XP pro infecté par fichier C:\rundll.exe C:\rundll32.exe

Section d'analyse de rapports et de désinfection : malwares en tous genre et autres indésirables. Demandes de nettoyage uniquement. Prise en charge restreinte : équipe spécialisée.

Modérateur: Modérateurs

Règles du forum :arrow: Les désinfections sont prises en charge par un groupe spécifique, tout le monde ne peut pas intervenir pour désinfecter les machines (règles).
:arrow: Les procédures sont sur-mesure, ne faites pas la même chose chez vous (explications).
:arrow: Un topic par machine, chacun crée le sien. ;)

XP pro infecté par fichier C:\rundll.exe C:\rundll32.exe

Messagepar totofnc » 10 Nov 2009 12:39

Salut à tous,

Je suis bien embêté car j'ai fais un scan avec malwarebyte's et il m'a trouvé deux fichier infecté: C:\RUNDLL.EXE et C:\RUNDLL32.EXE

donc un trojan et une back door

voilà les infos sur le fichier C:\rundll dans mon registre WINDOWS 32

version du fichier 5.12600.5512
date de création 20/08/04 à 02H10
Taille: 33,0 Ko

Suite à ce scan de malwarebyte's il est impossible de les virer et si je les vire en mode sans échec il devient impossible d'accéder au fonction du panneau de configuration.

Je suis allé sur le net mais sans succès, rien de concret pour me rassurer et surtout pour rendre mon ordi plus sure, vu que je suis en relation avec des contacts sur la planète.

Je sollicite donc votre aide pour avoir une procédure pour me débarrasser de se "virus" s'il en est et rendre mon ordi comme avant!!!!

Merci de me répondre.
Totofnc

Ps: je suis à l'autre bout du monde pour vous, merci de votre compréhension.
Dernière édition par krigou le 19 Déc 2009 12:47, édité 2 fois.
Raison: Sujet déplacé dans le bon forum
totofnc
Libellulien Junior
Libellulien Junior
 
Messages: 126
Inscription: 09 Nov 2009 06:30

Re: XP pro infecter par fichier C:\rundll.exe C:\rundll32.exe

Messagepar nardino » 10 Nov 2009 16:54

Bonjour,

As-tu fait un scan antivirus mis à jour au préalable ?
Si oui poste le rapport.
Télécharge RSIT de random/random, sur le Bureau :
http://images.malwareremoval.com/random/RSIT.exe

Double-clique sur RSIT.exe afin de lancer l'outil, il ne nécessite pas d'installation.
Clique Continue à l'écran Disclaimer si tu acceptes les conditions.
Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et accepte la licence.

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.
Poste le contenu de log.txt
, celui qui va s'ouvrir et ferme info.txt qui est réduit dans la Barre des Tâches.

NB :
Ces rapports sont enregistrés dans le dossier C:\rsit
Sous Vista/Sept, il faut lancer le fichier en cliquant droit dessus et par Exécuter en tant qu'administrateur.
@+
Image
Avatar de l’utilisateur
nardino
Super Libellulien
Super Libellulien
 
Messages: 1103
Inscription: 03 Avr 2009 22:02

Re: XP pro infecter par fichier C:\rundll.exe C:\rundll32.exe

Messagepar totofnc » 11 Nov 2009 01:11

Hello!
Je suis de retour en ayant vu que le rapport n'était pas mis, je te le renvoie si j'y arrive, merci et pardon pour cette "erreur"
totofnc
Libellulien Junior
Libellulien Junior
 
Messages: 126
Inscription: 09 Nov 2009 06:30

Re: XP pro infecter par fichier C:\rundll.exe C:\rundll32.exe

Messagepar totofnc » 14 Nov 2009 12:36

Logfile of random's system information tool 1.06 (written by random/random)
Run by abi at 2009-11-14 22:35:25
Microsoft Windows XP Professionnel Service Pack 3
System drive C: has 81 GB (53%) free of 153 GB
Total RAM: 1022 MB (48% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:35:38, on 14/11/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\WINDOWS\system32\lxdicoms.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Sony\VAIO Event Service\VESMgr.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Sony\VAIO Power Management\SPMgr.exe
C:\Program Files\Sony\VAIO Update 2\VAIOUpdt.exe
C:\Program Files\Sony\ISB Utility\ISBMgr.exe
C:\Program Files\Lexmark 3500-4500 Series\lxdimon.exe
C:\Program Files\Lexmark 3500-4500 Series\lxdiamon.exe
C:\Program Files\Logitech\Logitech WebCam Software\LWS.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\Documents and Settings\abi\Bureau\RSIT.exe
C:\Program Files\trend micro\abi.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.search.yahoo.com/search?fr=mcafee&p=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.windows.fr/ie8/bienvenue
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SonyPowerCfg] C:\Program Files\Sony\VAIO Power Management\SPMgr.exe
O4 - HKLM\..\Run: [VAIO Update 2] "C:\Program Files\Sony\VAIO Update 2\VAIOUpdt.exe" /Stationary
O4 - HKLM\..\Run: [ISBMgr.exe] C:\Program Files\Sony\ISB Utility\ISBMgr.exe
O4 - HKLM\..\Run: [VAIOCameraUtility] "C:\Program Files\Sony\VAIO Camera Utility\VCUServe.exe"
O4 - HKLM\..\Run: [Switcher.exe] C:\Program Files\Sony\Wireless Switch Setting Utility\Switcher.exe
O4 - HKLM\..\Run: [lxdimon.exe] "C:\Program Files\Lexmark 3500-4500 Series\lxdimon.exe"
O4 - HKLM\..\Run: [lxdiamon] "C:\Program Files\Lexmark 3500-4500 Series\lxdiamon.exe"
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\Logitech WebCam Software\LWS.exe" /hide
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [SpybotDeletingB3371] command.com /c del "C:\WINDOWS\SchedLgU.Txt" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [SpybotDeletingB3371] command.com /c del "C:\WINDOWS\SchedLgU.Txt" (User 'Default user')
O4 - Global Startup: Windows Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - cmdmapping - (no file) (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microso ... 5405139625
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: McAfee Application Installer Cleanup (0062391257658504) (0062391257658504mcinstcleanup) - Unknown owner - C:\DOCUME~1\abi\LOCALS~1\Temp\006239~1.EXE (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: lxdiCATSCustConnectService - Lexmark International, Inc. - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\\lxdiserv.exe
O23 - Service: lxdi_device - - C:\WINDOWS\system32\lxdicoms.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: VAIO Event Service - Sony Corporation - C:\Program Files\Sony\VAIO Event Service\VESMgr.exe

--
End of file - 8526 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job
C:\WINDOWS\tasks\GlaryInitialize.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-02-27 75128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]
Spybot-S&D IE Protection - C:\PROGRA~1\SPYBOT~1\SDHelper.dll [2009-01-27 1879896]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
Programme d'aide de l'Assistant de connexion Windows Live - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-01-23 408448]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Program Files\Java\jre6\bin\jp2ssv.dll [2009-10-11 41760]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-10-11 73728]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2005-11-30 7335936]
"SonyPowerCfg"=C:\Program Files\Sony\VAIO Power Management\SPMgr.exe [2005-11-29 217088]
"VAIO Update 2"=C:\Program Files\Sony\VAIO Update 2\VAIOUpdt.exe [2005-10-12 151552]
"ISBMgr.exe"=C:\Program Files\Sony\ISB Utility\ISBMgr.exe [2004-02-20 32768]
"VAIOCameraUtility"=C:\Program Files\Sony\VAIO Camera Utility\VCUServe.exe [2005-12-01 69632]
"Switcher.exe"=C:\Program Files\Sony\Wireless Switch Setting Utility\Switcher.exe [2005-11-24 167936]
"lxdimon.exe"=C:\Program Files\Lexmark 3500-4500 Series\lxdimon.exe [2007-05-08 435120]
"lxdiamon"=C:\Program Files\Lexmark 3500-4500 Series\lxdiamon.exe [2007-03-05 20480]
"FaxCenterServer"=C:\Program Files\Lexmark Fax Solutions\fm3032.exe [2007-05-08 312240]
"LogitechQuickCamRibbon"=C:\Program Files\Logitech\Logitech WebCam Software\LWS.exe [2009-05-08 2780432]
"Adobe Reader Speed Launcher"=C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe [2009-10-03 35696]
"Adobe ARM"=C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe [2009-09-04 935288]
"SunJavaUpdateSched"=C:\Program Files\Java\jre6\bin\jusched.exe [2009-10-11 149280]
"Malwarebytes Anti-Malware (reboot)"=C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe [2009-09-10 1312080]
"avast!"=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe [2009-09-15 81000]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"=C:\Program Files\Windows Live\Messenger\msnmsgr.exe [2009-07-26 3883856]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]
"Skype"=C:\Program Files\Skype\Phone\Skype.exe [2009-06-26 25604904]
"MSMSGS"=C:\Program Files\Messenger\msmsgs.exe [2008-04-14 1695232]

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage
Windows Search.lnk - C:\Program Files\Windows Desktop Search\WindowsSearch.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\VESWinlogon]
C:\WINDOWS\system32\VESWinlogon.dll [2005-05-21 73728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINDOWS\system32\WgaLogon.dll [2009-03-11 265088]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-19 133632]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"=C:\Program Files\Windows Desktop Search\MSNLNamespaceMgr.dll [2009-05-24 304128]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm.sys]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\WINDOWS\system32\lxdicoms.exe"="C:\WINDOWS\system32\lxdicoms.exe:*:Enabled:3500-4500 Series Server"
"C:\Program Files\Lexmark 3500-4500 Series\lxdimon.exe"="C:\Program Files\Lexmark 3500-4500 Series\lxdimon.exe:*:Enabled:Device Monitor"
"C:\Documents and Settings\abi\Local Settings\Temp\lxdi\wireless\FRENCH\lxdiwpss.exe"="C:\Documents and Settings\abi\Local Settings\Temp\lxdi\wireless\FRENCH\lxdiwpss.exe:*:Enabled: "
"C:\WINDOWS\system32\lxdicfg.exe"="C:\WINDOWS\system32\lxdicfg.exe:*:Enabled:Printer Communication System"
"C:\Program Files\Lexmark 3500-4500 Series\Wireless\lxdiwpss.exe"="C:\Program Files\Lexmark 3500-4500 Series\Wireless\lxdiwpss.exe:*:Enabled: "
"C:\WINDOWS\system32\spool\drivers\w32x86\3\lxdipswx.exe"="C:\WINDOWS\system32\spool\drivers\w32x86\3\lxdipswx.exe:*:Enabled:Printer Status Window Interface"
"C:\WINDOWS\system32\spool\drivers\w32x86\3\lxdijswx.exe"="C:\WINDOWS\system32\spool\drivers\w32x86\3\lxdijswx.exe:*:Enabled:Job Status Window Interface"
"C:\WINDOWS\system32\spool\drivers\w32x86\3\lxditime.exe"="C:\WINDOWS\system32\spool\drivers\w32x86\3\lxditime.exe:*:Enabled:Lexmark Connect Time Executable"
"C:\Program Files\Windows Live\Messenger\wlcsdk.exe"="C:\Program Files\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\Program Files\Lexmark 3500-4500 Series\lxdiamon.exe"="C:\Program Files\Lexmark 3500-4500 Series\lxdiamon.exe:*:Enabled:Device Monitor Application"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Program Files\Skype\Phone\Skype.exe"="C:\Program Files\Skype\Phone\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Program Files\Lexmark 3500-4500 Series\app4r.exe"="C:\Program Files\Lexmark 3500-4500 Series\App4R.exe:*:Enabled:Lexmark Imaging Studio"
"C:\Program Files\Windows Live\Messenger\wlcsdk.exe"="C:\Program Files\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"

======List of files/folders created in the last 3 months======

2009-11-14 13:31:04 ----D---- C:\Program Files\trend micro
2009-11-13 16:34:51 ----A---- C:\WINDOWS\system32\aswBoot.exe
2009-11-13 16:34:48 ----D---- C:\Program Files\Alwil Software
2009-11-12 11:04:33 ----N---- C:\WINDOWS\SchedLgU.Txt
2009-11-11 09:08:12 ----HDC---- C:\WINDOWS\$NtUninstallKB969947$
2009-11-10 22:13:52 ----D---- C:\Program Files\Microsoft
2009-11-09 15:40:02 ----HD---- C:\WINDOWS\PIF
2009-11-08 15:44:31 ----A---- C:\WINDOWS\system32\MFC71.dll
2009-11-08 11:13:52 ----D---- C:\Documents and Settings\All Users\Application Data\Lavasoft
2009-11-07 19:11:54 ----HD---- C:\WINDOWS\msdownld.tmp
2009-11-07 19:07:53 ----HDC---- C:\WINDOWS\ie8
2009-11-07 18:51:49 ----D---- C:\Program Files\Microsoft Silverlight
2009-11-07 13:52:47 ----D---- C:\Program Files\Malwarebytes' Anti-Malware
2009-11-07 13:42:11 ----A---- C:\WINDOWS\system32\MSVBVM60.DLL
2009-11-06 20:48:00 ----D---- C:\Documents and Settings\abi\Application Data\vlc
2009-11-05 19:47:49 ----D---- C:\Documents and Settings\abi\Application Data\Media Player Classic
2009-11-04 14:55:00 ----A---- C:\WINDOWS\system32\javaws.exe
2009-11-04 14:55:00 ----A---- C:\WINDOWS\system32\javaw.exe
2009-11-04 14:55:00 ----A---- C:\WINDOWS\system32\java.exe
2009-10-28 13:18:52 ----A---- C:\lopR.txt
2009-10-28 13:18:28 ----D---- C:\Lop SD
2009-10-23 12:26:56 ----N---- C:\WINDOWS\system32\spmsg.dll
2009-10-22 07:00:12 ----D---- C:\rsit
2009-10-21 14:28:05 ----D---- C:\Documents and Settings\abi\Application Data\Uniblue
2009-10-21 11:34:57 ----D---- C:\Documents and Settings\abi\Application Data\Participatory Culture Foundation
2009-10-21 11:32:05 ----D---- C:\Documents and Settings\abi\Application Data\Windows Search
2009-10-20 13:28:05 ----D---- C:\Documents and Settings\All Users\Application Data\SiteAdvisor
2009-10-20 13:27:28 ----D---- C:\Program Files\Fichiers communs\McAfee
2009-10-15 09:20:06 ----HDC---- C:\WINDOWS\$NtUninstallKB958869$
2009-10-15 09:15:26 ----HDC---- C:\WINDOWS\$NtUninstallKB969059$
2009-10-15 09:15:13 ----HDC---- C:\WINDOWS\$NtUninstallKB954155_WM9$
2009-10-15 09:14:54 ----HDC---- C:\WINDOWS\$NtUninstallKB974112$
2009-10-15 09:14:45 ----HDC---- C:\WINDOWS\$NtUninstallKB975025$
2009-10-15 09:14:31 ----HDC---- C:\WINDOWS\$NtUninstallKB974571$
2009-10-15 09:13:05 ----HDC---- C:\WINDOWS\$NtUninstallKB971486$
2009-10-15 09:12:56 ----HDC---- C:\WINDOWS\$NtUninstallKB973525$
2009-10-15 09:12:42 ----HDC---- C:\WINDOWS\$NtUninstallKB975467$
2009-10-14 11:35:56 ----D---- C:\Documents and Settings\All Users\Application Data\McAfee
2009-10-14 11:25:39 ----D---- C:\Documents and Settings\All Users\Application Data\Adobe
2009-10-14 11:25:19 ----D---- C:\Program Files\Fichiers communs\Adobe
2009-10-14 11:22:04 ----D---- C:\Documents and Settings\All Users\Application Data\McAfee Security Scan
2009-10-14 11:17:49 ----D---- C:\Documents and Settings\All Users\Application Data\NOS
2009-10-14 04:28:18 ----A---- C:\WINDOWS\system32\mucltui.dll.mui
2009-10-14 04:28:18 ----A---- C:\WINDOWS\system32\mucltui.dll
2009-10-13 14:46:25 ----HDC---- C:\WINDOWS\$NtUninstallKB963093$
2009-10-13 14:42:39 ----D---- C:\Program Files\Microsoft CAPICOM 2.1.0.2
2009-10-13 14:36:28 ----HDC---- C:\WINDOWS\$NtUninstallbasecsp$
2009-10-13 14:36:06 ----D---- C:\WINDOWS\system32\windowspowershell
2009-10-13 14:36:04 ----HDC---- C:\WINDOWS\$NtUninstallKB926140-v5$
2009-10-13 14:35:53 ----HDC---- C:\WINDOWS\$NtUninstallKB943729$
2009-10-13 14:35:15 ----D---- C:\Documents and Settings\abi\Application Data\Windows Desktop Search
2009-10-13 14:34:43 ----D---- C:\Program Files\Windows Desktop Search
2009-10-13 14:34:42 ----HD---- C:\WINDOWS\system32\GroupPolicy
2009-10-13 14:34:26 ----HDC---- C:\WINDOWS\$NtUninstallKB940157$
2009-10-13 14:34:17 ----HDC---- C:\WINDOWS\$NtUninstallKB915800-v4$
2009-10-13 14:31:50 ----D---- C:\WINDOWS\system32\URTTEMP
2009-10-10 08:27:19 ----A---- C:\WINDOWS\WORDPAD.INI
2009-10-08 09:32:55 ----SHD---- C:\WINDOWS\ftpcache
2009-09-27 19:47:24 ----D---- C:\Documents and Settings\abi\Application Data\GlarySoft
2009-09-27 19:43:26 ----D---- C:\Program Files\Glary Utilities
2009-09-23 15:25:58 ----A---- C:\TB.txt
2009-09-23 15:25:22 ----D---- C:\ToolBar SD
2009-09-23 14:38:47 ----D---- C:\GenProc
2009-08-26 21:00:20 ----HDC---- C:\WINDOWS\$NtUninstallKB970653-v3$
2009-08-20 21:01:23 ----HDC---- C:\WINDOWS\$NtUninstallKB929399$
2009-08-20 21:01:02 ----HDC---- C:\WINDOWS\$NtUninstallKB939683$
2009-08-20 21:00:21 ----HDC---- C:\WINDOWS\$NtUninstallKB954154_WM11$
2009-08-20 03:10:09 ----HDC---- C:\WINDOWS\$NtUninstallMSCompPackV1$
2009-08-20 03:09:50 ----D---- C:\Program Files\Windows Media Connect 2
2009-08-20 03:09:36 ----HDC---- C:\WINDOWS\$NtUninstallwmp11$
2009-08-20 03:08:23 ----HDC---- C:\WINDOWS\$NtUninstallWMFDist11$
2009-08-20 03:07:51 ----D---- C:\c0fc4e56ebb7b0abbd
2009-08-20 03:07:45 ----D---- C:\WINDOWS\system32\LogFiles
2009-08-20 03:07:39 ----HDC---- C:\WINDOWS\$NtUninstallWudf01000$
2009-08-20 03:07:01 ----D---- C:\950af8265d2f689a35dadd22b4a3

======List of files/folders modified in the last 3 months======

2009-11-14 22:30:12 ----D---- C:\Program Files\Mozilla Firefox
2009-11-14 22:28:30 ----D---- C:\Documents and Settings\abi\Application Data\Skype
2009-11-14 20:54:09 ----D---- C:\WINDOWS\Temp
2009-11-14 13:31:04 ----RD---- C:\Program Files
2009-11-14 12:28:38 ----D---- C:\WINDOWS
2009-11-13 16:35:16 ----D---- C:\WINDOWS\system32\drivers
2009-11-13 16:35:12 ----D---- C:\WINDOWS\system32
2009-11-13 15:36:52 ----D---- C:\WINDOWS\system32\CatRoot2
2009-11-13 13:07:19 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-11-13 12:45:46 ----SHD---- C:\WINDOWS\Installer
2009-11-13 12:32:31 ----SD---- C:\WINDOWS\Tasks
2009-11-12 11:07:34 ----D---- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2009-11-12 11:07:31 ----D---- C:\WINDOWS\Debug
2009-11-12 10:56:44 ----A---- C:\WINDOWS\wininit.ini
2009-11-12 10:36:21 ----D---- C:\Program Files\Spybot - Search & Destroy
2009-11-11 19:17:11 ----HD---- C:\WINDOWS\inf
2009-11-11 16:55:10 ----D---- C:\Documents and Settings\abi\Application Data\dvdcss
2009-11-11 08:57:09 ----D---- C:\WINDOWS\$hf_mig$
2009-11-10 22:14:31 ----D---- C:\Program Files\Windows Live
2009-11-10 22:13:37 ----RSD---- C:\WINDOWS\Fonts
2009-11-09 15:19:33 ----D---- C:\Documents and Settings\abi\Application Data\Azureus
2009-11-08 17:05:18 ----D---- C:\WINDOWS\Help
2009-11-08 16:24:54 ----D---- C:\WINDOWS\system32\config
2009-11-08 14:47:40 ----D---- C:\WINDOWS\security
2009-11-08 11:32:48 ----D---- C:\WINDOWS\system32\CatRoot
2009-11-08 11:23:29 ----DC---- C:\WINDOWS\system32\DRVSTORE
2009-11-08 10:18:31 ----D---- C:\WINDOWS\system32\wbem
2009-11-08 10:18:29 ----D---- C:\WINDOWS\Registration
2009-11-07 21:13:38 ----D---- C:\WINDOWS\Minidump
2009-11-07 19:12:50 ----D---- C:\WINDOWS\system32\fr-fr
2009-11-07 19:12:49 ----HD---- C:\Program Files\Internet Explorer
2009-11-07 19:12:49 ----D---- C:\WINDOWS\Media
2009-11-07 19:11:21 ----D---- C:\WINDOWS\ie8updates
2009-11-06 04:36:21 ----A---- C:\WINDOWS\system32\MRT.exe
2009-11-05 09:06:15 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2009-11-04 14:54:55 ----D---- C:\Program Files\Java
2009-10-28 18:51:40 ----D---- C:\WINDOWS\Prefetch
2009-10-23 12:26:30 ----HD---- C:\Program Files\Windows Media Player
2009-10-22 20:17:28 ----A---- C:\WINDOWS\system32\mshtml.dll
2009-10-22 06:04:01 ----D---- C:\Documents and Settings\abi\Application Data\OneSwarm
2009-10-20 13:27:28 ----HD---- C:\Program Files\Fichiers communs
2009-10-15 09:50:46 ----RSD---- C:\WINDOWS\assembly
2009-10-15 09:42:18 ----D---- C:\WINDOWS\Microsoft.NET
2009-10-15 09:26:37 ----D---- C:\WINDOWS\WinSxS
2009-10-14 11:38:32 ----D---- C:\Documents and Settings\abi\Application Data\Adobe
2009-10-14 11:25:19 ----HD---- C:\Program Files\Adobe
2009-10-13 14:39:09 ----SD---- C:\WINDOWS\Downloaded Program Files
2009-10-13 14:34:55 ----SD---- C:\Documents and Settings\All Users\Application Data\Microsoft
2009-10-13 14:33:04 ----D---- C:\WINDOWS\system32\mui
2009-10-12 17:09:45 ----D---- C:\Program Files\SuperCopier2
2009-10-11 04:17:27 ----A---- C:\WINDOWS\system32\deploytk.dll
2009-09-12 01:18:20 ----A---- C:\WINDOWS\system32\msv1_0.dll
2009-09-05 08:04:39 ----A---- C:\WINDOWS\system32\msasn1.dll
2009-08-29 18:56:53 ----A---- C:\WINDOWS\system32\wininet.dll
2009-08-29 18:56:53 ----A---- C:\WINDOWS\system32\urlmon.dll
2009-08-29 18:56:52 ----N---- C:\WINDOWS\system32\occache.dll
2009-08-29 18:56:49 ----A---- C:\WINDOWS\system32\msfeedsbs.dll
2009-08-29 18:56:48 ----N---- C:\WINDOWS\system32\jsproxy.dll
2009-08-29 18:56:48 ----A---- C:\WINDOWS\system32\msfeeds.dll
2009-08-29 18:56:47 ----A---- C:\WINDOWS\system32\iertutil.dll
2009-08-29 18:56:46 ----N---- C:\WINDOWS\system32\iepeers.dll
2009-08-29 18:56:45 ----A---- C:\WINDOWS\system32\ieframe.dll
2009-08-29 18:56:42 ----N---- C:\WINDOWS\system32\iedkcs32.dll
2009-08-28 21:36:46 ----N---- C:\WINDOWS\system32\ie4uinit.exe
2009-08-26 19:01:24 ----A---- C:\WINDOWS\system32\strmdll.dll
2009-08-24 19:24:45 ----SD---- C:\Documents and Settings\abi\Application Data\Microsoft
2009-08-20 03:09:57 ----A---- C:\WINDOWS\win.ini

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 Aavmker4;avast! Asynchronous Virus Monitor; C:\WINDOWS\system32\drivers\Aavmker4.sys [2009-09-15 27408]
R1 aswSP;avast! Self Protection; C:\WINDOWS\system32\drivers\aswSP.sys [2009-09-15 114768]
R1 aswTdi;avast! Network Shield Support; C:\WINDOWS\system32\drivers\aswTdi.sys [2009-09-15 52368]
R1 DMICall;Sony DMI Call service; C:\WINDOWS\system32\DRIVERS\DMICall.sys [2000-12-06 3952]
R1 intelppm;Pilote de processeur Intel; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-14 40576]
R2 aswFsBlk;aswFsBlk; C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2009-09-15 20560]
R2 aswMon2;avast! Standard Shield Support; C:\WINDOWS\system32\drivers\aswMon2.sys [2009-09-15 94160]
R2 mdmxsdk;mdmxsdk; C:\WINDOWS\system32\DRIVERS\mdmxsdk.sys [2005-10-06 12544]
R2 NwlnkIpx;Protocole de transport compatible NWLink IPX/SPX/NetBIOS; C:\WINDOWS\system32\DRIVERS\nwlnkipx.sys [2008-04-14 88320]
R2 NwlnkNb;NetBIOS NWLink; C:\WINDOWS\system32\DRIVERS\nwlnknb.sys [2001-09-28 63232]
R2 NwlnkSpx;Protocole NWLink SPX/SPXII; C:\WINDOWS\system32\DRIVERS\nwlnkspx.sys [2001-09-28 55936]
R2 tmcomm;tmcomm; \??\C:\WINDOWS\system32\drivers\tmcomm.sys []
R3 Arp1394;Protocole client ARP 1394; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2008-04-14 60800]
R3 aswRdr;aswRdr; C:\WINDOWS\system32\drivers\aswRdr.sys [2009-09-15 23152]
R3 CmBatt;Pilote pour Batterie à méthode de contrôle ACPI Microsoft; C:\WINDOWS\system32\DRIVERS\CmBatt.sys [2008-04-14 13952]
R3 E100B;Intel(R) PRO Network Connection Driver; C:\WINDOWS\system32\DRIVERS\e100b325.sys [2005-06-14 162816]
R3 HDAudBus;Pilote de bus Microsoft UAA pour High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-14 144384]
R3 HidUsb;Pilote de classe HID Microsoft; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-14 10368]
R3 HSF_DPV;HSF_DPV; C:\WINDOWS\system32\DRIVERS\HSF_DPV.sys [2005-10-19 998656]
R3 HSFHWAZL;HSFHWAZL; C:\WINDOWS\system32\DRIVERS\HSFHWAZL.sys [2005-10-19 202112]
R3 LVPr2Mon;Logitech LVPr2Mon Driver; C:\WINDOWS\system32\DRIVERS\LVPr2Mon.sys [2009-04-30 25624]
R3 mouhid;Pilote HID de souris; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-24 12288]
R3 NIC1394;Pilote réseau 1394; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2008-04-14 61824]
R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2005-11-30 3600736]
R3 SNC;Périphérique de contrôle d'ordinateur portable Sony; C:\WINDOWS\system32\DRIVERS\SonyNC.sys [2001-08-18 20752]
R3 STHDA;SigmaTel High Definition Audio CODEC; C:\WINDOWS\system32\drivers\sthda.sys [2005-11-18 1076472]
R3 ti21sony;ti21sony; C:\WINDOWS\system32\drivers\ti21sony.sys [2005-10-05 217472]
R3 usbehci;Pilote miniport de contrôleur d'hôte amélioré Microsoft USB 2.0; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-14 30208]
R3 usbhub;Concentrateur USB2; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-14 59520]
R3 usbuhci;Pilote miniport de contrôleur hôte universel USB Microsoft; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-14 20608]
R3 w39n51;Intel(R) PRO/Wireless 3945ABG Adapter Driver; C:\WINDOWS\system32\DRIVERS\w39n51.sys [2005-11-27 1427968]
R3 winachsf;winachsf; C:\WINDOWS\system32\DRIVERS\HSF_CNXT.sys [2005-10-19 721280]
S3 CCDECODE;Décodeur sous-titre fermé; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2008-04-14 17024]
S3 FilterService;UVC Filter Service; C:\WINDOWS\system32\DRIVERS\lvuvcflt.sys [2009-05-01 23832]
S3 LVRS;Logitech RightSound Filter Driver; C:\WINDOWS\system32\DRIVERS\lvrs.sys [2009-05-01 265496]
S3 LVUVC;Logitech QuickCam Pro 9000(UVC); C:\WINDOWS\system32\DRIVERS\lvuvc.sys [2009-05-01 6754712]
S3 MSTEE;Convertisseur en T/site-à-site de répartition Microsoft; C:\WINDOWS\system32\drivers\MSTEE.sys [2008-04-14 5504]
S3 NABTSFEC;Codec NABTS/FEC VBI; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2008-04-14 85248]
S3 NdisIP;Connection TV/vidéo Microsoft; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2008-04-14 10880]
S3 SLIP;Détrameur décalage BDA; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2008-04-14 11136]
S3 streamip;BDA IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2008-04-14 15232]
S3 usbaudio;Pilote USB audio (WDM); C:\WINDOWS\system32\drivers\usbaudio.sys [2008-04-13 60032]
S3 usbccgp;Pilote parent générique USB Microsoft; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128]
S3 usbprint;Classe d'imprimantes USB Microsoft; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-14 25856]
S3 usbscan;Pilote de scanneur USB; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-14 15104]
S3 USBSTOR;Pilote de stockage de masse USB; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-14 26368]
S3 usbvideo;Périphérique vidéo USB (WDM); C:\WINDOWS\System32\Drivers\usbvideo.sys [2008-04-14 121984]
S3 WSTCODEC;Codec Teletext standard; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2008-04-14 19200]
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-29 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-29 82944]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 aswUpdSv;avast! iAVS4 Control Service; C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe [2009-09-15 18752]
R2 avast! Antivirus;avast! Antivirus; C:\Program Files\Alwil Software\Avast4\ashServ.exe [2009-09-15 138680]
R2 JavaQuickStarterService;Java Quick Starter; C:\Program Files\Java\jre6\bin\jqs.exe [2009-10-11 153376]
R2 LVPrcSrv;Process Monitor; C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe [2009-04-30 154136]
R2 lxdi_device;lxdi_device; C:\WINDOWS\system32\lxdicoms.exe [2007-04-27 517040]
R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2005-11-30 143437]
R2 VAIO Event Service;VAIO Event Service; C:\Program Files\Sony\VAIO Event Service\VESMgr.exe [2005-05-21 153600]
R2 WSearch;Windows Search; C:\WINDOWS\system32\SearchIndexer.exe [2008-05-26 439808]
R3 avast! Mail Scanner;avast! Mail Scanner; C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe [2009-09-15 254040]
R3 avast! Web Scanner;avast! Web Scanner; C:\Program Files\Alwil Software\Avast4\ashWebSv.exe [2009-09-15 352920]
S2 0062391257658504mcinstcleanup;McAfee Application Installer Cleanup (0062391257658504); C:\DOCUME~1\abi\LOCALS~1\Temp\006239~1.EXE C:\PROGRA~1\FICHIE~1\McAfee\INSTAL~1\cleanup.ini -cleanup -nolog -service []
S2 lxdiCATSCustConnectService;lxdiCATSCustConnectService; C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\\lxdiserv.exe [2007-04-27 99248]
S3 aspnet_state;Service d'état ASP.NET; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-30 46104]
S3 idsvc;Windows CardSpace; c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-30 881664]
S3 WMPNetworkSvc;Service Partage réseau du Lecteur Windows Media; C:\Program Files\Windows Media Player\WMPNetwk.exe [2006-11-03 918016]
S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-30 132096]

-----------------EOF-----------------
totofnc
Libellulien Junior
Libellulien Junior
 
Messages: 126
Inscription: 09 Nov 2009 06:30

Re: XP pro infecter par fichier C:\rundll.exe C:\rundll32.exe

Messagepar totofnc » 14 Nov 2009 12:44

Salut à tous,

Voilà enfin envoyé le premier rapport, je tente l'envoie du rapport de malwarebyte's.....
totofnc
Libellulien Junior
Libellulien Junior
 
Messages: 126
Inscription: 09 Nov 2009 06:30

Re: XP pro infecter par fichier C:\rundll.exe C:\rundll32.exe

Messagepar totofnc » 14 Nov 2009 12:50

donc la suite:Malwarebytes' Anti-Malware 1.41
Version de la base de données: 3113
Windows 5.1.2600 Service Pack 3

07/11/2009 20:34:57
mbam-log-2009-11-07 trojan et back door

Type de recherche: Examen complet (C:\|)
Eléments examinés: 153605
Temps écoulé: 43 minute(s), 42 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\rundll.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\rundll32.exe (Backdoor.Bot) -> No action taken.



Oufffff!!! je suis une bête.....Lol, merci de me donner suite à mon problème, s'il en est, merci encore aux conseils de Nardino et Falkra, @+,

Totofnc.
totofnc
Libellulien Junior
Libellulien Junior
 
Messages: 126
Inscription: 09 Nov 2009 06:30

Re: XP pro infecter par fichier C:\rundll.exe C:\rundll32.exe

Messagepar nardino » 14 Nov 2009 17:26

Bonsoir.
AS-tu bien supprimé la sélection à la fin du scan Mlawarebytes ?
Sinon tu refais le scan et tu supprimes.
Poste le nouveau rapport après suppression.

Tu lances Hijackthis par Do a system scan only et tu coches cette ligne :
O4 - HKUS\.DEFAULT\..\RunOnce: [SpybotDeletingB3371] command.com /c del "C:\WINDOWS\SchedLgU.Txt" (User 'Default user')
Puis tu cliques sur Fix checked et tu refermes l'outil.
@+
Image
Avatar de l’utilisateur
nardino
Super Libellulien
Super Libellulien
 
Messages: 1103
Inscription: 03 Avr 2009 22:02

Re: XP pro infecter par fichier C:\rundll.exe C:\rundll32.exe

Messagepar totofnc » 15 Nov 2009 00:04

Salut à tous,

Je suis content de pouvoir vous dire à tous et à toutes que mon soucis est "résolu".

Tout est rentré dans l'ordre, malwarebyte's à supprimé et mis en quarantaine les deux infections.

Merci et super merci à Nardino et Falkra pour leur aide et support lors de cette "opération informatique".

Il ne me reste plus qu'à savoir comment rendre ce cas dans la catégorie des sujets résolus.....


Merci encore à ce forum très efficace.

Totofnc.
totofnc
Libellulien Junior
Libellulien Junior
 
Messages: 126
Inscription: 09 Nov 2009 06:30

Re: XP pro infecter par fichier C:\rundll.exe C:\rundll32.exe

Messagepar Falkra » 15 Nov 2009 00:09

Merci et super merci à Nardino et Falkra pour leur aide et support lors de cette "opération informatique".
A Nardino, pas à moi, c'est lui qui a piloté les opérations sur ta machine, et il fait ça bien ! :supers:
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: XP pro infecter par fichier C:\rundll.exe C:\rundll32.exe

Messagepar totofnc » 15 Nov 2009 05:57

Re salut,

ben je me suis fait une fausse joie, je suis revenue à me dire: "tient et si je refaisais un scan avec malwarebyte's pour voir si...." et bien je ne me suis trompé, ils sont de retour et belle et bien là les "coquins" de fichiers infectés
En guise de suppression ils ne sont pas en quarantaine dans malwarebyte's, même après redémarrage, mais bien de retour si je relance le scan.

Donc pour tout ceux qui m'ont lu......faite gaffe si ça vous arrive, je suis dans un sacré "caca".

je ne sais quoi dire si ce n'est.....A L'AIDE de toute urgence!!!!!!!!

Totofnc
totofnc
Libellulien Junior
Libellulien Junior
 
Messages: 126
Inscription: 09 Nov 2009 06:30

Re: XP pro infecter par fichier C:\rundll.exe C:\rundll32.exe

Messagepar nardino » 15 Nov 2009 10:52

Bonjour
Peux-tu m'expliquer comment tu procèdes avec Malwarebytes ?
Quel est ton antivirus en titre ?
@+
Image
Avatar de l’utilisateur
nardino
Super Libellulien
Super Libellulien
 
Messages: 1103
Inscription: 03 Avr 2009 22:02

Re: XP pro infecter par fichier C:\rundll.exe C:\rundll32.exe

Messagepar totofnc » 15 Nov 2009 12:03

Hello,

Donc pour ce qui est de l'antivirus, c'est Avast pro, je n'ai pas de "bon" pare feu c'est celui de windows XP Pro, donc à mon sens peu fiable.

Pour ce qui est de malwarebyte's, c'est la version gratuite qui auparavant marchait à merveille. j'ai aussi, comme tu as pu le voir dans le rapport, spybot, glary utilities et Ccleaner.

Je dois te dire que j'ai aussi fais du peer2peer avec l'ordi.

Je ne doute pas que de faire du téléchargement a pu me mettre en mauvaise position et voir même permettre l'infection de s'installer.

J'ai aussi du il y a de cela quelques temps aller chercher sur le net, suite à une impossibilité de lancer malwarebyte's, une procédure suite à un message qui disait (MSVBVM60.DLL manquante) trouvée ici: http://www.dll-files.com/dllindex/dll-f ... l?msvbvm60.

Je l'ai mise dans C:\Windows\System32

De faite malwarebyte's est reparti comme si de rien n'était, donc je pensais que tout irait bien ensuite, mais voilà depuis les scan de malwarebyte's découvrent ce pourquoi je suis ennuyé, ces fameux fichiers infectés.

Je souhaite que tout ça ne soit pas trop confus comme explications.

merci pour la suite,

Totofnc
totofnc
Libellulien Junior
Libellulien Junior
 
Messages: 126
Inscription: 09 Nov 2009 06:30

Re: XP pro infecter par fichier C:\rundll.exe C:\rundll32.exe

Messagepar nardino » 15 Nov 2009 12:37

Bonjour.
Merci pour ces informations.
Pour le P2P je vais me permettre de te donner un peu de lecture:
les-risques-securitaires-du-peer-to-peer-en-10-points-t28947.html
http://www.speedweb1.org/forum-tesgaz/v ... php?t=1793
http://forum.zebulon.fr/index.php?showtopic=85544

Pour Malwarebytes, tu vas télécharger un nouvel "installeur" ici :
http://www.malwarebytes.org/mbam.php
Tu désinstalles ta version par Ajout/Suppression des programmes.
Tu redémarres et tu installes et mets à jour la nouvelle version.
Tu lances le scan et surtout tu supprimes bien tout ce qu'il a trouvé.
Tu postes le rapport après suppression.

Tu vas compléter avec un scan antivirus .
:arrow: Télécharge Antivir Free d'Avira
http://dl1.avgate.net/down/windows/anti ... u_fr_h.exe

:arrow: Désactive ton antivirus.
Clique sur fichier antivir_workstation_winu_fr_h.exe pour l'installer.
Mets-le à jour.
Dans Configuration, coche Mode Expert en haut à gauche.
Clique sur Scanner, sur Recherche et sur Actions en cas de résultat positif.
Dans la partie droite coche Automatique et Copier le fichier dans la quarantaine avant l'action.
Dans Action principale avec le menu par la flèche choisis réparer
Dans Action secondaire renommer.
Tu valides tout ces choix par OK.

:!: Ce programme va cohabiter, le temps de la procédure suivante, avec l'antivirus en titre.

Tu cliques sur l'icône du bureau pour le lancer ou sur celle près de l'horloge.
A gauche dans Aperçu > Etat, tu cliques sur Contrôler syst.maintenant.
L'analyse peut durée une heure ou plus selon la taille de tes données.
Quand la barre de progression sera à 100% tu cliques sur Rapport.
Tu fais un copier-coller de la totalité dans ta réponse puis tu le fermes et tu cliques sur Arrêter.
Tu le retrouveras dans Aperçu > Rapports > Recherche avec la date correspondante.
Double-clique dessus et ensuite sur Rapport pour l'ouvrir.

@+
Image
Avatar de l’utilisateur
nardino
Super Libellulien
Super Libellulien
 
Messages: 1103
Inscription: 03 Avr 2009 22:02

Re: XP pro infecter par fichier C:\rundll.exe C:\rundll32.exe

Messagepar totofnc » 21 Nov 2009 08:02

Salut Nardino,


j'ai suivi les instructions comme tu me l'avais demandé, rien de symbolique dans le rapport avira, mais par contre si je relance le scan avec malwarebyte's et bien les deux fichiers sont encore de retour.

je reste à l'écoute pour une autre possibilité de comprendre ce qu'il se passe réèlement et comment réparer ce gros soucis.

Merci pour la suite.
Totof nc
totofnc
Libellulien Junior
Libellulien Junior
 
Messages: 126
Inscription: 09 Nov 2009 06:30

Re: XP pro infecter par fichier C:\rundll.exe C:\rundll32.exe

Messagepar nardino » 22 Nov 2009 18:56

Bonsoir.
Peux-tu poster les deux rapports, Ativir et Malwarebytes ?
@+
Image
Avatar de l’utilisateur
nardino
Super Libellulien
Super Libellulien
 
Messages: 1103
Inscription: 03 Avr 2009 22:02

Re: XP pro infecter par fichier C:\rundll.exe C:\rundll32.exe

Messagepar totofnc » 28 Nov 2009 03:43

Salut Nardino, voici les rapports:

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 3212
Windows 5.1.2600 Service Pack 3

22/11/2009 17:03:27
mbam-log-2009-11-22 (17-03-27).txt

Type de recherche: Examen rapide
Eléments examinés: 105539
Temps écoulé: 8 minute(s), 16 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\rundll.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\rundll32.exe (Backdoor.Bot) -> Quarantined and deleted successfully.




et lautre:




Avira AntiVir Personal
Date de création du fichier de rapport : samedi 21 novembre 2009 17:19

La recherche porte sur 1382322 souches de virus.

Détenteur de la licence :Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows XP
Version de Windows :(Service Pack 3) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur :COMPUTER

Informations de version :
BUILD.DAT : 8.2.0.62 17752 Bytes 23/10/2009 13:16:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 17/11/2008 22:21:00
AVSCAN.DLL : 8.1.4.1 49921 Bytes 21/07/2008 03:44:27
LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 02:44:16
LUKERES.DLL : 8.1.4.0 13057 Bytes 03/07/2008 21:30:27
ANTIVIR0.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 06:07:41
ANTIVIR1.VDF : 7.10.1.11 1395568 Bytes 19/11/2009 06:07:48
ANTIVIR2.VDF : 7.10.1.29 37280 Bytes 19/11/2009 06:07:51
ANTIVIR3.VDF : 7.10.1.43 70144 Bytes 20/11/2009 06:07:59
Version du moteur: 8.2.1.72
AEVDF.DLL : 8.1.1.2 106867 Bytes 21/11/2009 06:09:22
AESCRIPT.DLL : 8.1.2.45 586108 Bytes 21/11/2009 06:09:19
AESCN.DLL : 8.1.2.5 127346 Bytes 21/11/2009 06:09:13
AESBX.DLL : 8.1.1.1 246132 Bytes 21/11/2009 06:09:11
AERDL.DLL : 8.1.3.2 479604 Bytes 21/11/2009 06:09:08
AEPACK.DLL : 8.2.0.3 422261 Bytes 21/11/2009 06:09:01
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 21/11/2009 06:08:49
AEHEUR.DLL : 8.1.0.180 2093432 Bytes 21/11/2009 06:08:22
AEHELP.DLL : 8.1.7.4 237943 Bytes 21/11/2009 06:08:18
AEGEN.DLL : 8.1.1.75 364918 Bytes 21/11/2009 06:08:14
AEEMU.DLL : 8.1.1.0 393587 Bytes 21/11/2009 06:08:08
AECORE.DLL : 8.1.8.2 184694 Bytes 21/11/2009 06:08:04
AEBB.DLL : 8.1.0.3 53618 Bytes 14/10/2008 00:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 08/07/2008 22:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 15/05/2008 23:27:58
AVREP.DLL : 8.0.0.3 155688 Bytes 21/11/2009 06:08:01
AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 01:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 11/02/2008 22:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 02:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 07:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 02:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 02:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 03/07/2008 21:23:16
RCTEXT.DLL : 8.0.52.1 86273 Bytes 17/07/2008 00:08:43

Configuration pour la recherche actuelle :
Nom de la tâche..................: Contrôle intégral du système
Fichier de configuration.........: c:\program files\avira\antivir personaledition classic\sysscan.avp
Documentation....................: bas
Action principale................: réparer
Action secondaire................: renommer
Recherche sur les secteurs d'amorçage maître: marche
Recherche sur les secteurs d'amorçage: marche
Secteurs d'amorçage..............: C:,
Recherche dans les programmes actifs: marche
Recherche en cours sur l'enregistrement: marche
Recherche de Rootkits............: marche
Fichier mode de recherche........: Sélection de fichiers intelligente
Recherche sur les archives.......: marche
Limiter la profondeur de récursivité: 20
Archive Smart Extensions.........: marche
Heuristique de macrovirus........: marche
Heuristique fichier..............: moyen

Début de la recherche : samedi 21 novembre 2009 17:19

La recherche d'objets cachés commence.
'51942' objets ont été contrôlés, '0' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmiapsrv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wlcomm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'searchindexer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'VESMgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'nvsvc32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lxdicoms.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LVPrcSrv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'COCIManager.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WindowsSearch.exe' - '1' module(s) sont contrôlés
Processus de recherche 'msmsgs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Skype.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'msnmsgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ashDisp.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LWS.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lxdiamon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lxdimon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ISBMgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'VAIOUpdt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SPMgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ashServ.exe' - '1' module(s) sont contrôlés
Processus de recherche 'aswUpdSv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'45' processus ont été contrôlés avec '45' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD1
[INFO] Aucun virus trouvé !
[AVERTISSEMENT] Erreur système [21]: Le périphérique n'est pas prêt.
Secteur d'amorçage maître HD2
[INFO] Aucun virus trouvé !
[AVERTISSEMENT] Erreur système [21]: Le périphérique n'est pas prêt.

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence.
Le registre a été contrôlé ( '54' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !


Fin de la recherche : samedi 21 novembre 2009 17:54
Temps nécessaire: 34:44 Minute(s)

La recherche a été effectuée intégralement

5109 Les répertoires ont été contrôlés
197719 Des fichiers ont été contrôlés
0 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
0 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
1 Impossible de contrôler des fichiers
197718 Fichiers non infectés
1684 Les archives ont été contrôlées
3 Avertissements
0 Consignes
51942 Des objets ont été contrôlés lors du Rootkitscan
0 Des objets cachés ont été trouvés

Bon comme tu l'as constaté sur le rapport malwarebyte's tout semble ok mais au redémarage si je relance un scan ben ils sont belle et bien là comme si de rin n'était, donc retour à la case départ et si tu as la solution je suis tout ouille

on m'a aussi conseillé de faire un formatage de mon ordi mais je n'ai pas de disque d'installe et pas les connaissances pour le faire seul, je suis navré de t'ennuyé avec ça mais je souhaite vraiment passer le cap rapidement avec ces cochoneries, merci pour ton annalyse,

cordialement,
Totofnc.

Ps: en regardant l'aperçu je remarque un émoticone que je n'ai pas mis dans le rapport avira, je suis surpris incroyable!!!!!!
totofnc
Libellulien Junior
Libellulien Junior
 
Messages: 126
Inscription: 09 Nov 2009 06:30

Re: XP pro infecter par fichier C:\rundll.exe C:\rundll32.exe

Messagepar nardino » 28 Nov 2009 13:57

Bonjour.

Télécharge Combofix
IMPORTANT. Enregistre ComboFix.exe sur le Bureau.
Désactive les applications antivirus et anti-malware, en général via un clic droit sur l'icône de la Zone de notification.
Sinon, elles risquent d'interférer avec l'outil.

Fais un double clic sur l'icône et suis les invites.

Image
Lors de son exécution, ComboFix va vérifier si la Console de récupération Microsoft Windows est installée.
Avec des infections comme celles d'aujourd'hui, il est fortement conseillé de l'avoir pré-installée sur votre PC avant toute suppression de nuisibles.
Elle permettra de démarrer dans un mode spécial, de récupération (réparation), qui nous permet de vous aider plus facilement si jamais votre ordinateur rencontre un problème après une tentative de nettoyage.

Suis les invites pour permettre à ComboFix de télécharger et installer la Console de récupération Microsoft Windows, et lorsque cela est demandé, accepte le Contrat de Licence Utilisateur Final pour l'installer.

Note importante :
Si la Console de récupération Microsoft Windows est déjà installée, ComboFix continuera ses procédures de suppression de nuisibles.

Image

Une fois que la Console de récupération Microsoft Windows est installée via ComboFix, le message suivant apparaitra :

Image

Clique sur Oui/Yes, pour poursuivre avec la recherche de nuisibles.

Lorsque l'outil aura terminé, il affichera un rapport.
Copie le contenu dans ta prochaine réponse.
Il sera enregistré sous C:\Combofix.txt
@+
Image
Avatar de l’utilisateur
nardino
Super Libellulien
Super Libellulien
 
Messages: 1103
Inscription: 03 Avr 2009 22:02

Re: XP pro infecter par fichier C:\rundll.exe C:\rundll32.exe

Messagepar totofnc » 29 Nov 2009 02:22

salut Nardino, voici le rapport:
ComboFix 09-11-28.03 - abi 29/11/2009 11:58.1.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1022.528 [GMT 11:00]
Lancé depuis: c:\documents and settings\abi\Bureau\ComboFix.exe
AV: avast! antivirus 4.8.1356 [VPS 091128-2] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\abi\Bureau\selection moi\_desktop.ini
c:\documents and settings\abi\Bureau\selection moi\Joanna krupa\_desktop.ini
c:\documents and settings\abi\Mes documents\Ma musique\zik\Gigi D'Agostino\_desktop.ini
c:\documents and settings\abi\Mes documents\Ma musique\zik\Gigi D'Agostino\L'amour toujours CD1\_desktop.ini
c:\documents and settings\abi\Mes documents\Ma musique\zik\Gigi D'Agostino\L'amour toujours CD2\_desktop.ini
c:\windows\TEMP\logishrd\LVPrcInj01.dll

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-10-28 au 2009-11-29 ))))))))))))))))))))))))))))))))))))
.

2009-11-28 05:00 . 2009-11-28 05:02 -------- d-----w- c:\program files\Spybot - Search & Destroy
2009-11-27 08:24 . 2009-11-27 08:24 -------- d-----w- c:\program files\Recuva
2009-11-22 06:25 . 2009-11-22 06:25 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Application Data\Mozilla
2009-11-22 06:15 . 2009-09-15 10:54 52368 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2009-11-22 06:15 . 2009-09-15 10:54 23152 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2009-11-22 06:15 . 2009-09-15 10:53 27408 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2009-11-22 06:15 . 2009-09-15 10:55 114768 ----a-w- c:\windows\system32\drivers\aswSP.sys
2009-11-22 06:15 . 2009-09-15 10:55 20560 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2009-11-22 06:15 . 2009-09-15 10:53 97480 ----a-w- c:\windows\system32\AvastSS.scr
2009-11-22 06:15 . 2009-09-15 10:56 93424 ----a-w- c:\windows\system32\drivers\aswmon.sys
2009-11-22 06:15 . 2009-09-15 10:56 94160 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2009-11-22 06:15 . 2009-09-15 10:59 1279968 ----a-w- c:\windows\system32\aswBoot.exe
2009-11-22 05:43 . 2009-11-22 05:43 33792 -c--a-w- c:\windows\system32\dllcache\rundll32.exe
2009-11-22 05:43 . 2009-11-22 05:43 33792 ----a-w- c:\windows\system32\rundll32.exe
2009-11-22 02:32 . 2009-11-22 02:32 -------- d-----w- c:\program files\JRE
2009-11-22 02:31 . 2009-11-22 02:32 -------- d-----w- c:\program files\OpenOffice.org 3
2009-11-22 01:53 . 2009-11-22 01:53 -------- d-sh--w- c:\documents and settings\abi\IECompatCache
2009-11-22 00:15 . 2009-11-22 00:15 68552 ----a-w- c:\windows\system32\drivers\GRD.sys
2009-11-21 23:15 . 2009-11-21 23:15 50632 ----a-w- c:\windows\system32\drivers\MiniIcpt.sys
2009-11-21 23:13 . 2009-11-21 23:13 51016 ----a-w- c:\windows\system32\drivers\GDTdiIcpt.sys
2009-11-21 23:13 . 2009-11-21 23:13 22272 ----a-w- c:\windows\system32\drivers\GDNdisIc.sys
2009-11-21 23:12 . 2009-11-22 06:10 -------- d-----w- c:\program files\Fichiers communs\G DATA
2009-11-21 23:12 . 2009-11-22 06:09 -------- d-----w- c:\documents and settings\All Users\Application Data\G DATA
2009-11-21 23:02 . 2009-11-21 23:02 -------- d-----w- c:\documents and settings\abi\Local Settings\Application Data\Downloaded Installations
2009-11-21 09:13 . 2009-11-21 09:13 -------- d-----w- c:\documents and settings\LocalService\Application Data\McAfee
2009-11-21 05:51 . 2009-09-10 03:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-11-21 05:51 . 2009-11-21 05:51 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-11-21 05:51 . 2009-09-10 03:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-11-15 05:34 . 2009-11-27 09:44 -------- d-----w- c:\documents and settings\abi\Application Data\TeraCopy
2009-11-15 05:34 . 2009-11-15 05:34 -------- d-----w- c:\program files\TeraCopy
2009-11-15 01:18 . 2009-11-15 02:04 -------- d-----w- c:\documents and settings\abi\Application Data\Comodo
2009-11-14 02:31 . 2009-11-14 22:30 -------- d-----w- c:\program files\trend micro
2009-11-13 05:34 . 2009-11-13 05:34 -------- d-----w- c:\program files\Alwil Software
2009-11-10 11:13 . 2009-11-10 11:13 -------- d-----w- c:\program files\Microsoft
2009-11-09 04:40 . 2009-11-09 04:40 -------- d--h--w- c:\windows\PIF
2009-11-08 04:44 . 2003-03-18 21:20 1060864 ----a-w- c:\windows\system32\MFC71.dll
2009-11-08 00:35 . 2009-11-08 00:35 -------- d-----w- c:\documents and settings\LocalService\Bureau
2009-11-08 00:23 . 2009-11-08 00:23 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache
2009-11-08 00:23 . 2009-11-08 00:23 93360 ----a-w- c:\windows\system32\drivers\SBREDrv.sys
2009-11-08 00:13 . 2009-11-08 04:30 -------- d-----w- c:\documents and settings\All Users\Application Data\Lavasoft
2009-11-07 23:18 . 2009-11-07 23:18 -------- d-----w- c:\windows\system32\wbem\Repository
2009-11-07 08:11 . 2009-11-07 08:11 -------- d--h--w- c:\windows\msdownld.tmp
2009-11-07 08:07 . 2009-11-07 08:09 -------- dc-h--w- c:\windows\ie8
2009-11-07 07:51 . 2009-11-08 05:16 -------- d-----w- c:\program files\Microsoft Silverlight
2009-11-07 02:42 . 2004-02-22 14:00 1386496 ----a-w- c:\windows\system32\MSVBVM60.DLL
2009-11-06 09:48 . 2009-11-28 13:19 -------- d-----w- c:\documents and settings\abi\Application Data\vlc
2009-11-05 08:47 . 2009-11-05 08:50 -------- d-----w- c:\documents and settings\abi\Application Data\Media Player Classic
2009-11-04 03:53 . 2009-11-04 03:53 152576 ----a-w- c:\documents and settings\abi\Application Data\Sun\Java\jre1.6.0_17\lzma.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-11-29 01:10 . 2009-07-09 15:10 -------- d-----w- c:\documents and settings\abi\Application Data\Skype
2009-11-28 05:26 . 2009-08-05 12:50 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-11-27 09:37 . 2009-07-20 11:08 1 ----a-w- c:\documents and settings\abi\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2009-11-22 07:30 . 2009-07-11 19:33 -------- d-----w- c:\documents and settings\abi\Application Data\dvdcss
2009-11-22 05:51 . 2009-07-09 14:13 18424 ----a-w- c:\documents and settings\abi\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-11-22 02:30 . 2009-07-19 15:30 -------- d-----w- c:\program files\Java
2009-11-21 11:18 . 2009-10-14 00:35 -------- d-----w- c:\documents and settings\All Users\Application Data\McAfee
2009-11-21 08:25 . 2009-07-09 15:09 -------- d-----r- c:\program files\Skype
2009-11-21 01:37 . 2009-10-22 02:04 0 ----a-w- c:\windows\system32\drivers\lvuvc.hs
2009-11-21 01:37 . 2009-11-04 09:23 0 ----a-w- c:\windows\system32\drivers\logiflt.iad
2009-11-13 03:55 . 2009-08-19 16:09 -------- d-----w- c:\program files\Windows Media Connect 2
2009-11-10 11:14 . 2009-07-09 15:06 -------- d-----w- c:\program files\Windows Live
2009-11-09 04:19 . 2009-07-19 15:47 -------- d-----w- c:\documents and settings\abi\Application Data\Azureus
2009-11-08 04:26 . 2009-10-20 02:28 -------- d-----w- c:\documents and settings\LocalService\Application Data\SACore
2009-11-07 08:02 . 2009-09-27 08:43 -------- d-----w- c:\program files\Glary Utilities
2009-11-04 22:06 . 2001-09-28 12:00 94424 ----a-w- c:\windows\system32\perfc00C.dat
2009-11-04 22:06 . 2001-09-28 12:00 533410 ----a-w- c:\windows\system32\perfh00C.dat
2009-10-21 19:04 . 2009-08-12 02:13 -------- d-----w- c:\documents and settings\abi\Application Data\OneSwarm
2009-10-21 03:28 . 2009-10-21 03:28 -------- d-----w- c:\documents and settings\abi\Application Data\Uniblue
2009-10-21 00:34 . 2009-10-21 00:34 -------- d-----w- c:\documents and settings\abi\Application Data\Participatory Culture Foundation
2009-10-21 00:32 . 2009-10-21 00:32 -------- d-----w- c:\documents and settings\abi\Application Data\Windows Search
2009-10-20 02:28 . 2009-10-20 02:28 -------- d-----w- c:\windows\system32\config\systemprofile\Application Data\SACore
2009-10-20 02:28 . 2009-10-20 02:28 -------- d-----w- c:\documents and settings\All Users\Application Data\SiteAdvisor
2009-10-20 01:57 . 2009-10-20 01:57 152576 ----a-w- c:\documents and settings\abi\Application Data\Sun\Java\jre1.6.0_16\lzma.dll
2009-10-14 00:34 . 2009-10-14 00:17 -------- d-----w- c:\documents and settings\All Users\Application Data\NOS
2009-10-14 00:25 . 2009-10-14 00:25 -------- d-----w- c:\program files\Fichiers communs\Adobe
2009-10-14 00:22 . 2009-10-14 00:22 -------- d-----w- c:\documents and settings\All Users\Application Data\McAfee Security Scan
2009-10-13 03:46 . 2009-10-13 03:34 -------- d-----w- c:\program files\Windows Desktop Search
2009-10-13 03:45 . 2009-10-13 03:45 126 ----a-w- c:\documents and settings\abi\Local Settings\Application Data\fusioncache.dat
2009-10-13 03:42 . 2009-10-13 03:42 -------- d-----w- c:\program files\Microsoft CAPICOM 2.1.0.2
2009-10-13 03:35 . 2009-10-13 03:35 -------- d-----w- c:\documents and settings\abi\Application Data\Windows Desktop Search
2009-10-10 17:17 . 2009-07-19 15:30 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-09-24 18:16 . 2009-08-09 00:55 102664 ----a-w- c:\windows\system32\drivers\tmcomm.sys
2009-09-11 14:18 . 2004-08-19 15:09 136192 ----a-w- c:\windows\system32\msv1_0.dll
2009-09-04 21:04 . 2004-08-19 15:09 58880 ----a-w- c:\windows\system32\msasn1.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2009-10-09 25623336]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-11-29 7335936]
"SonyPowerCfg"="c:\program files\Sony\VAIO Power Management\SPMgr.exe" [2005-11-28 217088]
"VAIO Update 2"="c:\program files\Sony\VAIO Update 2\VAIOUpdt.exe" [2005-10-11 151552]
"ISBMgr.exe"="c:\program files\Sony\ISB Utility\ISBMgr.exe" [2004-02-20 32768]
"VAIOCameraUtility"="c:\program files\Sony\VAIO Camera Utility\VCUServe.exe" [2005-12-01 69632]
"Switcher.exe"="c:\program files\Sony\Wireless Switch Setting Utility\Switcher.exe" [2005-11-24 167936]
"lxdimon.exe"="c:\program files\Lexmark 3500-4500 Series\lxdimon.exe" [2007-05-07 435120]
"lxdiamon"="c:\program files\Lexmark 3500-4500 Series\lxdiamon.exe" [2007-03-05 20480]
"FaxCenterServer"="c:\program files\Lexmark Fax Solutions\fm3032.exe" [2007-05-07 312240]
"LogitechQuickCamRibbon"="c:\program files\Logitech\Logitech WebCam Software\LWS.exe" [2009-05-07 2780432]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-02 35696]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-10 149280]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-09-15 81000]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Windows Search.lnk - c:\program files\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\VESWinlogon]
2005-05-20 15:42 73728 ----a-w- c:\windows\system32\VESWinlogon.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\lxdicoms.exe"=
"c:\\Program Files\\Lexmark 3500-4500 Series\\lxdimon.exe"=
"c:\\WINDOWS\\system32\\lxdicfg.exe"=
"c:\\Program Files\\Lexmark 3500-4500 Series\\Wireless\\lxdiwpss.exe"=
"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdipswx.exe"=
"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxdijswx.exe"=
"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxditime.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Lexmark 3500-4500 Series\\lxdiamon.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Lexmark 3500-4500 Series\\App4R.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [22/11/2009 17:15 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [22/11/2009 17:15 20560]
R2 lxdi_device;lxdi_device;c:\windows\system32\lxdicoms.exe -service --> c:\windows\system32\lxdicoms.exe -service [?]
R3 ti21sony;ti21sony;c:\windows\system32\drivers\ti21sony.sys [09/07/2009 01:29 217472]
S2 lxdiCATSCustConnectService;lxdiCATSCustConnectService;c:\windows\system32\spool\drivers\w32x86\3\lxdiserv.exe [10/07/2009 02:36 99248]
S2 McAfee SiteAdvisor Service;McAfee SiteAdvisor Service;c:\progra~1\mcafee\SITEAD~1\mcsacore.exe --> c:\progra~1\mcafee\SITEAD~1\mcsacore.exe [?]
S3 PSI;PSI;c:\windows\system32\drivers\psi_mf.sys [17/06/2009 23:20 12648]
.
Contenu du dossier 'Tâches planifiées'

2009-11-29 c:\windows\Tasks\GlaryInitialize.job
- c:\program files\Glary Utilities\initialize.exe [2009-09-27 23:21]
.
.
------- Examen supplémentaire -------
.
mWindow Title =
uSearchURL,(Default) = hxxp://fr.search.yahoo.com/search?fr=mcafee&p=%s
FF - ProfilePath - c:\documents and settings\abi\Application Data\Mozilla\Firefox\Profiles\puwzoc37.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl3.rsa_seed_sha", true);
.
- - - - ORPHELINS SUPPRIMES - - - -

AddRemove-NVIDIA Drivers - c:\windows\system32\nvudisp.exe UninstallGUI



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-11-29 12:07
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(872)
c:\windows\system32\VESWinlogon.dll

- - - - - - - > 'explorer.exe'(2608)
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\lxdicoms.exe
c:\windows\system32\nvsvc32.exe
c:\program files\Sony\VAIO Event Service\VESMgr.exe
c:\windows\system32\SearchIndexer.exe
c:\program files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe
c:\program files\Alwil Software\Avast4\ashMaiSv.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Heure de fin: 2009-11-29 12:14 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-11-29 01:14

Avant-CF: 77 994 250 240 octets libres
Après-CF: 77 955 555 328 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

- - End Of File - - E5A63F1B42B559BC77ED4132589D4C2D




J'attends ta nouvelle analyse avant de faire quoique ce soit, merci encore.

Totofnc.
totofnc
Libellulien Junior
Libellulien Junior
 
Messages: 126
Inscription: 09 Nov 2009 06:30

Re: XP pro infecter par fichier C:\rundll.exe C:\rundll32.exe

Messagepar totofnc » 29 Nov 2009 02:47

je te joint aussi le nouveau rapport de malware quelques minutes après le scan de combofix:

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 3253
Windows 5.1.2600 Service Pack 3

29/11/2009 12:37:36
mbam-log-2009-11-29 (12-37-36).txt

Type de recherche: Examen rapide
Eléments examinés: 106474
Temps écoulé: 5 minute(s), 18 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\rundll.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\rundll32.exe (Backdoor.Bot) -> Quarantined and deleted successfully.


je te rassure, la mise en quarantaine est nul et non actuelle, il n'y a rien en quarantaine et encore moins supprimé de l'ordi, donc pas de changement notable aujourd'hui.

Totofnc.
totofnc
Libellulien Junior
Libellulien Junior
 
Messages: 126
Inscription: 09 Nov 2009 06:30

Re: XP pro infecter par fichier C:\rundll.exe C:\rundll32.exe

Messagepar nardino » 29 Nov 2009 11:07

Bonjour.

Ton antivirus n'étant pas de la plus haute confiance, nous allons analyser le pc avec un autre.
Télécharge Antivir Free d'Avira

Désactive ton antivirus.
Clique sur fichier antivir_workstation_winu_fr_h.exe pour l'installer.
Mets-le à jour.
Dans Configuration, coche Mode Expert en haut à gauche.
Clique sur Scanner, sur Recherche et sur Actions en cas de résultat positif.
Dans la partie droite coche Automatique et Copier le fichier dans la quarantaine avant l'action.
Dans Action principale avec le menu par la flèche choisis réparer
Dans Action secondaire renommer.
Tu valides tout ces choix par OK.

Ce programme va cohabiter, le temps de la procédure suivante, avec l'antivirus en titre.

Tu cliques sur l'icône du bureau pour le lancer ou sur celle près de l'horloge.
A gauche dans Aperçu > Etat, tu cliques sur Contrôler syst.maintenant.
L'analyse peut durée une heure ou plus selon la taille de tes données.
Quand la barre de progression sera à 100% tu cliques sur Rapport.
Tu fais un copier-coller de la totalité dans ta réponse puis tu le fermes et tu cliques sur Arrêter.
Tu le retrouveras dans Aperçu > Rapports > Recherche avec la date correspondante.
Double-clique dessus et ensuite sur Rapport pour l'ouvrir.

Je souhaiterai que tu fasses analyser ces deux fichiers :
c:\windows\system32\drivers\lvuvc.hs
c:\windows\system32\drivers\logiflt.iad
Sur ce site
Et que tu postes les résultats obtenus.
S'iol ont déjà été analysés recommence.

@+
Image
Avatar de l’utilisateur
nardino
Super Libellulien
Super Libellulien
 
Messages: 1103
Inscription: 03 Avr 2009 22:02

Suivante

Retourner vers Désinfections et demandes d'analyse

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités