Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Analyse de rapport HijackThis

kuma_buzz

Par kuma_buzz
dans Analyses et éradication malwares

 Partager

Messages recommandés

kuma_buzz Member

kuma_buzz

Posté(e)
Posté(e)

Bonjour,

 

Après avoir appliqué la procédure de pré-nettoyage d'un PC infecté j'aurais aimé savoir ce qui peut encore poser problème dans le rapport HijackThis que voici :

 

Logfile of HijackThis v1.99.1

Scan saved at 14:17:57, on 21/07/2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\qwerty12.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\wanmpsvc.exe

C:\WINDOWS\AGRSMMSG.exe

C:\Program Files\Apoint\Apoint.exe

C:\WINDOWS\System32\keyhook.exe

C:\Program Files\Dell\Media Experience\PCMService.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Apoint\Apntex.exe

C:\WINDOWS\SYSTEM32\sistray.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe

C:\WINDOWS\System32\msiexec.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/fr/fra/gen/default.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/fr/fra/gen/default.htm

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/defaul...earch.yahoo.com

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.euro.dell.com/countries/fr/fra/gen/default.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O1 - Hosts: 139.124.158.136 HP000D9D1E23EE

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe

O4 - HKLM\..\Run: [siS Windows KeyHook] C:\WINDOWS\System32\keyhook.exe

O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Dell\Media Experience\PCMService.exe"

O4 - HKLM\..\Run: [buildBU] c:\dell\bldbubg.exe

O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe

O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"

O4 - HKLM\..\Run: [icq.com] rundll32.exe "C:\WINDOWS\System32\xscckhfh.dll",forkonce

O4 - HKLM\..\Run: [update] C:\Program Files\AntiVir PersonalEdition Classic\preupd.exe /CALLSCHEDULER /DM="0" /CALLSCHEDULER

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\SYSTEM32\sistray.exe

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{D3C93A72-40CB-4222-A7D8-9DC39BE64014}: NameServer = 139.124.203.194,139.124.1.2

O23 - Service: DomainService - - C:\WINDOWS\System32\qwerty12.exe

O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - Networks Associates Technology, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

 

 

 

Merci d'avance pour votre aide :P

WawaSeb Godlike Member

WawaSeb

Posté(e)
Posté(e) (modifié)

Bonjour kuma_buzz,

 

*** Bienvenue sur ce chouette forum dédié à la sécurité ! ***

Mon nom est WawaSeb et je vais t'aider à terminer le nettoyage de ta machine...

 

# Ton Windows n'est pas à jour du tout ! C'est très dangereux et tu risques de te faire ré-infecter trop vite, surtout sans pare-feu et sans antivirus...

 

 

1) Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

  1. Double-clique VundoFix.exe afin de le lancer
  2. Clique sur le bouton Scan for Vundo
  3. Lorsque le scan est complété, clique sur le bouton Remove Vundo
  4. Une invite te demandera si tu veux supprimer les fichiers, clique YES
  5. Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
  6. Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
  7. Copie/colle le contenu du rapport situé dans C:\vundofix.txt sur ce forum

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

 

 

2) Relance HijackThis, ferme toutes les autres fenêtres et fixe la ligne suivante (si encore présente) :

 

O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)

 

 

3) Rends-toi sur ce site-ci

  • Clique sur "Parcourir" (comme indiqué sur le dessin) jotti.gif
  • Recherche le fichier suivant : C:\WINDOWS\System32\xscckhfh.dll
  • Clique sur "Submit"
  • Copie-colle le rapport dans ta prochaine réponse...

*** Si le site est trop surchargé, tu peux refaire la même opération ici ("Send" à la place de "Submit")

 

 

4) Clique sur Démarrer, puis sur Exécuter

  • Tape cmd.exe et appuie sur Entrée
  • Tape ensuite exactement les commandes suivantes :
  • sc stop "DomainService"
  • sc delete "DomainService"

J'attends donc les rapports suivants :

  • VundoFix
  • Jotti / VirusTotal
  • Nouvel HijackThis (renomme hijackthis.exe en scan.exe avant de cliquer sur "Do A System Scan And Save A Log File" stp)

Bon travail à toi !

:P

 

 

Edit : Correction orthographique

Modifié par WawaSeb
kuma_buzz Member

kuma_buzz

Posté(e)
  • Auteur
Posté(e)

Salut Wawaseb, merci pour la rapidité et la clarté de ta réponse.

 

 

Alors voici les infos que tu m'as demandé :

 

- Vundo fix :

 

C:\windows\system32\bsmvjdfa.dll

C:\windows\system32\hfhkccsx.ini

C:\WINDOWS\System32\ljjkl.dll

C:\WINDOWS\System32\lkjjl.bak1

C:\WINDOWS\System32\lkjjl.ini

C:\WINDOWS\System32\xscckhfh.dll

 

 

- Jotti/VirusTotal :

 

Je n'ai pas pu faire d'analyse car le fichier n'existe plus dans c:\windows\system32. Il a apparament été supprimé par vundofix.

 

Deplus, le site n°1 était surchargé et le lien du n°2 est inaccessible.

 

- Rapport HijackThis :

 

Logfile of HijackThis v1.99.1

Scan saved at 16:54:58, on 21/07/2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\wanmpsvc.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\AGRSMMSG.exe

C:\Program Files\Apoint\Apoint.exe

C:\WINDOWS\System32\keyhook.exe

C:\Program Files\Dell\Media Experience\PCMService.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\WINDOWS\SYSTEM32\sistray.exe

C:\Program Files\Apoint\Apntex.exe

C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe

C:\WINDOWS\System32\msiexec.exe

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\System32\rundll32.exe

C:\Program Files\HijackThis\Scan.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/fr/fra/gen/default.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/fr/fra/gen/default.htm

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/defaul...earch.yahoo.com

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.euro.dell.com/countries/fr/fra/gen/default.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O1 - Hosts: 139.124.158.136 HP000D9D1E23EE

O2 - BHO: (no name) - {3F4F125D-F31E-4D37-AC35-E50128670469} - C:\WINDOWS\System32\xxyayvu.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: (no name) - {8545AF01-38FE-467B-AE59-6723DCF40178} - C:\WINDOWS\System32\gebyx.dll

O2 - BHO: (no name) - {918908DA-278B-4D8E-9842-8FFF67021D5A} - C:\WINDOWS\System32\ljjkl.dll (file missing)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe

O4 - HKLM\..\Run: [siS Windows KeyHook] C:\WINDOWS\System32\keyhook.exe

O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Dell\Media Experience\PCMService.exe"

O4 - HKLM\..\Run: [buildBU] c:\dell\bldbubg.exe

O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe

O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"

O4 - HKLM\..\Run: [update] C:\Program Files\AntiVir PersonalEdition Classic\preupd.exe /CALLSCHEDULER /DM="0" /CALLSCHEDULER

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\SYSTEM32\sistray.exe

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{D3C93A72-40CB-4222-A7D8-9DC39BE64014}: NameServer = 139.124.203.194,139.124.1.2

O20 - Winlogon Notify: gebyx - C:\WINDOWS\System32\gebyx.dll

O20 - Winlogon Notify: xxyayvu - C:\WINDOWS\SYSTEM32\xxyayvu.dll

O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - Networks Associates Technology, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

 

Pour info la ligne "O3 - Toolbar: (no name) {BA.......} - (no file)" était toujours présente lors du deuxième scan, je l'ai donc coché.

 

 

En espérant que cette fois ci ta réponse soit plus rassurante qu'au premier coup :P

 

Merci encore pour ton aide.

WawaSeb Godlike Member

WawaSeb

Posté(e)
Posté(e)

Bonsoir kuma_buzz,

 

*** Tu as fait un excellent travail, mais Vundo est toujours là ! ***

 

 

1) Télécharge ATF Cleaner de Atribune sur ton bureau. Ce programme sert à nettoyer les fichiers inutiles !

 

- Double-clique sur ATF-Cleaner.exe

 

Coche ceci :

  • Windows Temp
  • Current User Temp
  • All Users Temp
  • Cookies
  • Temporary Internet Files
  • Prefetch
  • Java Cache
  • Recycle Bin

- Clique sur Empty Selected et au message "Done Cleaning" sur Ok

 

 

2) Télécharge OTMoveIt de OldTimer. Sauvegarde-le sur ton Bureau.

 

Copie le texte en citation ci-dessous (sélectionne-le en entier avec ta souris, puis fais un clic-droit dessus et choisis "Copier") :

 

C:\WINDOWS\System32\xxyayvu.dll

C:\WINDOWS\System32\gebyx.dll

C:\WINDOWS\System32\ljjkl.dll

C:\windows\system32\bsmvjdfa.dll

C:\windows\system32\hfhkccsx.ini

C:\WINDOWS\System32\ljjkl.dll

C:\WINDOWS\System32\lkjjl.bak1

C:\WINDOWS\System32\lkjjl.ini

C:\WINDOWS\System32\xscckhfh.dll

------------> Les derniers ont normalement déjà été supprimés, mais ont peut-être été recréés par les premiers...

  • Double-clique sur OTMoveIt.exe afin de lancer le programme
  • Assure toi que la case "Unregister Dll's and Ocx's" soit bien cochée
  • Fais un Clic-droit sur le cadre de gauche puis choisis Coller
  • Clique à présent sur le bouton "MoveIt!"
  • Un rapport va être créé, il se trouve dans C:\_OTMoveIt\MovedFiles\ (Le nom du rapport est la date de sa création)
  • Poste ce rapport stp...

 

3) Télécharge DiagHelp.zip de Malekal_morte sur ton bureau.

  • Décompresse-le sur ton bureau
  • Un nouveau dossier va être créé (DiagHelp)
  • Ouvre le et double-clique sur go.cmd (le .cmd sera peut-être invisible)
  • Une fenêtre va s'ouvrir, choisis l'option 1
  • L'analyse peut prendre quelques minutes, appuie sur une touche quand on te le réclame
  • Copie/colle le rapport qui s'ouvre sur ce forum

N'oublie surtout pas d'appuyer sur une touche à la fin pour afficher le rapport !!

 

 

Pour te rassurer : tu vas voir, nous allons lui faire la peau !!!!! :P

Bonne nuit !

kuma_buzz Member

kuma_buzz

Posté(e)
  • Auteur
Posté(e) (modifié)

Re,

 

 

Voici les infos que j'ai pu obtenir (après avoir effacé vundo vu que j'avais oublié de le faire) :

 

 

- OTMoveIt :

 

DllUnregisterServer procedure not found in C:\WINDOWS\System32\xxyayvu.dll

C:\WINDOWS\System32\xxyayvu.dll NOT unregistered.

File move failed. C:\WINDOWS\System32\xxyayvu.dll scheduled to be moved on reboot.

DllUnregisterServer procedure not found in C:\WINDOWS\System32\gebyx.dll

C:\WINDOWS\System32\gebyx.dll NOT unregistered.

File move failed. C:\WINDOWS\System32\gebyx.dll scheduled to be moved on reboot.

File/Folder C:\WINDOWS\System32\ljjkl.dll not found.

File/Folder C:\windows\system32\bsmvjdfa.dll not found.

File/Folder C:\windows\system32\hfhkccsx.ini not found.

File/Folder C:\WINDOWS\System32\ljjkl.dll not found.

File/Folder C:\WINDOWS\System32\lkjjl.bak1 not found.

File/Folder C:\WINDOWS\System32\lkjjl.ini not found.

File/Folder C:\WINDOWS\System32\xscckhfh.dll not found.

 

Created on 07/22/2007 08:42:21

 

 

- DiagHelp :

 

J'ai pu clicker et choisir l'option 1, jusqu'à arriver à ce menu :

 

avpl.gif

 

Ensuite j'ai donc pressé la touche "Entrée" de mon clavier, puis une autre fenêtre de commande s'affiche disant que le prgramme KProcCheck se lance, et là ... un bel écran bleu.

 

Sur cet écran bleu il y a marqué (dsl cette fois ci pas de screenshot ^^ ):

 

DRIVER_IRQL_NOT_LESS_OR_EQUAL

 

Si c'est la première fois que vous voyez cet écran blablabla ...

 

Résumé de l'erreur :

 

*** STOP : 0x000000D1 (0x805B1B3D, 0x00000002, 0x00000000, 0xFA5D95C1)

KProcCheck.sys - adresse FA5D95C1 base at FA5D9000, DateStamp 415f7764

 

Contactez votre administrateur réseau blablabla ....

 

J'ai donc rebooté ma machine pour revenir sous Windows, qui m'a signalé avoir "récupérer d'une erreur sérieuse".

 

J'ai alors envoyé le rapport d'erreur à microsoft qui m'a retourné ceci :

 

raper.gif

 

Malgré tout, voici le log que j'obtiens avec catchme :

 

catchme 0.3.914 W2K/XP/Vista - rootkit detector by Gmer, http://www.gmer.net

Rootkit scan 2007-07-22 09:04:19

Windows 5.1.2600 Service Pack 1 NTFS

 

scanning hidden services ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden services: 0

hidden files: 0

 

Et voici la fenêtre qui s'affiche au lancement de go.cmd :

 

lanc.GIF

 

 

 

J'espère que tu pourra te dépatouiller avec tout ça :P .

 

A plus tard :P

Modifié par kuma_buzz
WawaSeb Godlike Member

WawaSeb

Posté(e)
Posté(e)

Bonjour kuma_buzz,

 

*** Voilà des erreurs qui ne coïncident pas tellement avec le résultat de Catchme... ***

--> Nous allons en avoir le coeur net !

--> Compte tenu de ces plantages, je te conseille VIVEMENT de sauvegarder toutes tes données avant de poursuivre (même si les instructions suivantes ne devraient en rien modifier ton système !) :

  • Messages, carnet d'adresse et configuration de ta messagerie (si pas en ligne)
  • Données personnelles et professionnelles (bien sûr...)
  • Les programmes téléchargés
  • Les favoris Internet Explorer / FireFox éventuels
  • Le dossier "Mes Documents"
  • Les sauvegardes de programmes / jeux / ...
  • Les drivers (pilotes) si tu ne les as pas sur disque
  • Ce qui pourrait se trouver sur d'autres comptes utilisteurs
  • ...

 

1) Télécharge DSS (ex ComboScan) (de Deckard) sur ton Bureau.

  • Ferme toutes les applications en cours
  • Double-clique sur comboscan.exe pour l'exécuter
  • A la fenêtre de mise en garde, clique sur OK
  • A la fin de l'analyse, clique sur OK (cela peut prendre quelques minutes)
  • Le rapport Comboscan.txt s'affichera, envoie ce rapport dans ta prochaine réponse

 

2) Télécharge gmer (je t'envoie l'adresse en privé)

  • Déconnecte-toi d'internet si possible et ferme tous les programmes.
  • Décompresse le fichier zip, renomme gmer.exe en gwennig.exe et double-clic sur gwennig.exe
  • Clique sur l'onglet "rootkit" et ensuite sur Scan
  • Lorsque le scan est terminé, choisis "copy"
  • Ouvre le bloc-note et clique dans le menu Edition sur Coller
  • Le rapport doit alors apparaître.
  • Enregistre le fichier sur ton bureau et copie/colle son contenu ici

Bravo pour ton courage ! :P

kuma_buzz Member

kuma_buzz

Posté(e)
  • Auteur
Posté(e)

Re bonjour, ça fait quand même trois jours que tu t'acharnes sur mon problème ... je t'en remercie sincèrement.

 

 

Voici où nous en sommes :

 

- DSS :

 

Il y a eu 2 fichiers : Main.txt et Extra.txt

 

 

Main.txt :

 

Deckard's System Scanner v20070711.54

Run by Marlene Steib on 2007-07-23 at 08:56:03

Computer is in Normal Mode.

--------------------------------------------------------------------------------

 

-- System Restore --------------------------------------------------------------

 

Successfully created a Deckard's System Scanner Restore Point.

 

 

-- Last 5 Restore Point(s) --

47: 2007-07-23 06:56:14 UTC - RP400 - Deckard's System Scanner Restore Point

46: 2007-07-22 10:12:54 UTC - RP399 - Point de vérification système

45: 2007-07-17 15:19:16 UTC - RP398 - Installé Java 6 Update 2

44: 2007-07-17 10:08:52 UTC - RP397 - Point de vérification système

43: 2007-07-16 10:08:18 UTC - RP396 - Point de vérification système

 

 

-- First Restore Point --

1: 2007-04-24 13:27:21 UTC - RP354 - Point de vérification système

 

 

Backed up registry hives.

 

Performed disk cleanup.

 

 

-- HijackThis (run as Marlene Steib.exe) ---------------------------------------

 

Logfile of HijackThis v1.99.1

Scan saved at 08:57:32, on 23/07/2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\qwerty12.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\wanmpsvc.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\AGRSMMSG.exe

C:\Program Files\Apoint\Apoint.exe

C:\WINDOWS\System32\keyhook.exe

C:\Program Files\Dell\Media Experience\PCMService.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\WINDOWS\SYSTEM32\sistray.exe

C:\Program Files\Apoint\Apntex.exe

C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Documents and Settings\Marlene Steib.D2C5KL41\Bureau\dss.exe

C:\PROGRA~1\HIJACK~1\Marlene Steib.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/fr/fra/gen/default.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/fr/fra/gen/default.htm

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/defaul...earch.yahoo.com

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.euro.dell.com/countries/fr/fra/gen/default.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O1 - Hosts: 139.124.158.136 HP000D9D1E23EE

O2 - BHO: (no name) - {30E1671F-0C04-4226-B2A6-08965289A1A1} - C:\WINDOWS\System32\gebyx.dll

O2 - BHO: (no name) - {3F4F125D-F31E-4D37-AC35-E50128670469} - C:\WINDOWS\System32\xxyayvu.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: (no name) - {918908DA-278B-4D8E-9842-8FFF67021D5A} - C:\WINDOWS\System32\ljjkl.dll (file missing)

O2 - BHO: (no name) - {938A8A03-A938-4019-B764-03FF8D167D79} - C:\WINDOWS\System32\jbcebqxu.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe

O4 - HKLM\..\Run: [siS Windows KeyHook] C:\WINDOWS\System32\keyhook.exe

O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Dell\Media Experience\PCMService.exe"

O4 - HKLM\..\Run: [buildBU] c:\dell\bldbubg.exe

O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe

O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"

O4 - HKLM\..\Run: [update] C:\Program Files\AntiVir PersonalEdition Classic\preupd.exe /CALLSCHEDULER /DM="0" /CALLSCHEDULER

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\SYSTEM32\sistray.exe

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{D3C93A72-40CB-4222-A7D8-9DC39BE64014}: NameServer = 139.124.203.194,139.124.1.2

O20 - Winlogon Notify: gebyx - C:\WINDOWS\System32\gebyx.dll

O20 - Winlogon Notify: xxyayvu - C:\WINDOWS\SYSTEM32\xxyayvu.dll

O23 - Service: DomainService - - C:\WINDOWS\System32\qwerty12.exe

O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - Networks Associates Technology, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

 

 

-- File Associations -----------------------------------------------------------

 

All associations okay.

 

 

-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

 

R2 ASCTRM - c:\windows\system32\drivers\asctrm.sys <Not Verified; Windows ® 2000 DDK provider; Windows ® 2000 DDK driver>

 

S2 DgiVecp - c:\windows\system32\drivers\dgivecp.sys <Not Verified; Samsung Electronics Co., Ltd.; Samsung Electronics Co., Ltd. VECP for Windows 2000, XP>

S2 HPFECP14 - c:\windows\system32\drivers\hpfecp14.sys

S3 KProcCheck - c:\windows\system32\drivers\kproccheck.sys

 

 

-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

 

R2 DomainService - c:\windows\system32\qwerty12.exe /service <Not Verified; ; DDC>

 

 

-- Scheduled Tasks -------------------------------------------------------------

 

2007-07-23 08:53:00 538 --a------ C:\WINDOWS\Tasks\Recherche de mises à jour sur McAfee.com (YONATHAN-Malika).job

2007-07-23 08:40:20 552 --a------ C:\WINDOWS\Tasks\Recherche de mises à jour sur McAfee.com (YONATHAN-Marlene Steib).job

2007-07-22 16:00:01 378 --a------ C:\WINDOWS\Tasks\HPpromotions photosmart 2600 series.job

 

 

-- Files created between 2007-06-23 and 2007-07-23 -----------------------------

 

2007-07-23 08:37:55 126016 --a------ C:\WINDOWS\System32\tycvlefl.dll

2007-07-23 08:37:46 66112 --a------ C:\WINDOWS\System32\vdayipeo.exe

2007-07-22 08:55:11 4096 --a------ C:\WINDOWS\System32\drivers\KProcCheck.sys

2007-07-22 08:39:58 66624 --a------ C:\WINDOWS\System32\jbcebqxu.dll

2007-07-22 08:36:58 126016 -----n--- C:\WINDOWS\System32\jprtnecb.dll

2007-07-22 08:31:12 66112 --a------ C:\WINDOWS\System32\rvfjeijx.exe

2007-07-22 08:29:27 735006 ---hs---- C:\WINDOWS\System32\xybeg.bak2

2007-07-21 16:49:56 266336 --a------ C:\WINDOWS\System32\gebyx.dll

2007-07-21 15:43:58 1156 --a------ C:\WINDOWS\mozver.dat

2007-07-21 14:25:47 0 d-------- C:\Documents and Settings\Marlene Steib.D2C5KL41\Application Data\U3

2007-07-21 09:32:23 50688 --a------ C:\WINDOWS\System32\qwerty12.exe <Not Verified; ; DDC>

2007-07-21 08:49:24 0 d-------- C:\Documents and Settings\Marlene Steib.D2C5KL41\.housecall6.6

2007-07-18 16:40:27 0 d-------- C:\Documents and Settings\Marlene Steib.D2C5KL41\Application Data\Talkback

2007-07-18 16:39:45 0 d-------- C:\Documents and Settings\Marlene Steib.D2C5KL41\Application Data\Mozilla

2007-07-18 16:23:04 2 --a------ C:\1079460330

2007-07-18 16:20:22 31254 --a------ C:\WINDOWS\System32\xxyayvu.dll

2007-07-18 16:19:54 0 d-------- C:\Documents and Settings\Marlene Steib.D2C5KL41\Application Data\WinRAR

2007-06-23 16:13:59 0 d-------- C:\Documents and Settings\Malika\WINDOWS

2007-06-23 16:13:59 0 d--h----- C:\Documents and Settings\Malika\Voisinage réseau

2007-06-23 16:13:59 0 d--h----- C:\Documents and Settings\Malika\Voisinage d'impression

2007-06-23 16:13:59 0 dr-h----- C:\Documents and Settings\Malika\SendTo

2007-06-23 16:13:59 0 dr-h----- C:\Documents and Settings\Malika\Recent

2007-06-23 16:13:59 0 d--h----- C:\Documents and Settings\Malika\Modèles

2007-06-23 16:13:59 0 dr------- C:\Documents and Settings\Malika\Mes documents

2007-06-23 16:13:59 0 dr------- C:\Documents and Settings\Malika\Menu Démarrer

2007-06-23 16:13:59 0 d--h----- C:\Documents and Settings\Malika\Local Settings

2007-06-23 16:13:59 0 dr------- C:\Documents and Settings\Malika\Favoris

2007-06-23 16:13:59 0 d---s---- C:\Documents and Settings\Malika\Cookies

2007-06-23 16:13:59 0 dr------- C:\Documents and Settings\Malika\Bureau

2007-06-23 16:13:59 0 dr-h----- C:\Documents and Settings\Malika\Application Data

2007-06-23 16:13:59 0 d-------- C:\Documents and Settings\Malika\Application Data\Sun

2007-06-23 16:13:59 0 d---s---- C:\Documents and Settings\Malika\Application Data\Microsoft

2007-06-23 16:13:59 0 d-------- C:\Documents and Settings\Malika\Application Data\Jasc Software Inc

2007-06-23 16:13:59 0 d-------- C:\Documents and Settings\Malika\Application Data\Identities

2007-06-23 16:13:58 786432 --ah----- C:\Documents and Settings\Malika\NTUSER.DAT

2007-06-23 14:50:18 41984 -----n--- C:\WINDOWS\System32\drivers\DGIVECP.SYS <Not Verified; Samsung Electronics Co., Ltd.; Samsung Electronics Co., Ltd. VECP for Windows 2000, XP>

 

 

-- Find3M Report ---------------------------------------------------------------

 

2007-07-21 14:08:24 0 d-------- C:\Program Files\GOTO Software

2007-07-17 17:22:07 0 d-------- C:\Program Files\Java

2007-07-10 09:25:23 69504 --a------ C:\Documents and Settings\Marlene Steib.D2C5KL41\Application Data\GDIPFONTCACHEV1.DAT

2007-07-07 11:06:55 445672 --a------ C:\WINDOWS\System32\perfh00C.dat

2007-07-07 11:06:55 64052 --a------ C:\WINDOWS\System32\perfc00C.dat

2007-06-02 12:06:29 68347 --a------ C:\WINDOWS\hpoins05.dat

2007-05-14 17:22:46 1 --a------ C:\_p_

2007-05-14 14:44:55 10 --a------ C:\usb001

2007-04-25 16:41:30 73216 --a------ C:\WINDOWS\ST6UNST.EXE <Not Verified; Microsoft Corporation; Microsoft® Visual Basic for Windows>

 

 

-- Registry Dump ---------------------------------------------------------------

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]

{30E1671F-0C04-4226-B2A6-08965289A1A1} C:\WINDOWS\System32\gebyx.dll

{3F4F125D-F31E-4D37-AC35-E50128670469} C:\WINDOWS\System32\xxyayvu.dll

{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

{918908DA-278B-4D8E-9842-8FFF67021D5A} C:\WINDOWS\System32\ljjkl.dll [x]

{938A8A03-A938-4019-B764-03FF8D167D79} C:\WINDOWS\System32\jbcebqxu.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]

"AGRSMMSG"="AGRSMMSG.exe"

"Apoint"="C:\\Program Files\\Apoint\\Apoint.exe"

"SiS Windows KeyHook"="C:\\WINDOWS\\System32\\keyhook.exe"

"PCMService"="\"C:\\Program Files\\Dell\\Media Experience\\PCMService.exe\""

"BuildBU"="c:\\dell\\bldbubg.exe"

"MCUpdateExe"="C:\\PROGRA~1\\mcafee.com\\agent\\mcupdate.exe"

"HP Software Update"="\"C:\\Program Files\\HP\\HP Software Update\\HPWuSchd2.exe\""

"QuickTime Task"="\"C:\\Program Files\\QuickTime\\qttask.exe\" -atboottime"

"SunJavaUpdateSched"="\"C:\\Program Files\\Java\\jre1.6.0_02\\bin\\jusched.exe\""

"Update"="C:\\Program Files\\AntiVir PersonalEdition Classic\\preupd.exe /CALLSCHEDULER /DM=\"0\" /CALLSCHEDULER"

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]

"CTFMON.EXE"="C:\\WINDOWS\\System32\\ctfmon.exe"

 

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]

"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]

"{3F4F125D-F31E-4D37-AC35-E50128670469}"=""

 

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\gebyx

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\xxyayvu

 

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa

Authentication Packages REG_MULTI_SZ msv1_0\

Security Packages REG_MULTI_SZ kerberosmsv1_0schannelwdigest\

Notification Packages REG_MULTI_SZ scecli\

 

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^AOL 8.0 Icône AOL.lnk]

"path"="C:\\Documents and Settings\\All Users\\Menu Démarrer\\Programmes\\Démarrage\\AOL 8.0 Icône AOL.lnk"

"backup"="C:\\WINDOWS\\pss\\AOL 8.0 Icône AOL.lnkCommon Startup"

"location"="Common Startup"

"command"="C:\\PROGRA~1\\AOL8~1.0\\aoltray.exe -check"

"item"="AOL 8.0 Icône AOL"

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^AOL Compagnon.lnk]

"path"="C:\\Documents and Settings\\All Users\\Menu Démarrer\\Programmes\\Démarrage\\AOL Compagnon.lnk"

"backup"="C:\\WINDOWS\\pss\\AOL Compagnon.lnkCommon Startup"

"location"="Common Startup"

"command"="C:\\PROGRA~1\\AOLCOM~1\\COMPAN~1.EXE /s"

"item"="AOL Compagnon"

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DVDSentry]

"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"

"item"="DSentry"

"hkey"="HKLM"

"command"="C:\\WINDOWS\\System32\\DSentry.exe"

"inimapping"="0"

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MCAgentExe]

"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"

"item"="mcagent"

"hkey"="HKLM"

"command"="c:\\PROGRA~1\\mcafee.com\\agent\\mcagent.exe"

"inimapping"="0"

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MCUpdateExe]

"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"

"item"="mcupdate"

"hkey"="HKLM"

"command"="C:\\PROGRA~1\\mcafee.com\\agent\\mcupdate.exe"

"inimapping"="0"

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]

"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"

"item"="msmsgs"

"hkey"="HKCU"

"command"="\"C:\\Program Files\\Messenger\\msmsgs.exe\" /background"

"inimapping"="0"

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VirusScan]

"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"

"item"="mcvsshld"

"hkey"="HKLM"

"command"="c:\\PROGRA~1\\mcafee.com\\vso\\mcvsshld.exe"

"inimapping"="0"

 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]

LocalService REG_MULTI_SZ AlerterWebClientLmHostsRemoteRegistryupnphostSSDPSRV\

NetworkService REG_MULTI_SZ DnsCache\

rpcss REG_MULTI_SZ RpcSs\

imgsvc REG_MULTI_SZ StiSvc\

termsvcs REG_MULTI_SZ TermService\

 

hklm\software\Microsoft\Windows NT\CurrentVersion\Svchost *netsvcs*

NtmlSvc

 

 

 

-- Hosts -----------------------------------------------------------------------

 

139.124.158.136 HP000D9D1E23EE

 

 

-- End of Deckard's System Scanner: finished at 2007-07-23 at 08:58:07 ---------

 

 

 

Extra.txt

 

Deckard's System Scanner v20070711.54

Extra logfile - please post this as an attachment with your post.

--------------------------------------------------------------------------------

 

-- System Information ----------------------------------------------------------

 

Microsoft Windows XP Édition familiale (build 2600) SP 1.0

Architecture: X86; Language: French

 

CPU 0: Mobile Intel® Celeron® CPU 2.20GHz

Percentage of Memory in Use: 59%

Physical Memory (total/avail): 221.48 MiB / 89.35 MiB

Pagefile Memory (total/avail): 545.01 MiB / 301.26 MiB

Virtual Memory (total/avail): 2047.88 MiB / 1970.78 MiB

 

C: is Fixed (NTFS) - 27.92 GiB total, 19.65 GiB free.

D: is CDROM (No Media)

 

 

-- Security Center -------------------------------------------------------------

 

AUOptions is set to notify before download.

 

 

-- Environment Variables -------------------------------------------------------

 

ALLUSERSPROFILE=C:\Documents and Settings\All Users

APPDATA=C:\Documents and Settings\Marlene Steib.D2C5KL41\Application Data

CLIENTNAME=Console

CommonProgramFiles=C:\Program Files\Fichiers communs

COMPUTERNAME=YONATHAN

ComSpec=C:\WINDOWS\system32\cmd.exe

HOMEDRIVE=C:

HOMEPATH=\Documents and Settings\Marlene Steib.D2C5KL41

LOGONSERVER=\\YONATHAN

NUMBER_OF_PROCESSORS=1

OS=Windows_NT

Path=C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem

PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH

PROCESSOR_ARCHITECTURE=x86

PROCESSOR_IDENTIFIER=x86 Family 15 Model 2 Stepping 9, GenuineIntel

PROCESSOR_LEVEL=15

PROCESSOR_REVISION=0209

ProgramFiles=C:\Program Files

PROMPT=$P$G

SESSIONNAME=Console

SystemDrive=C:

SystemRoot=C:\WINDOWS

TEMP=C:\DOCUME~1\MARLEN~1.D2C\LOCALS~1\Temp

TMP=C:\DOCUME~1\MARLEN~1.D2C\LOCALS~1\Temp

USERDOMAIN=YONATHAN

USERNAME=Marlene Steib

USERPROFILE=C:\Documents and Settings\Marlene Steib.D2C5KL41

windir=C:\WINDOWS

 

 

-- User Profiles ---------------------------------------------------------------

 

Marlene Steib.D2C5KL41 (admin)

Malika (new local, admin)

 

 

-- Add/Remove Programs ---------------------------------------------------------

 

--> C:\WINDOWS\IsUn040c.exe -fC:\WINDOWS\orun32.isu

--> RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{E06E4F4E-72D6-4497-BFFD-BCB43077C2F4}\setup.exe" -l0x40c -uninst

--> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf

Adobe Acrobat 5.0 --> C:\WINDOWS\ISUNINST.EXE -f"C:\Program Files\Fichiers communs\Adobe\Acrobat 5.0\NT\Uninst.isu" -c"C:\Program Files\Fichiers communs\Adobe\Acrobat 5.0\NT\Uninst.dll"

Adobe Flash Player ActiveX --> C:\WINDOWS\System32\Macromed\Flash\uninstall_activeX.exe

Agere Systems AC'97 Modem --> agrsmdel

ALPS Touch Pad Driver --> C:\Program Files\Apoint\Uninstap.exe ADDREMOVE

AOL France --> C:\Program Files\Fichiers communs\aolshare\Aolunins_fr.exe

Archiveur WinRAR --> C:\Program Files\WinRAR\uninstall.exe

Correctif pour le Lecteur Windows Media [Voir Q828026 pour plus d'informations] --> C:\WINDOWS\$NtUninstallQ828026$\spuninst\spuninst.exe

Correctif Windows XP - KB817611 -->

Correctif Windows XP - KB822603 --> C:\WINDOWS\$NtUninstallKB822603$\spuninst\spuninst.exe

Correctif Windows XP - KB823182 --> C:\WINDOWS\$NtUninstallKB823182$\spuninst\spuninst.exe

Correctif Windows XP - KB824105 --> C:\WINDOWS\$NtUninstallKB824105$\spuninst\spuninst.exe

Correctif Windows XP - KB824146 -->

Correctif Windows XP - KB826959 -->

Correctif Windows XP - KB828035 -->

Correctif Windows XP - KB828741 -->

Correctif Windows XP - KB833987 --> C:\WINDOWS\$NtUninstallKB833987$\spuninst\spuninst.exe

Correctif Windows XP - KB835732 -->

Correctif Windows XP - KB837001 --> C:\WINDOWS\$NtUninstallKB837001$\spuninst\spuninst.exe

Correctif Windows XP - KB839643 --> C:\WINDOWS\$NtUninstallKB839643$\spuninst\spuninst.exe

Correctif Windows XP - KB839645 --> C:\WINDOWS\$NtUninstallKB839645$\spuninst\spuninst.exe

Correctif Windows XP - KB840374 --> C:\WINDOWS\$NtUninstallKB840374$\spuninst\spuninst.exe

Correctif Windows XP - KB840987 --> C:\WINDOWS\$NtUninstallKB840987$\spuninst\spuninst.exe

Correctif Windows XP - KB841356 --> C:\WINDOWS\$NtUninstallKB841356$\spuninst\spuninst.exe

Correctif Windows XP - KB841533 --> C:\WINDOWS\$NtUninstallKB841533$\spuninst\spuninst.exe

Correctif Windows XP - KB841873 --> C:\WINDOWS\$NtUninstallKB841873$\spuninst\spuninst.exe

Correctif Windows XP - KB842773 --> C:\WINDOWS\$NtUninstallKB842773$\spuninst\spuninst.exe

Correctif Windows XP - KB871250 --> C:\WINDOWS\$NtUninstallKB871250$\spuninst\spuninst.exe

Correctif Windows XP - KB873339 --> C:\WINDOWS\$NtUninstallKB873339$\spuninst\spuninst.exe

Correctif Windows XP - KB873376 --> C:\WINDOWS\$NtUninstallKB873376$\spuninst\spuninst.exe

Correctif Windows XP - KB885250 --> C:\WINDOWS\$NtUninstallKB885250$\spuninst\spuninst.exe

Correctif Windows XP - KB885835 --> C:\WINDOWS\$NtUninstallKB885835$\spuninst\spuninst.exe

Correctif Windows XP - KB885836 --> C:\WINDOWS\$NtUninstallKB885836$\spuninst\spuninst.exe

Correctif Windows XP - KB888113 --> C:\WINDOWS\$NtUninstallKB888113$\spuninst\spuninst.exe

Correctif Windows XP - KB888302 --> C:\WINDOWS\$NtUninstallKB888302$\spuninst\spuninst.exe

Correctif Windows XP - KB890859 --> "C:\WINDOWS\$NtUninstallKB890859$\spuninst\spuninst.exe"

Correctif Windows XP - KB891781 --> C:\WINDOWS\$NtUninstallKB891781$\spuninst\spuninst.exe

Correctif Windows XP - KB897715 --> "C:\WINDOWS\$NtUninstallKB897715-OE6SP1-20050503.210336$\spuninst\spuninst.exe"

Correctif Windows XP - KB905915 --> "C:\WINDOWS\$NtUninstallKB905915-IE6SP1-20051122.175908$\spuninst\spuninst.exe"

Correctif Windows XP - KB911567 --> "C:\WINDOWS\$NtUninstallKB911567-OE6SP1-20060316.165634$\spuninst\spuninst.exe"

Correctif Windows XP - KB912812 --> "C:\WINDOWS\$NtUninstallKB912812-IE6SP1-20060322.182418$\spuninst\spuninst.exe"

Correctif Windows XP - KB916281 --> "C:\WINDOWS\$NtUninstallKB916281-IE6SP1-20060526.162249$\spuninst\spuninst.exe"

Correctif Windows XP - KB918439 --> "C:\WINDOWS\$NtUninstallKB918439-IE6SP1-20060530.145346$\spuninst\spuninst.exe"

Correctif Windows XP - KB918899 --> "C:\WINDOWS\$NtUninstallKB918899-IE6SP1-20060725.123917$\spuninst\spuninst.exe"

Correctif Windows XP - KB925486 --> "C:\WINDOWS\$NtUninstallKB925486-IE6SP1-20060918.120000$\spuninst\spuninst.exe"

Correctif Windows XP (SP2) Q329170 --> C:\WINDOWS\$NtUninstallQ329170$\spuninst\spuninst.exe

Correctif Windows XP (SP2) Q329441 --> C:\WINDOWS\$NtUninstallQ329441$\spuninst\spuninst.exe

Correctif Windows XP (SP2) Q810565 --> C:\WINDOWS\$NtUninstallQ810565$\spuninst\spuninst.exe

Correctif Windows XP (SP2) Q810833 --> C:\WINDOWS\$NtUninstallQ810833$\spuninst\spuninst.exe

Correctif Windows XP (SP2) Q814033 --> C:\WINDOWS\$NtUninstallQ814033$\spuninst\spuninst.exe

Correctif Windows XP (SP2) Q815021 --> C:\WINDOWS\$NtUninstallQ815021$\spuninst\spuninst.exe

Correctif Windows XP (SP2) Q817606 --> C:\WINDOWS\$NtUninstallQ817606$\spuninst\spuninst.exe

Dell Media Experience --> RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{2637C347-9DAD-11D6-9EA2-00055D0CA761}\setup.exe" -uninstall

Dell Solution Center --> MsiExec.exe /X{11F1920A-56A2-4642-B6E0-3B31A12C9288}

DVDSentry --> MsiExec.exe /I{98DF85D9-96C0-4F57-A92E-C3539477EF5E}

FileZilla (remove only) --> "C:\Program Files\FileZilla\uninstall.exe"

HijackThis 1.99.1 --> C:\Program Files\HijackThis\HijackThis.exe /uninstall

HP DeskJet Serie 720C (Supprimer uniquement) --> C:\Program Files\HP DeskJet 720C Series v10.3\hpfiui.exe -c -vdivid=HPF -vpnum=14 -vproduct=720C -huninstall

HP Extended Capabilities 4.7 --> C:\Program Files\HP\Digital Imaging\ExtCapUninstall\hpzscr01.exe -datfile hpqhsc01.dat

HP Image Zone 4.7 --> C:\Program Files\HP\Digital Imaging\uninstall\hpzscr01.exe -datfile hpqscr01.dat

HP PSC & OfficeJet 4.7 --> "C:\Program Files\HP\Digital Imaging\{342C7C88-D335-4bc2-8CF1-281857629CE2}\setup\hpzscr01.exe" -datfile hposcr05.dat

HP Software Update --> MsiExec.exe /X{64FC0C98-B035-4530-B15D-3D30610B6DF1}

J2SE Runtime Environment 5.0 Update 7 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150070}

J2SE Runtime Environment 5.0 Update 9 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150090}

Java 2 Runtime Environment, SE v1.4.2 --> MsiExec.exe /I{7148F0A8-6813-11D6-A77B-00B0D0142000}

Java 6 Update 2 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160020}

McAfee SecurityCenter --> c:\PROGRA~1\mcafee.com\shared\mcappins.exe /v=3 /uninstall=1 /interact=1 /script_proactive=0 /start=c:\PROGRA~1\mcafee.com\agent\uninst\screm.ui::uninstall.htm

Microsoft Office 2000 SR-1 Professional --> MsiExec.exe /I{0001040C-78E1-11D2-B60F-006097C998E7}

Microsoft Office XP Small Business --> MsiExec.exe /I{9113040C-6000-11D3-8CFE-0050048383C9}

Microsoft Works 7.0 --> MsiExec.exe /I{64D114CE-4234-45C2-B60A-2B07D5A48F72}

Mise à jour de sécurité pour Lecteur Windows Media (KB911564) --> "C:\WINDOWS\$NtUninstallKB911564$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Lecteur Windows Media 8 (KB911565) --> "C:\WINDOWS\$NtUninstallKB911565$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Lecteur Windows Media 8 (KB917734) --> "C:\WINDOWS\$NtUninstallKB917734_WMP8$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Step by Step Interactive Training (KB898458) --> "C:\WINDOWS\$NtUninstallKB898458$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB890046) --> "C:\WINDOWS\$NtUninstallKB890046$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB893756) --> "C:\WINDOWS\$NtUninstallKB893756$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB896358) --> "C:\WINDOWS\$NtUninstallKB896358$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB896422) --> "C:\WINDOWS\$NtUninstallKB896422$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB896423) --> "C:\WINDOWS\$NtUninstallKB896423$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB896424) --> "C:\WINDOWS\$NtUninstallKB896424$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB896428) --> "C:\WINDOWS\$NtUninstallKB896428$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB899587) --> "C:\WINDOWS\$NtUninstallKB899587$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB899591) --> "C:\WINDOWS\$NtUninstallKB899591$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB900725) --> "C:\WINDOWS\$NtUninstallKB900725$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB901017) --> "C:\WINDOWS\$NtUninstallKB901017$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB901214) --> "C:\WINDOWS\$NtUninstallKB901214$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB902400) --> "C:\WINDOWS\$NtUninstallKB902400$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB904706) --> "C:\WINDOWS\$NtUninstallKB904706$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB905414) --> "C:\WINDOWS\$NtUninstallKB905414$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB905495) --> "C:\WINDOWS\$NtUninstallKB905495$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB905749) --> "C:\WINDOWS\$NtUninstallKB905749$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB908519) --> "C:\WINDOWS\$NtUninstallKB908519$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB908531) --> "C:\WINDOWS\$NtUninstallKB908531$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB911562) --> "C:\WINDOWS\$NtUninstallKB911562$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB911927) --> "C:\WINDOWS\$NtUninstallKB911927$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB912919) --> "C:\WINDOWS\$NtUninstallKB912919$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB913446) --> "C:\WINDOWS\$NtUninstallKB913446$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB913580) --> "C:\WINDOWS\$NtUninstallKB913580$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB914388) --> "C:\WINDOWS\$NtUninstallKB914388$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB914389) --> "C:\WINDOWS\$NtUninstallKB914389$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB914798) -->

Mise à jour de sécurité pour Windows XP (KB917159) --> "C:\WINDOWS\$NtUninstallKB917159$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB917344) --> "C:\WINDOWS\$NtUninstallKB917344$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB917422) --> "C:\WINDOWS\$NtUninstallKB917422$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB917953) --> "C:\WINDOWS\$NtUninstallKB917953$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB919007) --> "C:\WINDOWS\$NtUninstallKB919007$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB920670) --> "C:\WINDOWS\$NtUninstallKB920670$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB920683) --> "C:\WINDOWS\$NtUninstallKB920683$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB920685) --> "C:\WINDOWS\$NtUninstallKB920685$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB921398) --> "C:\WINDOWS\$NtUninstallKB921398$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB921883) --> "C:\WINDOWS\$NtUninstallKB921883$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB922616) --> "C:\WINDOWS\$NtUninstallKB922616$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB922819) --> "C:\WINDOWS\$NtUninstallKB922819$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB923191) --> "C:\WINDOWS\$NtUninstallKB923191$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB923414) --> "C:\WINDOWS\$NtUninstallKB923414$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB924191) --> "C:\WINDOWS\$NtUninstallKB924191$\spuninst\spuninst.exe"

Mise à jour de sécurité pour Windows XP (KB924496) --> "C:\WINDOWS\$NtUninstallKB924496$\spuninst\spuninst.exe"

Mise à jour pour Windows XP (KB835409) --> "C:\WINDOWS\$NtUninstallKB835409$\spuninst\spuninst.exe"

Mise à jour pour Windows XP (KB898461) --> "C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe"

Mise à jour pour Windows XP (KB910437) --> "C:\WINDOWS\$NtUninstallKB910437$\spuninst\spuninst.exe"

Mise à jour pour Windows XP (KB911280) --> "C:\WINDOWS\$NtUninstallKB911280$\spuninst\spuninst.exe"

Mozilla Firefox (2.0.0.5) --> C:\Program Files\Mozilla Firefox\uninstall\helper.exe

Package du correctif Windows XP [voir Q329115 pour plus de détails] --> C:\WINDOWS\$NtUninstallQ329115$\spuninst\spuninst.exe

Package du correctif Windows XP [voir Q329834 pour plus de détails] --> C:\WINDOWS\$NtUninstallQ329834$\spuninst\spuninst.exe

PDF Maker DLL --> C:\WINDOWS\st6unst.exe -n "C:\Program Files\PDFmaker\ST6UNST.LOG"

PowerDVD --> RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}\setup.exe" -uninstall

RealPlayer Basic --> C:\Program Files\Fichiers communs\Real\Update\\rnuninst.exe RealNetworks|RealPlayer|6.0

SCANVIEW 7 --> C:\WINDOWS\st6unst.exe -n "C:\Program Files\SCANVIEW\ST6UNST.LOG"

SCANVIEW 7 (C:\Program Files\SCANVIEW\) --> C:\WINDOWS\st6unst.exe -n "C:\Program Files\SCANVIEW\ST6UNST.000"

ScoreAN --> RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{FBCCD81E-FCD0-488E-B7E8-E77D160A6BA6}\setup.exe"

SiS 900 PCI Fast Ethernet Adapter Driver --> C:\Progra~1\SiSLan\Uninst.exe

SiS VGA Utilities --> Rundll32 SiSInst.dll,Uninstall VGA,R

SPSS 12.0F for Windows --> MsiExec.exe /I{D5016480-1F5E-40f4-B45B-AF09879D4EBF}

Viewpoint Media Player --> C:\Program Files\Viewpoint\Viewpoint Experience Technology\mtsAxInstaller.exe /u

 

 

-- End of Deckard's System Scanner: finished at 2007-07-23 at 08:58:07 ---------

 

 

- Gmer :

 

GMER 1.0.13.12551 - http://www.gmer.net

Rootkit scan 2007-07-23 09:13:31

Windows 5.1.2600 Service Pack 1

 

 

---- User code sections - GMER 1.0.13 ----

 

.text C:\PROGRA~1\MOZILL~1\FIREFOX.EXE[3096] kernel32.dll!MultiByteToWideChar 77E498B1 6 Bytes JMP 01F01890 C:\WINDOWS\System32\gebyx.dll

 

Device \FileSystem\Fastfat \Fat IRP_MJ_CREATE F5BB4143

Device \FileSystem\Fastfat \Fat IRP_MJ_CLOSE F5BB41BD

Device \FileSystem\Fastfat \Fat IRP_MJ_READ F5BB08A5

Device \FileSystem\Fastfat \Fat IRP_MJ_WRITE F5BB0627

Device \FileSystem\Fastfat \Fat IRP_MJ_QUERY_INFORMATION F5BB4E1E

Device \FileSystem\Fastfat \Fat IRP_MJ_SET_INFORMATION F5BB8081

Device \FileSystem\Fastfat \Fat IRP_MJ_QUERY_EA F5BC8AC6

Device \FileSystem\Fastfat \Fat IRP_MJ_SET_EA F5BC849A

Device \FileSystem\Fastfat \Fat IRP_MJ_FLUSH_BUFFERS F5BC5D7B

Device \FileSystem\Fastfat \Fat IRP_MJ_QUERY_VOLUME_INFORMATION F5BB4B3F

Device \FileSystem\Fastfat \Fat IRP_MJ_SET_VOLUME_INFORMATION F5BCFCCC

Device \FileSystem\Fastfat \Fat IRP_MJ_DIRECTORY_CONTROL F5BB66C8

Device \FileSystem\Fastfat \Fat IRP_MJ_FILE_SYSTEM_CONTROL F5BB390C

Device \FileSystem\Fastfat \Fat IRP_MJ_DEVICE_CONTROL F5BC5526

Device \FileSystem\Fastfat \Fat IRP_MJ_SHUTDOWN F5BCF219

Device \FileSystem\Fastfat \Fat IRP_MJ_LOCK_CONTROL F5BCE996

Device \FileSystem\Fastfat \Fat IRP_MJ_CLEANUP F5BB3F94

Device \FileSystem\Fastfat \Fat IRP_MJ_PNP F5BBD411

Device \FileSystem\Fastfat \Fat FastIoCheckIfPossible F5BCA9C6

 

---- EOF - GMER 1.0.13 ----

 

 

 

J'attend tes instructions pour continuer les opérations, bonne journée :P

WawaSeb Godlike Member

WawaSeb

Posté(e)
Posté(e)

Bonjour kuma_buzz,

 

*** Décidément, il est vraiment très résistant ce Vundo... ***

Prière de ne pas redémarrer ta machine avant que je ne te le demande !

 

Etape 1

 

1) Clique sur Démarrer, puis sur Panneau de configration et va dans l'Ajout /Suppression de programmes :

  • Désinstalle (si présent) Viewpoint Media Player

----> Il est considéré comme un nid à malware's par de nombreux experts !

 

 

2) Relance GMER

  • Clique-droit sur
    .text C:\PROGRA~1\MOZILL~1\FIREFOX.EXE[3096] kernel32.dll!MultiByteToWideChar 77E498B1 6 Bytes JMP 01F01890 C:\WINDOWS\System32\gebyx.dll
  • Clique ensuite sur Restore Code GmerRestore.JPG

 

Etape 2

 

1) Télécharge The Avenger par Swandog46 sur ton Bureau

(je t'envoie l'adresse en privé)

 

Clique-droit sur Avenger.zip pour extraire le dossier sur ton bureau

 

 

2) Copie tout le texte écrit en citation (sélectionne-le, puis choisis "Edition" --> "Copier")

 

Registry keys to delete:

HKLM\software\microsoft\windows\currentversion\explorer\shellexecutehooks\{3F4F125D-F31E-4D37-AC35-E50128670469}

HKLM\software\microsoft\windows\currentversion\explorer\Browser Helper Objects\{30E1671F-0C04-4226-B2A6-08965289A1A1}

HKLM\software\microsoft\windows\currentversion\explorer\Browser Helper Objects\{3F4F125D-F31E-4D37-AC35-E50128670469}

HKLM\software\microsoft\windows\currentversion\explorer\Browser Helper Objects\{918908DA-278B-4D8E-9842-8FFF67021D5A}

HKLM\software\microsoft\windows\currentversion\explorer\Browser Helper Objects\{938A8A03-A938-4019-B764-03FF8D167D79}

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\gebyx

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\xxyayvu

 

Files to delete:

C:\WINDOWS\System32\tycvlefl.dll

C:\WINDOWS\System32\vdayipeo.exe

C:\WINDOWS\System32\jbcebqxu.dll

C:\WINDOWS\System32\jprtnecb.dll

C:\WINDOWS\System32\rvfjeijx.exe

C:\WINDOWS\System32\xybeg.bak2

C:\WINDOWS\System32\gebyx.dll

C:\WINDOWS\mozver.dat

c:\windows\system32\qwerty12.exe

C:\WINDOWS\System32\xxyayvu.dll

C:\WINDOWS\System32\ljjkl.dll

C:\WINDOWS\System32\jbcebqxu.dll

 

 

3) Exécute The Avenger en cliquant l'icône avec la petite épée

  • Dans "Script file to execute", choisis "Input Script Manually"
  • Clique ensuite sur l'icône en forme de loupe (View/edit script)
  • Dans cette fenêtre, colle le texte que tu viens de copier ("Edition" --> "Coller")
  • Clique sur Done
  • Clique alors sur l'icône en forme de Feu Vert pour démarrer l'exécution du script
  • Réponds "Yes" deux fois quand il le demande

4) The Avenger va redémarrer ton PC, ouvrir brièvement une fenêtre noire et afficher un rapport (c:\avenger.txt)

-------> Merci de copier ce rapport dans ton prochain message !

 

 

 

Bon travail à toi ! :P

kuma_buzz Member

kuma_buzz

Posté(e)
  • Auteur
Posté(e)

Salut,

 

 

Désolé mais je n'ai vu ton message que ce matin, ce qui fait que j'avais déjà reboot mon pc entre temps.

 

Dans l'ordre voici ce que j'ai fait :

 

 

- J'ai viré Viewpoint Mediaplayer

 

- J'ai lancé Gmer et voici le log :

 

GMER 1.0.13.12551 - http://www.gmer.net

Rootkit scan 2007-07-24 08:55:32

Windows 5.1.2600 Service Pack 1

 

 

---- User code sections - GMER 1.0.13 ----

.text C:\PROGRA~1\MOZILL~1\FIREFOX.EXE[1560] kernel32.dll!MultiByteToWideChar 77E498B1 6 Bytes JMP 10031890 C:\WINDOWS\System32\gebyx.dll

 

Device \FileSystem\Fastfat \Fat IRP_MJ_CREATE F5CBC143

Device \FileSystem\Fastfat \Fat IRP_MJ_CLOSE F5CBC1BD

Device \FileSystem\Fastfat \Fat IRP_MJ_READ F5CB88A5

Device \FileSystem\Fastfat \Fat IRP_MJ_WRITE F5CB8627

Device \FileSystem\Fastfat \Fat IRP_MJ_QUERY_INFORMATION F5CBCE1E

Device \FileSystem\Fastfat \Fat IRP_MJ_SET_INFORMATION F5CC0081

Device \FileSystem\Fastfat \Fat IRP_MJ_QUERY_EA F5CD0AC6

Device \FileSystem\Fastfat \Fat IRP_MJ_SET_EA F5CD049A

Device \FileSystem\Fastfat \Fat IRP_MJ_FLUSH_BUFFERS F5CCDD7B

Device \FileSystem\Fastfat \Fat IRP_MJ_QUERY_VOLUME_INFORMATION F5CBCB3F

Device \FileSystem\Fastfat \Fat IRP_MJ_SET_VOLUME_INFORMATION F5CD7CCC

Device \FileSystem\Fastfat \Fat IRP_MJ_DIRECTORY_CONTROL F5CBE6C8

Device \FileSystem\Fastfat \Fat IRP_MJ_FILE_SYSTEM_CONTROL F5CBB90C

Device \FileSystem\Fastfat \Fat IRP_MJ_DEVICE_CONTROL F5CCD526

Device \FileSystem\Fastfat \Fat IRP_MJ_SHUTDOWN F5CD7219

Device \FileSystem\Fastfat \Fat IRP_MJ_LOCK_CONTROL F5CD6996

Device \FileSystem\Fastfat \Fat IRP_MJ_CLEANUP F5CBBF94

Device \FileSystem\Fastfat \Fat IRP_MJ_PNP F5CC5411

Device \FileSystem\Fastfat \Fat FastIoCheckIfPossible F5CD29C6

 

---- EOF - GMER 1.0.13 ----

 

J'ai effectué les opérations demandées et la ligne en gras a disparu du log.

 

Voici le log que m'a donné avenger :

 

File C:\WINDOWS\System32\jprtnecb.dll not found!

Deletion of file C:\WINDOWS\System32\jprtnecb.dll failed!

 

Could not process line:

C:\WINDOWS\System32\jprtnecb.dll

Status: 0xc0000034

 

File C:\WINDOWS\System32\rvfjeijx.exe deleted successfully.

File C:\WINDOWS\System32\xybeg.bak2 deleted successfully.

File C:\WINDOWS\System32\gebyx.dll deleted successfully.

File C:\WINDOWS\mozver.dat deleted successfully.

File c:\windows\system32\qwerty12.exe deleted successfully.

File C:\WINDOWS\System32\xxyayvu.dll deleted successfully.

 

 

File C:\WINDOWS\System32\ljjkl.dll not found!

Deletion of file C:\WINDOWS\System32\ljjkl.dll failed!

 

Could not process line:

C:\WINDOWS\System32\ljjkl.dll

Status: 0xc0000034

 

 

 

File C:\WINDOWS\System32\jbcebqxu.dll not found!

Deletion of file C:\WINDOWS\System32\jbcebqxu.dll failed!

 

Could not process line:

C:\WINDOWS\System32\jbcebqxu.dll

Status: 0xc0000034

 

 

 

Registry key HKLM\software\microsoft\windows\currentversion\explorer\shellexecutehooks\{3F4F125D-F31E-4D37-AC35-E50128670469} not found!

Deletion of registry key HKLM\software\microsoft\windows\currentversion\explorer\shellexecutehooks\{3F4F125D-F31E-4D37-AC35-E50128670469} failed!

Status: 0xc0000034

 

 

 

Registry key HKLM\software\microsoft\windows\currentversion\explorer\Browser Helper Objects\{30E1671F-0C04-4226-B2A6-08965289A1A1} not found!

Deletion of registry key HKLM\software\microsoft\windows\currentversion\explorer\Browser Helper Objects\{30E1671F-0C04-4226-B2A6-08965289A1A1} failed!

Status: 0xc0000034

 

Registry key HKLM\software\microsoft\windows\currentversion\explorer\Browser Helper Objects\{3F4F125D-F31E-4D37-AC35-E50128670469} deleted successfully.

Registry key HKLM\software\microsoft\windows\currentversion\explorer\Browser Helper Objects\{918908DA-278B-4D8E-9842-8FFF67021D5A} deleted successfully.

Registry key HKLM\software\microsoft\windows\currentversion\explorer\Browser Helper Objects\{938A8A03-A938-4019-B764-03FF8D167D79} deleted successfully.

Registry key HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\gebyx deleted successfully.

Registry key HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\xxyayvu deleted successfully.

 

Completed script processing.

 

*******************

 

Finished! Terminate.

 

 

Bonne journée :P

WawaSeb Godlike Member

WawaSeb

Posté(e)
Posté(e)

Bonjour kuma_buzz,

 

*** Il me semble que cela se dégage enfin... *** :P

 

 

1) Reposte un rapport HijackThis stp...

 

 

2) Nous allons vérifier qu'il ne reste pas d'infection à l'aide d'un scan en ligne :

 

Rends-toi sur le site de Kaspersky WebScanner

Dans "Démonstration en ligne", tu as une explication de la marche à suivre

Pour démarrer l'analyse, tu sélectionnes "Exécuter l'analyse en ligne".

 

Cette manipulation doit absolument être effectuée avec Internet Explorer

 

Télécharge le contôle Active X, accepte .

Dans le menu "Choisissez la cible de l'analyse", sélectionne "Poste de travail".

Le scan va commencer. Poste le rapport qui sera généré stp.

 

Très bon tutoriel ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368

 

 

# Comment se porte ta machine ?

# Sens-tu une amélioration ?

 

---> Je pars en vacances une semaine, mais je vais essayer de trouver quelqu'un pour me remplacer ici...

:P

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...