[resolu] trojan dans clé usb dossier cold/hott

[enoch]

voila mon soucis...

 

j'ai un trojan qui infecte mon pc. Il créait systématique sur mes clés usb un fichier Cold/Hott/

a priori c'est vide

il créait également un autorun.ini qui contient ca :

 

autorun]

[autorun[

[autorun]

open=cold\hott\±¥¶º² ¸¥¼ù²¯²

icon=%SystemRoot%\system32\SHELL32.dll,4

action=Open folder to view files

UseAuTOPLAY=1

shell\\open\\command=cold\hott\±¥¶º² ¸¥¼ù²¯²

shell\\Explore\\Command=cold\hott\±¥¶º² ¸¥¼ù²¯²

 

Voila les symptômes.

 

J'ai nettoyé avec Spyboot, malwarebytes, rien trouvés de particulier

Avast mon antivirus passe au travers complet et j'ai fait un scan online sur panda et bitdefender... rien non plus.

 

Apres avoir gratté un peu dans mon registre j'ai trouvé 2 clés pour ±¥¶º² ¸¥¼ù²¯² que j'ai effacé et une clé avec raidhost.exe que j'ai effacé.

J'ai egalement effacé le fichier raidhost.exe sous c:/windows/

 

voila tout ce que j'ai trouvé et nettoyé et pourtant ca ne change rien... même apres avoir formaté mes clés sur un mac quant je les installe sur mon PC en 30sec les dossiers sont recréés...

 

la j'ai un peu besoin de vous ....

 

J'ai vraiment chercher sur le net et je ne trouve rien de bien probant !!! je pense que c'est un trojan assez recent...

 

 

 

PS... bonjour a tous ... c'est mon premier poste ici. merci d'avance d'avoir lu mon message

Modifié le 8 décembre 2009 par enoch

[Thanos]

Salut et bienvenue sur le forum

 

Quelques liens pour t'aider à commencer :

• Comment participer à un forum
  
• retrouver ses messages et activer la notification par email
  

 

On va voir ensemble ce qui se passe sur ton PC ; comme tous les intervenants ici, nous aidons bénévolement en fonction de nos activités personnelles. On va essayer d'aller au plus vite, mais il faudra peut-être parfois être patient pour attendre une réponse, pas d'affolement

 

Pour répondre ou ajouter un post, un rapport, etc, utilise le bouton .

(bouton qui se trouve entre "Flash" et "Nouveau")

 

*********

 

Ok, merci pour ces détails

 

On va faire une analyse supplémentaire >>

 

Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.

• Double-clique sur RSIT.exe afin de lancer RSIT.
  
• Clique Continue à l'écran Disclaimer.
  
• Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
  
• Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché)
  ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).
  
• Si tu ne vois pas ces deux rapports, tu les trouveras dans le dossier C:\rsit
  

J'ai nettoyé avec Spyboot, malwarebytes, rien trouvés de particulier

As tu pensé à brancher tes supports amovibles avant de lancer le scan avec Malwarebytes ?

[enoch]

As tu pensé à brancher tes supports amovibles avant de lancer le scan avec Malwarebytes ?

 

Non ils n'etait pas branchés

je me disais que ce qui etait plut importnat c'etait de trouver la copie residente sur mon pc...

 

Je vais telecharger le logiciel d'analyse que tu m'as indiqué et je poste le resultat.

 

Par contre il y a du nouveau depuis que j'ai posté.

j'ai fait une analyse avec a-squared et il m'a trouvé le virus Virus.Win32.VB!IK qui infesté un processus en cours : le fichier c:/windows/framework.exe

 

je viens de l'effacer. j'attends la fin du scan, je reboot et regarde ce que ca a changer...

 

SInon aucun soucis je sais bien que vous faites ce qeu vous pouvez ici... aucun soucis... prenez votre temsp....

 

je viens de faire l'analyse ... j'ai l'info.txt et le log.txt... c'est enorme en taille... je poste les deux ici ???

 

voila le log.txt

 

Logfile of random's system information tool 1.06 (written by random/random)

Run by Mordred at 2009-12-07 23:54:28

Microsoft Windows XP Professionnel Service Pack 3

System drive C: has 38 GB (50%) free of 76 GB

Total RAM: 2046 MB (46% free)

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 23:54:36, on 07/12/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Google\Update\1.2.183.13\GoogleCrashHandler.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\WINDOWS\system32\cisvc.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe

C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe

C:\Program Files\Microsoft IntelliPoint\ipoint.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Microsoft Hardware\Mouse\point32.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\HomePlayer\HomePlayer.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Microsoft IntelliPoint\dpupdchk.exe

C:\Program Files\dock\YzDock.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\WINDOWS\system32\cidaemon.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Outlook Express\msimn.exe

C:\Program Files\a-squared Anti-Malware\a2service.exe

C:\Program Files\a-squared Anti-Malware\a2wizard.exe

C:\Program Files\Windows Live\Messenger\msnmsgr.exe

C:\Program Files\Windows Live\Contacts\wlcomm.exe

C:\Documents and Settings\Mordred\Bureau\RSIT.exe

C:\Documents and Settings\Mordred\Bureau\Mordred.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [intelliPoint] "C:\Program Files\Microsoft IntelliPoint\ipoint.exe"

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [POINTER] point32.exe

O4 - HKLM\..\Run: [framework] framework.exe

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [HomePlayer] C:\Program Files\HomePlayer\HomePlayer.exe -autostart

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [a-squared] "C:\Program Files\a-squared Anti-Malware\a2guard.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-21-725345543-1078145449-2146778517-500\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Administrateur')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Raccourci vers YzDock.exe.lnk = C:\Program Files\dock\YzDock.exe

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/flas...ent/swflash.cab

O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Program Files\a-squared Anti-Malware\a2service.exe

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Service Google Update (gupdate1ca193e47ea5e51) (gupdate1ca193e47ea5e51) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

 

--

End of file - 8878 bytes

 

======Scheduled tasks folder======

 

C:\WINDOWS\tasks\AppleSoftwareUpdate.job

C:\WINDOWS\tasks\Google Software Updater.job

C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job

C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job

C:\WINDOWS\tasks\Nouvelle Tâche.job

 

======Registry dump======

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]

Aide pour le lien d'Adobe PDF Reader - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-22 62080]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3049C3E9-B461-4BC5-8870-4C09146192CA}]

RealPlayer Download and Record Plugin for Internet Explorer - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll [2008-04-25 308856]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]

Programme d'aide de l'Assistant de connexion Windows Live - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-02-17 408440]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}]

Google Toolbar Notifier BHO - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll [2009-08-09 668656]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]

Java Plug-In 2 SSV Helper - C:\Program Files\Java\jre6\bin\jp2ssv.dll [2009-10-11 41760]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]

JQSIEStartDetectorImpl Class - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-10-11 73728]

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

"SoundMan"=C:\WINDOWS\SOUNDMAN.EXE [2006-06-20 577536]

"nwiz"=nwiz.exe /install []

"IntelliPoint"=C:\Program Files\Microsoft IntelliPoint\ipoint.exe [2007-08-31 1037736]

"avast!"=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe [2009-11-25 81000]

"Adobe Reader Speed Launcher"=C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe [2008-10-15 39792]

"QuickTime Task"=C:\Program Files\QuickTime\QTTask.exe [2009-09-05 417792]

"POINTER"=point32.exe []

"framework"=framework.exe []

"iTunesHelper"=C:\Program Files\iTunes\iTunesHelper.exe [2009-10-28 141600]

"SunJavaUpdateSched"=C:\Program Files\Java\jre6\bin\jusched.exe [2009-10-11 149280]

"HomePlayer"=C:\Program Files\HomePlayer\HomePlayer.exe [2007-11-06 294912]

"NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2007-12-05 8523776]

"a-squared"=C:\Program Files\a-squared Anti-Malware\a2guard.exe [2009-11-05 3279192]

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]

 

C:\Documents and Settings\Mordred\Menu Démarrer\Programmes\Démarrage

Raccourci vers YzDock.exe.lnk - C:\Program Files\dock\YzDock.exe

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]

C:\WINDOWS\system32\WgaLogon.dll [2009-03-10 265088]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]

WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm.sys]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{1a3e09be-1e45-494b-9174-d7385b45bbf5}]

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"dontdisplaylastusername"=0

"legalnoticecaption"=

"legalnoticetext"=

"shutdownwithoutlogon"=1

"undockwithoutlogon"=1

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]

"NoDriveTypeAutoRun"=145

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]

"HonorAutoRunSetting"=

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\Program Files\Active Virus Shield\avp.exe"="C:\Program Files\Active Virus Shield\avp.exe:*:Enabled:Active Virus Shield"

"C:\Program Files\EasyBox\apache\apache.exe"="C:\Program Files\EasyBox\apache\apache.exe:*:Enabled:Apache HTTP Server"

"C:\Program Files\EasyBox\vlc\vlc.exe"="C:\Program Files\EasyBox\vlc\vlc.exe:*:Enabled:VLC media player"

"C:\Program Files\QuickTime\QuickTimePlayer.exe"="C:\Program Files\QuickTime\QuickTimePlayer.exe:*:Enabled:QuickTime Player"

"C:\Program Files\eMule\emule.exe"="C:\Program Files\eMule\emule.exe:*:Enabled:eMule"

"C:\Program Files\BitLord\BitLord.exe"="C:\Program Files\BitLord\BitLord.exe:*:Enabled:BitLord"

"C:\Program Files\VideoLAN\VLC\vlc.exe"="C:\Program Files\VideoLAN\VLC\vlc.exe:*:Enabled:VLC media player"

"C:\Program Files\Real\RealPlayer\realplay.exe"="C:\Program Files\Real\RealPlayer\realplay.exe:*:Enabled:RealPlayer"

"C:\Program Files\Warcraft III\Warcraft III.exe"="C:\Program Files\Warcraft III\Warcraft III.exe:*:Enabled:Warcraft III"

"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\Program Files\Bonjour\mDNSResponder.exe"="C:\Program Files\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour"

"C:\Program Files\LEA\SoftPlug\V3.1\SoftPlug.exe"="C:\Program Files\LEA\SoftPlug\V3.1\SoftPlug.exe:*:Enabled:SoftPlug"

"C:\Program Files\Mozilla Firefox\firefox.exe"="C:\Program Files\Mozilla Firefox\firefox.exe:*:Disabled:Firefox"

"C:\Program Files\Windows Live\Messenger\wlcsdk.exe"="C:\Program Files\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call"

"C:\Program Files\Spotify\spotify.exe"="C:\Program Files\Spotify\spotify.exe:*:Enabled:Spotify"

"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"

"C:\Program Files\iTunes\iTunes.exe"="C:\Program Files\iTunes\iTunes.exe:*:Enabled:iTunes"

"C:\Program Files\HomePlayer\HomePlayer.exe"="C:\Program Files\HomePlayer\HomePlayer.exe:*:Enabled:HomePlayer"

"C:\Program Files\HomePlayer\VLC\vlc.exe"="C:\Program Files\HomePlayer\VLC\vlc.exe:*:Enabled:VLC HomePlayer"

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\Program Files\Windows Live\Messenger\wlcsdk.exe"="C:\Program Files\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call"

"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d9cb0693-a355-11dc-b300-0017315ed598}]

shell\AutoRun\command - H:\cold\hott\±¥¶º² ¸¥¼ù²¯²

shell\Explore\command - H:\cold\hott\±¥¶º² ¸¥¼ù²¯²

shell\open\command - H:\cold\hott\±¥¶º² ¸¥¼ù²¯²

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ee85350b-9850-11dc-b2f9-0017315ed598}]

shell\AutoRun\command - gpcdt.cmd

shell\open\command - gpcdt.cmd

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f3c3ba6d-e25e-11de-a003-044b80808003}]

shell\AutoRun\command - H:\cold\hott\±¥¶º² ¸¥¼ù²¯²

shell\Explore\command - H:\cold\hott\±¥¶º² ¸¥¼ù²¯²

shell\open\command - H:\cold\hott\±¥¶º² ¸¥¼ù²¯²

 

 

======List of files/folders created in the last 1 months======

 

2009-12-07 23:54:28 ----D---- C:\rsit

2009-12-07 22:54:34 ----D---- C:\Program Files\a-squared Anti-Malware

2009-12-07 21:47:36 ----D---- C:\WINDOWS\LastGood

2009-12-07 21:37:38 ----D---- C:\Program Files\Spybot - Search & Destroy

2009-12-07 21:37:38 ----D---- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy

2009-12-07 21:36:16 ----D---- C:\Documents and Settings\Mordred\Application Data\Malwarebytes

2009-12-07 21:36:11 ----D---- C:\Program Files\Malwarebytes' Anti-Malware

2009-12-07 21:36:11 ----D---- C:\Documents and Settings\All Users\Application Data\Malwarebytes

2009-12-06 23:12:11 ----A---- C:\WINDOWS\SchedLgU.Txt

2009-12-02 23:24:38 ----D---- C:\Program Files\HomePlayer

2009-11-17 18:41:53 ----A---- C:\WINDOWS\AwdSLP.exe

2009-11-17 18:39:59 ----D---- C:\Documents and Settings\Mordred\Application Data\Download Manager

2009-11-17 15:17:59 ----D---- C:\Program Files\PC Drivers HeadQuarters

2009-11-17 15:17:59 ----D---- C:\Documents and Settings\All Users\Application Data\PC Drivers HeadQuarters

2009-11-17 15:16:31 ----D---- C:\Documents and Settings\Mordred\Application Data\GetRightToGo

2009-11-17 15:09:17 ----D---- C:\Program Files\AIDA32 - Personal System Information

2009-11-17 00:33:23 ----D---- C:\Documents and Settings\Mordred\Application Data\vlc

2009-11-13 04:44:47 ----A---- C:\WINDOWS\system32\YoItzVlad.tmp

2009-11-12 14:42:25 ----D---- C:\Program Files\iPod

2009-11-12 14:42:20 ----D---- C:\Program Files\iTunes

2009-11-11 13:05:32 ----A---- C:\WINDOWS\NeroDigital.ini

2009-11-11 13:00:56 ----D---- C:\Documents and Settings\Mordred\Application Data\Nero

2009-11-11 12:25:16 ----D---- C:\Program Files\Nero

2009-11-11 12:24:22 ----D---- C:\Documents and Settings\All Users\Application Data\Nero

2009-11-11 12:24:19 ----D---- C:\Program Files\Fichiers communs\Nero

 

======List of files/folders modified in the last 1 months======

 

2009-12-07 23:54:35 ----D---- C:\WINDOWS\Prefetch

2009-12-07 23:07:23 ----D---- C:\WINDOWS

2009-12-07 22:54:48 ----D---- C:\WINDOWS\Temp

2009-12-07 22:54:34 ----RD---- C:\Program Files

2009-12-07 22:47:53 ----D---- C:\WINDOWS\system32\drivers

2009-12-07 22:41:47 ----D---- C:\WINDOWS\SoftwareDistribution

2009-12-07 21:47:53 ----HD---- C:\WINDOWS\inf

2009-12-07 21:45:58 ----D---- C:\Program Files\Mozilla Firefox

2009-12-07 21:22:33 ----D---- C:\WINDOWS\system32\CatRoot2

2009-12-07 21:21:30 ----SD---- C:\WINDOWS\Tasks

2009-12-07 21:12:13 ----SHD---- C:\WINDOWS\Installer

2009-12-07 21:12:13 ----D---- C:\Program Files\Windows Live

2009-12-07 00:21:18 ----D---- C:\WINDOWS\BDOSCAN8

2009-12-06 23:31:12 ----SHD---- C:\RECYCLER

2009-12-03 10:28:23 ----D---- C:\Documents and Settings\Mordred\Application Data\dvdcss

2009-12-02 20:42:29 ----D---- C:\WINDOWS\system32

2009-12-02 12:41:44 ----D---- C:\Program Files\Google

2009-12-02 00:15:17 ----RSHDC---- C:\WINDOWS\system32\dllcache

2009-12-02 00:15:07 ----D---- C:\WINDOWS\WinSxS

2009-11-25 00:54:29 ----A---- C:\WINDOWS\system32\aswBoot.exe

2009-11-17 18:35:17 ----HD---- C:\Program Files\InstallShield Installation Information

2009-11-17 15:21:15 ----RSD---- C:\WINDOWS\assembly

2009-11-17 15:21:15 ----D---- C:\WINDOWS\Microsoft.NET

2009-11-17 02:01:29 ----D---- C:\Documents and Settings\All Users\Application Data\Microsoft Help

2009-11-17 02:00:41 ----D---- C:\WINDOWS\pchealth

2009-11-17 00:30:33 ----D---- C:\Program Files\Java

2009-11-16 20:45:54 ----D---- C:\WINDOWS\system32\LogFiles

2009-11-16 20:43:16 ----D---- C:\WINDOWS\Debug

2009-11-12 14:46:18 ----D---- C:\Program Files\Safari

2009-11-12 14:42:23 ----D---- C:\Program Files\Fichiers communs\Apple

2009-11-11 12:24:19 ----D---- C:\Program Files\Fichiers communs

2009-11-11 12:22:40 ----D---- C:\Program Files\Fichiers communs\Microsoft Shared

2009-11-11 11:39:50 ----D---- C:\Program Files\Astonsoft

2009-11-11 11:31:17 ----A---- C:\WINDOWS\cdplayer.ini

 

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

 

R1 Aavmker4;avast! Asynchronous Virus Monitor; C:\WINDOWS\system32\drivers\Aavmker4.sys [2009-11-25 27408]

R1 aswSP;avast! Self Protection; C:\WINDOWS\system32\drivers\aswSP.sys [2009-11-25 114768]

R1 aswTdi;avast! Network Shield Support; C:\WINDOWS\system32\drivers\aswTdi.sys [2009-11-25 48560]

R1 PCLEPCI;PCLEPCI; \??\C:\WINDOWS\system32\drivers\pclepci.sys []

R1 StarOpen;StarOpen; C:\WINDOWS\system32\drivers\StarOpen.sys [2007-06-29 5632]

R2 aswFsBlk;aswFsBlk; C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2009-11-25 20560]

R2 aswMon2;avast! Standard Shield Support; C:\WINDOWS\system32\drivers\aswMon2.sys [2009-11-25 94160]

R2 ElbyCDIO;ElbyCDIO Driver; C:\WINDOWS\System32\Drivers\ElbyCDIO.sys [2007-02-16 15440]

R2 tmcomm;tmcomm; \??\C:\WINDOWS\system32\drivers\tmcomm.sys []

R3 ALCXWDM;Service for Realtek AC97 Audio (WDM); C:\WINDOWS\system32\drivers\ALCXWDM.SYS [2006-06-27 3972672]

R3 AnyDVD;AnyDVD; C:\WINDOWS\System32\Drivers\AnyDVD.sys [2007-02-16 68936]

R3 aswRdr;aswRdr; C:\WINDOWS\system32\drivers\aswRdr.sys [2009-11-25 23120]

R3 ElbyDelay;ElbyDelay; C:\WINDOWS\System32\Drivers\ElbyDelay.sys [2005-04-12 4608]

R3 GEARAspiWDM;GEAR ASPI Filter Driver; C:\WINDOWS\System32\Drivers\GEARAspiWDM.sys [2009-05-18 26600]

R3 hidusb;Pilote de classe HID Microsoft; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]

R3 mouhid;Pilote HID de souris; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-23 12288]

R3 MTsensor;ATK0110 ACPI UTILITY; C:\WINDOWS\system32\DRIVERS\ASACPI.sys [2004-08-13 5810]

R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2007-12-05 7435392]

R3 NVENETFD;NVIDIA nForce Networking Controller Driver; C:\WINDOWS\system32\DRIVERS\NVENETFD.sys [2006-04-14 34176]

R3 nvnetbus;NVIDIA Network Bus Enumerator; C:\WINDOWS\system32\DRIVERS\nvnetbus.sys [2006-04-14 13056]

R3 pfc;Padus ASPI Shell; C:\WINDOWS\system32\drivers\pfc.sys [2007-06-09 10368]

R3 usbehci;Pilote miniport de contrôleur d'hôte amélioré Microsoft USB 2.0; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]

R3 usbhub;Pilote de concentrateur standard USB Microsoft; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]

R3 usbohci;Pilote miniport de contrôleur hôte ouvert USB Microsoft; C:\WINDOWS\system32\DRIVERS\usbohci.sys [2008-04-13 17152]

R3 usbstor;Pilote de stockage de masse USB; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]

R3 vaxscsi;vaxscsi; C:\WINDOWS\System32\Drivers\vaxscsi.sys [2008-06-08 223128]

S1 AmdK8;Pilote de processeur AMD; C:\WINDOWS\system32\DRIVERS\AmdK8.sys []

S1 kbdhid;Pilote HID de clavier; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-14 14720]

S3 ahfxdq8l;ahfxdq8l; C:\WINDOWS\system32\drivers\ahfxdq8l.sys []

S3 epmntdrv;epmntdrv; \??\C:\WINDOWS\system32\epmntdrv.sys []

S3 EuGdiDrv;EuGdiDrv; \??\C:\WINDOWS\system32\EuGdiDrv.sys []

S3 IPFilter; Microsoft IntelliPoint Features Driver; C:\WINDOWS\system32\DRIVERS\IPFilter.sys [2000-05-19 11504]

S3 nm;Pilote du Moniteur réseau; C:\WINDOWS\system32\DRIVERS\NMnt.sys [2008-04-13 40320]

S3 Point32;Microsoft IntelliPoint Filter Driver; C:\WINDOWS\system32\DRIVERS\point32.sys [2007-08-21 21760]

S3 USBAAPL;Apple Mobile USB Driver; C:\WINDOWS\System32\Drivers\usbaapl.sys [2009-08-28 40448]

S3 usbccgp;Pilote parent générique USB Microsoft; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128]

S3 usbprint;Classe d'imprimantes USB Microsoft; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856]

S3 usbscan;Pilote de scanneur USB; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104]

S3 wceusbsh;Windows CE USB Serial Host Driver; C:\WINDOWS\system32\DRIVERS\wceusbsh.sys [2007-06-28 108208]

S3 WpdUsb;WpdUsb; C:\WINDOWS\system32\DRIVERS\wpdusb.sys [2006-10-18 38528]

S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]

S3 xnacc;Microsoft Common Controller For Windows Driver Service; C:\WINDOWS\system32\DRIVERS\xnacc.sys [2006-06-01 509440]

S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

S4 sr;Pilote de filtre de restauration système; C:\WINDOWS\system32\DRIVERS\sr.sys [2008-04-14 73600]

 

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

 

R2 a2AntiMalware;a-squared Anti-Malware Service; C:\Program Files\a-squared Anti-Malware\a2service.exe [2009-10-01 1858144]

R2 Apple Mobile Device;Apple Mobile Device; C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [2009-06-05 144712]

R2 aswUpdSv;avast! iAVS4 Control Service; C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe [2009-11-25 18752]

R2 avast! Antivirus;avast! Antivirus; C:\Program Files\Alwil Software\Avast4\ashServ.exe [2009-11-25 138680]

R2 Bonjour Service;Service Bonjour; C:\Program Files\Bonjour\mDNSResponder.exe [2008-12-12 238888]

R2 JavaQuickStarterService;Java Quick Starter; C:\Program Files\Java\jre6\bin\jqs.exe [2009-10-11 153376]

R2 MDM;Machine Debug Manager; C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe [2006-10-26 335872]

R2 Nero BackItUp Scheduler 4.0;Nero BackItUp Scheduler 4.0; C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe [2009-09-23 935208]

R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2007-12-05 155716]

R2 StarWindService;StarWind iSCSI Service; C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe [2005-04-01 217600]

R2 WMPNetworkSvc;Service Partage réseau du Lecteur Windows Media; C:\Program Files\Windows Media Player\WMPNetwk.exe [2006-11-03 918016]

R2 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]

R3 avast! Mail Scanner;avast! Mail Scanner; C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe [2009-11-25 254040]

R3 avast! Web Scanner;avast! Web Scanner; C:\Program Files\Alwil Software\Avast4\ashWebSv.exe [2009-11-25 352920]

R3 iPod Service;Service de l’iPod; C:\Program Files\iPod\bin\iPodService.exe [2009-10-28 545568]

S2 gupdate1ca193e47ea5e51;Service Google Update (gupdate1ca193e47ea5e51); C:\Program Files\Google\Update\GoogleUpdate.exe [2009-08-09 133104]

S2 gusvc;Google Software Updater; C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-08-09 190448]

S3 Adobe LM Service;Adobe LM Service; C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe [2007-06-09 72704]

S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]

S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]

S3 FLEXnet Licensing Service;FLEXnet Licensing Service; C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe [2009-02-22 654848]

S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]

S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]

S3 odserv;Microsoft Office Diagnostics Service; C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE12\ODSERV.EXE [2008-11-04 441712]

S3 ose;Office Source Engine; C:\Program Files\Fichiers communs\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184]

S4 EasyBoxApache;EasyBoxApache; C:\Program Files\EasyBox\Apache\Apache.exe [2005-12-01 20537]

S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]

Modifié le 7 décembre 2009 par enoch

[Thanos]

je consulte ton rapport et te laisse une réponse sous peu...

[Thanos]

On va passer l'outil suivant pour détecter la présence d'infection via support amovible >>

 

Télecharge et installe UsbFix de C_XX & Chiquitine29

 

• Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, carte mémoire APN etc...) susceptibles d avoir été infectées sans les ouvrir
  
• Double clique sur le raccourci UsbFix présent sur ton bureau .
  
• Choisis option 1 ( Recherche ) et laisse travailler l outil.
  
• Ensuite poste le rapport UsbFix.txt qui apparaitra.
  

 

Notes :

 

- Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

- Le processus "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.

Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.

Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

[Thanos]

Non ils n'etait pas branchés

je me disais que ce qui etait plut importnat c'etait de trouver la copie residente sur mon pc...

C'est important (fais le absolument avant de faire le scan avec USBFix)

Je te conseille chaudement de lire le topic créé par Gof à propos de ces infections: c'est très bien écrit et accessible. Ca te permettra de connaitre/reconnaitre cette infection >> http://forum.zebulon.fr/infections-par-sup...es-t131959.html

Un guide (toujours par Gof) que je te conseille de diffuser autour de toi car ces infections via clé ubs sont un vrai fléau >> http://forum.zebulon.fr/guide-securisation...sb-t170848.html

Envoie le à tes amis pour qu'ils se prémunissent contre cette plaie

[enoch]

C'est important (fais le absolument avant de faire le scan avec USBFix)

Je te conseille chaudement de lire le topic créé par Gof à propos de ces infections: c'est très bien écrit et accessible. Ca te permettra de connaitre/reconnaitre cette infection >> http://forum.zebulon.fr/infections-par-sup...es-t131959.html

Un guide (toujours par Gof) que je te conseille de diffuser autour de toi car ces infections via clé ubs sont un vrai fléau >> http://forum.zebulon.fr/guide-securisation...sb-t170848.html

Envoie le à tes amis pour qu'ils se prémunissent contre cette plaie

 

 

Merci je viens de lire tout ca ...

ca m'a aidé a comprendre le probleme.

 

Je pense avoir nettoyer mon pc et j'ai formaté mes clés sur mac ... a prioris tout est rentré dans l'ordre.

 

Merci a vous

 

Par contre si quelqu'un a trouver quelque chose de bizarre sur mon rapport Hijackthis suis preneur des infos

 

Merci encore

Modifié le 8 décembre 2009 par enoch

[Thanos]

salut

 

enoch: je t'ai posté une procédure à effectuer avec UsbFix. La raison en est que ton rapport RSIT présente des signes d'infection par support amovible. Poste le rapport demandé stp

Modifié le 8 décembre 2009 par Thanos

[enoch]

salut

 

enoch: je t'ai posté une procédure à effectuer avec UsbFix. La raison en est que ton rapport RSIT présente des signes d'infection par support amovible. Poste le rapport demandé stp

 

ok !

 

voici le rapport de usbfix

 

 

############################## | UsbFix V6.060 |

 

User : Mordred (Administrateurs) # PC

Update on 09/12/2009 by Chiquitine29, C_XX & Chimay8

Start at: 02:22:00 | 10/12/2009

Website : http://pagesperso-orange.fr/NosTools/index.html

Contact : FindyKill.Contact@gmail.com

 

AMD Athlon 64 X2 Dual Core Processor 4600+

Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3

Internet Explorer 8.0.6001.18702

Windows Firewall Status : Enabled

AV : avast! antivirus 4.8.1368 [VPS 091209-1] 4.8.1368 [ Enabled | Updated ]

AV : a-squared Anti-Malware 4 [ (!) Disabled | Updated ]

 

A:\ -> Lecteur de disquettes 3 ½ pouces

C:\ -> Disque fixe local # 74,52 Go (36,6 Go free) # NTFS

D:\ -> Disque fixe local # 465,76 Go (8,58 Go free) [500go] # NTFS

E:\ -> Disque fixe local # 38,54 Go (10,06 Go free) [systemOLD] # NTFS

F:\ -> Disque CD-ROM

G:\ -> Disque CD-ROM

H:\ -> Disque fixe local # 111,76 Go (33,45 Go free) [WHITEDAMIEN] # FAT32

I:\ -> Disque fixe local # 73,25 Go (5,4 Go free) [Musique] # NTFS

J:\ -> Disque CD-ROM

K:\ -> Disque CD-ROM

W:\ -> Disque amovible

X:\ -> Disque amovible

Y:\ -> Disque amovible

Z:\ -> Disque amovible

 

############################## | Processus actifs |

 

C:\WINDOWS\System32\smss.exe 712

C:\WINDOWS\system32\csrss.exe 760

C:\WINDOWS\system32\winlogon.exe 796

C:\WINDOWS\system32\services.exe 852

C:\WINDOWS\system32\lsass.exe 864

C:\WINDOWS\system32\svchost.exe 1044

C:\WINDOWS\system32\svchost.exe 1092

C:\WINDOWS\System32\svchost.exe 1208

C:\WINDOWS\system32\svchost.exe 1256

C:\WINDOWS\system32\svchost.exe 1352

C:\WINDOWS\system32\svchost.exe 1492

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe 1568

C:\Program Files\Alwil Software\Avast4\ashServ.exe 1620

C:\WINDOWS\Explorer.EXE 1816

C:\WINDOWS\system32\spoolsv.exe 228

C:\Program Files\Google\Update\1.2.183.13\GoogleCrashHandler.exe 464

C:\WINDOWS\system32\svchost.exe 604

C:\Program Files\a-squared Anti-Malware\a2service.exe 624

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe 916

C:\Program Files\Bonjour\mDNSResponder.exe 1032

C:\WINDOWS\system32\cisvc.exe 1172

C:\WINDOWS\System32\svchost.exe 1788

C:\WINDOWS\SOUNDMAN.EXE 1744

C:\Program Files\Java\jre6\bin\jqs.exe 1104

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe 2116

C:\Program Files\Microsoft IntelliPoint\ipoint.exe 2132

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe 2152

C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe 2228

C:\Program Files\Microsoft Hardware\Mouse\point32.exe 2300

C:\Program Files\iTunes\iTunesHelper.exe 2320

C:\Program Files\Java\jre6\bin\jusched.exe 2388

C:\Program Files\HomePlayer\HomePlayer.exe 2416

C:\Program Files\Microsoft IntelliPoint\dpupdchk.exe 2436

C:\WINDOWS\system32\ctfmon.exe 2476

C:\WINDOWS\system32\nvsvc32.exe 2520

C:\Program Files\dock\YzDock.exe 2656

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe 2836

C:\WINDOWS\system32\svchost.exe 2960

C:\Program Files\Windows Media Player\WMPNetwk.exe 3208

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe 3664

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe 3792

C:\Program Files\iPod\bin\iPodService.exe 4084

C:\WINDOWS\System32\alg.exe 2372

C:\WINDOWS\system32\cidaemon.exe 2920

C:\Program Files\eMule\emule.exe 2600

C:\Program Files\HomePlayer\vlc\vlc.exe 4076

C:\Program Files\Mozilla Firefox\firefox.exe 3220

C:\Program Files\Winamp\winamp.exe 912

C:\Program Files\BitLord\BitLord.exe 2256

C:\WINDOWS\system32\wbem\wmiprvse.exe 3264

 

################## | Fichiers # Dossiers infectieux |

 

 

################## | Spyware.OnlineGames |

 

 

################## | Registre # Clés infectieuses |

 

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "framework"

 

################## | Registre # Mountpoints2 |

 

HKCU\..\..\Explorer\MountPoints2\{d9cb0693-a355-11dc-b300-0017315ed598}

Shell\AutoRun\command =H:\cold\hott\±¥¶º² ¸¥¼ù²¯²

Shell\Explore\Command =H:\cold\hott\±¥¶º² ¸¥¼ù²¯²

Shell\open\command =H:\cold\hott\±¥¶º² ¸¥¼ù²¯²

 

HKCU\..\..\Explorer\MountPoints2\{ee85350b-9850-11dc-b2f9-0017315ed598}

Shell\AutoRun\command =gpcdt.cmd

Shell\open\Command =gpcdt.cmd

 

HKCU\..\..\Explorer\MountPoints2\{f3c3ba6d-e25e-11de-a003-044b80808003}

Shell\AutoRun\command =H:\cold\hott\±¥¶º² ¸¥¼ù²¯²

Shell\Explore\Command =H:\cold\hott\±¥¶º² ¸¥¼ù²¯²

Shell\open\command =H:\cold\hott\±¥¶º² ¸¥¼ù²¯²

 

################## | Cracks / Keygens / Serials |

 

 

################## | ! Fin du rapport # UsbFix V6.060 ! |

[Thanos]

salut,

 

La suite pour nettoyer le registre (pas de fichiers infectés manifestement) >>

 

1°) Nettoyage >>

• Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, carte mémoire APN etc...) susceptibles d avoir été infectées sans les ouvrir
  
• Double clique sur le raccourci UsbFix présent sur ton bureau .
  
• Choisis option 2 ( Suppression )
  
• Ton bureau disparaitra et le pc redémarrera .
  
• Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.
  
• Ensuite poste le rapport UsbFix.txt qui apparaitra.
  

 

Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

 

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

 

2°) Relance rsit et poste le rapport stp.

Modifié le 10 décembre 2009 par Thanos