Comprendre le bitcoin, l'intelligence artificielle, faire un site web... En 3 minutes en vidéo!

[virus???] fenetres qui se ferment...

<<<1>>>

[Page 1 sur 1 - 15 messages]
Informations Messages

harmonyk

Avatar de harmonyk
33 messages
Disquette
Disquette

Lien direct Le 09 Juillet 2007 à 22h16

:roll: ne sachant plus quoi faire, je viens ici chercher de l'aide...
alors voilà, j'ai essayé :
>un scan complet avec avast > rien trouvé
>un scan spybot > rien trouvé ormis quelques cookies
>un scan ccleaner > rien d'anormal
>un scan en ligne avec ewido > il se coupe en plein milieu !!!
>un scan en ligne avec secuser > la meme !!! en fait la fenetre internet explorer se ferme en plein scan, sans raisons...

ayant repéré à peu près l'endroit ou en est le scan quand ca coupe, j'ai essayé de m'y rendre et là, surprise >>> la fenetre se ferme toute seule ( à ce moment se lance le processus drwatson) !!!
ca me fait cela quand j'essaie d'ouvrir C:\documents and settings\*mon nom d'utilisateur*\applications data\local settings\
quand je réessaie encore ca gèle le pc et jsuis obligé de couper le processus !!!
je viens de faire un scan Hijackthis , en voici le log :

Citation de Hijackthis


Logfile of HijackThis v1.99.1
Scan saved at 07:36:28, on 10/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
D:\avast\aswUpdSv.exe
D:\avast\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
D:\avast\ashDisp.exe
C:\WINDOWS\system32\svchost.exe
D:\avast\ashWebSv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
D:\MOZILL~1\FIREFOX.EXE
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\HarmOnyk\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.msn.fr/spbasic.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [avast!] D:\avast\ashDisp.exe
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/house ... hcImpl.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005 ... scan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AC164849-751F-49ED-ABFE-0D16E0F44EBF}: NameServer = 85.255.116.52,85.255.112.106
O17 - HKLM\System\CCS\Services\Tcpip\..\{C33D0719-EF3F-49A8-9E70-47913B988352}: NameServer = 85.255.116.52,85.255.112.106
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\avast\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\avast\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - D:\avast\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - D:\avast\ashWebSv.exe" /service (file missing)





J'ai aussi remarqué que certains de mes icones sont supprimés et mon MSN me fait un rapport d'erreur et se coupe...
si quelqu'un peux m'aider avant que je formate, heureux je serais !!!
MERCI D'AVANCE !!!!!!
PS:
J'oubliais :
Je possède plusieurs logiciels de P2P et plus aucun ne fonctionne si ce n'est que emule...
par exemple quand je lance Tribalweb, il se connecte lis mes partages... et plante !
je regarde mes processus et a chaque fois je remarque que drwtsn.exe est présent, je suis obligé de le couper car il bug !
Je tiens a preciser que j'ai été infecté par 2 trojans il y a de ca 2 semaines, un "peerad" et un "agent AWB" . il y aurait un rapport? une dll systeme aurait elle été changée puis supprimée par avast??
SVP aidez moiiiii

 

Publicité

Gof

Avatar de Gof
846 messages
Carte Mère
Carte Mère

Lien direct Le 10 Juillet 2007 à 01h01

Bonsoir harmonykSourire

On va s'occuper de tout ça, d'abord on va te redonner la main de sorte de pouvoir utiliser les outils.

Peux tu reposter un log hijackthis je te prie, mais avec la version 1.99.1 que tu peux trouver ici.

 

harmonyk

Avatar de harmonyk
33 messages
Disquette
Disquette

Lien direct Le 10 Juillet 2007 à 07h40

Clin d'oeil merci de t'occuper de moi ausii rapidement, j'ai éditer mon 1 er post avec le nouveau log.

 

Gof

Avatar de Gof
846 messages
Carte Mère
Carte Mère

Lien direct Le 10 Juillet 2007 à 23h07

Bonsoir harmonykSourire

Tu n'aurais pas du édité ton message précédent, mais reposter à la suite ce que je t'avais demandé, j'aurais voulu comparer les deux éléments, il y a des entrées infectieuses qui n'apparaissent plus dans le deuxième, et je n'ai plus sous les yeux le premier.


Imprime ces instructions si nécessaire car il va y avoir un redémarrage de l'ordinateur.

Télécharge le FixWareout (LonnyRJones) sur le Bureau.
**Si le lien ne fonctionne pas, clique ici**

Lance le fix (FixWareout.exe), clique sur Next puis Install.
Assure-toi que Run fixit soit bien activé puis clique sur Finish.
Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le.
Ton système mettra un peu plus de temps au démarrage, c'est normal.

Au final, poste le contenu du rapport C:\fixwareout\report.txt avec un nouveau rapport HijackThis.

 

harmonyk

Avatar de harmonyk
33 messages
Disquette
Disquette

Lien direct Le 11 Juillet 2007 à 00h20

Bonsoir Gof
:x désolé je croyais bien faire pour l'édit...
sinon voici le report demandé :

Citation de fixwareout

Username "HarmOnyk" - 2007-07-11 0:07:27 [Fixwareout edited 2007/07/05]

»»»»»Prerun check
HKLM\SOFTWARE\~\Winlogon\ "System"="kdfge.exe"

HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{AC164849-751F-49ED-ABFE-0D16E0F44EBF}
"nameserver"="85.255.116.52,85.255.112.106" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{C33D0719-EF3F-49A8-9E70-47913B988352}
"nameserver"="85.255.116.52,85.255.112.106" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{AC164849-751F-49ED-ABFE-0D16E0F44EBF}
"DhcpNameServer"="85.255.116.52,85.255.112.106" <Value cleared.

Cache de résolution DNS vidé.


System was rebooted successfully.

»»»»» Postrun check
HKLM\SOFTWARE\~\Winlogon\ "system"=""
....
....
»»»»» Misc files.
....
»»»»» Checking for older varients.
....
»»»»» Other
C:\WINDOWS\Temp\kdfge.ren 66463 19/08/2004

»»»»» Current runs (hklm hkcu "run" Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="D:\\avast\\ashDisp.exe"
"WtmPan"="WtmPan.Exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\not active]
"SunJavaUpdateSched"=""C:\\Program Files\\Java\\jre1.6.0_01\\bin\\jusched.exe""
"WtmPan"="WtmPan.Exe"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"DAEMON Tools-1033"=""D:\\Demonls\\daemon.exe" -lang 1033"
"KernelFaultCheck"="%systemroot%\\system32\\dumprep 0 -k"
"SiSPower"="Rundll32.exe SiSPower.dll,ModeAgent"
"DAEMON Tools"=""D:\\DAEMON Tools\\daemon.exe" -lang 1033"
"SoundMan"="SOUNDMAN.EXE"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\not active]
"eMuleAutoStart"="E:\\eMule\\emule.exe -AutoStart"
"msnmsgr"=""C:\\Program Files\\MSN Messenger\\msnmsgr.exe" /background"
....
Hosts file was reset, If you use a custom hosts file please replace it
»»»»» End report »»»»»



et ensuite le rapport Hijackthis :

Citation de Hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 00:11:01, on 11/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\avast\aswUpdSv.exe
C:\WINDOWS\Explorer.EXE
D:\avast\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
D:\avast\ashWebSv.exe
D:\avast\setup\avast.setup
C:\WINDOWS\system32\wuauclt.exe
D:\avast\ashDisp.exe
C:\WINDOWS\system32\WtmPan.Exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\HarmOnyk\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.msn.fr/spbasic.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [avast!] D:\avast\ashDisp.exe
O4 - HKLM\..\Run: [WtmPan] WtmPan.Exe
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/house ... hcImpl.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005 ... scan53.cab
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\avast\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\avast\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - D:\avast\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - D:\avast\ashWebSv.exe" /service (file missing)



à part ca, j'ai rencontré un léger soucis au demarage, j'ai dû reconfigurer les serveurs DNS car plus de connection...
Merci encore pour tes réponses.

 

Gof

Avatar de Gof
846 messages
Carte Mère
Carte Mère

Lien direct Le 11 Juillet 2007 à 00h37

Bonsoir harmonyk Sourire

Ok, bon boulot.

Citation

à part ca, j'ai rencontré un léger soucis au demarage, j'ai dû reconfigurer les serveurs DNS car plus de connection...
Merci encore pour tes réponses.



Merci de la remontée, cela n'aurait pas du arriver, désolé du désagrément.Clin d'oeil

A présent, tu peux suivre normalement sans soucis la pré-procédure de nettoyage ; reviens ensuite ici poster les rapports générés.

Précise moi également en postant tes rapports que le pare-feu windows est bien activé ou non.

A bientôt.

 

Gof

Avatar de Gof
846 messages
Carte Mère
Carte Mère

Lien direct Le 11 Juillet 2007 à 00h45

ReSourire

Citation

Je viens de relancer un scan ewido en ligne et ...... CA FONCTIONNE !!!! Clin d'oeil
Dis moi à quoi sert il le programme qui m'a fait redémarré mon pc ?
Mon log Hijackthis est il propre maintenant ?


Le log hijackthis ne révèle plus rien, mais je doute que le système soit propre. Tu as été infecté par une infection de type wareout. Le fix utilisé permet de la neutraliser. Si tu veux en savoir plus à son sujet, tu peux lire ici.

Il y a encore certainement du travail à effectuer. Je te recommande de suivre la pré-procédure à la lettre, et de bien me poster tous les rapports générés.

 

harmonyk

Avatar de harmonyk
33 messages
Disquette
Disquette

Lien direct Le 11 Juillet 2007 à 07h40

voici donc les 3 rapports, AVG m'ayant trouvé 3 bebetes...

Citation de AVG

+ Créé à: 07:09:30 11/07/2007

+ Résultat de l'analyse:



C:\RECYCLER\S-1-5-21-527237240-606747145-725345543-1003\Dc2.ren -> Downloader.Zlob : Nettoyé.
:mozilla.100:C:\Documents and Settings\HarmOnyk\Application Data\Mozilla\Firefox\Profiles\5s74wm4p.default\cookies.txt -> TrackingCookie.247realmedia : Nettoyé.
:mozilla.101:C:\Documents and Settings\HarmOnyk\Application Data\Mozilla\Firefox\Profiles\5s74wm4p.default\cookies.txt -> TrackingCookie.247realmedia : Nettoyé.
:mozilla.102:C:\Documents and Settings\HarmOnyk\Application Data\Mozilla\Firefox\Profiles\5s74wm4p.default\cookies.txt -> TrackingCookie.247realmedia : Nettoyé.
:mozilla.97:C:\Documents and Settings\HarmOnyk\Application Data\Mozilla\Firefox\Profiles\5s74wm4p.default\cookies.txt -> TrackingCookie.247realmedia : Nettoyé.
:mozilla.98:C:\Documents and Settings\HarmOnyk\Application Data\Mozilla\Firefox\Profiles\5s74wm4p.default\cookies.txt -> TrackingCookie.247realmedia : Nettoyé.
:mozilla.99:C:\Documents and Settings\HarmOnyk\Application Data\Mozilla\Firefox\Profiles\5s74wm4p.default\cookies.txt -> TrackingCookie.247realmedia : Nettoyé.
:mozilla.162:C:\Documents and Settings\HarmOnyk\Application Data\Mozilla\Firefox\Profiles\5s74wm4p.default\cookies.txt -> TrackingCookie.2o7 : Nettoyé.
:mozilla.163:C:\Documents and Settings\HarmOnyk\Application Data\Mozilla\Firefox\Profiles\5s74wm4p.default\cookies.txt -> TrackingCookie.2o7 : Nettoyé.
:mozilla.82:C:\Documents and Settings\HarmOnyk\Application Data\Mozilla\Firefox\Profiles\5s74wm4p.default\cookies.txt -> TrackingCookie.Adtech : Nettoyé.
:mozilla.83:C:\Documents and Settings\HarmOnyk\Application Data\Mozilla\Firefox\Profiles\5s74wm4p.default\cookies.txt -> TrackingCookie.Adtech : Nettoyé.
:mozilla.58:C:\Documents and Settings\HarmOnyk\Application Data\Mozilla\Firefox\Profiles\5s74wm4p.default\cookies.txt -> TrackingCookie.Advertising : Nettoyé.
:mozilla.62:C:\Documents and Settings\HarmOnyk\Application Data\Mozilla\Firefox\Profiles\5s74wm4p.default\cookies.txt -> TrackingCookie.Advertising : Nettoyé.
:mozilla.63:C:\Documents and Settings\HarmOnyk\Application Data\Mozilla\Firefox\Profiles\5s74wm4p.default\cookies.txt -> TrackingCookie.Advertising : Nettoyé.
:mozilla.64:C:\Documents and Settings\HarmOnyk\Application Data\Mozilla\Firefox\Profiles\5s74wm4p.default\cookies.txt -> TrackingCookie.Advertising : Nettoyé.
:mozilla.87:C:\Documents and Settings\HarmOnyk\Application Data\Mozilla\Firefox\Profiles\5s74wm4p.default\cookies.txt -> TrackingCookie.Atdmt : Nettoyé.
:mozilla.19:C:\Documents and Settings\HarmOnyk\Application Data\Mozilla\Firefox\Profiles\5s74wm4p.default\cookies.txt -> TrackingCookie.Bluestreak : Nettoyé.
:mozilla.37:C:\Documents and Settings\HarmOnyk\Application Data\Mozilla\Firefox\Profiles\5s74wm4p.default\cookies.txt -> TrackingCookie.Comclick : Nettoyé.
:mozilla.38:C:\Documents and Settings\HarmOnyk\Application Data\Mozilla\Firefox\Profiles\5s74wm4p.default\cookies.txt -> TrackingCookie.Comclick : Nettoyé.
:mozilla.39:C:\Documents and Settings\HarmOnyk\Application Data\Mozilla\Firefox\Profiles\5s74wm4p.default\cookies.txt -> TrackingCookie.Comclick : Nettoyé.
:mozilla.17:C:\Documents and Settings\HarmOnyk\Application Data\Mozilla\Firefox\Profiles\5s74wm4p.default\cookies.txt -> TrackingCookie.Doubleclick : Nettoyé.
:mozilla.135:C:\Documents and Settings\HarmOnyk\Application Data\Mozilla\Firefox\Profiles\5s74wm4p.default\cookies.txt -> TrackingCookie.Estat : Nettoyé.
:mozilla.209:C:\Documents and Settings\HarmOnyk\Application Data\Mozilla\Firefox\Profiles\5s74wm4p.default\cookies.txt -> TrackingCookie.Etracker : Nettoyé.
:mozilla.211:C:\Documents and Settings\HarmOnyk\Application Data\Mozilla\Firefox\Profiles\5s74wm4p.default\cookies.txt -> TrackingCookie.Etracker : Nettoyé.
:mozilla.210:C:\Documents and Settings\HarmOnyk\Application Data\Mozilla\Firefox\Profiles\5s74wm4p.default\cookies.txt -> TrackingCookie.Euroclick : Nettoyé.
:mozilla.212:C:\Documents and Settings\HarmOnyk\Application Data\Mozilla\Firefox\Profiles\5s74wm4p.default\cookies.txt -> TrackingCookie.Euroclick : Nettoyé.
:mozilla.32:C:\Documents and Settings\HarmOnyk\Application Data\Mozilla\Firefox\Profiles\5s74wm4p.default\cookies.txt -> TrackingCookie.Fastclick : Nettoyé.
:mozilla.33:C:\Documents and Settings\HarmOnyk\Application Data\Mozilla\Firefox\Profiles\5s74wm4p.default\cookies.txt -> TrackingCookie.Fastclick : Nettoyé.
:mozilla.34:C:\Documents and Settings\HarmOnyk\Application Data\Mozilla\Firefox\Profiles\5s74wm4p.default\cookies.txt -> TrackingCookie.Fastclick : Nettoyé.
:mozilla.35:C:\Documents and Settings\HarmOnyk\Application Data\Mozilla\Firefox\Profiles\5s74wm4p.default\cookies.txt -> TrackingCookie.Fastclick : Nettoyé.
:mozilla.173:C:\Documents and Settings\HarmOnyk\Application Data\Mozilla\Firefox\Profiles\5s74wm4p.default\cookies.txt -> TrackingCookie.Live : Nettoyé.
:mozilla.176:C:\Documents and Settings\HarmOnyk\Application Data\Mozilla\Firefox\Profiles\5s74wm4p.default\cookies.txt -> TrackingCookie.Live : Nettoyé.
:mozilla.177:C:\Documents and Settings\HarmOnyk\Application Data\Mozilla\Firefox\Profiles\5s74wm4p.default\cookies.txt -> TrackingCookie.Live : Nettoyé.
:mozilla.103:C:\Documents and Settings\HarmOnyk\Application Data\Mozilla\Firefox\Profiles\5s74wm4p.default\cookies.txt -> TrackingCookie.Mediaplex : Nettoyé.
:mozilla.81:C:\Documents and Settings\HarmOnyk\Application Data\Mozilla\Firefox\Profiles\5s74wm4p.default\cookies.txt -> TrackingCookie.Overture : Nettoyé.
:mozilla.137:C:\Documents and Settings\HarmOnyk\Application Data\Mozilla\Firefox\Profiles\5s74wm4p.default\cookies.txt -> TrackingCookie.Paypal : Nettoyé.
:mozilla.49:C:\Documents and Settings\HarmOnyk\Application Data\Mozilla\Firefox\Profiles\5s74wm4p.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.50:C:\Documents and Settings\HarmOnyk\Application Data\Mozilla\Firefox\Profiles\5s74wm4p.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.51:C:\Documents and Settings\HarmOnyk\Application Data\Mozilla\Firefox\Profiles\5s74wm4p.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.131:C:\Documents and Settings\HarmOnyk\Application Data\Mozilla\Firefox\Profiles\5s74wm4p.default\cookies.txt -> TrackingCookie.Tribalfusion : Nettoyé.
:mozilla.52:C:\Documents and Settings\HarmOnyk\Application Data\Mozilla\Firefox\Profiles\5s74wm4p.default\cookies.txt -> TrackingCookie.Weborama : Nettoyé.
:mozilla.53:C:\Documents and Settings\HarmOnyk\Application Data\Mozilla\Firefox\Profiles\5s74wm4p.default\cookies.txt -> TrackingCookie.Weborama : Nettoyé.
:mozilla.54:C:\Documents and Settings\HarmOnyk\Application Data\Mozilla\Firefox\Profiles\5s74wm4p.default\cookies.txt -> TrackingCookie.Weborama : Nettoyé.
:mozilla.181:C:\Documents and Settings\HarmOnyk\Application Data\Mozilla\Firefox\Profiles\5s74wm4p.default\cookies.txt -> TrackingCookie.Webtrends : Nettoyé.
:mozilla.29:C:\Documents and Settings\HarmOnyk\Application Data\Mozilla\Firefox\Profiles\5s74wm4p.default\cookies.txt -> TrackingCookie.Yieldmanager : Nettoyé.
:mozilla.30:C:\Documents and Settings\HarmOnyk\Application Data\Mozilla\Firefox\Profiles\5s74wm4p.default\cookies.txt -> TrackingCookie.Yieldmanager : Nettoyé.
:mozilla.31:C:\Documents and Settings\HarmOnyk\Application Data\Mozilla\Firefox\Profiles\5s74wm4p.default\cookies.txt -> TrackingCookie.Yieldmanager : Nettoyé.
G:\à tester\Command and conquer\3\Command and conquer 3 crack 1.04.rar/Command and conquer 3 crack 1.04\1.03to1.04_crack_patcher_by_ACP-Protect.exe -> Trojan.DNSChanger.bf : Nettoyé.

Fin du rapport


Citation de Hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 07:31:44, on 11/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\avast\aswUpdSv.exe
C:\WINDOWS\Explorer.EXE
D:\avast\ashServ.exe
D:\avast\ashDisp.exe
C:\WINDOWS\system32\WtmPan.Exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\svchost.exe
D:\avast\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\WgaTray.exe
D:\MOZILL~1\FIREFOX.EXE
C:\Documents and Settings\HarmOnyk\Bureau\aidioforum.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.msn.fr/spbasic.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [avast!] D:\avast\ashDisp.exe
O4 - HKLM\..\Run: [WtmPan] WtmPan.Exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/house ... hcImpl.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005 ... scan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C33D0719-EF3F-49A8-9E70-47913B988352}: NameServer = 192.168.1.1,192.168.1.51
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\avast\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\avast\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - D:\avast\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - D:\avast\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe


Citation de Cleaner

11/07/2007 a 7:32:16.34

*** Recherche des fichiers dans C:

*** Recherche des fichiers dans C:\WINDOWS\

*** Recherche des fichiers dans C:\WINDOWS\system32

*** Recherche des fichiers dans C:\Program Files
"C:\Program Files\vmntoolbar" FOUND
*** Fin du rapport !


Merci encore pour ton aide, je me sens plus propre avec tout ca ^^

PS: ou est passé mon post d'avant??? Choqué

 

harmonyk

Avatar de harmonyk
33 messages
Disquette
Disquette

Lien direct Le 11 Juillet 2007 à 12h51

Citation de Gof

Tu as été infecté par une infection de type wareout



Bizarre ca car je n'ai eu aucune alerte a ce propos ( jveux dire que je n'ai jamais eu les evenements prevus sur le lien que tu m'a donné) .
aucune apllication nommé wareout.exe...comment as tu vu ce qu'il en était ?
LOl je sais jsuis curieux
LOL !

 

Gof

Avatar de Gof
846 messages
Carte Mère
Carte Mère

Lien direct Le 12 Juillet 2007 à 04h14

Bonsoir harmonykSourire

Citation

PS: ou est passé mon post d'avant???

Je ne sais pas, j'ai cru que c'était toi qui l'avait supprimé.

Citation



Bizarre ca car je n'ai eu aucune alerte a ce propos ( jveux dire que je n'ai jamais eu les evenements prevus sur le lien que tu m'a donné) .
aucune apllication nommé wareout.exe...comment as tu vu ce qu'il en était ?

Des éléments qui m'avaient semblé voir dans le premier rapport avant que tu n'édites, et par la suite, ce qui suit dans ton deuxième rapport.

Citation

O17 - HKLM\System\CCS\Services\Tcpip\..\{AC164849-751F-49ED-ABFE-0D16E0F44EBF}: NameServer = 85.255.116.52,85.255.112.106
O17 - HKLM\System\CCS\Services\Tcpip\..\{C33D0719-EF3F-49A8-9E70-47913B988352}: NameServer = 85.255.116.52,85.255.112.106



Si tu fais un whois dessus, on constate :

Citation

% See http://www.ripe.net/db/copyright.html

% Information related to '85.255.112.0 - 85.255.127.255'

inetnum: 85.255.112.0 - 85.255.127.255
netname: inhoster
descr: Inhoster hosting company
descr: OOO Inhoster, Poltavskij Shliax 24, Kharkiv, 61000, Ukraine



Une belle redirection DNS sur l'Ukraine, typique d'un Wareout.

Citation

Lorsque vous allez sur un site en utilisant un nom d'hôte, comme www.bleepingcomputer.com, au lieu d'utiliser une adresse IP, votre ordinateur utilise un serveur DNS pour transformer le nom d'hôte en une adresse IP comme 192.168.1.0. Les piratages de domaine se produisent quand les pirates modifient les adresses des serveurs DNS sur votre machine pour qu'elles pointent vers leurs propres serveurs, d'où ils peuvent vous diriger vers le site qu'ils veulent. En ajoutant google.com sur leurs serveurs DNS, ils peuvent faire en sorte que lorsque vous voulez aller sur google.com vous soyez redirigé vers un site de leur choix.

Cf tuto hjt O17. Je t'invite à consulter cet excellent tuto sur hijackthis et ses fonctionnalités si cela t'intéresse.

Ensuite, dans le rapport du Fix neutralisant cette infection :

Citation

»»»»»Prerun check
HKLM\SOFTWARE\~\Winlogon\ "System"="kdfge.exe"

Un "kd****.exe est caractéristique de cette infection également. Le fix nettoyé cela. Ce qui te permet à présent d'accéder aux sites de sécurité qui t'étaient interdit auparavant.

J'ai l'impression que l'infection venait peut-être de ce crack -> G:\à tester\Command and conquer\3\Command and conquer 3 crack 1.04.rar/Command and conquer 3 crack 1.04\1.03to1.04_crack_patcher_by_ACP-Protect.exe -> Trojan.DNSChanger.bf : Nettoyé. , qui comme AVG AS le nomme, semble être une redirection de dns. Un crack est illégal, c'est un fait. Ils ne sont pas tous infectieux, mais il ne faut pas se leurrer pour autant, un codeur capable de cracker un logiciel le fait de moins en moins pour le "sport" et la "gloire", il y a souvent une infection associée.

On continue à diagnostiquer un peu ce qui se passe sur ton pc.

Télécharge DiagHelp.zip de Malekal_morte sur ton bureau.

    [*:x0rpvq2d]Décompresse le, sur ton bureau par exemple. [/*:m:x0rpvq2d]
    [*:x0rpvq2d]Un nouveau dossier chercher va être créé DiagHelp.[/*:m:x0rpvq2d]
    [*:x0rpvq2d]Ouvre le et double-clique sur go.cmd (le .cmd peut ne pas apparaître)[/*:m:x0rpvq2d]
    [*:x0rpvq2d]Une fenêtre va s'ouvrir, choisis l'option 1[/*:m:x0rpvq2d]
    [*:x0rpvq2d]L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande[/*:m:x0rpvq2d]
    [*:x0rpvq2d]Copie/colle le contenu du bloc-note qui s'ouvre et joins le à ta prochaine réponse. [/*:m:x0rpvq2d]

 

harmonyk

Avatar de harmonyk
33 messages
Disquette
Disquette

Lien direct Le 12 Juillet 2007 à 07h43

Bonjour belle journée ensoleillée qui commence iciCool
Clin d'oeil merci pour tes précisions et pour ton aide ! Clin d'oeil
voici donc le dernier rapport demandé :

Citation de Diaghelp

DiagHelp version v1.1.2 - http://www.malekal.com
excute le 12/07/2007 à 7:37:50.53


Liste des derniers fichies modifies/crees dans windir\system32
C:\WINDOWS\System32/drivers\sptd.sys -->03/07/2007 07:34:28
C:\WINDOWS\System32/drivers\secdrv.sys -->03/07/2007 01:24:48
C:\WINDOWS\System32/drivers\aswmon.sys -->30/04/2007 17:41:55
C:\WINDOWS\System32/drivers\aswmon2.sys -->30/04/2007 17:41:42
C:\WINDOWS\System32/drivers\aswRdr.sys -->30/04/2007 17:39:41
C:\WINDOWS\System32/drivers\aavmker4.sys -->30/04/2007 17:37:23
C:\WINDOWS\System32/drivers\update.sys -->23/04/2007 12:32:54

C:\WINDOWS\System32\wpa.dbl -->11/07/2007 07:55:55
C:\WINDOWS\System32\FNTCACHE.DAT -->11/07/2007 00:08:31
C:\WINDOWS\System32\CmdLineExt.dll -->06/07/2007 22:46:00
C:\WINDOWS\System32\sysgapgw.dll -->06/07/2007 21:07:03
C:\WINDOWS\System32\ulfconfig0103.ulf -->05/07/2007 00:55:20
C:\WINDOWS\System32\winsock.dll -->03/07/2007 02:17:22
C:\WINDOWS\System32\CONFIG.NT -->26/06/2007 21:57:35
C:\WINDOWS\System32\x_dtrace_log -->26/06/2007 21:47:35
C:\WINDOWS\System32\getfile.dat -->26/06/2007 21:47:33
C:\WINDOWS\System32\CmdLineExt03.dll -->26/06/2007 01:15:41
C:\WINDOWS\System32\VGAunistlog.ini -->25/06/2007 22:19:23
C:\WINDOWS\System32\bitcometres.dll -->25/06/2007 21:12:43
C:\WINDOWS\System32\schecklog.txt -->08/06/2007 20:07:03
C:\WINDOWS\System32\1_ssetup.ini -->08/06/2007 20:07:00
C:\WINDOWS\System32\sunistlog.ini -->08/06/2007 20:05:30
C:\WINDOWS\System32\cncs32.dll -->07/06/2007 19:03:30
C:\WINDOWS\System32\wrap_oal.dll -->07/06/2007 18:17:13
C:\WINDOWS\System32\OpenAL32.dll -->07/06/2007 18:17:13
C:\WINDOWS\System32\PerfStringBackup.INI -->07/06/2007 17:09:03
C:\WINDOWS\System32\perfh00C.dat -->07/06/2007 17:09:03
C:\WINDOWS\System32\perfh009.dat -->07/06/2007 17:09:03
C:\WINDOWS\System32\perfc00C.dat -->07/06/2007 17:09:03
C:\WINDOWS\System32\perfc009.dat -->07/06/2007 17:09:03
C:\WINDOWS\System32\TZLog.log -->07/06/2007 17:01:40
C:\WINDOWS\System32\lhacm.acm -->07/06/2007 00:41:19

C:\WINDOWS\NeroDigital.ini -->11/07/2007 21:27:57
C:\WINDOWS\WindowsUpdate.log -->11/07/2007 17:45:09
C:\WINDOWS\0.log -->11/07/2007 13:03:04
C:\WINDOWS\wiadebug.log -->11/07/2007 13:03:03
C:\WINDOWS\wiaservc.log -->11/07/2007 13:02:53
C:\WINDOWS\bootstat.dat -->11/07/2007 13:02:33
C:\WINDOWS\SchedLgU.Txt -->11/07/2007 13:00:34
C:\WINDOWS\setupapi.log -->11/07/2007 13:00:12
C:\WINDOWS\tsoc.log -->11/07/2007 12:34:09
C:\WINDOWS\tabletoc.log -->11/07/2007 12:34:09
C:\WINDOWS\ocgen.log -->11/07/2007 12:34:09
C:\WINDOWS\ntdtcsetup.log -->11/07/2007 12:34:09
C:\WINDOWS\MedCtrOC.log -->11/07/2007 12:34:09
C:\WINDOWS\KB936357.log -->11/07/2007 12:34:09
C:\WINDOWS\imsins.log -->11/07/2007 12:34:09


Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 0C4C-C822

Répertoire de C:\WINDOWS\system32

19/08/2004 17:09 6 144 csrss.exe
1 fichier(s) 6 144 octets
0 Rép(s) 4 284 968 960 octets libres

Contenu de Downloaded Program Files
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 0C4C-C822

Répertoire de C:\WINDOWS\Downloaded Program Files

10/07/2007 23:14 <REP> .
10/07/2007 23:14 <REP> ..
05/06/2007 09:07 65 desktop.ini
25/07/2002 18:13 24 576 dwusplay.dll
25/07/2002 18:13 196 608 dwusplay.exe
11/07/2006 09:41 345 656 ewidoOnlineScan.dll
14/10/2006 00:16 723 hcImpl.inf
23/05/2007 18:26 385 536 Housecall_ActiveX.dll
16/06/2004 06:02 323 584 isusweb.dll
02/11/2005 18:01 1 777 xscan.inf
02/11/2005 18:07 435 712 xscan53.ocx
9 fichier(s) 1 714 237 octets

Total des fichiers listés :
9 fichier(s) 1 714 237 octets
2 Rép(s) 4 284 968 960 octets libres

Recherche de rootkit! (Merci S!Ri)

Recherche d'infections connues

Export des clefs sensibles..

Liste des fichiers en exception sur le pare-feu XP SP2

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

Export de la clef SharedTaskScheduler

[SharedTaskScheduler]

Rechercher adresses sensibles dans le fichier HOSTS...



catchme 0.3.914 W2K/XP/Vista - rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-12 07:38:02
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden services: 0
hidden files: 0


KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Process list by traversal of KiWaitListHead

4 - System
340 - Zion++.exe
536 - ashWebSv.exe
596 - csrss.exe
620 - winlogon.exe
664 - services.exe
676 - lsass.exe
712 - svchost.exe
828 - svchost.exe
884 - svchost.exe
944 - svchost.exe
988 - svchost.exe
1340 - alg.exe
1352 - ashServ.exe
1360 - explorer.exe
1540 - ashDisp.exe
1868 - guard.exe
3236 - cmd.exe
3548 - firefox.exe

Total number of processes = 19
NOTE: Under WinXP, this will not show all processes.

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Driver/Module list by traversal of PsLoadedModuleList

804D7000 - \WINDOWS\system32\ntoskrnl.exe
806EC000 - \WINDOWS\system32\hal.dll
F7A7B000 - \WINDOWS\system32\KDCOM.DLL
F798B000 - \WINDOWS\system32\BOOTVID.dll
F7470000 - sptd.sys
F7A7D000 - \WINDOWS\System32\Drivers\WMILIB.SYS
F7458000 - \WINDOWS\System32\Drivers\SCSIPORT.SYS
F7429000 - ACPI.sys
F757B000 - isapnp.sys
F7418000 - pci.sys
F7B43000 - pciide.sys
F77FB000 - \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
F758B000 - MountMgr.sys
F73F9000 - ftdisk.sys
F7A7F000 - dmload.sys
F73D3000 - dmio.sys
F7803000 - PartMgr.sys
F759B000 - VolSnap.sys
F73BB000 - atapi.sys
F75AB000 - disk.sys
F75BB000 - \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
F739B000 - fltMgr.sys
F75CB000 - PxHelp20.sys
F7384000 - KSecDD.sys
F72F7000 - Ntfs.sys
F72CA000 - NDIS.sys
F75DB000 - uagp35.sys
F72B0000 - Mup.sys
F764B000 - \SystemRoot\system32\DRIVERS\intelppm.sys
F71ED000 - \SystemRoot\system32\DRIVERS\sisgrp.sys
F71D9000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
F765B000 - \SystemRoot\system32\DRIVERS\imapi.sys
F766B000 - \SystemRoot\system32\DRIVERS\cdrom.sys
F767B000 - \SystemRoot\system32\DRIVERS\redbook.sys
F71B6000 - \SystemRoot\system32\DRIVERS\ks.sys
F6DDE000 - \SystemRoot\system32\drivers\ALCXWDM.SYS
F6DBA000 - \SystemRoot\system32\drivers\portcls.sys
F769B000 - \SystemRoot\system32\drivers\drmk.sys
F784B000 - \SystemRoot\system32\DRIVERS\usbohci.sys
F6D97000 - \SystemRoot\system32\DRIVERS\USBPORT.SYS
F7853000 - \SystemRoot\system32\DRIVERS\usbehci.sys
F785B000 - \SystemRoot\system32\DRIVERS\sisnic.sys
F6D4D000 - \SystemRoot\System32\Drivers\aqpx777r.SYS
F6D3C000 - \SystemRoot\system32\DRIVERS\serial.sys
F7288000 - \SystemRoot\system32\DRIVERS\serenum.sys
F6D28000 - \SystemRoot\system32\DRIVERS\parport.sys
F76AB000 - \SystemRoot\system32\DRIVERS\i8042prt.sys
F78AB000 - \SystemRoot\system32\DRIVERS\kbdclass.sys
F7C0B000 - \SystemRoot\system32\DRIVERS\audstub.sys
F770B000 - \SystemRoot\system32\DRIVERS\rasl2tp.sys
F7284000 - \SystemRoot\system32\DRIVERS\ndistapi.sys
F6D11000 - \SystemRoot\system32\DRIVERS\ndiswan.sys
F771B000 - \SystemRoot\system32\DRIVERS\raspppoe.sys
F772B000 - \SystemRoot\system32\DRIVERS\raspptp.sys
F78B3000 - \SystemRoot\system32\DRIVERS\TDI.SYS
F6D00000 - \SystemRoot\system32\DRIVERS\psched.sys
F773B000 - \SystemRoot\system32\DRIVERS\msgpc.sys
F78BB000 - \SystemRoot\system32\DRIVERS\ptilink.sys
F78C3000 - \SystemRoot\system32\DRIVERS\raspti.sys
F6CCF000 - \SystemRoot\system32\DRIVERS\rdpdr.sys
F774B000 - \SystemRoot\system32\DRIVERS\termdd.sys
F78CB000 - \SystemRoot\system32\DRIVERS\mouclass.sys
F7AA1000 - \SystemRoot\system32\DRIVERS\swenum.sys
F6C4E000 - \SystemRoot\system32\DRIVERS\update.sys
F7260000 - \SystemRoot\system32\DRIVERS\mssmbios.sys
F775B000 - \SystemRoot\System32\Drivers\NDProxy.SYS
F777B000 - \SystemRoot\system32\DRIVERS\usbhub.sys
F7AA5000 - \SystemRoot\system32\DRIVERS\USBD.SYS
F7AA7000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS
F7C45000 - \SystemRoot\System32\Drivers\Null.SYS
F7AA9000 - \SystemRoot\System32\Drivers\Beep.SYS
F7C46000 - \SystemRoot\System32\DRIVERS\AvgAsCln.sys
F78FB000 - \SystemRoot\System32\drivers\vga.sys
F7AAB000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys
F7903000 - \SystemRoot\System32\Drivers\Msfs.SYS
F790B000 - \SystemRoot\System32\Drivers\Npfs.SYS
F7A53000 - \SystemRoot\system32\DRIVERS\rasacd.sys
F1B33000 - \SystemRoot\system32\DRIVERS\ipsec.sys
F1ADB000 - \SystemRoot\system32\DRIVERS\tcpip.sys
F1AB3000 - \SystemRoot\system32\DRIVERS\netbt.sys
F1A91000 - \SystemRoot\System32\drivers\afd.sys
F778B000 - \SystemRoot\system32\DRIVERS\netbios.sys
F7913000 - \SystemRoot\system32\DRIVERS\srvkp.sys
F1A66000 - \SystemRoot\system32\DRIVERS\rdbss.sys
F19CF000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys
F779B000 - \SystemRoot\System32\Drivers\Fips.SYS
F19AE000 - \SystemRoot\system32\DRIVERS\ipnat.sys
F7C5B000 - \??\C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.sys
F7923000 - \SystemRoot\System32\Drivers\Aavmker4.SYS
F77AB000 - \SystemRoot\system32\DRIVERS\wanarp.sys
F77CB000 - \SystemRoot\system32\DRIVERS\LVUSBSta.sys
F197A000 - \SystemRoot\system32\DRIVERS\LV561AV.SYS
F77DB000 - \SystemRoot\system32\DRIVERS\STREAM.SYS
F1957000 - \SystemRoot\System32\Drivers\Fastfat.SYS
F6CC3000 - \SystemRoot\system32\DRIVERS\hidusb.sys
F77EB000 - \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
F792B000 - \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
F7933000 - \SystemRoot\system32\DRIVERS\USBSTOR.SYS
F6CBF000 - \SystemRoot\system32\DRIVERS\mouhid.sys
F760B000 - \SystemRoot\System32\Drivers\Cdfs.SYS
F1917000 - \SystemRoot\System32\Drivers\dump_atapi.sys
F7AAF000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS
BF800000 - \SystemRoot\System32\win32k.sys
F6CB3000 - \SystemRoot\System32\drivers\Dxapi.sys
F793B000 - \SystemRoot\System32\watchdog.sys
BF9C3000 - \SystemRoot\System32\drivers\dxg.sys
F7CC6000 - \SystemRoot\System32\drivers\dxgthk.sys
BF9D5000 - \SystemRoot\System32\SiSGRV.dll
F181B000 - \SystemRoot\system32\DRIVERS\ndisuio.sys
F15E9000 - \SystemRoot\System32\Drivers\aswMon2.SYS
F141C000 - \SystemRoot\system32\drivers\wdmaud.sys
F1521000 - \SystemRoot\system32\drivers\sysaudio.sys
F7B0D000 - \SystemRoot\System32\Drivers\ParVdm.SYS
F114C000 - \SystemRoot\system32\DRIVERS\secdrv.sys
F10FA000 - \SystemRoot\system32\DRIVERS\srv.sys
F0E89000 - \SystemRoot\System32\Drivers\HTTP.sys
F0ECE000 - \SystemRoot\System32\Drivers\aswRdr.SYS
F7B76000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

Total number of drivers = 118

Liste des programmes installes

30+ Free Patience
Archiveur WinRAR
Ashampoo WinOptimizer Platinum Suite 2
avast! Antivirus
AVG Anti-Spyware 7.5
BaboViolent 2.07
CCleaner (remove only)
Devastation
Diner Dash 2 (remove only)
FileZilla (remove only)
HijackThis 1.99.1
Jasc Paint Shop Pro 9
Jasc Paint Shop Pro 9.01 Patch
Java(TM) SE Runtime Environment 6 Update 1
K-Lite Codec Pack 2.75 Full
La Menace Fantôme de LucasArts
la version d'évaluation de Namo WebEdiotor 6
Leisure Suit Larry - Magna Cum Laude
Leisure Suit Larry - Magna Cum Laude
Magic Ball 3
Messenger Plus! Live
Microsoft Visual C++ 2005 Redistributable
Mise à jour pour Windows XP (KB936357)
MSXML 4.0 SP2 (KB927978)
Namo WebUtilities
Nero 6 Ultra Edition
Pack Vista Inspirat 1.1
Pro Pinball : Fantastic Journey
Quake 4(TM)
Quake 4(TM)
Realtek AC'97 Audio
RomuStrike 138c
RomuStrike Xml4
SiS VGA Utilities
SiSAGP driver
Spybot - Search & Destroy 1.4
Star Wars Jedi Knight Jedi Academy
TeamSpeak 2 RC2
Tiger Woods PGA TOUR 06
Total Annihilation
Total Overdose
VMN Toolbar
WebFldrs XP
Winamp (remove only)
Windows Genuine Advantage Notifications (KB905474)
Windows Genuine Advantage Validation Tool
Windows Live Messenger
Windows Live Sign-in Assistant
Worms Forts Under Siege
Worms World Party
ZBrush3
Zion++ Vert 2.16



Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 0C4C-C822

Répertoire de C:\Program Files

11/07/2007 00:42 <REP> .
11/07/2007 00:42 <REP> ..
10/07/2007 23:10 <REP> Adobe
07/07/2007 21:08 <REP> CCleaner
04/07/2007 20:37 <REP> directx
10/07/2007 23:25 <REP> Fichiers communs
11/07/2007 00:42 <REP> Grisoft
12/06/2007 23:15 <REP> Internet Explorer
06/06/2007 01:02 <REP> Java
07/06/2007 00:55 <REP> K-Lite Codec Pack
05/06/2007 09:09 <REP> microsoft frontpage
05/06/2007 09:06 <REP> Movie Maker
05/06/2007 09:09 <REP> msn gaming zone
20/06/2007 08:04 <REP> MSN Messenger
07/06/2007 16:55 <REP> MSXML 4.0
05/06/2007 09:09 <REP> netmeeting
12/06/2007 23:15 <REP> Outlook Express
06/07/2007 17:58 <REP> Realtek AC97
05/06/2007 09:07 <REP> Services en ligne
25/06/2007 22:19 <REP> SiS VGA Utilities V3.80
25/06/2007 22:19 <REP> sisagp
28/06/2007 18:11 <REP> vmntoolbar
07/06/2007 17:55 <REP> Winamp
05/06/2007 18:51 <REP> Windows Live
05/06/2007 09:09 <REP> Windows Media Player
05/06/2007 09:09 <REP> Windows NT
06/06/2007 20:52 <REP> WinRAR
05/06/2007 09:09 <REP> xerox
0 fichier(s) 0 octets
28 Rép(s) 4 284 502 016 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 0C4C-C822

Répertoire de C:\Program Files\fichiers communs

10/07/2007 23:25 <REP> .
10/07/2007 23:25 <REP> ..
07/06/2007 17:57 <REP> Ahead
10/07/2007 23:14 <REP> InstallShield
10/07/2007 23:25 <REP> Jasc Software Inc
06/06/2007 01:00 <REP> Java
05/07/2007 00:54 <REP> Microsoft Shared
05/06/2007 09:06 <REP> MSSoap
05/06/2007 09:06 <REP> Services
05/06/2007 11:00 <REP> SpeechEngines
12/06/2007 23:15 <REP> System
0 fichier(s) 0 octets
11 Rép(s) 4 284 502 016 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 0C4C-C822

Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

05/06/2007 12:32 <REP> .
05/06/2007 12:32 <REP> ..
18/05/2001 15:57 561 209 MSONSEXT.DLL
03/06/1999 12:09 122 937 MSOWS409.DLL
07/03/2001 07:00 127 033 MSOWS40c.DLL
3 fichier(s) 811 179 octets
2 Rép(s) 4 284 502 016 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 0C4C-C822

Répertoire de C:\

12/05/2007 18:22 68 096 diff.exe
12/05/2007 18:22 103 424 grep.exe
2 fichier(s) 171 520 octets
0 Rép(s) 4 284 502 016 octets libres
c:\Documents and Settings\Administrateur\Bureau\ccsetup140.exe
c:\Documents and Settings\HarmOnyk\.housecall6.6\patch.exe
c:\Documents and Settings\HarmOnyk\.housecall6.6\tsc.exe
c:\Documents and Settings\HarmOnyk\Application Data\Microsoft\Installer\{051E7B99-6D35-4905-BAF3-740893EF657A}\Icon051E7B992.exe
c:\Documents and Settings\HarmOnyk\Application Data\Microsoft\Installer\{051E7B99-6D35-4905-BAF3-740893EF657A}\Icon051E7B993.exe
c:\Documents and Settings\HarmOnyk\Application Data\Microsoft\Installer\{6084D038-3401-4C9D-A216-86E6EEA25AFB}\ARPPRODUCTICON.exe
c:\Documents and Settings\HarmOnyk\Application Data\Microsoft\Installer\{6084D038-3401-4C9D-A216-86E6EEA25AFB}\UNINST_Uninstall_Z_6084D03834014C9DA21686E6EEA25AFB.exe
c:\Documents and Settings\HarmOnyk\Application Data\Microsoft\Installer\{6084D038-3401-4C9D-A216-86E6EEA25AFB}\ZBrush3.exe_6084D03834014C9DA21686E6EEA25AFB.exe
c:\Documents and Settings\HarmOnyk\Application Data\Microsoft\Installer\{6084D038-3401-4C9D-A216-86E6EEA25AFB}\ZBrush3.exe1_6084D03834014C9DA21686E6EEA25AFB.exe
c:\Documents and Settings\HarmOnyk\Application Data\Microsoft\Installer\{917E73C2-C7DA-4C12-9774-A6A2730BCAAB}\ARPPRODUCTICON.exe
c:\Documents and Settings\HarmOnyk\Application Data\Microsoft\Installer\{917E73C2-C7DA-4C12-9774-A6A2730BCAAB}\NewShortcut1_5AF90193CBA147C0B255378E5E8C61DE.exe
c:\Documents and Settings\HarmOnyk\Application Data\Microsoft\Installer\{917E73C2-C7DA-4C12-9774-A6A2730BCAAB}\NewShortcut2_5AF90193CBA147C0B255378E5E8C61DE.exe
c:\Documents and Settings\HarmOnyk\Application Data\Microsoft\Installer\{917E73C2-C7DA-4C12-9774-A6A2730BCAAB}\NewShortcut5_5AF90193CBA147C0B255378E5E8C61DE.exe
c:\Documents and Settings\HarmOnyk\Application Data\Microsoft\Installer\{917E73C2-C7DA-4C12-9774-A6A2730BCAAB}\NewShortcut8_917E73C2C7DA4C129774A6A2730BCAAB.exe
c:\Documents and Settings\HarmOnyk\Bureau\aidioforum.exe
c:\Documents and Settings\HarmOnyk\Bureau\avgas-setup-7.5.0.50.exe
c:\Documents and Settings\HarmOnyk\Bureau\bv2_07_setup.exe
c:\Documents and Settings\HarmOnyk\Bureau\Fixwareout.exe
c:\Documents and Settings\HarmOnyk\Bureau\gsdemo.exe
c:\Documents and Settings\HarmOnyk\Bureau\KumoonSetup.exe
c:\Documents and Settings\HarmOnyk\Bureau\clean\clean\pskill.exe
c:\Documents and Settings\HarmOnyk\Bureau\cube_2003_12_23\cube\bin\cube.exe
c:\Documents and Settings\HarmOnyk\Bureau\DiagHelp\catchme.exe
c:\Documents and Settings\HarmOnyk\Bureau\DiagHelp\diff.exe
c:\Documents and Settings\HarmOnyk\Bureau\DiagHelp\dumphive.exe
c:\Documents and Settings\HarmOnyk\Bureau\DiagHelp\FilesInfoCmd.exe
c:\Documents and Settings\HarmOnyk\Bureau\DiagHelp\find2.exe
c:\Documents and Settings\HarmOnyk\Bureau\DiagHelp\Fport.exe
c:\Documents and Settings\HarmOnyk\Bureau\DiagHelp\grep.exe
c:\Documents and Settings\HarmOnyk\Bureau\DiagHelp\KProcCheck.exe
c:\Documents and Settings\HarmOnyk\Bureau\DiagHelp\LFiles.exe
c:\Documents and Settings\HarmOnyk\Bureau\DiagHelp\LISTDLLS.exe
c:\Documents and Settings\HarmOnyk\Bureau\DiagHelp\pslist.exe
c:\Documents and Settings\HarmOnyk\Bureau\DiagHelp\streams.exe
c:\Documents and Settings\HarmOnyk\Bureau\DiagHelp\swreg.exe
c:\Documents and Settings\HarmOnyk\Menu Démarrer\Programmes\BitComet.exe
c:\Documents and Settings\HarmOnyk\Menu Démarrer\Programmes\daemon.exe
c:\Documents and Settings\HarmOnyk\Menu Démarrer\Programmes\emule.exe
c:\Documents and Settings\HarmOnyk\Menu Démarrer\Programmes\FL.exe
c:\Documents and Settings\HarmOnyk\Menu Démarrer\Programmes\SpybotSD.exe
c:\Documents and Settings\HarmOnyk\Menu Démarrer\Programmes\TeamSpeak.exe
c:\Documents and Settings\HarmOnyk\Menu Démarrer\Programmes\winamp.exe
c:\Documents and Settings\HarmOnyk\Menu Démarrer\Programmes\Zion++.exe
c:\Documents and Settings\HarmOnyk\Mes documents\game.exe
c:\Documents and Settings\All Users\Application Data\Grisoft\AVG Anti-Spyware 7.5\Downloads\help.dll
c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll
c:\Documents and Settings\All Users\Application Data\Microsoft\USMT\iconlib.dll
c:\Documents and Settings\HarmOnyk\Application Data\Mozilla\Firefox\Profiles\5s74wm4p.default\extensions\{7378B8C2-FC38-41b8-A8C9-875D1F5B0A24}\components\2kPrerequisite.dll
c:\Documents and Settings\HarmOnyk\Application Data\Mozilla\Firefox\Profiles\5s74wm4p.default\extensions\{7378B8C2-FC38-41b8-A8C9-875D1F5B0A24}\components\avcodec-51.dll
c:\Documents and Settings\HarmOnyk\Application Data\Mozilla\Firefox\Profiles\5s74wm4p.default\extensions\{7378B8C2-FC38-41b8-A8C9-875D1F5B0A24}\components\avformat-51.dll
c:\Documents and Settings\HarmOnyk\Application Data\Mozilla\Firefox\Profiles\5s74wm4p.default\extensions\{7378B8C2-FC38-41b8-A8C9-875D1F5B0A24}\components\avutil-49.dll
c:\Documents and Settings\HarmOnyk\Application Data\Mozilla\Firefox\Profiles\5s74wm4p.default\extensions\{7378B8C2-FC38-41b8-A8C9-875D1F5B0A24}\components\FFMpegBridge.dll
c:\Documents and Settings\HarmOnyk\Application Data\Mozilla\Firefox\Profiles\5s74wm4p.default\extensions\{7378B8C2-FC38-41b8-A8C9-875D1F5B0A24}\components\ImageShackCom.dll
c:\Documents and Settings\HarmOnyk\Application Data\Mozilla\Firefox\Profiles\5s74wm4p.default\extensions\{7378B8C2-FC38-41b8-A8C9-875D1F5B0A24}\components\msvcr71.dll
c:\Documents and Settings\HarmOnyk\Application Data\Mozilla\Firefox\Profiles\5s74wm4p.default\extensions\{7378B8C2-FC38-41b8-A8C9-875D1F5B0A24}\components\SDL.dll
c:\Documents and Settings\HarmOnyk\Application Data\Mozilla\Firefox\Profiles\5s74wm4p.default\extensions\{7378B8C2-FC38-41b8-A8C9-875D1F5B0A24}\components\swscale-0.dll
c:\Documents and Settings\LocalService\Application Data\Microsoft\UPnP Device Host\upnphost\udhisapi.dll

****** Fin du rapport DiagHelp


Fichtre! Je ne pensais pas avoir autant de trucs sur mon pc ^^
En ce qui concerne le fameux crack, j'avais telechargé le jeu sans encore avoir été voir ce qu'il contenait...
Merci encore pour tout Gof

 

Gof

Avatar de Gof
846 messages
Carte Mère
Carte Mère

Lien direct Le 13 Juillet 2007 à 03h38

Bonsoir harmonyk Sourire

Procède à une analyse en ligne je te prie.

    [*:2qmd09th]Fais un scan en ligne Kaspersky avec Internet Explorer :[/*:m:2qmd09th]
    [*:2qmd09th]Clique sur [/*:m:2qmd09th]
    [*:2qmd09th]Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.[/*:m:2qmd09th]
    [*:2qmd09th]Patiente pendant l'installation des Mises à jour.[/*:m:2qmd09th]
    [*:2qmd09th]Choisis par la suite l'analyse du Poste de travail[/*:m:2qmd09th]
    [*:2qmd09th]Sauvegarde puis colle le rapport généré en fin d'analyse.[/*:m:2qmd09th]



AIDE : Configurer le contrôle des ActiveX

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

Peux tu m'indiquer également comment se comporte le pc, il y a-t-il du mieux par rapport aux soucis énoncés dans le premier post du sujet ?

A bientôt

 

harmonyk

Avatar de harmonyk
33 messages
Disquette
Disquette

Lien direct Le 17 Juillet 2007 à 13h49

Bonjour !désolé de mon absence, vacances oblige ^^
voici donc le rapport
Sinon tout va bien sur mon pc, merci énormément !!!

 

Gof

Avatar de Gof
846 messages
Carte Mère
Carte Mère

Lien direct Le 18 Juillet 2007 à 00h23

Bonsoir harmonykSourire

Eh bien, voila un beau rapport, en html en plus, je n'en demandais pas tant:-P

Je t'avais fait télécharger les outils suivants : hijackthis, fixwareout, clean et diaghelp. Tu peux les supprimer, n'oublie pas les rapports associés et les archives (zip) initialement téléchargées.

Tu as téléchargé et installé CCleaner et AVG AS suite à la pré-procédure de nettoyage. Je te suggère de les conserver ; le premier pour des opérations de nettoyage de temps en temps, et le deuxième très efficace en analyse en mode sans échec. Tu perdras la gratuité du résident (le "guard") au bout du trentième jour suite à son installation, mais tu pourras toujours le mettre à jour et l'utiliser en analyse ponctuelle.

Je vais te demander un service à mon tour à présent, je te serais reconnaissant de rapporter ton infection sur Malware Complaints. Je t'invite à consulter ce lien pour voir de quoi il s'agit. Je te remercie par avance, c'est importantClin d'oeil Dans ton cas, tu as été infecté par une infection de type Wareout, il te faudra donc, si tu le veux bien, poster dans la partie Autres infections.

Enfin, je t'invite aussi à consulter cette page où tu trouveras une concentration de divers liens d'articles de prévention, de téléchargements d'utilitaires et de tutoriels associés.

Si tu n'as plus de questions, passe ton sujet en "résolu" comme indiqué ici. Si non, je t'invite à me les poser.

A bientôt, bon surf.Clin d'oeil

 

harmonyk

Avatar de harmonyk
33 messages
Disquette
Disquette

Lien direct Le 18 Juillet 2007 à 00h32

:D Merci pour tout Gof !!!
je saurais vers qui me tourner la prochaine fois ^^
pour toi un HIPHIPHIP HOURRAAAAA

problème résolu .

 

<<<1>>>

[Page 1 sur 1 - 15 messages]