[RESOLU] Infecté par XP security center

Apollo · le 22 mars 2010

Bonjour,

Bon ça suffit maintenant!

C'est la seconde fois qu'on me fait ce coup-là: des membres contactent les "helpés" pour leur faire passer des scripts avec The Avenger, qui est un outil aussi dangereux que ComboFix.

Je VEUX savoir de qui il s'agit stp. Tu me le dis par message privé et j'avertirai l'administrateur sécurité de ce forum.

J'en ai ras-le bol qu'on donne des instructions à des gens que j'assiste sans même m'en avertir, ce qui serait quand-même la moindre des choses.

Cette façon d'agir me fait prendre pour un abruti et si cela continue, je me TAILLERAIS définitivement de Zébulon.

(ce qui réjouira quelques "amis")...

@++

Modifié le 22 mars 2010 par Apollo

FOIN · le 22 mars 2010

Ne t'énerve pas s'il te plait moi je n'ai fait que tes démarches et rien d'autre.

Au passage voilà le rapport TDSS :

12:53:32:203 4432 TD

S

root

k

it removing tool 2.2.8 Mar 10 2010 15:53:20

12:53:32:203 4432 ================================================================================

12:53:32:203 4432

S

y

s

temInfo:

12:53:32:203 4432 O

S

Ver

s

ion: 5.1.2600

S

ervicePac

k

: 2.0

12:53:32:203 4432 Product type: Wor

k

s

tation

12:53:32:203 4432 ComputerName: HENRIO

12:53:32:203 4432 U

s

erName: Morgane

12:53:32:203 4432 Window

s

directory: C:\WINDOW

S

12:53:32:203 4432 Proce

s

or architecture: Intel x86

12:53:32:203 4432 Number of proce

s

or

s

: 2

12:53:32:203 4432 Page

s

ize: 0x1000

12:53:32:203 4432 Boot type: Normal boot

12:53:32:203 4432 ================================================================================

12:53:32:203 4432 UnloadDriverW: NtUnloadDriver error 2

12:53:32:203 4432 ForceUnloadDriverW: UnloadDriverW(

k

lmd21) error 2

12:53:32:234 4432 wfopen_ex: Trying to open file C:\WINDOW

S

\

s

y

s

tem32\config\

s

y

s

tem

12:53:32:234 4432 wfopen_ex: MyNtCreateFileW error 32 (C0000043)

12:53:32:234 4432 wfopen_ex: Trying to

K

LMD file open

12:53:32:234 4432 wfopen_ex: File opened o

k

(Flag

s

2)

12:53:32:234 4432 wfopen_ex: Trying to open file C:\WINDOW

S

\

s

y

s

tem32\config\

s

oftware

12:53:32:234 4432 wfopen_ex: MyNtCreateFileW error 32 (C0000043)

12:53:32:234 4432 wfopen_ex: Trying to

K

LMD file open

12:53:32:234 4432 wfopen_ex: File opened o

k

(Flag

s

2)

12:53:32:234 4432 Initialize

s

ucce

s

12:53:32:234 4432

S

canning

S

ervice

s

...

12:53:32:609 4432 GetAdvanced

S

ervice

s

Info: Raw

s

ervice

s

enum returned 381

s

ervice

s

12:53:32:609 4432

S

canning

K

ernel memory ...

12:53:32:609 4432 Device

s

to

s

can: 13

12:53:32:609 4432

12:53:32:609 4432 Driver Name: Di

s

k

12:53:32:609 4432 IRP_MJ_CREATE : F7596C30

12:53:32:609 4432 IRP_MJ_CREATE_NAMED_PIPE : 804F4476

12:53:32:609 4432 IRP_MJ_CLO

S

E : F7596C30

12:53:32:609 4432 IRP_MJ_READ : F7590D9B

12:53:32:609 4432 IRP_MJ_WRITE : F7590D9B

12:53:32:609 4432 IRP_MJ_QUERY_INFORMATION : 804F4476

12:53:32:609 4432 IRP_MJ_

S

ET_INFORMATION : 804F4476

12:53:32:609 4432 IRP_MJ_QUERY_EA : 804F4476

12:53:32:609 4432 IRP_MJ_

S

ET_EA : 804F4476

12:53:32:609 4432 IRP_MJ_FLU

S

H_BUFFER

S

: F7591366

12:53:32:609 4432 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F4476

12:53:32:609 4432 IRP_MJ_

S

ET_VOLUME_INFORMATION : 804F4476

12:53:32:609 4432 IRP_MJ_DIRECTORY_CONTROL : 804F4476

12:53:32:609 4432 IRP_MJ_FILE_

S

Y

S

TEM_CONTROL : 804F4476

12:53:32:609 4432 IRP_MJ_DEVICE_CONTROL : F759144D

12:53:32:609 4432 IRP_MJ_INTERNAL_DEVICE_CONTROL : F7594FC3

12:53:32:609 4432 IRP_MJ_

S

HUTDOWN : F7591366

12:53:32:609 4432 IRP_MJ_LOC

K

_CONTROL : 804F4476

12:53:32:609 4432 IRP_MJ_CLEANUP : 804F4476

12:53:32:609 4432 IRP_MJ_CREATE_MAIL

S

LOT : 804F4476

12:53:32:609 4432 IRP_MJ_QUERY_

S

ECURITY : 804F4476

12:53:32:609 4432 IRP_MJ_

S

ET_

S

ECURITY : 804F4476

12:53:32:609 4432 IRP_MJ_POWER : F7592EF3

12:53:32:609 4432 IRP_MJ_

S

Y

S

TEM_CONTROL : F7597A24

12:53:32:609 4432 IRP_MJ_DEVICE_CHANGE : 804F4476

12:53:32:609 4432 IRP_MJ_QUERY_QUOTA : 804F4476

12:53:32:609 4432 IRP_MJ_

S

ET_QUOTA : 804F4476

12:53:32:625 4432 C:\WINDOW

S

\

s

y

s

tem32\DRIVER

S

\di

s

k

.

s

y

s

- Verdict: 1

12:53:32:625 4432

12:53:32:625 4432 Driver Name: U

S

B

S

TOR

12:53:32:625 4432 IRP_MJ_CREATE : 86D341F8

12:53:32:625 4432 IRP_MJ_CREATE_NAMED_PIPE : 804F4476

12:53:32:625 4432 IRP_MJ_CLO

S

E : 86D341F8

12:53:32:625 4432 IRP_MJ_READ : 86D341F8

12:53:32:625 4432 IRP_MJ_WRITE : 86D341F8

12:53:32:625 4432 IRP_MJ_QUERY_INFORMATION : 804F4476

12:53:32:625 4432 IRP_MJ_

S

ET_INFORMATION : 804F4476

12:53:32:625 4432 IRP_MJ_QUERY_EA : 804F4476

12:53:32:625 4432 IRP_MJ_

S

ET_EA : 804F4476

12:53:32:625 4432 IRP_MJ_FLU

S

H_BUFFER

S

: 804F4476

12:53:32:625 4432 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F4476

12:53:32:625 4432 IRP_MJ_

S

ET_VOLUME_INFORMATION : 804F4476

12:53:32:625 4432 IRP_MJ_DIRECTORY_CONTROL : 804F4476

12:53:32:625 4432 IRP_MJ_FILE_

S

Y

S

TEM_CONTROL : 804F4476

12:53:32:625 4432 IRP_MJ_DEVICE_CONTROL : 86D341F8

12:53:32:625 4432 IRP_MJ_INTERNAL_DEVICE_CONTROL : 86D341F8

12:53:32:625 4432 IRP_MJ_

S

HUTDOWN : 804F4476

12:53:32:625 4432 IRP_MJ_LOC

K

_CONTROL : 804F4476

12:53:32:625 4432 IRP_MJ_CLEANUP : 804F4476

12:53:32:625 4432 IRP_MJ_CREATE_MAIL

S

LOT : 804F4476

12:53:32:625 4432 IRP_MJ_QUERY_

S

ECURITY : 804F4476

12:53:32:625 4432 IRP_MJ_

S

ET_

S

ECURITY : 804F4476

12:53:32:625 4432 IRP_MJ_POWER : 86D341F8

12:53:32:625 4432 IRP_MJ_

S

Y

S

TEM_CONTROL : 86D341F8

12:53:32:625 4432 IRP_MJ_DEVICE_CHANGE : 804F4476

12:53:32:625 4432 IRP_MJ_QUERY_QUOTA : 804F4476

12:53:32:625 4432 IRP_MJ_

S

ET_QUOTA : 804F4476

12:53:32:625 4432 C:\WINDOW

S

\

s

y

s

tem32\DRIVER

S

\U

S

B

S

TOR.

S

Y

S

- Verdict: 1

12:53:32:625 4432

12:53:32:625 4432 Driver Name: Di

s

k

12:53:32:625 4432 IRP_MJ_CREATE : F7596C30

12:53:32:625 4432 IRP_MJ_CREATE_NAMED_PIPE : 804F4476

12:53:32:625 4432 IRP_MJ_CLO

S

E : F7596C30

12:53:32:625 4432 IRP_MJ_READ : F7590D9B

12:53:32:625 4432 IRP_MJ_WRITE : F7590D9B

12:53:32:625 4432 IRP_MJ_QUERY_INFORMATION : 804F4476

12:53:32:625 4432 IRP_MJ_

S

ET_INFORMATION : 804F4476

12:53:32:625 4432 IRP_MJ_QUERY_EA : 804F4476

12:53:32:625 4432 IRP_MJ_

S

ET_EA : 804F4476

12:53:32:625 4432 IRP_MJ_FLU

S

H_BUFFER

S

: F7591366

12:53:32:625 4432 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F4476

12:53:32:625 4432 IRP_MJ_

S

ET_VOLUME_INFORMATION : 804F4476

12:53:32:625 4432 IRP_MJ_DIRECTORY_CONTROL : 804F4476

12:53:32:625 4432 IRP_MJ_FILE_

S

Y

S

TEM_CONTROL : 804F4476

12:53:32:625 4432 IRP_MJ_DEVICE_CONTROL : F759144D

12:53:32:625 4432 IRP_MJ_INTERNAL_DEVICE_CONTROL : F7594FC3

12:53:32:625 4432 IRP_MJ_

S

HUTDOWN : F7591366

12:53:32:625 4432 IRP_MJ_LOC

K

_CONTROL : 804F4476

12:53:32:625 4432 IRP_MJ_CLEANUP : 804F4476

12:53:32:625 4432 IRP_MJ_CREATE_MAIL

S

LOT : 804F4476

12:53:32:625 4432 IRP_MJ_QUERY_

S

ECURITY : 804F4476

12:53:32:625 4432 IRP_MJ_

S

ET_

S

ECURITY : 804F4476

12:53:32:625 4432 IRP_MJ_POWER : F7592EF3

12:53:32:625 4432 IRP_MJ_

S

Y

S

TEM_CONTROL : F7597A24

12:53:32:625 4432 IRP_MJ_DEVICE_CHANGE : 804F4476

12:53:32:625 4432 IRP_MJ_QUERY_QUOTA : 804F4476

12:53:32:625 4432 IRP_MJ_

S

ET_QUOTA : 804F4476

12:53:32:625 4432 C:\WINDOW

S

\

s

y

s

tem32\DRIVER

S

\di

s

k

.

s

y

s

- Verdict: 1

12:53:32:625 4432

12:53:32:625 4432 Driver Name: Di

s

k

12:53:32:625 4432 IRP_MJ_CREATE : F7596C30

12:53:32:625 4432 IRP_MJ_CREATE_NAMED_PIPE : 804F4476

12:53:32:625 4432 IRP_MJ_CLO

S

E : F7596C30

12:53:32:625 4432 IRP_MJ_READ : F7590D9B

12:53:32:625 4432 IRP_MJ_WRITE : F7590D9B

12:53:32:625 4432 IRP_MJ_QUERY_INFORMATION : 804F4476

12:53:32:625 4432 IRP_MJ_

S

ET_INFORMATION : 804F4476

12:53:32:625 4432 IRP_MJ_QUERY_EA : 804F4476

12:53:32:625 4432 IRP_MJ_

S

ET_EA : 804F4476

12:53:32:625 4432 IRP_MJ_FLU

S

H_BUFFER

S

: F7591366

12:53:32:625 4432 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F4476

12:53:32:625 4432 IRP_MJ_

S

ET_VOLUME_INFORMATION : 804F4476

12:53:32:625 4432 IRP_MJ_DIRECTORY_CONTROL : 804F4476

12:53:32:625 4432 IRP_MJ_FILE_

S

Y

S

TEM_CONTROL : 804F4476

12:53:32:625 4432 IRP_MJ_DEVICE_CONTROL : F759144D

12:53:32:625 4432 IRP_MJ_INTERNAL_DEVICE_CONTROL : F7594FC3

12:53:32:625 4432 IRP_MJ_

S

HUTDOWN : F7591366

12:53:32:625 4432 IRP_MJ_LOC

K

_CONTROL : 804F4476

12:53:32:625 4432 IRP_MJ_CLEANUP : 804F4476

12:53:32:625 4432 IRP_MJ_CREATE_MAIL

S

LOT : 804F4476

12:53:32:625 4432 IRP_MJ_QUERY_

S

ECURITY : 804F4476

12:53:32:625 4432 IRP_MJ_

S

ET_

S

ECURITY : 804F4476

12:53:32:625 4432 IRP_MJ_POWER : F7592EF3

12:53:32:625 4432 IRP_MJ_

S

Y

S

TEM_CONTROL : F7597A24

12:53:32:625 4432 IRP_MJ_DEVICE_CHANGE : 804F4476

12:53:32:625 4432 IRP_MJ_QUERY_QUOTA : 804F4476

12:53:32:625 4432 IRP_MJ_

S

ET_QUOTA : 804F4476

12:53:32:640 4432 C:\WINDOW

S

\

s

y

s

tem32\DRIVER

S

\di

s

k

.

s

y

s

- Verdict: 1

12:53:32:640 4432

12:53:32:640 4432 Driver Name: CMI

S

TOR

12:53:32:640 4432 IRP_MJ_CREATE : F383A156

12:53:32:640 4432 IRP_MJ_CREATE_NAMED_PIPE : 804F4476

12:53:32:640 4432 IRP_MJ_CLO

S

E : F383A156

12:53:32:640 4432 IRP_MJ_READ : F383A6B2

12:53:32:640 4432 IRP_MJ_WRITE : F383A6B2

12:53:32:640 4432 IRP_MJ_QUERY_INFORMATION : 804F4476

12:53:32:640 4432 IRP_MJ_

S

ET_INFORMATION : 804F4476

12:53:32:640 4432 IRP_MJ_QUERY_EA : 804F4476

12:53:32:640 4432 IRP_MJ_

S

ET_EA : 804F4476

12:53:32:640 4432 IRP_MJ_FLU

S

H_BUFFER

S

: 804F4476

12:53:32:640 4432 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F4476

12:53:32:640 4432 IRP_MJ_

S

ET_VOLUME_INFORMATION : 804F4476

12:53:32:640 4432 IRP_MJ_DIRECTORY_CONTROL : 804F4476

12:53:32:640 4432 IRP_MJ_FILE_

S

Y

S

TEM_CONTROL : 804F4476

12:53:32:640 4432 IRP_MJ_DEVICE_CONTROL : F383A8F4

12:53:32:640 4432 IRP_MJ_INTERNAL_DEVICE_CONTROL : F383A8F4

12:53:32:640 4432 IRP_MJ_

S

HUTDOWN : 804F4476

12:53:32:640 4432 IRP_MJ_LOC

K

_CONTROL : 804F4476

12:53:32:640 4432 IRP_MJ_CLEANUP : F38382A2

12:53:32:640 4432 IRP_MJ_CREATE_MAIL

S

LOT : 804F4476

12:53:32:640 4432 IRP_MJ_QUERY_

S

ECURITY : 804F4476

12:53:32:640 4432 IRP_MJ_

S

ET_

S

ECURITY : 804F4476

12:53:32:640 4432 IRP_MJ_POWER : F3839D94

12:53:32:640 4432 IRP_MJ_

S

Y

S

TEM_CONTROL : F38392BE

12:53:32:640 4432 IRP_MJ_DEVICE_CHANGE : 804F4476

12:53:32:640 4432 IRP_MJ_QUERY_QUOTA : 804F4476

12:53:32:640 4432 IRP_MJ_

S

ET_QUOTA : 804F4476

12:53:32:656 4432 C:\WINDOW

S

\

s

y

s

tem32\DRIVER

S

\cmiucr.

S

Y

S

- Verdict: 1

12:53:32:656 4432

12:53:32:656 4432 Driver Name: Di

s

k

12:53:32:656 4432 IRP_MJ_CREATE : F7596C30

12:53:32:656 4432 IRP_MJ_CREATE_NAMED_PIPE : 804F4476

12:53:32:656 4432 IRP_MJ_CLO

S

E : F7596C30

12:53:32:656 4432 IRP_MJ_READ : F7590D9B

12:53:32:656 4432 IRP_MJ_WRITE : F7590D9B

12:53:32:656 4432 IRP_MJ_QUERY_INFORMATION : 804F4476

12:53:32:656 4432 IRP_MJ_

S

ET_INFORMATION : 804F4476

12:53:32:656 4432 IRP_MJ_QUERY_EA : 804F4476

12:53:32:656 4432 IRP_MJ_

S

ET_EA : 804F4476

12:53:32:656 4432 IRP_MJ_FLU

S

H_BUFFER

S

: F7591366

12:53:32:656 4432 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F4476

12:53:32:656 4432 IRP_MJ_

S

ET_VOLUME_INFORMATION : 804F4476

12:53:32:656 4432 IRP_MJ_DIRECTORY_CONTROL : 804F4476

12:53:32:656 4432 IRP_MJ_FILE_

S

Y

S

TEM_CONTROL : 804F4476

12:53:32:656 4432 IRP_MJ_DEVICE_CONTROL : F759144D

12:53:32:656 4432 IRP_MJ_INTERNAL_DEVICE_CONTROL : F7594FC3

12:53:32:656 4432 IRP_MJ_

S

HUTDOWN : F7591366

12:53:32:656 4432 IRP_MJ_LOC

K

_CONTROL : 804F4476

12:53:32:656 4432 IRP_MJ_CLEANUP : 804F4476

12:53:32:656 4432 IRP_MJ_CREATE_MAIL

S

LOT : 804F4476

12:53:32:656 4432 IRP_MJ_QUERY_

S

ECURITY : 804F4476

12:53:32:656 4432 IRP_MJ_

S

ET_

S

ECURITY : 804F4476

12:53:32:656 4432 IRP_MJ_POWER : F7592EF3

12:53:32:656 4432 IRP_MJ_

S

Y

S

TEM_CONTROL : F7597A24

12:53:32:656 4432 IRP_MJ_DEVICE_CHANGE : 804F4476

12:53:32:656 4432 IRP_MJ_QUERY_QUOTA : 804F4476

12:53:32:656 4432 IRP_MJ_

S

ET_QUOTA : 804F4476

12:53:32:656 4432 C:\WINDOW

S

\

s

y

s

tem32\DRIVER

S

\di

s

k

.

s

y

s

- Verdict: 1

12:53:32:656 4432

12:53:32:656 4432 Driver Name: CMI

S

TOR

12:53:32:656 4432 IRP_MJ_CREATE : F383A156

12:53:32:656 4432 IRP_MJ_CREATE_NAMED_PIPE : 804F4476

12:53:32:656 4432 IRP_MJ_CLO

S

E : F383A156

12:53:32:656 4432 IRP_MJ_READ : F383A6B2

12:53:32:656 4432 IRP_MJ_WRITE : F383A6B2

12:53:32:656 4432 IRP_MJ_QUERY_INFORMATION : 804F4476

12:53:32:656 4432 IRP_MJ_

S

ET_INFORMATION : 804F4476

12:53:32:656 4432 IRP_MJ_QUERY_EA : 804F4476

12:53:32:656 4432 IRP_MJ_

S

ET_EA : 804F4476

12:53:32:656 4432 IRP_MJ_FLU

S

H_BUFFER

S

: 804F4476

12:53:32:656 4432 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F4476

12:53:32:656 4432 IRP_MJ_

S

ET_VOLUME_INFORMATION : 804F4476

12:53:32:656 4432 IRP_MJ_DIRECTORY_CONTROL : 804F4476

12:53:32:656 4432 IRP_MJ_FILE_

S

Y

S

TEM_CONTROL : 804F4476

12:53:32:656 4432 IRP_MJ_DEVICE_CONTROL : F383A8F4

12:53:32:656 4432 IRP_MJ_INTERNAL_DEVICE_CONTROL : F383A8F4

12:53:32:656 4432 IRP_MJ_

S

HUTDOWN : 804F4476

12:53:32:656 4432 IRP_MJ_LOC

K

_CONTROL : 804F4476

12:53:32:656 4432 IRP_MJ_CLEANUP : F38382A2

12:53:32:656 4432 IRP_MJ_CREATE_MAIL

S

LOT : 804F4476

12:53:32:656 4432 IRP_MJ_QUERY_

S

ECURITY : 804F4476

12:53:32:656 4432 IRP_MJ_

S

ET_

S

ECURITY : 804F4476

12:53:32:656 4432 IRP_MJ_POWER : F3839D94

12:53:32:656 4432 IRP_MJ_

S

Y

S

TEM_CONTROL : F38392BE

12:53:32:656 4432 IRP_MJ_DEVICE_CHANGE : 804F4476

12:53:32:656 4432 IRP_MJ_QUERY_QUOTA : 804F4476

12:53:32:656 4432 IRP_MJ_

S

ET_QUOTA : 804F4476

12:53:32:656 4432 C:\WINDOW

S

\

s

y

s

tem32\DRIVER

S

\cmiucr.

S

Y

S

- Verdict: 1

12:53:32:656 4432

12:53:32:656 4432 Driver Name: Di

s

k

12:53:32:656 4432 IRP_MJ_CREATE : F7596C30

12:53:32:656 4432 IRP_MJ_CREATE_NAMED_PIPE : 804F4476

12:53:32:656 4432 IRP_MJ_CLO

S

E : F7596C30

12:53:32:656 4432 IRP_MJ_READ : F7590D9B

12:53:32:656 4432 IRP_MJ_WRITE : F7590D9B

12:53:32:656 4432 IRP_MJ_QUERY_INFORMATION : 804F4476

12:53:32:656 4432 IRP_MJ_

S

ET_INFORMATION : 804F4476

12:53:32:656 4432 IRP_MJ_QUERY_EA : 804F4476

12:53:32:656 4432 IRP_MJ_

S

ET_EA : 804F4476

12:53:32:656 4432 IRP_MJ_FLU

S

H_BUFFER

S

: F7591366

12:53:32:656 4432 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F4476

12:53:32:656 4432 IRP_MJ_

S

ET_VOLUME_INFORMATION : 804F4476

12:53:32:656 4432 IRP_MJ_DIRECTORY_CONTROL : 804F4476

12:53:32:656 4432 IRP_MJ_FILE_

S

Y

S

TEM_CONTROL : 804F4476

12:53:32:656 4432 IRP_MJ_DEVICE_CONTROL : F759144D

12:53:32:656 4432 IRP_MJ_INTERNAL_DEVICE_CONTROL : F7594FC3

12:53:32:656 4432 IRP_MJ_

S

HUTDOWN : F7591366

12:53:32:656 4432 IRP_MJ_LOC

K

_CONTROL : 804F4476

12:53:32:656 4432 IRP_MJ_CLEANUP : 804F4476

12:53:32:656 4432 IRP_MJ_CREATE_MAIL

S

LOT : 804F4476

12:53:32:656 4432 IRP_MJ_QUERY_

S

ECURITY : 804F4476

12:53:32:656 4432 IRP_MJ_

S

ET_

S

ECURITY : 804F4476

12:53:32:656 4432 IRP_MJ_POWER : F7592EF3

12:53:32:656 4432 IRP_MJ_

S

Y

S

TEM_CONTROL : F7597A24

12:53:32:656 4432 IRP_MJ_DEVICE_CHANGE : 804F4476

12:53:32:656 4432 IRP_MJ_QUERY_QUOTA : 804F4476

12:53:32:656 4432 IRP_MJ_

S

ET_QUOTA : 804F4476

12:53:32:656 4432 C:\WINDOW

S

\

s

y

s

tem32\DRIVER

S

\di

s

k

.

s

y

s

- Verdict: 1

12:53:32:656 4432

12:53:32:656 4432 Driver Name: CMI

S

TOR

12:53:32:656 4432 IRP_MJ_CREATE : F383A156

12:53:32:656 4432 IRP_MJ_CREATE_NAMED_PIPE : 804F4476

12:53:32:656 4432 IRP_MJ_CLO

S

E : F383A156

12:53:32:656 4432 IRP_MJ_READ : F383A6B2

12:53:32:656 4432 IRP_MJ_WRITE : F383A6B2

12:53:32:656 4432 IRP_MJ_QUERY_INFORMATION : 804F4476

12:53:32:656 4432 IRP_MJ_

S

ET_INFORMATION : 804F4476

12:53:32:656 4432 IRP_MJ_QUERY_EA : 804F4476

12:53:32:656 4432 IRP_MJ_

S

ET_EA : 804F4476

12:53:32:656 4432 IRP_MJ_FLU

S

H_BUFFER

S

: 804F4476

12:53:32:656 4432 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F4476

12:53:32:656 4432 IRP_MJ_

S

ET_VOLUME_INFORMATION : 804F4476

12:53:32:656 4432 IRP_MJ_DIRECTORY_CONTROL : 804F4476

12:53:32:656 4432 IRP_MJ_FILE_

S

Y

S

TEM_CONTROL : 804F4476

12:53:32:656 4432 IRP_MJ_DEVICE_CONTROL : F383A8F4

12:53:32:656 4432 IRP_MJ_INTERNAL_DEVICE_CONTROL : F383A8F4

12:53:32:656 4432 IRP_MJ_

S

HUTDOWN : 804F4476

12:53:32:656 4432 IRP_MJ_LOC

K

_CONTROL : 804F4476

12:53:32:656 4432 IRP_MJ_CLEANUP : F38382A2

12:53:32:656 4432 IRP_MJ_CREATE_MAIL

S

LOT : 804F4476

12:53:32:656 4432 IRP_MJ_QUERY_

S

ECURITY : 804F4476

12:53:32:656 4432 IRP_MJ_

S

ET_

S

ECURITY : 804F4476

12:53:32:656 4432 IRP_MJ_POWER : F3839D94

12:53:32:656 4432 IRP_MJ_

S

Y

S

TEM_CONTROL : F38392BE

12:53:32:656 4432 IRP_MJ_DEVICE_CHANGE : 804F4476

12:53:32:656 4432 IRP_MJ_QUERY_QUOTA : 804F4476

12:53:32:656 4432 IRP_MJ_

S

ET_QUOTA : 804F4476

12:53:32:656 4432 C:\WINDOW

S

\

s

y

s

tem32\DRIVER

S

\cmiucr.

S

Y

S

- Verdict: 1

12:53:32:656 4432

12:53:32:656 4432 Driver Name: Di

s

k

12:53:32:656 4432 IRP_MJ_CREATE : F7596C30

12:53:32:656 4432 IRP_MJ_CREATE_NAMED_PIPE : 804F4476

12:53:32:656 4432 IRP_MJ_CLO

S

E : F7596C30

12:53:32:656 4432 IRP_MJ_READ : F7590D9B

12:53:32:656 4432 IRP_MJ_WRITE : F7590D9B

12:53:32:656 4432 IRP_MJ_QUERY_INFORMATION : 804F4476

12:53:32:656 4432 IRP_MJ_

S

ET_INFORMATION : 804F4476

12:53:32:656 4432 IRP_MJ_QUERY_EA : 804F4476

12:53:32:656 4432 IRP_MJ_

S

ET_EA : 804F4476

12:53:32:656 4432 IRP_MJ_FLU

S

H_BUFFER

S

: F7591366

12:53:32:656 4432 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F4476

12:53:32:656 4432 IRP_MJ_

S

ET_VOLUME_INFORMATION : 804F4476

12:53:32:656 4432 IRP_MJ_DIRECTORY_CONTROL : 804F4476

12:53:32:656 4432 IRP_MJ_FILE_

S

Y

S

TEM_CONTROL : 804F4476

12:53:32:656 4432 IRP_MJ_DEVICE_CONTROL : F759144D

12:53:32:656 4432 IRP_MJ_INTERNAL_DEVICE_CONTROL : F7594FC3

12:53:32:656 4432 IRP_MJ_

S

HUTDOWN : F7591366

12:53:32:656 4432 IRP_MJ_LOC

K

_CONTROL : 804F4476

12:53:32:656 4432 IRP_MJ_CLEANUP : 804F4476

12:53:32:656 4432 IRP_MJ_CREATE_MAIL

S

LOT : 804F4476

12:53:32:656 4432 IRP_MJ_QUERY_

S

ECURITY : 804F4476

12:53:32:656 4432 IRP_MJ_

S

ET_

S

ECURITY : 804F4476

12:53:32:656 4432 IRP_MJ_POWER : F7592EF3

12:53:32:656 4432 IRP_MJ_

S

Y

S

TEM_CONTROL : F7597A24

12:53:32:656 4432 IRP_MJ_DEVICE_CHANGE : 804F4476

12:53:32:656 4432 IRP_MJ_QUERY_QUOTA : 804F4476

12:53:32:671 4432 IRP_MJ_

S

ET_QUOTA : 804F4476

12:53:32:671 4432 C:\WINDOW

S

\

s

y

s

tem32\DRIVER

S

\di

s

k

.

s

y

s

- Verdict: 1

12:53:32:671 4432

12:53:32:671 4432 Driver Name: Di

s

k

12:53:32:671 4432 IRP_MJ_CREATE : F7596C30

12:53:32:671 4432 IRP_MJ_CREATE_NAMED_PIPE : 804F4476

12:53:32:671 4432 IRP_MJ_CLO

S

E : F7596C30

12:53:32:671 4432 IRP_MJ_READ : F7590D9B

12:53:32:671 4432 IRP_MJ_WRITE : F7590D9B

12:53:32:671 4432 IRP_MJ_QUERY_INFORMATION : 804F4476

12:53:32:671 4432 IRP_MJ_

S

ET_INFORMATION : 804F4476

12:53:32:671 4432 IRP_MJ_QUERY_EA : 804F4476

12:53:32:671 4432 IRP_MJ_

S

ET_EA : 804F4476

12:53:32:671 4432 IRP_MJ_FLU

S

H_BUFFER

S

: F7591366

12:53:32:671 4432 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F4476

12:53:32:671 4432 IRP_MJ_

S

ET_VOLUME_INFORMATION : 804F4476

12:53:32:671 4432 IRP_MJ_DIRECTORY_CONTROL : 804F4476

12:53:32:671 4432 IRP_MJ_FILE_

S

Y

S

TEM_CONTROL : 804F4476

12:53:32:671 4432 IRP_MJ_DEVICE_CONTROL : F759144D

12:53:32:671 4432 IRP_MJ_INTERNAL_DEVICE_CONTROL : F7594FC3

12:53:32:671 4432 IRP_MJ_

S

HUTDOWN : F7591366

12:53:32:671 4432 IRP_MJ_LOC

K

_CONTROL : 804F4476

12:53:32:671 4432 IRP_MJ_CLEANUP : 804F4476

12:53:32:671 4432 IRP_MJ_CREATE_MAIL

S

LOT : 804F4476

12:53:32:671 4432 IRP_MJ_QUERY_

S

ECURITY : 804F4476

12:53:32:671 4432 IRP_MJ_

S

ET_

S

ECURITY : 804F4476

12:53:32:671 4432 IRP_MJ_POWER : F7592EF3

12:53:32:671 4432 IRP_MJ_

S

Y

S

TEM_CONTROL : F7597A24

12:53:32:671 4432 IRP_MJ_DEVICE_CHANGE : 804F4476

12:53:32:671 4432 IRP_MJ_QUERY_QUOTA : 804F4476

12:53:32:671 4432 IRP_MJ_

S

ET_QUOTA : 804F4476

12:53:32:671 4432 C:\WINDOW

S

\

s

y

s

tem32\DRIVER

S

\di

s

k

.

s

y

s

- Verdict: 1

12:53:32:671 4432

12:53:32:671 4432 Driver Name: Di

s

k

12:53:32:671 4432 IRP_MJ_CREATE : F7596C30

12:53:32:671 4432 IRP_MJ_CREATE_NAMED_PIPE : 804F4476

12:53:32:671 4432 IRP_MJ_CLO

S

E : F7596C30

12:53:32:671 4432 IRP_MJ_READ : F7590D9B

12:53:32:671 4432 IRP_MJ_WRITE : F7590D9B

12:53:32:671 4432 IRP_MJ_QUERY_INFORMATION : 804F4476

12:53:32:671 4432 IRP_MJ_

S

ET_INFORMATION : 804F4476

12:53:32:671 4432 IRP_MJ_QUERY_EA : 804F4476

12:53:32:671 4432 IRP_MJ_

S

ET_EA : 804F4476

12:53:32:671 4432 IRP_MJ_FLU

S

H_BUFFER

S

: F7591366

12:53:32:671 4432 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F4476

12:53:32:671 4432 IRP_MJ_

S

ET_VOLUME_INFORMATION : 804F4476

12:53:32:671 4432 IRP_MJ_DIRECTORY_CONTROL : 804F4476

12:53:32:671 4432 IRP_MJ_FILE_

S

Y

S

TEM_CONTROL : 804F4476

12:53:32:671 4432 IRP_MJ_DEVICE_CONTROL : F759144D

12:53:32:671 4432 IRP_MJ_INTERNAL_DEVICE_CONTROL : F7594FC3

12:53:32:671 4432 IRP_MJ_

S

HUTDOWN : F7591366

12:53:32:671 4432 IRP_MJ_LOC

K

_CONTROL : 804F4476

12:53:32:671 4432 IRP_MJ_CLEANUP : 804F4476

12:53:32:671 4432 IRP_MJ_CREATE_MAIL

S

LOT : 804F4476

12:53:32:671 4432 IRP_MJ_QUERY_

S

ECURITY : 804F4476

12:53:32:671 4432 IRP_MJ_

S

ET_

S

ECURITY : 804F4476

12:53:32:671 4432 IRP_MJ_POWER : F7592EF3

12:53:32:671 4432 IRP_MJ_

S

Y

S

TEM_CONTROL : F7597A24

12:53:32:671 4432 IRP_MJ_DEVICE_CHANGE : 804F4476

12:53:32:671 4432 IRP_MJ_QUERY_QUOTA : 804F4476

12:53:32:671 4432 IRP_MJ_

S

ET_QUOTA : 804F4476

12:53:32:671 4432 C:\WINDOW

S

\

s

y

s

tem32\DRIVER

S

\di

s

k

.

s

y

s

- Verdict: 1

12:53:32:671 4432

12:53:32:671 4432 Driver Name: atapi

12:53:32:671 4432 IRP_MJ_CREATE : 86F671F8

12:53:32:671 4432 IRP_MJ_CREATE_NAMED_PIPE : 804F4476

12:53:32:671 4432 IRP_MJ_CLO

S

E : 86F671F8

12:53:32:671 4432 IRP_MJ_READ : 804F4476

12:53:32:671 4432 IRP_MJ_WRITE : 804F4476

12:53:32:671 4432 IRP_MJ_QUERY_INFORMATION : 804F4476

12:53:32:671 4432 IRP_MJ_

S

ET_INFORMATION : 804F4476

12:53:32:671 4432 IRP_MJ_QUERY_EA : 804F4476

12:53:32:671 4432 IRP_MJ_

S

ET_EA : 804F4476

12:53:32:671 4432 IRP_MJ_FLU

S

H_BUFFER

S

: 804F4476

12:53:32:671 4432 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F4476

12:53:32:671 4432 IRP_MJ_

S

ET_VOLUME_INFORMATION : 804F4476

12:53:32:671 4432 IRP_MJ_DIRECTORY_CONTROL : 804F4476

12:53:32:671 4432 IRP_MJ_FILE_

S

Y

S

TEM_CONTROL : 804F4476

12:53:32:671 4432 IRP_MJ_DEVICE_CONTROL : 86F671F8

12:53:32:671 4432 IRP_MJ_INTERNAL_DEVICE_CONTROL : F7A56661

12:53:32:671 4432 IRP_MJ_

S

HUTDOWN : 804F4476

12:53:32:671 4432 IRP_MJ_LOC

K

_CONTROL : 804F4476

12:53:32:671 4432 IRP_MJ_CLEANUP : 804F4476

12:53:32:671 4432 IRP_MJ_CREATE_MAIL

S

LOT : 804F4476

12:53:32:671 4432 IRP_MJ_QUERY_

S

ECURITY : 804F4476

12:53:32:671 4432 IRP_MJ_

S

ET_

S

ECURITY : 804F4476

12:53:32:671 4432 IRP_MJ_POWER : 86F671F8

12:53:32:671 4432 IRP_MJ_

S

Y

S

TEM_CONTROL : 86F671F8

12:53:32:671 4432 IRP_MJ_DEVICE_CHANGE : 804F4476

12:53:32:671 4432 IRP_MJ_QUERY_QUOTA : 804F4476

12:53:32:671 4432 IRP_MJ_

S

ET_QUOTA : 804F4476

12:53:32:671 4432 C:\WINDOW

S

\

s

y

s

tem32\DRIVER

S

\atapi.

s

y

s

- Verdict: 1

12:53:32:671 4432

12:53:32:671 4432 Completed

12:53:32:671 4432

12:53:32:671 4432 Re

s

ult

s

:

12:53:32:671 4432 Memory object

s

infected / cured / cured on reboot: 0 / 0 / 0

12:53:32:671 4432 Regi

s

try object

s

infected / cured / cured on reboot: 0 / 0 / 0

12:53:32:671 4432 File object

s

infected / cured / cured on reboot: 0 / 0 / 0

12:53:32:671 4432

12:53:32:671 4432 fclo

s

e_ex: Trying to clo

s

e file C:\WINDOW

S

\

s

y

s

tem32\config\

s

y

s

tem

12:53:32:671 4432 fclo

s

e_ex: Trying to clo

s

e file C:\WINDOW

S

\

s

y

s

tem32\config\

s

oftware

12:53:32:687 4432

K

LMD(AR

K

) unloaded

s

ucce

s

fully

Je n'ai pas eu de demande de reboot.

ipl_001 · le 22 mars 2010

Bonsoir FOIN, Apollo,

Le nettoyage d'un ordinateur infecté est une tâche délicate sur laquelle le conseiller doit être concentré.

Il est important qu'aucune autre action que celles préconisées, ne soit effectuée.

FOIN, merci de ne pas avoir pris en compte, des instructions données par un intervenant pirate !

Personne ne peut intervenir qui ne serait un membre des groupes "Equipe Sécurité", "Junior-Sécu" ou "Modérateur Sécurité". Le cas une fois pris en charge, les éventuelles suggestions sont à adresser par MP, au conseiller en charge du nettoyage.

Message à tout intervenant pirate : cette intrusion est tout sauf franche et correcte et mérite bien la qualification d'acte de piratage !

Un membre perturbant ainsi le sujet s'expose à exclusion immédiate !

A bon entendeur...

FOIN · le 23 mars 2010

Bonjour,

J'aimerai bien qu'on continu ma désinfection s'il vous plait.

Apollo m'a aidé en MP pour utiliser le logiciel TheAvenger comme il avait prévu mais depuis je n'ai plus de suivi...

On m'a dit qu'une demande avait été faite pour que quelqu'un m'aide.

Que faire ? Je poste le rapport ?

Où en est ma désinfection ?

Merci.

Apollo · le 23 mars 2010

Bonjour,

Désolé de tous ces contretemps.

Poste le rapport qui se trouve sous C:\Avenger.txt stp.

@++

Modifié le 23 mars 2010 par Apollo

FOIN · le 23 mars 2010

Bonjour et merci de me reprendre en charge aussi vite

Voici le rapport de TheAvenger :

Logfile of The Avenger Ver

s

ion 2.0,

©

by

S

wandog46

Platform: Window

s

XP

*******************

S

cript file opened

s

ucce

s

fully.

S

cript file read

s

ucce

s

fully.

Bac

k

up

s

directory opened

s

ucce

s

fully at C:\Avenger

*******************

Beginning to proce

s

cript file:

Root

k

it

s

can active.

No root

k

it

s

found!

Driver "h

k

gdrbj" deleted

s

ucce

s

fully.

File "c:\window

s

\

s

y

s

tem32\driver

s

\h

k

gdrbj.

s

y

s

" deleted

s

ucce

s

fully.

File "c:\document

s

and

s

etting

s

\Morgane.HENRIO\Menu D

é

marrer\Programme

s

\D

é

marrage\

s

y

s

pc

k

32.exe" deleted

s

ucce

s

fully.

File "c:\document

s

and

s

etting

s

\Local

S

ervice\Application Data\ja

s

ltw.dat" deleted

s

ucce

s

fully.

File "c:\document

s

and

s

etting

s

\Morgane.HENRIO\Application Data\ja

s

ltw.dat" deleted

s

ucce

s

fully.

File "c:\document

s

and

s

etting

s

\Networ

k

S

ervice\Application Data\ja

s

ltw.dat" deleted

s

ucce

s

fully.

File "c:\document

s

and

s

etting

s

\All U

s

er

s

\Application Data\avG\vma.exe" deleted

s

ucce

s

fully.

File "c:\document

s

and

s

etting

s

\All U

s

er

s

\Application Data\avG\ave.exe" deleted

s

ucce

s

fully.

File "c:\document

s

and

s

etting

s

\All U

s

er

s

\Application Data\Micro

s

oft\Window

s

Defender\vma.exe" deleted

s

ucce

s

fully.

File "c:\document

s

and

s

etting

s

\All U

s

er

s

\Application Data\M

S

A

S

Cui.exe" deleted

s

ucce

s

fully.

Error: file "c:\document

s

and

s

etting

s

\All U

s

er

s

\Application Data\M

S

A

S

Cui.exe" not found!

Deletion of file "c:\document

s

and

s

etting

s

\All U

s

er

s

\Application Data\M

S

A

S

Cui.exe" failed!

S

tatu

s

: 0xc0000034 (

S

TATU

S

_OBJECT_NAME_NOT_FOUND)

--> the object doe

s

not exi

s

t

File "c:\window

s

\

s

y

s

tem32\config\

s

y

s

temprofile\Application Data\ja

s

ltw.dat" deleted

s

ucce

s

fully.

Error: regi

s

try

k

ey "H

K

EY_LOCAL_MACHINE\

S

y

s

tem\Control

S

et001\

S

ervice

s

\h

k

gdrbj" not found!

Deletion of regi

s

try

k

ey "H

K

EY_LOCAL_MACHINE\

S

y

s

tem\Control

S

et001\

S

ervice

s

\h

k

gdrbj" failed!

S

tatu

s

: 0xc0000034 (

S

TATU

S

_OBJECT_NAME_NOT_FOUND)

--> the object doe

s

not exi

s

t

Completed

s

cript proce

s

ing.

*******************

Fini

s

hed! Terminate.

Hier en laissant la machine infecté en route j'ai eu plusieurs fois la même alerte, environ toutes les heures, sur un fichier troyen il me semble appelé TR/FraudPack.aoxt et un autre TR/rookit.Gen.

Je ne suis pas arrivé à temps pour tous les mettre en quarantaine car je n'étais pas tout le temps devant l'écran et il y a un timer sur antivir au bout du quel il choisi l'action à faire lui même, ici refuser l'accès.

Je ne sais pas comment changer ça en mettre en quarantaine de base...

Apollo · le 23 mars 2010

Re,

Tu trouveras un bon tuto pour Antivir ici: http://www.libellules.ch/tuto_antivir.php

Lance une analyse complète et on verra ce qu'il en dit dans son rapport (Antivir) N'oublie pas de le mettre à jour.

On avisera s'il reste des problèmes, ce ne sont pas les solutions qui manquent

@++

Modifié le 23 mars 2010 par Apollo

FOIN · le 23 mars 2010

Ok j'ai lancé le scan Antivir après la mise à jour.

Comme j'ai eu besoin de ma clef USB entre temps j'ai tout simplement lancé un scan sur ma clef après celui de la machine fini.

Rapport scan Antivir machine :

Avira AntiVir Per

s

onal

Date de cr

é

ation du fichier de rapport : mardi 23 mar

s

2010 10:46

La recherche porte

s

ur 1885442

s

ouche

s

de viru

s

.

D

é

tenteur de la licence : Avira AntiVir Per

s

onal - FREE Antiviru

s

Num

é

ro de

s

é

rie : 0000149996-ADJIE-0000001

Plateforme : Window

s

XP

Ver

s

ion de Window

s

: (

S

ervice Pac

k

2) [5.1.2600]

Mode Boot : D

é

marr

é

normalement

Identifiant :

S

Y

S

TEM

Nom de l'ordinateur : HENRIO

Information

s

de ver

s

ion :

BUILD.DAT : 9.0.0.75 21698 Byte

s

22/01/2010 23:14:00

AV

S

CAN.EXE : 9.0.3.10 466689 Byte

s

13/10/2009 10:25:46

AV

S

CAN.DLL : 9.0.3.0 49409 Byte

s

03/03/2009 09:21:02

LU

K

E.DLL : 9.0.3.2 209665 Byte

s

20/02/2009 10:35:11

LU

K

ERE

S

.DLL : 9.0.2.0 13569 Byte

s

03/03/2009 09:21:31

VBA

S

E000.VDF : 7.10.0.0 19875328 Byte

s

06/11/2009 06:35:52

VBA

S

E001.VDF : 7.10.1.0 1372672 Byte

s

19/11/2009 13:00:24

VBA

S

E002.VDF : 7.10.3.1 3143680 Byte

s

20/01/2010 13:00:49

VBA

S

E003.VDF : 7.10.3.75 996864 Byte

s

26/01/2010 13:00:57

VBA

S

E004.VDF : 7.10.4.203 1579008 Byte

s

05/03/2010 13:01:09

VBA

S

E005.VDF : 7.10.4.204 2048 Byte

s

05/03/2010 13:01:09

VBA

S

E006.VDF : 7.10.4.205 2048 Byte

s

05/03/2010 13:01:09

VBA

S

E007.VDF : 7.10.4.206 2048 Byte

s

05/03/2010 13:01:09

VBA

S

E008.VDF : 7.10.4.207 2048 Byte

s

05/03/2010 13:01:10

VBA

S

E009.VDF : 7.10.4.208 2048 Byte

s

05/03/2010 13:01:10

VBA

S

E010.VDF : 7.10.4.209 2048 Byte

s

05/03/2010 13:01:10

VBA

S

E011.VDF : 7.10.4.210 2048 Byte

s

05/03/2010 13:01:10

VBA

S

E012.VDF : 7.10.4.211 2048 Byte

s

05/03/2010 13:01:10

VBA

S

E013.VDF : 7.10.4.242 153088 Byte

s

08/03/2010 13:01:11

VBA

S

E014.VDF : 7.10.5.17 99328 Byte

s

10/03/2010 13:01:12

VBA

S

E015.VDF : 7.10.5.44 107008 Byte

s

11/03/2010 13:01:13

VBA

S

E016.VDF : 7.10.5.69 92672 Byte

s

12/03/2010 13:01:14

VBA

S

E017.VDF : 7.10.5.91 119808 Byte

s

15/03/2010 13:01:15

VBA

S

E018.VDF : 7.10.5.121 112640 Byte

s

18/03/2010 13:01:16

VBA

S

E019.VDF : 7.10.5.138 139776 Byte

s

18/03/2010 13:01:17

VBA

S

E020.VDF : 7.10.5.164 113152 Byte

s

22/03/2010 09:45:37

VBA

S

E021.VDF : 7.10.5.165 2048 Byte

s

22/03/2010 09:45:37

VBA

S

E022.VDF : 7.10.5.166 2048 Byte

s

22/03/2010 09:45:37

VBA

S

E023.VDF : 7.10.5.167 2048 Byte

s

22/03/2010 09:45:37

VBA

S

E024.VDF : 7.10.5.168 2048 Byte

s

22/03/2010 09:45:37

VBA

S

E025.VDF : 7.10.5.169 2048 Byte

s

22/03/2010 09:45:37

VBA

S

E026.VDF : 7.10.5.170 2048 Byte

s

22/03/2010 09:45:38

VBA

S

E027.VDF : 7.10.5.171 2048 Byte

s

22/03/2010 09:45:38

VBA

S

E028.VDF : 7.10.5.172 2048 Byte

s

22/03/2010 09:45:38

VBA

S

E029.VDF : 7.10.5.173 2048 Byte

s

22/03/2010 09:45:38

VBA

S

E030.VDF : 7.10.5.174 2048 Byte

s

22/03/2010 09:45:38

VBA

S

E031.VDF : 7.10.5.176 34816 Byte

s

23/03/2010 09:45:39

Ver

s

ion du moteur : 8.2.1.196

AEVDF.DLL : 8.1.1.3 106868 Byte

s

21/03/2010 13:01:39

AE

S

CRIPT.DLL : 8.1.3.18 1024378 Byte

s

21/03/2010 13:01:39

AE

S

CN.DLL : 8.1.5.0 127347 Byte

s

21/03/2010 13:01:36

AE

S

BX.DLL : 8.1.2.1 254323 Byte

s

21/03/2010 13:01:40

AERDL.DLL : 8.1.4.3 541043 Byte

s

21/03/2010 13:01:36

AEPAC

K

.DLL : 8.2.1.1 426358 Byte

s

21/03/2010 13:01:34

AEOFFICE.DLL : 8.1.0.41 201083 Byte

s

21/03/2010 13:01:32

AEHEUR.DLL : 8.1.1.13 2470262 Byte

s

21/03/2010 13:01:31

AEHELP.DLL : 8.1.10.2 237941 Byte

s

21/03/2010 13:01:22

AEGEN.DLL : 8.1.3.2 373108 Byte

s

21/03/2010 13:01:21

AEEMU.DLL : 8.1.1.0 393587 Byte

s

08/11/2009 06:38:26

AECORE.DLL : 8.1.12.3 188789 Byte

s

21/03/2010 13:01:20

AEBB.DLL : 8.1.0.3 53618 Byte

s

08/11/2009 06:38:20

AVWINLL.DLL : 9.0.0.3 18177 Byte

s

12/12/2008 07:47:30

AVPREF.DLL : 9.0.3.0 44289 Byte

s

26/08/2009 14:13:31

AVREP.DLL : 8.0.0.7 159784 Byte

s

21/03/2010 13:01:41

AVREG.DLL : 9.0.0.0 36609 Byte

s

07/11/2008 14:24:42

AVAR

K

T.DLL : 9.0.0.3 292609 Byte

s

24/03/2009 14:05:22

AVEVTLOG.DLL : 9.0.0.7 167169 Byte

s

30/01/2009 09:36:37

S

QLITE3.DLL : 3.6.1.0 326401 Byte

s

28/01/2009 14:03:49

S

MTPLIB.DLL : 9.2.0.25 28417 Byte

s

02/02/2009 07:20:57

NETNT.DLL : 9.0.0.0 11521 Byte

s

07/11/2008 14:40:59

RCIMAGE.DLL : 9.0.0.25 2438913 Byte

s

17/06/2009 12:44:26

RCTEXT.DLL : 9.0.73.0 88321 Byte

s

02/11/2009 15:58:32

Configuration pour la recherche actuelle :

Nom de la t

â

che...............................: Contr

ô

le int

é

gral du

s

y

s

t

è

me

Fichier de configuration......................: c:\program file

s

\avira\antivir de

s

k

top\

s

y

s

can.avp

Documentation.................................: ba

s

Action principale.............................: interactif

Action

s

econdaire.............................: ignorer

Recherche

s

ur le

s

ecteur

s

d'amor

ç

age ma

î

tre..: marche

Recherche

s

ur le

s

ecteur

s

d'amor

ç

age.........: marche

S

ecteur

s

d'amor

ç

age...........................: C:, D:, E:,

Recherche dan

s

le

s

programme

s

actif

s

..........: marche

Recherche en cour

s

ur l'enregi

s

trement.......: marche

Recherche de Root

k

it

s

.........................: marche

Contr

ô

le d'int

é

grit

é

de fichier

s

y

s

t

è

me......: arr

ê

t

Recherche optimi

s

é

e...........................: marche

Fichier mode de recherche.....................: Tou

s

le

s

fichier

s

Recherche

s

ur le

s

archive

s

....................: marche

Limiter la profondeur de r

é

cur

s

ivit

é

..........: 20

archive

s

ont

é

t

é

contr

ô

l

é

e

s

7 Averti

s

ement

s

32 Con

s

igne

s

126115 De

s

objet

s

ont

é

t

é

contr

ô

l

é

s

lor

s

du Root

k

it

s

can

0 De

s

objet

s

cach

é

s

ont

é

t

é

trouv

é

s

Rapport Antivir clef :

Avira AntiVir Per

s

onal

Date de cr

é

ation du fichier de rapport : mardi 23 mar

s

2010 12:53

La recherche porte

s

ur 1885442

s

ouche

s

de viru

s

.

D

é

tenteur de la licence : Avira AntiVir Per

s

onal - FREE Antiviru

s

Num

é

ro de

s

é

rie : 0000149996-ADJIE-0000001

Plateforme : Window

s

XP

Ver

s

ion de Window

s

: (

S

ervice Pac

k

2) [5.1.2600]

Mode Boot : D

é

marr

é

normalement

Identifiant : Morgane

Nom de l'ordinateur : HENRIO

Information

s

de ver

s

ion :

BUILD.DAT : 9.0.0.75 21698 Byte

s

22/01/2010 23:14:00

AV

S

CAN.EXE : 9.0.3.10 466689 Byte

s

13/10/2009 10:25:46

AV

S

CAN.DLL : 9.0.3.0 49409 Byte

s

03/03/2009 09:21:02

LU

K

E.DLL : 9.0.3.2 209665 Byte

s

20/02/2009 10:35:11

LU

K

ERE

S

.DLL : 9.0.2.0 13569 Byte

s

03/03/2009 09:21:31

VBA

S

E000.VDF : 7.10.0.0 19875328 Byte

s

06/11/2009 06:35:52

VBA

S

E001.VDF : 7.10.1.0 1372672 Byte

s

19/11/2009 13:00:24

VBA

S

E002.VDF : 7.10.3.1 3143680 Byte

s

20/01/2010 13:00:49

VBA

S

E003.VDF : 7.10.3.75 996864 Byte

s

26/01/2010 13:00:57

VBA

S

E004.VDF : 7.10.4.203 1579008 Byte

s

05/03/2010 13:01:09

VBA

S

E005.VDF : 7.10.4.204 2048 Byte

s

05/03/2010 13:01:09

VBA

S

E006.VDF : 7.10.4.205 2048 Byte

s

05/03/2010 13:01:09

VBA

S

E007.VDF : 7.10.4.206 2048 Byte

s

05/03/2010 13:01:09

VBA

S

E008.VDF : 7.10.4.207 2048 Byte

s

05/03/2010 13:01:10

VBA

S

E009.VDF : 7.10.4.208 2048 Byte

s

05/03/2010 13:01:10

VBA

S

E010.VDF : 7.10.4.209 2048 Byte

s

05/03/2010 13:01:10

VBA

S

E011.VDF : 7.10.4.210 2048 Byte

s

05/03/2010 13:01:10

VBA

S

E012.VDF : 7.10.4.211 2048 Byte

s

05/03/2010 13:01:10

VBA

S

E013.VDF : 7.10.4.242 153088 Byte

s

08/03/2010 13:01:11

VBA

S

E014.VDF : 7.10.5.17 99328 Byte

s

10/03/2010 13:01:12

VBA

S

E015.VDF : 7.10.5.44 107008 Byte

s

11/03/2010 13:01:13

VBA

S

E016.VDF : 7.10.5.69 92672 Byte

s

12/03/2010 13:01:14

VBA

S

E017.VDF : 7.10.5.91 119808 Byte

s

15/03/2010 13:01:15

VBA

S

E018.VDF : 7.10.5.121 112640 Byte

s

18/03/2010 13:01:16

VBA

S

E019.VDF : 7.10.5.138 139776 Byte

s

18/03/2010 13:01:17

VBA

S

E020.VDF : 7.10.5.164 113152 Byte

s

22/03/2010 09:45:37

VBA

S

E021.VDF : 7.10.5.165 2048 Byte

s

22/03/2010 09:45:37

VBA

S

E022.VDF : 7.10.5.166 2048 Byte

s

22/03/2010 09:45:37

VBA

S

E023.VDF : 7.10.5.167 2048 Byte

s

22/03/2010 09:45:37

VBA

S

E024.VDF : 7.10.5.168 2048 Byte

s

22/03/2010 09:45:37

VBA

S

E025.VDF : 7.10.5.169 2048 Byte

s

22/03/2010 09:45:37

VBA

S

E026.VDF : 7.10.5.170 2048 Byte

s

22/03/2010 09:45:38

VBA

S

E027.VDF : 7.10.5.171 2048 Byte

s

22/03/2010 09:45:38

VBA

S

E028.VDF : 7.10.5.172 2048 Byte

s

22/03/2010 09:45:38

VBA

S

E029.VDF : 7.10.5.173 2048 Byte

s

22/03/2010 09:45:38

VBA

S

E030.VDF : 7.10.5.174 2048 Byte

s

22/03/2010 09:45:38

VBA

S

E031.VDF : 7.10.5.176 34816 Byte

s

23/03/2010 09:45:39

Ver

s

ion du moteur : 8.2.1.196

AEVDF.DLL : 8.1.1.3 106868 Byte

s

21/03/2010 13:01:39

AE

S

CRIPT.DLL : 8.1.3.18 1024378 Byte

s

21/03/2010 13:01:39

AE

S

CN.DLL : 8.1.5.0 127347 Byte

s

21/03/2010 13:01:36

AE

S

BX.DLL : 8.1.2.1 254323 Byte

s

21/03/2010 13:01:40

AERDL.DLL : 8.1.4.3 541043 Byte

s

21/03/2010 13:01:36

AEPAC

K

.DLL : 8.2.1.1 426358 Byte

s

21/03/2010 13:01:34

AEOFFICE.DLL : 8.1.0.41 201083 Byte

s

21/03/2010 13:01:32

AEHEUR.DLL : 8.1.1.13 2470262 Byte

s

21/03/2010 13:01:31

AEHELP.DLL : 8.1.10.2 237941 Byte

s

21/03/2010 13:01:22

AEGEN.DLL : 8.1.3.2 373108 Byte

s

21/03/2010 13:01:21

AEEMU.DLL : 8.1.1.0 393587 Byte

s

08/11/2009 06:38:26

AECORE.DLL : 8.1.12.3 188789 Byte

s

21/03/2010 13:01:20

AEBB.DLL : 8.1.0.3 53618 Byte

s

08/11/2009 06:38:20

AVWINLL.DLL : 9.0.0.3 18177 Byte

s

12/12/2008 07:47:30

AVPREF.DLL : 9.0.3.0 44289 Byte

s

26/08/2009 14:13:31

AVREP.DLL : 8.0.0.7 159784 Byte

s

21/03/2010 13:01:41

AVREG.DLL : 9.0.0.0 36609 Byte

s

07/11/2008 14:24:42

AVAR

K

T.DLL : 9.0.0.3 292609 Byte

s

24/03/2009 14:05:22

AVEVTLOG.DLL : 9.0.0.7 167169 Byte

s

30/01/2009 09:36:37

S

QLITE3.DLL : 3.6.1.0 326401 Byte

s

28/01/2009 14:03:49

S

MTPLIB.DLL : 9.2.0.25 28417 Byte

s

02/02/2009 07:20:57

NETNT.DLL : 9.0.0.0 11521 Byte

s

07/11/2008 14:40:59

RCIMAGE.DLL : 9.0.0.25 2438913 Byte

s

17/06/2009 12:44:26

RCTEXT.DLL : 9.0.73.0 88321 Byte

s

02/11/2009 15:58:32

Configuration pour la recherche actuelle :

Nom de la t

â

che...............................:

S

hlExt

Fichier de configuration......................: C:\DOCUME~1\MORGAN~1.HEN\LOCAL

S

~1\Temp\c5195190.avp

Documentation.................................: ba

s

Action principale.............................: interactif

Action

s

econdaire.............................: ignorer

Recherche

s

ur le

s

ecteur

s

d'amor

ç

age ma

î

tre..: marche

Recherche

s

ur le

s

ecteur

s

d'amor

ç

age.........: marche

S

ecteur

s

d'amor

ç

age...........................: Q:,

Recherche dan

s

le

s

programme

s

actif

s

..........: arr

ê

t

Recherche en cour

s

ur l'enregi

s

trement.......: arr

ê

t

Recherche de Root

k

it

s

.........................: arr

ê

t

Contr

ô

le d'int

é

grit

é

de fichier

s

y

s

t

è

me......: arr

ê

t

Recherche optimi

s

é

e...........................: marche

Fichier mode de recherche.....................:

S

é

lection de fichier

s

intelligente

Recherche

s

ur le

s

archive

s

....................: marche

Limiter la profondeur de r

é

cur

s

ivit

é

..........: 20

archive

s

ont

é

t

é

contr

ô

l

é

e

s

0 Averti

s

ement

s

0 Con

s

igne

s

Apollo · le 23 mars 2010

Re,

Comment va le pc?

On verra s'il faut reprendre des outils plus tard mais on va d'abord faire place nette:

Désinstalle ComboFix de la manière suivante:

Clique sur Démarrer > Exécuter et copie/colle le texte en gras ci-dessous dans la zone de saisie Ouvrir puis cliquer sur OK

ComboFix /Uninstall

Supprimer les dossiers c:\Qoobox et c:\ComboFix s'ils étaient encore présents sur le C:\

Vider la corbeille.

***********************

Désactiver la Restauration Système.

Démarrer/Tous les programmes/Accessoires/Outils Système/

Cliquer sur Restauration Système.

Cliquer sur "Paramètres de la restauration du système; cocher la case: "Désactiver la Restauration du système sur tous les lecteurs"

Appliquer/OK.

Pour réactiver la Restauration système, suivre le même chemin et décocher la case. Appliquer/OK.

**********************************

Mets MBAM à jour puis lance une analyse RAPIDE cette fois; vire tout ce qu'il trouve.

@++ je quitte quelques instants, je ne ne sais trop combien de temps.

Je re plus tard.

FOIN · le 23 mars 2010

Bien alors j'ai désinstallé combofix et supprimé le fichier restant c:\ComboFix (l'autre n'existait plus) par contre il me reste deux dossiers : c:\panpan et c:\panpan11833p est-ce normal ?

J'ai aussi : c:\anvenger en fichier texte et c:\rkill et les dossiers : c:\_OTM et c:\rsit (enfin ceux la et quelques autres surement, je pense que tu le sais )

Sinon lorsque je suis ta procédure pour désactiver la Restauration système je n'arrive pas dans une boite de dialogue avec une option à cocher/décocher mais juste une boite de dialogue qui me dit :

La restauration du système a été désactivée

Voulez-vous activer la Restauration du système maintenant ?

Oui/Non (en bouton)

J'ai cliqué Non bien sûr.

Les mises à jour de Malwarebytes' ont bien été effectué et l'examen rapide est en cours.

Tout sera supprimé comme demandé.

A tout à l'heure (ou ce soir car je dois partir aussi dans pas longtemps je pense ^^)

Connexion

Pas encore inscrit ?

[RESOLU] Infecté par XP security center

Messages recommandés

Apollo

FOIN

ipl_001

FOIN

Apollo

FOIN

Apollo

FOIN

Apollo

FOIN

Rejoindre la conversation

En ligne récemment 0 membre est en ligne

Zebulon

Outils en ligne

Naviguer