Bonjour les amis.
Sur le poste de mon ami, chez qui je suis, Mozilla et IE rament gros.
L'Antivirus détecte rien pourtant on dirait que quelque chose tourne...
Help ? !!!
Merci d'avance !
Jean.
Ca rame !!!!
Modérateur: Modérateurs
Règles du forum
Les désinfections sont prises en charge par un groupe spécifique, tout le monde ne peut pas intervenir pour désinfecter les machines (règles).
Les procédures sont sur-mesure, ne faites pas la même chose chez vous (explications).
Un topic par machine, chacun crée le sien. 
Les désinfections sont prises en charge par un groupe spécifique, tout le monde ne peut pas intervenir pour désinfecter les machines (règles). Les procédures sont sur-mesure, ne faites pas la même chose chez vous (explications). Un topic par machine, chacun crée le sien.
18 messages
• Page 1 sur 1
Re: Ca rame !!!!
par Falkra » 23 Fév 2008 22:54
Bienvenue sur la section sécurité de libellules. 
Pour voir ce qui tourne sur la machine et pouvoir nettoyer des infections éventuelles, il nous faut faire quelques tests.
Voici comment démarrer.
Poste un rapport Hijackthis (v2.0.2) dans ta prochaine réponse stp :
Voici un tuto avec les liens nécessaires :
http://www.libellules.ch/poster_log_hijackthis.php
Pour voir ce qui tourne sur la machine et pouvoir nettoyer des infections éventuelles, il nous faut faire quelques tests.
Voici comment démarrer.
Poste un rapport Hijackthis (v2.0.2) dans ta prochaine réponse stp :Voici un tuto avec les liens nécessaires :
http://www.libellules.ch/poster_log_hijackthis.php
-
Falkra - Admin libellules.ch
- Messages: 24424
- Inscription: 30 Jan 2005 13:44
- Localisation: 127.0.0.1
Re: Ca rame !!!!
par Jean.R » 23 Fév 2008 23:24
Minute, je passe vite fait sous Nod32 ^^ Ensuite, j'te fais ça 
- Jean.R
- Messages: 27
- Inscription: 18 Fév 2008 22:10
Re: Ca rame !!!!
par Falkra » 23 Fév 2008 23:25
Pas de problème, prends le temps qu'il te faut.
Tu as aussi le droit de dormir !
Tu as aussi le droit de dormir !
-
Falkra - Admin libellules.ch
- Messages: 24424
- Inscription: 30 Jan 2005 13:44
- Localisation: 127.0.0.1
Re: Ca rame !!!!
par Jean.R » 23 Fév 2008 23:50
Non non Je vais pas dormir. Là j'vais te mettre le log de Hijackthis
Je vais pas dormir. Là j'vais te mettre le log de Hijackthis - Jean.R
- Messages: 27
- Inscription: 18 Fév 2008 22:10
Re: Ca rame !!!!
par Jean.R » 24 Fév 2008 00:01
Hop
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:00:33, on 24/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\System32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
F:\MONyog\bin\MONyog.exe
D:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Program Files\Eset\nod32krn.exe
D:\WINDOWS\System32\JMRaidTool.exe
D:\WINDOWS\RTHDCPL.EXE
D:\WINDOWS\SkyTel.EXE
D:\WINDOWS\System32\svchost.exe
D:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
D:\WINDOWS\VM_STI.EXE
D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
D:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
D:\Program Files\MessengerPlus! 3\MsgPlus.exe
D:\Program Files\Eset\nod32kui.exe
D:\WINDOWS\system32\ctfmon.exe
D:\WINDOWS\BricoPacks\Crystal Clear\RocketDock\RocketDock.exe
D:\Program Files\Messenger\msmsgs.exe
F:\Skype\Skype.exe
C:\RECYCLER\SVCHOST.EXE
G:\steam\steam\steam.exe
D:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
D:\WINDOWS\BricoPacks\Crystal Clear\YzShadow\YzShadow.exe
D:\WINDOWS\BricoPacks\Crystal Clear\YzToolbar\YzToolBar.exe
D:\Program Files\MSN Messenger\MsnMsgr.Exe
D:\WINDOWS\system32\wscntfy.exe
D:\WINDOWS\system32\wuauclt.exe
D:\Program Files\ATI Technologies\ATI.ACE\cli.exe
D:\Program Files\ATI Technologies\ATI.ACE\cli.exe
D:\WINDOWS\system32\wuauclt.exe
D:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
D:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
D:\Program Files\MSN Messenger\msnmsgr.exe
D:\Program Files\MSN Messenger\msnmsgr.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\Documents and Settings\Sebastien\Mes documents\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - D:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [JMB36X Configure] D:\WINDOWS\System32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ATICCC] "D:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [BigDogPath] D:\WINDOWS\VM_STI.EXE VIMICRO USB PC Camera
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [jtopvcr] D:\WINDOWS\system32\secpiqur.exe
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "D:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [MessengerPlus3] "D:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [nod32kui] "D:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RocketDock] "D:\WINDOWS\BricoPacks\Crystal Clear\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "F:\Skype\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [cdnswfs] D:\WINDOWS\System32\clioigzu.exe
O4 - HKCU\..\Run: [Steam] "g:\steam\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Vidalia] "D:\Program Files\Vidalia Bundle\Vidalia\vidalia.exe"
O4 - HKCU\..\Run: [swg] D:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Hide IP Platinum] D:\Program Files\Hide IP Platinum\hideippla.exe
O4 - HKCU\..\Run: [EA Core] "D:\Program Files\Electronic Arts\EADM\Core.exe" -silent
O4 - HKCU\..\Run: [MessengerPlus3] "D:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "D:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: RocketDock.lnk = D:\WINDOWS\BricoPacks\Crystal Clear\RocketDock\RocketDock.exe
O4 - Startup: UberIcon.lnk = D:\WINDOWS\BricoPacks\Crystal Clear\UberIcon\UberIcon Manager.exe
O4 - Startup: WampServer.lnk = C:\wamp\wampmanager.exe
O4 - Startup: Y'z Shadow.lnk = D:\WINDOWS\BricoPacks\Crystal Clear\YzShadow\YzShadow.exe
O4 - Startup: Y'z Toolbar.lnk = D:\WINDOWS\BricoPacks\Crystal Clear\YzToolbar\YzToolBar.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://F:\Office03\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\Office03\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - D:\Documents and Settings\Sebastien\Menu Démarrer\Programmes\IMVU\Run IMVU.lnk
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1DEAA307-B7AA-4E88-A5CB-879467C9E23E}: NameServer = 212.27.53.252,212.27.54.252
O17 - HKLM\System\CCS\Services\Tcpip\..\{66FC09BB-45BE-4172-BDB7-003E2690867F}: NameServer = 212.27.53.252,212.27.54.252
O17 - HKLM\System\CS1\Services\Tcpip\..\{1DEAA307-B7AA-4E88-A5CB-879467C9E23E}: NameServer = 212.27.53.252,212.27.54.252
O17 - HKLM\System\CS2\Services\Tcpip\..\{1DEAA307-B7AA-4E88-A5CB-879467C9E23E}: NameServer = 212.27.53.252,212.27.54.252
O17 - HKLM\System\CS3\Services\Tcpip\..\{1DEAA307-B7AA-4E88-A5CB-879467C9E23E}: NameServer = 212.27.53.252,212.27.54.252
O17 - HKLM\System\CS4\Services\Tcpip\..\{1DEAA307-B7AA-4E88-A5CB-879467C9E23E}: NameServer = 212.27.53.252,212.27.54.252
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - D:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: MONyog - Unknown owner - F:\MONyog\bin\MONyog.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - D:\Program Files\Eset\nod32krn.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: wampapache - Apache Software Foundation - c:\wamp\apache2\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - c:\wamp\mysql\bin\mysqld-nt.exe
O23 - Service: Windowhelp - Unknown owner - C:\RECYCLER\SVCHOST.EXE
--
End of file - 9042 bytes
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:00:33, on 24/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\System32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
F:\MONyog\bin\MONyog.exe
D:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Program Files\Eset\nod32krn.exe
D:\WINDOWS\System32\JMRaidTool.exe
D:\WINDOWS\RTHDCPL.EXE
D:\WINDOWS\SkyTel.EXE
D:\WINDOWS\System32\svchost.exe
D:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
D:\WINDOWS\VM_STI.EXE
D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
D:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
D:\Program Files\MessengerPlus! 3\MsgPlus.exe
D:\Program Files\Eset\nod32kui.exe
D:\WINDOWS\system32\ctfmon.exe
D:\WINDOWS\BricoPacks\Crystal Clear\RocketDock\RocketDock.exe
D:\Program Files\Messenger\msmsgs.exe
F:\Skype\Skype.exe
C:\RECYCLER\SVCHOST.EXE
G:\steam\steam\steam.exe
D:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
D:\WINDOWS\BricoPacks\Crystal Clear\YzShadow\YzShadow.exe
D:\WINDOWS\BricoPacks\Crystal Clear\YzToolbar\YzToolBar.exe
D:\Program Files\MSN Messenger\MsnMsgr.Exe
D:\WINDOWS\system32\wscntfy.exe
D:\WINDOWS\system32\wuauclt.exe
D:\Program Files\ATI Technologies\ATI.ACE\cli.exe
D:\Program Files\ATI Technologies\ATI.ACE\cli.exe
D:\WINDOWS\system32\wuauclt.exe
D:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
D:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
D:\Program Files\MSN Messenger\msnmsgr.exe
D:\Program Files\MSN Messenger\msnmsgr.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\Documents and Settings\Sebastien\Mes documents\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - D:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [JMB36X Configure] D:\WINDOWS\System32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ATICCC] "D:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [BigDogPath] D:\WINDOWS\VM_STI.EXE VIMICRO USB PC Camera
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [jtopvcr] D:\WINDOWS\system32\secpiqur.exe
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "D:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [MessengerPlus3] "D:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [nod32kui] "D:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RocketDock] "D:\WINDOWS\BricoPacks\Crystal Clear\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "F:\Skype\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [cdnswfs] D:\WINDOWS\System32\clioigzu.exe
O4 - HKCU\..\Run: [Steam] "g:\steam\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Vidalia] "D:\Program Files\Vidalia Bundle\Vidalia\vidalia.exe"
O4 - HKCU\..\Run: [swg] D:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Hide IP Platinum] D:\Program Files\Hide IP Platinum\hideippla.exe
O4 - HKCU\..\Run: [EA Core] "D:\Program Files\Electronic Arts\EADM\Core.exe" -silent
O4 - HKCU\..\Run: [MessengerPlus3] "D:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "D:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: RocketDock.lnk = D:\WINDOWS\BricoPacks\Crystal Clear\RocketDock\RocketDock.exe
O4 - Startup: UberIcon.lnk = D:\WINDOWS\BricoPacks\Crystal Clear\UberIcon\UberIcon Manager.exe
O4 - Startup: WampServer.lnk = C:\wamp\wampmanager.exe
O4 - Startup: Y'z Shadow.lnk = D:\WINDOWS\BricoPacks\Crystal Clear\YzShadow\YzShadow.exe
O4 - Startup: Y'z Toolbar.lnk = D:\WINDOWS\BricoPacks\Crystal Clear\YzToolbar\YzToolBar.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://F:\Office03\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\Office03\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - D:\Documents and Settings\Sebastien\Menu Démarrer\Programmes\IMVU\Run IMVU.lnk
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1DEAA307-B7AA-4E88-A5CB-879467C9E23E}: NameServer = 212.27.53.252,212.27.54.252
O17 - HKLM\System\CCS\Services\Tcpip\..\{66FC09BB-45BE-4172-BDB7-003E2690867F}: NameServer = 212.27.53.252,212.27.54.252
O17 - HKLM\System\CS1\Services\Tcpip\..\{1DEAA307-B7AA-4E88-A5CB-879467C9E23E}: NameServer = 212.27.53.252,212.27.54.252
O17 - HKLM\System\CS2\Services\Tcpip\..\{1DEAA307-B7AA-4E88-A5CB-879467C9E23E}: NameServer = 212.27.53.252,212.27.54.252
O17 - HKLM\System\CS3\Services\Tcpip\..\{1DEAA307-B7AA-4E88-A5CB-879467C9E23E}: NameServer = 212.27.53.252,212.27.54.252
O17 - HKLM\System\CS4\Services\Tcpip\..\{1DEAA307-B7AA-4E88-A5CB-879467C9E23E}: NameServer = 212.27.53.252,212.27.54.252
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - D:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: MONyog - Unknown owner - F:\MONyog\bin\MONyog.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - D:\Program Files\Eset\nod32krn.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: wampapache - Apache Software Foundation - c:\wamp\apache2\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - c:\wamp\mysql\bin\mysqld-nt.exe
O23 - Service: Windowhelp - Unknown owner - C:\RECYCLER\SVCHOST.EXE
--
End of file - 9042 bytes
- Jean.R
- Messages: 27
- Inscription: 18 Fév 2008 22:10
Re: Ca rame !!!!
par Falkra » 24 Fév 2008 00:05
Télécharge VundoFix.exe (par Atribune) sur ton bureau :
http://www.atribune.org/ccount/click.php?id=4
* Double-clique VundoFix.exe pour le lancer.
* Clique sur le bouton Scan for Vundo.
* Lorsque le scan est terminé, clique sur le bouton Remove Vundo
* Une invite te demandera si tu veux supprimer les fichiers, clique YES
* Après, le bureau disparaîtra un moment, c'est normal.
* Tu verras une invite qui t'annonce que ton PC va redémarrer; clique sur OK.
* Copie/colle le contenu du rapport situé dans C:\vundofix.txt
Note: Il est possible que VundoFix se trouve face à un fichier qu'il ne peut pas supprimer. Si cela se produit, il se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-dessus, à partir de "clique sur le bouton Scan for Vundo".
http://www.atribune.org/ccount/click.php?id=4
* Double-clique VundoFix.exe pour le lancer.
* Clique sur le bouton Scan for Vundo.
* Lorsque le scan est terminé, clique sur le bouton Remove Vundo
* Une invite te demandera si tu veux supprimer les fichiers, clique YES
* Après, le bureau disparaîtra un moment, c'est normal.
* Tu verras une invite qui t'annonce que ton PC va redémarrer; clique sur OK.
* Copie/colle le contenu du rapport situé dans C:\vundofix.txt
Note: Il est possible que VundoFix se trouve face à un fichier qu'il ne peut pas supprimer. Si cela se produit, il se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-dessus, à partir de "clique sur le bouton Scan for Vundo".
-
Falkra - Admin libellules.ch
- Messages: 24424
- Inscription: 30 Jan 2005 13:44
- Localisation: 127.0.0.1
Re: Ca rame !!!!
par Jean.R » 24 Fév 2008 00:14
Nod32 a détecté un fichier host infecté, j'lai supprimé, maintenant ça joue.
Mais je fais quand même
Mais je fais quand même
- Jean.R
- Messages: 27
- Inscription: 18 Fév 2008 22:10
Re: Ca rame !!!!
par Jean.R » 24 Fév 2008 00:23
VundoFix V6.7.8
Checking Java version...
Scan started at 00:08:04 24/02/2008
Listing files found while scanning....
No infected files were found.
Beginning removal...
Checking Java version...
Scan started at 00:08:04 24/02/2008
Listing files found while scanning....
No infected files were found.
Beginning removal...
- Jean.R
- Messages: 27
- Inscription: 18 Fév 2008 22:10
Re: Ca rame !!!!
par Falkra » 24 Fév 2008 00:36
Il y a plein de choses là dedans, ajoute un log DiagHelp stp :
Ce logiciel va créer un rapport contenant des listes de fichiers pur diagnostiquer (après analyse) une possible infection ou des fichiers en trop.
Télécharge DiagHelp.zip de Malekal_morte sur ton bureau.
Ce logiciel va créer un rapport contenant des listes de fichiers pur diagnostiquer (après analyse) une possible infection ou des fichiers en trop.
Télécharge DiagHelp.zip de Malekal_morte sur ton bureau.
- Décompresse-le, sur ton bureau par exemple.
- Un nouveau dossier chercher va être créé DiagHelp.
- Ouvre le et double-clique sur go.cmd (le .cmd peut ne pas apparaître)
- Une fenêtre va s'ouvrir, choisis l'option 1 et valide avec la touche entrée.
- L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande
- Copie/colle le contenu du bloc-note qui s'ouvre et joins-le à ta prochaine réponse.
NB : si un antivirus détecte Troj/INJECT MF choisis "ignorer" c'est une fausse alerte.
NB : un outil, sigcheck.exe, peut demander l'accès à internet, si ton firewall te demande l'autorisation, laisse-le accéder à internet. - Le rapport est sauvegardé dans c:\resultat.txt si jamais tu le cherches
-
Falkra - Admin libellules.ch
- Messages: 24424
- Inscription: 30 Jan 2005 13:44
- Localisation: 127.0.0.1
Re: Ca rame !!!!
par Jean.R » 24 Fév 2008 15:52
DiagHelp version v1.4 - http://www.malekal.com
excute le 24/02/2008 à 0:27:30,68
Liste des derniers fichies modifies/crees dans windir\system32 et prefetch
D:\WINDOWS\prefetch\CHCP.COM-18156052.pf -->24/02/2008 00:27:24
D:\WINDOWS\prefetch\CMD.EXE-087B4001.pf -->24/02/2008 00:27:19
D:\WINDOWS\prefetch\WINRAR.EXE-39C6DAD9.pf -->24/02/2008 00:26:02
D:\WINDOWS\prefetch\NOTEPAD.EXE-336351A9.pf -->24/02/2008 00:24:14
D:\WINDOWS\prefetch\NAVICAT.EXE-15352036.pf -->24/02/2008 00:23:33
D:\WINDOWS\prefetch\UPDCLIENT.EXE-215FC96B.pf -->24/02/2008 00:11:56
D:\WINDOWS\prefetch\VUNDOFIX[1].EXE-153F17C4.pf -->24/02/2008 00:08:05
D:\WINDOWS\prefetch\IEXPLORE.EXE-27122324.pf -->24/02/2008 00:02:02
D:\WINDOWS\prefetch\WMIPRVSE.EXE-28F301A9.pf -->24/02/2008 00:00:41
D:\WINDOWS\prefetch\HIJACKTHIS.EXE-13CAA4E1.pf -->24/02/2008 00:00:38
D:\WINDOWS\System32\drivers\nod32drv.sys -->23/02/2008 23:46:50
D:\WINDOWS\System32\drivers\amon.sys -->23/02/2008 23:46:50
D:\WINDOWS\System32\drivers\fidbox2.idx -->02/10/2007 17:36:13
D:\WINDOWS\System32\drivers\fidbox2.dat -->02/10/2007 17:36:13
D:\WINDOWS\System32\drivers\fidbox.idx -->02/10/2007 17:36:13
D:\WINDOWS\System32\drivers\fidbox.dat -->02/10/2007 17:36:13
D:\WINDOWS\System32\drivers\klin.dat -->02/10/2007 17:34:16
D:\WINDOWS\System32\vsconfig.xml -->23/02/2008 23:55:37
D:\WINDOWS\System32\imon.dll -->23/02/2008 23:46:51
D:\WINDOWS\System32\wpa.dbl -->23/02/2008 23:21:43
D:\WINDOWS\System32\CONFIG.NT -->23/02/2008 23:18:36
D:\WINDOWS\System32\perfh00C.dat -->19/02/2008 20:26:29
D:\WINDOWS\System32\PerfStringBackup.INI -->19/02/2008 20:26:28
D:\WINDOWS\System32\perfh009.dat -->19/02/2008 20:26:28
D:\WINDOWS\System32\perfc00C.dat -->19/02/2008 20:26:28
D:\WINDOWS\System32\perfc009.dat -->19/02/2008 20:26:28
D:\WINDOWS\System32\spupdwxp.log -->19/02/2008 20:19:59
D:\WINDOWS\System32\FNTCACHE.DAT -->19/02/2008 20:18:57
D:\WINDOWS\System32\ssldivx.dll -->29/11/2007 23:30:16
D:\WINDOWS\System32\libdivx.dll -->29/11/2007 23:30:16
D:\WINDOWS\System32\frapsvid.dll -->21/11/2007 19:23:54
D:\WINDOWS\System32\BASSMOD.dll -->16/11/2007 22:02:50
D:\WINDOWS\System32\jupdate-1.6.0_03-b05.log -->31/10/2007 14:57:24
D:\WINDOWS\System32\RunOnce3.tmp -->21/10/2007 21:28:22
D:\WINDOWS\System32\RunOnce3.t__ -->19/10/2007 14:30:27
D:\WINDOWS\System32\nscompat.tlb -->13/10/2007 13:05:45
D:\WINDOWS\System32\amcompat.tlb -->13/10/2007 13:05:45
D:\WINDOWS\System32\xpdx.sys -->08/10/2007 16:43:52
D:\WINDOWS\System32\Rey_SubClasser.dll -->03/10/2007 12:42:17
D:\WINDOWS\System32\ReyXp.ocx -->03/10/2007 12:42:17
D:\WINDOWS\System32\dialogg.ocx -->03/10/2007 12:42:17
D:\WINDOWS\System32\msinet.ocx -->03/10/2007 12:30:12
D:\WINDOWS\KBPK080223.LOG -->24/02/2008 00:07:28
D:\WINDOWS\WindowsUpdate.log -->24/02/2008 00:02:07
D:\WINDOWS\0.log -->23/02/2008 23:56:56
D:\WINDOWS\wiadebug.log -->23/02/2008 23:55:58
D:\WINDOWS\wiaservc.log -->23/02/2008 23:55:50
D:\WINDOWS\bootstat.dat -->23/02/2008 23:55:32
D:\WINDOWS\SchedLgU.Txt -->23/02/2008 23:20:10
D:\WINDOWS\PhotoSnapViewer.INI -->23/02/2008 13:08:36
D:\WINDOWS\QTFont.qfn -->23/02/2008 02:55:30
D:\WINDOWS\NeroDigital.ini -->21/02/2008 20:18:39
D:\WINDOWS\QTFont.for -->21/02/2008 14:20:59
D:\WINDOWS\wmsetup.log -->21/02/2008 00:28:10
D:\WINDOWS\wmsetup10.log -->21/02/2008 00:28:09
D:\WINDOWS\spupdsvc.log -->19/02/2008 20:21:11
D:\WINDOWS\DtcInstall.log -->19/02/2008 20:20:55
winlogon.exe
Verified: Signed
svchost.exe
Verified: Signed
ws2_32.dll
Verified: Signed
user32.dll
Verified: Signed
tcpip.sys
Verified: Signed
ndis.sys
Verified: Signed
null.sys
Verified: Signed
ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - http://www.sysinternals.com
------------------------------------------------------------------------------
explorer.exe pid: 460
Command line: D:\WINDOWS\Explorer.EXE
Base Size Version Path
0x771b0000 0xce000 7.00.5730.0013 D:\WINDOWS\system32\WININET.dll
0x00400000 0x9000 6.00.5441.0000 D:\WINDOWS\system32\Normaliz.dll
0x5dca0000 0x45000 7.00.5730.0013 D:\WINDOWS\system32\iertutil.dll
0x76f80000 0x7f000 2001.12.4414.0258 D:\WINDOWS\system32\CLBCATQ.DLL
0x77000000 0xd4000 2001.12.4414.0258 D:\WINDOWS\system32\COMRes.dll
0x61410000 0x124000 7.00.5730.0013 D:\WINDOWS\System32\urlmon.dll
0x7e1e0000 0x5c9000 7.00.5730.0013 D:\WINDOWS\system32\ieframe.dll
0x76ac0000 0x11000 3.05.2284.0000 D:\WINDOWS\system32\ATL.DLL
0x74b30000 0x3b000 7.00.5730.0013 D:\WINDOWS\System32\webcheck.dll
0x10000000 0x5000 D:\WINDOWS\BricoPacks\Crystal Clear\RocketDock\MouseHook2.dll
0x73ce0000 0x27000 4.00.1183.0001 D:\WINDOWS\system32\CRTDLL.dll
0x01900000 0xe000 3.63.0004.0000 D:\Program Files\MessengerPlus! 3\MsgPlusLoader.dll
0x01e60000 0x2c6000 3.01.4000.2435 D:\WINDOWS\system32\msi.dll
0x01d00000 0xe000 1.09.0000.0000 D:\WINDOWS\BricoPacks\Crystal Clear\YzShadow\YzShadow.dll
0x00bc0000 0xf000 1.03.0000.0000 D:\WINDOWS\BricoPacks\Crystal Clear\YzToolbar\YzToolBar.dll
0x01580000 0x10000 8.00.0000.0456 D:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
0x78130000 0x9b000 8.00.50727.0163 D:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.163_x-ww_681e29fb\MSVCR80.dll
0x74730000 0x3d000 3.525.1117.0000 D:\WINDOWS\system32\ODBC32.dll
0x033f0000 0x18000 3.525.1117.0000 D:\WINDOWS\system32\odbcint.dll
0x325c0000 0x12000 11.00.5510.0000 F:\Office03\OFFICE11\msohev.dll
0x03780000 0x4c000 8.00.0000.0000 D:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.FRA
0x03710000 0x5b000 8.01.0000.0000 D:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.dll
0x52200000 0xb000 7.00.0362.0000 D:\Program Files\Zone Labs\ZoneAlarm\zlavscan.dll
0x01470000 0x4000 5.03.0017.0000 D:\Program Files\Zone Labs\ZoneAlarm\zlavscan_Loc040c.dll
0x02130000 0x2d000 D:\Program Files\WinRAR\rarext.dll
0x02160000 0xf000 0.01.0000.0000 D:\Program Files\Notepad++\nppshellext.dll
0x7c3a0000 0x7b000 7.10.3077.0000 D:\WINDOWS\system32\MSVCP71.dll
0x7c340000 0x56000 7.10.3052.0004 D:\WINDOWS\system32\MSVCR71.dll
0x02180000 0x10000 D:\Program Files\Eset\nodshex.dll
0x36f10000 0xc000 11.00.5510.0000 D:\Program Files\Fichiers communs\Microsoft Shared\OFFICE11\MSOXEV.DLL
ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - http://www.sysinternals.com
------------------------------------------------------------------------------
winlogon.exe pid: 796
Command line: winlogon.exe
Base Size Version Path
0x01000000 0x81000 \??\D:\WINDOWS\system32\winlogon.exe
0x74730000 0x3d000 3.525.1117.0000 D:\WINDOWS\system32\ODBC32.dll
0x20000000 0x18000 3.525.1117.0000 D:\WINDOWS\system32\odbcint.dll
0x10000000 0x18000 6.14.0010.4146 D:\WINDOWS\system32\Ati2evxx.dll
0x77000000 0xd4000 2001.12.4414.0258 D:\WINDOWS\system32\COMRes.dll
0x76f80000 0x7f000 2001.12.4414.0258 D:\WINDOWS\system32\CLBCATQ.DLL
Le volume dans le lecteur D n'a pas de nom.
Le numéro de série du volume est 1C6A-18E6
Répertoire de D:\WINDOWS\system32
19/08/2004 16:09 6 144 csrss.exe
1 fichier(s) 6 144 octets
0 Rép(s) 15 593 676 800 octets libres
Contenu de Downloaded Program Files
Le volume dans le lecteur D n'a pas de nom.
Le numéro de série du volume est 1C6A-18E6
Répertoire de D:\WINDOWS\Downloaded Program Files
02/11/2007 03:13 <REP> .
02/11/2007 03:13 <REP> ..
28/09/2007 18:53 65 desktop.ini
14/10/1997 17:52 697 DirectAnimation Java Classes.osd
26/07/2007 15:03 214 DivXPlugin.inf
23/03/2007 12:17 1 292 erma.inf
20/01/2000 14:25 1 162 Microsoft XML Parser for Java.osd
11/06/2007 11:21 5 021 swflash.inf
30/06/2003 21:41 1 689 WMV9VCM.inf
09/09/2005 17:45 1 516 wvc1dmo.inf
8 fichier(s) 11 656 octets
Total des fichiers listés :
8 fichier(s) 11 656 octets
2 Rép(s) 15 593 668 608 octets libres
Recherche de rootkit! (Merci S!Ri)
xpdx présent Possible infection Rustock, l'utilisation d'un scanneur rootkit est recommandé
Recherche d'infections connues
Export des clefs sensibles..
Liste des fichiers en exception sur le pare-feu XP SP2
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"D:\\Program Files\\MSN Messenger\\msnmsgr.exe"="D:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5"
"F:\\uTorrent\\utorrent.exe"="F:\\uTorrent\\utorrent.exe:*:Enabled:µTorrent"
"F:\\Skype\\Skype.exe"="F:\\Skype\\Skype.exe:*:Enabled:Skype"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"D:\\Program Files\\MSN Messenger\\msnmsgr.exe"="D:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5"
Export de la clef SharedTaskScheduler
[SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"
exports des policies
REGEDIT4
[system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
Export des clefs sensibles..
Rechercher adresses sensibles dans le fichier HOSTS...
catchme 0.3.1319 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-24 00:28:18
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden services & system hive ...
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\xpdx]
"Type"=dword:00000001
"Start"=dword:00000001
"ErrorControl"=dword:00000000
"ImagePath"=str(2):"\??\D:\WINDOWS\System32\xpdx.sys"
"DisplayName"="xpdx system driver"
"Group"="Base"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\xpdx\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\xpdx]
"Type"=dword:00000001
"Start"=dword:00000001
"ErrorControl"=dword:00000000
"ImagePath"=str(2):"\??\D:\WINDOWS\System32\xpdx.sys"
"DisplayName"="xpdx system driver"
"Group"="Base"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\xpdx\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\xpdx]
"Type"=dword:00000001
"Start"=dword:00000001
"ErrorControl"=dword:00000000
"ImagePath"=str(2):"\??\D:\WINDOWS\System32\xpdx.sys"
"DisplayName"="xpdx system driver"
"Group"="Base"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\xpdx\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,..
scanning hidden registry entries ...
scanning hidden files ...
D:\WINDOWS\system32:win33.exe 1326080 bytes executable
scan completed successfully
hidden services: 0
hidden files: 1
excute le 24/02/2008 à 0:27:30,68
Liste des derniers fichies modifies/crees dans windir\system32 et prefetch
D:\WINDOWS\prefetch\CHCP.COM-18156052.pf -->24/02/2008 00:27:24
D:\WINDOWS\prefetch\CMD.EXE-087B4001.pf -->24/02/2008 00:27:19
D:\WINDOWS\prefetch\WINRAR.EXE-39C6DAD9.pf -->24/02/2008 00:26:02
D:\WINDOWS\prefetch\NOTEPAD.EXE-336351A9.pf -->24/02/2008 00:24:14
D:\WINDOWS\prefetch\NAVICAT.EXE-15352036.pf -->24/02/2008 00:23:33
D:\WINDOWS\prefetch\UPDCLIENT.EXE-215FC96B.pf -->24/02/2008 00:11:56
D:\WINDOWS\prefetch\VUNDOFIX[1].EXE-153F17C4.pf -->24/02/2008 00:08:05
D:\WINDOWS\prefetch\IEXPLORE.EXE-27122324.pf -->24/02/2008 00:02:02
D:\WINDOWS\prefetch\WMIPRVSE.EXE-28F301A9.pf -->24/02/2008 00:00:41
D:\WINDOWS\prefetch\HIJACKTHIS.EXE-13CAA4E1.pf -->24/02/2008 00:00:38
D:\WINDOWS\System32\drivers\nod32drv.sys -->23/02/2008 23:46:50
D:\WINDOWS\System32\drivers\amon.sys -->23/02/2008 23:46:50
D:\WINDOWS\System32\drivers\fidbox2.idx -->02/10/2007 17:36:13
D:\WINDOWS\System32\drivers\fidbox2.dat -->02/10/2007 17:36:13
D:\WINDOWS\System32\drivers\fidbox.idx -->02/10/2007 17:36:13
D:\WINDOWS\System32\drivers\fidbox.dat -->02/10/2007 17:36:13
D:\WINDOWS\System32\drivers\klin.dat -->02/10/2007 17:34:16
D:\WINDOWS\System32\vsconfig.xml -->23/02/2008 23:55:37
D:\WINDOWS\System32\imon.dll -->23/02/2008 23:46:51
D:\WINDOWS\System32\wpa.dbl -->23/02/2008 23:21:43
D:\WINDOWS\System32\CONFIG.NT -->23/02/2008 23:18:36
D:\WINDOWS\System32\perfh00C.dat -->19/02/2008 20:26:29
D:\WINDOWS\System32\PerfStringBackup.INI -->19/02/2008 20:26:28
D:\WINDOWS\System32\perfh009.dat -->19/02/2008 20:26:28
D:\WINDOWS\System32\perfc00C.dat -->19/02/2008 20:26:28
D:\WINDOWS\System32\perfc009.dat -->19/02/2008 20:26:28
D:\WINDOWS\System32\spupdwxp.log -->19/02/2008 20:19:59
D:\WINDOWS\System32\FNTCACHE.DAT -->19/02/2008 20:18:57
D:\WINDOWS\System32\ssldivx.dll -->29/11/2007 23:30:16
D:\WINDOWS\System32\libdivx.dll -->29/11/2007 23:30:16
D:\WINDOWS\System32\frapsvid.dll -->21/11/2007 19:23:54
D:\WINDOWS\System32\BASSMOD.dll -->16/11/2007 22:02:50
D:\WINDOWS\System32\jupdate-1.6.0_03-b05.log -->31/10/2007 14:57:24
D:\WINDOWS\System32\RunOnce3.tmp -->21/10/2007 21:28:22
D:\WINDOWS\System32\RunOnce3.t__ -->19/10/2007 14:30:27
D:\WINDOWS\System32\nscompat.tlb -->13/10/2007 13:05:45
D:\WINDOWS\System32\amcompat.tlb -->13/10/2007 13:05:45
D:\WINDOWS\System32\xpdx.sys -->08/10/2007 16:43:52
D:\WINDOWS\System32\Rey_SubClasser.dll -->03/10/2007 12:42:17
D:\WINDOWS\System32\ReyXp.ocx -->03/10/2007 12:42:17
D:\WINDOWS\System32\dialogg.ocx -->03/10/2007 12:42:17
D:\WINDOWS\System32\msinet.ocx -->03/10/2007 12:30:12
D:\WINDOWS\KBPK080223.LOG -->24/02/2008 00:07:28
D:\WINDOWS\WindowsUpdate.log -->24/02/2008 00:02:07
D:\WINDOWS\0.log -->23/02/2008 23:56:56
D:\WINDOWS\wiadebug.log -->23/02/2008 23:55:58
D:\WINDOWS\wiaservc.log -->23/02/2008 23:55:50
D:\WINDOWS\bootstat.dat -->23/02/2008 23:55:32
D:\WINDOWS\SchedLgU.Txt -->23/02/2008 23:20:10
D:\WINDOWS\PhotoSnapViewer.INI -->23/02/2008 13:08:36
D:\WINDOWS\QTFont.qfn -->23/02/2008 02:55:30
D:\WINDOWS\NeroDigital.ini -->21/02/2008 20:18:39
D:\WINDOWS\QTFont.for -->21/02/2008 14:20:59
D:\WINDOWS\wmsetup.log -->21/02/2008 00:28:10
D:\WINDOWS\wmsetup10.log -->21/02/2008 00:28:09
D:\WINDOWS\spupdsvc.log -->19/02/2008 20:21:11
D:\WINDOWS\DtcInstall.log -->19/02/2008 20:20:55
winlogon.exe
Verified: Signed
svchost.exe
Verified: Signed
ws2_32.dll
Verified: Signed
user32.dll
Verified: Signed
tcpip.sys
Verified: Signed
ndis.sys
Verified: Signed
null.sys
Verified: Signed
ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - http://www.sysinternals.com
------------------------------------------------------------------------------
explorer.exe pid: 460
Command line: D:\WINDOWS\Explorer.EXE
Base Size Version Path
0x771b0000 0xce000 7.00.5730.0013 D:\WINDOWS\system32\WININET.dll
0x00400000 0x9000 6.00.5441.0000 D:\WINDOWS\system32\Normaliz.dll
0x5dca0000 0x45000 7.00.5730.0013 D:\WINDOWS\system32\iertutil.dll
0x76f80000 0x7f000 2001.12.4414.0258 D:\WINDOWS\system32\CLBCATQ.DLL
0x77000000 0xd4000 2001.12.4414.0258 D:\WINDOWS\system32\COMRes.dll
0x61410000 0x124000 7.00.5730.0013 D:\WINDOWS\System32\urlmon.dll
0x7e1e0000 0x5c9000 7.00.5730.0013 D:\WINDOWS\system32\ieframe.dll
0x76ac0000 0x11000 3.05.2284.0000 D:\WINDOWS\system32\ATL.DLL
0x74b30000 0x3b000 7.00.5730.0013 D:\WINDOWS\System32\webcheck.dll
0x10000000 0x5000 D:\WINDOWS\BricoPacks\Crystal Clear\RocketDock\MouseHook2.dll
0x73ce0000 0x27000 4.00.1183.0001 D:\WINDOWS\system32\CRTDLL.dll
0x01900000 0xe000 3.63.0004.0000 D:\Program Files\MessengerPlus! 3\MsgPlusLoader.dll
0x01e60000 0x2c6000 3.01.4000.2435 D:\WINDOWS\system32\msi.dll
0x01d00000 0xe000 1.09.0000.0000 D:\WINDOWS\BricoPacks\Crystal Clear\YzShadow\YzShadow.dll
0x00bc0000 0xf000 1.03.0000.0000 D:\WINDOWS\BricoPacks\Crystal Clear\YzToolbar\YzToolBar.dll
0x01580000 0x10000 8.00.0000.0456 D:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
0x78130000 0x9b000 8.00.50727.0163 D:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.163_x-ww_681e29fb\MSVCR80.dll
0x74730000 0x3d000 3.525.1117.0000 D:\WINDOWS\system32\ODBC32.dll
0x033f0000 0x18000 3.525.1117.0000 D:\WINDOWS\system32\odbcint.dll
0x325c0000 0x12000 11.00.5510.0000 F:\Office03\OFFICE11\msohev.dll
0x03780000 0x4c000 8.00.0000.0000 D:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.FRA
0x03710000 0x5b000 8.01.0000.0000 D:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.dll
0x52200000 0xb000 7.00.0362.0000 D:\Program Files\Zone Labs\ZoneAlarm\zlavscan.dll
0x01470000 0x4000 5.03.0017.0000 D:\Program Files\Zone Labs\ZoneAlarm\zlavscan_Loc040c.dll
0x02130000 0x2d000 D:\Program Files\WinRAR\rarext.dll
0x02160000 0xf000 0.01.0000.0000 D:\Program Files\Notepad++\nppshellext.dll
0x7c3a0000 0x7b000 7.10.3077.0000 D:\WINDOWS\system32\MSVCP71.dll
0x7c340000 0x56000 7.10.3052.0004 D:\WINDOWS\system32\MSVCR71.dll
0x02180000 0x10000 D:\Program Files\Eset\nodshex.dll
0x36f10000 0xc000 11.00.5510.0000 D:\Program Files\Fichiers communs\Microsoft Shared\OFFICE11\MSOXEV.DLL
ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - http://www.sysinternals.com
------------------------------------------------------------------------------
winlogon.exe pid: 796
Command line: winlogon.exe
Base Size Version Path
0x01000000 0x81000 \??\D:\WINDOWS\system32\winlogon.exe
0x74730000 0x3d000 3.525.1117.0000 D:\WINDOWS\system32\ODBC32.dll
0x20000000 0x18000 3.525.1117.0000 D:\WINDOWS\system32\odbcint.dll
0x10000000 0x18000 6.14.0010.4146 D:\WINDOWS\system32\Ati2evxx.dll
0x77000000 0xd4000 2001.12.4414.0258 D:\WINDOWS\system32\COMRes.dll
0x76f80000 0x7f000 2001.12.4414.0258 D:\WINDOWS\system32\CLBCATQ.DLL
Le volume dans le lecteur D n'a pas de nom.
Le numéro de série du volume est 1C6A-18E6
Répertoire de D:\WINDOWS\system32
19/08/2004 16:09 6 144 csrss.exe
1 fichier(s) 6 144 octets
0 Rép(s) 15 593 676 800 octets libres
Contenu de Downloaded Program Files
Le volume dans le lecteur D n'a pas de nom.
Le numéro de série du volume est 1C6A-18E6
Répertoire de D:\WINDOWS\Downloaded Program Files
02/11/2007 03:13 <REP> .
02/11/2007 03:13 <REP> ..
28/09/2007 18:53 65 desktop.ini
14/10/1997 17:52 697 DirectAnimation Java Classes.osd
26/07/2007 15:03 214 DivXPlugin.inf
23/03/2007 12:17 1 292 erma.inf
20/01/2000 14:25 1 162 Microsoft XML Parser for Java.osd
11/06/2007 11:21 5 021 swflash.inf
30/06/2003 21:41 1 689 WMV9VCM.inf
09/09/2005 17:45 1 516 wvc1dmo.inf
8 fichier(s) 11 656 octets
Total des fichiers listés :
8 fichier(s) 11 656 octets
2 Rép(s) 15 593 668 608 octets libres
Recherche de rootkit! (Merci S!Ri)
xpdx présent Possible infection Rustock, l'utilisation d'un scanneur rootkit est recommandé
Recherche d'infections connues
Export des clefs sensibles..
Liste des fichiers en exception sur le pare-feu XP SP2
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"D:\\Program Files\\MSN Messenger\\msnmsgr.exe"="D:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5"
"F:\\uTorrent\\utorrent.exe"="F:\\uTorrent\\utorrent.exe:*:Enabled:µTorrent"
"F:\\Skype\\Skype.exe"="F:\\Skype\\Skype.exe:*:Enabled:Skype"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"D:\\Program Files\\MSN Messenger\\msnmsgr.exe"="D:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5"
Export de la clef SharedTaskScheduler
[SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"
exports des policies
REGEDIT4
[system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
Export des clefs sensibles..
Rechercher adresses sensibles dans le fichier HOSTS...
catchme 0.3.1319 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-24 00:28:18
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden services & system hive ...
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\xpdx]
"Type"=dword:00000001
"Start"=dword:00000001
"ErrorControl"=dword:00000000
"ImagePath"=str(2):"\??\D:\WINDOWS\System32\xpdx.sys"
"DisplayName"="xpdx system driver"
"Group"="Base"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\xpdx\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\xpdx]
"Type"=dword:00000001
"Start"=dword:00000001
"ErrorControl"=dword:00000000
"ImagePath"=str(2):"\??\D:\WINDOWS\System32\xpdx.sys"
"DisplayName"="xpdx system driver"
"Group"="Base"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\xpdx\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\xpdx]
"Type"=dword:00000001
"Start"=dword:00000001
"ErrorControl"=dword:00000000
"ImagePath"=str(2):"\??\D:\WINDOWS\System32\xpdx.sys"
"DisplayName"="xpdx system driver"
"Group"="Base"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\xpdx\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,..
scanning hidden registry entries ...
scanning hidden files ...
D:\WINDOWS\system32:win33.exe 1326080 bytes executable
scan completed successfully
hidden services: 0
hidden files: 1
- Jean.R
- Messages: 27
- Inscription: 18 Fév 2008 22:10
Re: Ca rame !!!!
par Falkra » 24 Fév 2008 15:53
Le rapport n'est pas complet, assure-toi de tout sélectionner dans le fichier (CTRL+A pour tout sélectionner d'un coup).
-
Falkra - Admin libellules.ch
- Messages: 24424
- Inscription: 30 Jan 2005 13:44
- Localisation: 127.0.0.1
- Jean.R
- Messages: 27
- Inscription: 18 Fév 2008 22:10
Re: Ca rame !!!!
par Falkra » 24 Fév 2008 15:57
Cela a pu être tronqué par le forum.
uplloade c:\resultat.txt sur ce site (fonctionne comme hébergeur d'images, mais aussi pour le texte) :
http://cjoint.com/
Après, poste le lien, que je puisse examiner le fichier.
Je vois déjà dans ce qui est présent une infection différente.
uplloade c:\resultat.txt sur ce site (fonctionne comme hébergeur d'images, mais aussi pour le texte) :
http://cjoint.com/
Après, poste le lien, que je puisse examiner le fichier.
Je vois déjà dans ce qui est présent une infection différente.
-
Falkra - Admin libellules.ch
- Messages: 24424
- Inscription: 30 Jan 2005 13:44
- Localisation: 127.0.0.1
Re: Ca rame !!!!
par Jean.R » 24 Fév 2008 15:58
Non non, je suis sérieux. J'ouvre mon fichier, il y'a bel et bien que ça dedans ...
- Jean.R
- Messages: 27
- Inscription: 18 Fév 2008 22:10
- Jean.R
- Messages: 27
- Inscription: 18 Fév 2008 22:10
Re: Ca rame !!!!
par Falkra » 24 Fév 2008 16:01
Je te crois, mais cela n'est pas standard.
Nous allons ajouter une autre détection à la main, ensuite je te fera un script pour shooter tout ça.
Je collecte les fichiers et on lance les hostilités.
Télécharge Blacklight (de F-Secure). Sauvegarde-le sur ton Bureau.
Double-clique fsbl.exe et accepte la licence; clique Scan puis Next
Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).
Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe
Nous allons ajouter une autre détection à la main, ensuite je te fera un script pour shooter tout ça.
Je collecte les fichiers et on lance les hostilités.
Télécharge Blacklight (de F-Secure). Sauvegarde-le sur ton Bureau.
Double-clique fsbl.exe et accepte la licence; clique Scan puis Next
Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).
Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe
-
Falkra - Admin libellules.ch
- Messages: 24424
- Inscription: 30 Jan 2005 13:44
- Localisation: 127.0.0.1
Re: Ca rame !!!!
par Jean.R » 24 Fév 2008 16:03
Salut, je dois y aller, je fais tout ça ce soir.
A toute et merci !
A toute et merci !
- Jean.R
- Messages: 27
- Inscription: 18 Fév 2008 22:10
18 messages
• Page 1 sur 1
Qui est en ligne
Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 3 invités
Développé par phpBB® Forum Software © phpBB Group
Traduction par phpBB-fr.com
Traduction par phpBB-fr.com
phpBB Metro Theme by PixelGoose Studio