Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Encore du CID !

dodomi79

Par dodomi79
dans Analyses et éradication malwares

 Partager

Messages recommandés

WawaSeb Godlike Member

WawaSeb

Posté(e)
Posté(e)

Bonjour dodomi79,

 

*** Je te souhaite la bienvenue sur le forum sécurité de Zebulon ! *** :P

 

Groupe : Membres

Messages : 1

--> Je vois que tu es nouveau ici, prends donc bien ton temps pour observer le fonctionnement de ce site :

 

 

 

1) Désactive tes protections résidentes (Antivirus, ...) tu les réactiveras après le scan

 

Télécharge Lop S&D

  • Double-clique (clic-droit, "exéctuer en tant qu'Administrateur" sous Vista) sur LopSD.exe présent sur ton bureau
  • Séléctionne la langue souhaitée, puis choisis l'Option 1 (Recherche)
  • Patiente jusqu'à la fin du scan
  • Poste le rapport généré (%SystemDrive%\lopR.txt)

 

(Si le Bureau ne réapparaît pas presse Ctrl + Alt + Suppr, Onglet Fichier, Nouvelle tâche, tape explorer.exe et valide)

 

 

2) Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur le Bureau.

  • rsit2.JPG

Double-clique (clic-droit, "exéctuer en tant qu'Administrateur" sous Vista) sur RSIT.exe pour le lancer.
Une première fenêtre s'ouvre, clique alors sur Continue (Disclaimer).
rsit1.JPG


Si la dernière version de HijackThis n'est pas détectée sur ton PC, RSIT le téléchargera et te demandera d'accepter la licence.
Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note).
Poste le contenu de log.txt (c'est celui qui apparait à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches).

 

Bon travail !

:P

  • 3 semaines après...
dodomi79 Junior Member

dodomi79

Posté(e)
  • Auteur
Posté(e)

Voici ce qu'il me sort :

 

LOD bloque sur la fenêtre "recherche avec S_Lop"

donc pas de rapport

 

sinon

 

LOG.TXT

 

Logfile of random's system information tool 1.06 (written by random/random)

Run by dodo at 2009-10-03 19:18:18

Microsoft® Windows Vista Édition Familiale Premium Service Pack 1

System drive C: has 6 GB (19%) free of 31 GB

Total RAM: 2047 MB (56% free)

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:18:44, on 03/10/2009

Platform: Windows Vista SP1 (WinNT 6.00.1905)

MSIE: Internet Explorer v8.00 (8.00.6001.18813)

Boot mode: Normal

 

Running processes:

C:\Windows\system32\Dwm.exe

C:\Windows\system32\taskeng.exe

C:\Windows\Explorer.EXE

C:\Program Files\Windows Defender\MSASCui.exe

C:\Windows\SOUNDMAN.EXE

C:\Program Files\Google\Quick Search Box\GoogleQuickSearchBox.exe

C:\Program Files\Windows Media Player\wmpnscfg.exe

C:\Program Files\Windows Sidebar\sidebar.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Google\Google Toolbar\GoogleToolbarUser_32.exe

C:\Windows\system32\Macromed\Flash\FlashUtil10b.exe

C:\Windows\system32\conime.exe

C:\Windows\system32\taskeng.exe

C:\Users\dodo\Desktop\RSIT.exe

C:\Program Files\trend micro\dodo.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O1 - Hosts: ::1 localhost

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.3.4501.1418\swg.dll

O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Google Quick Search Box] "C:\Program Files\Google\Quick Search Box\GoogleQuickSearchBox.exe" /autorun

O4 - HKCU\..\Run: [AlcoholAutomount] "d:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount

O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe

O4 - HKCU\..\Run: [Vga Third] "C:\ProgramData\PLATFORMOPTIONOPTION.ktkps"

O4 - HKCU\..\Run: [Flag Owns Live Grim] "C:\ProgramData\Long Safe Real.y9corq"

O4 - HKCU\..\Run: [sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun

O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL

O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} (OnlineScanner Control) - http://download.eset.com/special/eos/OnlineScanner.cab

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - d:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

 

--

End of file - 4085 bytes

 

======Scheduled tasks folder======

 

C:\Windows\tasks\User_Feed_Synchronization-{C30343FD-FC9D-4D4E-B835-9E7699D01E49}.job

 

======Registry dump======

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]

Adobe PDF Link Helper - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-02-27 75128]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}]

Google Toolbar Helper - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll [2009-09-13 256112]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}]

Google Toolbar Notifier BHO - C:\Program Files\Google\GoogleToolbarNotifier\5.3.4501.1418\swg.dll [2009-09-17 762864]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C84D72FE-E17D-4195-BB24-76C02E2E7C4E}]

Google Dictionary Compression sdch - C:\Program Files\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll [2009-09-13 458736]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

{2318C2B1-4965-11d4-9B18-009027A5CD4F} - Google Toolbar - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll [2009-09-13 256112]

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

"Windows Defender"=C:\Program Files\Windows Defender\MSASCui.exe [2008-01-19 1008184]

"QuickTime Task"=D:\Program Files\QuickTime\QTTask.exe [2009-05-26 413696]

"SoundMan"=C:\Windows\SOUNDMAN.EXE [2005-05-17 77824]

"Adobe Reader Speed Launcher"=C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe [2009-02-27 35696]

"Google Quick Search Box"=C:\Program Files\Google\Quick Search Box\GoogleQuickSearchBox.exe [2009-09-13 122368]

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"AlcoholAutomount"=d:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe [2009-04-24 203928]

"WMPNSCFG"=C:\Program Files\Windows Media Player\WMPNSCFG.exe [2008-01-19 202240]

"Vga Third"=C:\ProgramData\PLATFORMOPTIONOPTION.ktkps [2009-08-28 196624]

"Flag Owns Live Grim"=C:\ProgramData\Long Safe Real.y9corq [2009-08-14 180240]

"Sidebar"=C:\Program Files\Windows Sidebar\sidebar.exe [2008-01-19 1233920]

"swg"=C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [2009-09-13 39408]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"= []

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\PEVSystemStart]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\procexp90.Sys]

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"dontdisplaylastusername"=0

"legalnoticecaption"=

"legalnoticetext"=

"shutdownwithoutlogon"=1

"undockwithoutlogon"=1

"EnableUIADesktopToggle"=0

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]

"NoDrives"=0

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]

"NoDrives"=

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

 

======File associations======

 

.js - edit - C:\Windows\System32\Notepad.exe %1

.js - open - C:\Windows\System32\WScript.exe "%1" %*

 

======List of files/folders created in the last 1 months======

 

2009-10-03 19:18:18 ----D---- C:\rsit

2009-10-03 19:18:18 ----D---- C:\Program Files\trend micro

2009-10-03 19:12:49 ----A---- C:\lopR.txt

2009-10-03 19:12:22 ----D---- C:\Lop SD

2009-10-03 18:13:58 ----N---- C:\Windows\system32\MpSigStub.exe

2009-10-03 18:10:11 ----A---- C:\Windows\system32\wups2.dll

2009-10-03 18:10:10 ----A---- C:\Windows\system32\wucltux.dll

2009-10-03 18:10:10 ----A---- C:\Windows\system32\wuaueng.dll

2009-10-03 18:10:10 ----A---- C:\Windows\system32\wuauclt.exe

2009-10-03 18:09:48 ----A---- C:\Windows\system32\wuwebv.dll

2009-10-03 18:09:48 ----A---- C:\Windows\system32\wuapp.exe

2009-09-15 16:37:34 ----D---- C:\Program Files\AbiSuite2

2009-09-13 15:36:29 ----D---- C:\Users\dodo\AppData\Roaming\Google

2009-09-13 15:35:51 ----D---- C:\ProgramData\Google

2009-09-13 15:35:51 ----D---- C:\Program Files\Google

2009-09-13 11:37:05 ----D---- C:\Program Files\ESET

2009-09-13 11:17:49 ----SHD---- C:\Config.Msi

2009-09-13 10:19:49 ----D---- C:\Users\dodo\AppData\Roaming\Malwarebytes

2009-09-13 10:19:44 ----D---- C:\ProgramData\Malwarebytes

2009-09-13 10:19:44 ----D---- C:\Program Files\Malwarebytes' Anti-Malware

2009-09-13 10:13:59 ----A---- C:\Windows\system32\CF30860.exe

2009-09-13 10:13:49 ----A---- C:\Windows\system32\swsc.exe

2009-09-09 17:17:53 ----A---- C:\Windows\system32\wlansvc.dll

2009-09-09 17:17:53 ----A---- C:\Windows\system32\wlansec.dll

2009-09-09 17:17:53 ----A---- C:\Windows\system32\wlanmsm.dll

2009-09-09 17:17:53 ----A---- C:\Windows\system32\L2SecHC.dll

2009-09-09 17:17:46 ----A---- C:\Windows\system32\jscript.dll

2009-09-09 17:17:41 ----A---- C:\Windows\system32\NETSTAT.EXE

2009-09-09 17:17:41 ----A---- C:\Windows\system32\netiohlp.dll

2009-09-09 17:17:40 ----A---- C:\Windows\system32\TCPSVCS.EXE

2009-09-09 17:17:40 ----A---- C:\Windows\system32\ROUTE.EXE

2009-09-09 17:17:40 ----A---- C:\Windows\system32\netevent.dll

2009-09-09 17:17:40 ----A---- C:\Windows\system32\MRINFO.EXE

2009-09-09 17:17:40 ----A---- C:\Windows\system32\HOSTNAME.EXE

2009-09-09 17:17:40 ----A---- C:\Windows\system32\finger.exe

2009-09-09 17:17:40 ----A---- C:\Windows\system32\ARP.EXE

2009-09-09 17:17:25 ----A---- C:\Windows\system32\WMVCORE.DLL

2009-09-09 17:17:25 ----A---- C:\Windows\system32\mf.dll

 

======List of files/folders modified in the last 1 months======

 

2009-10-03 19:18:37 ----D---- C:\Windows\Prefetch

2009-10-03 19:18:31 ----D---- C:\Windows\temp

2009-10-03 19:18:18 ----RD---- C:\Program Files

2009-10-03 18:21:27 ----D---- C:\Windows\rescache

2009-10-03 18:14:29 ----SHD---- C:\System Volume Information

2009-10-03 18:13:58 ----D---- C:\Windows\System32

2009-10-03 18:10:48 ----D---- C:\Windows\winsxs

2009-10-03 18:10:39 ----D---- C:\Windows\system32\fr-FR

2009-10-03 18:10:36 ----D---- C:\Windows\inf

2009-10-03 18:10:36 ----A---- C:\Windows\system32\PerfStringBackup.INI

2009-10-03 18:10:24 ----D---- C:\Windows\system32\catroot

2009-10-03 18:10:06 ----D---- C:\Windows\system32\catroot2

2009-09-17 22:11:00 ----D---- C:\Windows\system32\WDI

2009-09-17 10:28:42 ----SD---- C:\Users\dodo\AppData\Roaming\Microsoft

2009-09-15 16:37:37 ----RSD---- C:\Windows\Fonts

2009-09-15 16:35:48 ----D---- C:\Windows\system32\Tasks

2009-09-13 15:36:10 ----SHD---- C:\Windows\Installer

2009-09-13 15:35:51 ----HD---- C:\ProgramData

2009-09-13 11:44:38 ----D---- C:\Windows

2009-09-13 11:37:06 ----SD---- C:\Windows\Downloaded Program Files

2009-09-13 10:19:45 ----D---- C:\Windows\system32\drivers

2009-09-10 14:25:59 ----D---- C:\Windows\ehome

 

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

 

R3 ALCXWDM;Service for Realtek AC97 Audio (WDM); C:\Windows\system32\drivers\ALCXWDM.SYS [2005-05-18 2319680]

R3 nvlddmkm;nvlddmkm; C:\Windows\system32\DRIVERS\nvlddmkm.sys [2006-10-14 4422560]

R3 Ph3xIB32;Philips 713x Inbox PCI TV Card; C:\Windows\system32\DRIVERS\Ph3xIB32.sys [2006-11-02 1083520]

R3 RTL8023xp;Pilote Realtek 10/100 NIC Family NDIS x86; C:\Windows\system32\DRIVERS\Rtnicxp.sys [2006-11-02 47104]

R3 WUDFRd;WUDFRd; C:\Windows\system32\DRIVERS\WUDFRd.sys [2008-01-19 83328]

S3 amu4x3xv;amu4x3xv; C:\Windows\system32\drivers\amu4x3xv.sys []

S3 catchme;catchme; \??\C:\Users\dodo\AppData\Local\Temp\catchme.sys []

S3 drmkaud;Filtre de décodeur DRM (Noyau Microsoft); C:\Windows\system32\drivers\drmkaud.sys [2008-01-19 5632]

S3 MSKSSRV;Proxy de service de répartition Microsoft; C:\Windows\system32\drivers\MSKSSRV.sys [2008-01-19 8192]

S3 MSPCLOCK;Proxy d'horloge de répartition Microsoft; C:\Windows\system32\drivers\MSPCLOCK.sys [2008-01-19 5888]

S3 MSPQM;Proxy de gestion de qualité de répartition Microsoft; C:\Windows\system32\drivers\MSPQM.sys [2008-01-19 5504]

S3 MSTEE;Convertisseur en T/site-à-site de répartition Microsoft; C:\Windows\system32\drivers\MSTEE.sys [2008-01-19 6016]

S3 usbscan;Pilote de scanneur USB; C:\Windows\system32\DRIVERS\usbscan.sys [2008-01-19 35328]

S4 WmiAcpi;Microsoft Windows Management Interface for ACPI; C:\Windows\system32\drivers\wmiacpi.sys [2006-11-02 11264]

 

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

 

R2 StarWindServiceAE;StarWind AE Service; d:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe [2007-05-28 275968]

S3 gusvc;Google Software Updater; C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-09-13 182768]

S3 odserv;Microsoft Office Diagnostics Service; C:\Program Files\Common Files\Microsoft Shared\OFFICE12\ODSERV.EXE [2006-10-26 441136]

S3 ose;Office Source Engine; C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184]

 

-----------------EOF-----------------

 

 

INFO.TXT

 

info.txt logfile of random's system information tool 1.06 2009-10-03 19:18:45

 

======Uninstall list======

 

-->d:\Program Files\DivX\DivXConverterUninstall.exe /CONVERTER

AbiWord 2.6.8-->C:\Program Files\AbiSuite2\UninstallAbiWord2.exe

Adobe Flash Player 10 ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe

Adobe Reader 9.1 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A91000000001}

Archiveur WinRAR-->D:\Program Files\WinRAR\uninstall.exe

Canon MP140 series-->"C:\Windows\system32\CanonIJ Uninstaller Information\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_MP140_series\DelDrv.exe" /U:{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_MP140_series /L0x000c

DivX Codec-->d:\Program Files\DivX\DivXCodecUninstall.exe /CODEC

DivX Converter-->d:\Program Files\DivX\DivXConverterUninstall.exe /CONVERTER

DivX Player-->d:\Program Files\DivX\DivXPlayerUninstall.exe /PLAYER

DivX Plus DirectShow Filters-->d:\Program Files\DivX\DivXDSFiltersUninstall.exe /DSFILTERS

DivX Web Player-->d:\Program Files\DivX\DivXWebPlayerUninstall.exe /PLUGIN

eMule-->"d:\Program Files\eMule\Uninstall.exe"

ESET Online Scanner v3-->C:\Program Files\ESET\ESET Online Scanner\OnlineScannerUninstaller.exe

Google Toolbar for Internet Explorer-->"C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarManager_E582EA556D8DE101.exe" /uninstall

Google Toolbar for Internet Explorer-->MsiExec.exe /I{18455581-E099-4BA8-BC6B-F34B2F06600C}

HijackThis 2.0.2-->"C:\Program Files\trend micro\HijackThis.exe" /uninstall

Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""

Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""

Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"

Microsoft .NET Framework 3.5 SP1-->C:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe

Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}

Microsoft Office Access MUI (French) 2007-->MsiExec.exe /X{90120000-0015-040C-0000-0000000FF1CE}

Microsoft Office Excel MUI (French) 2007-->MsiExec.exe /X{90120000-0016-040C-0000-0000000FF1CE}

Microsoft Office Groove MUI (French) 2007-->MsiExec.exe /X{90120000-00BA-040C-0000-0000000FF1CE}

Microsoft Office InfoPath MUI (French) 2007-->MsiExec.exe /X{90120000-0044-040C-0000-0000000FF1CE}

Microsoft Office OneNote MUI (French) 2007-->MsiExec.exe /X{90120000-00A1-040C-0000-0000000FF1CE}

Microsoft Office Outlook MUI (French) 2007-->MsiExec.exe /X{90120000-001A-040C-0000-0000000FF1CE}

Microsoft Office PowerPoint MUI (French) 2007-->MsiExec.exe /X{90120000-0018-040C-0000-0000000FF1CE}

Microsoft Office Proof (Arabic) 2007-->MsiExec.exe /X{90120000-001F-0401-0000-0000000FF1CE}

Microsoft Office Proof (Dutch) 2007-->MsiExec.exe /X{90120000-001F-0413-0000-0000000FF1CE}

Microsoft Office Proof (English) 2007-->MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}

Microsoft Office Proof (French) 2007-->MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}

Microsoft Office Proof (German) 2007-->MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}

Microsoft Office Proof (Spanish) 2007-->MsiExec.exe /X{90120000-001F-0C0A-0000-0000000FF1CE}

Microsoft Office Proofing (French) 2007-->MsiExec.exe /X{90120000-002C-040C-0000-0000000FF1CE}

Microsoft Office Publisher MUI (French) 2007-->MsiExec.exe /X{90120000-0019-040C-0000-0000000FF1CE}

Microsoft Office Shared MUI (French) 2007-->MsiExec.exe /X{90120000-006E-040C-0000-0000000FF1CE}

Microsoft Office Ultimate 2007-->"C:\Program Files\Common Files\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall ULTIMATER /dll OSETUP.DLL

Microsoft Office Ultimate 2007-->MsiExec.exe /X{91120000-002E-0000-0000-0000000FF1CE}

Microsoft Office Word MUI (French) 2007-->MsiExec.exe /X{90120000-001B-040C-0000-0000000FF1CE}

QuickTime-->MsiExec.exe /I{C78EAC6F-7A73-452E-8134-DBB2165C5A68}

Realtek AC'97 Audio-->Alcrmv.exe -r -m

Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""

VC80CRTRedist - 8.0.50727.762-->MsiExec.exe /I{767CC44C-9BBC-438D-BAD3-FD4595DD148B}

VLC media player 0.9.9-->d:\Program Files\VideoLAN\VLC\uninstall.exe

 

======Security center information======

 

AS: Windows Defender

 

======System event log======

 

Computer Name: PC-de-dodo

Event Code: 4385

Message: Windows Servicing a échoué lors de la modification de la mise à jour WUClient-SelfUpdate-Aux-fr-fr-LP du package WUClient-SelfUpdate-Aux-Package-fr-fr-MiniLP(Feature Pack) à l’état Intermédiaire(Staged)

Record Number: 40159

Source Name: Microsoft-Windows-Servicing

Time Written: 20091003161054.000000-000

Event Type: Erreur

User: AUTORITE NT\SYSTEM

 

Computer Name: PC-de-dodo

Event Code: 4375

Message: Windows Servicing a échoué lors de la définition du package WindowsUpdateClient-SelfUpdate-Aux-Package (Language Pack) à l’état Installation demandée(Install Requested)

Record Number: 40160

Source Name: Microsoft-Windows-Servicing

Time Written: 20091003161054.000000-000

Event Type: Erreur

User: AUTORITE NT\SYSTEM

 

Computer Name: PC-de-dodo

Event Code: 4385

Message: Windows Servicing a échoué lors de la modification de la mise à jour AuxResourcesLP du package WindowsUpdateClient-SelfUpdate-Aux-Package(Language Pack) à l’état Intermédiaire(Staged)

Record Number: 40161

Source Name: Microsoft-Windows-Servicing

Time Written: 20091003161054.000000-000

Event Type: Erreur

User: AUTORITE NT\SYSTEM

 

Computer Name: PC-de-dodo

Event Code: 4375

Message: Windows Servicing a échoué lors de la définition du package WindowsUpdateClient-SelfUpdate-Aux-AuxComp-Package_fr-FR (Language Pack) à l’état Installation demandée(Install Requested)

Record Number: 40162

Source Name: Microsoft-Windows-Servicing

Time Written: 20091003161054.000000-000

Event Type: Erreur

User: AUTORITE NT\SYSTEM

 

Computer Name: PC-de-dodo

Event Code: 4385

Message: Windows Servicing a échoué lors de la modification de la mise à jour Aux du package WindowsUpdateClient-SelfUpdate-Aux-AuxComp-Package_fr-FR(Language Pack) à l’état Intermédiaire(Staged)

Record Number: 40163

Source Name: Microsoft-Windows-Servicing

Time Written: 20091003161054.000000-000

Event Type: Erreur

User: AUTORITE NT\SYSTEM

 

=====Application event log=====

 

Computer Name: PC-de-dodo

Event Code: 1530

Message: Windows a détecté que votre fichier de Registre est toujours utilisé par d'autres applications ou services. Le fichier va être déchargé. Les applications ou services qui ont accès à votre Registre risquent de ne pas fonctionner correctement après cela.

 

DÉTAIL -

1 user registry handles leaked from \Registry\User\S-1-5-21-1189449843-3681830943-1716926770-1000_Classes:

Process 884 (\Device\HarddiskVolume2\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-1189449843-3681830943-1716926770-1000_CLASSES

 

Record Number: 1555

Source Name: Microsoft-Windows-User Profiles Service

Time Written: 20090830195851.000000-000

Event Type: Avertissement

User: AUTORITE NT\SYSTEM

 

Computer Name: PC-de-dodo

Event Code: 1530

Message: Windows a détecté que votre fichier de Registre est toujours utilisé par d'autres applications ou services. Le fichier va être déchargé. Les applications ou services qui ont accès à votre Registre risquent de ne pas fonctionner correctement après cela.

 

DÉTAIL -

1 user registry handles leaked from \Registry\User\S-1-5-21-1189449843-3681830943-1716926770-1000:

Process 880 (\Device\HarddiskVolume2\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-1189449843-3681830943-1716926770-1000

 

Record Number: 1599

Source Name: Microsoft-Windows-User Profiles Service

Time Written: 20090831150736.000000-000

Event Type: Avertissement

User: AUTORITE NT\SYSTEM

 

Computer Name: PC-de-dodo

Event Code: 1530

Message: Windows a détecté que votre fichier de Registre est toujours utilisé par d'autres applications ou services. Le fichier va être déchargé. Les applications ou services qui ont accès à votre Registre risquent de ne pas fonctionner correctement après cela.

 

DÉTAIL -

1 user registry handles leaked from \Registry\User\S-1-5-21-1189449843-3681830943-1716926770-1000_Classes:

Process 880 (\Device\HarddiskVolume2\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-1189449843-3681830943-1716926770-1000_CLASSES

 

Record Number: 1600

Source Name: Microsoft-Windows-User Profiles Service

Time Written: 20090831150737.000000-000

Event Type: Avertissement

User: AUTORITE NT\SYSTEM

 

Computer Name: PC-de-dodo

Event Code: 1530

Message: Windows a détecté que votre fichier de Registre est toujours utilisé par d'autres applications ou services. Le fichier va être déchargé. Les applications ou services qui ont accès à votre Registre risquent de ne pas fonctionner correctement après cela.

 

DÉTAIL -

1 user registry handles leaked from \Registry\User\S-1-5-21-1189449843-3681830943-1716926770-1000_Classes:

Process 1708 (\Device\HarddiskVolume2\Windows\System32\taskeng.exe) has opened key \REGISTRY\USER\S-1-5-21-1189449843-3681830943-1716926770-1000_CLASSES

 

Record Number: 1985

Source Name: Microsoft-Windows-User Profiles Service

Time Written: 20090910123446.000000-000

Event Type: Avertissement

User: AUTORITE NT\SYSTEM

 

Computer Name: PC-de-dodo

Event Code: 1000

Message: Application défaillante findstr.exe, version 6.0.6001.18000, horodatage 0x47918ac0, module défaillant findstr.exe, version 6.0.6001.18000, horodatage 0x47918ac0, code d’exception 0xc0000005, décalage d’erreur 0x0000465d, ID du processus 0x6d4, heure de début de l’application 0x01ca444cbebdb2f6.

Record Number: 2694

Source Name: Application Error

Time Written: 20091003171707.000000-000

Event Type: Erreur

User:

 

=====Security event log=====

 

Computer Name: PC-de-dodo

Event Code: 5038

Message: L’intégrité du code a déterminé que le hachage de l’image d’un fichier n’est pas valide. Le fichier peut être endommagé en raison d’une modification non autorisée ou le hachage non valide peut indiquer une erreur d’unité de disque potentielle.

 

Nom du fichier : \Device\HarddiskVolume2\Windows\System32\drivers\tcpip.sys

Record Number: 8564

Source Name: Microsoft-Windows-Security-Auditing

Time Written: 20091003171843.894585-000

Event Type: Échec de l'audit

User:

 

Computer Name: PC-de-dodo

Event Code: 5038

Message: L’intégrité du code a déterminé que le hachage de l’image d’un fichier n’est pas valide. Le fichier peut être endommagé en raison d’une modification non autorisée ou le hachage non valide peut indiquer une erreur d’unité de disque potentielle.

 

Nom du fichier : \Device\HarddiskVolume2\Windows\System32\drivers\tcpip.sys

Record Number: 8565

Source Name: Microsoft-Windows-Security-Auditing

Time Written: 20091003171843.948292-000

Event Type: Échec de l'audit

User:

 

Computer Name: PC-de-dodo

Event Code: 5038

Message: L’intégrité du code a déterminé que le hachage de l’image d’un fichier n’est pas valide. Le fichier peut être endommagé en raison d’une modification non autorisée ou le hachage non valide peut indiquer une erreur d’unité de disque potentielle.

 

Nom du fichier : \Device\HarddiskVolume2\Windows\System32\drivers\tcpip.sys

Record Number: 8566

Source Name: Microsoft-Windows-Security-Auditing

Time Written: 20091003171843.997117-000

Event Type: Échec de l'audit

User:

 

Computer Name: PC-de-dodo

Event Code: 5038

Message: L’intégrité du code a déterminé que le hachage de l’image d’un fichier n’est pas valide. Le fichier peut être endommagé en raison d’une modification non autorisée ou le hachage non valide peut indiquer une erreur d’unité de disque potentielle.

 

Nom du fichier : \Device\HarddiskVolume2\Windows\System32\drivers\tcpip.sys

Record Number: 8567

Source Name: Microsoft-Windows-Security-Auditing

Time Written: 20091003171844.034224-000

Event Type: Échec de l'audit

User:

 

Computer Name: PC-de-dodo

Event Code: 5038

Message: L’intégrité du code a déterminé que le hachage de l’image d’un fichier n’est pas valide. Le fichier peut être endommagé en raison d’une modification non autorisée ou le hachage non valide peut indiquer une erreur d’unité de disque potentielle.

 

Nom du fichier : \Device\HarddiskVolume2\Windows\System32\drivers\tcpip.sys

Record Number: 8568

Source Name: Microsoft-Windows-Security-Auditing

Time Written: 20091003171844.068402-000

Event Type: Échec de l'audit

User:

 

======Environment variables======

 

"ComSpec"=%SystemRoot%\system32\cmd.exe

"FP_NO_HOST_CHECK"=NO

"OS"=Windows_NT

"Path"=%systemroot%\system32;%systemroot%;%systemroot%\system32\wbem;C:\Program Files\Common Files\DivX Shared;D:\Program Files\QuickTime\QTSystem

"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC

"PROCESSOR_ARCHITECTURE"=x86

"TEMP"=%SystemRoot%\TEMP

"TMP"=%SystemRoot%\TEMP

"USERNAME"=SYSTEM

"windir"=%SystemRoot%

"PROCESSOR_LEVEL"=15

"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 47 Stepping 2, AuthenticAMD

"PROCESSOR_REVISION"=2f02

"NUMBER_OF_PROCESSORS"=1

"CLASSPATH"=.;D:\Program Files\QuickTime\QTSystem\QTJava.zip

"QTJAVA"=D:\Program Files\QuickTime\QTSystem\QTJava.zip

 

-----------------EOF-----------------

WawaSeb Godlike Member

WawaSeb

Posté(e)
Posté(e) (modifié)

Bonsoir dodomi79,

 

*** J'ai demandé à l'auteur de Lop S&D s'il voyait pourquoi l'outil refusait de se lancer... *** :P

--> Avais-tu bien lancé Lop S&D avec le clic droit ?

 

As-tu volontairement laissé autant de temps entre ma réponse et la tienne ?

Les infections se mettent à jour et évoluent très vite, je te recommande de traiter rapidement ce cas...

 

 

# Télécharge OTM de OldTimer otico.JPG

  • Enregistre-le sur ton bureau
  • Clique avec le bouton de droite sur OTM.exe pour l'exécuter en tant qu'Administrateur (l'extension peut ne pas apparaître)
  • Copie-colle l'entièreté de ceci dans la partie "Paste Instructions for Items to be Moved" comme indiqué sur la capture (en-dessous de la barre jaune) :
     
    :processes

:files
C:\ProgramData\PLATFORMOPTIONOPTION.ktkps
C:\ProgramData\Long Safe Real.y9corq
C:\Windows\system32\CF30860.exe

:services
amu4x3xv
catchme

:reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Vga Third"=-
"Flag Owns Live Grim"=-

:commands
[emptytemp]


     

    ot3.JPG


     

  • Clique sur le bouton rouge Moveit! pour lancer le nettoyage
  • Copie-colle dans ta prochaine réponse tout ce qui se trouve dans la fenêtre Results (en vert à droite)
    --> Un rapport sera généré dans le dossier C:\ _OTMoveIt\MovedFiles avec la date et l'heure du passage de l'outil (mmddyyyy_hhmmss.log)
  • Ferme OTM (en cliquant sur Exit)

Note : OTM peut demander un redémarrage pour terminer le processus. Tu devras peut-être cliquer sur "Yes" pour accepter...

 

 

Avant ton premier message, tu avais passé Malwarebytes' Anti-Malware ; es-tu encore en mesure de poster le rapport obtenu ?

 

 

Je te souhaite une excellente soirée !

:P

Modifié par WawaSeb

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...