antivirus HS et Rootkit présent sur l'ordinateur

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

antivirus HS et Rootkit présent sur l'ordinateur

Messagede internaute » 03 Juin 2007, 17:00

Bonjour

CONFIG :
PIII avec Windows XP SP2 + tous les patchs de sécurité à jour de mars/avril 2007
antivirus alvira à jour mais inopérationnel
Navigateur firefox 2.04

J'ai un gros soucis d'antivirus alivira qui est bloqué :
c'est à dire à l'analyse de chqaud fichier le mot KAVICH apparait.

J'avais installé auparavant KAV Kaspersky Anti Virus.
Je croyais qu'il était bien désinstallé.

JE 'lai désintallé proprement.
j'ai fait une recherche Kaspersky
KAV ou NAV

j'ai enevé toutes les entrées dans la BDR.

j'ai redémarré

nouveau test antivirus et nouveau resultats"Kavichs"

Alors j'ai installé un antirootkit de sysinternal qui detecte des entrées
dans des dossiers c:\documentandsettings\networkservices\localservice netuser.dat.log

j'ai réussi à en effacer certains mais au redémarage j'ai un NOUVEAU dossier qui se nomme Autority NT
dans le meme repertoire c:\documentsandsettings

quand je refais un scan antirrokkit un ficheir apparat dans les resultats dans ce nouveau répertaori

je l'efface et au redémarrage il se recree ENCORE ainsi qu'un AUTRE répertoire NETWORKservice.
je suprime les 2 dossiers et je reémarre et ils réaparaissent !!!

Resultat je fais du surplace.

autre action réalisé :
-instalation de spybot et scan OK surpressiosn de cokies traceurs
-scan avec hijack : OK je peux mettre les resultats ici ci dessous


symptome :
-1 Souris avec légère trainé par intermitence que je n'avais jamais avant .
-2 nouveau Dossier "NT autority" dans c:\documentsandsetings\
-3 d'autres part je voulais installer PAtrol mais impossible de l'installer dans un répertoire
-4 Scan Rogue removeur : ne me détecte RIEN.

j'écris depuis l'ordinateur infecté , je vais aller faire un scan en ligne sur sécusé :
j'ai passé mon dimanche à faire cela j'en ai marre

Resultats Hijack this 2 :
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 13:19:05, on 03/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Comodo\Firewall\CPF.exe
D:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
D:\PROGRA~1\Comodo\CBOClean\BOC423.exe
D:\Program Files\vidalia\Privoxy\privoxy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\mmc.exe
C:\Documents and Settings\xavier2\Bureau\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.files-ftp.com/~unicorni/phpBB2/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.files-ftp.com/~unicorni/phpBB2/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\Comodo\Firewall\CPF.exe" /background
O4 - HKLM\..\Run: [avgnt] "D:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BOC-423] D:\PROGRA~1\Comodo\CBOClean\BOC423.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: Ad-Aware.exe
O4 - Startup: defs.ref
O4 - Global Startup: Privoxy.lnk = D:\Program Files\vidalia\Privoxy\privoxy.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.files-ftp.com/~unicorni/phpBB2/index.php
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 6470726972
O17 - HKLM\System\CCS\Services\Tcpip\..\{EC6A3F84-F497-481C-8FE7-C1054EFAF642}: NameServer = 212.27.54.252,212.27.39.134
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - D:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BOCore - COMODO - D:\Program Files\Comodo\CBOClean\BOCORE.exe
O23 - Service: BTC - Unknown owner - C:\DOCUME~1\xavier\LOCALS~1\Temp\BTC.exe (file missing)
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Program Files\Comodo\Firewall\cmdagent.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: EKQY - Unknown owner - C:\DOCUME~1\xavier\LOCALS~1\Temp\EKQY.exe (file missing)
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: FPAFTFGLT - Unknown owner - C:\DOCUME~1\xavier\LOCALS~1\Temp\FPAFTFGLT.exe (file missing)
O23 - Service: HMPQXTXBB - Unknown owner - C:\DOCUME~1\xavier\LOCALS~1\Temp\HMPQXTXBB.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service COM de gravure de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall\persfw.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SUTIE - Unknown owner - C:\DOCUME~1\xavier\LOCALS~1\Temp\SUTIE.exe (file missing)
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--
End of file - 4720 bytes
internaute
 
Messages: 28
Inscription: 03 Juin 2007, 16:28

Messagede nickW » 03 Juin 2007, 18:03

Bonjour et Bienvenue,

STOP!!!!!
Tu vas réussir à détruire ton système!

Antivir te détecte des ADS légitimes laissés par Kaspersky AntiVirus.

Les ADS: http://assiste.com.free.fr/p/abc/a/ads_ ... tream.html

The message: KAVICHS is on each file of the NTFS partition is nothing but service information recorded in the file stream. After Kaspersky Anti-Virus has been deinstalled this information is not deleted so it can be used during further Kaspersky Anti-Virus installations. If you would like to delete this information by some reasons, use a special utility that clears the stream file located on the NTFS partitions from the information entered by Kaspersky Anti-Virus.

To clear the stream files on the NTFS partitions, do the following:

# Download the utility Klstreamremover.zip
Lien de téléchargement: ftp://ftp.kaspersky.com/utils/klstreamr ... emover.zip
# Unzip the archive in the root catalogue of the section where you are planning to clear the streams
# Run Kl stream remover.exe with the parameter –r
# Wait utility work to finish

Note: if there are several NTFS partitions on your computer, repeat previously described actions for each partition.
http://www.kaspersky.com/faq?qid=170884 ... pe=3594740


Le message: "KAVICHS se trouve sur chaque fichier d'une partition NTFS" n'est rien d'autre qu'une information de service enregistrée dans les flux de données. Après la désinstallation de Kaspersky Anti-Virus ces informations ne sont pas supprimées (elles pourront être utilisées ultérieurement en cas de réinstallation de Kaspersky Anti-Virus). Si vous préférez supprimer ces informations, il faut se servir d'un utilitaire spécial qui nettoiera les fichiers ADS situés sur les partitions NTFS.

Pour supprimer ces fichiers, effectuer les manips ci-dessous:

# Télécharger l'utilitaire Klstreamremover.zip
Lien de téléchargement: ftp://ftp.kaspersky.com/utils/klstreamr ... emover.zip

# Décompresser cette archive à la racine de la partition NTFS dont vous voulez nettoyer les ADS

# Lancer KlStreamRemover.exe avec le paramètre -r
Détail de la manip pour la partition C:
Démarrer ----> Exécuter
Dans la ligne blanche, taper cmd puis cliquer sur OK
Dans la fenêtre à fond noir qui vient de s'ouvrir, taper cd*c:\ puis faire Entrée (la * représente un espace)
Taper KlStreamRemover.exe*-r puis faire Entrée (la * représente un espace)

# Attendre la fin de l'exécution

Note: S'il y a plusieurs partitions NTFS sur l'ordinateur, il faut recommencer cette manip pour chacune d'elles.
http://www.kaspersky.com/faq?qid=170884 ... pe=3594740


A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

complément d'informations avc fichier log rootkitReavealer v

Messagede internaute » 03 Juin 2007, 18:06

Il y a à peu près 1 semaine je suis alle sur un site de scan grauit en ligne et c'est depuis que je susi alelr sur un site d'antivirus en ligen que j'ai plus de problèmes qu'avant !!!
normalement un scan antivirus est la pour scanenr les virus or je dis ue cela vient des activesx que le site installe.

sinon voici mon fichier log de rootkitReavealer v1.7 où l'on voit le fameu Kavich dont je n'arrive pas à me dépétrer :
:
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG:KAVICHS 03/06/2007 09:58 36 bytes Hidden from Windows API.
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat:KAVICHS 29/11/2005 16:37 36 bytes Hidden from Windows API.
C:\Documents and Settings\LocalService\ntuser.dat.LOG:KAVICHS 03/06/2007 10:40 36 bytes Hidden from Windows API.
C:\Documents and Settings\LocalService\ntuser.dat:KAVICHS 29/11/2005 16:37 36 bytes Hidden from Windows API.
C:\Documents and Settings\xavier\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG:KAVICHS 03/06/2007 11:06 132 bytes Hidden from Windows API.
C:\Documents and Settings\xavier\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat:KAVICHS 16/05/2007 16:25 100 bytes Hidden from Windows API.
internaute
 
Messages: 28
Inscription: 03 Juin 2007, 16:28

Messagede internaute » 03 Juin 2007, 19:34

Merci pour la procédure très clair.
après la manip j'ai refait un scan antivirus
D'après alvira antivir Guar A JOUR je n'ai pas de virus sur la partition c:

sinon pour revenir à l'installation de Pest Patrol toujours pas possible
je bloque au niveau de ici (voir capture) c'est à dire que je ne peux pas taper de texte
pour lui spécifier le chemin complet (je peux positionner le curseur mais pas taper de lettre)
mais j'ai aussi 2 processus docterr watson qui arrive je vais aller voir si il y a un rapport

encore merci
internaute
 
Messages: 28
Inscription: 03 Juin 2007, 16:28

Messagede nickW » 03 Juin 2007, 23:38

Bonsoir,

Pourrais-tu me décrire précisément les symptômes rencontrés.

Quel programme veux-tu installer? et Pourquoi?
(Nom, version, de quel site l'as-tu téléchargé,...)

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede internaute » 04 Juin 2007, 10:20

nickW a écrit:Bonsoir,

Pourrais-tu me décrire précisément les symptômes rencontrés.

Quel programme veux-tu installer? et Pourquoi?
(Nom, version, de quel site l'as-tu téléchargé,...)

A suivre,


programme :
Pest PATROL 8.0.0.7
Pourquoi je veux l'installer ?

un symptome :
- j'ai un curseur de souris qui fait des traces par intermitence alors que la fonction trace n'est pas activé dans les parametre de la souris.
- mes droits utilisateurs ont changé en sesion adminsitrateur.
- autre choses : je n'active jamais l'enregistrement des MDP et la dans firefox 2.03 la case enregistre les mots de passe était activée !!! Avec des mot de passe à l'intérieur, je vous idt pas lesquelles mais des MDP IMPORTANT
(maj firfox 2.04 faite hier et case décochée)

-1 après avoir fait hier un scan avec ad-ware à jour
j'ai trouvé un ou des spywares : e-music

-2 après avoir fait un scan spybot à jour, j'ai trouvé des cokies traceurs
dans les resultats, je n'ai pas retrouvé le ficheir log save vous dans spybotou on trouve le fichier log resultat ?

Voici le log d'hier de resultat ad-ware :
ArchiveData(auto-quarantine- 2007-06-02 13-37-13.bckp)
Referencefile : SE1R173 29.05.2007
======================================================

MRU LIST
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[0]=MRU FileReference : C:\Documents and Settings\xavier\recent\Desktop.ini
obj[2]=MRU RegReference : S-1-5-21-329068152-854245398-941058211-1003\software\microsoft\search assistant\acmru\5603
obj[3]=MRU RegReference : S-1-5-21-329068152-854245398-941058211-1003\software\microsoft\search assistant\acmru\5604
obj[5]=MRU RegReference : .DEFAULT\software\microsoft\windows media\wmsdk\general computername
obj[6]=MRU RegReference : S-1-5-18\software\microsoft\windows media\wmsdk\general computername
obj[7]=MRU RegReference : S-1-5-21-329068152-854245398-941058211-1003\software\microsoft\windows media\wmsdk\general computername

ADWARE.EMUSIC
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[6]=Regkey : software\microsoft\internet explorer\extensions\{686c970f-1d7d-4469-85d1-4b35763b56cc}
obj[7]=RegValue : software\microsoft\internet explorer\extensions\{686c970f-1d7d-4469-85d1-4b35763b56cc} "CLSID"
obj[8]=RegValue : software\microsoft\internet explorer\extensions\{686c970f-1d7d-4469-85d1-4b35763b56cc} "Default Visible"
obj[9]=RegValue : software\microsoft\internet explorer\extensions\{686c970f-1d7d-4469-85d1-4b35763b56cc} "Exec"
obj[10]=RegValue : software\microsoft\internet explorer\extensions\{686c970f-1d7d-4469-85d1-4b35763b56cc} "HotIcon"
obj[11]=RegValue : software\microsoft\internet explorer\extensions\{686c970f-1d7d-4469-85d1-4b35763b56cc} "Icon"
obj[12]=RegValue : software\microsoft\internet explorer\extensions\{686c970f-1d7d-4469-85d1-4b35763b56cc} "ToolTip"


II INFORMATION PESTPATROL :

-1er SITE sur lequel j'ai telechargé :
http://majorgeeks.com/download1187.html

nom du fichier : pptrialr8.exe
Pest PATROL 8.0.0.7.13
taille sur le disque : 13,1 M

-2ème site aussi sur le site de c-net :
http://www.softwareputation.com:8080/se ... ddle=false

nom du fichier :
ePP-Cnet.exe

ePP-8.0.0.7.13en-LE.exe
taille sur le disque : 13,1


POUR les 2 sites MEME Probleme : impossible de spécifier le chemin dans l'arborecence.
internaute
 
Messages: 28
Inscription: 03 Juin 2007, 16:28

Messagede nickW » 04 Juin 2007, 10:54

Bonjour,

PestPatrol se télécharge depuis le site officiel: http://www.pestpatrol.com/

C'est un programme payant, dont la version d'essai ne nettoie que peu d'infections.
The Free eTrust PestPatrol Anti-Spyware trial removes lower level spyware threats. To remove high level threats, full version activation is required.


Il n'est pas possible de l'installer ailleurs que dans Program Files

Il existe d'autres programmes anti-spyware gratuits.

Peux-tu envoyer un nouveau log HijackThis créé en mode normal.

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede internaute » 04 Juin 2007, 15:35

Édité: inutile de citer/recopier le message auquel tu réponds.

Bonjour

voila le nouveau log HijackThis :
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 16:32:08, on 04/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
D:\Program Files\AntiVir PersonalEdition Classic\sched.exe
D:\Program Files\Comodo\CBOClean\BOCORE.exe
C:\Program Files\Comodo\Firewall\cmdagent.exe
C:\Program Files\Kerio\Personal Firewall\persfw.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Comodo\Firewall\CPF.exe
D:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
D:\Program Files\Eraser\eraser.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Documents and Settings\xavier2\Bureau\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.files-ftp.com/~unicorni/phpBB2/index.php
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.free.fr:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\Comodo\Firewall\CPF.exe" /background
O4 - HKLM\..\Run: [avgnt] "D:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Eraser] D:\Program Files\Eraser\eraser.exe -hide
O4 - Startup: MRU-Blaster Scheduler.lnk = D:\Program Files\MRU-Blaster\scheduler.exe
O4 - Startup: MRU-Blaster Silent Clean.lnk = D:\Program Files\MRU-Blaster\mrublaster.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.files-ftp.com/~unicorni/phpBB2/index.php
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 6470726972
O17 - HKLM\System\CCS\Services\Tcpip\..\{EC6A3F84-F497-481C-8FE7-C1054EFAF642}: NameServer = 208.67.222.222,206.67.220.200
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - D:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BOCore - COMODO - D:\Program Files\Comodo\CBOClean\BOCORE.exe
O23 - Service: BTC - Unknown owner - C:\DOCUME~1\xavier\LOCALS~1\Temp\BTC.exe (file missing)
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Program Files\Comodo\Firewall\cmdagent.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: EKQY - Unknown owner - C:\DOCUME~1\xavier\LOCALS~1\Temp\EKQY.exe (file missing)
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: FPAFTFGLT - Unknown owner - C:\DOCUME~1\xavier\LOCALS~1\Temp\FPAFTFGLT.exe (file missing)
O23 - Service: HMPQXTXBB - Unknown owner - C:\DOCUME~1\xavier\LOCALS~1\Temp\HMPQXTXBB.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service COM de gravure de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall\persfw.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SUTIE - Unknown owner - C:\DOCUME~1\xavier\LOCALS~1\Temp\SUTIE.exe (file missing)
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--
End of file - 5252 bytes

j'ai deja utilisé :
- adsquater résultat : o fichiers trouvé en mode normal (admin)
- spybot deja utilisé voir plus haut
- ad-ware deja uilisé voir plus haut

- rogue remover installé et scanné hier n'a rien à trouvé
donc pas de faux antispyware :-) puisque c'est son role

quel autres antispyware gratuit ? (j'enleve tout de suite les scans en ligne)

exist 'il un logiciel gratuit qui permet de voir tous les active x de son ordinateur ?

dans les 3 dernière semaines sur mon autre ordinateur sous W2K , je sais que j'ai été hacké car j'ai retouvé une image qui ne m'apartenait pas sur mon bureau que je n'avais jamais vue avant ert puis agalement parceque le firewall de mon autre ordinateur est HS
je suis obligé de le réinstaller.

suite à cela j'ai réutiliser ce pc et la aussi le mot de passe de passe que j'enregistre jamais me parait plus que bisard
ainsi que ma souris.

je vais essaye avec un autre souris. Je vais en acheter une autre.
internaute
 
Messages: 28
Inscription: 03 Juin 2007, 16:28

Messagede nickW » 04 Juin 2007, 18:02

Bonsoir,

1/ Une première remarque: HijackThis est mal installé.
Pour pouvoir utiliser les sauvegardes créées par HijackThis, il faut que le programme HijackThis soit installé dans un dossier non système, non temporaire, et qui lui est réservé.
Je te conseille donc
*- de créer un dossier (par exemple: C:\HJT)
*- d'y déplacer le fichier HiJackThis_v2.exe


2/ Une deuxième remarque: il y a deux pare-feu!
Comodo Personal Firewall et Kerio Personal Firewall
Ils ne peuvent que se gêner l'un l'autre.


3/ Spybot-S&D te permet de voir tous les contrôles ActiveX enregistrés sur ton PC.
Lancer Spybot-S&D.
Vérifier dans le menu Mode (en haut) que tu es en Mode avancé
Aller via le menu de gauche dans le menu Outils, puis dans ActiveX


4/ Pour ton autre PC (sous Windows 2000), te souviens-tu de la teneur de l'image qui a envahi ton Bureau?


5/ Peux-tu (dans les paramètres de ta connexion) vérifier les adresses DNS enregistrées

208.67.222.222
OrgName: Freedom Networks LLC
OrgID: FNL-6
Address: 50 Freemont St.
Address: 16 Floor
City: San Francisco
StateProv: CA
PostalCode: 94105
Country: US

206.67.220.200---->ne serait-ce pas 208.67.220.200 :?:
MCI Communications Services, Inc. d/b/a Verizon Business NETBLK-UUNETCBLK64-67 (NET-206-64-0-0-1)
206.64.0.0 - 206.67.255.255
KLA-TENCOR KLA-TENCOR (NET-206-67-220-0-1)
206.67.220.0 - 206.67.223.255

A suivre,

PS:
Inutile de citer/recopier le message auquel tu réponds.
(Attention aux capacités d'hégergement du forum).
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede internaute » 04 Juin 2007, 22:33

nouveau rapport de hidjackthis2 installé dans un dossier crée à la racine c:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 21:27:35, on 04/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
D:\Program Files\AntiVir PersonalEdition Classic\sched.exe
D:\Program Files\Comodo\CBOClean\BOCORE.exe
C:\Program Files\Comodo\Firewall\cmdagent.exe
C:\Program Files\Kerio\Personal Firewall\persfw.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Comodo\Firewall\CPF.exe
D:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
D:\Program Files\Eraser\eraser.exe
C:\HJT\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.files-ftp.com/~unicorni/phpBB2/index.php
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.free.fr:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\Comodo\Firewall\CPF.exe" /background
O4 - HKLM\..\Run: [avgnt] "D:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Eraser] D:\Program Files\Eraser\eraser.exe -hide
O4 - Startup: MRU-Blaster Scheduler.lnk = D:\Program Files\MRU-Blaster\scheduler.exe
O4 - Startup: MRU-Blaster Silent Clean.lnk = D:\Program Files\MRU-Blaster\mrublaster.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.files-ftp.com/~unicorni/phpBB2/index.php
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 6470726972
O17 - HKLM\System\CCS\Services\Tcpip\..\{EC6A3F84-F497-481C-8FE7-C1054EFAF642}: NameServer = 208.67.222.222,208.67.220.200
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - D:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BOCore - COMODO - D:\Program Files\Comodo\CBOClean\BOCORE.exe
O23 - Service: BTC - Unknown owner - C:\DOCUME~1\xavier\LOCALS~1\Temp\BTC.exe (file missing)
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Program Files\Comodo\Firewall\cmdagent.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: EKQY - Unknown owner - C:\DOCUME~1\xavier\LOCALS~1\Temp\EKQY.exe (file missing)
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: FPAFTFGLT - Unknown owner - C:\DOCUME~1\xavier\LOCALS~1\Temp\FPAFTFGLT.exe (file missing)
O23 - Service: HMPQXTXBB - Unknown owner - C:\DOCUME~1\xavier\LOCALS~1\Temp\HMPQXTXBB.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service COM de gravure de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall\persfw.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SUTIE - Unknown owner - C:\DOCUME~1\xavier\LOCALS~1\Temp\SUTIE.exe (file missing)
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--
End of file - 5218 bytes



2/ Pour les Parfeux j'ai desactivé Kerio.

3/ nouveau rapport de scan Spybot :


--- Report generated: 2007-06-04 23:04 ---

E-MusicA: Réglages (Valeur du registre, fixed)
HKEY_USERS\S-1-5-21-329068152-854245398-941058211-1003\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\{686C970F-1D7D-4469-85D1-4B35763B56CC}

MS Office 9.0: Recently used files (59 files) (Répertoire, fixed)
C:\Documents and Settings\xavier\Application Data\Microsoft\Office\Récents\

Log: Activity: SchedLgU.Txt (Sauver le fichier, fixing failed)
C:\WINDOWS\SchedLgU.Txt

Internet Explorer: User agent (Modification du registre, fixed)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent!=Mozilla/4.0 (compatible; MSIE; Win32)

Internet Explorer: User agent (Modification du registre, fixed)
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent!=Mozilla/4.0 (compatible; MSIE; Win32)

Internet Explorer: User agent (Modification du registre, fixed)
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent!=Mozilla/4.0 (compatible; MSIE; Win32)

Internet Explorer: User agent (Modification du registre, fixed)
HKEY_USERS\S-1-5-21-329068152-854245398-941058211-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent!=Mozilla/4.0 (compatible; MSIE; Win32)

Internet Explorer: User agent (Modification du registre, fixed)
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent!=Mozilla/4.0 (compatible; MSIE; Win32)

MS Media Player: Client ID (Modification du registre, fixed)
HKEY_USERS\S-1-5-19\Software\Microsoft\MediaPlayer\Player\Settings\Client ID!=

MS Media Player: Client ID (Modification du registre, fixed)
HKEY_USERS\S-1-5-20\Software\Microsoft\MediaPlayer\Player\Settings\Client ID!=

MS Media Player: Anonymous ID (Modification du registre, fixed)
HKEY_USERS\S-1-5-21-329068152-854245398-941058211-1003\Software\Microsoft\MediaPlayer\Preferences\SendUserGUID!=B=0

MS Office 9.0: Internet history (Valeur du registre, fixed)
HKEY_USERS\S-1-5-21-329068152-854245398-941058211-1003\Software\Microsoft\Office\9.0\Common\Internet\LocationOfComponents

MS Office 9.0: Access recent file (1 fichiers) (Clé du registre, fixed)
HKEY_USERS\S-1-5-21-329068152-854245398-941058211-1003\Software\Microsoft\Office\9.0\Access\Settings

MS Office 9.0 (Word): Recently used file list (Valeur du registre, fixed)
HKEY_USERS\S-1-5-21-329068152-854245398-941058211-1003\Software\Microsoft\Office\9.0\Word\Data\Settings

MS Search Assistant: Typed search terms history (Clé du registre, fixed)
HKEY_USERS\S-1-5-21-329068152-854245398-941058211-1003\Software\Microsoft\Search Assistant\ACMru

MS Windows Backup 5.0: Last created backup set (Modification du registre, fixed)
HKEY_USERS\S-1-5-21-329068152-854245398-941058211-1003\Software\Microsoft\Ntbackup\Hardware\Logical Disk File!=

Windows: Drivers installation paths (Modification du registre, fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\Installation Sources!=

Windows.OpenWith: Open with list - .CSS extension (2 fichiers) (Clé du registre, fixed)
HKEY_USERS\S-1-5-21-329068152-854245398-941058211-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.CSS\OpenWithList

Windows Explorer: Recent wallpaper list (44 fichiers) (Clé du registre, fixed)
HKEY_USERS\S-1-5-21-329068152-854245398-941058211-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Wallpaper\MRU

Windows Explorer: Recent file global history (Clé du registre, fixed)
HKEY_USERS\S-1-5-21-329068152-854245398-941058211-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs

Windows Media SDK: Computer name (Modification du registre, fixed)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows Media\WMSDK\General\ComputerName!=ComputerName

Windows Media SDK: Computer name (Modification du registre, fixed)
HKEY_USERS\S-1-5-21-329068152-854245398-941058211-1003\Software\Microsoft\Windows Media\WMSDK\General\ComputerName!=ComputerName

Windows Media SDK: Computer name (Modification du registre, fixed)
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows Media\WMSDK\General\ComputerName!=ComputerName

Windows Media SDK: Unique ID (Modification du registre, fixed)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows Media\WMSDK\General\UniqueID!={00000000-0000-0000-0000-000000000000}

Windows Media SDK: Unique ID (Modification du registre, fixed)
HKEY_USERS\S-1-5-21-329068152-854245398-941058211-1003\Software\Microsoft\Windows Media\WMSDK\General\UniqueID!={00000000-0000-0000-0000-000000000000}

Windows Media SDK: Unique ID (Modification du registre, fixed)
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows Media\WMSDK\General\UniqueID!={00000000-0000-0000-0000-000000000000}

Windows Media SDK: Volume serial number (Valeur du registre, fixed)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows Media\WMSDK\General\VolumeSerialNumber

Windows Media SDK: Volume serial number (Valeur du registre, fixed)
HKEY_USERS\S-1-5-21-329068152-854245398-941058211-1003\Software\Microsoft\Windows Media\WMSDK\General\VolumeSerialNumber

Windows Media SDK: Volume serial number (Valeur du registre, fixed)
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows Media\WMSDK\General\VolumeSerialNumber


--- Spybot - Search & Destroy version: 1.4 (build: 20050523) ---

2005-05-31 blindman.exe (1.0.0.1)
2005-05-31 SpybotSD.exe (1.4.0.3)
2005-05-31 TeaTimer.exe (1.4.0.2)
2007-06-02 unins000.exe (51.41.0.0)
2005-05-31 Update.exe (1.4.0.0)
2007-05-23 advcheck.dll (1.5.3.0)
2005-05-31 aports.dll (2.1.0.0)
2005-05-31 borlndmm.dll (7.0.4.453)
2005-05-31 delphimm.dll (7.0.4.453)
2005-05-31 SDHelper.dll (1.4.0.0)
2007-01-02 Tools.dll (2.0.1.0)
2005-05-31 UnzDll.dll (1.73.1.1)
2005-05-31 ZipDll.dll (1.73.2.0)
2007-05-30 Includes\Cookies.sbi (*)
2007-05-30 Includes\Dialer.sbi (*)
2007-05-30 Includes\DialerC.sbi (*)
2007-05-30 Includes\Hijackers.sbi (*)
2007-05-30 Includes\HijackersC.sbi (*)
2006-10-27 Includes\Keyloggers.sbi (*)
2007-05-30 Includes\KeyloggersC.sbi (*)
2007-05-30 Includes\Malware.sbi (*)
2007-05-30 Includes\MalwareC.sbi (*)
2007-03-21 Includes\PUPS.sbi (*)
2007-05-30 Includes\PUPSC.sbi (*)
2007-05-30 Includes\Revision.sbi (*)
2007-05-30 Includes\Security.sbi (*)
2007-05-30 Includes\SecurityC.sbi (*)
2007-05-30 Includes\Spybots.sbi (*)
2007-05-30 Includes\SpybotsC.sbi (*)
2005-02-17 Includes\Tracks.uti (*)
2007-05-16 Includes\Trojans.sbi (*)
2007-05-30 Includes\TrojansC.sbi (*)

nouveau rapport et supression des spywares infectés : (active X acrobat impossible à suprimer alors que j'ai suprimé acrobat)


--- Report generated: 2007-06-04 23:04 ---

E-MusicA: Réglages (Valeur du registre, fixed)
HKEY_USERS\S-1-5-21-329068152-854245398-941058211-1003\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\{686C970F-1D7D-4469-85D1-4B35763B56CC}

MS Office 9.0: Recently used files (59 files) (Répertoire, fixed)
C:\Documents and Settings\xavier\Application Data\Microsoft\Office\Récents\

Log: Activity: SchedLgU.Txt (Sauver le fichier, fixing failed)
C:\WINDOWS\SchedLgU.Txt

Internet Explorer: User agent (Modification du registre, fixed)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent!=Mozilla/4.0 (compatible; MSIE; Win32)

Internet Explorer: User agent (Modification du registre, fixed)
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent!=Mozilla/4.0 (compatible; MSIE; Win32)

Internet Explorer: User agent (Modification du registre, fixed)
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent!=Mozilla/4.0 (compatible; MSIE; Win32)

Internet Explorer: User agent (Modification du registre, fixed)
HKEY_USERS\S-1-5-21-329068152-854245398-941058211-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent!=Mozilla/4.0 (compatible; MSIE; Win32)

Internet Explorer: User agent (Modification du registre, fixed)
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent!=Mozilla/4.0 (compatible; MSIE; Win32)

MS Media Player: Client ID (Modification du registre, fixed)
HKEY_USERS\S-1-5-19\Software\Microsoft\MediaPlayer\Player\Settings\Client ID!=

MS Media Player: Client ID (Modification du registre, fixed)
HKEY_USERS\S-1-5-20\Software\Microsoft\MediaPlayer\Player\Settings\Client ID!=

MS Media Player: Anonymous ID (Modification du registre, fixed)
HKEY_USERS\S-1-5-21-329068152-854245398-941058211-1003\Software\Microsoft\MediaPlayer\Preferences\SendUserGUID!=B=0

MS Office 9.0: Internet history (Valeur du registre, fixed)
HKEY_USERS\S-1-5-21-329068152-854245398-941058211-1003\Software\Microsoft\Office\9.0\Common\Internet\LocationOfComponents

MS Office 9.0: Access recent file (1 fichiers) (Clé du registre, fixed)
HKEY_USERS\S-1-5-21-329068152-854245398-941058211-1003\Software\Microsoft\Office\9.0\Access\Settings

MS Office 9.0 (Word): Recently used file list (Valeur du registre, fixed)
HKEY_USERS\S-1-5-21-329068152-854245398-941058211-1003\Software\Microsoft\Office\9.0\Word\Data\Settings

MS Search Assistant: Typed search terms history (Clé du registre, fixed)
HKEY_USERS\S-1-5-21-329068152-854245398-941058211-1003\Software\Microsoft\Search Assistant\ACMru

MS Windows Backup 5.0: Last created backup set (Modification du registre, fixed)
HKEY_USERS\S-1-5-21-329068152-854245398-941058211-1003\Software\Microsoft\Ntbackup\Hardware\Logical Disk File!=

Windows: Drivers installation paths (Modification du registre, fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\Installation Sources!=

Windows.OpenWith: Open with list - .CSS extension (2 fichiers) (Clé du registre, fixed)
HKEY_USERS\S-1-5-21-329068152-854245398-941058211-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.CSS\OpenWithList

Windows Explorer: Recent wallpaper list (44 fichiers) (Clé du registre, fixed)
HKEY_USERS\S-1-5-21-329068152-854245398-941058211-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Wallpaper\MRU

Windows Explorer: Recent file global history (Clé du registre, fixed)
HKEY_USERS\S-1-5-21-329068152-854245398-941058211-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs

Windows Media SDK: Computer name (Modification du registre, fixed)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows Media\WMSDK\General\ComputerName!=ComputerName

Windows Media SDK: Computer name (Modification du registre, fixed)
HKEY_USERS\S-1-5-21-329068152-854245398-941058211-1003\Software\Microsoft\Windows Media\WMSDK\General\ComputerName!=ComputerName

Windows Media SDK: Computer name (Modification du registre, fixed)
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows Media\WMSDK\General\ComputerName!=ComputerName

Windows Media SDK: Unique ID (Modification du registre, fixed)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows Media\WMSDK\General\UniqueID!={00000000-0000-0000-0000-000000000000}

Windows Media SDK: Unique ID (Modification du registre, fixed)
HKEY_USERS\S-1-5-21-329068152-854245398-941058211-1003\Software\Microsoft\Windows Media\WMSDK\General\UniqueID!={00000000-0000-0000-0000-000000000000}

Windows Media SDK: Unique ID (Modification du registre, fixed)
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows Media\WMSDK\General\UniqueID!={00000000-0000-0000-0000-000000000000}

Windows Media SDK: Volume serial number (Valeur du registre, fixed)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows Media\WMSDK\General\VolumeSerialNumber

Windows Media SDK: Volume serial number (Valeur du registre, fixed)
HKEY_USERS\S-1-5-21-329068152-854245398-941058211-1003\Software\Microsoft\Windows Media\WMSDK\General\VolumeSerialNumber

Windows Media SDK: Volume serial number (Valeur du registre, fixed)
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows Media\WMSDK\General\VolumeSerialNumber


--- Spybot - Search & Destroy version: 1.4 (build: 20050523) ---

2005-05-31 blindman.exe (1.0.0.1)
2005-05-31 SpybotSD.exe (1.4.0.3)
2005-05-31 TeaTimer.exe (1.4.0.2)
2007-06-02 unins000.exe (51.41.0.0)
2005-05-31 Update.exe (1.4.0.0)
2007-05-23 advcheck.dll (1.5.3.0)
2005-05-31 aports.dll (2.1.0.0)
2005-05-31 borlndmm.dll (7.0.4.453)
2005-05-31 delphimm.dll (7.0.4.453)
2005-05-31 SDHelper.dll (1.4.0.0)
2007-01-02 Tools.dll (2.0.1.0)
2005-05-31 UnzDll.dll (1.73.1.1)
2005-05-31 ZipDll.dll (1.73.2.0)
2007-05-30 Includes\Cookies.sbi (*)
2007-05-30 Includes\Dialer.sbi (*)
2007-05-30 Includes\DialerC.sbi (*)
2007-05-30 Includes\Hijackers.sbi (*)
2007-05-30 Includes\HijackersC.sbi (*)
2006-10-27 Includes\Keyloggers.sbi (*)
2007-05-30 Includes\KeyloggersC.sbi (*)
2007-05-30 Includes\Malware.sbi (*)
2007-05-30 Includes\MalwareC.sbi (*)
2007-03-21 Includes\PUPS.sbi (*)
2007-05-30 Includes\PUPSC.sbi (*)
2007-05-30 Includes\Revision.sbi (*)
2007-05-30 Includes\Security.sbi (*)
2007-05-30 Includes\SecurityC.sbi (*)
2007-05-30 Includes\Spybots.sbi (*)
2007-05-30 Includes\SpybotsC.sbi (*)
2005-02-17 Includes\Tracks.uti (*)
2007-05-16 Includes\Trojans.sbi (*)
2007-05-30 Includes\TrojansC.sbi (*)

4/ pour mon autre PC windows 2000
j'ai pas eu le temps de vérifier pour une description précise
de l'image que j'avais mis à la corbeille

MAis c'était photo petit format
c'était un couple qu baisait
photo trafiqué je crois un peu d'ailleur

Mais mainteant j''ai une coupure brusque du P4 windows 2000
avc un BIP continu je crois que c'est le processeur.

en fait j'interveti les cables claviers et couris + écran que je asse d'un pc à l'autre et pendat le sacna je sui salle voir
pour essayer de remettre un peu d'ordre come réinstaller le firewal mais j'ai pas eu le temps

/5 bien vu la 2ème DNS n'était pas ok.
le 1er octet à prirori est le meme pour les 2 DNS
internaute
 
Messages: 28
Inscription: 03 Juin 2007, 16:28

Suivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 44 invités