-spyware 4.0

06/08/2005 19:43 <DIR> Fichiers communs

10/08/2005 13:16 <DIR> FIFA 2005

12/02/2007 17:33 <DIR> Game Graphic Studio

07/08/2005 19:29 <DIR> Google

26/05/2007 20:02 <DIR> GOTO.games

02/10/2005 00:06 218 112 HijackThis.exe

25/08/2006 15:13 6 908 hijackthis.log

12/03/2006 13:33 <DIR> InstantTouch

11/11/2006 17:59 <DIR> IntelliTamper

06/08/2005 19:51 <DIR> Internet Explorer

11/03/2006 22:41 <DIR> Jarkanoid 3

31/12/2006 16:27 <DIR> KONAMI

07/08/2005 19:28 <DIR> Lavasoft

04/09/2005 15:53 <DIR> Mars

06/08/2005 19:52 <DIR> microsoft frontpage

07/08/2005 15:25 <DIR> Microsoft Visual Studio

19/11/2005 17:16 <DIR> mp3DirectCut

04/09/2005 14:52 <DIR> MSN Apps

04/09/2005 14:49 <DIR> MSN Messenger

07/08/2005 15:34 <DIR> MSPress

08/08/2005 20:47 <DIR> NBA LIVE 2004

06/08/2005 19:51 <DIR> NetMeeting

06/08/2005 19:51 <DIR> Outlook Express

30/09/2006 14:42 <DIR> PDFCreator

08/08/2005 03:48 <DIR> Pool 'm Up

02/10/2005 18:15 <DIR> QuickTime

02/04/2006 11:17 <DIR> Real

08/08/2005 13:09 <DIR> Realtek Sound Manager

21/04/2007 19:39 <DIR> ReflexiveArcade

05/07/2006 11:28 <DIR> SAGEM

09/08/2005 13:51 <DIR> Sierra On-Line

29/04/2006 14:32 <DIR> SlySoft

07/08/2005 15:29 <DIR> Snapshot Viewer

07/08/2005 19:30 <DIR> Spybot - Search & Destroy

07/08/2005 15:45 <DIR> Symantec

15/10/2006 17:07 <DIR> TI Education

30/06/2006 20:33 <DIR> Ubisoft

05/11/2005 18:49 <DIR> UNO Freeware

11/03/2006 19:01 <DIR> Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter

27/10/2006 10:41 <DIR> uTorrent

06/08/2005 20:09 <DIR> VIA Technologies, Inc

15/08/2005 14:08 <DIR> Warcraft III

18/06/2007 19:48 <DIR> Webtarot

07/08/2005 19:31 <DIR> Winamp

06/08/2005 19:51 <DIR> Windows Media Player

06/08/2005 19:50 <DIR> Windows NT

26/06/2007 15:07 <DIR> WinISO

07/08/2005 19:32 <DIR> WinRAR

21/04/2007 17:47 <DIR> Zylom Games

2 fichier(s) 225 020 octets

76 Rép(s) 1 691 320 320 octets libres

Le volume dans le lecteur C s'appelle WIN2KSP4

Le numéro de série du volume est 0B5D-1AF9

 

Répertoire de C:\Program Files\fichiers communs

 

06/08/2005 19:43 <DIR> .

06/08/2005 19:43 <DIR> ..

06/08/2005 19:43 <DIR> Microsoft Shared

06/08/2005 19:43 <DIR> ODBC

06/08/2005 19:51 <DIR> System

06/08/2005 19:51 <DIR> Services

06/08/2005 20:19 <DIR> InstallShield

06/08/2005 20:34 <DIR> Logitech

06/08/2005 20:37 <DIR> Adobe

20/12/2005 21:28 <DIR> Macrovision Shared

07/08/2005 15:25 <DIR> Designer

29/12/2005 19:55 <DIR> DirectX

02/04/2006 11:17 <DIR> Real

07/08/2005 15:45 <DIR> Symantec Shared

02/04/2006 11:17 <DIR> xing shared

24/06/2006 22:37 <DIR> Adaptec Shared

14/08/2005 01:06 <DIR> NSV

0 fichier(s) 0 octets

17 Rép(s) 1 691 828 224 octets libres

Le volume dans le lecteur C s'appelle WIN2KSP4

Le numéro de série du volume est 0B5D-1AF9

 

Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

 

06/08/2005 19:55 <DIR> .

06/08/2005 19:55 <DIR> ..

14/02/2001 14:36 127 033 MSOWS40c.DLL

03/06/1999 19:09 122 937 MSOWS409.DLL

18/03/1999 05:37 593 977 RAGENT.DLL

01/03/2002 00:03 561 209 MSONSEXT.DLL

4 fichier(s) 1 405 156 octets

2 Rép(s) 1 691 828 224 octets libres

Le volume dans le lecteur C s'appelle WIN2KSP4

Le numéro de série du volume est 0B5D-1AF9

 

Répertoire de C:\

 

26/06/2007 18:20 99 072 nkwncvkg1.exe

26/06/2007 18:21 11 060 xx1232255.exe

12/05/2007 18:22 68 096 diff.exe

12/05/2007 18:22 103 424 grep.exe

4 fichier(s) 281 652 octets

0 Rép(s) 1 691 828 224 octets libres

c:\Documents and Settings\x1\Bureau\antivir-personal-edition-7_antivir_personal_edition_classic_7_6.34.01.11_version_win_9x_anglais_10821.exe

c:\Documents and Settings\x1\Bureau\csv15full.exe

c:\Documents and Settings\x1\Bureau\ewido-setup_4.0.0.172c.exe

c:\Documents and Settings\x1\Bureau\fifa[1].07.fr.exe

c:\Documents and Settings\x1\Bureau\FlashFXP_34_Setup.exe

c:\Documents and Settings\x1\Bureau\HiJackThis_v2.exe

c:\Documents and Settings\x1\Bureau\Install_PCM_Patch_15R.exe

c:\Documents and Settings\x1\Bureau\OTMoveIt.exe

c:\Documents and Settings\x1\Bureau\SDFix.exe

c:\Documents and Settings\x1\Bureau\setup.exe

c:\Documents and Settings\x1\Bureau\Setup0.exe

c:\Documents and Settings\x1\Bureau\Setup1.exe

c:\Documents and Settings\x1\Bureau\TXCSetup_1Beta6_31.exe

c:\Documents and Settings\x1\Bureau\WINISO53.EXE

c:\Documents and Settings\x1\Bureau\Ball Racer\Ball Racer.exe

c:\Documents and Settings\x1\Bureau\jeux\3d_petanque_unlimited_share.exe

c:\Documents and Settings\x1\Bureau\jeux\airhockey.exe

c:\Documents and Settings\x1\Bureau\jeux\cc_patch.exe

c:\Documents and Settings\x1\Bureau\jeux\cueclub.exe

c:\Documents and Settings\x1\Bureau\jeux\volleyballf.exe

c:\Documents and Settings\x1\Bureau\jeux\arkanoid\Arkanoid.exe

c:\Documents and Settings\x1\Bureau\jeux\volt\406taxi.exe

c:\Documents and Settings\x1\Bureau\jeux\volt\AMCO_TT.exe

c:\Documents and Settings\x1\Bureau\jeux\volt\Canyon Run.exe

c:\Documents and Settings\x1\Bureau\jeux\volt\clioV6.exe

c:\Documents and Settings\x1\Bureau\jeux\volt\Colorado Speedway.exe

c:\Documents and Settings\x1\Bureau\jeux\volt\Dirt Crossing.exe

c:\Documents and Settings\x1\Bureau\jeux\volt\Glacier Cliffs 2.exe

c:\Documents and Settings\x1\Bureau\jeux\volt\Glacier Cliffs.exe

c:\Documents and Settings\x1\Bureau\jeux\volt\Grand Prix De Morvan.exe

c:\Documents and Settings\x1\Bureau\jeux\volt\gtsr.exe

c:\Documents and Settings\x1\Bureau\jeux\volt\Hockenheimring.exe

c:\Documents and Settings\x1\Bureau\jeux\volt\Keew.exe

c:\Documents and Settings\x1\Bureau\jeux\volt\LamCountach.exe

c:\Documents and Settings\x1\Bureau\jeux\volt\M3.exe

c:\Documents and Settings\x1\Bureau\jeux\volt\RGVT500.exe

c:\Documents and Settings\x1\Bureau\jeux\volt\taxi2.exe

c:\Documents and Settings\x1\Bureau\jeux\volt\ToyTruckUSA.exe

c:\Documents and Settings\x1\Bureau\jeux\volt\YamahaR1.exe

c:\Documents and Settings\x1\Bureau\jeux\blob\volley.exe

c:\Documents and Settings\x1\Bureau\SDFix\catchme.exe

c:\Documents and Settings\x1\Bureau\SDFix\apps\cliptext.exe

c:\Documents and Settings\x1\Bureau\SDFix\apps\download.exe

c:\Documents and Settings\x1\Bureau\SDFix\apps\FixPath.exe

c:\Documents and Settings\x1\Bureau\SDFix\apps\LS.exe

c:\Documents and Settings\x1\Bureau\SDFix\apps\MD5File.exe

c:\Documents and Settings\x1\Bureau\SDFix\apps\moveex.exe

c:\Documents and Settings\x1\Bureau\SDFix\apps\Process.exe

c:\Documents and Settings\x1\Bureau\SDFix\apps\RegDACL.exe

c:\Documents and Settings\x1\Bureau\SDFix\apps\RestartIt!.exe

c:\Documents and Settings\x1\Bureau\SDFix\apps\sc.exe

c:\Documents and Settings\x1\Bureau\SDFix\apps\SF.exe

c:\Documents and Settings\x1\Bureau\SDFix\apps\shutdown.exe

c:\Documents and Settings\x1\Bureau\SDFix\apps\swreg.exe

c:\Documents and Settings\x1\Bureau\SDFix\apps\swsc.exe

c:\Documents and Settings\x1\Bureau\SDFix\apps\unzip.exe

c:\Documents and Settings\x1\Bureau\SDFix\apps\zip.exe

c:\Documents and Settings\x1\Bureau\SDFix\apps\Replace\W2K.exe

c:\Documents and Settings\x1\Bureau\SDFix\apps\Replace\XP.exe

c:\Documents and Settings\x1\Bureau\SDFix\backups\attrib.exe

c:\Documents and Settings\x1\Bureau\SDFix\backups\find.exe

c:\Documents and Settings\x1\Bureau\SDFix\backups\findstr.exe

c:\Documents and Settings\x1\Bureau\SDFix\backups\regedit.exe

c:\Documents and Settings\x1\Bureau\DiagHelp\catchme.exe

c:\Documents and Settings\x1\Bureau\DiagHelp\diff.exe

c:\Documents and Settings\x1\Bureau\DiagHelp\dumphive.exe

c:\Documents and Settings\x1\Bureau\DiagHelp\FilesInfoCmd.exe

c:\Documents and Settings\x1\Bureau\DiagHelp\find2.exe

c:\Documents and Settings\x1\Bureau\DiagHelp\Fport.exe

c:\Documents and Settings\x1\Bureau\DiagHelp\grep.exe

c:\Documents and Settings\x1\Bureau\DiagHelp\KProcCheck.exe

c:\Documents and Settings\x1\Bureau\DiagHelp\LFiles.exe

c:\Documents and Settings\x1\Bureau\DiagHelp\LISTDLLS.exe

c:\Documents and Settings\x1\Bureau\DiagHelp\pslist.exe

c:\Documents and Settings\x1\Bureau\DiagHelp\streams.exe

c:\Documents and Settings\x1\Bureau\DiagHelp\swreg.exe

c:\Documents and Settings\x1\Bureau\tabs\Arkanoid_2000_1.7.exe

c:\Documents and Settings\x1\Bureau\tabs\GP4DEMO_FR.EXE

c:\_OTMoveIt\MovedFiles\Documents and Settings\All Users\Application Data\gbobwfyx.exe

c:\Documents and Settings\All Users\Application Data\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll

c:\Documents and Settings\All Users\Application Data\Zylom\ZylomGamesPlayer\zylomgamesplayer.dll

c:\Documents and Settings\x1\Application Data\Identities\{00009BV5-V6E6-N99D-O8SF-9VRP3OLUMVG5}\xmlparse.dll

 

****** Fin du rapport DiagHelp

 

 

SDfix

 

SDFix: Version 1.88

 

Run by x1 on mer. 27/06/2007 at 14:04

 

Microsoft Windows 2000 [Version 5.00.2195]

 

Running From: C:\DOCUME~1\x1\Bureau\SDFix

 

Safe Mode:

Checking Services:

 

Name:

Driver

runtime

 

ImagePath:

\??\C:\WINNT\system32\nso12k.sys

\??\C:\WINNT\System32\drivers\runtime.sys

 

 

 

 

Restoring Windows Registry Values

Restoring Windows Default Hosts File

 

Rebooting...

 

 

Normal Mode:

Checking Files:

 

Below files will be copied to Backups folder then removed:

 

C:\DOCUME~1\x1\LOCALS~1\Temp\winF.tmp.exe - Deleted

C:\WINNT\system32\3_exception.nls - Deleted

C:\WINNT\system32\cssrss.exe - Deleted

C:\WINNT\system32\nso12k.sys - Deleted

 

 

 

Removing Temp Files...

 

ADS Check:

 

Checking C:\WINNT

C:\WINNT

No streams found.

 

Checking C:\WINNT\system32

C:\WINNT\system32

No streams found.

 

Checking C:\WINNT\system32\svchost.exe

C:\WINNT\system32\svchost.exe

No streams found.

 

Checking C:\WINNT\system32\ntoskrnl.exe

C:\WINNT\system32\ntoskrnl.exe

No streams found.

 

 

 

Final Check:

 

Remaining Services:

------------------

 

 

 

Remaining Files:

---------------

 

Backups Folder: - C:\DOCUME~1\x1\Bureau\SDFix\backups\backups.zip

 

Listing Files with Hidden Attributes:

 

C:\WINNT\system32\OLEPRO32.DLL

C:\WINNT\system32\ASYCFILT.DLL

C:\WINNT\system32\COMCAT.DLL

C:\WINNT\system32\PCDLIB32.DLL

C:\WINNT\system32\OC30.DLL

C:\WINNT\system32\AWCODC32.DLL

C:\WINNT\system32\AWDCXC32.DLL

C:\WINNT\system32\AWDENC32.DLL

C:\WINNT\system32\AWRESX32.DLL

C:\WINNT\system32\AWVIEW32.DLL

C:\WINNT\system32\LFAVI90N.DLL

C:\WINNT\system32\LFCMP90n.DLL

C:\WINNT\system32\LFDIC90N.DLL

C:\WINNT\system32\LFEPS90N.DLL

C:\WINNT\system32\LFICA90N.DLL

C:\WINNT\system32\LFIMG90N.DLL

C:\WINNT\system32\LFKODAK.DLL

C:\WINNT\system32\LFLMA90N.DLL

C:\WINNT\system32\LFLMB90N.DLL

C:\WINNT\system32\LFMAC90N.DLL

C:\WINNT\system32\LFMSP90N.DLL

C:\WINNT\system32\LFPCD90N.DLL

C:\WINNT\system32\LFRAS90N.DLL

C:\WINNT\system32\LFTGA90N.DLL

C:\WINNT\system32\LTDIS90n.dll

C:\WINNT\system32\LTDLG90N.DLL

C:\WINNT\system32\LTNET90N.DLL

C:\WINNT\system32\LTVID90N.DLL

C:\WINNT\system32\lfawd90n.dll

C:\WINNT\system32\lfbmp90n.dll

C:\WINNT\system32\lfcal90n.dll

C:\WINNT\system32\lffax90n.dll

C:\WINNT\system32\lffpx7.dll

C:\WINNT\system32\lffpx90n.dll

C:\WINNT\system32\lfgif90n.dll

C:\WINNT\system32\lfpct90n.dll

C:\WINNT\system32\lfpcx90n.dll

C:\WINNT\system32\lfpng90n.dll

C:\WINNT\system32\lfpsd90n.dll

C:\WINNT\system32\lftif90n.dll

C:\WINNT\system32\lfwfx90n.dll

C:\WINNT\system32\lfwmf90n.dll

C:\WINNT\system32\lfwpg90n.dll

C:\WINNT\system32\ltann90n.dll

C:\WINNT\system32\ltefx90n.dll

C:\WINNT\system32\ltfil90n.DLL

C:\WINNT\system32\ltimg90n.dll

C:\WINNT\system32\ltisi90n.dll

C:\WINNT\system32\ltkrn90n.dll

C:\WINNT\system32\ltthk90w.dll

C:\WINNT\system32\lttwn90n.dll

C:\WINNT\system32\npplg90N.dll

C:\WINNT\system32\OLEAUT32.DLL

C:\Documents and Settings\x1\Bureau\Hook2.dll

C:\WINNT\system32\win_4.exe

C:\Documents and Settings\x1\Bureau\Setup0.exe

C:\Documents and Settings\x1\Bureau\Setup1.exe

C:\_OTMoveIt\MovedFiles\WINNT\system32\ladchkr.exe

C:\_OTMoveIt\MovedFiles\WINNT\system32\adchkr.exe

C:\WINNT\system32\KGyGaAvL.sys

C:\WINNT\system32\DC1EBF704E.sys

C:\Documents and Settings\x1\Application Data\Microsoft\Word\~WRL0003.tmp

 

Listing User Accounts:

 

 

Administrateur Invit‚ x1

XAVIER

La commande s'est termin‚e correctement.

 

 

 

Finished

 

 

_OtMoveit

 

C:\WINNT\avp.exe moved successfully.

C:\WINNT\mgrs.exe moved successfully.

C:\WINNT\system32\ladchkr.exe moved successfully.

C:\WINNT\system32\adchkr.exe moved successfully.

DllUnregisterServer procedure not found in C:\WINNT\SYSTEM32\winjks32.dll

C:\WINNT\SYSTEM32\winjks32.dll NOT unregistered.

C:\WINNT\SYSTEM32\winjks32.dll moved successfully.

C:\Documents and Settings\All Users\Application Data\gbobwfyx.exe moved successfully.

 

Created on 06/27/2007 13:40:28

 

 

Hijack

 

Logfile of Trend Micro HijackThis v2.0.0 (BETA)

Scan saved at 14:17:21, on 27/06/2007

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

Boot mode: Normal

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Program Files\Avast4\aswUpdSv.exe

C:\Program Files\Avast4\ashServ.exe

C:\WINNT\system32\drivers\CDAC11BA.EXE

C:\WINNT\System32\svchost.exe

C:\Program Files\ewido anti-spyware 4.0\guard.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\stisvc.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\mspmspsv.exe

C:\WINNT\system32\svchost.exe

C:\Program Files\Avast4\ashWebSv.exe

C:\WINNT\Explorer.EXE

C:\Program Files\Avast4\ashMaiSv.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

C:\ahead\INCD\InCD.exe

C:\WINNT\SOUNDMAN.EXE

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\PROGRA~1\Avast4\ashDisp.exe

C:\WINNT\system32\internat.exe

C:\InterVideo\Common\Bin\WinCinemaMgr.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe

C:\Program Files\Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter\WLANUTL.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\x1\Bureau\HiJackThis_v2.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST1.03.0000.1005\en-xu\stmain.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar1.02.5000.1021\fr\msntb.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar1.02.5000.1021\fr\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [EM_EXEC] C:\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe

O4 - HKLM\..\Run: [inCD] C:\ahead\INCD\InCD.exe

O4 - HKLM\..\Run: [WorksFUD] C:\Microsoft Works\wkfud.exe

O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Microsoft Works\WksSb.exe /AllUsers

O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [QuickTime Task] C:\WINNT\system32\qttask.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [sC2] C:\WINNT\system32\scchk32.exe

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\InterVideo\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe

O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://www.installengine.com/engine/isetup.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{E55000F0-7373-47C3-9B1E-A8497D12413F}: NameServer = 193.252.19.3,193.252.19.4

O20 - Winlogon Notify: winjks32 - winjks32.dll (file missing)

O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINNT\system32\browseui.dll

O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINNT\system32\browseui.dll

O23 - Service: Avertissement (Alerter) - Unknown owner - C:\WINNT\System32\services.exe

O23 - Service: Gestion d'applications (AppMgmt) - Unknown owner - C:\WINNT\system32\services.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe (file missing)

O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Avast4\ashWebSv.exe

O23 - Service: Explorateur d'ordinateur (Browser) - Unknown owner - C:\WINNT\System32\services.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINNT\system32\drivers\CDAC11BA.EXE

O23 - Service: Client DHCP (Dhcp) - Unknown owner - C:\WINNT\System32\services.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINNT\System32\dmadmin.exe

O23 - Service: Gestionnaire de disque logique (dmserver) - Unknown owner - C:\WINNT\System32\services.exe

O23 - Service: Client DNS (Dnscache) - Unknown owner - C:\WINNT\System32\services.exe

O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINNT\system32\services.exe

O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe

O23 - Service: Service de télécopie (Fax) - Unknown owner - C:\WINNT\system32\faxsvc.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: ladchkr - Unknown owner - C:\WINNT\system32\ladchkr.exe (file missing)

O23 - Service: Serveur (lanmanserver) - Unknown owner - C:\WINNT\System32\services.exe

O23 - Service: Station de travail (lanmanworkstation) - Unknown owner - C:\WINNT\System32\services.exe

O23 - Service: Service d'application d'assistance TCP/IP NetBIOS (LmHosts) - Unknown owner - C:\WINNT\System32\services.exe

O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINNT\System32\mnmsrvc.exe

O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINNT\system32\netdde.exe

O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINNT\system32\netdde.exe

O23 - Service: Ouverture de session réseau (Netlogon) - Unknown owner - C:\WINNT\System32\lsass.exe

O23 - Service: Fournisseur de la prise en charge de sécurité LM NT (NtLmSsp) - Unknown owner - C:\WINNT\System32\lsass.exe

O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINNT\system32\services.exe

O23 - Service: Agent de stratégie IPSEC (PolicyAgent) - Unknown owner - C:\WINNT\System32\lsass.exe

O23 - Service: Emplacement protégé (ProtectedStorage) - Unknown owner - C:\WINNT\system32\services.exe

O23 - Service: Gestionnaire de comptes de sécurité (SamSs) - Unknown owner - C:\WINNT\system32\lsass.exe

O23 - Service: Prise en charge des cartes à puces (SCardDrv) - Unknown owner - C:\WINNT\System32\SCardSvr.exe

O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINNT\System32\SCardSvr.exe

O23 - Service: Planificateur de tâches (Schedule) - Unknown owner - C:\WINNT\system32\MSTask.exe

O23 - Service: Service d'exécution par délégation (seclogon) - Unknown owner - C:\WINNT\system32\services.exe

O23 - Service: Still Image Service (StiSvc) - Unknown owner - C:\WINNT\system32\stisvc.exe

O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINNT\system32\smlogsvc.exe

O23 - Service: Telnet (TlntSvr) - Unknown owner - C:\WINNT\system32\tlntsvr.exe

O23 - Service: Client de suivi de lien distribué (TrkWks) - Unknown owner - C:\WINNT\system32\services.exe

O23 - Service: Gestionnaire d'utilitaires (UtilMan) - Unknown owner - C:\WINNT\System32\UtilMan.exe

O23 - Service: Horloge Windows (W32Time) - Unknown owner - C:\WINNT\System32\services.exe

O23 - Service: Infrastructure de gestion Windows (WinMgmt) - Unknown owner - C:\WINNT\System32\WBEM\WinMgmt.exe

O23 - Service: Extensions du pilote WMI (Wmi) - Unknown owner - C:\WINNT\system32\Services.exe

 

--

End of file - 9628 bytes

Thanos Devil Member !

Thanos

Posté(e)
Posté(e) (modifié)

salut :P

 

Un bon boulot d'effectué :P Il reste cependant à faire!

 

Il va falloir installer un parefeu d'urgence!! sinon le pc risque dêtre réinfecté aussi sec!

 

*Passe par "Ajouter ou Supprimer des Programmes"(Panneau de Configuration) et désinstalle les programmes suivant:

 

ewido anti-spyware 4.0 > le programme est ancien et on va utiliser la dernière version pour nettoyer.

 

Va jusqu'au bout et si tu rencontres un problème, n'hésite pas à me le dire :P

 

Tu as deux possiblités pour consulter les instructions qui suivent:

 

-Soit tu copie/colles le contenu de la procédure dans un fichier texte(que tu met sur le bureau) pour pouvoir le consulter en mode sans échec(tu n'auras pas accès à internet!).

 

-Tu peux également enregistrer la page web complète, sur laquelle se trouve la procédure,

en le faisant à partir de ton navigateur :

 

-Aller en haut de page et cliquer sur le menu"Fichier" : une liste apparait=>

-Choisis "Enregistrer sous" et choisis "Bureau".

-Ensuite cliquer sur le bouton "Enregistrer" à droite du champs "nom du fichier".

 

Pour lire la procédure en mode sans échec, tu n'auras qu'à double cliquer sur le fichier malware (avec l'icone de ton navigateur) situé sur le bureau.(tu noteras qu'un nouveau dossier va se créer sur le bureau en plus du fichier : c'est normal!) De cette manière, tu conserveras toutes les mises en formes et les couleurs de la procédure, et cela permettra de t'y retrouver.

--------------------------------------------------------------------------------------------------------------------------

 

La procédure:

 

-Télécharge ATF Cleaner by Atribune sur ton bureau.

 

-Télécharge AVG anti-spyware et sauvegarde le sur ton bureau.

  • Une fois AVG Anti-Spyware téléchargé,repère son icône sur le bureau et double clique dessus pour lancer l'installation.
  • Une fois l'installation terminée, AVG Anti-Spyware va se lancer: il faut mettre le programme à jour.
  • Sur l'écran principal sélectionne le menu "Mise à jour", puis clique sur le bouton "Commencer la mise à jour" sous "Mise à jour manuelle".
  • La mise à jour va commencer(il est possible que tu reçoives une alerte de ton parefeu: accepte la connexion au serveur).
  • Une fois la mise à jour faite, sélectionne le menu "Analyse" puis clique sur l'onglet "Paramètres".
  • Sous "Comment réagir", choisis "Quarantaine"
  • Sous "Rapports" clique sur "Générer un rapport après chaque analyse".
    décoche la case "Uniquement en cas de menace".
  • Ferme AVG Anti-Spyware et ne lance pas de scan maintenant!

-vas dans le menu démarrer executer et tu tapes : services.msc

 

Cherche le service suivant:ladchkr et double clique dessus :

dans le champs"Status du service" met le sur "arrêté"

dans le champs"Type de démarrage" met le sur "désactivé"

puis clique sur "Appliquer" puis"ok"

Quitte les services.

 

-Ouvre Hijackthis et clique sur "Open the misc tools section"=> puis "Delete an NT service".

  • la fenêtre "Delete a Windows NT service" va s'ouvrir
  • Dans la fenêtre qui s'ouvre, copie/colle ceci => ladchkr

    Note : assure-toi de ne pas mettre d'espace avant le nom du service que tu as copié/collé dans le champs.

  • clique sur OK
  • Une autre fenêtre devrait s'ouvrir, donnant des informations sur le service et demandant si tu veux re-démarrer.
  • Cliquer sur YES

Le pc devrait redémarrer : si ce n'est pas le cas, fais le manuellement.

 

Étape 1:

 

*Redémarre le PC, impérativement en mode sans échec,(au démarrage, tapoter immédiatement la touche F8,puis apparaitra un écran avec choix de démarrages : choisir "Mode sans échec" avec les flèches du clavier, puis valider avec "Entrée".

Choisir le compte usuel (et non Administrateur).

 

(n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte)

 

Étape 2:

 

* Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes :

O4 - HKLM\..\Run: [sC2] C:\WINNT\system32\scchk32.exe

 

O20 - Winlogon Notify: winjks32 - winjks32.dll (file missing)

-Ferme tous les programmes et clique sur "Fix Checked"

 

Étape 3:

  • Copie le texte en bleu/gras ci-bas (sélectionne-le en entier avec ta souris, puis fais un clic-droit dessus et choisis "Copier") :

    C:\WINNT\System32\win_4.exe
    C:\WINNT\system32\scchk32.exe
    C:\nkwncvkg1.exe
    C:\xx1232255.exe

  • Double-clique sur OTMoveIt.exe afin de lancer le programme.
  • Assure toi que la case "Unregister Dll's and Ocx's" soit bien cochée
  • Fais un Clique-droit sur le cadre de gauche puis choisis Coller.
  • Clique à présent sur le bouton "MoveIt!".

Un rapport va être créé, il se trouve dans C:\_OTMoveIt\MovedFiles\

Le nom du rapport est la date de sa création.

 

Étape 4:

 

Double-clique ATF Cleaner afin de lancer le programme.

  • Sous l'onglet Main, choisis : Select All
    Clique sur le bouton Empty Selected
     
    Si tu utilises le navigateur Firefox :
     
     
  • Clique Firefox au haut et choisis : Select All
    Clique le bouton Empty Selected
    NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
     
    Si tu utilises le navigateur Opera :
     
     
  • Clique Opera au haut et choisis : Select All
    Clique le bouton Empty Selected
    NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
     
    Clique Exit, du menu prinicipal, afin de fermer le programme.

Étape 5:

 

1. Du mode Sans Échec, lance AVG Anti-Spyware,

2. Choisis l'onglet Analyse puis sur Paramètre, clique sur Actions recommandées : La, choisis Quarantaine.

3. Clique sur le bouton Analyse (de la barre d'outils) et ensuite clique sur Analyse complète du sytème. Le scan prendra un certain temps, donc sois patient.

4. AVG Anti-Spyware affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement". Clique sur le bouton Appliquer toutes les actions. AVG Anti-Spyware affichera "Toutes les actions ont été effectuées" du côté droit.

5. Clique sur "Enregistrer le rapport", puis "Enregistrer sous". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).

 

Étape 6:

 

Redémarre normalement et installe un parefeu!! ne fais surtout pas l'impasse sur cette étape!! Le firewall est la principale protection du pc.

Voila quelques liens pour des pare-feux gratuits

 

Zone Alarm (2 versions )

Lien de téléchargement de la version FREE : http://dl2.zonelabs.com/bin/free/3301_fr/z..._737_000_fr.exe

Lien de téléchargement de la version PRO : http://www.zonelabs.com/store/content/cata...lid=dbtopnav_za

La version pro est payante après une période d'essai.

Tuto de Tesgaz pour la version pro : http://speedweb1.free.fr/frames2.php?page=tuto1

Tuto de Odsen pour la version free : http://benoit.aun.free.fr/securite-facile-php/zonealarm.php

 

Kerio (2 versions également)

Lien de téléchargement : http://www.sunbelt-software.com/evaluation/440/kerio.exe

Tuto de Malekal_morte : http://www.malekal.com/kerio_firewall.html

 

Jetico

Lien de téléchargement éditeur : http://www.jetico.com/

Lien de téléchargement sur Zebulon (en fr) : http://telechargement.zebulon.fr/license-1-225.html

Tuto de Odsen (lien site) : http://benoit.aun.free.fr/securite-facile-php/jetico.php

Tuto de Odsen (lien zeb) : http://forum.zebulon.fr/index.php?showtopic=93489

 

Outpost firewall free

Lien de téléchargement éditeur : http://www.agnitum.com/products/outpostfree/download.php

Tuto de Odsen (lien site) : http://securite-facile.ovh.org/outpost.php

 

La liste n'est pas exhaustive, il en existe d'autres gratuits, et d'autres avec plus de fonctions payants. Télécharge l'exécutable d'installation du pare-feu que tu auras choisi. Déconnecte toi, débranche physiquement ta connexion, et lance l'installation de ton pare-feu. Puis reconnecte toi et suis les instructions supplémentaires s'il y en a. Aide toi des tutos.

 

Je te conseille Zone Alarme ou Kério en version gratuite pour commencer, tu pourras en changer par la suite pour un pare-feu plus élaboré quand tu auras le temps de t'y plonger. Un pare-feu bien configuré, est garant de la sécurité du pc et de ta tranquilité .

 

--------------------------------------------------------------

 

stp poste :

 

- le rapport de Avg AS

- un nouveau rapport hijackthis

- le rapport de OtMoveIt

 

courage!!

Modifié par charles ingals

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...