Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[resolu]ipexewin.exe PC contaminé


jaja33
 Share

Messages recommandés

Bonjour,

 

Je suis tout nouveau et j'ai un grand besoin d'aide. Je sais que je poste pas au bon endroit, mais malheureusement, quand j'essaye d'aller dans la bonne partie, je suis illico éjecté d'internet!!

Depuis ce matin, j'ai ce virus et 2 autres qui sont apparus sur mon PC. J'ai bien essayé des antivirus, mais rien n'y a fait et à chaque fois que je relance mon ordi, je me retrouve avec un fond d'écran horrible et windows qui émet des grands messages d'alerte.

 

Je me débrouille un peu en informatique, mais sur ce coup là, j'ai vraiment besoin d'un coup de main (ne déplacez pas le sujet svp, sinon je ne pourrai pas le consulter!)

Si quelqu'un peut me guider dans la procédure à suivre, ce serait très gentil!!

 

J'ai Windows XP................

Et nous somme 5 à utiliser l'ordi, donc niveau logiciels, je ne peux pas vous dire grand chose, si ce n'est que moi j'utilise AUTOCAD. Il y a aussi le pack office......le reste je ne sais pas!

 

J'attends vos conseils. Merci :P

Lien vers le commentaire
Partager sur d’autres sites

Peux tu faire ça:

 

1• Télécharge SmitfraudFix de S!Ri

 

process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky...) comme étant un RiskTool.

Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.

 

http://siri.urz.free.fr/Fix/SmitfraudFix.exe

 

, exécute le un dossier de meme nom est crée sur ton bureau

Dans le menu, sélectionne 1

un rapport apparaitra , le contenu tu colleras ici

 

2• creer un nouveau dossier en c:\ nommé HJT

telecharger HijackThis.exe dans ce nouveau dossier crée::

http://www.trendsecure.com/portal/en-US/_d.../HiJackThis.exe

 

lDouble-clique dessus . Accepte la licence qui va apparaître par "I agree" .

 

Puis clique sur "Do a system scan and save a logfile"

 

fais un copier-coller du rapport

Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport

Colle le rapport que tu viens de copier sur ce forum

Ferme HijackThis

 

 

===je ne deplace pas ton sujet===

Lien vers le commentaire
Partager sur d’autres sites

Peux tu faire ça:

 

1• Télécharge SmitfraudFix de S!Ri

 

process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky...) comme étant un RiskTool.

Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.

 

http://siri.urz.free.fr/Fix/SmitfraudFix.exe

 

, exécute le un dossier de meme nom est crée sur ton bureau

Dans le menu, sélectionne 1

un rapport apparaitra , le contenu tu colleras ici

 

2• creer un nouveau dossier en c:\ nommé HJT

telecharger HijackThis.exe dans ce nouveau dossier crée::

http://www.trendsecure.com/portal/en-US/_d.../HiJackThis.exe

 

lDouble-clique dessus . Accepte la licence qui va apparaître par "I agree" .

 

Puis clique sur "Do a system scan and save a logfile"

 

fais un copier-coller du rapport

Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport

Colle le rapport que tu viens de copier sur ce forum

Ferme HijackThis

 

 

===je ne deplace pas ton sujet===

Le 1, j'ai pu faire.......avec des messages d'erreur

"la modification du registre a été désactivée par votre administrateur" 6 fois

"driver disk.sys is out of memory" 1 fois

 

Mais j'ai le fichier texte!!

 

Pour le 2, pas moyen d'accéder au logiciel...........le navigateur se ferme à chaque fois!!

As-tu la possibilité de me l'envoyer par mel (s'il n'est pas trop lourd!!)?

Lien vers le commentaire
Partager sur d’autres sites

Voilà la copie du fichier texte créé :

 

SmitFraudFix v2.381

 

Rapport fait à 17:12:13.84, 06/12/2008

Executé à partir de E:\MP3\LOGICIELS\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» Process

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Visagesoft\eXPert PDF\vspdfprsrv.exe

C:\Program Files\GigaByte\VGA Utility Manager\G-VGA.exe

C:\Program Files\QuickTime\qttask.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\Windows Live\Contrôle parental\fssui.exe

C:\windows\system32\maayo.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\ADOBE\Acrobat 6.0\Distillr\acrotray.exe

C:\Program Files\Microsoft Office\Office\OSA.EXE

C:\Program Files\Sony Ericsson\Mobile\audevicemgr.exe

C:\Program Files\WinZip\WZQKPICK.EXE

C:\PROGRA~1\SONYER~1\Mobile\CONNEC~1\CONNMN~1.EXE

c:\Program Files\Intuwave Ltd\Shared\mRouterRunTime\mRouterRuntime.exe

C:\PROGRA~1\SONYER~1\Mobile\MOBILE~1\EPMWOR~1.EXE

C:\Program Files\Leica Geosystems\Cyclone\CyraLicense.exe

C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

C:\Program Files\Leica Geosystems\Cyclone\ptserv32.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Fighters\configservice.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Fighters\licenseservice.exe

C:\Program Files\Fighters\updateservice.exe

C:\Program Files\Fighters\ScannerService.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\explorer.exe

C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter3.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Microsoft Office\Office12\WINWORD.EXE

E:\MP3\LOGICIELS\SmitfraudFix\Policies.exe

E:\MP3\LOGICIELS\SmitfraudFix\Policies.exe

C:\WINDOWS\system32\cmd.exe

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\LAMBERT

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\LAMBERT\LOCALS~1\Temp

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\LAMBERT\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\LAMBERT\Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

o4Patch

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

IEDFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

VACFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

404Fix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"IPC Configuration Utility"="IPC Configuration Utility"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{020487CC-FC04-4B1E-863F-D9801796230B}"="Windows Installer Class"

 

[HKEY_CLASSES_ROOT\CLSID\{020487CC-FC04-4B1E-863F-D9801796230B}\InProcServer32]

@="C:\DOCUME~1\LAMBERT\LOCALS~1\Temp\wndutl32.dll"

 

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{020487CC-FC04-4B1E-863F-D9801796230B}\InProcServer32]

@="C:\DOCUME~1\LAMBERT\LOCALS~1\Temp\wndutl32.dll"

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"="C:\\WINDOWS\\system32:imwbi.exe"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» RK

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

Description: Broadcom NetLink Gigabit Ethernet - Miniport d'ordonnancement de paquets

DNS Server Search Order: 192.168.1.1

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{7F225EDC-B37D-4444-B469-8DC92663BAD7}: NameServer=192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\..\{7F225EDC-B37D-4444-B469-8DC92663BAD7}: NameServer=192.168.1.1

HKLM\SYSTEM\CS2\Services\Tcpip\..\{7F225EDC-B37D-4444-B469-8DC92663BAD7}: NameServer=192.168.1.1

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

Lien vers le commentaire
Partager sur d’autres sites

Attends, je vais peut être y arriver............il faut être hyper rapide!!

Je suis arrivé jusqu'à la page aux menus, mais ensuite j'ai pas été assez vite........

Je retente!!

Lien vers le commentaire
Partager sur d’autres sites

ok je vois.y'a un ADS et de la cochonnerie -_-

 

• telecharge ça sur ton bureau et double clic dessus:

 

http://www.sendspace.com/file/biauvz

 

• relance SmitFraudFix.cmd dans le dossier crée precedemment et choisi l'option2, poste le rapport des que c'est fait puis:

 

• Télécharge combofix.exe (par sUBs) , renomme le dans la fenetre de telechargement par FixCF et sauvegarde le sur ton bureau , pas ailleurs

 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

http://www.forospyware.com/sUBs/ComboFix.exe

http://subs.geekstogo.com/ComboFix.exe

 

* Double-clique combofix.exe, accepte le CluF qui s'affiche,n'ai pas peur du Beep!, afin de l'exécuter et suis les instructions.tu n'es pas obligé d'installer la console de recuperation quand c'est demandé(à ton choix!)

* Lorsque l'analyse sera complétée, un rapport apparaîtra que tu me posteras.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

 

=== je vais faire 2/3 courses , je te lis vers 18h30\o_===

Lien vers le commentaire
Partager sur d’autres sites

ok je vois.y'a un ADS et de la cochonnerie -_-

 

• telecharge ça sur ton bureau et double clic dessus:

 

http://www.sendspace.com/file/biauvz

 

• relance SmitFraudFix.cmd dans le dossier crée precedemment et choisi l'option2, poste le rapport des que c'est fait puis:

 

• Télécharge combofix.exe (par sUBs) , renomme le dans la fenetre de telechargement par FixCF et sauvegarde le sur ton bureau , pas ailleurs

 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

http://www.forospyware.com/sUBs/ComboFix.exe

http://subs.geekstogo.com/ComboFix.exe

 

* Double-clique combofix.exe, accepte le CluF qui s'affiche,n'ai pas peur du Beep!, afin de l'exécuter et suis les instructions.tu n'es pas obligé d'installer la console de recuperation quand c'est demandé(à ton choix!)

* Lorsque l'analyse sera complétée, un rapport apparaîtra que tu me posteras.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

 

=== je vais faire 2/3 courses , je te lis vers 18h30\o_===

 

 

SmitFraudFix.cmd ne fonctionne pas....dès que j'opte pour le 2, il affiche ARRET DES PROCESSUS...... puis plus rien ne se passe.

Je n'ai plus d'icones sur mon écran d'affichage, juste la fenêtre du programme......

 

Je vais essayer de télécharger combofix.exe et de faire un rapport

Lien vers le commentaire
Partager sur d’autres sites

Voilà le rapport de Combofix

 

ComboFix 08-12-05.06 - LAMBERT 2008-12-06 17:59:56.1 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.358 [GMT 1:00]

Lancé depuis: e:\mp3\LOGICIELS\ComboFix.exe

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat

c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat

c:\documents and settings\LAMBERT\Application Data\~tmp.html

c:\documents and settings\LAMBERT\Application Data\MessengerSkinner

c:\documents and settings\LAMBERT\Application Data\MessengerSkinner\Userdata\defaultPack.cab

c:\documents and settings\LAMBERT\Application Data\MessengerSkinner\Userdata\Install_MessengerSkinner.zip

c:\documents and settings\LAMBERT\Application Data\MessengerSkinner\Userdata\languages.xml

c:\documents and settings\LAMBERT\Application Data\MessengerSkinner\Userdata\languages_v2.xml

c:\documents and settings\LAMBERT\Application Data\MessengerSkinner\Userdata\pack1.cab

c:\documents and settings\LAMBERT\Local Settings\Temporary Internet Files\news.html

c:\documents and settings\LAMBERT\Local Settings\Temporary Internet Files\sc

c:\documents and settings\LAMBERT\Local Settings\Temporary Internet Files\sc\console.html

c:\documents and settings\LAMBERT\Local Settings\Temporary Internet Files\sc\console.htmlconsole.html

c:\documents and settings\LAMBERT\Local Settings\Temporary Internet Files\sc\script0.html

c:\documents and settings\LAMBERT\Local Settings\Temporary Internet Files\sc\script1.html

c:\documents and settings\LAMBERT\Local Settings\Temporary Internet Files\temp1.htm

C:\u.exe

c:\windows\10.tmp

c:\windows\12.tmp

c:\windows\6.tmp

c:\windows\7.tmp

c:\windows\8.tmp

c:\windows\9.tmp

c:\windows\9129837.exe

c:\windows\A.tmp

c:\windows\B.tmp

c:\windows\C.tmp

c:\windows\D.tmp

c:\windows\E.tmp

c:\windows\F.tmp

c:\windows\new_drv.sys

c:\windows\pack.epk

c:\windows\system32\maayo.dat

c:\windows\system32\maayo.exe

c:\windows\system32\maayo_nav.dat

c:\windows\system32\maayo_navps.dat

c:\windows\system32\maayo_navup.dat

c:\windows\system32\nvs2.inf

 

----- BITS: Il y a peut-être des sites infectés -----

 

hxxp://72.232.8.204

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_NEW_DRV

-------\Service_new_drv

 

 

((((((((((((((((((((((((((((( Fichiers créés du 2008-11-06 au 2008-12-06 ))))))))))))))))))))))))))))))))))))

.

 

2008-12-06 17:16 . 2008-12-06 17:30 <REP> d-------- C:\HJT

2008-12-06 17:09 . 2008-12-06 17:12 2,510 --a------ c:\windows\system32\tmp.reg

2008-12-06 17:08 . 2007-09-05 23:22 289,144 --a------ c:\windows\system32\VCCLSID.exe

2008-12-06 17:08 . 2006-04-27 16:49 288,417 --a------ c:\windows\system32\SrchSTS.exe

2008-12-06 17:08 . 2008-10-01 14:51 87,552 --a------ c:\windows\system32\VACFix.exe

2008-12-06 17:08 . 2008-11-29 17:58 82,944 --a------ c:\windows\system32\o4Patch.exe

2008-12-06 17:08 . 2008-05-18 20:40 82,944 --a------ c:\windows\system32\IEDFix.exe

2008-12-06 17:08 . 2008-11-29 17:58 82,944 --a------ c:\windows\system32\IEDFix.C.exe

2008-12-06 17:08 . 2008-08-18 11:19 82,432 --a------ c:\windows\system32\404Fix.exe

2008-12-06 17:08 . 2003-06-05 20:13 53,248 --a------ c:\windows\system32\Process.exe

2008-12-06 17:08 . 2004-07-31 17:50 51,200 --a------ c:\windows\system32\dumphive.exe

2008-12-06 17:08 . 2007-10-03 23:36 25,600 --a------ c:\windows\system32\WS2Fix.exe

2008-12-06 15:49 . 2008-12-06 17:55 <REP> d-------- c:\program files\Enigma Software Group

2008-12-06 10:58 . 2008-12-06 10:59 <REP> d-------- c:\program files\Fighters

2008-12-06 10:58 . 2008-12-06 10:58 <REP> d-------- c:\documents and settings\All Users\Application Data\Fighters

2008-12-05 18:28 . 2008-12-05 18:28 <REP> d-------- c:\documents and settings\LAMBERT\Application Data\Windows Live Writer

2008-11-28 14:39 . 2008-12-06 11:05 54,156 --ah----- c:\windows\QTFont.qfn

2008-11-28 14:39 . 2008-11-28 14:39 1,409 --a------ c:\windows\QTFont.for

2008-11-18 11:01 . 2008-11-18 11:01 15,496 --a------ c:\windows\system32\drivers\vffilter.sys

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-12-06 17:11 23,524 ----a-w c:\windows\system32\drivers\GVTDrv.sys

2008-12-06 16:49 13,440 ----a-w c:\windows\GPCIDrv.sys

2008-11-22 16:44 --------- d-----w c:\program files\eMule

2006-06-15 12:40 278,528 ----a-w c:\program files\Fichiers communs\FDEUnInstaller.exe

2005-05-13 15:12 217,073 --sha-r c:\windows\meta4.exe

2005-10-24 09:13 66,560 --sha-r c:\windows\MOTA113.exe

2005-10-13 19:27 422,400 --sha-r c:\windows\x2.64.exe

2005-10-07 17:14 308,224 --sha-r c:\windows\system32\avisynth.dll

2005-07-14 10:31 27,648 --sha-r c:\windows\system32\AVSredirect.dll

2005-06-26 13:32 616,448 --sha-r c:\windows\system32\cygwin1.dll

2005-06-21 20:37 45,568 --sha-r c:\windows\system32\cygz.dll

2004-01-24 22:00 70,656 --sha-r c:\windows\system32\i420vfw.dll

2006-04-27 08:24 2,945,024 --sha-r c:\windows\system32\Smab.dll

2005-02-28 11:16 240,128 --sha-r c:\windows\system32\x.264.exe

2004-01-24 22:00 70,656 --sha-r c:\windows\system32\yv12vfw.dll

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9D4F8C23-5CB0-1D50-FEA7-C1C9905EF05F}]

2007-07-09 22:40 92831 --a------ c:\windows\xcsle1.dll

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MsnMsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-05 15360]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-06-15 6803456]

"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 132496]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"vspdfprsrv.exe"="c:\program files\Visagesoft\eXPert PDF\vspdfprsrv.exe" [2006-05-04 879616]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-06-15 86016]

"VGAUtil"="c:\program files\GigaByte\VGA Utility Manager\G-VGA.exe" [2005-08-16 544768]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2006-11-06 155648]

"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2007-01-15 108160]

"fssui"="c:\program files\Windows Live\Contrôle parental\fssui.exe" [2007-10-17 243240]

"spywarefighterguard"="c:\program files\Fighters\spywarefighter\SpywarefighterUser.exe" [2008-11-18 180872]

"nwiz"="nwiz.exe" [2005-06-15 c:\windows\system32\nwiz.exe]

"RTHDCPL"="RTHDCPL.EXE" [2005-09-22 c:\windows\RTHDCPL.EXE]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]

"124196222"="c:\windows\system32\timenset.exe" [2008-08-08 53248]

 

c:\documents and settings\LAMBERT\Menu Dmarrer\Programmes\Dmarrage\

EUROBARRE.lnk - c:\program files\Eurobarre\eb.exe [2006-10-31 103936]

 

c:\documents and settings\All Users\Menu Dmarrer\Programmes\Dmarrage\

Acclrateur de dmarrage AutoCAD.lnk - c:\program files\Fichiers communs\Autodesk Shared\acstart17.exe [2006-03-05 11000]

Acrobat Assistant.lnk - c:\program files\ADOBE\Acrobat 6.0\Distillr\acrotray.exe [2003-05-15 217193]

Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2006-05-17 110592]

Dmarrage d'Office.lnk - c:\program files\Microsoft Office\Office\OSA.EXE [1997-08-28 51984]

EPSON Status Monitor 3 Environment Check 2.lnk - c:\windows\system32\spool\drivers\w32x86\3\E_SRCV02.EXE [2006-05-12 135680]

Gestionnaire Microsoft Office.lnk - c:\program files\Microsoft Office\Office\MSOFFICE.EXE [1997-08-28 340480]

Lancement rapide d'Adobe Reader.lnk - c:\program files\ADOBE\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696]

Microsoft Recherche acclre.lnk - c:\program files\Microsoft Office\Office\FINDFAST.EXE [1997-08-28 111376]

Phone Connection Monitor.lnk - c:\program files\Sony Ericsson\Mobile\audevicemgr.exe [2006-07-01 813056]

WinZip Quick Pick.lnk - c:\program files\WinZip\WZQKPICK.EXE [2006-05-15 118784]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"vidc.I420"= i420vfw.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001

"UpdatesDisableNotify"=dword:00000001

"FirewallOverride"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"c:\\WINDOWS\\system32\\sessmgr.exe"=

"c:\\Program Files\\eMule\\eMule.exe"=

"c:\\Program Files\\Intuwave Ltd\\Shared\\mRouterRunTime\\mRouterRuntime.exe"=

"c:\\Program Files\\GIGABYTE\\VGA Utility Manager\\G-vga.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3389:TCP"= 3389:TCP:*:Disabled:@xpsp2res.dll,-22009

 

R0 iteraid;ITERAID_Service_Install;c:\windows\system32\DRIVERS\iteraid.sys [2006-05-11 25067]

R2 CycloneLicenseServer;Cyclone License Server;"c:\program files\Leica Geosystems\Cyclone\CyraLicense.exe" "c:\program files\Leica Geosystems\Cyclone\" [2006-05-15 643072]

R2 fssfltr;FssFltr;c:\windows\system32\DRIVERS\fssfltr.sys [2008-01-27 43816]

R2 fsssvc;Windows Live OneCare Contrôle parental;"c:\program files\Windows Live\Contrôle parental\fsssvc.exe" [2007-10-17 523816]

R2 Leica HDS Server;Leica HDS Server;"c:\program files\Leica Geosystems\Cyclone\ptserv32.exe" -config "c:\program files\Leica Geosystems\Cyclone\ptserver.cfg" [2006-05-15 577655]

R2 PTK License-FIGHTERS-297811811;PTK License-FIGHTERS-297811811;c:\program files\Fighters\licenseservice.exe [2008-11-18 283272]

R2 PTK Live Update-FIGHTERS-297811811;PTK Live Update-FIGHTERS-297811811;c:\program files\Fighters\updateservice.exe [2008-11-18 307848]

R2 PTK Scanner-FIGHTERS-297811811;PTK Scanner-FIGHTERS-297811811;c:\program files\Fighters\ScannerService.exe [2008-11-18 311944]

R2 PTK SharedAccess-FIGHTERS-297811811;PTK SharedAccess-FIGHTERS-297811811;c:\program files\Fighters\configservice.exe [2008-11-18 139912]

R3 GPCIDrv;GPCIDrv;\??\c:\windows\GPCIDrv.sys [2007-12-01 13440]

R3 GVTDrv;GVTDrv;\??\c:\windows\system32\Drivers\GVTDrv.sys [2007-12-01 23524]

R3 Vfscan;Vfscan;c:\windows\system32\DRIVERS\vffilter.sys [2008-11-18 15496]

S2 WinEcd;WinEcd;"c:\program files\Fichiers communs\Microsoft Shared\hpD.exe" [2008-12-06 181760]

S3 FTLUND;Lundinova Filter Driver;c:\windows\system32\drivers\ftlund.sys [2006-07-03 6828]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]

\Shell\AutoRun\command - F:\laucher.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{40be8cc0-a2b4-11dd-90dc-001485ec525e}]

\Shell\AutoRun\command - F:\laucher.exe

.

Contenu du dossier 'Tâches planifiées'

 

2008-01-27 c:\windows\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job

- c:\program files\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 11:20]

.

- - - - ORPHELINS SUPPRIMES - - - -

 

HKCU-Run-Emule Speed Booster - c:\program files\Emule Speed Booster\Emule Speed Booster.exe

HKLM-Run-maayo - c:\windows\system32\maayo.exe

HKLM-Run-bikini - bikini.exe

HKLM-RunOnce-*nqtr - c:\windows\system32:imwbi.exe

SharedTaskScheduler-IPC Configuration Utility - (no file)

 

 

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-12-06 18:11:07

Windows 5.1.2600 Service Pack 2 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

 

c:\windows\system32:gcaa.dll 9728 bytes executable

c:\windows\system32:imwbi.exe 130759 bytes executable

c:\docume~1\LAMBERT\LOCALS~1\Temp\catchme.dll 53248 bytes executable

 

Scan terminé avec succès

Fichiers cachés: 3

 

**************************************************************************

 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\WinEcd]

"ImagePath"="\"c:\program files\Fichiers communs\Microsoft Shared\hpD.exe\""

.

------------------------ Autres processus actifs ------------------------

.

c:\program files\Alwil Software\Avast4\aswUpdSv.exe

c:\progra~1\SONYER~1\Mobile\CONNEC~1\CONNMN~1.EXE

c:\program files\Leica Geosystems\Cyclone\CyraLicense.exe

c:\program files\Intuwave Ltd\Shared\mRouterRunTime\mRouterRuntime.exe

c:\program files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

c:\program files\Leica Geosystems\Cyclone\ptserv32.exe

c:\windows\system32\nvsvc32.exe

c:\progra~1\SONYER~1\Mobile\MOBILE~1\EPMWOR~1.EXE

c:\windows\system32\wdfmgr.exe

c:\program files\Fighters\Spywarefighter\SpywarefighterTray.exe

.

**************************************************************************

.

Heure de fin: 2008-12-06 18:14:37 - La machine a redémarré

ComboFix-quarantined-files.txt 2008-12-06 17:14:33

 

Avant-CF: 4 910 313 472 octets libres

Après-CF: 10,927,886,336 octets libres

 

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

 

219

Lien vers le commentaire
Partager sur d’autres sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

 Share

  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×
×
  • Créer...