[résolu] AU SECOURS VUNDO!!!

[FREEZESCREEN]

Et bien quel bordel! Antivir est devenu fou, il n'arrétait pas de bipé: vturp.dll = TR/Vundo.DWK ; vturp.exe = TR/Drop.agent.dqo.221 ; wunauclt.exe = TR/Drop.agent.JK ; vturp.dll_old = TR/Vundo.DWK ; CAQB4PAJ = ... ; jkkjj.dll = ... ; A0008168.exe = DR/P2PAdware.A.50 ; CAQZ0H2B = TR/Vundo.DWK ; vtstq.dll = ... ; 17PHolmes2000351.exe.tmp = TR/Crypt.ULPM.GEN ; mrofinu200351.exe.tmp = ...

Voila c'est a peu près ce que j'ai eu, alors imaginé le bordel. Le truc c'est que tous mes icones du bureau avait disparu, il n'y avait que le fond d'ecran et les fenetre d'antivir,puis plus rien.juste le curseur et le fond d'ecran. Alors je redemarre en mode sans echec et c'est ideme. Alors je redemarre encore en mode sans echec et avant que tous disparaisse je lance spybot. Je supprime tout ce qu'il trouve, je desactive des elements dans "demarrage systeme", aprés un redemarrage je fais un scan avec a-squared, je supprime ce qu'il me trouve, entre deux je supprime ce que me trouve antivir(au moins 50fois). Puis par magis,plus rien. Mon bureau parait normal,plus de signe de antivir.. Puis je me rend compte que en bas a droite (les programes demarré avec windows) il n'y a plus rien mise a part l'enceinte grise classique. Donc plus avguard d'antivir, plus de spybot, plus de nvmixer.. J'ai donc du desinstaller antivir parce que plus moyen de le lancer, ideme pour spybot. Mais aprés réinstallation, les icone sont de nouveau là(seulemnt pour spybot et nvmixer). Mais ya un souci avec internet explorer, j'ai 2 icone sur le bureau donc une qui ne peu pas etre supprimé... Alors j'aimerai savoir si ya une solution avant que je formate. merci d'avance.

Modifié le 24 avril 2008 par FREEZESCREEN

[Thanos]

salut

 

Poste ce rapport stp >

 

1) Désactive le bouclier d'Antivir le temps du scan. (Fais un clic droit sur l'icône d'Antivir dans la barre des tâches et décoche Antivir Guard enable.

 

2) Télécharge combofix.exe de sUBs

• Assure toi que tous les programmes sont fermés avant de lancer le fix!
  
• Fait un double clique sur combofix.exe.
  
• Clique sur Oui au message de Limitation de Garantie qui s'affiche.
  
• Il est possible que ton parefeu te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sure: accepte!
  
• Note: Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide !
  
• Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message.
  

Note: ne lance ComboFix qu'une fois

 

Par la suite, il est possible qu'Antivir fasse une détection sur ce fichier > nircmd.com > clique sur le bouton radio Ignorer puis valide par OK (ce fichier appartient à ComboFix, ce n'est pas un malware!)

 

@++

[FREEZESCREEN]

salut

 

Poste ce rapport stp >

 

1) Désactive le bouclier d'Antivir le temps du scan. (Fais un clic droit sur l'icône d'Antivir dans la barre des tâches et décoche Antivir Guard enable.

 

2) Télécharge combofix.exe de sUBs

• Assure toi que tous les programmes sont fermés avant de lancer le fix!
  
• Fait un double clique sur combofix.exe.
  
• Clique sur Oui au message de Limitation de Garantie qui s'affiche.
  
• Il est possible que ton parefeu te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sure: accepte!
  
• Note: Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide !
  
• Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message.
  

Note: ne lance ComboFix qu'une fois

 

@++

 

Salut,

Merci pour ta reponse. Je viens de finir un scan avec antivir que j'ai enfin réussi a telecharger,car impossible de cliquer sur un lien,je suis obligé de faire clic droit enregistrer la cible sous. Puis antivir guard ne veut pas se mettre, il met "unknow" dans la fenetre principal d'antivir. Probleme avec internet explorer comme je le dit plus haut, j'ai 2 icone sur le bureau, celle qui ne s'efface pas quand je double clic dessus elle me cré une 2eme icone internet explorer.. enfin maintenant j'ai supprimé celle que je pouvais car l'autre fonctionne correctement..rien a comprendre. Puis un souci avec clone dvd,quand je le lance tout va bien, mais dès que je veux executer une action il se ferme.. Sinon pour reparler du scan antivir, 30 detections,je poste le rapport. En ce qui concerne combofix, je n'ai pas trouvé le rapport. Je voulais aussi préciser qu'avant combofix et antivir j'avais executé vundofix et diaghelp. je poste les rapports. Ceci etant, je vais me coucher car hier j'ai trainé jusque 4h du matin pour trouver une solution..

merci d'avance

_________________________________________________________________________________________________

 

VundoFix V6.7.7

 

Checking Java version...

 

Sun Java not detected

Scan started at 23:10:23 Alienator 24/01/2008

 

Listing files found while scanning....

 

C:\WINDOWS\system32\opnmjgf.dll

C:\WINDOWS\system32\ssqrrss.dll

 

Beginning removal...

 

Attempting to delete C:\WINDOWS\system32\opnmjgf.dll

C:\WINDOWS\system32\opnmjgf.dll Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\ssqrrss.dll

C:\WINDOWS\system32\ssqrrss.dll Has been deleted!

 

Performing Repairs to the registry.

Done!

 

___________________________________________________________________________________________

 

catchme 0.3.1319 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-01-24 23:49:27

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden services & system hive ...

 

scanning hidden registry entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden services: 0

hidden files: 0

 

_______________________________________________________________________________________________

DiagHelp version v1.4 - http://www.malekal.com

excute le 24/01/2008 à 23:49:10,85

 

 

Liste des derniers fichies modifies/crees dans windir\system32 et prefetch

C:\WINDOWS\prefetch\CHCP.COM-18156052.pf -->24/01/2008 23:49:09 Alienator

C:\WINDOWS\prefetch\WINRAR.EXE-39C6DAD9.pf -->24/01/2008 23:48:50 Alienator

C:\WINDOWS\prefetch\NOTEPAD.EXE-336351A9.pf -->24/01/2008 23:48:36 Alienator

C:\WINDOWS\prefetch\MD5FILE.EXE-2C348A85.pf -->24/01/2008 23:48:23 Alienator

C:\WINDOWS\prefetch\CMD.EXE-087B4001.pf -->24/01/2008 23:48:20 Alienator

C:\WINDOWS\prefetch\SWREG.EXE-18FCD359.pf -->24/01/2008 23:48:19 Alienator

C:\WINDOWS\prefetch\FIND.EXE-0EC32F1E.pf -->24/01/2008 23:48:18 Alienator

C:\WINDOWS\prefetch\PROCESS.EXE-1C4B993A.pf -->24/01/2008 23:48:10 Alienator

C:\WINDOWS\prefetch\CSCRIPT.EXE-1C26180C.pf -->24/01/2008 23:48:10 Alienator

C:\WINDOWS\prefetch\VERCLSID.EXE-3667BD89.pf -->24/01/2008 23:47:43 Alienator

 

C:\WINDOWS\System32\drivers\nv4_mini.sys -->05/12/2007 01:41:00 Alienator

C:\WINDOWS\System32\drivers\secdrv.sys -->13/11/2007 11:25:54 Alienator

C:\WINDOWS\System32\drivers\tcpip.sys -->30/10/2007 18:20:55 Alienator

C:\WINDOWS\System32\drivers\imagesrv.sys -->24/09/2007 09:05:58 Alienator

C:\WINDOWS\System32\drivers\imagedrv.sys -->24/09/2007 09:05:58 Alienator

C:\WINDOWS\System32\drivers\ElbyCDIO.sys -->07/08/2007 20:48:33 Alienator

C:\WINDOWS\System32\drivers\mqac.sys -->06/07/2007 11:05:47 Alienator

 

C:\WINDOWS\System32\settingsbkup.sfm -->24/01/2008 23:28:57 Alienator

C:\WINDOWS\System32\settings.sfm -->24/01/2008 23:28:57 Alienator

C:\WINDOWS\System32\DVCStateBkp-{00000001-00000000-00000008-00001102-00000004-00521102}.dat -->24/01/2008 23:28:57 Alienator

C:\WINDOWS\System32\DVCState-{00000001-00000000-00000008-00001102-00000004-00521102}.dat -->24/01/2008 23:28:57 Alienator

C:\WINDOWS\System32\BMXStateBkp-{00000001-00000000-00000008-00001102-00000004-00521102}.rfx -->24/01/2008 23:28:57 Alienator

C:\WINDOWS\System32\BMXState-{00000001-00000000-00000008-00001102-00000004-00521102}.rfx -->24/01/2008 23:28:57 Alienator

C:\WINDOWS\System32\BMXCtrlState-{00000001-00000000-00000008-00001102-00000004-00521102}.rfx -->24/01/2008 23:28:57 Alienator

C:\WINDOWS\System32\BMXBkpCtrlState-{00000001-00000000-00000008-00001102-00000004-00521102}.rfx -->24/01/2008 23:28:57 Alienator

C:\WINDOWS\System32\nvapps.xml -->24/01/2008 21:57:57 Alienator

C:\WINDOWS\System32\wpa.dbl -->24/01/2008 11:47:33 Alienator

C:\WINDOWS\System32\perfh040.dat -->24/01/2008 11:32:22 Alienator

C:\WINDOWS\System32\perfh009.dat -->24/01/2008 11:32:22 Alienator

C:\WINDOWS\System32\perfc040.dat -->24/01/2008 11:32:22 Alienator

C:\WINDOWS\System32\perfc009.dat -->24/01/2008 11:32:22 Alienator

C:\WINDOWS\System32\prutv.ini -->23/01/2008 23:40:50 Alienator

C:\WINDOWS\System32\prutv.ini2 -->23/01/2008 23:40:38 Alienator

C:\WINDOWS\System32\d3d8caps.dat -->23/01/2008 16:21:49 Alienator

C:\WINDOWS\System32\d0cc3c93 -->23/01/2008 15:06:02 Alienator

C:\WINDOWS\System32\ljjkhhf.dll.vir -->23/01/2008 14:47:36 Alienator

C:\WINDOWS\System32\nscompat.tlb -->19/01/2008 11:09:14 Alienator

C:\WINDOWS\System32\amcompat.tlb -->19/01/2008 11:09:14 Alienator

C:\WINDOWS\System32\MRT.exe -->02/01/2008 19:21:36 Alienator

C:\WINDOWS\System32\TUKernel.exe -->27/12/2007 12:35:56 Alienator

C:\WINDOWS\System32\FNTCACHE.DAT -->26/12/2007 10:03:05 Alienator

C:\WINDOWS\System32\TZLog.log -->26/12/2007 01:57:57 Alienator

 

C:\WINDOWS\msnfix.txt -->24/01/2008 23:48:26 Alienator

C:\WINDOWS\WindowsUpdate.log -->24/01/2008 23:29:53 Alienator

C:\WINDOWS.log -->24/01/2008 23:29:07 Alienator

C:\WINDOWS\wiaservc.log -->24/01/2008 23:29:04 Alienator

C:\WINDOWS\wiadebug.log -->24/01/2008 23:29:03 Alienator

C:\WINDOWS\bootstat.dat -->24/01/2008 23:28:42 Alienator

C:\WINDOWS\setupact.log -->24/01/2008 23:03:34 Alienator

C:\WINDOWS\setuperr.log -->24/01/2008 23:03:18 Alienator

C:\WINDOWS\SchedLgU.Txt -->24/01/2008 20:52:00 Alienator

C:\WINDOWS\{00000001-00000000-00000008-00001102-00000004-00521102}.CDF -->24/01/2008 20:04:46 Alienator

C:\WINDOWS\NeroDigital.ini -->24/01/2008 16:12:30 Alienator

C:\WINDOWS\wininit.ini -->24/01/2008 00:20:17 Alienator

C:\WINDOWS\game.ini -->23/01/2008 14:14:25 Alienator

C:\WINDOWS\CTACD.INI -->20/01/2008 22:44:17 Alienator

C:\WINDOWS\Thumbs.db -->20/01/2008 11:47:50 Alienator

 

winlogon.exe

Verified: Signed

svchost.exe

Verified: Signed

ws2_32.dll

Verified: Signed

user32.dll

Verified: Signed

tcpip.sys

Verified: Signed

ndis.sys

Verified: Signed

null.sys

Verified: Signed

 

 

ListDLLs v2.25 - DLL lister for Win9x/NT

Copyright © 1997-2004 Mark Russinovich

Sysinternals - www.sysinternals.com

 

------------------------------------------------------------------------------

explorer.exe pid: 1684

Command line: C:\WINDOWS\Explorer.EXE

 

Base Size Version Path

0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\comctl32.dll

0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL

0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll

0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL

0x164a0000 0x23000 5.02.5721.5145 C:\WINDOWS\system32\WPDShServiceObj.dll

0x7d200000 0x2be000 3.01.4000.4039 C:\WINDOWS\system32\msi.dll

0x109c0000 0x2c000 5.02.5721.5145 C:\WINDOWS\system32\PortableDeviceTypes.dll

0x10930000 0x49000 5.02.5721.5145 C:\WINDOWS\system32\PortableDeviceApi.dll

0x10000000 0x38000 3.00.0000.0058 c:\program files\a-squared free\a2freecontmenu.dll

0x01700000 0x1b8000 3.01.0000.0008 C:\Program Files\Fichiers communs\Nero\Lib\NeroDigitalExt.dll

0x781d0000 0x10f000 8.00.50727.0762 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.MFC_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_3bf8fa05\MFC80.DLL

0x78130000 0x9b000 8.00.50727.0762 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\MSVCR80.dll

0x7c420000 0x87000 8.00.50727.0762 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\MSVCP80.dll

0x5d360000 0xf000 8.00.50727.0762 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.MFCLOC_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_91481303\MFC80FRA.DLL

0x00f40000 0x5b000 8.01.0000.0000 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.dll

0x01280000 0x4c000 8.00.0000.0000 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.FRA

0x01dd0000 0x11a000 1.05.0000.0008 C:\PROGRA~1\SPYBOT~1\SDHelper.dll

0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll

0x03000000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll

0x00cd0000 0x3e000 3.01.0000.0000 C:\Program Files\Nero\Nero8\Nero BackItUp\NBShell.dll

0x782e0000 0x10f000 8.00.50727.0762 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.MFC_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_3bf8fa05\MFC80U.DLL

0x01b60000 0x2c000 C:\Program Files\WinRAR\rarext.dll

0x00e80000 0x9000 2.00.0000.0004 C:\Program Files\TuneUp Utilities 2007\SDShelEx-win32.dll

0x03420000 0x202000 3.01.0001.0000 C:\Program Files\Nero\Nero8\Nero CoverDesigner\CoverEdExtension.dll

0x74da0000 0x6c000 5.30.0023.1228 C:\WINDOWS\system32\RICHED20.dll

0x03630000 0x489000 1.01.0000.0207 C:\Program Files\Fichiers communs\Nero\Shared\NL3\AdvrCntr3.dll

0x03dc0000 0x845000 6.14.0011.6921 C:\WINDOWS\system32\nvcpl.dll

0x74bf0000 0x2c000 4.02.5406.0000 C:\WINDOWS\system32\OLEACC.dll

0x76010000 0x65000 6.02.3104.0000 C:\WINDOWS\system32\MSVCP60.dll

0x02510000 0x45000 6.14.0011.6921 C:\WINDOWS\system32\NVRSFR.DLL

0x02600000 0x60000 6.14.0011.6921 C:\WINDOWS\system32\nvapi.dll

0x03cc0000 0x73000 6.14.0010.11132 C:\WINDOWS\system32\nvshell.dll

0x41f00000 0x7000 1.01.0000.3917 C:\WINDOWS\system32\asfsipc.dll

0x60980000 0x7000 3.01.4000.1823 C:\WINDOWS\system32\MSISIP.DLL

0x74e10000 0x10000 5.06.0000.8820 C:\WINDOWS\system32\wshext.dll

0x73d20000 0xfe000 6.02.4131.0000 C:\WINDOWS\system32\MFC42.DLL

0x61d70000 0xe000 6.00.8665.0000 C:\WINDOWS\system32\MFC42LOC.DLL

0x59000000 0xe000 5.06.0000.6626 C:\WINDOWS\system32\wshFR.DLL

 

ListDLLs v2.25 - DLL lister for Win9x/NT

Copyright © 1997-2004 Mark Russinovich

Sysinternals - www.sysinternals.com

 

------------------------------------------------------------------------------

winlogon.exe pid: 680

Command line: winlogon.exe

 

Base Size Version Path

0x01000000 0x81000 \??\C:\WINDOWS\system32\winlogon.exe

0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\COMCTL32.dll

0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll

0x20000000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll

0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll

0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL

 

 

Le volume dans le lecteur C s'appelle Alex

Le numéro de série du volume est D0CC-2EB2

 

Répertoire de C:\WINDOWS\system32

 

19/08/2004 16:09 Alienator 6 144 csrss.exe

1 fichier(s) 6 144 octets

0 Rép(s) 84 411 535 360 octets libres

 

Contenu de Downloaded Program Files

Le volume dans le lecteur C s'appelle Alex

Le numéro de série du volume est D0CC-2EB2

 

Répertoire de C:\WINDOWS\Downloaded Program Files

 

19/01/2008 12:27 Alienator <REP> .

19/01/2008 12:27 Alienator <REP> ..

25/12/2007 23:32 Alienator 65 desktop.ini

1 fichier(s) 65 octets

 

Total des fichiers listés :

1 fichier(s) 65 octets

2 Rép(s) 84 411 535 360 octets libres

 

Recherche de rootkit! (Merci S!Ri)

 

Recherche d'infections connues

 

Export des clefs sensibles..

 

 

Liste des fichiers en exception sur le pare-feu XP SP2

 

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"

"C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE"="C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE:*:Enabled:Internet Explorer"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

 

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

 

Export de la clef SharedTaskScheduler

 

[sharedTaskScheduler]

"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

 

REGEDIT4

 

[taskmgr.exe]

 

 

exports des policies

REGEDIT4

 

[system]

"dontdisplaylastusername"=dword:00000000

"legalnoticecaption"=""

"legalnoticetext"=""

"shutdownwithoutlogon"=dword:00000001

"undockwithoutlogon"=dword:00000001

 

 

 

Export des clefs sensibles..

Rechercher adresses sensibles dans le fichier HOSTS...

127.0.0.1 activexupdate.com

127.0.0.1 www.activexupdate.com

127.0.0.1 avpcheckupdate.com

127.0.0.1 www.avpcheckupdate.com

127.0.0.1 client.exeupdate.com

127.0.0.1 eupdatepage.com

127.0.0.1 www.eupdatepage.com

127.0.0.1 exeupdate.com

127.0.0.1 www.exeupdate.com

127.0.0.1 hotwinupdates.com

127.0.0.1 www.hotwinupdates.com

127.0.0.1 lavasoftupdate.com

127.0.0.1 www.lavasoftupdate.com

127.0.0.1 malwarewipeupdate.com

127.0.0.1 www.malwarewipeupdate.com

127.0.0.1 msupdate.net

127.0.0.1 www.msupdate.net

127.0.0.1 msupdater.net

127.0.0.1 www.msupdater.net

127.0.0.1 necessaryupdates.com

127.0.0.1 www.necessaryupdates.com

127.0.0.1 newupdates.lzio.com

127.0.0.1 redirect.msupdate.net

127.0.0.1 search.keyword.exeupdate.com

127.0.0.1 securityupdatesite.com

127.0.0.1 www.securityupdatesite.com

127.0.0.1 settings.updatemysettings.com

127.0.0.1 spyaxeupdate.com

127.0.0.1 www.spyaxeupdate.com

127.0.0.1 spyfalconupdate.com

127.0.0.1 www.spyfalconupdate.com

127.0.0.1 systemupdates.net

127.0.0.1 www.systemupdates.net

127.0.0.1 trial.updates.winsoftware.com

127.0.0.1 updatemysettings.com

127.0.0.1 www.updatemysettings.com

127.0.0.1 updates.spywarequake.com

127.0.0.1 urgentsystemupdate.biz

127.0.0.1 www.urgentsystemupdate.biz

127.0.0.1 urgentsystemupdate.com

127.0.0.1 www.urgentsystemupdate.com

127.0.0.1 windupdates.com

127.0.0.1 update.680180.net

127.0.0.1 pandaantivirus-2007.com

127.0.0.1 www.pandaantivirus-2007.com

127.0.0.1 pandadownload-now.com

127.0.0.1 www.pandadownload-now.com

127.0.0.1 panda-hq.com

127.0.0.1 www.panda-hq.com

catchme 0.3.1319 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-01-24 23:49:27

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden services & system hive ...

 

scanning hidden registry entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden services: 0

hidden files: 0

 

 

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

 

Process list by traversal of KiWaitListHead

 

4 - System

248 - alg.exe

412 - nvsvc32.exe

440 - svchost.exe

652 - csrss.exe

680 - winlogon.exe

724 - services.exe

736 - lsass.exe

892 - svchost.exe

972 - svchost.exe

1068 - svchost.exe

1116 - svchost.exe

1228 - svchost.exe

1576 - ctfmon.exe

1684 - explorer.exe

1844 - cmd.exe

1896 - TeaTimer.exe

2008 - GoogleUpdaterSe

 

Total number of processes = 18

NOTE: Under WinXP, this will not show all processes.

 

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

 

Driver/Module list by traversal of PsLoadedModuleList

 

804D7000 - \WINDOWS\system32\TUKERNEL.EXE

8070E000 - \WINDOWS\system32\hal.dll

F7987000 - \WINDOWS\system32\KDCOM.DLL

F7897000 - \WINDOWS\system32\BOOTVID.dll

F75A7000 - ACPI.sys

F7989000 - \WINDOWS\system32\DRIVERS\WMILIB.SYS

F7596000 - pci.sys

F75F7000 - isapnp.sys

F7607000 - ohci1394.sys

F7617000 - \WINDOWS\system32\DRIVERS\1394BUS.SYS

F7A4F000 - pciide.sys

F7707000 - \WINDOWS\system32\DRIVERS\PCIIDEX.SYS

F7627000 - MountMgr.sys

F74D7000 - ftdisk.sys

F798B000 - dmload.sys

F74B1000 - dmio.sys

F770F000 - PartMgr.sys

F7637000 - VolSnap.sys

F7499000 - atapi.sys

F7647000 - disk.sys

F7657000 - \WINDOWS\system32\DRIVERS\CLASSPNP.SYS

F7479000 - fltMgr.sys

F7467000 - sr.sys

F7450000 - KSecDD.sys

F743D000 - WudfPf.sys

F7B52000 - Ntfs.sys

F7410000 - NDIS.sys

F7717000 - nv_agp.sys

F787D000 - Mup.sys

F7687000 - \SystemRoot\system32\DRIVERS\nic1394.sys

F7697000 - \SystemRoot\system32\DRIVERS\amdk7.sys

F7757000 - \SystemRoot\system32\DRIVERS\usbohci.sys

BA6CC000 - \SystemRoot\system32\DRIVERS\USBPORT.SYS

F775F000 - \SystemRoot\system32\DRIVERS\usbehci.sys

BA6BA000 - \SystemRoot\system32\DRIVERS\NVENET.sys

F76A7000 - \SystemRoot\system32\drivers\nvax.sys

BA642000 - \SystemRoot\system32\drivers\ctaud2k.sys

BA61E000 - \SystemRoot\system32\drivers\portcls.sys

F76B7000 - \SystemRoot\system32\drivers\drmk.sys

BA5FB000 - \SystemRoot\system32\drivers\ks.sys

BA5E2000 - \SystemRoot\system32\drivers\ctoss2k.sys

F798D000 - \SystemRoot\System32\drivers\ctprxy2k.sys

F792B000 - \SystemRoot\system32\DRIVERS\gameenum.sys

F76C7000 - \SystemRoot\system32\DRIVERS\imapi.sys

F798F000 - \SystemRoot\System32\Drivers\ElbyDelay.sys

F76D7000 - \SystemRoot\system32\DRIVERS\cdrom.sys

F76E7000 - \SystemRoot\system32\DRIVERS\redbook.sys

B9ECA000 - \SystemRoot\system32\DRIVERS\nv4_mini.sys

B9EB6000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS

F77A7000 - \SystemRoot\system32\DRIVERS\fdc.sys

B9EA5000 - \SystemRoot\system32\DRIVERS\serial.sys

F7947000 - \SystemRoot\system32\DRIVERS\serenum.sys

B9E91000 - \SystemRoot\system32\DRIVERS\parport.sys

F76F7000 - \SystemRoot\system32\DRIVERS\i8042prt.sys

F77BF000 - \SystemRoot\system32\DRIVERS\kbdclass.sys

F7A80000 - \SystemRoot\system32\drivers\msmpu401.sys

F7A82000 - \SystemRoot\system32\DRIVERS\audstub.sys

F7586000 - \SystemRoot\system32\DRIVERS\rasl2tp.sys

BA7FC000 - \SystemRoot\system32\DRIVERS\ndistapi.sys

B9DDA000 - \SystemRoot\system32\DRIVERS\ndiswan.sys

F7576000 - \SystemRoot\system32\DRIVERS\raspppoe.sys

F7566000 - \SystemRoot\system32\DRIVERS\raspptp.sys

F77DF000 - \SystemRoot\system32\DRIVERS\TDI.SYS

B9DA1000 - \SystemRoot\system32\DRIVERS\psched.sys

F7556000 - \SystemRoot\system32\DRIVERS\msgpc.sys

F77EF000 - \SystemRoot\system32\DRIVERS\ptilink.sys

F77FF000 - \SystemRoot\system32\DRIVERS\raspti.sys

B9D70000 - \SystemRoot\system32\DRIVERS\rdpdr.sys

F7546000 - \SystemRoot\system32\DRIVERS\termdd.sys

F780F000 - \SystemRoot\system32\DRIVERS\mouclass.sys

F7995000 - \SystemRoot\system32\DRIVERS\swenum.sys

B9D3C000 - \SystemRoot\system32\DRIVERS\update.sys

BA7D8000 - \SystemRoot\system32\DRIVERS\mssmbios.sys

F7536000 - \SystemRoot\system32\DRIVERS\usbhub.sys

F7999000 - \SystemRoot\system32\DRIVERS\USBD.SYS

F7526000 - \SystemRoot\System32\Drivers\NDProxy.SYS

B9CA4000 - \SystemRoot\system32\drivers\nvapu.sys

B9BBF000 - \SystemRoot\system32\drivers\nvmcp.sys

B9BAE000 - \SystemRoot\system32\drivers\nvarm.sys

B9A88000 - \SystemRoot\system32\drivers\ha10kx2k.sys

B9A23000 - \SystemRoot\System32\drivers\ctac32k.sys

B9A0A000 - \SystemRoot\System32\drivers\emupia2k.sys

B99EB000 - \SystemRoot\System32\drivers\ctsfm2k.sys

F7787000 - \SystemRoot\system32\DRIVERS\flpydisk.sys

F79A3000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS

B9D32000 - \SystemRoot\System32\Drivers\Null.SYS

F79A7000 - \SystemRoot\System32\Drivers\Beep.SYS

F779F000 - \SystemRoot\System32\drivers\vga.sys

F79AB000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys

F77B7000 - \SystemRoot\System32\Drivers\Msfs.SYS

F77CF000 - \SystemRoot\System32\Drivers\Npfs.SYS

F7933000 - \SystemRoot\system32\DRIVERS\rasacd.sys

B88B8000 - \SystemRoot\system32\DRIVERS\ipsec.sys

B8860000 - \SystemRoot\system32\DRIVERS\tcpip.sys

B8810000 - \SystemRoot\system32\DRIVERS\netbt.sys

B87E5000 - \SystemRoot\system32\DRIVERS\ipnat.sys

F7506000 - \SystemRoot\system32\DRIVERS\wanarp.sys

B87C3000 - \SystemRoot\System32\drivers\afd.sys

B9DCE000 - \SystemRoot\system32\DRIVERS\hidusb.sys

F74F6000 - \SystemRoot\system32\DRIVERS\HIDCLASS.SYS

F77F7000 - \SystemRoot\system32\DRIVERS\HIDPARSE.SYS

BA7C8000 - \SystemRoot\system32\DRIVERS\arp1394.sys

BA7B8000 - \SystemRoot\system32\DRIVERS\netbios.sys

B86F8000 - \SystemRoot\system32\DRIVERS\rdbss.sys

B8689000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys

B9DC6000 - \SystemRoot\system32\DRIVERS\mouhid.sys

BA7A8000 - \SystemRoot\System32\Drivers\Fips.SYS

B9A80000 - \SystemRoot\System32\Drivers\ElbyCDIO.sys

BA768000 - \SystemRoot\System32\Drivers\Cdfs.SYS

B8649000 - \SystemRoot\System32\Drivers\dump_atapi.sys

F7A01000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS

BF800000 - \SystemRoot\System32\win32k.sys

F7923000 - \SystemRoot\System32\drivers\Dxapi.sys

F774F000 - \SystemRoot\System32\watchdog.sys

BF000000 - \SystemRoot\System32\drivers\dxg.sys

F7A55000 - \SystemRoot\System32\drivers\dxgthk.sys

BF012000 - \SystemRoot\System32\nv4_disp.dll

B82B2000 - \SystemRoot\system32\DRIVERS\ndisuio.sys

B8051000 - \SystemRoot\system32\drivers\wdmaud.sys

B83A6000 - \SystemRoot\system32\drivers\sysaudio.sys

F79F7000 - \SystemRoot\System32\Drivers\ParVdm.SYS

B7CA7000 - \SystemRoot\system32\DRIVERS\srv.sys

B7BBC000 - \SystemRoot\System32\Drivers\Fastfat.SYS

F79FF000 - \??\C:\WINDOWS\system32\PfModNT.sys

B7E63000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

B7045000 - \SystemRoot\system32\drivers\kmixer.sys

 

Total number of drivers = 126

 

Liste des programmes installes

 

a-squared Free 3.1

Adobe Flash Player ActiveX

Adobe Flash Player Plugin

Adobe Reader 8.1.0 - Français

Archiveur WinRAR

Assistant de connexion Windows Live

AV301P

BeClean

CCleaner (remove only)

CleanUp!

CloneDVD2

eMule

Foxit Reader

Google Toolbar for Internet Explorer

Google Toolbar for Internet Explorer

Ink

IsoBuster 2.2

Lecteur Windows Media 11

Marvell Miniport Driver

Messenger Plus! Live

Microsoft Compression Client Pack 1.0 for Windows XP

Microsoft Internationalized Domain Names Mitigation APIs

Microsoft National Language Support Downlevel APIs

Microsoft Office PowerPoint Viewer 2007 (French)

Microsoft User-Mode Driver Framework Feature Pack 1.0

MSXML 4.0 SP2 (KB936181)

Nero 8

neroxml

NVIDIA Drivers

NvMixer

Outil de mise à jour Google

Sound Blaster Audigy

Spybot - Search & Destroy

TuneUp Utilities 2007

VCRedistSetup

VideoLAN VLC media player 0.8.6d

WebFldrs XP

Windows Live installer

Windows Live Messenger

Windows Media Format 11 runtime

Windows Media Format 11 runtime

Windows Media Player 11

Yahoo! Widgets

 

 

 

Le volume dans le lecteur C s'appelle Alex

Le numéro de série du volume est D0CC-2EB2

 

Répertoire de C:\Program Files

 

24/01/2008 20:59 Alienator <REP> .

24/01/2008 20:59 Alienator <REP> ..

26/12/2007 01:03 Alienator <REP> Adobe

22/01/2008 19:42 Alienator <REP> a-squared Free

24/01/2008 23:03 Alienator <REP> BeClean

26/12/2007 01:01 Alienator <REP> CCleaner

25/12/2007 23:57 Alienator <REP> CleanUp!

25/12/2007 23:30 Alienator <REP> ComPlus Applications

26/12/2007 00:18 Alienator <REP> Creative

25/12/2007 23:59 Alienator <REP> DiretcX

21/01/2008 17:06 Alienator <REP> Elaborate Bytes

24/01/2008 20:03 Alienator <REP> eMule

26/12/2007 01:18 Alienator <REP> Fichiers communs

12/01/2008 23:29 Alienator <REP> Foxit Software

29/12/2007 01:39 Alienator <REP> Google

23/01/2008 12:47 Alienator <REP> Icones

24/01/2008 20:54 Alienator <REP> Internet Explorer

26/12/2007 00:35 Alienator <REP> Marvell

26/12/2007 01:43 Alienator <REP> Messenger Plus! Live

25/12/2007 23:33 Alienator <REP> microsoft frontpage

26/12/2007 00:03 Alienator <REP> Microsoft Office

25/12/2007 23:31 Alienator <REP> Movie Maker

26/12/2007 00:03 Alienator <REP> MSECache

25/12/2007 23:33 Alienator <REP> msn gaming zone

18/01/2008 12:34 Alienator <REP> MSN Messenger

26/12/2007 10:04 Alienator <REP> MSXML 4.0

26/12/2007 01:18 Alienator <REP> Nero

25/12/2007 23:33 Alienator <REP> netmeeting

25/12/2007 23:51 Alienator <REP> NVIDIA Corporation

26/12/2007 01:58 Alienator <REP> Outlook Express

25/12/2007 23:31 Alienator <REP> Services en ligne

23/01/2008 11:04 Alienator <REP> Smart Projects

24/01/2008 20:59 Alienator <REP> Spybot - Search & Destroy

07/06/2007 10:49 Alienator <REP> ToYcon

26/12/2007 00:45 Alienator <REP> TuneUp Utilities 2007

26/12/2007 10:28 Alienator <REP> VideoLAN

26/12/2007 01:41 Alienator <REP> Windows Live

04/01/2008 16:04 Alienator <REP> Windows Media Connect 2

19/01/2008 12:29 Alienator <REP> Windows Media Player

25/12/2007 23:33 Alienator <REP> Windows NT

09/01/2008 11:46 Alienator <REP> WinRAR

25/12/2007 23:33 Alienator <REP> xerox

26/12/2007 00:47 Alienator <REP> Yahoo!

0 fichier(s) 0 octets

43 Rép(s) 84 411 355 136 octets libres

Le volume dans le lecteur C s'appelle Alex

Le numéro de série du volume est D0CC-2EB2

 

Répertoire de C:\Program Files\fichiers communs

 

26/12/2007 01:18 Alienator <REP> .

26/12/2007 01:18 Alienator <REP> ..

26/12/2007 01:03 Alienator <REP> Adobe

26/12/2007 00:10 Alienator <REP> InstallShield

16/01/2008 14:59 Alienator <REP> Microsoft Shared

25/12/2007 23:31 Alienator <REP> MSSoap

26/12/2007 01:19 Alienator <REP> Nero

25/12/2007 23:51 Alienator <REP> NVIDIA Shared

26/12/2007 00:25 Alienator <REP> ODBC

25/12/2007 23:31 Alienator <REP> Services

26/12/2007 00:25 Alienator <REP> SpeechEngines

26/12/2007 01:58 Alienator <REP> System

26/12/2007 01:23 Alienator <REP> Wise Installation Wizard

0 fichier(s) 0 octets

13 Rép(s) 84 411 351 040 octets libres

Le volume dans le lecteur C s'appelle Alex

Le numéro de série du volume est D0CC-2EB2

 

Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

 

25/12/2007 23:37 Alienator <REP> .

25/12/2007 23:37 Alienator <REP> ..

18/05/2001 15:57 Alienator 561 209 MSONSEXT.DLL

03/06/1999 12:09 Alienator 122 937 MSOWS409.DLL

07/03/2001 07:00 Alienator 127 033 MSOWS40c.DLL

3 fichier(s) 811 179 octets

2 Rép(s) 84 411 351 040 octets libres

 

 

 

 

c:\Documents and Settings\Alienator\Application Data\Microsoft\Installer\{DBAA6058-4960-4A46-8E84-4D71F23F3A84}\ARPPRODUCTICON.exe

c:\Documents and Settings\Alienator\Application Data\Microsoft\Installer\{DBAA6058-4960-4A46-8E84-4D71F23F3A84}\UnInst.exe

c:\Documents and Settings\Alienator\Bureau\ATF-Cleaner.exe

c:\Documents and Settings\Alienator\Bureau\VundoFix.exe

c:\Documents and Settings\Alienator\Bureau\DiagHelp\catchme.exe

c:\Documents and Settings\Alienator\Bureau\DiagHelp\diff.exe

c:\Documents and Settings\Alienator\Bureau\DiagHelp\dumphive.exe

c:\Documents and Settings\Alienator\Bureau\DiagHelp\FilesInfoCmd.exe

c:\Documents and Settings\Alienator\Bureau\DiagHelp\find2.exe

c:\Documents and Settings\Alienator\Bureau\DiagHelp\Fport.exe

c:\Documents and Settings\Alienator\Bureau\DiagHelp\grep.exe

c:\Documents and Settings\Alienator\Bureau\DiagHelp\gzip.exe

c:\Documents and Settings\Alienator\Bureau\DiagHelp\KProcCheck.exe

c:\Documents and Settings\Alienator\Bureau\DiagHelp\LFiles.exe

c:\Documents and Settings\Alienator\Bureau\DiagHelp\LISTDLLS.exe

c:\Documents and Settings\Alienator\Bureau\DiagHelp\md5sums.exe

c:\Documents and Settings\Alienator\Bureau\DiagHelp\pslist.exe

c:\Documents and Settings\Alienator\Bureau\DiagHelp\sigcheck.exe

c:\Documents and Settings\Alienator\Bureau\DiagHelp\streams.exe

c:\Documents and Settings\Alienator\Bureau\DiagHelp\swreg.exe

c:\Documents and Settings\Alienator\Bureau\DiagHelp\tar.exe

c:\Documents and Settings\Alienator\Bureau\MSNFix\incl\MD5File.exe

c:\Documents and Settings\Alienator\Bureau\MSNFix\incl\Process.exe

c:\Documents and Settings\Alienator\Bureau\MSNFix\incl\swreg.exe

c:\Documents and Settings\Alienator\Bureau\MSNFix\incl\zip.exe

c:\Documents and Settings\Alienator\Local Settings\Application Data\Yahoo\Widget Engine\Widget Data\Neon Gauges\treeinfo.exe

c:\Documents and Settings\Alienator\Local Settings\Temporary Internet Files\Content.IE5\OPQRSTUV\VundoFix[1].exe

c:\Documents and Settings\All Users\Application Data\TuneUp Software\TuneUp Utilities\WinStyler\tu_logonui.exe

c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll

c:\Documents and Settings\All Users\Application Data\Nero\DrWeb\Drweb32.dll

 

****** Fin du rapport DiagHelp

Veuillez svp envoyer le fichier C:\upload_moi_XPSP2-0850FA997.tar.gz a l'adresse http://upload.malekal.com

 

_________________________________________________________________________________________

 

AntiVir PersonalEdition Classic

Report file date: vendredi 25 janvier 2008 00:04

 

Scanning for 1067417 virus strains and unwanted programs.

 

Licensed to: Avira AntiVir PersonalEdition Classic

Serial number: 0000149996-ADJIE-0001

Platform: Windows XP

Windows version: (Service Pack 2) [5.1.2600]

Username: SYSTEM

Computer name: XPSP2-0850FA997

 

Version information:

BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00

AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 13:16:29

AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 12:23:51

LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 15:32:47

LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 12:35:20

ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 14:27:15

ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14/12/2007 23:01:19

ANTIVIR2.VDF : 7.0.2.0 948736 Bytes 15/01/2008 23:01:19

ANTIVIR3.VDF : 7.0.2.43 376832 Bytes 24/01/2008 23:01:19

AVEWIN32.DLL : 7.6.0.53 3211776 Bytes 24/01/2008 23:01:20

AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 10:36:26

AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 07:39:17

AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:16:24

AVPACK32.DLL : 7.6.0.3 360488 Bytes 24/01/2008 23:01:21

AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 07:17:06

AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 12:26:33

AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 07:10:18

NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 11:09:42

RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 12:38:13

RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 12:50:37

SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 09:37:21

 

Configuration settings for the scan:

Jobname..........................: Complete system scan

Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp

Logging..........................: low

Primary action...................: interactive

Secondary action.................: ignore

Scan master boot sector..........: off

Scan boot sector.................: on

Boot sectors.....................: D:,

Scan memory......................: on

Process scan.....................: on

Scan registry....................: on

Search for rootkits..............: on

Scan all files...................: All files

Scan archives....................: on

Recursion depth..................: 20

Smart extensions.................: on

Deviating archive types..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,

Macro heuristic..................: on

File heuristic...................: high

Deviating risk categories........: +APPL,+GAME,+JOKE,+PCK,+SPR,

 

Start of the scan: vendredi 25 janvier 2008 00:04

 

Starting search for hidden objects.

The driver could not be initialized.

 

The scan of running processes will be started

Scan process 'avscan.exe' - '1' Module(s) have been scanned

Scan process 'avcenter.exe' - '1' Module(s) have been scanned

Scan process 'sched.exe' - '1' Module(s) have been scanned

Scan process 'avgnt.exe' - '1' Module(s) have been scanned

Scan process 'wuauclt.exe' - '1' Module(s) have been scanned

Scan process 'alg.exe' - '1' Module(s) have been scanned

Scan process 'MsPMSPSv.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'nvsvc32.exe' - '1' Module(s) have been scanned

Scan process 'NBService.exe' - '1' Module(s) have been scanned

Scan process 'GoogleUpdaterService.exe' - '1' Module(s) have been scanned

Scan process 'CTsvcCDA.EXE' - '1' Module(s) have been scanned

Scan process 'a2service.exe' - '1' Module(s) have been scanned

Scan process 'GoogleUpdater.exe' - '1' Module(s) have been scanned

Scan process 'ctfmon.exe' - '1' Module(s) have been scanned

Scan process 'TeaTimer.exe' - '1' Module(s) have been scanned

Scan process 'rundll32.exe' - '1' Module(s) have been scanned

Scan process 'NvMixerTray.exe' - '1' Module(s) have been scanned

Scan process 'explorer.exe' - '1' Module(s) have been scanned

Scan process 'spoolsv.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'lsass.exe' - '1' Module(s) have been scanned

Scan process 'services.exe' - '1' Module(s) have been scanned

Scan process 'winlogon.exe' - '1' Module(s) have been scanned

Scan process 'csrss.exe' - '1' Module(s) have been scanned

Scan process 'smss.exe' - '1' Module(s) have been scanned

30 processes with 30 modules were scanned

 

Start scanning boot sectors:

Boot sector 'C:\'

[NOTE] No virus was found!

Boot sector 'D:\'

[NOTE] No virus was found!

 

Starting to scan the registry.

The registry was scanned ( '29' files ).

 

 

Starting the file scan:

 

Begin scan in 'C:\' <Alex>

C:\pagefile.sys

[WARNING] The file could not be opened!

C:\System Volume Information\_restore{6569CB2C-4EE6-4C4C-95FB-8969B648E778}\RP43\A0008169.exe

[DETECTION] Contains detection pattern of the dropper DR/P2PAdware.A.50

[iNFO] The file was deleted!

C:\System Volume Information\_restore{6569CB2C-4EE6-4C4C-95FB-8969B648E778}\RP43\A0008170.exe

[DETECTION] Contains detection pattern of the dropper DR/P2PAdware.A.50

[iNFO] The file was deleted!

C:\System Volume Information\_restore{6569CB2C-4EE6-4C4C-95FB-8969B648E778}\RP43\A0008173.exe

[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen

[iNFO] The file was deleted!

C:\System Volume Information\_restore{6569CB2C-4EE6-4C4C-95FB-8969B648E778}\RP43\A0008182.exe

[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen

[iNFO] The file was deleted!

C:\System Volume Information\_restore{6569CB2C-4EE6-4C4C-95FB-8969B648E778}\RP43\A0009088.exe

[DETECTION] Is the Trojan horse TR/Vundo.DWK

[iNFO] The file was deleted!

C:\System Volume Information\_restore{6569CB2C-4EE6-4C4C-95FB-8969B648E778}\RP43\A0009090.exe

[DETECTION] Is the Trojan horse TR/Vundo.DWK

[iNFO] The file was deleted!

C:\System Volume Information\_restore{6569CB2C-4EE6-4C4C-95FB-8969B648E778}\RP43\A0009092.exe

[DETECTION] Is the Trojan horse TR/Vundo.DWK

[iNFO] The file was deleted!

C:\System Volume Information\_restore{6569CB2C-4EE6-4C4C-95FB-8969B648E778}\RP43\A0009093.exe

[DETECTION] Is the Trojan horse TR/Vundo.DWK

[iNFO] The file was deleted!

C:\System Volume Information\_restore{6569CB2C-4EE6-4C4C-95FB-8969B648E778}\RP43\A0009094.exe

[DETECTION] Is the Trojan horse TR/Vundo.DWK

[iNFO] The file was deleted!

C:\System Volume Information\_restore{6569CB2C-4EE6-4C4C-95FB-8969B648E778}\RP43\A0009095.EXE

[DETECTION] Is the Trojan horse TR/Vundo.DWK

[iNFO] The file was deleted!

C:\System Volume Information\_restore{6569CB2C-4EE6-4C4C-95FB-8969B648E778}\RP43\A0009096.exe

[DETECTION] Is the Trojan horse TR/Vundo.DWK

[iNFO] The file was moved to '47c91c6d.qua'!

C:\System Volume Information\_restore{6569CB2C-4EE6-4C4C-95FB-8969B648E778}\RP43\A0009097.exe

[DETECTION] Is the Trojan horse TR/Vundo.DWK

[iNFO] The file was deleted!

C:\System Volume Information\_restore{6569CB2C-4EE6-4C4C-95FB-8969B648E778}\RP43\A0009098.exe

[DETECTION] Is the Trojan horse TR/Drop.Agent.dgo.221

[iNFO] The file was deleted!

C:\System Volume Information\_restore{6569CB2C-4EE6-4C4C-95FB-8969B648E778}\RP44\A0010090.exe

[DETECTION] Is the Trojan horse TR/Drop.Agent.dgo.221

[iNFO] The file was deleted!

C:\System Volume Information\_restore{6569CB2C-4EE6-4C4C-95FB-8969B648E778}\RP44\A0011088.exe

[DETECTION] Is the Trojan horse TR/Vundo.DWK

[iNFO] The file was deleted!

C:\System Volume Information\_restore{6569CB2C-4EE6-4C4C-95FB-8969B648E778}\RP44\A0011090.exe

[DETECTION] Is the Trojan horse TR/Drop.Agent.dgo.221

[iNFO] The file was deleted!

C:\System Volume Information\_restore{6569CB2C-4EE6-4C4C-95FB-8969B648E778}\RP44\A0012088.exe

[DETECTION] Is the Trojan horse TR/Vundo.DWK

[iNFO] The file was deleted!

C:\System Volume Information\_restore{6569CB2C-4EE6-4C4C-95FB-8969B648E778}\RP44\A0012090.exe

[DETECTION] Is the Trojan horse TR/Drop.Agent.dgo.221

[iNFO] The file was deleted!

C:\System Volume Information\_restore{6569CB2C-4EE6-4C4C-95FB-8969B648E778}\RP44\A0013088.exe

[DETECTION] Is the Trojan horse TR/Vundo.DWK

[iNFO] The file was deleted!

C:\System Volume Information\_restore{6569CB2C-4EE6-4C4C-95FB-8969B648E778}\RP44\A0013089.exe

[DETECTION] Is the Trojan horse TR/Drop.Agent.dgo.221

[iNFO] The file was deleted!

C:\System Volume Information\_restore{6569CB2C-4EE6-4C4C-95FB-8969B648E778}\RP44\A0013092.exe

[DETECTION] Is the Trojan horse TR/Vundo.DWK

[iNFO] The file was deleted!

C:\System Volume Information\_restore{6569CB2C-4EE6-4C4C-95FB-8969B648E778}\RP44\A0013104.exe

[DETECTION] Is the Trojan horse TR/Drop.Agent.dgo.221

[iNFO] The file was deleted!

C:\System Volume Information\_restore{6569CB2C-4EE6-4C4C-95FB-8969B648E778}\RP44\A0013105.exe

[DETECTION] Contains detection pattern of the dropper DR/P2PAdware.A.50

[iNFO] The file was deleted!

C:\System Volume Information\_restore{6569CB2C-4EE6-4C4C-95FB-8969B648E778}\RP44\A0014103.exe

[DETECTION] Is the Trojan horse TR/Vundo.DWK

[iNFO] The file was deleted!

C:\System Volume Information\_restore{6569CB2C-4EE6-4C4C-95FB-8969B648E778}\RP44\A0014104.exe

[DETECTION] Is the Trojan horse TR/Drop.Agent.dgo.221

[iNFO] The file was deleted!

C:\System Volume Information\_restore{6569CB2C-4EE6-4C4C-95FB-8969B648E778}\RP44\A0015109.dll

[DETECTION] Is the Trojan horse TR/Vundo.DWK

[iNFO] The file was deleted!

C:\System Volume Information\_restore{6569CB2C-4EE6-4C4C-95FB-8969B648E778}\RP44\A0016103.exe

[DETECTION] Is the Trojan horse TR/Vundo.DWK

[iNFO] The file was deleted!

C:\System Volume Information\_restore{6569CB2C-4EE6-4C4C-95FB-8969B648E778}\RP44\A0016106.exe

[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen

[iNFO] The file was deleted!

C:\System Volume Information\_restore{6569CB2C-4EE6-4C4C-95FB-8969B648E778}\RP44\A0016107.exe

[DETECTION] Is the Trojan horse TR/Drop.Agent.dgo.221

[iNFO] The file was deleted!

C:\System Volume Information\_restore{6569CB2C-4EE6-4C4C-95FB-8969B648E778}\RP44\A0016108.exe

[DETECTION] Is the Trojan horse TR/Drop.Agent.JK

[iNFO] The file was deleted!

C:\WINDOWS\system32\cmdow.exe

[DETECTION] Contains detection pattern of the SPR/HideWindows.I program

[WARNING] The file was ignored!

Begin scan in 'D:\' <Alex2>

D:\System Volume Information\_restore{6569CB2C-4EE6-4C4C-95FB-8969B648E778}\RP49\A0020264.exe

[DETECTION] Contains detection pattern of the application APPL/Processor

[iNFO] The file was moved to '47c920d5.qua'!

 

 

End of the scan: vendredi 25 janvier 2008 00:35

Used time: 30:06 min

 

The scan has been done completely.

 

2879 Scanning directories

152124 Files were scanned

32 viruses and/or unwanted programs were found

0 Files were classified as suspicious:

29 files were deleted

0 files were repaired

2 files were moved to quarantine

0 files were renamed

1 Files cannot be scanned

152092 Files not concerned

2316 Archives were scanned

2 Warnings

2 Notes

[Thanos]

Antivir a bien bossé!

Tu trouveras le rapport ComboFix.txt dans le répertoire C:\.

Sinon dans le dossier C:\ComboFix.

 

Poste le stp

[FREEZESCREEN]

Antivir a bien bossé!

Tu trouveras le rapport ComboFix.txt dans le répertoire C:\.

Sinon dans le dossier C:\ComboFix.

 

Poste le stp

 

Salut,

Je n'ai trouvé que ca en combofix.txt

 

ComboFix 08-01-23.1B - Alienator 2008-01-25 13:29:44.2 - NTFSx86

Microsoft Windows XP Professionnel [GMT 1:00]

Endroit: C:\Documents and Settings\Alienator\Bureau\ComboFix.exe

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

 

A part ca je pense que je vais quand formater en fin de journée, beaucoup trop de chose on été modifié, je m'en rend compte au fur et a mesure. Et je le trouve long par rapport a d'habitude. merci

[FREEZESCREEN]

Antivir a bien bossé!

Tu trouveras le rapport ComboFix.txt dans le répertoire C:\.

Sinon dans le dossier C:\ComboFix.

 

Poste le stp

 

Bonsoir,

plus de trace d'infection, enfin je pense. Mais mon pc rame beaucoup, que ca soit sur internet ou sur les disque dur. Impossible de cliquer sur des liens, quel qu'il soit et ou il soit... Voila... je pensais formater aujourd'hui mais j'ai quand meme voulu bidouiller pour trouver des solutions mais rien n'y fait. Alors ca va etre pour ce weekend.

merci encore

[Thanos]

salut

 

Ok si tu comptes formater, n'oublie pas d'installer en priorité les programmes de sécurité!

Pour rappel >

 

Voila quelques liens pour des pare-feux gratuits (celui intégré à Windows n'est pas efficace) >

 

Zone Alarm (2 versions )

Lien de téléchargement de la version FREE : http://dl2.zonelabs.com/bin/free/3301_fr/z..._737_000_fr.exe

Lien de téléchargement de la version PRO : http://www.zonelabs.com/store/content/cata...lid=dbtopnav_za

La version pro est payante après une période d'essai.

Tuto de Tesgaz pour la version pro : http://speedweb1.free.fr/frames2.php?page=tuto1

Tuto de Odsen pour la version free : http://benoit.aun.free.fr/securite-facile-php/zonealarm.php

 

Kerio

Lien de téléchargement : http://www.sunbelt-software.com/evaluation/440/kerio.exe

Tuto de Malekal_morte : http://www.malekal.com/kerio_firewall.html

 

Jetico

Lien de téléchargement éditeur : http://www.jetico.com/

Lien de téléchargement sur Zebulon (en fr) : http://telechargement.zebulon.fr/license-1-225.html

Tuto de Odsen (lien site) : http://benoit.aun.free.fr/securite-facile-php/jetico.php

Tuto de Odsen (lien zeb) : http://forum.zebulon.fr/index.php?showtopic=93489

 

Outpost firewall free

Lien de téléchargement éditeur : http://www.agnitum.com/products/outpostfree/download.php

Tuto de Odsen (lien site) : http://securite-facile.ovh.org/outpost.php

 

La liste n'est pas exhaustive, il en existe d'autres gratuits, et d'autres avec plus de fonctions payants. Télécharge l'exécutable d'installation du pare-feu que tu auras choisi. Déconnecte toi, débranche physiquement ta connexion, et lance l'installation de ton pare-feu. Puis reconnecte toi et suis les instructions supplémentaires s'il y en a. Aide toi des tutos.

 

Je te conseille Zone Alarme en version gratuite pour commencer, tu pourras en changer par la suite pour un pare-feu plus élaboré quand tu auras le temps de t'y plonger. Un pare-feu bien configuré, est garant de la sécurité du pc et de ta tranquilité .

 

 

N'oublie pas de configurer Antivir en suivant les indications du Tutoriel de tesgaz

 

Si tu comptes continuer la désinfection, dis le moi