Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Prob PC log Hijackthis

almiros

Par almiros
dans Analyses et éradication malwares

 Partager

Messages recommandés

almiros Junior Member

almiros

Posté(e)
Posté(e) (modifié)

Bonjour a tous,

 

Le PC a ete contamine par Trojan.Win32.Dialer.qn et un autre du style winlau...

 

Scan online KIS fait car le pc est dote de Norton qui n`a rien vu, CCleaner ensuite, Easycleaner, Spybot et le PC est toujours lent, si une personne peut jeter un oeil aux differents rapports je lui sera reconnaissant. Il y a t`il des processus de demarrage inutile aussi ?

 

Merci,

 

Logfile of HijackThis v1.99.1

Scan saved at 19:05:59, on 15/07/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16473)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe

C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe

C:\WINDOWS\system32\brsvc01a.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\brss01a.exe

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\WINDOWS\system32\cisvc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\oodag.exe

C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\System32\tcpsvcs.exe

C:\WINDOWS\System32\snmp.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\AGRSMMSG.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\Program Files\Apoint2K\Apoint.exe

C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe

C:\WINDOWS\system32\LVCOMSX.EXE

C:\Program Files\UberIcon\UberIcon Manager.exe

C:\Program Files\Windows Media Player\WMPNSCFG.exe

C:\Program Files\Microsoft ActiveSync\wcescomm.exe

C:\WINDOWS\system32\ctfmon.exe

C:\PROGRA~1\MI3AA1~1\rapimgr.exe

C:\Program Files\Apoint2K\Apntex.exe

C:\WINDOWS\system32\cidaemon.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\GUY\LOCALS~1\Temp\Rar$EX00.891\HijackThis.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\GUY\LOCALS~1\Temp\Rar$EX01.203\HijackThis.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\GUY\LOCALS~1\Temp\Rar$EX00.969\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&a...n&pf=laptop

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkId=54843

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://update.microsoft.com/microsoftupdat...ault.aspx?ln=fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoris

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {0978FB19-10BD-438E-8D53-EAA99A16ECB0} - (no file)

O2 - BHO: (no name) - {0F3C5BA3-26AE-4870-A839-821309ED01DE} - (no file)

O2 - BHO: (no name) - {3F4F125D-F31E-4D37-AC35-E50128670469} - C:\WINDOWS\system32\wvuvsts.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: (no name) - {838F3CBC-43A9-4D39-B87D-7D9DEDC15807} - (no file)

O2 - BHO: (no name) - {938A8A03-A938-4019-B764-03FF8D167D79} - C:\WINDOWS\system32\hqqsjxha.dll

O2 - BHO: (no name) - {A8E5FB18-B6F6-4B55-BD7F-495327E7E400} - (no file)

O2 - BHO: (no name) - {C87ADBCF-39B2-4369-8BBE-9B0767B30815} - (no file)

O2 - BHO: (no name) - {E2D11E86-B6FE-442F-92E5-02C7BB470B73} - (no file)

O2 - BHO: (no name) - {EC426657-9012-4B0A-BE04-930D4FAC908A} - C:\WINDOWS\system32\vtsqo.dll

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton AntiVirus\osCheck.exe"

O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe

O4 - HKLM\..\Run: [symantec PIF AlertEng] "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [setDefPrt] C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe

O4 - HKLM\..\Run: [ControlCenter2.0] C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun

O4 - HKCU\..\Run: [uberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe"

O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Contrôleur d’état.lnk = C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Traduire la page avec Google - C:\Documents and Settings\GUY\Application Data\TuneUp Software\TuneUp Utilities\Web\gtranslate.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll

O9 - Extra 'Tools' menuitem: Créer un favori mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O11 - Options group: [iNTERNATIONAL] International*

O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=Q304&bd=pavilion&pf=laptop

O16 - DPF: {00000005-0000-0000-0000-100009000004} - http://c.imputati.com/l/0ebc32a4a17387a7d5...19c15c29_35.exe

O16 - DPF: {3451DEDE-631F-421C-8127-FD793AFC6CC8} - https://www-secure.symantec.com/techsupp/as...rl/SymAData.cab

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - http://charon777.free.fr/plugins/hardwaredetection.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\Skype4COM.dll

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - Winlogon Notify: vtsqo - C:\WINDOWS\system32\vtsqo.dll

O20 - Winlogon Notify: wvuvsts - C:\WINDOWS\SYSTEM32\wvuvsts.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe

O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\SHARED\HPQWMI.exe

O23 - Service: Validation de mot de passe Symantec IS (ISPwdSvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\isPwdSvc.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LuComServer_3_1.EXE

O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe

 

------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

 

-------------------------------------------------------------------------------

KASPERSKY ON-LINE SCANNER REPORT

Sunday, July 15, 2007 9:22:42 AM

Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)

Kaspersky On-line Scanner version : 5.0.83.0

Dernière mise à jour de la base antivirus Kaspersky : 15/07/2007

Enregistrements dans la base antivirus Kaspersky : 339988

-------------------------------------------------------------------------------

 

Paramètres d'analyse:

Analyser avec la base antivirus suivante: standard

Analyser les archives: vrai

Analyser les bases de messagerie: vrai

 

Cible de l'analyse - Zones critiques:

C:\WINDOWS

C:\DOCUME~1\GUY\LOCALS~1\Temp\

 

Statistiques de l'analyse:

Total d'objets analysés: 23836

Nombre de virus trouvés: 1

Nombre d'objets infectés: 1 / 0

Nombre d'objets suspects: 0

Durée de l'analyse: 00:21:19

 

Nom de l'objet infecté / Nom du virus / Dernière action

C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré

C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\Internet.evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\ODiag.evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\OSession.evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\winyvn32.dll Infecté : Trojan.Win32.Dialer.qn ignoré

C:\WINDOWS\Temp\Perflib_Perfdata_63c.dat L'objet est verrouillé ignoré

C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré

C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré

C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré

C:\DOCUME~1\GUY\LOCALS~1\Temp\WCESLog.log L'objet est verrouillé ignoré

 

-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

 

 

--- Spybot - Search & Destroy version: 1.4 (build: 20050523) ---

 

2005-05-31 blindman.exe (1.0.0.1)

2005-05-31 SpybotSD.exe (1.4.0.3)

2005-05-31 TeaTimer.exe (1.4.0.2)

2007-07-15 unins000.exe (51.41.0.0)

2005-05-31 Update.exe (1.4.0.0)

2007-05-23 advcheck.dll (1.5.3.0)

2005-05-31 aports.dll (2.1.0.0)

2005-05-31 borlndmm.dll (7.0.4.453)

2005-05-31 delphimm.dll (7.0.4.453)

2005-05-31 SDHelper.dll (1.4.0.0)

2007-01-02 Tools.dll (2.0.1.0)

2005-05-31 UnzDll.dll (1.73.1.1)

2005-05-31 ZipDll.dll (1.73.2.0)

2007-07-11 Includes\Cookies.sbi

2007-05-30 Includes\Dialer.sbi

2007-07-11 Includes\DialerC.sbi

2007-07-11 Includes\Hijackers.sbi

2007-07-11 Includes\HijackersC.sbi

2007-07-11 Includes\Keyloggers.sbi

2007-07-11 Includes\KeyloggersC.sbi

2007-07-11 Includes\Malware.sbi

2007-07-11 Includes\MalwareC.sbi

2007-07-11 Includes\PUPS.sbi

2007-07-11 Includes\PUPSC.sbi

2007-07-11 Includes\Revision.sbi

2007-05-30 Includes\Security.sbi

2007-07-11 Includes\SecurityC.sbi

2007-07-11 Includes\Spybots.sbi

2007-07-11 Includes\SpybotsC.sbi

2005-02-17 Includes\Tracks.uti

2007-07-03 Includes\Trojans.sbi

2007-07-11 Includes\TrojansC.sbi

2007-06-06 Plugins\TCPIPAddress.dll

 

Located: HK_LM:Run, Adobe Reader Speed Launcher

command: "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

file: C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

size: 40048

MD5: 66d4456c920e21bd2188f8cc33680df5

 

Located: HK_LM:Run, AGRSMMSG

command: AGRSMMSG.exe

file: C:\WINDOWS\AGRSMMSG.exe

size: 88209

MD5: 230ea041666125b6812fe3ff964b2df3

 

Located: HK_LM:Run, Apoint

command: C:\Program Files\Apoint2K\Apoint.exe

file: C:\Program Files\Apoint2K\Apoint.exe

size: 159744

MD5: 45a55108fc51f9a54fdcf3b07a8a3afc

 

Located: HK_LM:Run, ccApp

command: "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

file: C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

size: 115816

MD5: 25be770865658cb79100117112819a7c

 

Located: HK_LM:Run, ControlCenter2.0

command: C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun

file:

 

Located: HK_LM:Run, LVCOMSX

command: C:\WINDOWS\system32\LVCOMSX.EXE

file: C:\WINDOWS\system32\LVCOMSX.EXE

size: 221184

MD5: f0431c490f124a8cc874163e6a38dd28

 

Located: HK_LM:Run, osCheck

command: "C:\Program Files\Norton AntiVirus\osCheck.exe"

file: C:\Program Files\Norton AntiVirus\osCheck.exe

size: 26248

MD5: 3602c14e8b2bf31e7b4f14c162178945

 

Located: HK_LM:Run, SetDefPrt

command: C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe

file: C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe

size: 49152

MD5: 0c6dc7f88df16a6851bd11a48a03da1b

 

Located: HK_LM:Run, SunJavaUpdateSched

command: "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"

file: C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe

size: 83608

MD5: 9c1c80bbf8e6044980890e2d2d91091c

 

Located: HK_LM:Run, Symantec PIF AlertEng

command: "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"

file: C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe

size: 517768

MD5: c837d17de0b349539aa527ee750ebe2a

 

Located: HK_LM:Run, Cpqset (DISABLED)

command: C:\Program Files\HPQ\Default Settings\cpqset.exe

file: C:\Program Files\HPQ\Default Settings\cpqset.exe

size: 233534

MD5: 27ede9b7f4c2abefceca90c1971fb8c7

 

Located: HK_LM:Run, LogitechVideoTray (DISABLED)

command: C:\Program Files\Logitech\Video\LogiTray.exe

file: C:\Program Files\Logitech\Video\LogiTray.exe

size: 217088

MD5: fe6e15cc578c3278755cddff70c2787d

 

Located: HK_LM:Run, QuickTime Task (DISABLED)

command: "C:\Program Files\QuickTime\qttask.exe" -atboottime

file: C:\Program Files\QuickTime\qttask.exe

size: 286720

MD5: 49ccfbe5d5225b9d3cc78c09dee147d0

 

Located: HK_CU:Run, ctfmon.exe

command: C:\WINDOWS\system32\ctfmon.exe

file: C:\WINDOWS\system32\ctfmon.exe

size: 15360

MD5: 64e41e8fee655b03e3f19ded21ba5118

 

Located: HK_CU:Run, H/PC Connection Agent

command: "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"

file: C:\Program Files\Microsoft ActiveSync\wcescomm.exe

size: 1204224

MD5: 3d3b3b4844a9d4b1b9d3e8c7bb013026

 

Located: HK_CU:Run, UberIcon

command: "C:\Program Files\UberIcon\UberIcon Manager.exe"

file: C:\Program Files\UberIcon\UberIcon Manager.exe

size: 122880

MD5: a019a4f68df914ce039b447ddb928a37

 

Located: HK_CU:Run, WMPNSCFG

command: C:\Program Files\Windows Media Player\WMPNSCFG.exe

file: C:\Program Files\Windows Media Player\WMPNSCFG.exe

size: 204288

MD5: 5011a24aecf4d573473bdc15ee84c178

 

Located: HK_CU:Run, H/PC Connection Agent (DISABLED)

command: "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"

file: C:\Program Files\Microsoft ActiveSync\wcescomm.exe

size: 1204224

MD5: 3d3b3b4844a9d4b1b9d3e8c7bb013026

 

Located: Démarrage (tous utilisateurs), Contrôleur d’état.lnk

command: C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe

file: C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe

size: 802816

MD5: fd2664d52a61d9cdc1bc3105bd1f414d

 

Located: System.ini, vtsqo (DISABLED)

command: C:\WINDOWS\system32\vtsqo.dll

file: C:\WINDOWS\system32\vtsqo.dll

size: 266336

MD5: 87c5234e55fe66d7d1d415631eeafca3

 

Located: System.ini, winyvn32 (DISABLED)

command: winyvn32.dll

file: winyvn32.dll

 

Located: System.ini, wvuvsts (DISABLED)

command: wvuvsts.dll

file: wvuvsts.dll

 

Located: System.ini, AtiExtEvent (DISABLED)

command: Ati2evxx.dll

file: Ati2evxx.dll

 

Located: System.ini, crypt32chain (DISABLED)

command: crypt32.dll

file: crypt32.dll

 

Located: System.ini, cryptnet (DISABLED)

command: cryptnet.dll

file: cryptnet.dll

 

Located: System.ini, cscdll (DISABLED)

command: cscdll.dll

file: cscdll.dll

 

Located: System.ini, ScCertProp (DISABLED)

command: wlnotify.dll

file: wlnotify.dll

 

Located: System.ini, Schedule (DISABLED)

command: wlnotify.dll

file: wlnotify.dll

 

Located: System.ini, sclgntfy (DISABLED)

command: sclgntfy.dll

file: sclgntfy.dll

 

Located: System.ini, SensLogn (DISABLED)

command: WlNotify.dll

file: WlNotify.dll

 

Located: System.ini, termsrv (DISABLED)

command: wlnotify.dll

file: wlnotify.dll

 

Located: System.ini, vtsqo (DISABLED)

command: C:\WINDOWS\system32\vtsqo.dll

file: C:\WINDOWS\system32\vtsqo.dll

size: 266336

MD5: 87c5234e55fe66d7d1d415631eeafca3

 

Located: System.ini, WgaLogon (DISABLED)

command: WgaLogon.dll

file: WgaLogon.dll

 

Located: System.ini, winyvn32 (DISABLED)

command: winyvn32.dll

file: winyvn32.dll

 

Located: System.ini, wlballoon (DISABLED)

command: wlnotify.dll

file: wlnotify.dll

 

Located: System.ini, wvuvsts (DISABLED)

command: wvuvsts.dll

file: wvuvsts.dll

Modifié par almiros

Thanos Devil Member !

Thanos

Posté(e)
Posté(e) (modifié)

salut :P

 

Le pc est infecté par Vundo, poste stp les rapports suivants >

 

1) Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

  • Double-clique VundoFix.exe afin de le lancer
  • Clique sur le bouton Scan for Vundo
  • Lorsque le scan est complété, clique sur le bouton Remove Vundo
  • Une invite te demandera si tu veux supprimer les fichiers, clique YES
  • Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
  • Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
  • Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse

2) Télécharge et lance DiagHelp comme montré dans ce tutoriel> http://www.malekal.com/DiagHelp/DiagHelp.php

Ne lance que l'option 1 et poste le rapport stp.Attention: n'oublie pas d'appuyer sur une touche lorsque cela te sera demandé à la fin du rapport Catchme.

 

@+

Modifié par charles ingals
almiros Junior Member

almiros

Posté(e)
  • Auteur
Posté(e)
salut :P

 

Le pc est infecté par Vundo, poste stp les rapports suivants >

 

1) Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

  • Double-clique VundoFix.exe afin de le lancer
  • Clique sur le bouton Scan for Vundo
  • Lorsque le scan est complété, clique sur le bouton Remove Vundo
  • Une invite te demandera si tu veux supprimer les fichiers, clique YES
  • Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
  • Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
  • Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse

2) Télécharge et lance DiagHelp comme montré dans ce tutoriel> http://www.malekal.com/DiagHelp/DiagHelp.php

Ne lance que l'option 1 et poste le rapport stp.Attention: n'oublie pas d'appuyer sur une touche lorsque cela te sera demandé à la fin du rapport Catchme.

 

@+

 

Merci charles,

 

je fais ca demain et je te tiens au courant

 

Sincerement

almiros Junior Member

almiros

Posté(e)
  • Auteur
Posté(e)

Bonjour Charles,

 

la suite, apres la manip, Spybot detecte virtumonde...et tous les fichiers Vundo reviennent instantanements :P

 

Merci pour l`aide Charles

 

Logfile of HijackThis v1.99.1

Scan saved at 10:10:32, on 16/07/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16473)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe

C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe

C:\WINDOWS\system32\brsvc01a.exe

C:\WINDOWS\system32\brss01a.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\WINDOWS\system32\cisvc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\oodag.exe

C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\System32\tcpsvcs.exe

C:\WINDOWS\System32\snmp.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\AGRSMMSG.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\Program Files\Apoint2K\Apoint.exe

C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe

C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

C:\WINDOWS\system32\LVCOMSX.EXE

C:\Program Files\UberIcon\UberIcon Manager.exe

C:\Program Files\Windows Media Player\WMPNSCFG.exe

C:\Program Files\Microsoft ActiveSync\wcescomm.exe

C:\WINDOWS\system32\ctfmon.exe

C:\PROGRA~1\MI3AA1~1\rapimgr.exe

C:\Program Files\Apoint2K\Apntex.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\GUY\LOCALS~1\Temp\Rar$EX00.109\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&a...n&pf=laptop

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkId=54843

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://update.microsoft.com/microsoftupdat...ault.aspx?ln=fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoris

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {3499C256-C196-4257-A4EE-1763F60AB0BD} - (no file)

O2 - BHO: (no name) - {3F4F125D-F31E-4D37-AC35-E50128670469} - C:\WINDOWS\system32\wvuvsts.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton AntiVirus\osCheck.exe"

O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe

O4 - HKLM\..\Run: [symantec PIF AlertEng] "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [setDefPrt] C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe

O4 - HKLM\..\Run: [ControlCenter2.0] C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun

O4 - HKCU\..\Run: [uberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe"

O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Contrôleur d’état.lnk = C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Traduire la page avec Google - C:\Documents and Settings\GUY\Application Data\TuneUp Software\TuneUp Utilities\Web\gtranslate.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll

O9 - Extra 'Tools' menuitem: Créer un favori mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O11 - Options group: [iNTERNATIONAL] International*

O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=Q304&bd=pavilion&pf=laptop

O16 - DPF: {3451DEDE-631F-421C-8127-FD793AFC6CC8} - https://www-secure.symantec.com/techsupp/as...rl/SymAData.cab

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - http://charon777.free.fr/plugins/hardwaredetection.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\Skype4COM.dll

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - Winlogon Notify: winyvn32 - C:\WINDOWS\SYSTEM32\winyvn32.dll

O20 - Winlogon Notify: wvuvsts - C:\WINDOWS\SYSTEM32\wvuvsts.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe

O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\SHARED\HPQWMI.exe

O23 - Service: Validation de mot de passe Symantec IS (ISPwdSvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\isPwdSvc.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LuComServer_3_1.EXE

O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe

 

------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

 

 

catchme 0.3.914 W2K/XP/Vista - rootkit detector by Gmer, http://www.gmer.net

Rootkit scan 2007-07-16 18:26:42

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden services ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden services: 0

hidden files: 0

Thanos Devil Member !

Thanos

Posté(e)
Posté(e) (modifié)

salut :P

 

VundoFix n'a pas tout nettoyé mais il me faut le rapport pour savoir ce qu'il subsiste > tu trouveras le rapport dans le répertoire C:\ et il se nomme vundofix.txt, poste le!

 

Le rapport DiagHelp que tu as posté n'est pas complêt!! recommence et n'oublie pas de taper sur une touche lorsque ca t'est demandé à la fin du rapport Catchme.

si tu ne vois pas le rapport après ca, tu le trouveras dans C:\ et il se nomme resultat.txt

 

@+

Modifié par charles ingals
almiros Junior Member

almiros

Posté(e)
  • Auteur
Posté(e)

Mes escuses Charles mais n`etant pas souvent devant le pc, merci encore du devouement sincerement.

 

Rapport Vundo

-----------------

 

 

VundoFix V6.5.4

 

Checking Java version...

 

Java version is 1.4.2.3

Old versions of java are exploitable and should be removed.

 

Java version is 1.4.2.6

Old versions of java are exploitable and should be removed.

 

Java version is 1.5.0.2

Old versions of java are exploitable and should be removed.

 

Scan started at 00:07:15 16/07/2007

 

Listing files found while scanning....

 

C:\windows\system32\ofepayvm.dll

C:\WINDOWS\system32\oqstv.bak1

C:\WINDOWS\system32\oqstv.ini

C:\WINDOWS\system32\vtsqo.dll

 

Beginning removal...

 

Attempting to delete C:\windows\system32\ofepayvm.dll

C:\windows\system32\ofepayvm.dll Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\oqstv.bak1

C:\WINDOWS\system32\oqstv.bak1 Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\oqstv.ini

C:\WINDOWS\system32\oqstv.ini Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\vtsqo.dll

C:\WINDOWS\system32\vtsqo.dll Could not be deleted.

 

Performing Repairs to the registry.

Done!

 

Beginning removal...

 

Attempting to delete C:\WINDOWS\system32\oqstv.ini

C:\WINDOWS\system32\oqstv.ini Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\vtsqo.dll

C:\WINDOWS\system32\vtsqo.dll Could not be deleted.

 

Performing Repairs to the registry.

Done!

 

VundoFix V6.5.6

 

Checking Java version...

 

Java version is 1.4.2.3

Old versions of java are exploitable and should be removed.

 

Java version is 1.4.2.6

Old versions of java are exploitable and should be removed.

 

Java version is 1.5.0.2

Old versions of java are exploitable and should be removed.

 

Scan started at 08:05:37 16/07/2007

 

Listing files found while scanning....

 

C:\windows\system32\hqqsjxha.dll

C:\WINDOWS\system32\hqqsjxha.dll__BHODemonDisabled

C:\WINDOWS\system32\oqstv.ini

C:\WINDOWS\system32\vtsqo.dll

 

Beginning removal...

 

Attempting to delete C:\windows\system32\hqqsjxha.dll

C:\windows\system32\hqqsjxha.dll Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\oqstv.ini

C:\WINDOWS\system32\oqstv.ini Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\vtsqo.dll

C:\WINDOWS\system32\vtsqo.dll Has been deleted!

 

Performing Repairs to the registry.

Done!

 

VundoFix V6.5.6

 

Checking Java version...

 

Java version is 1.4.2.3

Old versions of java are exploitable and should be removed.

 

Java version is 1.4.2.6

Old versions of java are exploitable and should be removed.

 

Java version is 1.5.0.2

Old versions of java are exploitable and should be removed.

 

Scan started at 08:18:49 16/07/2007

 

Listing files found while scanning....

 

C:\WINDOWS\system32\ddcyy.dll

C:\WINDOWS\system32\yycdd.bak1

C:\WINDOWS\system32\yycdd.ini

 

Beginning removal...

 

Attempting to delete C:\WINDOWS\system32\ddcyy.dll

C:\WINDOWS\system32\ddcyy.dll Could not be deleted.

 

Attempting to delete C:\WINDOWS\system32\yycdd.bak1

C:\WINDOWS\system32\yycdd.bak1 Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\yycdd.ini

C:\WINDOWS\system32\yycdd.ini Has been deleted!

 

Performing Repairs to the registry.

Done!

 

Beginning removal...

 

Attempting to delete C:\WINDOWS\system32\ddcyy.dll

C:\WINDOWS\system32\ddcyy.dll Has been deleted!

 

Performing Repairs to the registry.

Done!

 

VundoFix V6.5.6

 

Checking Java version...

 

Java version is 1.4.2.3

Old versions of java are exploitable and should be removed.

 

Java version is 1.4.2.6

Old versions of java are exploitable and should be removed.

 

Java version is 1.5.0.2

Old versions of java are exploitable and should be removed.

 

Scan started at 08:57:14 16/07/2007

 

Listing files found while scanning....

 

No infected files were found.

 

 

VundoFix V6.5.6

 

Checking Java version...

 

Java version is 1.4.2.3

Old versions of java are exploitable and should be removed.

 

Java version is 1.4.2.6

Old versions of java are exploitable and should be removed.

 

Java version is 1.5.0.2

Old versions of java are exploitable and should be removed.

 

Scan started at 09:37:50 16/07/2007

 

Listing files found while scanning....

 

C:\WINDOWS\system32\npqss.bak1

C:\WINDOWS\system32\npqss.ini

C:\WINDOWS\system32\ssqpn.dll

 

Beginning removal...

 

Attempting to delete C:\WINDOWS\system32\npqss.bak1

C:\WINDOWS\system32\npqss.bak1 Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\npqss.ini

C:\WINDOWS\system32\npqss.ini Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\ssqpn.dll

C:\WINDOWS\system32\ssqpn.dll Could not be deleted.

 

Performing Repairs to the registry.

Done!

 

Beginning removal...

 

Attempting to delete C:\WINDOWS\system32\ssqpn.dll

C:\WINDOWS\system32\ssqpn.dll Has been deleted!

 

Performing Repairs to the registry.

Done!

 

VundoFix V6.5.6

 

Checking Java version...

 

Java version is 1.4.2.3

Old versions of java are exploitable and should be removed.

 

Java version is 1.4.2.6

Old versions of java are exploitable and should be removed.

 

Java version is 1.5.0.2

Old versions of java are exploitable and should be removed.

 

Scan started at 18:57:27 16/07/2007

 

Listing files found while scanning....

 

C:\WINDOWS\system32\awtqn.dll

C:\WINDOWS\system32\nqtwa.bak1

C:\WINDOWS\system32\nqtwa.ini2

C:\WINDOWS\system32\nqtwa.tmp

 

Beginning removal...

 

Attempting to delete C:\WINDOWS\system32\awtqn.dll

C:\WINDOWS\system32\awtqn.dll Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\nqtwa.bak1

C:\WINDOWS\system32\nqtwa.bak1 Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\nqtwa.ini2

C:\WINDOWS\system32\nqtwa.ini2 Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\nqtwa.tmp

C:\WINDOWS\system32\nqtwa.tmp Has been deleted!

 

Performing Repairs to the registry.

Done!

 

Fichier DailHelp

------------------

 

DiagHelp version v1.1.2 - http://www.malekal.com

excute le 16/07/2007 à 18:23:38,01

 

 

Liste des derniers fichies modifies/crees dans windir\system32

C:\WINDOWS\System32/drivers\update.sys -->23/04/2007 12:32:54

C:\WINDOWS\System32/drivers\COH_Mon.cat -->15/03/2007 23:37:34

C:\WINDOWS\System32/drivers\COH_Mon.inf -->12/03/2007 11:19:08

C:\WINDOWS\System32/drivers\COH_Mon.sys -->20/02/2007 18:05:48

C:\WINDOWS\System32/drivers\ntfs.sys -->09/02/2007 13:10:35

C:\WINDOWS\System32/drivers\srtspx.inf -->12/01/2007 19:02:18

C:\WINDOWS\System32/drivers\srtspx.cat -->12/01/2007 19:02:18

 

C:\WINDOWS\System32\nqtwa.ini -->16/07/2007 18:23:38

C:\WINDOWS\System32\ssqnonn.dll -->16/07/2007 18:23:09

C:\WINDOWS\System32\OODBS.lor -->16/07/2007 18:15:06

C:\WINDOWS\System32\nqtwa.bak1 -->16/07/2007 10:50:26

C:\WINDOWS\System32\awtqn.dll -->16/07/2007 10:50:17

C:\WINDOWS\System32\khfdcda.dll -->16/07/2007 08:56:19

C:\WINDOWS\System32\pmnnkhg.dll -->15/07/2007 19:43:52

C:\WINDOWS\System32\jcfvadoq.exe -->15/07/2007 16:56:39

C:\WINDOWS\System32\wvuvsts.dll -->15/07/2007 16:47:49

C:\WINDOWS\System32\wpa.dbl -->15/07/2007 16:30:33

C:\WINDOWS\System32\pxasmnrb.exe -->15/07/2007 07:48:38

C:\WINDOWS\System32\vhemclgx.exe -->14/07/2007 15:38:55

C:\WINDOWS\System32\fwnxnumo.exe -->13/07/2007 23:44:21

C:\WINDOWS\System32\bvpfqatb.exe -->13/07/2007 00:28:46

C:\WINDOWS\System32\syswin.exe -->12/07/2007 21:09:09

C:\WINDOWS\System32\iixdvuca.exe -->12/07/2007 21:01:43

C:\WINDOWS\System32\PerfStringBackup.INI -->12/07/2007 09:02:04

C:\WINDOWS\System32\perfh00C.dat -->12/07/2007 09:02:04

C:\WINDOWS\System32\perfh009.dat -->12/07/2007 09:02:04

C:\WINDOWS\System32\perfc00C.dat -->12/07/2007 09:02:04

C:\WINDOWS\System32\perfc009.dat -->12/07/2007 09:02:04

C:\WINDOWS\System32\GDIPFONTCACHEV1.DAT -->11/07/2007 15:25:16

C:\WINDOWS\System32\FNTCACHE.DAT -->11/07/2007 09:33:54

C:\WINDOWS\System32\bridf05a.dat -->10/07/2007 23:11:37

C:\WINDOWS\System32\ututv.tmp2 -->08/07/2007 20:03:16

 

C:\WINDOWS\wiadebug.log -->16/07/2007 18:16:20

C:\WINDOWS\WindowsUpdate.log -->16/07/2007 18:15:43

C:\WINDOWS\wiaservc.log -->16/07/2007 18:15:40

C:\WINDOWS.log -->16/07/2007 18:15:19

C:\WINDOWS\bootstat.dat -->16/07/2007 18:15:17

C:\WINDOWS\SchedLgU.Txt -->16/07/2007 11:19:46

C:\WINDOWS\Sti_Trace.log -->16/07/2007 00:02:02

C:\WINDOWS\ModemLog_Agere Systems AC'97 Modem.txt -->15/07/2007 17:30:25

C:\WINDOWS\QTFont.for -->15/07/2007 10:23:05

C:\WINDOWS\QTFont.qfn -->15/07/2007 10:23:04

C:\WINDOWS\Ultimate Cleaner.ico -->12/07/2007 21:14:13

C:\WINDOWS\Casino.ico -->12/07/2007 21:14:13

C:\WINDOWS\Spyware Remover.ico -->12/07/2007 21:14:11

C:\WINDOWS\win.ini -->11/07/2007 08:36:24

C:\WINDOWS\BRWMARK.INI -->10/07/2007 23:31:55

 

 

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 7155-322C

 

Répertoire de C:\WINDOWS\system

 

17/07/2002 16:22 4 672 WOWPOST.EXE

1 fichier(s) 4 672 octets

0 Rép(s) 42 879 000 576 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 7155-322C

 

Répertoire de C:\WINDOWS\system32

 

20/08/2004 01:09 6 144 csrss.exe

1 fichier(s) 6 144 octets

0 Rép(s) 42 879 000 576 octets libres

 

Contenu de Downloaded Program Files

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 7155-322C

 

Répertoire de C:\WINDOWS\Downloaded Program Files

 

16/07/2007 10:31 <REP> .

16/07/2007 10:31 <REP> ..

27/07/2005 01:00 2 390 catalog.dat

16/06/2007 10:07 <REP> CONFLICT.1

16/07/2003 08:18 65 desktop.ini

25/07/2002 17:13 24 576 dwusplay.dll

25/07/2002 17:13 196 608 dwusplay.exe

27/07/2005 01:00 6 899 ecbootil.vxd

27/07/2005 01:00 210 552 ecmsvr32.dll

23/03/2007 12:17 1 292 erma.inf

03/05/2005 21:24 86 808 HPGetDownloadManager.ocx

08/07/2004 11:53 73 728 HPISComputerInfo.dll

08/07/2004 12:49 560 HPISComputerInfo.inf

16/10/2003 13:55 299 008 isusweb.dll

29/09/2004 13:21 740 jinstall-1_4_2_06.inf

11/10/2005 16:49 752 jinstall-1_5_0_05.inf

10/11/2005 14:05 876 jinstall-1_5_0_06.inf

26/07/2006 04:00 896 jinstall-1_5_0_08.inf

20/01/2000 16:25 1 162 Microsoft XML Parser for Java.osd

27/07/2005 01:00 124 576 naveng32.dll

27/07/2005 01:00 685 728 navex32a.dll

27/07/2005 01:00 91 264 scrauth.dat

10/05/2004 12:50 202 setup.inf

26/06/2006 19:21 169 672 SymAData.dll

27/07/2005 01:00 8 137 symaveng.cat

27/07/2005 01:00 901 symaveng.inf

27/07/2005 01:00 12 401 tcdefs.dat

27/07/2005 01:00 679 409 tcscan7.dat

27/07/2005 01:00 153 417 tcscan8.dat

27/07/2005 01:00 380 534 tcscan9.dat

27/07/2005 01:00 453 tinf.dat

27/07/2005 01:00 148 tinfidx.dat

27/07/2005 01:00 1 957 tinfl.dat

27/07/2005 01:00 38 531 tscan1.dat

27/07/2005 01:00 1 237 tscan1hd.dat

27/07/2005 01:00 5 516 v.grd

27/07/2005 01:00 2 225 v.sig

27/07/2005 01:00 106 244 virscan.inf

27/07/2005 01:00 953 660 virscan1.dat

27/07/2005 01:00 557 749 virscan2.dat

27/07/2005 01:00 145 136 virscan3.dat

27/07/2005 01:00 319 575 virscan4.dat

27/07/2005 01:00 1 052 511 virscan5.dat

27/07/2005 01:00 384 165 virscan6.dat

27/07/2005 01:00 2 399 158 virscan7.dat

27/07/2005 01:00 1 363 015 virscan8.dat

27/07/2005 01:00 2 496 002 virscan9.dat

27/07/2005 01:00 32 virscant.dat

31/07/2005 11:50 2 072 vscanmsx.dat

27/07/2005 01:00 224 zdone.dat

47 fichier(s) 13 042 763 octets

 

Répertoire de C:\WINDOWS\Downloaded Program Files\CONFLICT.1

 

16/06/2007 10:07 <REP> .

16/06/2007 10:07 <REP> ..

0 fichier(s) 0 octets

 

Total des fichiers listés :

47 fichier(s) 13 042 763 octets

5 Rép(s) 42 878 996 480 octets libres

 

Recherche de rootkit! (Merci S!Ri)

 

Recherche d'infections connues

 

Export des clefs sensibles..

 

Liste des fichiers en exception sur le pare-feu XP SP2

 

"C:\\Program Files\\NetMeeting\\conf.exe"="C:\\Program Files\\NetMeeting\\conf.exe:*:Disabled:Windows® NetMeeting®"

"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Disabled:Windows Messenger"

"C:\\WINDOWS\\system32\\rundll32.exe"="C:\\WINDOWS\\system32\\rundll32.exe:*:Disabled:Exécuter une DLL en tant qu'application"

"C:\\WINDOWS\\system32\\dpvsetup.exe"="C:\\WINDOWS\\system32\\dpvsetup.exe:*:Disabled:Microsoft DirectPlay Voice Test"

"C:\\WINDOWS\\system32\\mshta.exe"="C:\\WINDOWS\\system32\\mshta.exe:*:Disabled:Microsoft ® HTML Application host"

"C:\\Program Files\\Hewlett-Packard\\HP Software Update\\HPWUCli.exe"="C:\\Program Files\\Hewlett-Packard\\HP Software Update\\HPWUCli.exe:*:Disabled:HP Software Update Client"

"C:\\WINDOWS\\system32\\sessmgr.exe"="C:\\WINDOWS\\system32\\sessmgr.exe:*:Disabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\Logitech\\Video\\Launcher.exe"="C:\\Program Files\\Logitech\\Video\\Launcher.exe:*:Disabled:Logitech QuickCam"

"C:\\WINDOWS\\system32\\mmc.exe"="C:\\WINDOWS\\system32\\mmc.exe:*:Disabled:Microsoft Management Console"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe:*:Enabled:ActiveSync RAPI Manager"

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Disabled:Windows Live Messenger 8.0"

"C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Disabled:Windows Live Messenger 8.0 (Phone)"

"C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"="C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"

"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

 

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.0"

"C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

 

Export de la clef SharedTaskScheduler

 

[sharedTaskScheduler]

"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

 

Rechercher adresses sensibles dans le fichier HOSTS...

REGEDIT4

 

[taskmgr.exe]

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

re!

 

pas de soucis!

 

Télécharge combofix.exe de sUBs

  • Assure toi que tous les programmes sont fermés avant de lancer le fix!
  • Fait un double clique sur combofix.exe.
  • Note: Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide !
  • Tape sur la touche 1 pour démarrer le scan.
  • Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message.
  • Si le rapport est trop long, poste le en deux fois.

almiros Junior Member

almiros

Posté(e)
  • Auteur
Posté(e)

Bonjour Charles,

 

je vous post le rapport combofix ci dessous, ce matin demarrage du pc et plein de nouvelles dll :P

 

Merci de votre aide.

 

- 2007-07-17 10:15:44 - ComboFix 07-07-14.6 - Service Pack 2 NTFS

 

 

(((((((((((((((((((((((((((((((((((((((((((( V Log )))))))))))))))))))))))))))))))))))))))))))))))))))))))

 

 

C:\WINDOWS\system32\iifebax.dll

C:\WINDOWS\system32\khfdcda.dll

C:\WINDOWS\system32\pmnnkhg.dll

C:\WINDOWS\system32\ssqnonn.dll

C:\WINDOWS\system32\iifebax.dll

C:\WINDOWS\system32\khfdcda.dll

C:\WINDOWS\system32\pmnnkhg.dll

C:\WINDOWS\system32\ssqnonn.dll

 

 

* * * POST RUN FILES/FOLDERS * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *

 

 

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

 

 

C:\WINDOWS\system32\bvpfqatb.exe

C:\WINDOWS\system32\fwnxnumo.exe

C:\WINDOWS\system32\iixdvuca.exe

C:\WINDOWS\system32\jcfvadoq.exe

C:\WINDOWS\system32\pxasmnrb.exe

C:\WINDOWS\system32\syswin.exe

C:\WINDOWS\system32\vhemclgx.exe

 

 

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

 

 

-------\LEGACY_IPRIP

-------\Iprip

 

 

((((((((((((((((((((((((( Files Created from 2007-06-17 to 2007-07-17 )))))))))))))))))))))))))))))))

 

 

2007-07-17 10:15 51,200 --a------ C:\WINDOWS\nircmd.exe

2007-07-17 01:55 6,369 ---hs---- C:\WINDOWS\system32\oqtss.bak1

2007-07-16 00:07 <REP> d-------- C:\VundoFix Backups

2007-07-15 17:02 53,248 --a------ C:\WINDOWS\system32\Process.exe

2007-07-15 17:02 51,200 --a------ C:\WINDOWS\system32\dumphive.exe

2007-07-15 17:02 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe

2007-07-15 14:37 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy

2007-07-14 17:27 <REP> d-------- C:\WINDOWS\Prefetch

2007-07-13 13:15 <REP> d-------- C:\Program Files\QuickTime

2007-07-13 13:14 <REP> d-------- C:\Program Files\Apple Software Update

2007-07-13 13:14 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Apple

2007-07-10 23:10 53,248 -r------- C:\WINDOWS\system32\BrMfNt.dll

2007-07-10 23:10 53,248 --------- C:\WINDOWS\system32\BrNetSti.dll

2007-07-10 23:10 34,816 --------- C:\WINDOWS\system32\BrWiaNCp.dll

2007-07-10 23:10 31,744 --------- C:\WINDOWS\system32\Brnsplg.dll

2007-07-10 23:10 163,840 --------- C:\WINDOWS\system32\NSSearch.dll

2007-07-10 23:10 122,880 --------- C:\WINDOWS\system32\BrfxD05a.dll

2007-07-10 23:10 106,496 --------- C:\WINDOWS\system32\BrMuSNMP.dll

2007-07-10 23:10 0 --a------ C:\WINDOWS\brdfxspd.dat

2007-06-17 16:50 98,304 --a------ C:\WINDOWS\system32\CmdLineExt.dll

 

 

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

 

2007-07-16 23:58:17 -------- d-----w C:\Program Files\Fichiers communs\Symantec Shared

2007-07-15 17:47:21 -------- d-----w C:\DOCUME~1\GUY\APPLIC~1\Skype

2007-07-15 12:57:08 -------- d-----w C:\Program Files\3B Software

2007-07-14 15:19:22 -------- d-----w C:\Program Files\TuneUp Utilities 2007

2007-07-13 11:20:33 -------- d-----w C:\DOCUME~1\GUY\APPLIC~1\Apple Computer

2007-07-12 22:24:16 -------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard

2007-07-12 07:02:04 84,122 ----a-w C:\WINDOWS\system32\perfc00C.dat

2007-07-12 07:02:04 507,486 ----a-w C:\WINDOWS\system32\perfh00C.dat

2007-07-11 13:25:16 107,008 -c--a-w C:\WINDOWS\system32\GDIPFONTCACHEV1.DAT

2007-07-10 21:11:37 50 ----a-w C:\WINDOWS\system32\bridf05a.dat

2007-07-06 12:31:04 -------- d-----w C:\Program Files\Windows Live Safety Center

2007-07-04 16:02:17 33,792 ----a-w C:\WINDOWS\system32\rundll32.exe

2007-07-04 15:44:09 -------- d--h--w C:\Program Files\InstallShield Installation Information

2007-06-17 14:40:10 -------- d-----w C:\Program Files\Pense-bete

2007-06-16 08:10:05 -------- d-----w C:\DOCUME~1\GUY\APPLIC~1\Lavasoft

2007-06-09 14:28:03 -------- d-----w C:\DOCUME~1\GUY\APPLIC~1\TaoUSign

2007-06-05 20:26:25 -------- d-----w C:\Program Files\Fichiers communs\Skype

2007-05-29 15:44:27 -------- d-----w C:\Program Files\LG PC Suite

2007-05-29 15:42:15 -------- d-----w C:\Program Files\LG Electronics

2007-05-29 14:41:50 -------- d-----w C:\DOCUME~1\GUY\APPLIC~1\LG Electronics

2007-05-16 15:13:53 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll

2007-04-28 21:33:23 1,036,288 ----a-w C:\WINDOWS\explorer.exe

2007-04-28 19:48:53 47,887 ----a-w C:\WINDOWS\OptimizerXP.dll

2007-04-25 14:22:35 144,896 ----a-w C:\WINDOWS\system32\schannel.dll

2007-04-18 16:14:18 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll

2005-10-24 19:43:16 59,720 -c----w C:\DOCUME~1\GUY\APPLIC~1\GDIPFONTCACHEV1.DAT

2005-08-21 10:23:59 5,832 -c----w C:\DOCUME~1\GUY\APPLIC~1\wklnhst.dat

2005-07-07 15:36:40 12 -c--a-w C:\Program Files\config.cfg

 

 

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

 

 

*Note* empty entries & legit default entries are not shown

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]

2006-10-22 23:08 62080 --a------ C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1FB63E52-4D6E-48C1-A08F-F630FE50F337}]

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]

2005-05-31 01:04 853672 --a------ C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]

2007-03-14 03:43 501400 --a------ C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ccApp"="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" [2007-01-09 22:59]

"osCheck"="C:\Program Files\Norton AntiVirus\osCheck.exe" [2006-09-05 19:22]

"Apoint"="C:\Program Files\Apoint2K\Apoint.exe" [2003-10-08 05:40]

"Symantec PIF AlertEng"="C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2007-03-12 10:22]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43]

"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]

"SetDefPrt"="C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe" [2005-01-26 18:02]

"ControlCenter2.0"="C:\Program Files\Brother\ControlCenter2\brctrcen.exe" [2005-05-17 17:42]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"UberIcon"="C:\Program Files\UberIcon\UberIcon Manager.exe" [2006-07-17 23:16]

"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-03 10:59]

"H/PC Connection Agent"="C:\Program Files\Microsoft ActiveSync\wcescomm.exe" [2005-11-15 20:21]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 01:09]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"EditLevel"=0 (0x0)

"NoClose"=0 (0x0)

"NoSaveSettings"=0 (0x0)

"NoFileMenu"=0 (0x0)

"NoCommonGroups"=0 (0x0)

"NoSharedDocuments"=00000000

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

"H/PC Connection Agent"="C:\Program Files\Microsoft ActiveSync\wcescomm.exe"

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"LogitechVideoTray"=C:\Program Files\Logitech\Video\LogiTray.exe

"Cpqset"=C:\Program Files\HPQ\Default Settings\cpqset.exe

"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" -atboottime

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

p2psvc p2psvc p2pimsvc p2pgasvc PNRPSvc

Usnsvc usnsvc

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - netsvcs

UxTuneUp

 

 

Contents of the 'Scheduled Tasks' folder

2007-07-13 11:14:26 C:\WINDOWS\tasks\AppleSoftwareUpdate.job

2007-07-06 17:00:41 C:\WINDOWS\tasks\Norton AntiVirus - Analyse système complète - GUY.job

 

**************************************************************************

 

catchme 0.3.915 W2K/XP/Vista - rootkit detector by Gmer, http://www.gmer.net

Rootkit scan 2007-07-17 10:23:32

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

 

Completion time: 2007-07-17 10:24:54 - machine was rebooted

C:\ComboFix-quarantined-files.txt ... 2007-07-17 10:24

 

--- E O F ---

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...