[ok] pc contaminé

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

[ok] pc contaminé

Messagede ginie2449 » 26 Mai 2008, 20:47

Bonsoir,

je reviens solliciter votre aide.
la carte mère de mon ordinateur a lâché, je l'ai remplacée par une carte mère d'occasion mais ca ne tourne pas très rond... :frown:
L'anti-virus est AVG, mais je pense que le pc est infesté. AVG semble mettre les virus en quarantaine mais je ne sais pas s'il ne faudrait pas un nettoyage plus en profondeur. Le pc se bloque régulièrement, aucune icône du bureau ne répondant, obligeant un redémarrage forcé.
Voici le log effectué avec Hijackthis après un passage de ccleaner :

Logfile of HijackThis v1.99.1
Scan saved at 21:37:06, on 26/05/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\Mixer.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\ASUS\WLAN Card Utilities\Center.exe
C:\WINDOWS\System32\carpserv.exe
C:\WINDOWS\VM_STI.EXE
C:\WINDOWS\System32\sys32.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\System32\winscrne.exe
C:\PROGRA~1\MUSICM~1\MUSICM~1\mm_tray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\winscrne.exe
C:\PROGRA~1\MUSICM~1\MUSICM~1\MMDiag.exe
C:\Program Files\Musicmatch\Musicmatch Jukebox\mim.exe
C:\WINDOWS\System32\cmd.exe
C:\Program Files\Fichiers communs\System\MSASP32.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\irdvxc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\sc.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\System32\mdm.exe
F:\logiciels\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freeart1cile.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe msnmngr.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Control Center] C:\Program Files\ASUS\WLAN Card Utilities\Center.exe
O4 - HKLM\..\Run: [Norton] C:\Program Files\ASUS\WLAN Card Utilities\NorExec.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE Thrustmaster USB PC Camera
O4 - HKLM\..\Run: [Winjava vil] sys32.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [hotefix] msnmanegers.exe
O4 - HKLM\..\Run: [msnmgnr] C:\WINDOWS\System32\msnmgnr.exe
O4 - HKLM\..\Run: [STV] winscrne.exe
O4 - HKLM\..\Run: [MimBoot] C:\PROGRA~1\MUSICM~1\MUSICM~1\mimboot.exe
O4 - HKLM\..\Run: [MMTray] C:\PROGRA~1\MUSICM~1\MUSICM~1\mm_tray.exe
O4 - HKLM\..\Run: [Windows Networking Monitoring] C:\WINDOWS\System32\mdm.exe
O4 - HKLM\..\RunServices: [hotefix] msnmanegers.exe
O4 - HKLM\..\RunServices: [msnmgnr] C:\WINDOWS\System32\msnmgnr.exe
O4 - HKLM\..\RunServices: [Windows Service Agent] tlexpdoj.exe
O4 - HKLM\..\RunServices: [Microsoft Winedows Updateing] NinKey.exe
O4 - HKLM\..\RunServices: [STV] winscrne.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [STV] winscrne.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windows ... 0024808500
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://fichiers.touslesdrivers.com/fich ... 0_4_13.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Advance Service Process - Unknown owner - C:\Program Files\Fichiers communs\System\MSASP32.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe" /service (file missing)
O23 - Service: Windows Security Center - Unknown owner - C:\WINDOWS\system32\winmgr.exe (file missing)

Merci infiniment pour votre aide...
Virginie
Dernière édition par ginie2449 le 16 Sep 2008, 09:16, édité 1 fois.
ginie2449
 
Messages: 63
Inscription: 16 Jan 2007, 14:36
Localisation: Brantome

Messagede nickW » 28 Mai 2008, 00:29

Bonsoir,

Depuis le 25 janvier, tu n'as pas mis à jour Windows XP ni Internet Explorer!
Ah, j'oubliais, il s'agit du 25 janvier 2007.

http://assiste.forum.free.fr/viewtopic.php?t=14592


Premiers nettoyages:

Au vu de la longueur de la procédure, je te conseille de l'imprimer, d'enregistrer la page dans un fichier HTML (c'est la meilleure solution), ou d'en sélectionner toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC (Note: tu n'auras pas accès à Internet, et des redémarrages sont possibles).
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.


Note: Ces manips doivent être effectuées en ayant ouvert une session avec les "droits Administrateur" (ne pas utiliser le profil utilisateur nommé "Administrateur" visible en mode sans échec).
Sous Windows XP, pour vérifier si un compte a les droits "Administrateur":
Démarrer---->Paramètres---->Panneau de configuration---->Comptes d'utilisateurs
A côté de l'icône représentant certains comptes (hormis celui nommé "Administrateur"), il est indiqué "Administrateur de l'ordinateur"
C'est l'un de ces comptes qu'il faudra utiliser.



Étape 1: Affichage tous fichiers
Vérifier que ton PC affiche bien tous les fichiers
http://assiste.com.free.fr/p/comment/co ... aches.html


Étape 2: HijackThis (de TrendMicro)
Télécharger HijackThis de TrendMicro depuis la page:
http://www.trendsecure.com/portal/en-US ... e=download
Cliquer sur le lien: Download HijackThis Installer
Enregistrer ce fichier sur le Bureau.

Lancer l'installation par un double clic sur HJTInstall.exe
Si elle s'affiche, lire et accepter la licence (cliquer sur le bouton I Accept)
Fermer HijackThis.


Étape 3: Deckard's System Scanner (DSS) (de Deckard)
Télécharger Deckard's System Scanner (DSS) depuis http://deckard.geekstogo.com/dss.exe
Enregistrer ce fichier sur le Bureau.
Ne pas le lancer maintenant!


Étape 4: SDFix (de Andy Manchesta)
Télécharger SDFix.exe depuis http://downloads.andymanchesta.com/Remo ... /SDFix.exe
Enregistrer ce fichier sur le Bureau.
Faire un double clic sur SDFix.exe pour lancer l'extraction de l'outil dans un dossier SDFix placé à la racine de la partition système (par défaut "C:\").


Étape 5: Mode sans échec
Redémarrer en mode sans échec en utilisant la méthode F8 (F5 sur certains PCs).
Voir http://assiste.com.free.fr/p/comment/co ... echec.html
Fermer le plus possible de fenêtres.
Pas de connexion Internet ouverte, pas d'Internet Explorer ouvert.


Étape 6: SDFix
Ouvrir le dossier SDFix qui a été créé à la racine de la partition système, et faire un double clic sur RunThis.bat pour lancer l'outil.
Appuyer sur la touche Y pour lancer l'exécution.
L'outil va supprimer les services de certains trojans, effectuer aussi quelques réparations du Registre. Ensuite, il demandera d'appuyer sur une touche pour redémarrer.
Appuyer sur n'importe quelle touche pour faire redémarrer le PC (en mode normal).
Le système va mettre plus de temps que d'habitude pour redémarrer car l'outil va continuer à s'exécuter et supprimer des fichiers.
Après le chargement du Bureau, l'outil va terminer le nettoyage puis afficher Finished.
Appuyer sur n'importe quelle touche pour fermer l'outil et charger les icônes du Bureau.
Une fenêtre du Bloc-notes va s'ouvrir, affichant le rapport de SDFix.
Fermer cette fenêtre.


Étape 7: Deckard's System Scanner (DSS) (de Deckard)
Note: Le PC doit être en mode normal.
Fermer toutes les fenêtres de programme ouvertes.
Faire un double clic sur dss.exe situé sur le Bureau pour lancer l'installation et l'exécution de l'outil.

Cliquer sur OK lorsque cela est demandé (de 1 à 3 fois).
Lorsque l'outil a terminé le balayage, une ou deux fenêtres du Bloc-notes vont s'ouvrir, affichant le(s) rapport(s):
main.txt <- ouvert dans une fenêtre plein-écran
extra.txt <- ouvert dans une fenêtre réduite (ce fichier n'est pas créé à chaque fois)
Fermer cette (ces deux) fenêtre(s) du Bloc-notes.


Étape 8: Résultats
Envoyer en réponse:
*- le rapport de SDFix (contenu du fichier Report.txt situé dans le dossier SDFix)

Envoyer ensuite en réponse dans deux messages distincts (à cause de la longueur des logs):
*- les rapports de Deckard's System Scanner (contenu des fichiers main.txt et extra.txt situés dans le dossier SystemDrive\Deckard\System Scanner).
[SystemDrive représente la partition sur laquelle est installé le système, généralement C:]

Note importante: Pour l'envoi de ta(tes) réponse(s), il ne faut pas créer un nouveau sujet, mais cliquer sur le bouton "Répondre"
Image pour continuer dans ce fil de discussion.

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede ginie2449 » 28 Mai 2008, 21:18

Bonsoir,

...et merci de votre aide.
J'ai effectué les manipulations demandées, voici le rapport de SDFix :


SDFix: Version 1.186
Run by Administrateur on 28/05/2008 at 21:48

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

Checking Services :

Name :
MSDisk
Windows Security Center

Path :
"C:\WINDOWS\System32\irdvxc.exe" /service
"C:\WINDOWS\system32\winmgr.exe"

MSDisk - Deleted
Windows Security Center - Deleted



Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting


Checking Files :

Trojan Files Found:

C:\WINDOWS\SYSTEM32\UPGRAD.EXE - Deleted
C:\WINDOWS\SYSTEM32\HQGHUMEA.DLL - Deleted
C:\ADWARE.EXE - Deleted
C:\WINDOWS\SYSTEM32\MDM.EXE - Deleted
C:\a.bat - Deleted
C:\WINDOWS\system32\a.exe - Deleted
C:\adware.exe - Deleted
C:\WINDOWS\hosts - Deleted
C:\WINDOWS\mIRC.ini - Deleted
C:\WINDOWS\system32\drivers\hosts - Deleted
C:\WINDOWS\system32\i - Deleted
C:\WINDOWS\system32\irdvxc.exe - Deleted
C:\WINDOWS\system32\svhda.exe - Deleted
C:\WINDOWS\system32\sys32.exe - Deleted
C:\WINDOWS\system32\tl.exe - Deleted
C:\WINDOWS\system32\winscrne.exe - Deleted





Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-28 21:52:48
Windows 5.1.2600 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\\Program Files\\Fichiers communs\\System\\MSASP32.exe"="C:\\Program Files\\Fichiers communs\\System\\MSASP32.exe:*:Enabled:Microsoft ASP"

Remaining Files :


File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Sun 6 Apr 2008 55,296 ..SHR --- "C:\Program Files\Fichiers communs\System\MSASP32.exe"
Sun 28 Oct 2007 20,233,232 A..H. --- "C:\Documents and Settings\user\Local Settings\Temp\BIT3.tmp"
Thu 5 Oct 2000 339,565 A..HR --- "C:\Documents and Settings\user\Local Settings\Temp\IEC24D.tmp"
Thu 7 Dec 2006 3,096,576 A..H. --- "C:\Documents and Settings\user\Application Data\U3\temp\Launchpad Removal.exe"

Finished!
ginie2449
 
Messages: 63
Inscription: 16 Jan 2007, 14:36
Localisation: Brantome

Messagede ginie2449 » 28 Mai 2008, 21:19

Voici maintenant les rapports DSS :

Deckard's System Scanner v20071014.68
Run by user on 2008-05-28 21:55:50
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Successfully created a Deckard's System Scanner Restore Point.


-- Last 5 Restore Point(s) --
45: 2008-05-28 19:55:52 UTC - RP53 - Deckard's System Scanner Restore Point
44: 2008-05-27 18:04:26 UTC - RP52 - Point de vérification système
43: 2008-05-26 17:59:36 UTC - RP51 - Point de vérification système
42: 2008-05-25 14:37:29 UTC - RP50 - Point de vérification système
41: 2008-05-24 08:53:28 UTC - RP49 - Point de vérification système


-- First Restore Point --
1: 2008-04-05 07:39:44 UTC - RP9 - Software Distribution Service 3.0


Backed up registry hives.
Performed disk cleanup.



-- HijackThis (run as user.exe) ------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:56:50, on 28/05/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\System\MSASP32.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\Mixer.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\ASUS\WLAN Card Utilities\Center.exe
C:\WINDOWS\System32\carpserv.exe
C:\WINDOWS\VM_STI.EXE
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\PROGRA~1\MUSICM~1\MUSICM~1\mm_tray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe
C:\PROGRA~1\MUSICM~1\MUSICM~1\MMDiag.exe
C:\Program Files\Musicmatch\Musicmatch Jukebox\mim.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Documents and Settings\user\Bureau\dss.exe
C:\PROGRA~1\TRENDM~1\HIJACK~1\user.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freeart1cile.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Control Center] C:\Program Files\ASUS\WLAN Card Utilities\Center.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE Thrustmaster USB PC Camera
O4 - HKLM\..\Run: [Winjava vil] sys32.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [MimBoot] C:\PROGRA~1\MUSICM~1\MUSICM~1\mimboot.exe
O4 - HKLM\..\Run: [MMTray] C:\PROGRA~1\MUSICM~1\MUSICM~1\mm_tray.exe
O4 - HKLM\..\RunServices: [Microsoft Winedows Updateing] NinKey.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [Microsoft Winedows Updateing] NinKey.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [Microsoft Winedows Updateing] NinKey.exe (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windows ... 0024808500
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://fichiers.touslesdrivers.com/fich ... 0_4_13.cab
O23 - Service: Advance Service Process - Unknown owner - C:\Program Files\Fichiers communs\System\MSASP32.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe

--
End of file - 5568 bytes

-- File Associations -----------------------------------------------------------

.js - JSFile - DefaultIcon - C:\Program Files\Macromedia\Dreamweaver MX 2004\Dreamweaver.exe,2
.js - JSFile - shell\open\command - "C:\Program Files\Macromedia\Dreamweaver MX 2004\Dreamweaver.exe" "%1"


-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

R3 catchme - c:\docume~1\user\locals~1\temp\catchme.sys (file missing)
R3 cmpci (C-Media PCI Audio Driver (WDM)) - c:\windows\system32\drivers\cmaudio.sys <Not>
R3 ZSMC301b (Thrustmaster USB PC Camera) - c:\windows\system32\drivers\usbvm31b.sys <Not>

S1 InCDPass - c:\windows\system32\drivers\incdpass.sys (file missing)
S1 InCDRm (InCD Reader) - c:\windows\system32\drivers\incdrm.sys (file missing)
S3 W8100XP (Marvell Libertas 802.11b/g SoftAP Driver for Windows XP ) - c:\windows\system32\drivers\mrv8ka51.sys <Not>
S4 InCDFs (InCD File System) - c:\windows\system32\drivers\incdfs.sys (file missing)


-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

R2 Advance Service Process - "c:\program files\fichiers communs\system\msasp32.exe"


-- Device Manager: Disabled ----------------------------------------------------

Class GUID: {4D36E97E-E325-11CE-BFC1-08002BE10318}
Description: Contrôleur RAID
Device ID: PCI\VEN_105A&DEV_5275&SUBSYS_807E1043&REV_01\4&25296D99&0&10F0
Manufacturer:
Name: Contrôleur RAID
PNP Device ID: PCI\VEN_105A&DEV_5275&SUBSYS_807E1043&REV_01\4&25296D99&0&10F0
Service:

Class GUID:
Description: Contrôleur Ethernet
Device ID: PCI\VEN_11AB&DEV_1FA6&SUBSYS_138F1043&REV_07\4&25296D99&0&68F0
Manufacturer:
Name: Contrôleur Ethernet
PNP Device ID: PCI\VEN_11AB&DEV_1FA6&SUBSYS_138F1043&REV_07\4&25296D99&0&68F0
Service:


-- Files created between 2008-04-28 and 2008-05-28 -----------------------------

2008-05-28 21:47:08 0 d-------- C:\WINDOWS\ERUNT
2008-05-28 21:36:47 0 d--h----- C:\Documents and Settings\Administrateur\Voisinage réseau
2008-05-28 21:36:47 0 d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2008-05-28 21:36:47 0 dr-h----- C:\Documents and Settings\Administrateur\SendTo
2008-05-28 21:36:47 0 d--h----- C:\Documents and Settings\Administrateur\Recent
2008-05-28 21:36:47 524288 --ah----- C:\Documents and Settings\Administrateur\NTUSER.DAT
2008-05-28 21:36:47 0 d--h----- C:\Documents and Settings\Administrateur\Modèles
2008-05-28 21:36:47 0 d-------- C:\Documents and Settings\Administrateur\Mes documents
2008-05-28 21:36:47 0 dr------- C:\Documents and Settings\Administrateur\Menu Démarrer
2008-05-28 21:36:47 0 d--h----- C:\Documents and Settings\Administrateur\Local Settings
2008-05-28 21:36:47 0 d-------- C:\Documents and Settings\Administrateur\Favoris
2008-05-28 21:36:47 0 d---s---- C:\Documents and Settings\Administrateur\Cookies
2008-05-28 21:36:47 0 d-------- C:\Documents and Settings\Administrateur\Bureau
2008-05-28 21:36:47 0 dr-h----- C:\Documents and Settings\Administrateur\Application Data
2008-05-28 21:36:47 0 d---s---- C:\Documents and Settings\Administrateur\Application Data\Microsoft
2008-05-28 21:24:22 0 d-------- C:\Program Files\Trend Micro
2008-05-26 22:22:55 0 dr-h----- C:\Documents and Settings\user\Recent
2008-05-19 21:02:14 84 --a------ C:\WINDOWS\System32\c.bat
2008-05-19 21:02:13 71 --a------ C:\WINDOWS\System32\.pif
2008-05-19 17:39:27 62168 --a------ C:\WINDOWS\System32\nw.exe
2008-05-17 11:50:55 154923 --a------ C:\Documents and Settings\user\fry.exe
2008-05-14 23:22:51 62168 --a------ C:\WINDOWS\System32\jb.exe
2008-05-11 17:18:04 13824 --a------ C:\sfd.exe
2008-05-11 17:09:11 13824 --a------ C:\usfr.exe
2008-05-11 16:15:15 13824 --a------ C:\usfd.exe
2008-05-11 10:50:35 0 d-------- C:\Program Files\Musicmatch
2008-05-11 10:50:35 0 d-------- C:\Documents and Settings\user\Application Data\Musicmatch
2008-05-09 16:09:02 154923 --a------ C:\ussf.exe
2008-05-09 15:37:25 13824 --a------ C:\usf.exe
2008-05-08 16:11:31 225 --a------ C:\WINDOWS\System32\l
2008-05-08 16:10:14 1352989 --a------ C:\WINDOWS\System32\1 <Not>
2008-05-08 15:13:02 0 d-------- C:\WINDOWS\sounds
2008-05-08 15:13:02 0 d-------- C:\WINDOWS\logs
2008-05-08 15:13:02 0 d-------- C:\WINDOWS\download
2008-05-08 15:13:01 74240 --a------ C:\WINDOWS\repcale.exe
2008-05-08 15:13:01 31744 --a------ C:\WINDOWS\ps2m.exe <Not>
2008-05-08 15:13:01 91648 --a------ C:\WINDOWS\orrl.exe
2008-05-08 15:13:01 1144 --a------ C:\WINDOWS\murd3r
2008-05-08 15:13:01 36504 --a------ C:\WINDOWS\l0v3ly.sys
2008-05-08 15:13:01 34 --a------ C:\WINDOWS\ksat.bat
2008-05-08 15:13:01 80896 --a------ C:\WINDOWS\cult.exe
2008-05-08 15:13:00 1771008 --a------ C:\WINDOWS\antyps.exe <Not>
2008-05-08 15:12:58 1352989 --a------ C:\WINDOWS\System32\nsh.exe <Not>
2008-05-04 20:48:18 56 --a------ C:\WINDOWS\System32\x
2008-05-04 20:45:52 62168 --a------ C:\WINDOWS\System32\ts.exe


-- Find3M Report ---------------------------------------------------------------

2008-05-28 21:04:59 0 d-------- C:\Documents and Settings\user\Application Data\AVG7
2008-05-11 10:51:16 0 d--h----- C:\Program Files\InstallShield Installation Information
2008-04-30 17:22:07 0 d-------- C:\Documents and Settings\user\Application Data\Ahead
2008-04-20 09:56:56 0 d-------- C:\Documents and Settings\user\Application Data\Sun
2008-04-20 09:56:29 0 d-------- C:\Program Files\Java
2008-04-20 09:55:21 0 d-------- C:\Program Files\Fichiers communs
2008-04-20 09:55:21 0 d-------- C:\Program Files\Fichiers communs\Java
2008-04-14 15:27:23 0 d-------- C:\Documents and Settings\user\Application Data\vlc
2008-04-11 19:30:11 8296 --a------ C:\WINDOWS\System32\rewxertbtsr.exe
2008-04-09 19:57:19 6144 --a------ C:\killmgr.exe
2008-04-08 21:41:40 21903 --a------ C:\Documents and Settings\user\Application Data\Valeurs séparées par des virgules (Windows).ADR
2008-04-06 19:03:56 370832 --a------ C:\WINDOWS\System32\perfh00C.dat
2008-04-06 19:03:56 49734 --a------ C:\WINDOWS\System32\perfc00C.dat
2008-04-05 23:16:42 0 d-------- C:\Documents and Settings\user\Application Data\AdobeUM
2008-04-05 23:16:27 0 d-------- C:\Program Files\Fichiers communs\Adobe
2008-04-05 23:16:26 0 d-------- C:\Documents and Settings\user\Application Data\Adobe
2008-04-05 23:02:52 0 d-------- C:\Program Files\Thrustmaster
2008-04-05 23:01:51 0 d-------- C:\Documents and Settings\user\Application Data\ma-config.com
2008-04-05 13:40:37 15532 --a------ C:\WINDOWS\System32\f8.exe
2008-04-05 13:01:01 45584 --a------ C:\WINDOWS\System32\yp.exe
2008-04-05 11:07:00 0 d-------- C:\Documents and Settings\user\Application Data\Macromedia
2008-04-05 11:06:44 1158 --a------ C:\WINDOWS\mozver.dat
2008-04-05 11:04:54 0 --a------ C:\WINDOWS\nsreg.dat
2008-04-05 11:04:47 0 d-------- C:\Documents and Settings\user\Application Data\Mozilla
2008-04-05 10:42:14 0 d-------- C:\Program Files\CONEXANT
2008-04-05 10:36:53 0 d-------- C:\Documents and Settings\user\Application Data\WinRAR
2008-04-05 10:35:39 0 d-------- C:\Program Files\ma-config.com
2008-04-05 10:18:43 0 d-------- C:\Program Files\ASUS
2008-04-05 10:00:32 0 d-------- C:\Program Files\Fichiers communs\Macromedia Shared
2008-04-05 10:00:31 0 d-------- C:\Program Files\Macromedia
2008-04-05 10:00:31 0 d-------- C:\Program Files\Fichiers communs\Macromedia
2008-04-05 09:55:26 0 d-------- C:\Documents and Settings\user\Application Data\U3
2008-04-05 09:53:58 0 d-------- C:\Program Files\MSN Messenger
2008-04-05 09:50:05 0 d-------- C:\Program Files\Webteh
2008-04-05 09:49:29 0 d-------- C:\Program Files\VideoLAN
2008-04-05 09:44:22 0 d-------- C:\Program Files\Nero
2008-04-05 09:44:22 0 d-------- C:\Program Files\Fichiers communs\Ahead
2008-04-05 03:28:56 0 d-------- C:\Program Files\Microsoft.NET


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"C-Media Mixer"="Mixer.exe" [20/03/2003 15:21 C:\WINDOWS\mixer.exe]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [19/04/2008 10:35]
"NeroFilterCheck"="C:\WINDOWS\System32\NeroCheck.exe" [09/07/2001 11:50]
"Control Center"="C:\Program Files\ASUS\WLAN Card Utilities\Center.exe" [24/02/2004 12:17]
"CARPService"="carpserv.exe" [19/03/2003 01:13 C:\WINDOWS\system32\carpserv.exe]
"BigDogPath"="C:\WINDOWS\VM_STI.exe" [21/01/2003 13:19]
"Winjava vil"="sys32.exe" []
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [22/02/2008 04:25]
"MimBoot"="C:\PROGRA~1\MUSICM~1\MUSICM~1\mimboot.exe" [10/05/2005 16:04]
"MMTray"="C:\PROGRA~1\MUSICM~1\MUSICM~1\mm_tray.exe" [10/05/2005 16:04]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [29/08/2002 11:45]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe" [08/09/2005 11:06]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [19/01/2007 12:55]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices]
"Microsoft Winedows Updateing"=NinKey.exe

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
"Microsoft Winedows Updateing"=NinKey.exe

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"STV"=winscrne.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableRegistryTools"=0 (0x0)




-- End of Deckard's System Scanner: finished at 2008-05-28 21:57:26 ------------
ginie2449
 
Messages: 63
Inscription: 16 Jan 2007, 14:36
Localisation: Brantome

Messagede ginie2449 » 28 Mai 2008, 21:32

et le rapport extra.txt :

Deckard's System Scanner v20071014.68
Extra logfile - please post this as an attachment with your post.
--------------------------------------------------------------------------------

-- System Information ----------------------------------------------------------

Microsoft Windows XP Professionnel (build 2600) SP 1.0
Architecture: X86; Language: French

CPU 0: Intel(R) Celeron(R) CPU 2.00GHz
Percentage of Memory in Use: 56%
Physical Memory (total/avail): 511.47 MiB / 222.82 MiB
Pagefile Memory (total/avail): 1250.4 MiB / 1001.48 MiB
Virtual Memory (total/avail): 2047.88 MiB / 1948.54 MiB

C: is Fixed (NTFS) - 15.18 GiB total, 8.09 GiB free.
D: is Fixed (NTFS) - 152.66 GiB total, 45.72 GiB free.
E: is Fixed (FAT32) - 0.54 GiB total, 0.11 GiB free.
F: is Fixed (NTFS) - 214.85 GiB total, 142.35 GiB free.
G: is CDROM (No Media)
H: is CDROM (No Media)

\\.\PHYSICALDRIVE1 - Maxtor 6Y160P0 - 152.66 GiB - 1 partition
\PARTITION0 (bootable) - Système de fichiers installable - 152.66 GiB - D:

\\.\PHYSICALDRIVE0 - Maxtor 7Y250P0 - 233.76 GiB - 4 partitions
\PARTITION0 (bootable) - Système de fichiers installable - 15.18 GiB - C:
\PARTITION1 - Unknown - 3.19 GiB
\PARTITION2 - Unknown - 549.07 MiB - E:
\PARTITION3 - Système de fichiers installable - 214.85 GiB - F:



-- Security Center -------------------------------------------------------------

AUOptions is disabled.


-- Environment Variables -------------------------------------------------------

ALLUSERSPROFILE=C:\Documents and Settings\All Users
APPDATA=C:\Documents and Settings\user\Application Data
CLIENTNAME=Console
CommonProgramFiles=C:\Program Files\Fichiers communs
COMPUTERNAME=USER-G368ZBVWVO
ComSpec=C:\WINDOWS\system32\cmd.exe
HOMEDRIVE=C:
HOMEPATH=\Documents and Settings\user
LOGONSERVER=\\USER-G368ZBVWVO
NUMBER_OF_PROCESSORS=1
OS=Windows_NT
Path=C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem;C:\Program Files\Intel\DMIX
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 15 Model 2 Stepping 9, GenuineIntel
PROCESSOR_LEVEL=15
PROCESSOR_REVISION=0209
ProgramFiles=C:\Program Files
PROMPT=$P$G
SESSIONNAME=Console
SystemDrive=C:
SystemRoot=C:\WINDOWS
TEMP=C:\DOCUME~1\user\LOCALS~1\Temp
TMP=C:\DOCUME~1\user\LOCALS~1\Temp
USERDOMAIN=USER-G368ZBVWVO
USERNAME=user
USERPROFILE=C:\Documents and Settings\user
windir=C:\WINDOWS


-- User Profiles ---------------------------------------------------------------

user (admin)
Administrateur (admin)


-- Add/Remove Programs ---------------------------------------------------------

--> MsiExec.exe /I{403EF592-953B-4794-BCEF-ECAB835C2095}
--> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Flash Player ActiveX --> C:\WINDOWS\System32\Macromed\Flash\uninstall_activeX.exe
Adobe Reader 6.0.1 - Français --> MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A00000000001}
Archiveur WinRAR --> C:\Program Files\WinRAR\uninstall.exe
ASUS WLAN Card Utilities/Driver --> RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{8F722FA9-B994-4C9B-B292-FD32D6206EDF}\setup.exe" -l0x40c
ATI - Software Uninstall Utility --> C:\Program Files\ATI Technologies\UninstallAll\AtiCimUn.exe
ATI Catalyst Control Center --> RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{055EE59D-217B-43A7-ABFF-507B966405D8}\setup.exe" -l0x0
ATI Display Driver --> rundll32 C:\WINDOWS\System32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean
AVG 7.5 --> C:\Program Files\Grisoft\AVG7\setup.exe /UNINSTALL
BSPlayer --> "C:\Program Files\Webteh\BSplayer\uninstall.exe"
CCleaner (remove only) --> "F:\logiciels\Ccleaner\uninst.exe"
Celestia 1.5.1 --> "F:\logiciels\Celestia\unins000.exe"
CHIPDRIVE SIM Manager Pro v3.3 --> "C:\Program Files\CHIPDRIVE\SIM Manager Pro\unins000.exe"
Correctif Windows XP - KB842773 --> C:\WINDOWS\$NtUninstallKB842773$\spuninst\spuninst.exe
DivX Codec --> C:\WINDOWS\unvise32.exe C:\Program Files\DivX\DivX Bundle.log
FM-56PCI-HSFi-AB --> C:\Program Files\CONEXANT\CNXT_MODEM_PCI_VEN_14F1&DEV_2F00\HXFSETUP.EXE -U -IVEN_14F1&DEV_2F02&SUBSYS_000B1767
HijackThis 2.0.2 --> "C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Intel Application Accelerator --> RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{9984DF60-1C5B-11D3-ACA1-908A4FC10801}\Setup.exe" -INTELUNINST
Intel(R) Network Connections 12.4.38.0 --> MsiExec.exe /i{888D0F50-FF0A-4808-966E-23D63277BF2A} ARPREMOVE=1
Java(TM) 6 Update 5 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160050}
Ma-Config.com plugin --> MsiExec.exe /I{6F06A42D-525C-49ED-8622-E16790956CD8}
Macromedia Dreamweaver MX 2004 --> RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{05BB2EC5-6BEF-4DDC-9E75-BEE7B161157A}\Setup.exe" -l0x9 mmUninstall
Macromedia Extension Manager --> RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{A5BA14E0-7384-11D4-BAE7-00409631A2C8}\setup.exe" -l0x9 mmUninstall
Microsoft Office Professional Edition 2003 --> MsiExec.exe /I{9011040C-6000-11D3-8CFE-0150048383C9}
mIRC --> "C:\WINDOWS\antyps.exe" -uninstall
Mise à jour pour Windows XP (KB898461) --> "C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe"
Mozilla Firefox (2.0.0.14) --> C:\Program Files\Mozilla Firefox\uninstall\helper.exe
Musicmatch® Jukebox --> RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{85D3CC30-8859-481A-9654-FD9B74310BEF}\setup.exe" -l0x9 -uninst
Nero 7 Ultra Edition --> MsiExec.exe /I{4781569D-5404-1F26-4B2B-6DF444441031}
PCI Audio Driver --> cmuninst.exe
Pinnacle TRex --> RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{9313E9A6-03DF-11D5-88F8-005004361016}\Setup.exe" -l0x40c UNINSTALL
Room Arranger --> "F:\logiciels\Room Arranger\uninstall.exe"
TM507 Webcam --> RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{7F5A0E78-2B5A-4689-A91D-D60D83FC45E1}\Setup.exe" -l0x40c
VideoLAN VLC media player 0.8.5 --> C:\Program Files\VideoLAN\VLC\uninstall.exe
Windows Live Messenger --> MsiExec.exe /I{F6326B60-1B1D-4ABF-BFCD-7B7404F44411}


-- Application Event Log -------------------------------------------------------

Event Record #/Type2292 / Success
Event Submitted/Written: 05/28/2008 09:55:05 PM
Event ID/Source: 12001 / usnjsvc
Event Description:
The Messenger Sharing USN Journal Reader service started successfully.

Event Record #/Type2286 / Error
Event Submitted/Written: 05/28/2008 09:46:27 PM
Event ID/Source: 8193 / VSS
Event Description:
Erreur du service de cliché instantané des volumes : erreur lors de l'appel de la routine CoCreateInstance. hr = 0x80040206.

Event Record #/Type2285 / Error
Event Submitted/Written: 05/28/2008 09:46:27 PM
Event ID/Source: 4609 / EventSystem
Event Description:
Le système d'événements de COM+ a détecté un code de renvoi erroné lors de son traitement interne. Le HRESULT est 8007043C à partir de la ligne 44 de d:\nt\com\com1x\src\events\tier1\eventsystemobj.cpp. Contactez les services du Support Technique Microsoft pour signaler cette erreur.

Event Record #/Type2277 / Success
Event Submitted/Written: 05/28/2008 09:44:33 PM
Event ID/Source: 12001 / usnjsvc
Event Description:
The Messenger Sharing USN Journal Reader service started successfully.

Event Record #/Type2273 / Error
Event Submitted/Written: 05/28/2008 09:44:05 PM
Event ID/Source: 4609 / EventSystem
Event Description:
Le système d'événements de COM+ a détecté un code de renvoi erroné lors de son traitement interne. Le HRESULT est 8007041F à partir de la ligne 44 de d:\nt\com\com1x\src\events\tier1\eventsystemobj.cpp. Contactez les services du Support Technique Microsoft pour signaler cette erreur.



-- Security Event Log ----------------------------------------------------------

No Errors/Warnings found.


-- System Event Log ------------------------------------------------------------

Event Record #/Type11372 / Error
Event Submitted/Written: 05/28/2008 09:37:58 PM
Event ID/Source: 7001 / Service Control Manager
Event Description:
Le service Client DHCP dépend du service NetBIOS sur TCP/IP qui n'a pas pu démarrer en raison de l'erreur :
%%31

Event Record #/Type11371 / Error
Event Submitted/Written: 05/28/2008 09:36:56 PM
Event ID/Source: 10005 / DCOM
Event Description:
DCOM a reçu l'erreur "%%1084" lors de la mise en route du service netman avec les arguments ""
pour démarrer le serveur :
{BA126AE5-2166-11D1-B1D0-00805FC1270E}

Event Record #/Type11368 / Error
Event Submitted/Written: 05/28/2008 09:36:11 PM
Event ID/Source: 10005 / DCOM
Event Description:
DCOM a reçu l'erreur "%%1084" lors de la mise en route du service EventSystem avec les arguments ""
pour démarrer le serveur :
{1BE1F766-5536-11D1-B726-00C04FB926AF}

Event Record #/Type11347 / Error
Event Submitted/Written: 05/28/2008 09:30:56 PM
Event ID/Source: 10005 / DCOM
Event Description:
DCOM a reçu l'erreur "%%1055" lors de la mise en route du service netman avec les arguments ""
pour démarrer le serveur :
{BA126AE5-2166-11D1-B1D0-00805FC1270E}

Event Record #/Type11346 / Error
Event Submitted/Written: 05/28/2008 09:30:56 PM
Event ID/Source: 10005 / DCOM
Event Description:
DCOM a reçu l'erreur "%%1055" lors de la mise en route du service ImapiService avec les arguments "-Service"
pour démarrer le serveur :
{520CCA63-51A5-11D3-9144-00104BA11C5E}



-- End of Deckard's System Scanner: finished at 2008-05-28 21:57:26 ------------
ginie2449
 
Messages: 63
Inscription: 16 Jan 2007, 14:36
Localisation: Brantome

Messagede nickW » 29 Mai 2008, 00:33

Bonsoir,


La suite:

Au vu de la longueur de la procédure, je te conseille de l'imprimer, d'enregistrer la page dans un fichier HTML (c'est la meilleure solution), ou d'en sélectionner toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC (Note: tu n'auras pas accès à Internet et il y aura des redémarrages).
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.


Note: Ces manips doivent être effectuées en ayant ouvert une session avec les "droits Administrateur" (ne pas utiliser le profil utilisateur nommé "Administrateur" visible en mode sans échec).
Sous Windows XP, pour vérifier si un compte a les droits "Administrateur":
Démarrer---->Paramètres---->Panneau de configuration---->Comptes d'utilisateurs
A côté de l'icône représentant certains comptes (hormis celui nommé "Administrateur"), il est indiqué "Administrateur de l'ordinateur"
C'est l'un de ces comptes qu'il faudra utiliser en mode sans échec.



Étape 1: The Avenger (de Swandog46), téléchargement
Télécharger The Avenger en cliquant sur ce lien: http://swandog46.geekstogo.com/avenger2/download.php
Enregistrer ce fichier sur le Bureau.
Extraire de l'archive avenger.zip le fichier avenger.exe et le placer sur le Bureau.



Étape 2: Création du fichier aven1.txt
Ouvrir une înstance du Bloc-notes: Démarrer---->Exécuter, taper notepad puis cliquer sur OK.
Faire un copier/coller des lignes ci-dessous (dans la zone blanche située sous "Code:") dans la fenêtre du Bloc-notes qui vient d'être ouverte.
Dans le Bloc-notes, vérifier (dans le menu Format) que "Retour automatique à ligne" n'est pas actif (pas coché).
Enregistrer le fichier sur le Bureau sous le nom de aven1.txt

Code: Tout sélectionner
Begin copying here:

Drivers to delete:
Advance Service Process

Files to delete:
C:\WINDOWS\System32\c.bat
C:\WINDOWS\System32\.pif
C:\WINDOWS\System32\nw.exe
C:\Documents and Settings\user\fry.exe
C:\WINDOWS\System32\jb.exe
C:\sfd.exe
C:\usfr.exe
C:\usfd.exe
C:\ussf.exe
C:\usf.exe
C:\WINDOWS\System32\l
C:\WINDOWS\System32\1
C:\WINDOWS\repcale.exe
C:\WINDOWS\ps2m.exe
C:\WINDOWS\orrl.exe
C:\WINDOWS\murd3r
C:\WINDOWS\l0v3ly.sys
C:\WINDOWS\ksat.bat
C:\WINDOWS\cult.exe
C:\WINDOWS\antyps.exe
C:\WINDOWS\System32\nsh.exe
C:\WINDOWS\System32\x
C:\WINDOWS\System32\ts.exe
C:\killmgr.exe
C:\WINDOWS\system32\NinKey.exe
C:\WINDOWS\System32\f8.exe
C:\WINDOWS\System32\yp.exe

Registry values to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | Winjava vil
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices | Microsoft Winedows Updateing


Note: Les lignes de la zone Code ci-dessus ont été créées exclusivement pour CET utilisateur.
si vous n'êtes pas CET utilisateur, il ne faut pas les utiliser: elles pourraient endommager votre système.



Étape 3: OTMoveIt2 (de OldTimer)
Télécharger OTMoveIt2 via un clic droit sur le lien ci-dessous:
http://download.bleepingcomputer.com/ol ... oveIt2.exe
Enregistrer le fichier sur le Bureau.

Ouvrir une fenêtre du Bloc-notes, via Démarrer---->Exécuter, taper notepad puis cliquer sur OK
Sélectionner toutes les lignes de la zone blanche située sous "Code:" ci-dessous, puis appuyer simultanément sur les touches Ctrl et C
Code: Tout sélectionner
HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce\\Microsoft Winedows Updateing
HKEY_USERS\.default\software\microsoft\windows\currentversion\run\\STV


Retourner dans la fenêtre du Bloc-notes, faire un clic droit dans la fenêtre et choisir Coller
Vérifier (dans le menu Format) que "Retour automatique à ligne" n'est pas actif (pas coché).
Enregistrer le fichier sous le nom OTfichiers.txt
Fermer le Bloc-notes.
Note: Les lignes de la zone Code ci-dessus ont été créées exclusivement pour CET utilisateur.
si vous n'êtes pas CET utilisateur, il ne faut pas les utiliser: elles pourraient endommager votre système.



Étape 4: The Avenger (de Swandog46), exécution
Fermer toutes les fenêtres de programme (il va y avoir redémarrage du PC).
Arrêter tous les processus de surveillance en temps réel (exemples: gardien de l'antivirus, surveillance du Registre, etc).
Lancer The Avenger en cliquant sur son icône située sur le Bureau.
Cliquer sur OK sur le message d'avertissement.
Cliquer sur l'icône Image représentant un dossier jaune.

Il y a ouverture d'une nouvelle fenêtre "Open script file"
Dans cette fenêtre, naviguer jusqu'au Bureau et sélectionner (double clic) le fichier aven1.txt

Le contenu du fichier aven1.txt doit s'afficher dans la zone blanche (sous "Input script here:").

Ensuite cliquer sur le bouton Image "Execute" pour lancer l'exécution du script.

Cliquer sur "Oui" deux fois quand demandé (fenêtres "Confirm execution" et "First step completed").
Il va y avoir un ou deux redémarrages (avec une brève apparition d'une fenêtre de commande à fond noir).
En fin d'exécution, le rapport s'affichera dans le Bloc-notes.
Fermer le Bloc-notes.


Étape 5: OTMoveIt2 (de OldTimer)
Faire un double clic sur OTMoveIt2.exe pour lancer l'outil.
Ouvrir le fichier OTfichiers.txt dans le Bloc-notes.
En sélectionner toutes les lignes puis appuyer simultanément sur les touches Ctrl et C

Retourner dans la fenêtre de OTMoveIt2, faire un clic droit dans la fenêtre située sur la gauche nommée "Paste List Of Files/Folders to Move" Image et choisir Coller.

Cliquer sur le bouton MoveIt! Image
Attendre la fin du travail de l'outil puis fermer OTMoveIt2.
Note: Un redémarrage est parfois nécessaire. S'il est demandé, cliquer sur Oui/Yes


Étape 6: Deckard's System Scanner (DSS) (de Deckard)
Note: Le PC doit être en mode normal.
Démarrer---->Exécuter---->taper exactement
"%userprofile%\Bureau\dss.exe"¤/config
(le caractère ¤ représente un espace)
puis cliquer sur OK

Dans la fenêtre nommée DSS Configuration, cocher les cases suivantes:

Temp Cleanup
HijackThis (Ignored Fixed)
Drivers
Services
Process modules
Scheduled Tasks
Files Created/Modified
Registry Dump
Hosts File

Security Center
User Profiles
Add/Remove Programs
Event Logs

Whitelist Output
Check File Signatures

puis cliquer sur le bouton Scan

Cliquer sur OK lorsque cela est demandé (de 1 à 3 fois).
Lorsque l'outil a terminé le balayage, une ou deux fenêtres du Bloc-notes vont s'ouvrir, affichant le(s) rapport(s):
main.txt <- ouvert dans une fenêtre plein-écran
extra.txt <- ouvert dans une fenêtre réduite (ce fichier n'est pas créé à chaque fois)
Fermer cette (ces deux) fenêtre(s) du Bloc-notes.

Étape 7: Résultats
Relancer les processus de surveillance en temps réel (arrêtés précédemment).
Envoyer en réponse:
*- le rapport de OTMoveIt2 (contenu du fichier C:\_OTMoveIt\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure)
*- le rapport de The Avenger (contenu du fichier SystemDrive\avenger.txt)
[SystemDrive représente la partition sur laquelle est installé le système, généralement C:]

Envoyer ensuite en réponse dans deux messages distincts (à cause de la longueur des logs):
*- les rapports de Deckard's System Scanner (contenu des fichiers main.txt et extra.txt situés dans le dossier SystemDrive\Deckard\System Scanner).
[SystemDrive représente la partition sur laquelle est installé le système, généralement C:]

Note importante: Pour l'envoi de ta(tes) réponse(s), il ne faut pas créer un nouveau sujet, mais cliquer sur le bouton "Répondre"
Image pour continuer dans ce fil de discussion.

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede ginie2449 » 29 Mai 2008, 20:51

Bonsoir,

j'ai effectué toutes les manipulations indiquées, toutefois je ne suis pas sure d'avoir arrêter correctement les processus de surveillance en temps réel.
Voici le rapport de OTMOVEIT2 :

<HKEY_USERS>
Registry value HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce\\Microsoft Winedows Updateing deleted successfully.
<HKEY_USERS>
Registry value HKEY_USERS\.default\software\microsoft\windows\currentversion\run\\STV deleted successfully.

OTMoveIt2 by OldTimer - Version 1.0.4.2 log created on 05292008_213658



ensuite le rapport avenger.txt :

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "Advance Service Process" deleted successfully.

Error: file "C:\WINDOWS\System32\c.bat" not found!
Deletion of file "C:\WINDOWS\System32\c.bat" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\System32\.pif" not found!
Deletion of file "C:\WINDOWS\System32\.pif" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\WINDOWS\System32\nw.exe" deleted successfully.
File "C:\Documents and Settings\user\fry.exe" deleted successfully.
File "C:\WINDOWS\System32\jb.exe" deleted successfully.
File "C:\sfd.exe" deleted successfully.
File "C:\usfr.exe" deleted successfully.
File "C:\usfd.exe" deleted successfully.
File "C:\ussf.exe" deleted successfully.
File "C:\usf.exe" deleted successfully.
File "C:\WINDOWS\System32\l" deleted successfully.
File "C:\WINDOWS\System32\1" deleted successfully.
File "C:\WINDOWS\repcale.exe" deleted successfully.
File "C:\WINDOWS\ps2m.exe" deleted successfully.
File "C:\WINDOWS\orrl.exe" deleted successfully.
File "C:\WINDOWS\murd3r" deleted successfully.
File "C:\WINDOWS\l0v3ly.sys" deleted successfully.
File "C:\WINDOWS\ksat.bat" deleted successfully.
File "C:\WINDOWS\cult.exe" deleted successfully.
File "C:\WINDOWS\antyps.exe" deleted successfully.
File "C:\WINDOWS\System32\nsh.exe" deleted successfully.
File "C:\WINDOWS\System32\x" deleted successfully.
File "C:\WINDOWS\System32\ts.exe" deleted successfully.
File "C:\killmgr.exe" deleted successfully.

Error: file "C:\WINDOWS\system32\NinKey.exe" not found!
Deletion of file "C:\WINDOWS\system32\NinKey.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\WINDOWS\System32\f8.exe" deleted successfully.
File "C:\WINDOWS\System32\yp.exe" deleted successfully.
Registry value "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Winjava vil" deleted successfully.
Registry value "HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices|Microsoft Winedows Updateing" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
ginie2449
 
Messages: 63
Inscription: 16 Jan 2007, 14:36
Localisation: Brantome

Messagede ginie2449 » 29 Mai 2008, 20:53

Voic le rapport main.txt de DSS :

Deckard's System Scanner v20071014.68
Run by user on 2008-05-29 21:42:13
Computer is in Normal Mode.
--------------------------------------------------------------------------------

Performed disk cleanup.



-- HijackThis (run as user.exe) ------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:42:23, on 29/05/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Mixer.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\ASUS\WLAN Card Utilities\Center.exe
C:\WINDOWS\System32\carpserv.exe
C:\WINDOWS\VM_STI.EXE
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\PROGRA~1\MUSICM~1\MUSICM~1\mm_tray.exe
C:\PROGRA~1\MUSICM~1\MUSICM~1\MMDiag.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\Rundll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Video.exe
C:\Program Files\Musicmatch\Musicmatch Jukebox\mim.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\user\Bureau\dss.exe
C:\PROGRA~1\TRENDM~1\HIJACK~1\user.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://dbsarticles.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\naPrdMgr.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {06E12C36-760F-4D92-8509-5E5DBF12C423} - C:\WINDOWS\System32\nnnklmnN.dll
O2 - BHO: (no name) - {41F25F52-45B1-421E-A26F-BF5A7E54EF17} - C:\WINDOWS\System32\yayaArrp.dll
O2 - BHO: {ba6f6320-dcf3-60f9-9044-cdce5ce72a17} - {71a27ec5-ecdc-4409-9f06-3fcd0236f6ab} - C:\WINDOWS\System32\twcuboim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Control Center] C:\Program Files\ASUS\WLAN Card Utilities\Center.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE Thrustmaster USB PC Camera
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [MimBoot] C:\PROGRA~1\MUSICM~1\MUSICM~1\mimboot.exe
O4 - HKLM\..\Run: [MMTray] C:\PROGRA~1\MUSICM~1\MUSICM~1\mm_tray.exe
O4 - HKLM\..\Run: [Windows Networking Monitoring] C:\WINDOWS\System32\mdm.exe
O4 - HKLM\..\Run: [Microsoft Internet Explorer] C:\WINDOWS\System32\iexplore.exe
O4 - HKLM\..\Run: [80da873f] rundll32.exe "C:\WINDOWS\System32\cipajeqp.dll",b
O4 - HKLM\..\Run: [BM83e9b4a3] Rundll32.exe "C:\WINDOWS\System32\fhawfryy.dll",s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Windows Networking Monitoring] C:\WINDOWS\System32\mdm.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windows ... 0024808500
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://fichiers.touslesdrivers.com/fich ... 0_4_13.cab
O20 - Winlogon Notify: nnnklmnN - C:\WINDOWS\SYSTEM32\nnnklmnN.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: naPrdMgr - Unknown owner - C:\WINDOWS\naPrdMgr.exe
O23 - Service: Video Display - Unknown owner - C:\WINDOWS\System32\Video.exe

--
End of file - 6213 bytes

-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

R3 cmpci (C-Media PCI Audio Driver (WDM)) - c:\windows\system32\drivers\cmaudio.sys <Not>
R3 ZSMC301b (Thrustmaster USB PC Camera) - c:\windows\system32\drivers\usbvm31b.sys <Not>

S1 InCDPass - c:\windows\system32\drivers\incdpass.sys (file missing)
S1 InCDRm (InCD Reader) - c:\windows\system32\drivers\incdrm.sys (file missing)
S3 catchme - c:\docume~1\user\locals~1\temp\catchme.sys (file missing)
S3 W8100XP (Marvell Libertas 802.11b/g SoftAP Driver for Windows XP ) - c:\windows\system32\drivers\mrv8ka51.sys <Not>
S4 InCDFs (InCD File System) - c:\windows\system32\drivers\incdfs.sys (file missing)


-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

R2 Video Display - c:\windows\system32\video.exe

S2 naPrdMgr - "c:\windows\naprdmgr.exe"


-- Process Modules -------------------------------------------------------------

C:\WINDOWS\system32\winlogon.exe (pid 668)
2008-05-28 22:03:18 135168 --a------ C:\WINDOWS\system32\sfc_os.dll <Not Verified; Microsoft Corporation; Système d'exploitation Microsoft® Windows®>
2008-05-28 21:57:41 57344 --a------ C:\WINDOWS\system32\nnnklmnN.dll

C:\WINDOWS\explorer.exe (pid 1500)
2008-05-28 21:57:41 57344 --a------ C:\WINDOWS\system32\nnnklmnN.dll
2008-05-28 22:16:30 372736 --a------ C:\WINDOWS\system32\yayaArrp.dll
2008-05-29 19:03:40 126976 --a------ C:\WINDOWS\system32\fhawfryy.dll
2008-05-29 19:09:57 116224 --a------ C:\WINDOWS\system32\cipajeqp.dll

C:\WINDOWS\system32\rundll32.exe (pid 436)
2008-05-29 19:09:57 116224 --a------ C:\WINDOWS\system32\cipajeqp.dll
2008-05-29 19:03:40 126976 --a------ C:\WINDOWS\system32\fhawfryy.dll

C:\WINDOWS\system32\rundll32.exe (pid 448)
2008-05-29 19:03:40 126976 --a------ C:\WINDOWS\system32\fhawfryy.dll
2008-05-29 19:09:57 116224 --a------ C:\WINDOWS\system32\cipajeqp.dll


-- Files created between 2008-04-29 and 2008-05-29 -----------------------------

2008-05-29 21:02:05 490 --a------ C:\1.vbs
2008-05-29 19:12:57 132608 --a------ C:\WINDOWS\System32\twcuboim.dll
2008-05-29 19:09:57 116224 --a------ C:\WINDOWS\System32\cipajeqp.dll
2008-05-29 19:05:34 41806 ---hs---- C:\WINDOWS\System32\a.exe
2008-05-29 19:03:40 126976 --a------ C:\WINDOWS\System32\fhawfryy.dll
2008-05-29 19:02:23 57344 --a------ C:\WINDOWS\System32\hgGvtTlk.dll
2008-05-29 19:01:29 1635 --a------ C:\WINDOWS\System32\rkuf.exe
2008-05-29 19:01:29 1635 --a------ C:\WINDOWS\System32\behwtc.exe
2008-05-29 19:01:26 92672 --a------ C:\WINDOWS\System32\srlkjr.exe
2008-05-29 19:01:26 23040 --a------ C:\WINDOWS\System32\onnptiye.exe
2008-05-29 19:01:26 8796 --a------ C:\WINDOWS\System32\ikcx.exe
2008-05-28 22:26:13 57344 --a------ C:\WINDOWS\System32\iifcBsrP.dll
2008-05-28 22:25:12 1635 --a------ C:\WINDOWS\System32\tyruydz.exe
2008-05-28 22:25:12 1635 --a------ C:\WINDOWS\System32\mgrzrkc.exe
2008-05-28 22:25:12 23040 --a------ C:\WINDOWS\System32\gvndo.exe
2008-05-28 22:25:12 8796 --a------ C:\WINDOWS\System32\daattd.exe
2008-05-28 22:16:34 288178 --ahs---- C:\WINDOWS\System32\prrAayay.ini2
2008-05-28 22:16:15 372736 --a------ C:\WINDOWS\System32\yayaArrp.dll
2008-05-28 22:12:25 57344 --a------ C:\WINDOWS\System32\khfFXpqP.dll
2008-05-28 22:03:48 65536 --a------ C:\t6p8b2i2u2v3.exe
2008-05-28 22:02:47 1635 --a------ C:\WINDOWS\System32\lhqf.exe
2008-05-28 22:02:47 1635 --a------ C:\WINDOWS\System32\frxiqg.exe
2008-05-28 22:02:44 8796 --a------ C:\WINDOWS\System32\qykesz.exe
2008-05-28 22:02:42 57344 --a------ C:\WINDOWS\System32\ljJAPGxV.dll
2008-05-28 22:02:42 56490 -r-hs---- C:\WINDOWS\naPrdMgr.exe
2008-05-28 21:59:30 56490 --a------ C:\pe.exe
2008-05-28 21:59:22 23601 -r-hs---- C:\WINDOWS\System32\Video.exe
2008-05-28 21:59:14 1635 --a------ C:\WINDOWS\System32\vtztew.exe
2008-05-28 21:59:14 1635 --a------ C:\WINDOWS\System32\gsdl.exe
2008-05-28 21:59:09 8796 --a------ C:\WINDOWS\System32\gqrapkoy.exe
2008-05-28 21:57:41 57344 --a------ C:\WINDOWS\System32\nnnklmnN.dll
2008-05-28 21:57:37 42172 ---hs---- C:\WINDOWS\System32\mdm.exe
2008-05-28 21:47:08 0 d-------- C:\WINDOWS\ERUNT
2008-05-28 21:36:47 0 d--h----- C:\Documents and Settings\Administrateur\Voisinage réseau
2008-05-28 21:36:47 0 d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2008-05-28 21:36:47 0 dr-h----- C:\Documents and Settings\Administrateur\SendTo
2008-05-28 21:36:47 0 d--h----- C:\Documents and Settings\Administrateur\Recent
2008-05-28 21:36:47 524288 --ah----- C:\Documents and Settings\Administrateur\NTUSER.DAT
2008-05-28 21:36:47 0 d--h----- C:\Documents and Settings\Administrateur\Modèles
2008-05-28 21:36:47 0 d-------- C:\Documents and Settings\Administrateur\Mes documents
2008-05-28 21:36:47 0 dr------- C:\Documents and Settings\Administrateur\Menu Démarrer
2008-05-28 21:36:47 0 d--h----- C:\Documents and Settings\Administrateur\Local Settings
2008-05-28 21:36:47 0 d-------- C:\Documents and Settings\Administrateur\Favoris
2008-05-28 21:36:47 0 d---s---- C:\Documents and Settings\Administrateur\Cookies
2008-05-28 21:36:47 0 d-------- C:\Documents and Settings\Administrateur\Bureau
2008-05-28 21:36:47 0 dr-h----- C:\Documents and Settings\Administrateur\Application Data
2008-05-28 21:36:47 0 d---s---- C:\Documents and Settings\Administrateur\Application Data\Microsoft
2008-05-28 21:24:22 0 d-------- C:\Program Files\Trend Micro
2008-05-26 22:22:55 0 dr-h----- C:\Documents and Settings\user\Recent
2008-05-11 10:50:35 0 d-------- C:\Program Files\Musicmatch
2008-05-11 10:50:35 0 d-------- C:\Documents and Settings\user\Application Data\Musicmatch
2008-05-08 15:13:02 0 d-------- C:\WINDOWS\sounds
2008-05-08 15:13:02 0 d-------- C:\WINDOWS\logs
2008-05-08 15:13:02 0 d-------- C:\WINDOWS\download


-- Find3M Report ---------------------------------------------------------------

2008-05-29 19:02:15 0 d-------- C:\Documents and Settings\user\Application Data\AVG7
2008-05-28 22:03:18 135168 --a------ C:\WINDOWS\System32\sfc_os.dll <Not Verified; Microsoft Corporation; Système d'exploitation Microsoft® Windows®>
2008-05-11 10:51:16 0 d--h----- C:\Program Files\InstallShield Installation Information
2008-04-30 17:22:07 0 d-------- C:\Documents and Settings\user\Application Data\Ahead
2008-04-20 09:56:56 0 d-------- C:\Documents and Settings\user\Application Data\Sun
2008-04-20 09:56:29 0 d-------- C:\Program Files\Java
2008-04-20 09:55:21 0 d-------- C:\Program Files\Fichiers communs
2008-04-20 09:55:21 0 d-------- C:\Program Files\Fichiers communs\Java
2008-04-14 15:27:23 0 d-------- C:\Documents and Settings\user\Application Data\vlc
2008-04-11 19:30:11 8296 --a------ C:\WINDOWS\System32\rewxertbtsr.exe
2008-04-08 21:41:40 21903 --a------ C:\Documents and Settings\user\Application Data\Valeurs séparées par des virgules (Windows).ADR
2008-04-06 19:03:56 370832 --a------ C:\WINDOWS\System32\perfh00C.dat
2008-04-06 19:03:56 49734 --a------ C:\WINDOWS\System32\perfc00C.dat
2008-04-05 23:16:42 0 d-------- C:\Documents and Settings\user\Application Data\AdobeUM
2008-04-05 23:16:27 0 d-------- C:\Program Files\Fichiers communs\Adobe
2008-04-05 23:16:26 0 d-------- C:\Documents and Settings\user\Application Data\Adobe
2008-04-05 23:02:52 0 d-------- C:\Program Files\Thrustmaster
2008-04-05 23:01:51 0 d-------- C:\Documents and Settings\user\Application Data\ma-config.com
2008-04-05 11:07:00 0 d-------- C:\Documents and Settings\user\Application Data\Macromedia
2008-04-05 11:06:44 1158 --a------ C:\WINDOWS\mozver.dat
2008-04-05 11:04:54 0 --a------ C:\WINDOWS\nsreg.dat
2008-04-05 11:04:47 0 d-------- C:\Documents and Settings\user\Application Data\Mozilla
2008-04-05 10:42:14 0 d-------- C:\Program Files\CONEXANT
2008-04-05 10:36:53 0 d-------- C:\Documents and Settings\user\Application Data\WinRAR
2008-04-05 10:35:39 0 d-------- C:\Program Files\ma-config.com
2008-04-05 10:18:43 0 d-------- C:\Program Files\ASUS
2008-04-05 10:00:32 0 d-------- C:\Program Files\Fichiers communs\Macromedia Shared
2008-04-05 10:00:31 0 d-------- C:\Program Files\Macromedia
2008-04-05 10:00:31 0 d-------- C:\Program Files\Fichiers communs\Macromedia
2008-04-05 09:55:26 0 d-------- C:\Documents and Settings\user\Application Data\U3
2008-04-05 09:53:58 0 d-------- C:\Program Files\MSN Messenger
2008-04-05 09:50:05 0 d-------- C:\Program Files\Webteh
2008-04-05 09:49:29 0 d-------- C:\Program Files\VideoLAN
2008-04-05 09:44:22 0 d-------- C:\Program Files\Nero
2008-04-05 09:44:22 0 d-------- C:\Program Files\Fichiers communs\Ahead
2008-04-05 03:28:56 0 d-------- C:\Program Files\Microsoft.NET


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{06E12C36-760F-4D92-8509-5E5DBF12C423}]
28/05/2008 21:57 57344 --a------ C:\WINDOWS\System32\nnnklmnN.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{41F25F52-45B1-421E-A26F-BF5A7E54EF17}]
28/05/2008 22:16 372736 --a------ C:\WINDOWS\System32\yayaArrp.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{71a27ec5-ecdc-4409-9f06-3fcd0236f6ab}]
29/05/2008 19:12 132608 --a------ C:\WINDOWS\System32\twcuboim.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"C-Media Mixer"="Mixer.exe" [20/03/2003 15:21 C:\WINDOWS\mixer.exe]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [19/04/2008 10:35]
"NeroFilterCheck"="C:\WINDOWS\System32\NeroCheck.exe" [09/07/2001 11:50]
"Control Center"="C:\Program Files\ASUS\WLAN Card Utilities\Center.exe" [24/02/2004 12:17]
"CARPService"="carpserv.exe" [19/03/2003 01:13 C:\WINDOWS\system32\carpserv.exe]
"BigDogPath"="C:\WINDOWS\VM_STI.exe" [21/01/2003 13:19]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [22/02/2008 04:25]
"MimBoot"="C:\PROGRA~1\MUSICM~1\MUSICM~1\mimboot.exe" [10/05/2005 16:04]
"MMTray"="C:\PROGRA~1\MUSICM~1\MUSICM~1\mm_tray.exe" [10/05/2005 16:04]
"Windows Networking Monitoring"="C:\WINDOWS\System32\mdm.exe" []
"Microsoft Internet Explorer"="C:\WINDOWS\System32\iexplore.exe" [29/08/2002 11:45]
"80da873f"="C:\WINDOWS\System32\cipajeqp.dll" [29/05/2008 19:09]
"BM83e9b4a3"="C:\WINDOWS\System32\fhawfryy.dll" [29/05/2008 19:03]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [29/08/2002 11:45]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe" [08/09/2005 11:06]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [19/01/2007 12:55]
"Windows Networking Monitoring"="C:\WINDOWS\System32\mdm.exe" []

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"Windows Networking Monitoring"=C:\WINDOWS\System32\mdm.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableRegistryTools"=0 (0x0)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\system]
"DisableTaskMgr"=1 (0x1)
"DisableRegistryTools"=1 (0x1)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{06E12C36-760F-4D92-8509-5E5DBF12C423}"= C:\WINDOWS\System32\nnnklmnN.dll [28/05/2008 21:57 57344]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Shell"="Explorer.exe %WINDIR%\naPrdMgr.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\nnnklmnN]
nnnklmnN.dll 28/05/2008 21:57 57344 C:\WINDOWS\system32\nnnklmnN.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 C:\WINDOWS\System32\yayaArrp

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Video Display]
@="Service"


[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}]
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe



-- End of Deckard's System Scanner: finished at 2008-05-29 21:43:56 ------------
ginie2449
 
Messages: 63
Inscription: 16 Jan 2007, 14:36
Localisation: Brantome

Messagede ginie2449 » 29 Mai 2008, 20:58

le rapport extra.txt de DSS :


Deckard's System Scanner v20071014.68
Extra logfile - please post this as an attachment with your post.
--------------------------------------------------------------------------------

-- Security Center -------------------------------------------------------------

AUOptions is disabled.


-- User Profiles ---------------------------------------------------------------

user (admin)
Administrateur (admin)


-- Add/Remove Programs ---------------------------------------------------------

--> MsiExec.exe /I{403EF592-953B-4794-BCEF-ECAB835C2095}
--> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Flash Player ActiveX --> C:\WINDOWS\System32\Macromed\Flash\uninstall_activeX.exe
Adobe Reader 6.0.1 - Français --> MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A00000000001}
Archiveur WinRAR --> C:\Program Files\WinRAR\uninstall.exe
ASUS WLAN Card Utilities/Driver --> RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{8F722FA9-B994-4C9B-B292-FD32D6206EDF}\setup.exe" -l0x40c
ATI - Software Uninstall Utility --> C:\Program Files\ATI Technologies\UninstallAll\AtiCimUn.exe
ATI Catalyst Control Center --> RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{055EE59D-217B-43A7-ABFF-507B966405D8}\setup.exe" -l0x0
ATI Display Driver --> rundll32 C:\WINDOWS\System32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean
AVG 7.5 --> C:\Program Files\Grisoft\AVG7\setup.exe /UNINSTALL
BSPlayer --> "C:\Program Files\Webteh\BSplayer\uninstall.exe"
CCleaner (remove only) --> "F:\logiciels\Ccleaner\uninst.exe"
Celestia 1.5.1 --> "F:\logiciels\Celestia\unins000.exe"
CHIPDRIVE SIM Manager Pro v3.3 --> "C:\Program Files\CHIPDRIVE\SIM Manager Pro\unins000.exe"
Correctif Windows XP - KB842773 --> C:\WINDOWS\$NtUninstallKB842773$\spuninst\spuninst.exe
DivX Codec --> C:\WINDOWS\unvise32.exe C:\Program Files\DivX\DivX Bundle.log
FM-56PCI-HSFi-AB --> C:\Program Files\CONEXANT\CNXT_MODEM_PCI_VEN_14F1&DEV_2F00\HXFSETUP.EXE -U -IVEN_14F1&DEV_2F02&SUBSYS_000B1767
HijackThis 2.0.2 --> "C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Intel Application Accelerator --> RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{9984DF60-1C5B-11D3-ACA1-908A4FC10801}\Setup.exe" -INTELUNINST
Intel(R) Network Connections 12.4.38.0 --> MsiExec.exe /i{888D0F50-FF0A-4808-966E-23D63277BF2A} ARPREMOVE=1
Java(TM) 6 Update 5 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160050}
Ma-Config.com plugin --> MsiExec.exe /I{6F06A42D-525C-49ED-8622-E16790956CD8}
Macromedia Dreamweaver MX 2004 --> RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{05BB2EC5-6BEF-4DDC-9E75-BEE7B161157A}\Setup.exe" -l0x9 mmUninstall
Macromedia Extension Manager --> RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{A5BA14E0-7384-11D4-BAE7-00409631A2C8}\setup.exe" -l0x9 mmUninstall
Microsoft Office Professional Edition 2003 --> MsiExec.exe /I{9011040C-6000-11D3-8CFE-0150048383C9}
mIRC --> "C:\WINDOWS\antyps.exe" -uninstall
Mise à jour pour Windows XP (KB898461) --> "C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe"
Mozilla Firefox (2.0.0.14) --> C:\Program Files\Mozilla Firefox\uninstall\helper.exe
Musicmatch® Jukebox --> RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{85D3CC30-8859-481A-9654-FD9B74310BEF}\setup.exe" -l0x9 -uninst
Nero 7 Ultra Edition --> MsiExec.exe /I{4781569D-5404-1F26-4B2B-6DF444441031}
PCI Audio Driver --> cmuninst.exe
Pinnacle TRex --> RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{9313E9A6-03DF-11D5-88F8-005004361016}\Setup.exe" -l0x40c UNINSTALL
Room Arranger --> "F:\logiciels\Room Arranger\uninstall.exe"
TM507 Webcam --> RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{7F5A0E78-2B5A-4689-A91D-D60D83FC45E1}\Setup.exe" -l0x40c
VideoLAN VLC media player 0.8.5 --> C:\Program Files\VideoLAN\VLC\uninstall.exe
Windows Live Messenger --> MsiExec.exe /I{F6326B60-1B1D-4ABF-BFCD-7B7404F44411}


-- Application Event Log -------------------------------------------------------

Event Record #/Type2398 / Success
Event Submitted/Written: 05/29/2008 09:35:34 PM
Event ID/Source: 12001 / usnjsvc
Event Description:
The Messenger Sharing USN Journal Reader service started successfully.

Event Record #/Type2380 / Success
Event Submitted/Written: 05/29/2008 09:14:36 PM
Event ID/Source: 12001 / usnjsvc
Event Description:
The Messenger Sharing USN Journal Reader service started successfully.

Event Record #/Type2368 / Success
Event Submitted/Written: 05/29/2008 08:57:34 PM
Event ID/Source: 12001 / usnjsvc
Event Description:
The Messenger Sharing USN Journal Reader service started successfully.

Event Record #/Type2346 / Success
Event Submitted/Written: 05/29/2008 08:53:17 PM
Event ID/Source: 12001 / usnjsvc
Event Description:
The Messenger Sharing USN Journal Reader service started successfully.

Event Record #/Type2343 / Warning
Event Submitted/Written: 05/29/2008 08:52:37 PM
Event ID/Source: 4353 / EventSystem
Event Description:
Le système d'événements de COM+ a tenté de déclencher l'événement EventObjectChange::ChangedSubscription mais a reçu un code d'erreur. HRESULT : 80040201.



-- Security Event Log ----------------------------------------------------------

No Errors/Warnings found.


-- System Event Log ------------------------------------------------------------

Event Record #/Type12362 / Warning
Event Submitted/Written: 05/29/2008 08:47:27 PM
Event ID/Source: 51 / Disk
Event Description:
Une erreur a été détectée sur le périphérique \Device\Harddisk0\D au cours d'une opération de pagination.

Event Record #/Type12361 / Warning
Event Submitted/Written: 05/29/2008 08:47:25 PM
Event ID/Source: 51 / Disk
Event Description:
Une erreur a été détectée sur le périphérique \Device\Harddisk0\D au cours d'une opération de pagination.

Event Record #/Type12360 / Warning
Event Submitted/Written: 05/29/2008 08:47:23 PM
Event ID/Source: 51 / Disk
Event Description:
Une erreur a été détectée sur le périphérique \Device\Harddisk0\D au cours d'une opération de pagination.

Event Record #/Type12359 / Warning
Event Submitted/Written: 05/29/2008 08:47:21 PM
Event ID/Source: 51 / Disk
Event Description:
Une erreur a été détectée sur le périphérique \Device\Harddisk0\D au cours d'une opération de pagination.

Event Record #/Type12358 / Warning
Event Submitted/Written: 05/29/2008 08:47:20 PM
Event ID/Source: 51 / Disk
Event Description:
Une erreur a été détectée sur le périphérique \Device\Harddisk0\D au cours d'une opération de pagination.



-- End of Deckard's System Scanner: finished at 2008-05-29 21:43:56 ------------

Merci...
ginie2449
 
Messages: 63
Inscription: 16 Jan 2007, 14:36
Localisation: Brantome

Messagede nickW » 29 Mai 2008, 22:13

Bonsoir,

Il faut continuer, mais ton OS n'étant pas à jour et l'infection étant ancienne, rien n'est garanti.
J'espère que tu n'utilises pas ce PC entre deux tentatives de nettoyage pour naviguer sur internet ou utiliser une messagerie instantanée!


Au vu de la longueur de la procédure, je te conseille de l'imprimer, d'enregistrer la page dans un fichier HTML (c'est la meilleure solution), ou d'en sélectionner toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC (Note: tu n'auras pas accès à Internet et il y aura des redémarrages).
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.


Note: Ces manips doivent être effectuées en ayant ouvert une session avec les "droits Administrateur" (ne pas utiliser le profil utilisateur nommé "Administrateur" visible en mode sans échec).


Étape 1: Création du fichier reparlsa.reg
Faire un copier/coller des lignes ci-dessous (dans la zone blanche située sous "Code:") dans le Bloc-notes (alias Notepad).
Vérifier (dans le menu Format) que "Retour automatique à ligne" n'est pas actif (pas coché).
Enregistrer le fichier sous le nom de reparlsa.reg
Attention no 1: Il y a une ligne blanche après la dernière ligne
Attention no 2: l'extension doit être .reg , choisir "Tous les fichiers" dans la liste déroulante de "Type" lors du "Enregistrer sous.."
Si l'extension est .reg.txt, renommer le fichier en .reg
Code: Tout sélectionner
REGEDIT4

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"=hex(7):6d,73,76,31,5f,30,00,00



Fermer le Bloc-notes.


Étape 2: Création du fichier aven2.txt
Ouvrir une înstance du Bloc-notes: Démarrer---->Exécuter, taper notepad puis cliquer sur OK.
Faire un copier/coller des lignes ci-dessous (dans la zone blanche située sous "Code:") dans la fenêtre du Bloc-notes qui vient d'être ouverte.
Dans le Bloc-notes, vérifier (dans le menu Format) que "Retour automatique à ligne" n'est pas actif (pas coché).
Enregistrer le fichier sur le Bureau sous le nom de aven2.txt

Code: Tout sélectionner
Begin copying here:

Files to delete:
C:\1.vbs
C:\pe.exe
C:\t6p8b2i2u2v3.exe
C:\WINDOWS\naPrdMgr.exe
C:\WINDOWS\System32\a.exe
C:\WINDOWS\System32\behwtc.exe
C:\WINDOWS\system32\cipajeqp.dll
C:\WINDOWS\System32\daattd.exe
C:\WINDOWS\system32\fhawfryy.dll
C:\WINDOWS\System32\frxiqg.exe
C:\WINDOWS\System32\gqrapkoy.exe
C:\WINDOWS\System32\gsdl.exe
C:\WINDOWS\System32\gvndo.exe
C:\WINDOWS\System32\hgGvtTlk.dll
C:\WINDOWS\System32\iifcBsrP.dll
C:\WINDOWS\System32\ikcx.exe
C:\WINDOWS\System32\khfFXpqP.dll
C:\WINDOWS\System32\lhqf.exe
C:\WINDOWS\System32\ljJAPGxV.dll
C:\WINDOWS\System32\mdm.exe
C:\WINDOWS\System32\mgrzrkc.exe
C:\WINDOWS\system32\nnnklmnN.dll
C:\WINDOWS\System32\onnptiye.exe
C:\WINDOWS\System32\prrAayay.ini2
C:\WINDOWS\System32\qykesz.exe
C:\WINDOWS\System32\rkuf.exe
C:\WINDOWS\System32\srlkjr.exe
C:\WINDOWS\System32\twcuboim.dll
C:\WINDOWS\System32\tyruydz.exe
C:\WINDOWS\System32\Video.exe
C:\WINDOWS\System32\vtztew.exe
C:\WINDOWS\system32\yayaArrp.dll

Registry values to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | 80da873f
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | BM83e9b4a3
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {06E12C36-760F-4D92-8509-5E5DBF12C423}

Registry keys to delete:
HKEY_LOCAL_MACHINE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06E12C36-760F-4D92-8509-5E5DBF12C423}
HKEY_LOCAL_MACHINE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{41F25F52-45B1-421E-A26F-BF5A7E54EF17}
HKEY_LOCAL_MACHINE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{71a27ec5-ecdc-4409-9f06-3fcd0236f6ab}
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\nnnklmnN
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}


Note: Les lignes de la zone Code ci-dessus ont été créées exclusivement pour CET utilisateur.
si vous n'êtes pas CET utilisateur, il ne faut pas les utiliser: elles pourraient endommager votre système.



Étape 3: OTMoveIt2 (de OldTimer), création du fichier
Ouvrir une fenêtre du Bloc-notes, via Démarrer---->Exécuter, taper notepad puis cliquer sur OK
Sélectionner toutes les lignes de la zone blanche située sous "Code:" ci-dessous, puis appuyer simultanément sur les touches Ctrl et C
Code: Tout sélectionner
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\Windows Networking Monitoring
HKEY_USERS\.default\software\microsoft\windows\currentversion\run\\Windows Networking Monitoring


Retourner dans la fenêtre du Bloc-notes, faire un clic droit dans la fenêtre et choisir Coller
Vérifier (dans le menu Format) que "Retour automatique à ligne" n'est pas actif (pas coché).
Enregistrer le fichier sous le nom OTfichiers2.txt
Fermer le Bloc-notes.
Note: Les lignes de la zone Code ci-dessus ont été créées exclusivement pour CET utilisateur.
si vous n'êtes pas CET utilisateur, il ne faut pas les utiliser: elles pourraient endommager votre système.



Étape 4: Création du fichier repar.reg

Ouvrir une fenêtre du Bloc-notes, via Démarrer---->Exécuter, taper notepad puis cliquer sur OK
Faire un copier/coller des lignes ci-dessous (dans la zone blanche située sous "Code:") dans cette fenêtre du Bloc-notes.
Code: Tout sélectionner
REGEDIT4

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\system]
"DisableTaskMgr"=-
"DisableRegistryTools"=dword:00000000



Vérifier (dans le menu Format) que "Retour automatique à ligne" n'est pas actif (pas coché), comme ceci:
Image

Enregistrer le fichier sous le nom de repar.reg
Attention no 1: Il y a une ligne blanche après la dernière ligne
Attention no 2: l'extension doit être .reg , choisir "Tous les fichiers" dans la liste déroulante de "Type" lors du "Enregistrer sous.." comme ceci:
Image

Si l'extension est .reg.txt, renommer le fichier en .reg
Fermer le Bloc-notes.


Étape 5: Mode sans échec
Redémarrer en mode sans échec en utilisant la méthode F8 (F5 sur certains PCs).
Voir http://assiste.com.free.fr/p/comment/co ... echec.html
Fermer le plus possible de fenêtres.
Pas de connexion Internet ouverte, pas d'Internet Explorer ouvert.


Étape 6: Utilisation du fichier reparlsa.reg
Faire un clic droit sur reparlsa.reg, puis dans le menu contextuel choisir Fusionner et accepter la fusion dans le Registre.


Étape 7: HijackThis
Fermer toutes les fenêtres de programme.
Fermer Internet Explorer.
Lancer HijackThis.
Cliquer sur le bouton "Do a system scan only" ou "Scan"
Vérifier que HijackThis fera des sauvegardes: Dans "Config", cocher "Make backups before fixing items", puis cliquer sur le bouton "Back".
Cocher la case située devant la ligne ci-dessous, puis cliquer sur Image Fix checked:
(si cette ligne est absente, le signaler en réponse, après la fin de l'ensemble des étapes).

F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\naPrdMgr.exe

Fermer HijackThis.


Étape 8: SDFix
Ouvrir le dossier SDFix qui a été créé à la racine de la partition système, et faire un double clic sur RunThis.bat pour lancer l'outil.
Appuyer sur la touche Y pour lancer l'exécution.
L'outil va supprimer les services de certains trojans, effectuer aussi quelques réparations du Registre. Ensuite, il demandera d'appuyer sur une touche pour redémarrer.
Appuyer sur n'importe quelle touche pour faire redémarrer le PC (en mode normal).
Le système va mettre plus de temps que d'habitude pour redémarrer car l'outil va continuer à s'exécuter et supprimer des fichiers.
Après le chargement du Bureau, l'outil va terminer le nettoyage puis afficher Finished.
Appuyer sur n'importe quelle touche pour fermer l'outil et charger les icônes du Bureau.
Une fenêtre du Bloc-notes va s'ouvrir, affichant le rapport de SDFix.
Fermer cette fenêtre.


Étape 9: The Avenger (de Swandog46), exécution
Fermer toutes les fenêtres de programme (il va y avoir redémarrage du PC).
Arrêter tous les processus de surveillance en temps réel (exemples: gardien de l'antivirus, surveillance du Registre, etc).
Lancer The Avenger en cliquant sur son icône située sur le Bureau.
Cliquer sur OK sur le message d'avertissement.
Cliquer sur l'icône Image représentant un dossier jaune.

Il y a ouverture d'une nouvelle fenêtre "Open script file"
Dans cette fenêtre, naviguer jusqu'au Bureau et sélectionner (double clic) le fichier aven2.txt

Le contenu du fichier aven2.txt doit s'afficher dans la zone blanche (sous "Input script here:").

Ensuite cliquer sur le bouton Image "Execute" pour lancer l'exécution du script.

Cliquer sur "Oui" deux fois quand demandé (fenêtres "Confirm execution" et "First step completed").
Il va y avoir un ou deux redémarrages (avec une brève apparition d'une fenêtre de commande à fond noir).
En fin d'exécution, le rapport s'affichera dans le Bloc-notes.
Fermer le Bloc-notes.


Étape 10: Deckard's System Scanner (DSS) (de Deckard)
Note: Le PC doit être en mode normal.
Démarrer---->Exécuter---->taper exactement
"%userprofile%\Bureau\dss.exe"¤/config
(le caractère ¤ représente un espace)
puis cliquer sur OK

Dans la fenêtre nommée DSS Configuration, cocher les cases suivantes:

Temp Cleanup
HijackThis (Ignored Fixed)
Drivers
Services
Process modules
Scheduled Tasks
Files Created/Modified
Registry Dump
Hosts File

Security Center
User Profiles
Add/Remove Programs
Event Logs

Whitelist Output
Check File Signatures

puis cliquer sur le bouton Scan

Cliquer sur OK lorsque cela est demandé (de 1 à 3 fois).
Lorsque l'outil a terminé le balayage, une ou deux fenêtres du Bloc-notes vont s'ouvrir, affichant le(s) rapport(s):
main.txt <- ouvert dans une fenêtre plein-écran
extra.txt <- ouvert dans une fenêtre réduite (ce fichier n'est pas créé à chaque fois)
Fermer cette (ces deux) fenêtre(s) du Bloc-notes.

Étape 11: Résultats
Relancer les processus de surveillance en temps réel (arrêtés précédemment).
Envoyer en réponse:
*- le rapport de SDFix (contenu du fichier Report.txt situé dans le dossier SDFix)
*- le rapport de OTMoveIt2 (contenu du fichier C:\_OTMoveIt\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure)
*- le rapport de The Avenger (contenu du fichier SystemDrive\avenger.txt)
[SystemDrive représente la partition sur laquelle est installé le système, généralement C:]

Envoyer ensuite en réponse dans deux messages distincts (à cause de la longueur des logs):
*- les rapports de Deckard's System Scanner (contenu des fichiers main.txt et extra.txt situés dans le dossier SystemDrive\Deckard\System Scanner).
[SystemDrive représente la partition sur laquelle est installé le système, généralement C:]

Note importante: Pour l'envoi de ta(tes) réponse(s), il ne faut pas créer un nouveau sujet, mais cliquer sur le bouton "Répondre"
Image pour continuer dans ce fil de discussion.

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Suivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Google [Bot], MSN [Bot] et 11 invités