[RESOLU] Worm.solow.a

[Apollo]

Est-ce que je supprime aussi definitivement C:\WINDOWS\MS32DLL.dll.vbs ?

De la quarantaine? Oui tu peux, même s'il est inoffensif là. Mais c'est juste parce qu'un

antivirus en ligne, par exemple, peut même le signaler, même s'il est dans la quarantaine.

Puisqu'il se trouvait aussi une infection dans les fichiers Restore, il vaut mieux appliquer la désactivation/réactivation de la Restauration système, ce qui effacera tous les points créés précédement et en recréera un vierge de toute infection. (risque de re choper l'infection si elle est dans un point de restauration).

 

Merci de t'occuper de mon cas, au fait

 

De rien, je fais mon possible...pour aider.

[Lina]

De la quarantaine? Oui tu peux, même s'il est inoffensif là. Mais c'est juste parce qu'un

antivirus en ligne, par exemple, peut même le signaler, même s'il est dans la quarantaine.

Puisqu'il se trouvait aussi une infection dans les fichiers Restore, il vaut mieux appliquer la désactivation/réactivation de la Restauration système, ce qui effacera tous les points créés précédement et en recréera un vierge de toute infection. (risque de re choper l'infection si elle est dans un point de restauration).

De rien, je fais mon possible...pour aider.

 

C'est bon, je viens de tout supprimer de la quarantaine et j'ai desactivé et réactivé la restauration du système.

 

Donc demain je referais un scan

 

Bonne nuit Apollo.01

Modifié le 3 octobre 2007 par Lina

[Apollo]

Merci, bonne nuit à toi aussi.

[Apollo]

Bonjour Lina,

 

Avant de relancer une analyse avec AVG AS il faut procéder d'abord à ce qui suit:

 

Renseignements pris et recherche sur un des grands sites de sécurité bien connu ici Malekal pour ne pas le citer ), il s'avère que cette infection particulière peut avoir été introduite par le biais d'un support amovible tels que Clé USB, CD-R, CDRW, etc.

 

As-tu connecté une clé USB ces derniers temps sur un autre ordinateur que le tien? Ou tout autre support amovible?

Car cette infection a ceci de particulier qu'elle crée des fichiers .inf (cachés) aux racines de tout ce qui entre en contact avec elle, comme la racine du disque C (système) par exemple.

 

Télécharge Flash_Disinfector.exe de sUBs et enregistre-le sur ton bureau.

Connecte ou insère tous les supports amovibles susceptibles d'avoir été infectés . Mais en empêchant leur lancement automatique en maintenant la touche Shift ou Majuscule enfoncée pendant quelques secondes à chaque fois qu'un support est inséré. Un simple CD-R est impossible à nettoyer; direction --> poubelle

 

 

Double-clique sur l'outil et laisse-toi guider.

 

-Télécharge Clean.zip enregistre-le sur le bureau, fais un clic droit dessus et "extraire ici". Tu auras un dossier "Clean".

 

Redémarre le pc en mode sans échec Ouvre le dossier clean qui se trouve sur ton bureau, et double-clique sur clean.cmd, une fenêtre noire s'ouvre, choisis l'option 2 et laisse-toi guider.

Coche les options comme indiquées sur cette page

 

Ensuite seulement, relancer AVG AS, toujours en mode sans échec et faire une analyse complète de l'ordinateur. N'oublie pas de sauvegarder le rapport APRES avoir cliqué sur "Appliquer toutes les actions".

 

Redémarre alors l'ordinateur.

 

Fais un scan antivirus en ligne et sauvegarde le rapport pour le poster avec celui de AVG AS et un nouveau log Hijackthis fait en mode normal.

• Fais un scan en ligne Kaspersky avec Internet Explorer :
  
• Clique sur
  
• Clique maintenant sur J'accepte.
  
• Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
  
• Patiente pendant l'installation des Mises à jour.
  
• Choisis par la suite l'analyse du Poste de travail
  
• Sauvegarde puis colle le rapport généré en fin d'analyse.
  

AIDE : Configurer le contrôle des ActiveX

Note : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

(canned de synthexe.)

 

Bon courage!

 

A plus tard dans la journée.

Modifié le 4 octobre 2007 par Apollo.01

[Lina]

Bonjour Apollo.01,

 

As-tu connecté une clé USB ces derniers temps sur un autre ordinateur que le tien? Ou tout autre support amovible?

Car cette infection a ceci de particulier qu'elle crée des fichiers .inf (cachés) aux racines de tout ce qui entre en contact avec elle, comme la racine du disque C (système) par exemple.

 

Non, il y a juste un CD-R de musique que j'ai acheté, mais il ne devrait pas y avoir de virus à l'intérieur

Sinon, je peux avoir attrapé cela par autre moyen? (internet, avec les pubs? ) Je te le demande, pour éviter par la suite de me refaire infecter.

 

Donc étant donné que je n'ai pas de supports amovibles succeptibles d'avoir infecté l'ordi, je ne fais pas la 1ère étape (télécharger flash desinfector) non?

 

Je vais redemarrer et faire ce que tu m'as dit

 

Merci encore, et j'espère à plus tard ^^

Modifié le 4 octobre 2007 par Lina

[Apollo]

Bonjour,

 

Donc étant donné que je n'ai pas de supports amovibles succeptibles d'avoir infecté l'ordi, je ne fais pas la 1ère étape (télécharger flash desinfector) non?

 

Passe l'outil quand-même...

 

Après il faudra vérifier qu'un fichier autorun.inf ne soit pas présent dans les fichiers et dossiers cachés du système; s'il y est il faut le supprimer puis vider la corbeille, mais en ayant pris les précautions suivantes:

-- Ouvrez le poste de travail

-- Clicquez sur le menu outils en haut à droite puis options des dossiers

-- Dans la nouvelle fenêtre, clicquez sur l'onglet Affichage en haut

-- Cochez dans la liste "Afficher les fichiers cachés"

-- Décochez "masquer les fichier proteger du systeme d exploitation (recommandée)"

-- vous allez recevoir un message disant que cela peut endommager le système, n'en tenez pas compte.

et surtout --> pour ouvrir C , ne pas double-cliquer dessus mais faire un clic droit dessus et en Choisissant ouvrir dans le menu déroulant.

 

Si ce fichier autorun.inf est présent l'infection repartira de plus belle.

 

@ bientôt.

[Lina]

Re,

 

J'ai fait le l'étape avec clean,

 

Script execute en mode sans echec

Rapport clean par Malekal_morte - http://www.malekal.com

Script execute en mode sans echec 04/10/2007 a 12:57:51,93

 

Microsoft Windows XP [version 5.1.2600]

 

*** Suppression des fichiers dans C:

tentative de suppression de C:\autorun.inf

Impossible de supprimer C:\autorun.inf

 

*** Suppression des fichiers dans C:\WINDOWS\

 

*** Suppression des fichiers dans C:\WINDOWS\system32

tentative de suppression de C:\WINDOWS\system32\SpoonUninstall.exe

 

*** Suppression des fichiers dans C:\Program Files

 

*** Suppression des clefs du registre effectuee..

*** Fin du rapport !

 

:? Mais j'ai pas eu la fenêtre où il fallait cocher les options...

 

autorun.inf est là

[Apollo]

Bonsoir Lina,

 

:? Mais j'ai pas eu la fenêtre où il fallait cocher les options...

Tu veux parler de la capture d'écran pour Clean? Elle correspond à la fenêtre d'options d'un autre outil (EScan) mais le principe est le même pour les options.

 

Clean doit être effectué après le passage de Flash_Disinfector.exe de sUBs ; il devrait nettoyer correctement.

 

Sinon, il faut absolument aller déloger le fichier

Après il faudra vérifier qu'un fichier autorun.inf ne soit pas présent dans les fichiers et dossiers cachés du système; s'il y est il faut le supprimer puis vider la corbeille, mais en ayant pris les précautions suivantes:

 

CITATION

-- Ouvrez le poste de travail

-- Clicquez sur le menu outils en haut à droite puis options des dossiers

-- Dans la nouvelle fenêtre, clicquez sur l'onglet Affichage en haut

-- Cochez dans la liste "Afficher les fichiers cachés"

-- Décochez "masquer les fichier proteger du systeme d exploitation (recommandée)"

-- vous allez recevoir un message disant que cela peut endommager le système, n'en tenez pas compte.

et surtout --> pour ouvrir C , ne pas double-cliquer dessus mais faire un clic droit dessus et en Choisissant ouvrir dans le menu déroulant.

 

Si ce fichier autorun.inf est présent l'infection repartira de plus belle.

 

Si tu n'as pas encore ces outils -> ils seront nécessaires (souvent d'ailleurs) ATF Cleaner parce qu'il nettoie bien les fichiers inutiles et CCleaner, un nettoyeur de registre, qui a aussi l'avantage d'ajouter "lancer CCleaner" depuis le menu contextuel du clic droit sur la corbeille -> ce qui efface correctement ce qui s'y trouve. (le mode d'emploi est générique ci-après).

 

Télécharger ATF Cleaner par Atribune.

• Installe-le sur le bureau.
   
  Double-clique ATF-Cleaner.exe afin de lancer le programme.
  Sous l'onglet Main, choisis : Select All
  Cliquer sur le bouton Empty Selected
  

Si tu utilises le navigateur Firefox :

• Clique Firefox au haut et choisis : Select All
  Cliquer le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Si tu utilises le navigateur Opera :

• Clique Opera au haut et choisis : Select All
  Cliquer le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, cliquer No à l'invite.
  

Clique Exit, du menu principal, afin de fermer le programme.

Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus.

 

 

De nombreux fichiers dans votre ordinateur sont inutiles comme des restes de programmes désinstallés. CCleaner vous propose de passer un grand coup de balai et de supprimer tous les documents obsolètes laissés par vos anciens logiciels. Mais ce n'est pas tout, l'interface est très claire et simple, il y a 3 onglets : Windows, Applications et Erreurs. Le premier vous sert à effacer toutes les traces comme les cookies, l'historique, les documents récents de votre système d'exploitation. Il supprime également des éléments inutiles comme les journaux Windows, les fichiers temporaires et vide à votre place la poubelle, le presse papier. Le deuxième onglet permet de supprimer les traces des logiciels tels que : Mozilla/Firefox, Opera, Office, Acrobat, Emule, Google Toolbar, Paint Shop Pro, VNC Viewer, Quicktime ou encore Media player Classic. Le troisième onglet vous offre la possibilité de nettoyer la base de registre des éléments orphelins comme des dll inexistantes, programmes obsolètes, activeX et classes invalides, ou encore extensions de fichier inexistantes. Vous pouvez également lancer un nettoyage de votre ordinateur à chaque fois que vous démarrez votre PC ou encore automatiser les traitements en affectant les dossiers à nettoyer. Toutes les fonctions citées ont pour but d'améliorer et d'optimiser le fonctionnement de votre PC et de le stabiliser. De plus ce logiciel ne contient aucun Spyware, Virus ou Adware et de surcroît il est totalement gratuit.

 

Tutoriel de S.Birkoff, merci à lui!

 

@ plus tard

 

------------------------------

 

Je me permets Apollo.01 ;o)

 

**ouvre le C:\autorun.inf avec ton bloc note et copie/colle le contenu ici

 

**Télécharge combofix.exe (par sUBs) et sauvegarde le sur ton bureau.

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

 

* Double-clique combofix.exe afin de l'exécuter et suis les instructions.

* Lorsque l'analyse sera complétée, un rapport apparaîtra que tu posteras à Apollo.01 avec le contenu de *.txt de autorun.inf

Modifié le 4 octobre 2007 par angelique

[Apollo]

Bonsoir avant d'aller me coucher.

 

[c'est mon frère qui règle tout (car étant membre du groupe sécurité du forum)

 

Je voudrais voir un log Hijackthis entier sil-vous plaît.

 

Quel est ton antivirus??? (...)

Ma vue doit baisser car je n'en vois pas, ni de firewall.

 

Bien joué les gars.

Modifié le 4 octobre 2007 par Apollo.01

[Lina]

Bonjour,

 

Je suis allée dans le fichier dans le fichier autorun.inf, je l'ai ouvert, mais il n'y avait rien dedans, j'ai supprimé le fichier (j'ai bien fait l'étape pour voir les fichiers cachés).

 

Sinon j'avais déjà ATP Cleaner et aussi CCleaner, je fais le nettoyage régulièrement.

 

**Télécharge combofix.exe (par sUBs) et sauvegarde le sur ton bureau.

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

 

Voilà le rapport:

 

ComboFix 07-10-05.3 - Lina 2007-10-05 20:11:22.1 - NTFSx86

Microsoft Windows XP ?dition familiale 5.1.2600.2.1256.963.1036.18.561 [GMT 2:00]

Running from: D:\Docs de Lina\ComboFix.exe

* Created a new restore point

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\Documents and Settings\All Users\Bureau\UUSEE~1.LNK

C:\Documents and Settings\Oways\Application Data\ezpinst.log

C:\Program Files\uusee

C:\Program Files\uusee\AD\1�0\index.html

C:\Program Files\uusee\AD\1�1\index.html

C:\Program Files\uusee\AD\1\100\ad.swf

C:\Program Files\uusee\AD\1\100\index.html

C:\Program Files\uusee\AD\1\dsj\dsj.html

C:\Program Files\uusee\AD\1\dsj2\dsj2.html

C:\Program Files\uusee\AD\1\dy\dy.html

C:\Program Files\uusee\AD\1\dy2\dy2.html

C:\Program Files\uusee\AD\1\dy3\dy3.html

C:\Program Files\uusee\AD\1\jk\jk.html

C:\Program Files\uusee\AD\1\ln\ln.html

C:\Program Files\uusee\AD\1\ty\ty.html

C:\Program Files\uusee\AD\1\ty2\ty2.html

C:\Program Files\uusee\AD\1\yl\yl.html

C:\Program Files\uusee\AD\1\yl2\yl2.html

C:\Program Files\uusee\AD\1\yl3\yl3.html

C:\Program Files\uusee\AD\1\yx\yx.html

C:\Program Files\uusee\AD\1\zx\zx.html

C:\Program Files\uusee\AD\1\zx2\zx2.html

C:\Program Files\uusee\AD\2�0\index.html

C:\Program Files\uusee\AD\UUAD_Banner.html

C:\Program Files\uusee\AD\UUAD_Banner.swf

C:\Program Files\uusee\AD\UUAD_Buffering.html

C:\Program Files\uusee\AD\UUAD_Buffering.swf

C:\Program Files\uusee\AD\UUAD_TextLink_0.xml

C:\Program Files\uusee\ARMP.ocx

C:\Program Files\uusee\bak_UUPlayer.dll

C:\Program Files\uusee\in_psp.dll

C:\Program Files\uusee\MultiVMR9.dll

C:\Program Files\uusee\out_mmshttp.dll

C:\Program Files\uusee\patch_cmd.exe

C:\Program Files\uusee\u264Dec.ax

C:\Program Files\uusee\UFDeMux.ax

C:\Program Files\uusee\uninst.exe

C:\Program Files\uusee\updateC2.ocx

C:\Program Files\uusee\UUPlayer.dll

C:\Program Files\uusee\UUPlayer.exe

C:\Program Files\uusee\UUPlayer.ocx

C:\Program Files\uusee\UUPlayer.skn

C:\Program Files\uusee\UUPlayer_bak.exe

C:\Program Files\uusee\UURecorder.exe

C:\Program Files\uusee\UUSee.url

C:\Program Files\uusee\uusee_video.dll

C:\Program Files\uusee\UUSEEAudioDec.ax

C:\Program Files\uusee\UUSeePlayer.exe

C:\Program Files\uusee\UUTV.xml

C:\Program Files\uusee\UUTV_MY.xml

C:\Program Files\uusee\vermini.ini

C:\Program Files\uusee\vermini.ini.uuuu.dat

C:\Program Files\uusee\vermini_x.ini

C:\Program Files\uusee\vermini_x1.ini

 

.

((((((((((((((((((((((((((((( Fichiers créés 2007-09-05 to 2007-10-05 ))))))))))))))))))))))))))))))))))))

.

 

2007-10-04 18:45 51,200 --a------ C:\WINDOWS\nircmd.exe

2007-09-26 15:54 <REP> d-------- C:\audiograbber

2007-09-24 18:02 <REP> d-------- C:\Documents and Settings\Lina\Application Data\Ulead Systems

2007-09-23 13:06 <REP> d-------- C:\Program Files\Guitar Pro 5

2007-09-22 16:35 53,248 --a------ C:\WINDOWS\system32\Process.exe

2007-09-22 16:35 51,200 --a------ C:\WINDOWS\system32\dumphive.exe

2007-09-22 16:35 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe

2007-09-22 16:35 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe

2007-09-22 16:35 1,092 --a------ C:\WINDOWS\system32\tmp.reg

2007-09-22 16:18 36,864 --a------ C:\WINDOWS\system32\maplec.dll

2007-09-22 16:18 147,456 --a------ C:\WINDOWS\system32\WMIMPLEX.dll

2007-09-22 16:18 <REP> d-------- C:\watcom-1.3

2007-09-22 16:17 <REP> d-------- C:\Program Files\Maple 11

2007-09-22 15:25 <REP> d--h----- C:\Program Files\Zero G Registry

2007-09-22 15:22 <REP> d-------- C:\Program Files\CodeStuff

2007-09-22 15:00 <REP> d-------- C:\Documents and Settings\Oways\Application Data\Ulead Systems

2007-09-22 14:41 26,136 --a------ C:\WINDOWS\system32\IVIresize.dll

2007-09-22 14:41 210,456 --a------ C:\WINDOWS\system32\IVIresizeW7.dll

2007-09-22 14:41 206,360 --a------ C:\WINDOWS\system32\IVIresizeA6.dll

2007-09-22 14:41 198,168 --a------ C:\WINDOWS\system32\IVIresizeP6.dll

2007-09-22 14:41 198,168 --a------ C:\WINDOWS\system32\IVIresizeM6.dll

2007-09-22 14:41 194,072 --a------ C:\WINDOWS\system32\IVIresizePX.dll

2007-09-22 14:41 <REP> d-------- C:\Program Files\Windows Media Components

2007-09-22 14:41 <REP> d-------- C:\Program Files\Fichiers communs\InterVideo

2007-09-22 14:41 <REP> d-------- C:\Documents and Settings\All Users\Application Data\InterVideo

2007-09-22 14:40 <REP> d-------- C:\Program Files\Ulead Systems

2007-09-22 14:40 <REP> d-------- C:\Program Files\Fichiers communs\Ulead Systems

2007-09-22 14:40 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Ulead Systems

2007-09-18 21:58 <REP> d-------- C:\Documents and Settings\Lina\Application Data\FastStone

2007-09-16 23:32 299,520 --a------ C:\WINDOWS\uninst.exe

2007-09-16 23:32 19,411 --a------ C:\WINDOWS\system32\Pkunzip.exe

2007-09-16 23:31 <REP> d-------- C:\Documents and Settings\Oways\WINDOWS

2007-09-16 18:02 86,016 -ra------ C:\WINDOWS\system32\ZSPOOL.DLL

2007-09-16 18:02 442,368 -ra------ C:\WINDOWS\system32\zshp1018.exe

2007-09-16 18:02 28,672 -ra------ C:\WINDOWS\system32\zlm.dll

2007-09-16 18:02 28,672 -ra------ C:\WINDOWS\system32\IMF32.DLL

2007-09-16 18:02 24,576 -ra------ C:\WINDOWS\system32\ZTAG32.DLL

2007-09-16 18:02 143,360 -ra------ C:\WINDOWS\apptune1018.exe

2007-09-16 18:02 106,496 -ra------ C:\WINDOWS\system32\vshp1018.dll

2007-09-16 18:02 102,400 -ra------ C:\WINDOWS\system32\zlhp1018.dll

2007-09-16 18:02 <REP> d--h----- C:\Program Files\Zenographics

2007-09-16 18:02 <REP> d-------- C:\Program Files\Hewlett-Packard

2007-09-16 17:32 <REP> d-------- C:\spoolerlogs

2007-09-16 12:22 <REP> d-------- C:\Program Files\Microsoft.NET

2007-09-16 12:21 <REP> dr-h----- C:\MSOCache

2007-09-16 12:20 <REP> d-------- C:\Documents and Settings\Lina\Application Data\nCleaner

2007-09-15 14:55 25,856 --a--c--- C:\WINDOWS\system32\dllcache\usbprint.sys

2007-09-15 14:55 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys

2007-09-10 13:02 <REP> d-------- C:\Documents and Settings\Lina\Application Data\Teleca

2007-09-10 13:01 <REP> d-------- C:\Documents and Settings\Lina\Application Data\Sony Ericsson

2007-09-09 00:49 <REP> d-------- C:\Documents and Settings\Oways\Application Data\SumatraPDF

2007-09-08 23:36 <REP> d-------- C:\Program Files\ImTOO

2007-09-08 23:26 <REP> d-------- C:\Program Files\Magic 3GP Video Converter

2007-09-08 23:18 <REP> d-------- C:\Program Files\Magicbit

2007-09-08 17:54 <REP> d-------- C:\Program Files\Disc2Phone

2007-09-08 17:51 <REP> d-------- C:\WINDOWS\system32\URTTEMP

2007-09-08 17:46 90,800 -ra------ C:\WINDOWS\system32\drivers\se2Eunic.sys

2007-09-08 17:46 88,688 -ra------ C:\WINDOWS\system32\drivers\SE2Emgmt.sys

2007-09-08 17:46 86,560 -ra------ C:\WINDOWS\system32\drivers\SE2Eobex.sys

2007-09-08 17:46 4,128 -ra------ C:\WINDOWS\system32\drivers\se2Ecr.sys

2007-09-08 17:46 18,704 -ra------ C:\WINDOWS\system32\drivers\se2End5.sys

2007-09-08 17:45 97,184 -ra------ C:\WINDOWS\system32\drivers\SE2Emdm.sys

2007-09-08 17:45 9,360 -ra------ C:\WINDOWS\system32\drivers\SE2Emdfl.sys

2007-09-08 17:45 61,600 -ra------ C:\WINDOWS\system32\drivers\SE2Ebus.sys

2007-09-08 17:45 6,240 -ra------ C:\WINDOWS\system32\drivers\SE2Ecmnt.sys

2007-09-08 17:45 6,240 -ra------ C:\WINDOWS\system32\drivers\SE2Ecm.sys

2007-09-08 17:45 5,872 -ra------ C:\WINDOWS\system32\drivers\SE2Ewhnt.sys

2007-09-08 17:45 5,872 -ra------ C:\WINDOWS\system32\drivers\SE2Ewh.sys

2007-09-08 17:45 <REP> d-------- C:\Documents and Settings\Oways\Application Data\Teleca

2007-09-08 17:44 <REP> d-------- C:\Documents and Settings\Oways\Application Data\Sony Ericsson

2007-09-08 17:42 <REP> d-------- C:\Program Files\Sony Ericsson

2007-09-08 17:42 <REP> d-------- C:\Program Files\Fichiers communs\Teleca Shared

2007-09-08 17:42 <REP> d-------- C:\Program Files\Fichiers communs\Sony Ericsson Shared

2007-09-08 17:42 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Teleca

2007-09-08 17:42 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Sony Ericsson

2007-09-08 12:59 <REP> d-------- C:\WINDOWS\system32\ActiveScan

2007-09-08 11:53 0 --a------ C:\WINDOWS\system32\w32apiw.dll

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2007-10-04 18:26 --------- d-------- C:\Documents and Settings\Lina\Application Data\foobar2000

2007-10-03 19:42 --------- d-------- C:\Program Files\MSN Messenger

2007-10-03 19:42 --------- d-------- C:\Program Files\Bonjour

2007-10-02 13:14 --------- d-------- C:\Documents and Settings\Oways\Application Data\foobar2000

2007-09-29 16:29 --------- d-------- C:\Program Files\Free Download Manager

2007-09-29 15:48 --------- d--h----- C:\Program Files\InstallShield Installation Information

2007-09-29 15:40 --------- d-------- C:\Program Files\KONAMI

2007-09-22 16:56 --------- d-------- C:\Documents and Settings\Oways\Application Data\Skype

2007-09-09 00:42 --------- d-------- C:\Program Files\Media Player Classic

2007-09-08 23:15 --------- d-------- C:\Program Files\MediaCoder

2007-09-08 11:56 --------- d-------- C:\Program Files\7-Zip

2007-09-08 11:56 --------- d-------- C:\Documents and Settings\Oways\Application Data\Vso

2007-09-08 11:56 --------- d-------- C:\Documents and Settings\Lina\Application Data\Vso

2007-09-08 11:56 --------- d-------- C:\Documents and Settings\All Users\Application Data\FLEXnet

2007-09-07 21:13 --------- d-------- C:\Program Files\DkZ Studio

2007-09-01 15:44 --------- d-------- C:\Program Files\Real Alternative

2007-08-27 16:39 --------- d-------- C:\Program Files\MSXML 4.0

2007-08-23 22:32 --------- d-------- C:\Documents and Settings\All Users\Application Data\Ping Sign Byte Tool

2007-08-21 22:25 --------- d-------- C:\Program Files\AviSynth 2.5

2007-08-20 22:13 --------- d-------- C:\Program Files\Ahead

2007-08-20 17:51 --------- d-------- C:\Program Files\Fichiers communs\Ahead

2007-08-20 17:49 --------- d-------- C:\Documents and Settings\All Users\Application Data\Ahead

2007-08-20 15:52 --------- d-------- C:\Program Files\Alcohol Soft

2007-08-20 15:46 685816 --a------ C:\WINDOWS\system32\drivers\sptd.sys

2007-08-20 14:00 --------- d-------- C:\Program Files\NKProds

2007-08-20 14:00 --------- d-------- C:\Documents and Settings\Oways\Application Data\nCleaner

2007-06-28 22:04 47360 --a------ C:\Documents and Settings\Oways\Application Data\pcouffin.sys

.

 

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Update Scheduler for Proteus Demonstration 7.lnk]

path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Update Scheduler for Proteus Demonstration 7.lnk

backup=C:\WINDOWS\pss\Update Scheduler for Proteus Demonstration 7.lnkCommon Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]

"C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]

C:\WINDOWS\system32\ctfmon.exe

 

R0 GWIOPM;Pilote GWIOPM pour E/S sous NT;C:\WINDOWS\system32\DRIVERS\GWIOPM.SYS

S3 AC2003;AC2003;C:\WINDOWS\system32\Drivers\AC2003.sys

S3 SE2Ebus;Sony Ericsson Device 046 Driver driver (WDM);C:\WINDOWS\system32\DRIVERS\SE2Ebus.sys

S3 SE2Emdfl;Sony Ericsson Device 046 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\SE2Emdfl.sys

S3 SE2Emdm;Sony Ericsson Device 046 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\SE2Emdm.sys

S3 SE2Emgmt;Sony Ericsson Device 046 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\SE2Emgmt.sys

S3 se2End5;Sony Ericsson Device 046 USB Ethernet Emulation SEMC46 (NDIS);C:\WINDOWS\system32\DRIVERS\se2End5.sys

S3 SE2Eobex;Sony Ericsson Device 046 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\SE2Eobex.sys

S3 se2Eunic;Sony Ericsson Device 046 USB Ethernet Emulation SEMC46 (WDM);C:\WINDOWS\system32\DRIVERS\se2Eunic.sys

 

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f2c37b89-1e58-11dc-9af8-00508d658306}]

AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MS32DLL.dll.vbs

 

.

**************************************************************************

 

catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-10-05 20:15:21

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

Completion time: 2007-10-05 20:16:20 - machine was rebooted

C:\ComboFix-quarantined-files.txt ... 2007-10-05 20:16

.

--- E O F ---

 

 

Et voici celui d'hijackthis:

 

ogfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:22:31, on 05/10/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Fichiers communs\InterVideo\DeviceService\DevSvc.exe

C:\WINDOWS\system32\oodag.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\notepad.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe

D:\Docs de Lina\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')

O4 - Global Startup: ???CE C???CE.lnk

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Upload - {FD4E2FF8-973C-4A19-89BD-8E86B3CFCFE1} - C:\Program Files\Free Download Manager\FUM\fumiebtn.dll (file missing)

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Capture Device Service - InterVideo Inc. - C:\Program Files\Fichiers communs\InterVideo\DeviceService\DevSvc.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

 

--

End of file - 2345 bytes

 

Sinon, je n'ai pas d'antivirus, et le firewall, je crois que c'est celui de Windows.

Modifié le 5 octobre 2007 par Lina