Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Infecté par userinit [RESOLU]

papyreunion
 Partager

Messages recommandés

papyreunion Extrem Member

papyreunion

Posté(e)
  • Auteur
Posté(e)
Bonjour,

Je crois que c'est fichu.

La méthode était DrWeb puis Combofix.

Chaque manipulation aggrave l'infection.

Il faut tout reformater et réinstaller Windows.

 

la bête n'est pas morte. j'ai fait ctrl + supp démarrage msconfig puis application nouvelle tache parcourir j'ai pu ainsi ouvrir mozilla, puis une fois parcourir ouvrir le poste de travail et me connecter à ma clef usb et relancer de nouveau combofix avec cette fois la console de récupération. Combofix n'a rien trouvé. Et les icônes de nouveau sur le bureau.

 

ci-dessous le 1er rapport :

ComboFix 09-03-14.01 - Administrateur 2009-03-16 10:19:30.1 - NTFSx86 MINIMAL

Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1470.1211 [GMT 1:00]

Lancé depuis: G:\gg.exe

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\system32\303369.exe

c:\windows\system32\drivers\seneka.sys

c:\windows\system32\drivers\senekaxubapbyj.sys

c:\windows\system32\init32.exe

c:\windows\system32\senekaaxxyymww.dll

c:\windows\system32\senekaespibmiq.dll

c:\windows\system32\senekaftiloewc.dat

c:\windows\system32\senekalog.dat

c:\windows\system32\senekamejwmycp.dat

c:\windows\system32\senekaqbrfucdr.dll

c:\windows\system32\uniq.tll

c:\windows\system32\urlmsnlink.dat

c:\windows\system32\win32hlp.cnf

 

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Service_SENEKA

 

 

((((((((((((((((((((((((((((( Fichiers créés du 2009-02-16 au 2009-03-16 ))))))))))))))))))))))))))))))))))))

.

 

2009-03-14 19:44 . 2009-03-14 19:44 <REP> d----c--- c:\documents and settings\Administrateur\DoctorWeb

2009-03-13 17:28 . 2009-03-13 17:27 104,960 --a--c--- c:\windows\system32\dllcache\userinit.exe

2009-03-13 15:44 . 2009-03-13 16:01 275 --a--c--- C:\dkn.exe

2009-03-13 15:24 . 2009-03-11 10:52 48,690 -r-hs---- c:\windows\fxsteller.exe

2009-03-12 14:01 . 2009-03-12 14:01 <REP> d-------- c:\documents and settings\All Users\Application Data\HP Product Assistant

2009-03-06 18:03 . 2009-03-06 18:03 <REP> d-a------ c:\documents and settings\All Users\Application Data\TEMP

2009-03-02 18:25 . 2009-03-02 18:25 <REP> d-------- c:\program files\IObit

2009-03-02 18:25 . 2009-03-02 18:25 <REP> d-------- c:\documents and settings\Administrateur\Application Data\IObit

2009-03-02 17:58 . 2009-03-02 17:58 <REP> d-------- c:\program files\Unlocker

2009-02-26 17:28 . 2009-01-09 20:18 1,089,891 -----c--- c:\windows\system32\dllcache\ntprint.cat

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-03-13 21:28 --------- d-----w c:\program files\Mozilla Thunderbird

2009-03-13 16:27 104,960 ----a-w c:\windows\system32\userinit.exe

2009-03-12 13:02 --------- d-----w c:\program files\HP

2009-03-12 13:02 --------- d-----w c:\program files\Hewlett-Packard

2009-03-11 12:18 --------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help

2009-03-06 17:03 --------- d-----w c:\program files\SpywareBlaster

2009-03-02 12:38 --------- d--h--w c:\program files\InstallShield Installation Information

2009-03-02 12:38 --------- d-----w c:\program files\jv16 PowerTools

2009-03-02 12:38 --------- d-----w c:\program files\eMule

2009-03-02 12:29 --------- d-----w c:\program files\Glary Utilities

2009-02-13 10:24 --------- d-----w c:\documents and settings\Administrateur\Application Data\Thunderbird

2009-02-13 09:31 --------- d-----w c:\program files\VS Revo Group

2009-02-12 17:23 --------- d-----w c:\program files\Malwarebytes' Anti-Malware

2009-02-11 22:45 --------- d-----w c:\program files\Google

2009-02-11 17:10 --------- d-----w c:\documents and settings\All Users\Application Data\IncrediMail

2009-02-11 13:44 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2009-02-11 09:19 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys

2009-02-11 09:19 15,504 ----a-w c:\windows\system32\drivers\mbam.sys

2009-02-09 14:17 1,846,400 ----a-w c:\windows\system32\win32k.sys

2009-01-30 14:12 --------- d-----w c:\documents and settings\Administrateur\Application Data\U3

2009-01-25 13:01 --------- d-----w c:\documents and settings\Administrateur\Application Data\Apple Computer

2009-01-17 10:33 --------- d-----w c:\program files\iTunes

2009-01-17 10:33 --------- d-----w c:\program files\iPod

2009-01-17 10:33 --------- d-----w c:\documents and settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}

2009-01-17 10:32 --------- d-----w c:\program files\Fichiers communs\Apple

2009-01-05 22:33 3,751,995 ----a-w c:\windows\system32\GPhotos.scr

2008-12-20 22:47 826,368 ----a-w c:\windows\system32\wininet.dll

2008-01-17 15:06 92,064 -c--a-w c:\documents and settings\Administrateur\mqdmmdm.sys

2008-01-17 15:06 9,232 -c--a-w c:\documents and settings\Administrateur\mqdmmdfl.sys

2008-01-17 15:06 79,328 -c--a-w c:\documents and settings\Administrateur\mqdmserd.sys

2008-01-17 15:06 66,656 -c--a-w c:\documents and settings\Administrateur\mqdmbus.sys

2008-01-17 15:06 6,208 -c--a-w c:\documents and settings\Administrateur\mqdmcmnt.sys

2008-01-17 15:06 5,936 -c--a-w c:\documents and settings\Administrateur\mqdmwhnt.sys

2008-01-17 15:06 4,048 -c--a-w c:\documents and settings\Administrateur\mqdmcr.sys

2008-01-17 15:06 25,600 -c--a-w c:\documents and settings\Administrateur\usbsermptxp.sys

2008-01-17 15:06 22,768 -c--a-w c:\documents and settings\Administrateur\usbsermpt.sys

2007-12-23 16:33 21,224 -c--a-w c:\documents and settings\Administrateur\Application Data\GDIPFONTCACHEV1.DAT

2006-01-21 17:38 278,528 ----a-w c:\program files\Fichiers communs\FDEUnInstaller.exe

2005-09-06 15:17 284 -c--a-w c:\documents and settings\Administrateur\Application Data\ViewerApp.dat

2004-09-04 22:29 56 -csh--r c:\windows\system32\30913FF332.sys

.

 

------- Sigcheck -------

 

2004-08-20 00:10 25088 84717891f0734c611721f56c60b5fbc3 c:\windows\ServicePackFiles\i386\userinit.exe

2008-04-14 03:34 26624 e74ddb12188c2ff57a78624dbf7332fc c:\windows\SoftwareDistribution\Download\23ec66f2314a80d718b5483ab6e865af\userinit.exe

2009-03-13 17:27 104960 82505e851a5d47b5a99ff580ae6bb3e6 c:\windows\system32\userinit.exe

2009-03-13 17:27 104960 82505e851a5d47b5a99ff580ae6bb3e6 c:\windows\system32\dllcache\userinit.exe

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MSConfig"="c:\windows\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2004-08-20 160768]

 

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]

"NoSetActiveDesktop"= 1 (0x1)

"NoActiveDesktopChanges"= 1 (0x1)

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"msacm.ac3acm"= c:\progra~1\K-LITE~1\codecs\ac3acm.acm

"VIDC.3iv2"= c:\progra~1\K-LITE~1\codecs\3IVXVF~1.DLL

"VIDC.VP60"= c:\progra~1\K-LITE~1\codecs\vp6vfw.dll

"VIDC.VP61"= c:\progra~1\K-LITE~1\codecs\vp6vfw.dll

"VIDC.VP62"= c:\progra~1\K-LITE~1\codecs\vp6vfw.dll

"VIDC.VP70"= c:\progra~1\K-LITE~1\codecs\vp7vfw.dll

"VIDC.VP31"= c:\progra~1\K-LITE~1\codecs\vp31vfw.dll

"VIDC.FFDS"= c:\progra~1\K-LITE~1\ffdshow\ff_vfw.dll

"msacm.l3fhg"= c:\progra~1\K-LITE~1\codecs\l3codecp.acm

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]

--a------ 2007-05-08 16:24 54840 c:\program files\HP\HP Software Update\hpwuSchd2.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LDM]

--a------ 2007-03-09 13:41 67128 c:\program files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\McAfeeUpdaterUI]

--a------ 2003-09-10 03:11 135251 c:\program files\Network Associates\Common Framework\UpdaterUI.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]

--a------ 2007-07-17 21:07 68856 c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

"LogitechSoftwareUpdate"="c:\program files\Logitech\Video\ManifestEngine.exe" boot

"ctfmon.exe"=c:\windows\system32\ctfmon.exe

"NBJ"="c:\program files\Ahead\Nero BackItUp\NBJ.exe"

"Google Update"="c:\documents and settings\Administrateur\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"C-Media Mixer"=c:\program files\PCI Audio Applications\Mixer.exe /startup

"HP Software Update"=c:\program files\HP\HP Software Update\HPWuSchd2.exe

"LogitechVideoTray"=c:\program files\Logitech\Video\LogiTray.exe

"LVCOMSX"=c:\windows\system32\LVCOMSX.EXE

"SoundMan"=SOUNDMAN.EXE

"NeroFilterCheck"=c:\windows\system32\NeroCheck.exe

"InCD"=c:\program files\Ahead\InCD\InCD.exe

"VTTimer"=VTTimer.exe

"VTTrayp"=VTtrayp.exe

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe"

"QuickTime Task"="c:\program files\K-Lite Codec Pack\QuickTime\qttask.exe" -atboottime

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe"

"{0228e555-4f9c-4e35-a3ec-b109a192b4c2}"=c:\program files\Google\Gmail Notifier\gnotify.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-disabled]

"QuickTime Task"="c:\program files\K-Lite Codec Pack\QuickTime\qttask.exe" -atboottime

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"c:\\Program Files\\HP\\HP Software Update\\HPWUCli.exe"=

"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=

"c:\\Program Files\\MSN Messenger\\livecall.exe"=

"c:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\Network Associates\\Common Framework\\FrameworkService.exe"=

"c:\\WINDOWS\\system32\\dpvsetup.exe"=

"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\Program Files\\eMule\\emule.exe"=

"c:\\Program Files\\AlerteGPS\\G300\\G300-V1.exe"=

"c:\\Documents and Settings\\Administrateur\\Local Settings\\Application Data\\Google\\Google Talk Plugin\\googletalkplugin.dll"=

"c:\\Documents and Settings\\Administrateur\\Local Settings\\Application Data\\Google\\Google Talk Plugin\\googletalkplugin.exe"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

 

S1 BIOS;BIOS;c:\windows\system32\drivers\BIOS.sys [2006-09-20 13696]

S2 Fswsclds;F-Secure Windows Security Center Legacy Detection Service;c:\program files\Securitoo\av_fw\fswsclds.exe [2004-08-31 45056]

S3 alcan5ln;Alcatel SpeedTouch USB ADSL RFC1483 Networking Driver (NDIS);c:\windows\system32\drivers\alcan5ln.sys [2004-02-24 35600]

S3 iteio;iteio; [x]

S3 SIS163u;SiS163 usb Wireless LAN Adapter Driver;c:\windows\system32\DRIVERS\sis163u.sys --> c:\windows\system32\DRIVERS\sis163u.sys [?]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{38123940-405a-11dd-9ba0-000b6b6c98c5}]

\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL doufib.exe

\Shell\explore\command - doufib.exe

\Shell\find\command - doufib.exe

\Shell\open\command - doufib.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4ce56458-54c9-11dd-9bf3-000b6b6c98c5}]

\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL doufib.exe

\Shell\explore\command - doufib.exe

\Shell\find\command - doufib.exe

\Shell\open\command - doufib.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9650b3f3-53fb-11dd-9bf2-000b6b6c98c5}]

\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL doufib.exe

\Shell\explore\command - doufib.exe

\Shell\find\command - doufib.exe

\Shell\open\command - doufib.exe

.

Contenu du dossier 'Tâches planifiées'

 

2008-12-27 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]

 

2009-03-16 c:\windows\Tasks\GlaryInitialize.job

- c:\program files\Glary Utilities\initialize.exe [2009-02-12 17:10]

 

2009-03-14 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1844237615-1682526488-854245398-500.job

- c:\documents and settings\Administrateur\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2008-11-12 22:06]

 

2009-03-13 c:\windows\Tasks\HPpromotions journeysoftware.job

- c:\program files\hp\digital imaging\bin\hp promotions\journeysoftware\HPpromo.exe [2005-04-22 17:36]

 

2009-03-02 c:\windows\Tasks\SmartDefrag.job

- c:\program files\IObit\IObit SmartDefrag\IObit SmartDefrag.exe [2009-02-13 18:15]

 

2009-03-02 c:\windows\Tasks\SmartDefrag.job

- c:\program files\IObit\IObit SmartDefrag\ [2009-03-02 18:25]

.

- - - - ORPHELINS SUPPRIMES - - - -

 

Notify-WgaLogon - (no file)

 

 

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.orange.fr/

uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8

uDefault_Search_URL = hxxp://www.google.com/ie

uInternet Settings,ProxyOverride = localhost;*.local

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200

IE: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - c:\program files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll

DPF: DirectAnimation Java Classes

DPF: Microsoft XML Parser for Java

FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\la3q48pj.default\

FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=

FF - prefs.js: browser.search.selectedEngine - Google

FF - prefs.js: browser.startup.homepage - hxxp://orange.fr

FF - prefs.js: keyword.URL - hxxp://mystart.incredimail.com/?loc=ff_address_bar&search=

FF - plugin: c:\documents and settings\Administrateur\Application Data\Mozilla\plugins\npgoogletalk.dll

FF - plugin: c:\documents and settings\Administrateur\Local Settings\Application Data\Google\Update\1.2.141.5\npGoogleOneClick7.dll

FF - plugin: c:\program files\Google\Picasa3\npPicasa2.dll

FF - plugin: c:\program files\Google\Picasa3\npPicasa3.dll

FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll

FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npqtplugin8.dll

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-03-16 10:23:19

Windows 5.1.2600 Service Pack 2 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

 

c:\docume~1\ADMINI~1\LOCALS~1\Temp\Perflib_Perfdata_59c.dat 16384 bytes

 

Scan terminé avec succès

Fichiers cachés: 1

 

**************************************************************************

.

Heure de fin: 2009-03-16 10:27:48

ComboFix-quarantined-files.txt 2009-03-16 09:27:12

 

Avant-CF: 21,650,026,496 octets libres

Après-CF: 21,705,375,744 octets libres

 

234 --- E O F --- 2009-03-11 12:19:40

 

Ci-dessous 2ème Rapport :

 

ComboFix 09-03-14.01 - Administrateur 2009-03-16 10:19:30.1 - NTFSx86 MINIMAL

Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1470.1211 [GMT 1:00]

Lancé depuis: G:\gg.exe

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\system32\303369.exe

c:\windows\system32\drivers\seneka.sys

c:\windows\system32\drivers\senekaxubapbyj.sys

c:\windows\system32\init32.exe

c:\windows\system32\senekaaxxyymww.dll

c:\windows\system32\senekaespibmiq.dll

c:\windows\system32\senekaftiloewc.dat

c:\windows\system32\senekalog.dat

c:\windows\system32\senekamejwmycp.dat

c:\windows\system32\senekaqbrfucdr.dll

c:\windows\system32\uniq.tll

c:\windows\system32\urlmsnlink.dat

c:\windows\system32\win32hlp.cnf

 

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Service_SENEKA

 

 

((((((((((((((((((((((((((((( Fichiers créés du 2009-02-16 au 2009-03-16 ))))))))))))))))))))))))))))))))))))

.

 

2009-03-14 19:44 . 2009-03-14 19:44 <REP> d----c--- c:\documents and settings\Administrateur\DoctorWeb

2009-03-13 17:28 . 2009-03-13 17:27 104,960 --a--c--- c:\windows\system32\dllcache\userinit.exe

2009-03-13 15:44 . 2009-03-13 16:01 275 --a--c--- C:\dkn.exe

2009-03-13 15:24 . 2009-03-11 10:52 48,690 -r-hs---- c:\windows\fxsteller.exe

2009-03-12 14:01 . 2009-03-12 14:01 <REP> d-------- c:\documents and settings\All Users\Application Data\HP Product Assistant

2009-03-06 18:03 . 2009-03-06 18:03 <REP> d-a------ c:\documents and settings\All Users\Application Data\TEMP

2009-03-02 18:25 . 2009-03-02 18:25 <REP> d-------- c:\program files\IObit

2009-03-02 18:25 . 2009-03-02 18:25 <REP> d-------- c:\documents and settings\Administrateur\Application Data\IObit

2009-03-02 17:58 . 2009-03-02 17:58 <REP> d-------- c:\program files\Unlocker

2009-02-26 17:28 . 2009-01-09 20:18 1,089,891 -----c--- c:\windows\system32\dllcache\ntprint.cat

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-03-13 21:28 --------- d-----w c:\program files\Mozilla Thunderbird

2009-03-13 16:27 104,960 ----a-w c:\windows\system32\userinit.exe

2009-03-12 13:02 --------- d-----w c:\program files\HP

2009-03-12 13:02 --------- d-----w c:\program files\Hewlett-Packard

2009-03-11 12:18 --------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help

2009-03-06 17:03 --------- d-----w c:\program files\SpywareBlaster

2009-03-02 12:38 --------- d--h--w c:\program files\InstallShield Installation Information

2009-03-02 12:38 --------- d-----w c:\program files\jv16 PowerTools

2009-03-02 12:38 --------- d-----w c:\program files\eMule

2009-03-02 12:29 --------- d-----w c:\program files\Glary Utilities

2009-02-13 10:24 --------- d-----w c:\documents and settings\Administrateur\Application Data\Thunderbird

2009-02-13 09:31 --------- d-----w c:\program files\VS Revo Group

2009-02-12 17:23 --------- d-----w c:\program files\Malwarebytes' Anti-Malware

2009-02-11 22:45 --------- d-----w c:\program files\Google

2009-02-11 17:10 --------- d-----w c:\documents and settings\All Users\Application Data\IncrediMail

2009-02-11 13:44 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2009-02-11 09:19 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys

2009-02-11 09:19 15,504 ----a-w c:\windows\system32\drivers\mbam.sys

2009-02-09 14:17 1,846,400 ----a-w c:\windows\system32\win32k.sys

2009-01-30 14:12 --------- d-----w c:\documents and settings\Administrateur\Application Data\U3

2009-01-25 13:01 --------- d-----w c:\documents and settings\Administrateur\Application Data\Apple Computer

2009-01-17 10:33 --------- d-----w c:\program files\iTunes

2009-01-17 10:33 --------- d-----w c:\program files\iPod

2009-01-17 10:33 --------- d-----w c:\documents and settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}

2009-01-17 10:32 --------- d-----w c:\program files\Fichiers communs\Apple

2009-01-05 22:33 3,751,995 ----a-w c:\windows\system32\GPhotos.scr

2008-12-20 22:47 826,368 ----a-w c:\windows\system32\wininet.dll

2008-01-17 15:06 92,064 -c--a-w c:\documents and settings\Administrateur\mqdmmdm.sys

2008-01-17 15:06 9,232 -c--a-w c:\documents and settings\Administrateur\mqdmmdfl.sys

2008-01-17 15:06 79,328 -c--a-w c:\documents and settings\Administrateur\mqdmserd.sys

2008-01-17 15:06 66,656 -c--a-w c:\documents and settings\Administrateur\mqdmbus.sys

2008-01-17 15:06 6,208 -c--a-w c:\documents and settings\Administrateur\mqdmcmnt.sys

2008-01-17 15:06 5,936 -c--a-w c:\documents and settings\Administrateur\mqdmwhnt.sys

2008-01-17 15:06 4,048 -c--a-w c:\documents and settings\Administrateur\mqdmcr.sys

2008-01-17 15:06 25,600 -c--a-w c:\documents and settings\Administrateur\usbsermptxp.sys

2008-01-17 15:06 22,768 -c--a-w c:\documents and settings\Administrateur\usbsermpt.sys

2007-12-23 16:33 21,224 -c--a-w c:\documents and settings\Administrateur\Application Data\GDIPFONTCACHEV1.DAT

2006-01-21 17:38 278,528 ----a-w c:\program files\Fichiers communs\FDEUnInstaller.exe

2005-09-06 15:17 284 -c--a-w c:\documents and settings\Administrateur\Application Data\ViewerApp.dat

2004-09-04 22:29 56 -csh--r c:\windows\system32\30913FF332.sys

.

 

------- Sigcheck -------

 

2004-08-20 00:10 25088 84717891f0734c611721f56c60b5fbc3 c:\windows\ServicePackFiles\i386\userinit.exe

2008-04-14 03:34 26624 e74ddb12188c2ff57a78624dbf7332fc c:\windows\SoftwareDistribution\Download\23ec66f2314a80d718b5483ab6e865af\userinit.exe

2009-03-13 17:27 104960 82505e851a5d47b5a99ff580ae6bb3e6 c:\windows\system32\userinit.exe

2009-03-13 17:27 104960 82505e851a5d47b5a99ff580ae6bb3e6 c:\windows\system32\dllcache\userinit.exe

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MSConfig"="c:\windows\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2004-08-20 160768]

 

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]

"NoSetActiveDesktop"= 1 (0x1)

"NoActiveDesktopChanges"= 1 (0x1)

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"msacm.ac3acm"= c:\progra~1\K-LITE~1\codecs\ac3acm.acm

"VIDC.3iv2"= c:\progra~1\K-LITE~1\codecs\3IVXVF~1.DLL

"VIDC.VP60"= c:\progra~1\K-LITE~1\codecs\vp6vfw.dll

"VIDC.VP61"= c:\progra~1\K-LITE~1\codecs\vp6vfw.dll

"VIDC.VP62"= c:\progra~1\K-LITE~1\codecs\vp6vfw.dll

"VIDC.VP70"= c:\progra~1\K-LITE~1\codecs\vp7vfw.dll

"VIDC.VP31"= c:\progra~1\K-LITE~1\codecs\vp31vfw.dll

"VIDC.FFDS"= c:\progra~1\K-LITE~1\ffdshow\ff_vfw.dll

"msacm.l3fhg"= c:\progra~1\K-LITE~1\codecs\l3codecp.acm

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]

--a------ 2007-05-08 16:24 54840 c:\program files\HP\HP Software Update\hpwuSchd2.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LDM]

--a------ 2007-03-09 13:41 67128 c:\program files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\McAfeeUpdaterUI]

--a------ 2003-09-10 03:11 135251 c:\program files\Network Associates\Common Framework\UpdaterUI.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]

--a------ 2007-07-17 21:07 68856 c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

"LogitechSoftwareUpdate"="c:\program files\Logitech\Video\ManifestEngine.exe" boot

"ctfmon.exe"=c:\windows\system32\ctfmon.exe

"NBJ"="c:\program files\Ahead\Nero BackItUp\NBJ.exe"

"Google Update"="c:\documents and settings\Administrateur\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"C-Media Mixer"=c:\program files\PCI Audio Applications\Mixer.exe /startup

"HP Software Update"=c:\program files\HP\HP Software Update\HPWuSchd2.exe

"LogitechVideoTray"=c:\program files\Logitech\Video\LogiTray.exe

"LVCOMSX"=c:\windows\system32\LVCOMSX.EXE

"SoundMan"=SOUNDMAN.EXE

"NeroFilterCheck"=c:\windows\system32\NeroCheck.exe

"InCD"=c:\program files\Ahead\InCD\InCD.exe

"VTTimer"=VTTimer.exe

"VTTrayp"=VTtrayp.exe

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe"

"QuickTime Task"="c:\program files\K-Lite Codec Pack\QuickTime\qttask.exe" -atboottime

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe"

"{0228e555-4f9c-4e35-a3ec-b109a192b4c2}"=c:\program files\Google\Gmail Notifier\gnotify.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-disabled]

"QuickTime Task"="c:\program files\K-Lite Codec Pack\QuickTime\qttask.exe" -atboottime

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"c:\\Program Files\\HP\\HP Software Update\\HPWUCli.exe"=

"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=

"c:\\Program Files\\MSN Messenger\\livecall.exe"=

"c:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\Network Associates\\Common Framework\\FrameworkService.exe"=

"c:\\WINDOWS\\system32\\dpvsetup.exe"=

"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\Program Files\\eMule\\emule.exe"=

"c:\\Program Files\\AlerteGPS\\G300\\G300-V1.exe"=

"c:\\Documents and Settings\\Administrateur\\Local Settings\\Application Data\\Google\\Google Talk Plugin\\googletalkplugin.dll"=

"c:\\Documents and Settings\\Administrateur\\Local Settings\\Application Data\\Google\\Google Talk Plugin\\googletalkplugin.exe"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

 

S1 BIOS;BIOS;c:\windows\system32\drivers\BIOS.sys [2006-09-20 13696]

S2 Fswsclds;F-Secure Windows Security Center Legacy Detection Service;c:\program files\Securitoo\av_fw\fswsclds.exe [2004-08-31 45056]

S3 alcan5ln;Alcatel SpeedTouch USB ADSL RFC1483 Networking Driver (NDIS);c:\windows\system32\drivers\alcan5ln.sys [2004-02-24 35600]

S3 iteio;iteio; [x]

S3 SIS163u;SiS163 usb Wireless LAN Adapter Driver;c:\windows\system32\DRIVERS\sis163u.sys --> c:\windows\system32\DRIVERS\sis163u.sys [?]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{38123940-405a-11dd-9ba0-000b6b6c98c5}]

\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL doufib.exe

\Shell\explore\command - doufib.exe

\Shell\find\command - doufib.exe

\Shell\open\command - doufib.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4ce56458-54c9-11dd-9bf3-000b6b6c98c5}]

\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL doufib.exe

\Shell\explore\command - doufib.exe

\Shell\find\command - doufib.exe

\Shell\open\command - doufib.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9650b3f3-53fb-11dd-9bf2-000b6b6c98c5}]

\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL doufib.exe

\Shell\explore\command - doufib.exe

\Shell\find\command - doufib.exe

\Shell\open\command - doufib.exe

.

Contenu du dossier 'Tâches planifiées'

 

2008-12-27 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]

 

2009-03-16 c:\windows\Tasks\GlaryInitialize.job

- c:\program files\Glary Utilities\initialize.exe [2009-02-12 17:10]

 

2009-03-14 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1844237615-1682526488-854245398-500.job

- c:\documents and settings\Administrateur\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2008-11-12 22:06]

 

2009-03-13 c:\windows\Tasks\HPpromotions journeysoftware.job

- c:\program files\hp\digital imaging\bin\hp promotions\journeysoftware\HPpromo.exe [2005-04-22 17:36]

 

2009-03-02 c:\windows\Tasks\SmartDefrag.job

- c:\program files\IObit\IObit SmartDefrag\IObit SmartDefrag.exe [2009-02-13 18:15]

 

2009-03-02 c:\windows\Tasks\SmartDefrag.job

- c:\program files\IObit\IObit SmartDefrag\ [2009-03-02 18:25]

.

- - - - ORPHELINS SUPPRIMES - - - -

 

Notify-WgaLogon - (no file)

 

 

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.orange.fr/

uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8

uDefault_Search_URL = hxxp://www.google.com/ie

uInternet Settings,ProxyOverride = localhost;*.local

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200

IE: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - c:\program files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll

DPF: DirectAnimation Java Classes

DPF: Microsoft XML Parser for Java

FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\la3q48pj.default\

FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=

FF - prefs.js: browser.search.selectedEngine - Google

FF - prefs.js: browser.startup.homepage - hxxp://orange.fr

FF - prefs.js: keyword.URL - hxxp://mystart.incredimail.com/?loc=ff_address_bar&search=

FF - plugin: c:\documents and settings\Administrateur\Application Data\Mozilla\plugins\npgoogletalk.dll

FF - plugin: c:\documents and settings\Administrateur\Local Settings\Application Data\Google\Update\1.2.141.5\npGoogleOneClick7.dll

FF - plugin: c:\program files\Google\Picasa3\npPicasa2.dll

FF - plugin: c:\program files\Google\Picasa3\npPicasa3.dll

FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll

FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npqtplugin8.dll

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-03-16 10:23:19

Windows 5.1.2600 Service Pack 2 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

 

c:\docume~1\ADMINI~1\LOCALS~1\Temp\Perflib_Perfdata_59c.dat 16384 bytes

 

Scan terminé avec succès

Fichiers cachés: 1

 

**************************************************************************

.

Heure de fin: 2009-03-16 10:27:48

ComboFix-quarantined-files.txt 2009-03-16 09:27:12

 

Avant-CF: 21,650,026,496 octets libres

Après-CF: 21,705,375,744 octets libres

 

234 --- E O F --- 2009-03-11 12:19:40

pear Devil Member !

pear

Posté(e)
Posté(e) (modifié)

Vous avez posté 2 fois le même rapport.

Comparez Heure de fin.

 

J'aimerais quad mçeme un rapport DrWeb, svp.

et maleware'sbytes, car cet userinit infecté m'intrigue.

Rendez vous à cette addresse:

http://www.virustotal.com/fr/

 

Cliquez sur parcourir pour trouver ce fichier, en gras:

C:\WINDOWS\system32\userinit.exe

et cliquez sur "envoyer le fichier"

 

Copiez /collez la réponse dans votre prochain message.

 

 

 

La console de récupération n'est pas installée.

S'il faut réinstaller Userinit ou d'autres exe, elle est nécessaire sauf à disposer d'un vrai cd Xp.

 

 

 

Combo, Nettoyage

Déconnectez-vous du net et désactivez l'antivirus (juste le temps de la procédure !)

Connecter tous les disques amovibles (disque dur externe, clé USB).

Dans certaines circonstances , le Mode sans échec peut être nécessaire

Ouvrez Combofix

# Dans le bloc-note ,copiez-collez ces lignes :

 

KillAll::

 

File::

C:\dkn.exe

c:\windows\fxsteller.exe

c:\windows\system32\30913FF332.sys

Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{38123940-405a-11dd-9ba0-000b6b6c98c5}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4ce56458-54c9-11dd-9bf3-000b6b6c98c5}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9650b3f3-53fb-11dd-9bf2-000b6b6c98c5}]

 

* Attention, ce code a été rédigé spécialement pour cet utilisateur, il serait dangereux de le réutiliser dans d'autres cas !

Enregistrez-le en lui donnant le nom CFScript.txt

* Faire un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

animation1md2.gif

 

* Au message qui apparait dans une fenêtre bleue ( Type 1 to continue, or 2 to abort) , taper 1 puis valider.

* Patienter le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne toucher à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher: poster son contenu.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

Modifié par pear
papyreunion Extrem Member

papyreunion

Posté(e)
  • Auteur
Posté(e)
Vous avez posté 2 fois le même rapport.

Comparez Heure de fin.

 

J'aimerais quad mçeme un rapport DrWeb, svp.

et maleware'sbytes, car cet userinit infecté m'intrigue.

Rendez vous à cette addresse:

http://www.virustotal.com/fr/

 

Cliquez sur parcourir pour trouver ce fichier, en gras:

C:\WINDOWS\system32\userinit.exe

et cliquez sur "envoyer le fichier"

 

Copiez /collez la réponse dans votre prochain message.

 

 

 

La console de récupération n'est pas installée.

S'il faut réinstaller Userinit ou d'autres exe, elle est nécessaire sauf à disposer d'un vrai cd Xp.

 

 

 

Combo, Nettoyage

Déconnectez-vous du net et désactivez l'antivirus (juste le temps de la procédure !)

Connecter tous les disques amovibles (disque dur externe, clé USB).

Dans certaines circonstances , le Mode sans échec peut être nécessaire

Ouvrez Combofix

# Dans le bloc-note ,copiez-collez ces lignes :

 

KillAll::

 

File::

C:\dkn.exe

c:\windows\fxsteller.exe

c:\windows\system32\30913FF332.sys

Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{38123940-405a-11dd-9ba0-000b6b6c98c5}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4ce56458-54c9-11dd-9bf3-000b6b6c98c5}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9650b3f3-53fb-11dd-9bf2-000b6b6c98c5}]

 

* Attention, ce code a été rédigé spécialement pour cet utilisateur, il serait dangereux de le réutiliser dans d'autres cas !

Enregistrez-le en lui donnant le nom CFScript.txt

* Faire un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

animation1md2.gif

 

* Au message qui apparait dans une fenêtre bleue ( Type 1 to continue, or 2 to abort) , taper 1 puis valider.

* Patienter le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne toucher à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher: poster son contenu.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

 

2ème rapport combofix.

 

 

ComboFix 09-03-15.01 - Administrateur 2009-03-16 13:34:19.1 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1470.936 [GMT 1:00]

Lancé depuis: c:\gg\ComboFix.exe

Commutateurs utilisés :: G:\WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe

* Un nouveau point de restauration a été créé

* Resident AV is active

 

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

Une copie infectée de c:\windows\system32\userinit.exe a été trouvée et désinfectée

opie restaurée à partir de - c:\qoobox\Quarantine\C\WINDOWS\system32\userinit.exe.vir

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2009-02-16 au 2009-03-16 ))))))))))))))))))))))))))))))))))))

.

 

2009-03-16 13:34 . 2009-03-16 13:34 <REP> d----c--- C:\quarantine

2009-03-16 13:29 . 2009-03-16 13:29 <REP> d----c--- C:\gg

2009-03-16 13:28 . 2009-03-16 13:29 <REP> d----c--- C:\32788R22FWJFW.0.tmp

2009-03-14 19:44 . 2009-03-14 19:44 <REP> d----c--- c:\documents and settings\Administrateur\DoctorWeb

2009-03-13 15:44 . 2009-03-13 16:01 275 --a--c--- C:\dkn.exe

2009-03-13 15:24 . 2009-03-11 10:52 48,690 -r-hs---- c:\windows\fxsteller.exe

2009-03-12 14:01 . 2009-03-12 14:01 <REP> d-------- c:\documents and settings\All Users\Application Data\HP Product Assistant

2009-03-06 18:03 . 2009-03-06 18:03 <REP> d-a------ c:\documents and settings\All Users\Application Data\TEMP

2009-03-02 18:25 . 2009-03-02 18:25 <REP> d-------- c:\program files\IObit

2009-03-02 18:25 . 2009-03-02 18:25 <REP> d-------- c:\documents and settings\Administrateur\Application Data\IObit

2009-03-02 17:58 . 2009-03-02 17:58 <REP> d-------- c:\program files\Unlocker

2009-02-26 17:28 . 2009-01-09 20:18 1,089,891 -----c--- c:\windows\system32\dllcache\ntprint.cat

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-03-13 21:28 --------- d-----w c:\program files\Mozilla Thunderbird

2009-03-12 13:02 --------- d-----w c:\program files\HP

2009-03-12 13:02 --------- d-----w c:\program files\Hewlett-Packard

2009-03-11 12:18 --------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help

2009-03-06 17:03 --------- d-----w c:\program files\SpywareBlaster

2009-03-02 12:38 --------- d--h--w c:\program files\InstallShield Installation Information

2009-03-02 12:38 --------- d-----w c:\program files\jv16 PowerTools

2009-03-02 12:38 --------- d-----w c:\program files\eMule

2009-03-02 12:29 --------- d-----w c:\program files\Glary Utilities

2009-02-13 10:24 --------- d-----w c:\documents and settings\Administrateur\Application Data\Thunderbird

2009-02-13 09:31 --------- d-----w c:\program files\VS Revo Group

2009-02-12 17:23 --------- d-----w c:\program files\Malwarebytes' Anti-Malware

2009-02-11 22:45 --------- d-----w c:\program files\Google

2009-02-11 17:10 --------- d-----w c:\documents and settings\All Users\Application Data\IncrediMail

2009-02-11 13:44 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2009-02-11 09:19 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys

2009-02-11 09:19 15,504 ----a-w c:\windows\system32\drivers\mbam.sys

2009-01-30 14:12 --------- d-----w c:\documents and settings\Administrateur\Application Data\U3

2009-01-25 13:01 --------- d-----w c:\documents and settings\Administrateur\Application Data\Apple Computer

2009-01-17 10:33 --------- d-----w c:\program files\iTunes

2009-01-17 10:33 --------- d-----w c:\program files\iPod

2009-01-17 10:33 --------- d-----w c:\documents and settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}

2009-01-17 10:32 --------- d-----w c:\program files\Fichiers communs\Apple

2008-01-17 15:06 92,064 -c--a-w c:\documents and settings\Administrateur\mqdmmdm.sys

2008-01-17 15:06 9,232 -c--a-w c:\documents and settings\Administrateur\mqdmmdfl.sys

2008-01-17 15:06 79,328 -c--a-w c:\documents and settings\Administrateur\mqdmserd.sys

2008-01-17 15:06 66,656 -c--a-w c:\documents and settings\Administrateur\mqdmbus.sys

2008-01-17 15:06 6,208 -c--a-w c:\documents and settings\Administrateur\mqdmcmnt.sys

2008-01-17 15:06 5,936 -c--a-w c:\documents and settings\Administrateur\mqdmwhnt.sys

2008-01-17 15:06 4,048 -c--a-w c:\documents and settings\Administrateur\mqdmcr.sys

2008-01-17 15:06 25,600 -c--a-w c:\documents and settings\Administrateur\usbsermptxp.sys

2008-01-17 15:06 22,768 -c--a-w c:\documents and settings\Administrateur\usbsermpt.sys

2007-12-23 16:33 21,224 -c--a-w c:\documents and settings\Administrateur\Application Data\GDIPFONTCACHEV1.DAT

2006-01-21 17:38 278,528 ----a-w c:\program files\Fichiers communs\FDEUnInstaller.exe

2005-09-06 15:17 284 -c--a-w c:\documents and settings\Administrateur\Application Data\ViewerApp.dat

2004-09-04 22:29 56 -csh--r c:\windows\system32\30913FF332.sys

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-17 68856]

"LDM"="c:\program files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [2007-03-09 67128]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"McAfeeUpdaterUI"="c:\program files\Network Associates\Common Framework\UpdaterUI.exe" [2003-09-10 135251]

"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]

 

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]

"NoSetActiveDesktop"= 1 (0x1)

"NoActiveDesktopChanges"= 1 (0x1)

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WgaLogon]

[bU]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"msacm.ac3acm"= c:\progra~1\K-LITE~1\codecs\ac3acm.acm

"VIDC.3iv2"= c:\progra~1\K-LITE~1\codecs\3IVXVF~1.DLL

"VIDC.VP60"= c:\progra~1\K-LITE~1\codecs\vp6vfw.dll

"VIDC.VP61"= c:\progra~1\K-LITE~1\codecs\vp6vfw.dll

"VIDC.VP62"= c:\progra~1\K-LITE~1\codecs\vp6vfw.dll

"VIDC.VP70"= c:\progra~1\K-LITE~1\codecs\vp7vfw.dll

"VIDC.VP31"= c:\progra~1\K-LITE~1\codecs\vp31vfw.dll

"VIDC.FFDS"= c:\progra~1\K-LITE~1\ffdshow\ff_vfw.dll

"msacm.l3fhg"= c:\progra~1\K-LITE~1\codecs\l3codecp.acm

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

"LogitechSoftwareUpdate"="c:\program files\Logitech\Video\ManifestEngine.exe" boot

"ctfmon.exe"=c:\windows\system32\ctfmon.exe

"NBJ"="c:\program files\Ahead\Nero BackItUp\NBJ.exe"

"Google Update"="c:\documents and settings\Administrateur\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"C-Media Mixer"=c:\program files\PCI Audio Applications\Mixer.exe /startup

"HP Software Update"=c:\program files\HP\HP Software Update\HPWuSchd2.exe

"LogitechVideoTray"=c:\program files\Logitech\Video\LogiTray.exe

"LVCOMSX"=c:\windows\system32\LVCOMSX.EXE

"SoundMan"=SOUNDMAN.EXE

"NeroFilterCheck"=c:\windows\system32\NeroCheck.exe

"InCD"=c:\program files\Ahead\InCD\InCD.exe

"VTTimer"=VTTimer.exe

"VTTrayp"=VTtrayp.exe

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe"

"QuickTime Task"="c:\program files\K-Lite Codec Pack\QuickTime\qttask.exe" -atboottime

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe"

"{0228e555-4f9c-4e35-a3ec-b109a192b4c2}"=c:\program files\Google\Gmail Notifier\gnotify.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-disabled]

"QuickTime Task"="c:\program files\K-Lite Codec Pack\QuickTime\qttask.exe" -atboottime

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"c:\\Program Files\\HP\\HP Software Update\\HPWUCli.exe"=

"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=

"c:\\Program Files\\MSN Messenger\\livecall.exe"=

"c:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\Network Associates\\Common Framework\\FrameworkService.exe"=

"c:\\WINDOWS\\system32\\dpvsetup.exe"=

"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\Program Files\\eMule\\emule.exe"=

"c:\\Program Files\\AlerteGPS\\G300\\G300-V1.exe"=

"c:\\Documents and Settings\\Administrateur\\Local Settings\\Application Data\\Google\\Google Talk Plugin\\googletalkplugin.dll"=

"c:\\Documents and Settings\\Administrateur\\Local Settings\\Application Data\\Google\\Google Talk Plugin\\googletalkplugin.exe"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

 

R1 BIOS;BIOS;c:\windows\system32\drivers\BIOS.sys [2006-09-20 13696]

R2 Fswsclds;F-Secure Windows Security Center Legacy Detection Service;c:\program files\Securitoo\av_fw\fswsclds.exe [2004-08-31 45056]

S3 alcan5ln;Alcatel SpeedTouch USB ADSL RFC1483 Networking Driver (NDIS);c:\windows\system32\drivers\alcan5ln.sys [2004-02-24 35600]

S3 iteio;iteio; [x]

S3 SIS163u;SiS163 usb Wireless LAN Adapter Driver;c:\windows\system32\DRIVERS\sis163u.sys --> c:\windows\system32\DRIVERS\sis163u.sys [?]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{38123940-405a-11dd-9ba0-000b6b6c98c5}]

\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL doufib.exe

\Shell\explore\command - doufib.exe

\Shell\find\command - doufib.exe

\Shell\open\command - doufib.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4ce56458-54c9-11dd-9bf3-000b6b6c98c5}]

\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL doufib.exe

\Shell\explore\command - doufib.exe

\Shell\find\command - doufib.exe

\Shell\open\command - doufib.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9650b3f3-53fb-11dd-9bf2-000b6b6c98c5}]

\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL doufib.exe

\Shell\explore\command - doufib.exe

\Shell\find\command - doufib.exe

\Shell\open\command - doufib.exe

.

Contenu du dossier 'Tâches planifiées'

 

2008-12-27 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]

 

2009-03-16 c:\windows\Tasks\GlaryInitialize.job

- c:\program files\Glary Utilities\initialize.exe [2009-02-12 17:10]

 

2009-03-14 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1844237615-1682526488-854245398-500.job

- c:\documents and settings\Administrateur\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2008-11-12 22:06]

 

2009-03-13 c:\windows\Tasks\HPpromotions journeysoftware.job

- c:\program files\hp\digital imaging\bin\hp promotions\journeysoftware\HPpromo.exe [2005-04-22 17:36]

 

2009-03-02 c:\windows\Tasks\SmartDefrag.job

- c:\program files\IObit\IObit SmartDefrag\IObit SmartDefrag.exe [2009-02-13 18:15]

 

2009-03-02 c:\windows\Tasks\SmartDefrag.job

- c:\program files\IObit\IObit SmartDefrag\ [2009-03-02 18:25]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.orange.fr/

uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8

uDefault_Search_URL = hxxp://www.google.com/ie

uInternet Settings,ProxyOverride = localhost;*.local

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200

IE: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - c:\program files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll

DPF: DirectAnimation Java Classes

DPF: Microsoft XML Parser for Java

FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\la3q48pj.default\

FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=

FF - prefs.js: browser.search.selectedEngine - Google

FF - prefs.js: browser.startup.homepage - hxxp://orange.fr

FF - prefs.js: keyword.URL - hxxp://mystart.incredimail.com/?loc=ff_address_bar&search=

FF - plugin: c:\documents and settings\Administrateur\Application Data\Mozilla\plugins\npgoogletalk.dll

FF - plugin: c:\documents and settings\Administrateur\Local Settings\Application Data\Google\Update\1.2.141.5\npGoogleOneClick7.dll

FF - plugin: c:\program files\Google\Picasa3\npPicasa2.dll

FF - plugin: c:\program files\Google\Picasa3\npPicasa3.dll

FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll

FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npqtplugin8.dll

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-03-16 13:39:14

Windows 5.1.2600 Service Pack 2 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

------------------------ Autres processus actifs ------------------------

.

c:\program files\Ahead\InCD\InCDsrv.exe

c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

c:\program files\Bonjour\mDNSResponder.exe

c:\program files\Java\jre6\bin\jqs.exe

c:\program files\Fichiers communs\LightScribe\LSSrvc.exe

c:\program files\Network Associates\Common Framework\FrameworkService.exe

c:\program files\Network Associates\VirusScan\Mcshield.exe

c:\program files\Network Associates\VirusScan\VsTskMgr.exe

c:\progra~1\NETWOR~1\COMMON~1\naPrdMgr.exe

c:\windows\system32\HPZipm12.exe

c:\program files\Inventel\Gateway\WLANCFG.EXE

c:\windows\system32\wscntfy.exe

.

**************************************************************************

.

Heure de fin: 2009-03-16 13:48:42 - La machine a redémarré [Administrateur]

ComboFix-quarantined-files.txt 2009-03-16 12:48:33

ComboFix2.txt 2009-03-16 09:27:49

 

Avant-CF: 20,037,451,776 octets libres

Après-CF: 20,035,162,112 octets libres

 

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /fastdetect /NoExecute=OptIn

 

234 --- E O F --- 2009-03-11 12:19:40

pear Devil Member !

pear

Posté(e)
Posté(e)
Une copie infectée de c:\windows\system32\userinit.exe a été trouvée et désinfectée

opie restaurée à partir de - c:\qoobox\Quarantine\C\WINDOWS\system32\userinit.exe.vir

 

C'est ce que je voulais savoir :P

 

Je vois aussi la console installée.

 

J'attends le rapport après nettoyage.

Il faudra vérifier que la machine a bien retrouvé toutes ses fonctions:

Connexion au net,

Mode sans échec,

Protections: antivirus et parefeu

Mise à jour des protections

papyreunion Extrem Member

papyreunion

Posté(e)
  • Auteur
Posté(e)
C'est ce que je voulais savoir :P

 

Je vois aussi la console installée.

 

J'attends le rapport après nettoyage.

Il faudra vérifier que la machine a bien retrouvé toutes ses fonctions:

Connexion au net,

Mode sans échec,

Protections: antivirus et parefeu

Mise à jour des protections

 

Impossible de lancer combofix avec le bloc note CFScript.txt. Combofix redémarre une nouvelle analyse complète de recherche. J'ai copié le texte ci-dessus dans le bloc note puis glisser déposer sur combofix.exe, je ne comprends pas que ce soit en mode sans échec ou pas. y-a-t-il une erreur dans le texte.

 

KillAll::

 

File::

C:\dkn.exe

c:\windows\fxsteller.exe

c:\windows\system32\30913FF332.sys

Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{38123940-405a-11dd-9ba0-000b6b6c98c5}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4ce56458-54c9-11dd-9bf3-000b6b6c98c5}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9650b3f3-53fb-11dd-9bf2-000b6b6c98c5}]

pear Devil Member !

pear

Posté(e)
Posté(e) (modifié)

Bonsoir,

 

Déja, dites moi si vous utilisez toujours votre clé usb ou si vous pouvez désormais agir directement sur la machine.

 

On va faire le nettoyage autrement:

 

Télécharger sur le bureauOTMoveIt3 by OldTimer .

Double-clic sur OTMoveIt3.exe pour le lancer.

Sous Vista,Clic droit sur le fichier ->Choisir Exécuter en tant qu' Administrateur

Vérifier que Unregister Dll's and Ocx's soit coché.

* Copiez /Collez les lignes ci dessous):

 

:Processes

explorer.exe

:Files

C:\dkn.exe

c:\windows\fxsteller.exe

c:\windows\system32\30913FF332.sys

:Reg

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{38123940-405a-11dd-9ba0-000b6b6c98c5}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4ce56458-54c9-11dd-9bf3-000b6b6c98c5}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9650b3f3-53fb-11dd-9bf2-000b6b6c98c5}]

:Commands

[purity]

[emptytemp]

[start explorer]

[Reboot]

Revenez dans OTMoveIt3,

Clic droit sur la fenêtre "Paste Instructions for Items to be Moved" sous la barre jaune et choisir Coller(Paste).

* Click le bouton rouge Moveit!

* Fermez OTMoveIt3

Votre Pc va redémarrer.

Rendez vous dans le dossier C:\_OTMoveIt\MovedFiles ,

ouvrez le dernier fichier .log

Copiez/collez en le contenu dans votre prochaine réponse

 

 

ensuite lancez un combofix normal.

 

Postez les 2 rapports.

Modifié par pear
papyreunion Extrem Member

papyreunion

Posté(e)
  • Auteur
Posté(e)
Bonsoir,

 

Déja, dites moi si vous utilisez toujours votre clé usb ou si vous pouvez désormais agir directement sur la machine.

 

On va faire le nettoyage autrement:

 

Télécharger sur le bureauOTMoveIt3 by OldTimer .

Double-clic sur OTMoveIt3.exe pour le lancer.

Sous Vista,Clic droit sur le fichier ->Choisir Exécuter en tant qu' Administrateur

Vérifier que Unregister Dll's and Ocx's soit coché.

* Copiez /Collez les lignes ci dessous):

 

:Processes

explorer.exe

:Files

C:\dkn.exe

c:\windows\fxsteller.exe

c:\windows\system32\30913FF332.sys

:Reg

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{38123940-405a-11dd-9ba0-000b6b6c98c5}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4ce56458-54c9-11dd-9bf3-000b6b6c98c5}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9650b3f3-53fb-11dd-9bf2-000b6b6c98c5}]

:Commands

[purity]

[emptytemp]

[start explorer]

[Reboot]

Revenez dans OTMoveIt3,

Clic droit sur la fenêtre "Paste Instructions for Items to be Moved" sous la barre jaune et choisir Coller(Paste).

* Click le bouton rouge Moveit!

* Fermez OTMoveIt3

Votre Pc va redémarrer.

Rendez vous dans le dossier C:\_OTMoveIt\MovedFiles ,

ouvrez le dernier fichier .log

Copiez/collez en le contenu dans votre prochaine réponse

 

 

ensuite lancez un combofix normal.

 

Postez les 2 rapports.

 

 

Bonjour,

 

J'utilise le PC infecté. accès à mozilla et I.E.7 - WINDOWS xp Pack 2 -

Antivirus Macafee - Pare feu Windows.

 

Je fais suivre les nelles instructions. @+

papyreunion Extrem Member

papyreunion

Posté(e)
  • Auteur
Posté(e)
Bonjour,

 

J'utilise le PC infecté. accès à mozilla et I.E.7 - WINDOWS xp Pack 2 -

Antivirus Macafee - Pare feu Windows.

 

Je fais suivre les nelles instructions. @+

 

Rapports des logs :

 

1er: OtmoveIT :

 

 

========== PROCESSES ==========

Process explorer.exe killed successfully.

========== FILES ==========

C:\dkn.exe moved successfully.

File/Folder c:\windows\fxsteller.exe not found.

c:\windows\system32\30913FF332.sys moved successfully.

========== REGISTRY ==========

Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{38123940-405a-11dd-9ba0-000b6b6c98c5}\\ not found.

Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4ce56458-54c9-11dd-9bf3-000b6b6c98c5}\\ not found.

Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9650b3f3-53fb-11dd-9bf2-000b6b6c98c5}\\ not found.

========== COMMANDS ==========

User's Temp folder emptied.

User's Temporary Internet Files folder emptied.

User's Internet Explorer cache folder emptied.

Local Service Temp folder emptied.

File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.

Local Service Temporary Internet Files folder emptied.

File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_c0.dat scheduled to be deleted on reboot.

File delete failed. C:\WINDOWS\temp\WFV1.tmp scheduled to be deleted on reboot.

Windows Temp folder emptied.

Java cache emptied.

FireFox cache emptied.

Temp folders emptied.

Explorer started successfully

 

OTMoveIt3 by OldTimer - Version 1.0.9.0 log created on 03172009_112116

 

Files moved on Reboot...

File move failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be moved on reboot.

File C:\WINDOWS\temp\Perflib_Perfdata_c0.dat not found!

File move failed. C:\WINDOWS\temp\WFV1.tmp scheduled to be moved on reboot.

 

2ème : Combofix :

 

ComboFix 09-03-15.01 - Administrateur 2009-03-17 11:28:25.3 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1470.1006 [GMT 1:00]

Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe

* Resident AV is active

 

.

 

((((((((((((((((((((((((((((( Fichiers créés du 2009-02-17 au 2009-03-17 ))))))))))))))))))))))))))))))))))))

.

 

2009-03-17 11:21 . 2009-03-17 11:21 <REP> d----c--- C:\_OTMoveIt

2009-03-16 17:28 . 2009-03-16 17:28 <REP> d----c--- C:\47881b02d191990d6cab8e467421b48e

2009-03-16 16:13 . 2009-03-16 16:14 <REP> d----c--- C:\gg

2009-03-16 14:16 . 2009-03-16 14:16 <REP> d-------- c:\program files\Trend Micro

2009-03-16 13:34 . 2009-03-17 11:28 <REP> d----c--- C:\quarantine

2009-03-16 13:28 . 2009-03-16 13:29 <REP> d----c--- C:\32788R22FWJFW.0.tmp

2009-03-14 19:44 . 2009-03-14 19:44 <REP> d----c--- c:\documents and settings\Administrateur\DoctorWeb

2009-03-12 14:01 . 2009-03-12 14:01 <REP> d-------- c:\documents and settings\All Users\Application Data\HP Product Assistant

2009-03-06 18:03 . 2009-03-06 18:03 <REP> d-a------ c:\documents and settings\All Users\Application Data\TEMP

2009-03-02 18:25 . 2009-03-02 18:25 <REP> d-------- c:\program files\IObit

2009-03-02 18:25 . 2009-03-02 18:25 <REP> d-------- c:\documents and settings\Administrateur\Application Data\IObit

2009-03-02 17:58 . 2009-03-02 17:58 <REP> d-------- c:\program files\Unlocker

2009-02-26 17:28 . 2009-01-09 20:18 1,089,891 -----c--- c:\windows\system32\dllcache\ntprint.cat

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-03-16 17:44 --------- d-----w c:\program files\Mozilla Thunderbird

2009-03-12 13:02 --------- d-----w c:\program files\HP

2009-03-12 13:02 --------- d-----w c:\program files\Hewlett-Packard

2009-03-11 12:18 --------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help

2009-03-06 17:03 --------- d-----w c:\program files\SpywareBlaster

2009-03-02 12:38 --------- d--h--w c:\program files\InstallShield Installation Information

2009-03-02 12:38 --------- d-----w c:\program files\jv16 PowerTools

2009-03-02 12:38 --------- d-----w c:\program files\eMule

2009-03-02 12:29 --------- d-----w c:\program files\Glary Utilities

2009-02-13 10:24 --------- d-----w c:\documents and settings\Administrateur\Application Data\Thunderbird

2009-02-13 09:31 --------- d-----w c:\program files\VS Revo Group

2009-02-12 17:23 --------- d-----w c:\program files\Malwarebytes' Anti-Malware

2009-02-11 22:45 --------- d-----w c:\program files\Google

2009-02-11 17:10 --------- d-----w c:\documents and settings\All Users\Application Data\IncrediMail

2009-02-11 13:44 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2009-02-11 09:19 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys

2009-02-11 09:19 15,504 ----a-w c:\windows\system32\drivers\mbam.sys

2009-02-09 14:17 1,846,400 ----a-w c:\windows\system32\win32k.sys

2009-01-30 14:12 --------- d-----w c:\documents and settings\Administrateur\Application Data\U3

2009-01-25 13:01 --------- d-----w c:\documents and settings\Administrateur\Application Data\Apple Computer

2009-01-17 10:33 --------- d-----w c:\program files\iTunes

2009-01-17 10:33 --------- d-----w c:\program files\iPod

2009-01-17 10:33 --------- d-----w c:\documents and settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}

2009-01-17 10:32 --------- d-----w c:\program files\Fichiers communs\Apple

2009-01-05 22:33 3,751,995 ----a-w c:\windows\system32\GPhotos.scr

2008-12-20 22:47 826,368 ----a-w c:\windows\system32\wininet.dll

2008-01-17 15:06 92,064 -c--a-w c:\documents and settings\Administrateur\mqdmmdm.sys

2008-01-17 15:06 9,232 -c--a-w c:\documents and settings\Administrateur\mqdmmdfl.sys

2008-01-17 15:06 79,328 -c--a-w c:\documents and settings\Administrateur\mqdmserd.sys

2008-01-17 15:06 66,656 -c--a-w c:\documents and settings\Administrateur\mqdmbus.sys

2008-01-17 15:06 6,208 -c--a-w c:\documents and settings\Administrateur\mqdmcmnt.sys

2008-01-17 15:06 5,936 -c--a-w c:\documents and settings\Administrateur\mqdmwhnt.sys

2008-01-17 15:06 4,048 -c--a-w c:\documents and settings\Administrateur\mqdmcr.sys

2008-01-17 15:06 25,600 -c--a-w c:\documents and settings\Administrateur\usbsermptxp.sys

2008-01-17 15:06 22,768 -c--a-w c:\documents and settings\Administrateur\usbsermpt.sys

2007-12-23 16:33 21,224 -c--a-w c:\documents and settings\Administrateur\Application Data\GDIPFONTCACHEV1.DAT

2006-01-21 17:38 278,528 ----a-w c:\program files\Fichiers communs\FDEUnInstaller.exe

2005-09-06 15:17 284 -c--a-w c:\documents and settings\Administrateur\Application Data\ViewerApp.dat

.

 

((((((((((((((((((((((((((((( SnapShot@2009-03-16_13.46.36.41 )))))))))))))))))))))))))))))))))))))))))

.

- 2009-02-03 23:21:12 21,244,864 ----a-w c:\windows\system32\MRT.exe

+ 2009-02-25 11:55:00 24,768,960 ----a-w c:\windows\system32\MRT.exe

+ 2009-03-17 10:23:42 16,384 ----atw c:\windows\temp\Perflib_Perfdata_dc.dat

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-17 68856]

"LDM"="c:\program files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [2007-03-09 67128]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"McAfeeUpdaterUI"="c:\program files\Network Associates\Common Framework\UpdaterUI.exe" [2003-09-10 135251]

"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]

 

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]

"NoSetActiveDesktop"= 1 (0x1)

"NoActiveDesktopChanges"= 1 (0x1)

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WgaLogon]

[bU]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"msacm.ac3acm"= c:\progra~1\K-LITE~1\codecs\ac3acm.acm

"VIDC.3iv2"= c:\progra~1\K-LITE~1\codecs\3IVXVF~1.DLL

"VIDC.VP60"= c:\progra~1\K-LITE~1\codecs\vp6vfw.dll

"VIDC.VP61"= c:\progra~1\K-LITE~1\codecs\vp6vfw.dll

"VIDC.VP62"= c:\progra~1\K-LITE~1\codecs\vp6vfw.dll

"VIDC.VP70"= c:\progra~1\K-LITE~1\codecs\vp7vfw.dll

"VIDC.VP31"= c:\progra~1\K-LITE~1\codecs\vp31vfw.dll

"VIDC.FFDS"= c:\progra~1\K-LITE~1\ffdshow\ff_vfw.dll

"msacm.l3fhg"= c:\progra~1\K-LITE~1\codecs\l3codecp.acm

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

"LogitechSoftwareUpdate"="c:\program files\Logitech\Video\ManifestEngine.exe" boot

"ctfmon.exe"=c:\windows\system32\ctfmon.exe

"NBJ"="c:\program files\Ahead\Nero BackItUp\NBJ.exe"

"Google Update"="c:\documents and settings\Administrateur\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"C-Media Mixer"=c:\program files\PCI Audio Applications\Mixer.exe /startup

"HP Software Update"=c:\program files\HP\HP Software Update\HPWuSchd2.exe

"LogitechVideoTray"=c:\program files\Logitech\Video\LogiTray.exe

"LVCOMSX"=c:\windows\system32\LVCOMSX.EXE

"SoundMan"=SOUNDMAN.EXE

"NeroFilterCheck"=c:\windows\system32\NeroCheck.exe

"InCD"=c:\program files\Ahead\InCD\InCD.exe

"VTTimer"=VTTimer.exe

"VTTrayp"=VTtrayp.exe

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe"

"QuickTime Task"="c:\program files\K-Lite Codec Pack\QuickTime\qttask.exe" -atboottime

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe"

"{0228e555-4f9c-4e35-a3ec-b109a192b4c2}"=c:\program files\Google\Gmail Notifier\gnotify.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-disabled]

"QuickTime Task"="c:\program files\K-Lite Codec Pack\QuickTime\qttask.exe" -atboottime

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"c:\\Program Files\\HP\\HP Software Update\\HPWUCli.exe"=

"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=

"c:\\Program Files\\MSN Messenger\\livecall.exe"=

"c:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\Network Associates\\Common Framework\\FrameworkService.exe"=

"c:\\WINDOWS\\system32\\dpvsetup.exe"=

"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\Program Files\\eMule\\emule.exe"=

"c:\\Program Files\\AlerteGPS\\G300\\G300-V1.exe"=

"c:\\Documents and Settings\\Administrateur\\Local Settings\\Application Data\\Google\\Google Talk Plugin\\googletalkplugin.dll"=

"c:\\Documents and Settings\\Administrateur\\Local Settings\\Application Data\\Google\\Google Talk Plugin\\googletalkplugin.exe"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

 

R1 BIOS;BIOS;c:\windows\system32\drivers\BIOS.sys [2006-09-20 13696]

R2 Fswsclds;F-Secure Windows Security Center Legacy Detection Service;c:\program files\Securitoo\av_fw\fswsclds.exe [2004-08-31 45056]

S3 alcan5ln;Alcatel SpeedTouch USB ADSL RFC1483 Networking Driver (NDIS);c:\windows\system32\drivers\alcan5ln.sys [2004-02-24 35600]

S3 iteio;iteio; [x]

S3 SIS163u;SiS163 usb Wireless LAN Adapter Driver;c:\windows\system32\DRIVERS\sis163u.sys --> c:\windows\system32\DRIVERS\sis163u.sys [?]

.

Contenu du dossier 'Tâches planifiées'

 

2008-12-27 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]

 

2009-03-17 c:\windows\Tasks\GlaryInitialize.job

- c:\program files\Glary Utilities\initialize.exe [2009-02-12 17:10]

 

2009-03-17 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1844237615-1682526488-854245398-500.job

- c:\documents and settings\Administrateur\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2008-11-12 22:06]

 

2009-03-16 c:\windows\Tasks\HPpromotions journeysoftware.job

- c:\program files\hp\digital imaging\bin\hp promotions\journeysoftware\HPpromo.exe [2005-04-22 17:36]

 

2009-03-02 c:\windows\Tasks\SmartDefrag.job

- c:\program files\IObit\IObit SmartDefrag\IObit SmartDefrag.exe [2009-02-13 18:15]

 

2009-03-02 c:\windows\Tasks\SmartDefrag.job

- c:\program files\IObit\IObit SmartDefrag\ [2009-03-02 18:25]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.orange.fr/

uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8

uDefault_Search_URL = hxxp://www.google.com/ie

uInternet Settings,ProxyOverride = localhost;*.local

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200

IE: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - c:\program files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll

DPF: DirectAnimation Java Classes

DPF: Microsoft XML Parser for Java

FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\la3q48pj.default\

FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=

FF - prefs.js: browser.search.selectedEngine - Google

FF - prefs.js: browser.startup.homepage - hxxp://orange.fr

FF - prefs.js: keyword.URL - hxxp://mystart.incredimail.com/?loc=ff_address_bar&search=

FF - plugin: c:\documents and settings\Administrateur\Application Data\Mozilla\plugins\npgoogletalk.dll

FF - plugin: c:\documents and settings\Administrateur\Local Settings\Application Data\Google\Update\1.2.141.5\npGoogleOneClick7.dll

FF - plugin: c:\program files\Google\Picasa3\npPicasa2.dll

FF - plugin: c:\program files\Google\Picasa3\npPicasa3.dll

FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll

FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npqtplugin8.dll

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-03-17 11:31:38

Windows 5.1.2600 Service Pack 2 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

Heure de fin: 2009-03-17 11:35:15

ComboFix-quarantined-files.txt 2009-03-17 10:34:51

ComboFix2.txt 2009-03-16 16:22:05

ComboFix3.txt 2009-03-16 12:48:48

ComboFix4.txt 2009-03-16 09:27:49

 

Avant-CF: 21 927 153 664 octets libres

Après-CF: 21,916,557,312 octets libres

 

197 --- E O F --- 2009-03-16 18:25:55

 

3ème RAPPORT malwarebytes' :

 

Malwarebytes' Anti-Malware 1.34

Version de la base de données: 1854

Windows 5.1.2600 Service Pack 2

 

17/03/2009 11:18:13

mbam-log-2009-03-17 (11-18-05).txt

 

Type de recherche: Examen complet (C:\|E:\|)

Eléments examinés: 165392

Temps écoulé: 2 hour(s), 54 minute(s), 49 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 3

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\Qoobox\Quarantine\C\WINDOWS\system32\senekaaxxyymww.dll.vir (Trojan.TDSS) -> No action taken.

C:\Qoobox\Quarantine\C\WINDOWS\system32\senekaqbrfucdr.dll.vir (Trojan.TDSS) -> No action taken.

C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\senekaxubapbyj.sys.vir (Trojan.TDSS) -> No action taken.

pear Devil Member !

pear

Posté(e)
Posté(e) (modifié)

Eh bien, vous y êtes arrivé :P

 

Combofix avait donc bien fonctionné.

 

Il ne vous servirait à rien de garder les logiciels utilisés pour la désinfection.

Constamment remis à jour , ils seraient obsolètes sous 10 jours.

Pour enlever les programmes utilisés pendant la procédure.

Télécharger ToolsCleaner2 de A.Rothstein

* Enregistrer ToolsCleaner2.exe sur le Bureau.

Sous Vista,Clic-droit > Exécuter en tant que Administrateur

* Double-cliquer dessus, puis cliquer sur Recherche --> Le programme va chercher les utilitaires installés

------> Il se peut que la fenêtre devienne blanche pendant le scan, c'est normal !

L'outil supprimera sans que vous ayez à intervenir.

 

* Copier-coller le contenu du rapport qui apparait dans la fenêtre blanche.

 

Scan en ligne

NOTE: Le scan en ligne sera à faire avec Internet Explorer.

Désactiver l'antivirus actuel

Kaspersky

Sous Vista,il faut désactiver l'UAC, et cliquer droit sur Internet Explorer / Exécuter en tant qu'administrateur et coller l'URL de Kaspersky

http://www.kaspersky.com/kos/eng/partner/d...kavwebscan.html

Vider la corbeille.

* Cliquer sur Accept

* Une barre jaune va demander d'accepter l'installation de Kavwebscan_Unicode.cab, installer l'Active X.

* cliquer une nouvelle fois sur "Accept"

* Les bases de mises à jour vont s'installer, patienter un moment

* Cliquer sur Next.

* Cliquer sur My Computer, le scan se met en route;

attendre la fin du scan sans fermer la fenêtre sinon il s'arrêtera.

A la fin du scan, si des objets infectés sont découverts, cliquer sur Save report as... Choisirr bureau et nommer le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisir "fichiers texte" enregistrer le rapport.

Copier/coller l'entièreté du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier.

Coller ce rapport dans la réponse sur le forum.

Aide en cas de problème

Cybersécurité

Modifié par pear
papyreunion Extrem Member

papyreunion

Posté(e)
  • Auteur
Posté(e)
Eh bien, vous y êtes arrivé :P

 

Combofix avait donc bien fonctionné.

 

Il ne vous servirait à rien de garder les logiciels utilisés pour la désinfection.

Constamment remis à jour , ils seraient obsolètes sous 10 jours.

Pour enlever les programmes utilisés pendant la procédure.

Télécharger ToolsCleaner2 de A.Rothstein

* Enregistrer ToolsCleaner2.exe sur le Bureau.

Sous Vista,Clic-droit > Exécuter en tant que Administrateur

* Double-cliquer dessus, puis cliquer sur Recherche --> Le programme va chercher les utilitaires installés

------> Il se peut que la fenêtre devienne blanche pendant le scan, c'est normal !

L'outil supprimera sans que vous ayez à intervenir.

 

* Copier-coller le contenu du rapport qui apparait dans la fenêtre blanche.

 

Scan en ligne

NOTE: Le scan en ligne sera à faire avec Internet Explorer.

Désactiver l'antivirus actuel

Kaspersky

Sous Vista,il faut désactiver l'UAC, et cliquer droit sur Internet Explorer / Exécuter en tant qu'administrateur et coller l'URL de Kaspersky

http://www.kaspersky.com/kos/eng/partner/d...kavwebscan.html

Vider la corbeille.

* Cliquer sur Accept

* Une barre jaune va demander d'accepter l'installation de Kavwebscan_Unicode.cab, installer l'Active X.

* cliquer une nouvelle fois sur "Accept"

* Les bases de mises à jour vont s'installer, patienter un moment

* Cliquer sur Next.

* Cliquer sur My Computer, le scan se met en route;

attendre la fin du scan sans fermer la fenêtre sinon il s'arrêtera.

A la fin du scan, si des objets infectés sont découverts, cliquer sur Save report as... Choisirr bureau et nommer le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisir "fichiers texte" enregistrer le rapport.

Copier/coller l'entièreté du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier.

Coller ce rapport dans la réponse sur le forum.

Aide en cas de problème

Cybersécurité

 

 

 

--------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER 7 REPORT

Tuesday, March 17, 2009

Operating System: Microsoft Windows XP Professional Service Pack 2 (build 2600)

Kaspersky Online Scanner 7 version: 7.0.25.0

Program database last update: Tuesday, March 17, 2009 12:58:06

Records in database: 1921522

--------------------------------------------------------------------------------

 

Scan settings:

Scan using the following database: extended

Scan archives: yes

Scan mail databases: yes

 

Scan area - My Computer:

A:\

C:\

D:\

E:\

F:\

H:\

 

Scan statistics:

Files scanned: 98822

Threat name: 2

Infected objects: 3

Suspicious objects: 0

Duration of the scan: 02:04:10

 

 

File name / Threat name / Threats count

C:\quarantine\Av-test.txt.Vir Infected: EICAR-Test-File 1

C:\quarantine\Av-test.txt.Vir.0 Infected: EICAR-Test-File 1

C:\WINDOWS\Downloaded Program Files\imloader.exe Infected: not-a-virus:Downloader.Win32.ImLoader.l 1

 

The selected area was scanned.

 

 

C:\Combofix.txt: trouvé !

C:\Qoobox: trouvé !

C:\_OtMoveIt: trouvé !

C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe: trouvé !

C:\Documents and Settings\Administrateur\Bureau\Combofix.txt: trouvé !

C:\Documents and Settings\Administrateur\Bureau\OTMoveIt3.exe: trouvé !

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...