Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Suis-je infecté??? [RESOLU]

bullbizar

Par bullbizar
dans Analyses et éradication malwares

 Partager

Messages recommandés

bullbizar Mega Power Member

bullbizar

Posté(e)
Posté(e) (modifié)

Bonjour,

 

Tout d'abord JOYEUX NOEL.

 

Depuis hier, mon PC a un drole de comportement : Il bugge, il redémarre, la barre des taches ne répond plus....parfois, etc.....

 

Est-ce un signe d'infection? à toute fin utile, et en attendant vos avis, je vous joins un log fait ce matin.

 

Je vous en souhaite une bonne analyse.

 

Logfile of HijackThis v1.99.1

Scan saved at Mami - 10:37:57, on 24/12/2007

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\System32\dllcache\winsop.exe

C:\WINDOWS\System32\rundll32.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\WINDOWS\System32\ctfmon.exe

C:\WINDOWS\System32\tsqla.exe

C:\WINDOWS\System32\wuauclt.exe

C:\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.172.1.10:8080

O1 - Hosts: 72.14.253.147 www.google.fr

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [internet Firewall Layer] tsqla.exe

O4 - HKLM\..\Run: [WinDLL (tqurity.exe)] rundll32.exe C:\WINDOWS\System32\tqurity.exe,start

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\RunServices: [internet Firewall Layer] tsqla.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [internet Firewall Layer] tsqla.exe

O8 - Extra context menu item: &Tout télécharger en utilisant Mass Downloader - C:\Program Files\Mass Downloader\Add_All.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Recherche AltaVista - file://C:\Program Files\ALTAVISTA Toolbar\Cache\SelectedContextSearch.htm

O8 - Extra context menu item: Traduction - file://C:\Program Files\ALTAVISTA Toolbar\Cache\SelectedContextTranslation.htm

O8 - Extra context menu item: Télécharger en utilisant &Mass Downloader - C:\Program Files\Mass Downloader\Add_Url.htm

O9 - Extra button: Mass Downloader - {0FD01980-CCCB-11D3-80D4-0000E80E2EDE} - C:\Program Files\Mass Downloader\massdown.exe

O9 - Extra 'Tools' menuitem: &Mass Downloader - {0FD01980-CCCB-11D3-80D4-0000E80E2EDE} - C:\Program Files\Mass Downloader\massdown.exe

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O16 - DPF: {4E7BD74F-2B8D-469E-92EA-EC65A294AE31} (AltaVista Toolbar) - http://toolbar.altavista.com/static/toolba...ab?r=1125925581

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/...lscbase9602.cab

O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by102fd.bay102.hotmail.msn.com/activex/HMAtchmt.ocx

O17 - HKLM\System\CCS\Services\Tcpip\..\{306D9691-CA79-4511-94B7-FFA1F04E718E}: NameServer = 192.168.0.1

O17 - HKLM\System\CCS\Services\Tcpip\..\{B53849BF-2BB3-4A60-BB16-E7729205ED8A}: NameServer = 192.168.0.1

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Microsoft Windows Update Manager - Unknown owner - C:\WINDOWS\System32\dllcache\winsop.exe

O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDEngine.exe

O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDSched.exe

 

A bientôt.

 

Je crois que la source de mon malheur viendrait d'un certain "windrvNT.sys"!!!!! qui apparait sur l'écran de la mort.

Modifié par bullbizar

Anthony#10 Mega Power Member

Anthony#10

Posté(e)
Posté(e)

Bonsoir et joyeux Nöel,

 

Etape 1 : Deckard's System Scanner (DSS)

Télécharge Deckard's System Scanner (de Deckard) sur ton Bureau.

 

Ferme toutes les applications en cours.

Double-clique sur dss.exe pour lancer l'outil.

Clique sur OK (cela sera demandé 3 fois).

L'analyse finie, deux fichiers textes s'afficheront :

main.txt <- ouvert dans une fenêtre normale

extra.txt <- ouvert dans une fenêtre réduite

Ferme ces fenêtres.

 

Envoie le rapport main.txt de DSS (C:\Deckard\System Scanner\main.txt).

 

Anthony.

bullbizar Mega Power Member

bullbizar

Posté(e)
  • Auteur
Posté(e)

Bonjour à toutes et à tous, Bonjour Anthony,

 

Je vous joins le rapport de l'analyse recommandé et vous remercie par avance pour vos recommandations et instructions.

 

A bientôt

 

Deckard's System Scanner v20071014.68

Run by mami on 2007-12-29 09:36:34

Computer is in Normal Mode.

--------------------------------------------------------------------------------

 

-- System Restore --------------------------------------------------------------

 

Successfully created a Deckard's System Scanner Restore Point.

 

 

-- Last 5 Restore Point(s) --

9: 2007-12-29 08:36:52 UTC - RP320 - Deckard's System Scanner Restore Point

8: 2007-12-25 14:03:49 UTC - RP319 - Removed Ad-Aware 2007

7: 2007-12-25 14:00:34 UTC - RP318 - Revo Uninstaller's restore point - Ad-Aware 2007

6: 2007-12-25 11:14:53 UTC - RP317 - AntiVir PersonalEdition Classic - 25/12/2007 12:13

5: 2007-12-24 08:30:36 UTC - RP316 - Opération de restauration

 

 

-- First Restore Point --

1: 2007-10-30 11:11:03 UTC - RP312 - Made by Eusing Free Registry Cleaner

 

 

Backed up registry hives.

Performed disk cleanup.

 

Total Physical Memory: 128 MiB (512 MiB recommended).

System Drive C: has 0.51 GiB (less than 15%) free.

 

 

-- HijackThis (run as mami.exe) ------------------------------------------------

 

Unable to find log (file not found); running clone.

-- HijackThis Clone ------------------------------------------------------------

 

 

Emulating logfile of Trend Micro HijackThis v2.0.2

Scan saved at 2007-12-29 09:38:08

Platform: Windows XP (5.01.2600)

MSIE: Internet Explorer (6.00.2600.0000)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\system32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\system32\cmd.exe

C:\Documents and Settings\mami\Desktop\dss.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = iexplore

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.172.1.10:8080

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://home.microsoft.com/search/search.asp

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.microsoft.com/isapi/redir.dll?p...amp;ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://www.microsoft.com/isapi/redir.dll?p...amp;ar=iesearch

O1 - Hosts: 72.14.253.147 www.google.fr

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx

O4 - HKLM\..\Run: [WinDLL (tqurity.exe)] rundll32.exe C:\WINDOWS\System32\tqurity.exe,start

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [WinDLL (vinampd.exe)] rundll32.exe C:\WINDOWS\System32\vinampd.exe,start

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\Run: [internet Firewall Layer] tsqla.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\Run: [internet Firewall Layer] tsqla.exe (User 'Default user')

O8 - Extra context menu item: &Tout télécharger en utilisant Mass Downloader - C:\Program Files\Mass Downloader\Add_All.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Recherche AltaVista - file://C:\Program Files\ALTAVISTA Toolbar\Cache\SelectedContextSearch.htm

O8 - Extra context menu item: Traduction - file://C:\Program Files\ALTAVISTA Toolbar\Cache\SelectedContextTranslation.htm

O8 - Extra context menu item: Télécharger en utilisant &Mass Downloader - C:\Program Files\Mass Downloader\Add_Url.htm

O9 - Extra button: Mass Downloader - {0FD01980-CCCB-11D3-80D4-0000E80E2EDE} - C:\Program Files\Mass Downloader\massdown.exe

O9 - Extra 'Tools' menuitem: &Mass Downloader - {0FD01980-CCCB-11D3-80D4-0000E80E2EDE} - C:\Program Files\Mass Downloader\massdown.exe

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - (file missing)

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab

O16 - DPF: {4E7BD74F-2B8D-469E-92EA-EC65A294AE31} (AltaVista Toolbar) - http://toolbar.altavista.com/static/toolba...ab?r=1125925581

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/...lscbase9602.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwa...ash/swflash.cab

O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by102fd.bay102.hotmail.msn.com/activex/HMAtchmt.ocx

O17 - HKLM\SYSTEM\CCS\Services\Tcpip\..\{306D9691-CA79-4511-94B7-FFA1F04E718E}: NameServer = 192.168.0.1

O17 - HKLM\SYSTEM\CCS\Services\Tcpip\..\{B53849BF-2BB3-4A60-BB16-E7729205ED8A}: NameServer = 192.168.0.1

O18 - Protocol: lid - {5C135180-9973-46D9-ABF4-148267CBB8BF} - C:\WINDOWS\system32\msvidctl.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files\MSN Messenger\msgrapp.8.1.0178.00.dll

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Program Files\Fichiers communs\Microsoft Shared\Information Retrieval\MSITSS.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files\MSN Messenger\msgrapp.8.1.0178.00.dll

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Program Files\Fichiers communs\Microsoft Shared\Web Components\10\OWC10.DLL

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\Program Files\Fichiers communs\Microsoft Shared\Web Components\11\OWC11.DLL

O18 - Filter: text/xml - {807553E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE11\MSOXMLMF.DLL

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: McAfee Framework Service (McAfeeFramework) - Unknown owner - C:\Program Files\McAfee\Common Framework\FrameworkService.exe

O23 - Service: Microsoft Windows Update Manager - Unknown owner - C:\WINDOWS\System32\dllcache\winsop.exe

O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDEngine.exe

O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDSched.exe

 

 

--

End of file - 7424 bytes

 

-- HijackThis Fixed Entries (C:\PROGRA~1\HIJACK~1\backups\) --------------------

 

backup-20071225-111745-354 O4 - HKLM\..\RunServices: [internet Firewall Layer] tsqla.exe

backup-20071225-111745-484 O23 - Service: Microsoft Windows Update Manager - Unknown owner - C:\WINDOWS\System32\dllcache\winsop.exe

backup-20071225-111745-965 O4 - HKLM\..\Run: [internet Firewall Layer] tsqla.exe

 

-- File Associations -----------------------------------------------------------

 

.bat - batfile - shell\edit\command - unable to read value

.cmd - cmdfile - shell\edit\command - unable to read value

.inf - inffile - shell\open\command - unable to read value

.ini - inifile - shell\open\command - notepad.exe %1

.reg - regfile - shell\edit\command - unable to read value

.txt - txtfile - shell\open\command - notepad.exe %1

.vbs - VBSFile - shell\edit\command - unable to read value

 

 

-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

 

R1 oreans32 - c:\windows\system32\drivers\oreans32.sys

 

S1 mferkdk (VSCore mferkdk) - c:\program files\mcafee\virusscan enterprise\mferkdk.sys (file missing)

S2 Ca533av (Slim 3000, WDM Video Capture) - c:\windows\system32\drivers\ca533av.sys (file missing)

S2 tmcomm - c:\windows\system32\drivers\tmcomm.sys (file missing)

S2 windrvNT - c:\windows\system32\windrvnt.sys (file missing)

S3 driverhardwarev2 - c:\program files\hardwaredetection\driverhardwarev2.sys <Not Verified; Ma-Config.com; ma-config.com>

S3 USBCamera (DSC Still Image Capture (CA100)) - c:\windows\system32\drivers\bulk533.sys (file missing)

 

 

-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

 

R2 AntiVirScheduler (AntiVir PersonalEdition Classic Scheduler) - "c:\program files\avira\antivir personaledition classic\sched.exe" <Not Verified; Avira GmbH; Scheduler>

 

S2 PDSched (PDScheduler) - c:\program files\raxco\perfectdisk\pdsched.exe <Not Verified; Raxco Software, Inc.; PDSched Module>

S4 McAfeeFramework (McAfee Framework Service) - "c:\program files\mcafee\common framework\frameworkservice.exe" /servicestart (file missing)

S4 Microsoft Windows Update Manager - "c:\windows\system32\dllcache\winsop.exe" (file missing)

 

 

-- Device Manager: Disabled ----------------------------------------------------

 

No disabled devices found.

 

 

-- Files created between 2007-11-29 and 2007-12-29 -----------------------------

 

2007-12-25 13:10:47 0 --a------ C:\WINDOWS\System32\27031_winhtb.exe

2007-12-25 12:15:44 0 d-------- C:\Program Files\Avira

2007-12-25 12:15:44 0 d-------- C:\Documents and Settings\All Users\Application Data\Avira

2007-12-25 11:31:50 53 --a------ C:\WINDOWS\System32\x

2007-12-25 10:50:18 0 d--hs---- C:\Documents and Settings\mami\Recent

2007-12-25 10:45:09 0 d-------- C:\Documents and Settings\mami\Application Data\VSRevoGroup

2007-12-25 10:43:20 0 d-------- C:\Program Files\VS Revo Group

2007-12-25 10:42:04 0 --a------ C:\WINDOWS\System323875_winhtb.exe

2007-12-24 15:01:12 27 --a------ C:\sok.bat

2007-12-24 15:01:11 1187840 --a------ C:\nope.dll

2007-12-24 15:00:29 1187840 ---hs---- C:\WINDOWS\System32\vinampd.exe

2007-12-24 15:00:13 27 --a------ C:\WINDOWS\System32\sok.bat

2007-12-24 14:56:26 135217 --a------ C:\yesman.exe

2007-12-24 14:53:47 151040 --a------ C:\WINDOWS\System32\dfhf.exe

2007-12-24 14:51:56 1260409 --a------ C:\ffsa.exe

2007-12-23 14:25:57 135217 --a------ C:\ajshe.exe

2007-12-22 14:23:31 1175552 ---hs---- C:\WINDOWS\System32\tqurity.exe

2007-12-22 14:23:30 0 --a------ C:\adware.exe

2007-12-22 14:23:06 33952 --a------ C:\WINDOWS\System32\drivers\oreans32.sys

2007-12-22 14:23:02 27 --a------ C:\WINDOWS\System32\laz.bat

2007-12-22 14:11:22 1247757 --a------ C:\laz.exe

2007-12-22 13:33:05 151040 --a------ C:\WINDOWS\System32\sdhdf.exe

 

 

-- Find3M Report ---------------------------------------------------------------

 

2007-12-25 15:08:07 0 d-------- C:\Program Files\Lavasoft

2007-12-25 09:08:10 266 --a------ C:\sccfg.sys

2007-12-17 14:25:32 0 d-------- C:\Documents and Settings\mami\Application Data\LimeWire

2007-12-04 12:18:49 2712 --a------ C:\WINDOWS\System32\d3d8caps.dat

2007-10-30 12:11:28 0 d-------- C:\Program Files\Free Window Registry Repair

2007-10-28 09:03:38 370414 --a----c- C:\WINDOWS\System32\perfh00C.dat

2007-10-28 09:03:38 49494 --a----c- C:\WINDOWS\System32\perfc00C.dat

2007-10-20 12:41:44 1434 --a------ C:\WINDOWS\BricoPackFoldersDelete.cmd

2007-10-20 12:41:43 40442 --a----c- C:\WINDOWS\BricoPackUninst.cmd

 

 

-- Registry Dump ---------------------------------------------------------------

 

*Note* empty entries & legit default entries are not shown

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"WinDLL (tqurity.exe)"="C:\WINDOWS\System32\tqurity.exe" [13/12/2007 Mami - 12:17]

"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [11/06/2007 Mami - 10:25]

"WinDLL (vinampd.exe)"="C:\WINDOWS\System32\vinampd.exe" [14/12/2007 Mami - 15:52]

"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [25/12/2007 Mami - 14:44]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="C:\WINDOWS\System32\ctfmon.exe" [04/10/2001 Mami - 08:21]

 

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]

"Internet Firewall Layer"=tsqla.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]

"DisableRegistryTools"=0 (0x0)

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]

backup=C:\WINDOWS\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Slim 3000 Monitor.lnk]

backup=C:\WINDOWS\pss\Slim 3000 Monitor.lnkCommon Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^WinZip Quick Pick.lnk]

backup=C:\WINDOWS\pss\WinZip Quick Pick.lnkCommon Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdVantage]

"C:\Program Files\AdVantage\AdVantage.exe"

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DownloadAccelerator]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\McAfeeUpdaterUI]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpywareTerminator]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"McAfeeFramework"=2 (0x2)

"WmdmPmSp"=2 (0x2)

"WebClient"=2 (0x2)

"Dnscache"=2 (0x2)

 

 

 

 

-- Hosts -----------------------------------------------------------------------

 

72.14.253.147 www.google.fr

 

 

-- End of Deckard's System Scanner: finished at 2007-12-29 09:40:15 ------------

Anthony#10 Mega Power Member

Anthony#10

Posté(e)
Posté(e)

Bonjour,

 

Je remarque que tu n'as pas une mémoire suffisante pour faire fonctionner correctement Windows XP.

Il te faut au minimum 512MiB.

De plus, est-ce toi qui a modifié ton fichier Hosts ?

 

Enregistre la procédure puisque tu n'auras pas accès à Internet.

De plus, exécute toutes ces étapes dans l'ordre indiqué.

Si tu as besoin d'explications, n'hésite pas à me demander avant de commencer la désinfection.

 

Etape 1 : OTMoveIt.

Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.

 

Etape 2 : CleanUp!.

Télécharge et installe CleanUp! sur ton Bureau.

 

Lance CleanUp!

Clique sur le bouton "Option".

Sous "Quick Setup", vérifie que la flèche soit en face de Standard CleanUp! (Si ce n'est pas le cas, place-la devant.).

Décoche la case située devant Enable sounds.

Clique sur OK.

Clique sur le bouton CleanUp!

Lorsque le message Initial CleanUp! done. Now restart Windows to complete CleanUp! apparaît en-bas, clique sur le bouton Close.

A la fenêtre de redémarrage, clique sur Oui.

 

Etape 3 : AVG Anti-Spyware.

Lance AVG Anti-Spyware.

Clique sur l'onglet "Mise à jour".

Sous Mise à jour manuelle, clique sur Commencer la mise à jour.

Si besoin, sous Paramètres, insères les identifiants de ton proxy.

Attends la fin de la mise à jour et ferme AVG Anti-Spyware.

 

Etape 4 : Service.

Lance HijackThis.

Clique sur le bouton Open the Misc Tools section

Clique sur Delete a NT service...

A la fenêtre "Delete a Windows NT service", insère le service suivant va s'ouvrir (Assure-toi de ne mettre aucun espace avant et après.) :

 

Microsoft Windows Update Manager

 

Clique sur OK.

A la fenêtre de confirmation, clique sur Oui.

A la fenêtre de redémarrage, clique sur YES.

 

Etape 5 : Mode sans échec.

Dans le menu Démarrer, clique sur Arrêter l'ordinateur et clique sur Redémarrer.

Au début du redémarrage, tapote la touche F8 de ton clavier jusqu'à ce que les Options Avancés de Windows apparraissent.

Choisis le mode sans échec et appuis sur Enter.

Choisis ton compte usuel.

 

Etape 6 : HijackThis.

Ferme toutes les applications en cours sauf HijackThis.

Lance HijackThis

Clique sur le bouton Do a system scan only.

Coche les cases situées devant les lignes suivantes (si présentes).

 

O4 - HKLM\..\Run: [WinDLL (tqurity.exe)] rundll32.exe C:\WINDOWS\System32\tqurity.exe,start

O4 - HKLM\..\Run: [WinDLL (vinampd.exe)] rundll32.exe C:\WINDOWS\System32\vinampd.exe,start

O4 - HKUS\.DEFAULT\..\Run: [internet Firewall Layer] tsqla.exe (User 'Default user')

 

Clique sur le bouton Fixed checked.

Ferme HijackThis.

 

Etape 7 : OTMoveIt.

Double-clique sur OTMoveIt.exe pour le lancer.

Copie/colle les fichiers/dossiers suivants dans le cadre de gauche nommé Paste List of Files/Folders to be moved.

 

C:\WINDOWS\System32\tqurity.exe

C:\WINDOWS\System32\vinampd.exe

C:\WINDOWS\System32\tsqla.exe

C:\WINDOWS\System32\27031_winhtb.exe

C:\WINDOWS\System32\dfhf.exe

C:\WINDOWS\System32\sok.bat

C:\WINDOWS\System32\sdhdf.exe

C:\WINDOWS\System32\laz.bat

C:\WINDOWS\System323875_winhtb.exe

C:\sok.bat

C:\yesman.exe

C:\ffsa.exe

C:\ajshe.exe

C:\adware.exe

C:\laz.exe

C:\nope.dll

C:\WINDOWS\System32\x

 

Clique sur MoveIt! pour lancer la suppression.

Lorsque un résultat apparaît dans le cadre Results, clique sur Exit.

 

Etape 8 : AVG Anti-Spyware.

Lance AVG Anti-Spyware.

Clique sur l"Analyse".

Clique sur l'onglet "Paramètres".

Sous "Comment réagir ?", clique sur Actions recommandées et choisis Quarantaine.

Sous "Comment faire l'analyse", vérifie que toutes la cases soient cochées (Si ce n'est pas le cas, coche-les).

Sous "Programmes potentiellement dangereux", vérifie que toutes les cases soient cochées (Si ce n'est pas le cas, coche-les).

Sous "Rapports", vérifie que Générer un rapport après chaque analyse soit coché (Si ce n'est pas le cas, coche-le).

Clique sur l'onglet "Analyser" et clique sur Analyse complète du système.

A la fin de l'analyse, clique sur Appliquer toutes les infections.

Par la suite, clique sur Enregistrer le rapport et clique sur Enregistrer le rapport sous.

Ferme AVG Anti-Spyware.

Redémarre en "mode normal".

 

Etape 9 : Jotti.

Rens-toi sur le site de Jotti

 

Copie-colle le fichier suivant dans la case blanche :

C:\WINDOWS\System32\drivers\oreans32.sys

 

Clique sur Submit.

Patiente le temps des analyses du fichier.

Les analyses finies, copie-colle les résultats dans ton Bloc-Notes.

Enregistre ce rapport sur ton Bureau sous le nom de jotti.

 

Etape 10 : Nouveau message.

Redémarre en mode normal.

Génère un nouveau rapport de DSS.

Dans ta future réponse, envoie :

 

- Le rapport de OTMoveIt (C:\_OTMoveIt\MovedFiles).

- Le nouveau rapport de DSS.

- Le rapport de AVG Anti-Spyware (situé sur C:\Program Files\GrisoftAVG Anti Spyware 7.5\Reports).

- Le rapport de Jotti.

- Indique si le souci initial est toujours présent.

 

 

A suivre,

bullbizar Mega Power Member

bullbizar

Posté(e)
  • Auteur
Posté(e) (modifié)

Bonjour Anthony,

 

Avant de commencer, je voudrais te dire que je suis passé par la section software et que Zonk m'a redirigé vers là. Pour ne pas se meler les pinceaux et encombrer le forum, je vais rester sur cette section et suivre tes conseils, si tu veux bien.

 

Aussi m'a t-il demandé une analyse on line......je te la joins à toute fin utile.

 

J'attends tes instructions, suite au rapport que je t'envoie......de plus, ce que tu m'as demandé de faire est-il toujours d'actualité, i-e rien ne change, j'exècute la procédure à la lettre?

 

A+

 

Sunday, December 30, 2007 12:29:53 PM

Système d'exploitation : Microsoft Windows XP Professional, (Build 2600)

Kaspersky On-line Scanner version : 5.0.83.0

Dernière mise à jour de la base antivirus Kaspersky : 30/12/2007

Enregistrements dans la base antivirus Kaspersky : 467369

Paramètres d'analyse

Analyser avec la base antivirus suivante standard

Analyser les archives vrai

Analyser les bases de messagerie vrai

Cible de l'analyse Poste de travail

A:\

C:\

D:\

E:\

F:\

G:\

Statistiques de l'analyse

Total d'objets analysés 34845

Nombre de virus trouvés 6

Nombre d'objets infectés 32 / 0

Nombre d'objets suspects 0

Durée de l'analyse 02:08:46

 

Nom de l'objet infecté Nom du virus Dernière action

C:\ajshe.exe Infecté : Trojan-Dropper.Win32.Delf.aky ignoré

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\EXAXI8X4\bx[1].exe/data.rar/sok.bat Infecté : Trojan.BAT.Starter.o ignoré

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\EXAXI8X4\bx[1].exe/data.rar Infecté : Trojan.BAT.Starter.o ignoré

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\EXAXI8X4\bx[1].exe RarSFX: infecté - 2 ignoré

C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\mami\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\mami\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\mami\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\mami\Local Settings\History\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\mami\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\mami\ntuser.dat L'objet est verrouillé ignoré

C:\Documents and Settings\mami\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\ffsa.exe/data.rar/sok.bat Infecté : Trojan.BAT.Starter.o ignoré

C:\ffsa.exe/data.rar Infecté : Trojan.BAT.Starter.o ignoré

C:\ffsa.exe RarSFX: infecté - 2 ignoré

C:\laz.exe/data.rar/laz.bat Infecté : Trojan.BAT.Starter.o ignoré

C:\laz.exe/data.rar/nope.dll Infecté : Backdoor.Win32.Bifrose.cla ignoré

C:\laz.exe/data.rar Infecté : Backdoor.Win32.Bifrose.cla ignoré

C:\laz.exe RarSFX: infecté - 3 ignoré

C:\sok.bat Infecté : Trojan.BAT.Starter.o ignoré

C:\System Volume Information\_restore{A7BB05DA-3E8D-4B23-9C07-88A6DF40FC09}\RP316\A0099291.exe Infecté : Trojan-Dropper.Win32.Delf.aky ignoré

C:\System Volume Information\_restore{A7BB05DA-3E8D-4B23-9C07-88A6DF40FC09}\RP316\A0099295.exe Infecté : Backdoor.Win32.Bifrose.cla ignoré

C:\System Volume Information\_restore{A7BB05DA-3E8D-4B23-9C07-88A6DF40FC09}\RP316\A0099297.bat Infecté : Trojan.BAT.Starter.o ignoré

C:\System Volume Information\_restore{A7BB05DA-3E8D-4B23-9C07-88A6DF40FC09}\RP316\A0099298.exe/data.rar/laz.bat Infecté : Trojan.BAT.Starter.o ignoré

C:\System Volume Information\_restore{A7BB05DA-3E8D-4B23-9C07-88A6DF40FC09}\RP316\A0099298.exe/data.rar/nope.dll Infecté : Backdoor.Win32.Bifrose.cla ignoré

C:\System Volume Information\_restore{A7BB05DA-3E8D-4B23-9C07-88A6DF40FC09}\RP316\A0099298.exe/data.rar Infecté : Backdoor.Win32.Bifrose.cla ignoré

C:\System Volume Information\_restore{A7BB05DA-3E8D-4B23-9C07-88A6DF40FC09}\RP316\A0099298.exe RarSFX: infecté - 3 ignoré

C:\System Volume Information\_restore{A7BB05DA-3E8D-4B23-9C07-88A6DF40FC09}\RP316\A0101366.vbs Infecté : Trojan-Downloader.VBS.Small.az ignoré

C:\System Volume Information\_restore{A7BB05DA-3E8D-4B23-9C07-88A6DF40FC09}\RP316\A0104364.vbs Infecté : Trojan-Downloader.VBS.Small.az ignoré

C:\System Volume Information\_restore{A7BB05DA-3E8D-4B23-9C07-88A6DF40FC09}\RP316\A0105366.vbs Infecté : Trojan-Downloader.VBS.Small.az ignoré

C:\System Volume Information\_restore{A7BB05DA-3E8D-4B23-9C07-88A6DF40FC09}\RP316\A0106367.vbs Infecté : Trojan-Downloader.VBS.Small.az ignoré

C:\System Volume Information\_restore{A7BB05DA-3E8D-4B23-9C07-88A6DF40FC09}\RP316\A0114381.vbs Infecté : Trojan-Downloader.VBS.Small.az ignoré

C:\System Volume Information\_restore{A7BB05DA-3E8D-4B23-9C07-88A6DF40FC09}\RP317\A0115399.exe Infecté : Backdoor.Win32.Mytobor.c ignoré

C:\System Volume Information\_restore{A7BB05DA-3E8D-4B23-9C07-88A6DF40FC09}\RP319\A0116465.vbs Infecté : Trojan-Downloader.VBS.Small.az ignoré

C:\System Volume Information\_restore{A7BB05DA-3E8D-4B23-9C07-88A6DF40FC09}\RP320\change.log L'objet est verrouillé ignoré

C:\WINDOWS\Debug\oakley.log L'objet est verrouillé ignoré

C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\OPMRSPUV\84785_winhtb[1].exe Infecté : Backdoor.Win32.Mytobor.c ignoré

C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré

C:\WINDOWS\system32\laz.bat Infecté : Trojan.BAT.Starter.o ignoré

C:\WINDOWS\system32\sok.bat Infecté : Trojan.BAT.Starter.o ignoré

C:\WINDOWS\system32\tqurity.exe Infecté : Backdoor.Win32.Bifrose.cla ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré

C:\yesman.exe Infecté : Trojan-Dropper.Win32.Delf.aky ignoré

F:\telechargement7 Track 7.wma Infecté : Trojan-Downloader.WMA.Wimad.l ignoré

Analyse terminée.

Modifié par bullbizar
bullbizar Mega Power Member

bullbizar

Posté(e)
  • Auteur
Posté(e) (modifié)

Re-Salut Anthony,

 

Voici les différents rapports demandés:

 

File/Folder C:\WINDOWS\System32\tqurity.exe not found.

File/Folder C:\WINDOWS\System32\vinampd.exe not found.

File/Folder C:\WINDOWS\System32\tsqla.exe not found.

File/Folder C:\WINDOWS\System32\27031_winhtb.exe not found.

File/Folder C:\WINDOWS\System32\dfhf.exe not found.

File/Folder C:\WINDOWS\System32\sok.bat not found.

File/Folder C:\WINDOWS\System32\sdhdf.exe not found.

File/Folder C:\WINDOWS\System32\laz.bat not found.

File/Folder C:\WINDOWS\System323875_winhtb.exe not found.

File/Folder C:\sok.bat not found.

File/Folder C:\yesman.exe not found.

File/Folder C:\ffsa.exe not found.

File/Folder C:\ajshe.exe not found.

File/Folder C:\adware.exe not found.

File/Folder C:\laz.exe not found.

DllUnregisterServer procedure not found in C:\nope.dll

C:\nope.dll NOT unregistered.

C:\nope.dll moved successfully.

C:\WINDOWS\System32\x moved successfully.

 

Created on 12/30/2007 15:36:33

 

Deckard's System Scanner v20071014.68

Run by mami on 2007-12-30 15:27:41

Computer is in Normal Mode.

--------------------------------------------------------------------------------

 

Total Physical Memory: 128 MiB (512 MiB recommended).

System Drive C: has 0.55 GiB (less than 15%) free.

 

 

-- HijackThis (run as mami.exe) ------------------------------------------------

 

Unable to find log (file not found); running clone.

-- HijackThis Clone ------------------------------------------------------------

 

 

Emulating logfile of Trend Micro HijackThis v2.0.2

Scan saved at 2007-12-30 15:27:47

Platform: Windows XP (5.01.2600)

MSIE: Internet Explorer (6.00.2600.0000)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\system32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\explorer.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\mami\Desktop\dss.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = iexplore

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.172.1.10:8080

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://home.microsoft.com/search/search.asp

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.microsoft.com/isapi/redir.dll?p...amp;ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://www.microsoft.com/isapi/redir.dll?p...amp;ar=iesearch

O1 - Hosts: 72.14.253.147 www.google.fr

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\Run: [internet Firewall Layer] tsqla.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\Run: [internet Firewall Layer] tsqla.exe (User 'Default user')

O8 - Extra context menu item: &Tout télécharger en utilisant Mass Downloader - C:\Program Files\Mass Downloader\Add_All.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Recherche AltaVista - file://C:\Program Files\ALTAVISTA Toolbar\Cache\SelectedContextSearch.htm

O8 - Extra context menu item: Traduction - file://C:\Program Files\ALTAVISTA Toolbar\Cache\SelectedContextTranslation.htm

O8 - Extra context menu item: Télécharger en utilisant &Mass Downloader - C:\Program Files\Mass Downloader\Add_Url.htm

O9 - Extra button: Mass Downloader - {0FD01980-CCCB-11D3-80D4-0000E80E2EDE} - C:\Program Files\Mass Downloader\massdown.exe

O9 - Extra 'Tools' menuitem: &Mass Downloader - {0FD01980-CCCB-11D3-80D4-0000E80E2EDE} - C:\Program Files\Mass Downloader\massdown.exe

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - (file missing)

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {4E7BD74F-2B8D-469E-92EA-EC65A294AE31} (AltaVista Toolbar) - http://toolbar.altavista.com/static/toolba...ab?r=1125925581

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/...lscbase9602.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwa...ash/swflash.cab

O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by102fd.bay102.hotmail.msn.com/activex/HMAtchmt.ocx

O17 - HKLM\SYSTEM\CCS\Services\Tcpip\..\{306D9691-CA79-4511-94B7-FFA1F04E718E}: NameServer = 192.168.0.1

O17 - HKLM\SYSTEM\CCS\Services\Tcpip\..\{B53849BF-2BB3-4A60-BB16-E7729205ED8A}: NameServer = 192.168.0.1

O18 - Protocol: lid - {5C135180-9973-46D9-ABF4-148267CBB8BF} - C:\WINDOWS\system32\msvidctl.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files\MSN Messenger\msgrapp.8.1.0178.00.dll

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Program Files\Fichiers communs\Microsoft Shared\Information Retrieval\MSITSS.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files\MSN Messenger\msgrapp.8.1.0178.00.dll

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Program Files\Fichiers communs\Microsoft Shared\Web Components\10\OWC10.DLL

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\Program Files\Fichiers communs\Microsoft Shared\Web Components\11\OWC11.DLL

O18 - Filter: text/xml - {807553E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE11\MSOXMLMF.DLL

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: McAfee Framework Service (McAfeeFramework) - Unknown owner - C:\Program Files\McAfee\Common Framework\FrameworkService.exe

O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDEngine.exe

O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDSched.exe

 

 

--

End of file - 7092 bytes

 

-- Files created between 2007-11-30 and 2007-12-30 -----------------------------

 

2007-12-30 08:57:12 0 d-------- C:\WINDOWS\System32\Kaspersky Lab

2007-12-25 12:15:44 0 d-------- C:\Program Files\Avira

2007-12-25 12:15:44 0 d-------- C:\Documents and Settings\All Users\Application Data\Avira

2007-12-25 11:31:50 53 --a------ C:\WINDOWS\System32\x

2007-12-25 10:50:18 0 d--hs---- C:\Documents and Settings\mami\Recent

2007-12-25 10:45:09 0 d-------- C:\Documents and Settings\mami\Application Data\VSRevoGroup

2007-12-25 10:43:20 0 d-------- C:\Program Files\VS Revo Group

2007-12-25 10:42:04 0 --a------ C:\WINDOWS\System323875_winhtb.exe

2007-12-24 15:01:11 1187840 --a------ C:\nope.dll

2007-12-22 14:23:06 33952 --a------ C:\WINDOWS\System32\drivers\oreans32.sys

 

 

-- Find3M Report ---------------------------------------------------------------

 

2007-12-30 13:47:29 0 d-------- C:\Program Files\Mass Downloader

2007-12-30 13:47:01 0 d-------- C:\Documents and Settings\mami\Application Data\LimeWire

2007-12-25 15:08:07 0 d-------- C:\Program Files\Lavasoft

2007-12-25 09:08:10 266 --a------ C:\sccfg.sys

2007-12-04 12:18:49 2712 --a------ C:\WINDOWS\System32\d3d8caps.dat

2007-10-30 12:11:28 0 d-------- C:\Program Files\Free Window Registry Repair

2007-10-28 09:03:38 370414 --a----c- C:\WINDOWS\System32\perfh00C.dat

2007-10-28 09:03:38 49494 --a----c- C:\WINDOWS\System32\perfc00C.dat

2007-10-20 12:41:44 1434 --a------ C:\WINDOWS\BricoPackFoldersDelete.cmd

2007-10-20 12:41:43 40442 --a----c- C:\WINDOWS\BricoPackUninst.cmd

 

 

-- Registry Dump ---------------------------------------------------------------

 

*Note* empty entries & legit default entries are not shown

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [11/06/2007 Mami - 10:25]

"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [25/12/2007 Mami - 14:44]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="C:\WINDOWS\System32\ctfmon.exe" [04/10/2001 Mami - 08:21]

 

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]

"Internet Firewall Layer"=tsqla.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]

"DisableRegistryTools"=0 (0x0)

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]

backup=C:\WINDOWS\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Slim 3000 Monitor.lnk]

backup=C:\WINDOWS\pss\Slim 3000 Monitor.lnkCommon Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^WinZip Quick Pick.lnk]

backup=C:\WINDOWS\pss\WinZip Quick Pick.lnkCommon Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdVantage]

"C:\Program Files\AdVantage\AdVantage.exe"

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DownloadAccelerator]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\McAfeeUpdaterUI]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpywareTerminator]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"McAfeeFramework"=2 (0x2)

"WmdmPmSp"=2 (0x2)

"WebClient"=2 (0x2)

"Dnscache"=2 (0x2)

 

 

 

 

-- End of Deckard's System Scanner: finished at 2007-12-30 15:29:13 ------------

 

 

AVG Anti-Spyware - Rapport d'analyse

---------------------------------------------------------

 

+ Créé à: Mami - 15:04:53 30/12/2007

 

+ Résultat de l'analyse:

 

 

 

C:\System Volume Information\_restore{A7BB05DA-3E8D-4B23-9C07-88A6DF40FC09}\RP316\A0101366.vbs -> Downloader.Small.az : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{A7BB05DA-3E8D-4B23-9C07-88A6DF40FC09}\RP316\A0104364.vbs -> Downloader.Small.az : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{A7BB05DA-3E8D-4B23-9C07-88A6DF40FC09}\RP316\A0105366.vbs -> Downloader.Small.az : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{A7BB05DA-3E8D-4B23-9C07-88A6DF40FC09}\RP316\A0106367.vbs -> Downloader.Small.az : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{A7BB05DA-3E8D-4B23-9C07-88A6DF40FC09}\RP316\A0114381.vbs -> Downloader.Small.az : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{A7BB05DA-3E8D-4B23-9C07-88A6DF40FC09}\RP319\A0116465.vbs -> Downloader.Small.az : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{A7BB05DA-3E8D-4B23-9C07-88A6DF40FC09}\RP316\A0099297.bat -> Trojan.Starter.o : Nettoyé et sauvegardé (mise en quarantaine).

C:\_OTMoveIt\MovedFiles\WINDOWS\System32\laz.bat -> Trojan.Starter.o : Nettoyé et sauvegardé (mise en quarantaine).

C:\_OTMoveIt\MovedFiles\WINDOWS\System32\sok.bat -> Trojan.Starter.o : Nettoyé et sauvegardé (mise en quarantaine).

C:\_OTMoveIt\MovedFiles\sok.bat -> Trojan.Starter.o : Nettoyé et sauvegardé (mise en quarantaine).

 

 

Fin du rapport

 

 

Service load:

0% 100%

File: oreans32.sys

Status:

OK

MD5: aad837bf3b475092fd515cd0842334e9

Packers detected:

-

Bit9 reports: No threat detected (more info)

Scanner results

Scan taken on 30 Dec 2007 14:17:45 (GMT)

A-Squared

Found nothing

AntiVir

Found nothing

ArcaVir

Found nothing

Avast

Found nothing

AVG Antivirus

Found nothing

BitDefender

Found nothing

ClamAV

Found nothing

CPsecure

Found nothing

Dr.Web

Found nothing

F-Prot Antivirus

Found nothing

F-Secure Anti-Virus

Found nothing

Fortinet

Found nothing

Ikarus

Found nothing

Kaspersky Anti-Virus

Found nothing

NOD32

Found nothing

Norman Virus Control

Found nothing

Panda Antivirus

Found nothing

Rising Antivirus

Found nothing

Sophos Antivirus

Found nothing

VirusBuster

Found nothing

VBA32

Found nothing

 

Antivir, détecté toujours des choses, qui étaient censés etre enlevées avec MoveIt???????

De plus, je n'ai plus la belle couleur bleu de la barre d'outil de windowsXP, elle est tristement grise, tel que le mode sans échec!!!

Modifié par bullbizar
Anthony#10 Mega Power Member

Anthony#10

Posté(e)
Posté(e) (modifié)

Bonsoir,

 

Etape 1 : CleanUp!.

Lance CleanUp!

Clique sur le bouton "Option".

Sous "Quick Setup", vérifie que la flèche soit en face de Standard CleanUp! (Si ce n'est pas le cas, place-la devant.).

Décoche la case située devant Enable sounds.

Clique sur OK.

Clique sur le bouton CleanUp!

Lorsque le message Initial CleanUp! done. Now restart Windows to complete CleanUp! apparaît en-bas, clique sur le bouton Close.

A la fenêtre de redémarrage, clique sur Oui.

 

Etape 2 : The Avenger.

Télécharge The Avenger (de Swandog46) sur ton Bureau.

Dézippe-le sur ton Bureau.

 

Ouvre le Bloc-Notes puis copie la citation ci-dessous.

 

Files to Delete:

C:\ffsa.exe

C:\laz.exe

C:\sok.bat

C:\yesman.exe

C:\WINDOWS\system32\laz.bat

C:\WINDOWS\system32\sok.bat

C:\WINDOWS\system32\tqurity.exe

C:\WINDOWS\System323875_winhtb.exe

C:\nope.dll

C:\WINDOWS\System32\drivers\oreans32.sys

 

Folders to delete:

C:\WINDOWS\System32\x

 

Registry values to delete:

HKEY_USERS\.default\software\microsoft\windows\currentversion\run | Internet Firewall Layer

 

 

Drivers to unload:

oreans32

 

Clique sur le menu déroulant Edition et clique sur Coller

Clique sur le menu déroulant Fichier et clique sur Enregister sous...

Enregistre-le sur ton Bureau sous le nom de remove.txt.

 

Double-clique sur avenger.exe pour lancer l'outil.

A la fenêtre d'avertissement, clique sur OK.

Coche le bouton devant Load Script from File.

Clique sur l'icône en forme de dossier.

Recherche et double-clique sur remove.txt.

Clique sur le feu vert pour lancer le script.

A la fenêtre de confirmation, clique sur Oui.

A la fenêtre de redémarrage, clique sur Oui (Le rapport s'affichera au redémarrage).

Le rapport sera généré à l'endroit suivant : C:\avenger.txt

 

Génère un nouveau rapport de DSS puis envoie-le avec le rapport de The Avenger.

 

 

A suivre,

Modifié par Anthony#10
bullbizar Mega Power Member

bullbizar

Posté(e)
  • Auteur
Posté(e)

Bonjour,

 

Voici les deux rapports demandés.

 

En fait, antivir ne donne plus d'alertes aux virus...tant mieux, par contre l'apparence de ma barre d'outil est toujours grise et non bleue.

 

A plus tard et meilleurs voeux pour la nouvelle année 2008.

 

Deckard's System Scanner v20071014.68

Run by mami on 2007-12-31 14:45:54

Computer is in Normal Mode.

--------------------------------------------------------------------------------

 

Total Physical Memory: 128 MiB (512 MiB recommended).

System Drive C: has 0.54 GiB (less than 15%) free.

 

 

-- HijackThis (run as mami.exe) ------------------------------------------------

 

Unable to find log (file not found); running clone.

-- HijackThis Clone ------------------------------------------------------------

 

 

Emulating logfile of Trend Micro HijackThis v2.0.2

Scan saved at 2007-12-31 14:46:00

Platform: Windows XP (5.01.2600)

MSIE: Internet Explorer (6.00.2600.0000)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\system32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\explorer.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\notepad.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\mami\Desktop\dss.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = iexplore

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.172.1.10:8080

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://home.microsoft.com/search/search.asp

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.microsoft.com/isapi/redir.dll?p...amp;ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://www.microsoft.com/isapi/redir.dll?p...amp;ar=iesearch

O1 - Hosts: 72.14.253.147 www.google.fr

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: &Tout télécharger en utilisant Mass Downloader - C:\Program Files\Mass Downloader\Add_All.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Recherche AltaVista - file://C:\Program Files\ALTAVISTA Toolbar\Cache\SelectedContextSearch.htm

O8 - Extra context menu item: Traduction - file://C:\Program Files\ALTAVISTA Toolbar\Cache\SelectedContextTranslation.htm

O8 - Extra context menu item: Télécharger en utilisant &Mass Downloader - C:\Program Files\Mass Downloader\Add_Url.htm

O9 - Extra button: Mass Downloader - {0FD01980-CCCB-11D3-80D4-0000E80E2EDE} - C:\Program Files\Mass Downloader\massdown.exe

O9 - Extra 'Tools' menuitem: &Mass Downloader - {0FD01980-CCCB-11D3-80D4-0000E80E2EDE} - C:\Program Files\Mass Downloader\massdown.exe

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - (file missing)

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {4E7BD74F-2B8D-469E-92EA-EC65A294AE31} (AltaVista Toolbar) - http://toolbar.altavista.com/static/toolba...ab?r=1125925581

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/...lscbase9602.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwa...ash/swflash.cab

O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by102fd.bay102.hotmail.msn.com/activex/HMAtchmt.ocx

O17 - HKLM\SYSTEM\CCS\Services\Tcpip\..\{306D9691-CA79-4511-94B7-FFA1F04E718E}: NameServer = 192.168.0.1

O17 - HKLM\SYSTEM\CCS\Services\Tcpip\..\{B53849BF-2BB3-4A60-BB16-E7729205ED8A}: NameServer = 192.168.0.1

O18 - Protocol: lid - {5C135180-9973-46D9-ABF4-148267CBB8BF} - C:\WINDOWS\system32\msvidctl.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files\MSN Messenger\msgrapp.8.1.0178.00.dll

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Program Files\Fichiers communs\Microsoft Shared\Information Retrieval\MSITSS.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files\MSN Messenger\msgrapp.8.1.0178.00.dll

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Program Files\Fichiers communs\Microsoft Shared\Web Components\10\OWC10.DLL

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\Program Files\Fichiers communs\Microsoft Shared\Web Components\11\OWC11.DLL

O18 - Filter: text/xml - {807553E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE11\MSOXMLMF.DLL

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: McAfee Framework Service (McAfeeFramework) - Unknown owner - C:\Program Files\McAfee\Common Framework\FrameworkService.exe

O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDEngine.exe

O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDSched.exe

 

 

--

End of file - 6983 bytes

 

-- Files created between 2007-11-30 and 2007-12-31 -----------------------------

 

2007-12-30 08:57:12 0 d-------- C:\WINDOWS\System32\Kaspersky Lab

2007-12-25 12:15:44 0 d-------- C:\Program Files\Avira

2007-12-25 12:15:44 0 d-------- C:\Documents and Settings\All Users\Application Data\Avira

2007-12-25 10:50:18 0 d--hs---- C:\Documents and Settings\mami\Recent

2007-12-25 10:45:09 0 d-------- C:\Documents and Settings\mami\Application Data\VSRevoGroup

2007-12-25 10:43:20 0 d-------- C:\Program Files\VS Revo Group

2007-12-25 10:42:04 0 --a------ C:\WINDOWS\System323875_winhtb.exe

 

 

-- Find3M Report ---------------------------------------------------------------

 

2007-12-30 13:47:29 0 d-------- C:\Program Files\Mass Downloader

2007-12-30 13:47:01 0 d-------- C:\Documents and Settings\mami\Application Data\LimeWire

2007-12-25 15:08:07 0 d-------- C:\Program Files\Lavasoft

2007-12-25 09:08:10 266 --a------ C:\sccfg.sys

2007-12-04 12:18:49 2712 --a------ C:\WINDOWS\System32\d3d8caps.dat

2007-10-28 09:03:38 370414 --a----c- C:\WINDOWS\System32\perfh00C.dat

2007-10-28 09:03:38 49494 --a----c- C:\WINDOWS\System32\perfc00C.dat

2007-10-20 12:41:44 1434 --a------ C:\WINDOWS\BricoPackFoldersDelete.cmd

2007-10-20 12:41:43 40442 --a----c- C:\WINDOWS\BricoPackUninst.cmd

 

 

-- Registry Dump ---------------------------------------------------------------

 

*Note* empty entries & legit default entries are not shown

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [11/06/2007 Mami - 10:25]

"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [25/12/2007 Mami - 14:44]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="C:\WINDOWS\System32\ctfmon.exe" [04/10/2001 Mami - 08:21]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]

"DisableRegistryTools"=0 (0x0)

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]

backup=C:\WINDOWS\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Slim 3000 Monitor.lnk]

backup=C:\WINDOWS\pss\Slim 3000 Monitor.lnkCommon Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^WinZip Quick Pick.lnk]

backup=C:\WINDOWS\pss\WinZip Quick Pick.lnkCommon Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdVantage]

"C:\Program Files\AdVantage\AdVantage.exe"

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DownloadAccelerator]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\McAfeeUpdaterUI]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpywareTerminator]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"McAfeeFramework"=2 (0x2)

"WmdmPmSp"=2 (0x2)

"WebClient"=2 (0x2)

"Dnscache"=2 (0x2)

 

 

 

 

-- End of Deckard's System Scanner: finished at 2007-12-31 14:48:04 ------------

 

 

 

 

Logfile of The Avenger version 1, by Swandog46

Running from registry key:

\Registry\Machine\System\CurrentControlSet\Services\jdivpbot

 

*******************

 

Script file located at: \??\C:\Program Files\wufpailj.txt

Script file opened successfully.

 

Script file read successfully

 

Backups directory opened successfully at C:\Avenger

 

*******************

 

Beginning to process script file:

 

 

 

File C:\ffsa.exe not found!

Deletion of file C:\ffsa.exe failed!

 

Could not process line:

C:\ffsa.exe

Status: 0xc0000034

 

 

 

File C:\laz.exe not found!

Deletion of file C:\laz.exe failed!

 

Could not process line:

C:\laz.exe

Status: 0xc0000034

 

 

 

File C:\sok.bat not found!

Deletion of file C:\sok.bat failed!

 

Could not process line:

C:\sok.bat

Status: 0xc0000034

 

 

 

File C:\yesman.exe not found!

Deletion of file C:\yesman.exe failed!

 

Could not process line:

C:\yesman.exe

Status: 0xc0000034

 

 

 

File C:\WINDOWS\system32\laz.bat not found!

Deletion of file C:\WINDOWS\system32\laz.bat failed!

 

Could not process line:

C:\WINDOWS\system32\laz.bat

Status: 0xc0000034

 

 

 

File C:\WINDOWS\system32\sok.bat not found!

Deletion of file C:\WINDOWS\system32\sok.bat failed!

 

Could not process line:

C:\WINDOWS\system32\sok.bat

Status: 0xc0000034

 

 

 

File C:\WINDOWS\system32\tqurity.exe not found!

Deletion of file C:\WINDOWS\system32\tqurity.exe failed!

 

Could not process line:

C:\WINDOWS\system32\tqurity.exe

Status: 0xc0000034

 

 

 

File C:\WINDOWS\System323875_winhtb.exe not found!

Deletion of file C:\WINDOWS\System323875_winhtb.exe failed!

 

Could not process line:

C:\WINDOWS\System323875_winhtb.exe

Status: 0xc0000034

 

 

 

File C:\nope.dll not found!

Deletion of file C:\nope.dll failed!

 

Could not process line:

C:\nope.dll

Status: 0xc0000034

 

File C:\WINDOWS\System32\drivers\oreans32.sys deleted successfully.

 

 

Folder C:\WINDOWS\System32\x not found!

Deletion of folder C:\WINDOWS\System32\x failed!

 

Could not process line:

C:\WINDOWS\System32\x

Status: 0xc0000034

 

Driver oreans32 unloaded successfully.

Registry value HKEY_USERS\.default\software\microsoft\windows\currentversion\run|Internet Firewall Layer deleted successfully.

 

Completed script processing.

 

*******************

 

Finished! Terminate.

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...