| Infection par virus win32: Fraud Tool - GI [Tool] | |
|
|
|
Auteur | Message |
---|
gruik63 Bibouactif
Nombre de messages : 58 Age : 61 Localisation : france Date d'inscription : 01/04/2008
| Sujet: Infection par virus win32: Fraud Tool - GI [Tool] Mar 9 Sep 2008 - 22:24 | |
| Bonsoir Bibou,
de retour sur le forum pour une nouvelle demande d' aide en ligne. Mon PC est infecté par un virus nommé win32: Fraud Tool -GI[Tool], conséquence une fenêtre d' alerte Avast apparait toutes les dix secondes pour me prévenir qu'un logiciel malveillant a été trouvé sur mon PC. Avast ne parvient pas à eliminer le problèm, je ne peux quasiment plus travailler sur ce PC et j' utilise mon portable pour t' écrire. Y a t'il une solution pour stopper ce virus.
Merci d' avance pour ton aide
Cdlt
Gruik63 | |
|
| |
GrosBébé Moderateurs (trices)
Nombre de messages : 6878 Age : 43 Localisation : devant le pc Date d'inscription : 18/12/2007
| Sujet: Re: Infection par virus win32: Fraud Tool - GI [Tool] Mar 9 Sep 2008 - 22:29 | |
| Bonsoir Gruik63 et bienvenu On va regarder ça. Est ce que tu pourrais me dire où a été détecté ce virus ? (dans quel dossier) Clique ici pour télécharger random's system information tool (RSIT) par random/random et sauvegarde le sur ton Bureau
- Double-clique sur RSIT.exe pour l'exécuter.
- Clique sur le bouton "Continue" sur la fenêtre d'avertissement.
- Une fois le scan terminé, tu auras deux rapports qui seront ouverts : log.txt et info.txt (c:\rsit)
- Poste les dans ta prochaine réponse s'il te plait
Note : un rapport hijackthis est contenu dans le rapport log.txt | |
|
| |
gruik63 Bibouactif
Nombre de messages : 58 Age : 61 Localisation : france Date d'inscription : 01/04/2008
| Sujet: Re: Infection par virus win32: Fraud Tool - GI [Tool] Mar 9 Sep 2008 - 22:48 | |
| Bonsoir Accass
ci après le nom des fichiers qui reviennent sur le message d'alerte :
C:\DOCUME~1\SABINE~1\LOCALS~1\Temp\WERe468.dir00\Ad-Aware.exe.hdmp C:\WINDOWS\system32\pphcetvj0ec8v.exe
Ai lancé random' s system l' analyse est elle longue car la barre de progression n' a pas dépassé les 1/3 depuis qqes minutes ? | |
|
| |
GrosBébé Moderateurs (trices)
Nombre de messages : 6878 Age : 43 Localisation : devant le pc Date d'inscription : 18/12/2007
| Sujet: Re: Infection par virus win32: Fraud Tool - GI [Tool] Mar 9 Sep 2008 - 22:54 | |
| Ok, je vois ce que c'est, ce n'est pas long (quelques secondes voir minutes) Si au bout de 20 minutes, ça coince encore (mais laisse lui quand même 20 minutes ), arrête le et : Clique ici pour télécharger OTViewIt de OldTimer sur ton bureau.
- Ferme toutes les fenêtres et applications.
- Double clique sur OTViewIt.exe pour le lancer
- Dans la liste déroulante "File Age" choisis : 30 days
- Clique sur le bouton "Run Scan"
Dans quelques minutes le bloc note va s'ouvrir, poste les deux rapports obtenus dans ta prochaine réponse.
Ils sont placés sur ton bureau : OTViewIt.txt et Extras.txt | |
|
| |
gruik63 Bibouactif
Nombre de messages : 58 Age : 61 Localisation : france Date d'inscription : 01/04/2008
| Sujet: Re: Infection par virus win32: Fraud Tool - GI [Tool] Mar 9 Sep 2008 - 23:12 | |
| Accass
ci dessous l' analyse Random log.txt en plusieurs messages
Logfile of random's system information tool (written by random/random) Run by SABINE ET FRED at 2008-09-09 22:54:25 Microsoft Windows XP Édition familiale Service Pack 3 System drive C: has 29 GB (18%) free of 157 GB Total RAM: 1023 MB (42% free)
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:54:30, on 09/09/2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal
Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Program Files\Bonjour\mDNSResponder.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Program Files\Logitech\Video\LogiTray.exe C:\WINDOWS\system32\LVCOMSX.EXE C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe C:\Program Files\HP\HP Software Update\HPWuSchd2.exe C:\Program Files\iTunes\iTunesHelper.exe C:\WINDOWS\system32\lphcetvj0ec8v.exe C:\Program Files\rhcatvj0ec8v\rhcatvj0ec8v.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Program Files\TomTom HOME 2\HOMERunner.exe C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe C:\Program Files\Logitech\SetPoint\SetPoint.exe C:\Program Files\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe C:\Program Files\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe C:\Program Files\Fichiers communs\Logitech\KHAL\KHALMNPR.EXE C:\Program Files\Logitech\Video\FxSvr2.exe C:\Program Files\iPod\bin\iPodService.exe C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe C:\Program Files\HP\Digital Imaging\bin\hpqnrs08.exe C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe C:\WINDOWS\system32\HPZinw12.exe C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Documents and Settings\SABINE ET FRED\Bureau\RSIT.exe C:\Program Files\Trend Micro\HijackThis\SABINE ET FRED.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/webhp?sourceid=navclient&hl=fr&ie=UTF-8 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.emjysoft.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [Emjysoft_Anti-spam] C:\Program Files\Emjysoft\Anti-Spam\antispam.exe O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime Alternative\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [lphcetvj0ec8v] C:\WINDOWS\system32\lphcetvj0ec8v.exe O4 - HKLM\..\Run: [SMrhcatvj0ec8v] C:\Program Files\rhcatvj0ec8v\rhcatvj0ec8v.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe O4 - HKCU\..\Run: [Spamihilator] "C:\Program Files\Spamihilator\spamihilator.exe" O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME 2\HOMERunner.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe O4 - Global Startup: Picture Package Menu.lnk = ? O4 - Global Startup: Picture Package VCD Maker.lnk = ? O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1174052227796 O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://asp07.photoprintit.de/microsite/12188/defaults/activex/IPSUploader.cab O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O24 - Desktop Component 1: (no name) - http://fr.beijing2008.cn/index.shtml
-- End of file - 10516 bytes | |
|
| |
gruik63 Bibouactif
Nombre de messages : 58 Age : 61 Localisation : france Date d'inscription : 01/04/2008
| Sujet: Re: Infection par virus win32: Fraud Tool - GI [Tool] Mar 9 Sep 2008 - 23:12 | |
| log.txt message 2
Scheduled tasks folder
C:\WINDOWS\tasks\AppleSoftwareUpdate.job
Registry dump
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}] Adobe PDF Reader Link Helper - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2006-01-12 63128]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}] C:\PROGRA~1\SPYBOT~1\SDHelper.dll [2005-05-31 853672]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}] SSVHelper Class - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll [2008-06-10 509328]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7E853D72-626A-48EC-A868-BA8D5E23E045}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}] Windows Live Sign-in Helper - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2006-08-31 322368]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}] Google Toolbar Helper - c:\program files\google\googletoolbar2.dll [2007-07-22 2436160]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}] Google Toolbar Notifier BHO - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll [2007-07-25 325048]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] {2318C2B1-4965-11d4-9B18-009027A5CD4F} - &Google - c:\program files\google\googletoolbar2.dll [2007-07-22 2436160]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "avast!"=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe [2008-07-19 78008] "Emjysoft_Anti-spam"=C:\Program Files\Emjysoft\Anti-Spam\antispam.exe [] "LogitechVideoRepair"=C:\Program Files\Logitech\Video\ISStart.exe [2004-02-25 454656] "LogitechVideoTray"=C:\Program Files\Logitech\Video\LogiTray.exe [2004-02-25 212992] "LVCOMSX"=C:\WINDOWS\system32\LVCOMSX.EXE [2004-02-25 221184] "PinnacleDriverCheck"=C:\WINDOWS\system32\\PSDrvCheck.exe [2004-03-11 406016] "SunJavaUpdateSched"=C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe [2008-06-10 144784] "HP Software Update"=C:\Program Files\HP\HP Software Update\HPWuSchd2.exe [2006-02-19 49152] "AppleSyncNotifier"=C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe [2008-07-22 116040] "QuickTime Task"=C:\Program Files\QuickTime Alternative\qttask.exe [2008-05-27 413696] "iTunesHelper"=C:\Program Files\iTunes\iTunesHelper.exe [2008-07-30 289064] "lphcetvj0ec8v"=C:\WINDOWS\system32\lphcetvj0ec8v.exe [2008-09-07 203776] "SMrhcatvj0ec8v"=C:\Program Files\rhcatvj0ec8v\rhcatvj0ec8v.exe [2008-09-05 831488]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360] "MSMSGS"=C:\Program Files\Messenger\msmsgs.exe [2008-04-14 1695232] "swg"=C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [2007-07-25 68856] "LDM"=C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe [] "Spamihilator"=C:\Program Files\Spamihilator\spamihilator.exe [] "TomTomHOME.exe"=C:\Program Files\TomTom HOME 2\HOMERunner.exe [2008-05-06 202088]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam] c:\program files\valve\steam\steam.exe [2008-04-05 1271032]
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage Adobe Gamma Loader.exe.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe Démarrage rapide de HP Photosmart Premier.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe Logitech Desktop Messenger.lnk - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe Logitech SetPoint.lnk - C:\Program Files\Logitech\SetPoint\SetPoint.exe Picture Package Menu.lnk - C:\Program Files\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe Picture Package VCD Maker.lnk - C:\Program Files\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent] C:\WINDOWS\system32\Ati2evxx.dll [2007-02-02 110592]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon] C:\WINDOWS\system32\WgaLogon.dll [2007-02-15 236928]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] "SecurityProviders"=msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll,
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TDSSserv.sys]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\TDSSserv.sys]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "NoDispScrSavPage"=0
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "C:\Program Files\MSN Messenger\msncall.exe"="C:\Program Files\MSN Messenger\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)" "C:\WINDOWS\system32\dpvsetup.exe"="C:\WINDOWS\system32\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test" "C:\WINDOWS\system32\rundll32.exe"="C:\WINDOWS\system32\rundll32.exe:*:Enabled:Exécuter une DLL en tant qu'application" "C:\Program Files\eMule\emule.exe"="C:\Program Files\eMule\emule.exe:*:Enabled:eMule" "C:\Program Files\Pinnacle\Studio 10\programs\RM.exe"="C:\Program Files\Pinnacle\Studio 10\programs\RM.exe:*:Enabled:Render Manager" "C:\Program Files\Pinnacle\Studio 10\programs\Studio.exe"="C:\Program Files\Pinnacle\Studio 10\programs\Studio.exe:*:Enabled:Studio" "C:\Program Files\Pinnacle\Studio 10\programs\PMSRegisterFile.exe"="C:\Program Files\Pinnacle\Studio 10\programs\PMSRegisterFile.exe:*:Enabled:PMSRegisterFile" "C:\Program Files\Pinnacle\Studio 10\programs\umi.exe"="C:\Program Files\Pinnacle\Studio 10\programs\umi.exe:*:Enabled:umi" "C:\Program Files\Valve\Steam\SteamApps\roymost\condition zero\hl.exe"="C:\Program Files\Valve\Steam\SteamApps\roymost\condition zero\hl.exe:*:Enabled:Half-Life Launcher" "C:\Program Files\Valve\Steam\SteamApps\roymost\condition zero deleted scenes\hl.exe"="C:\Program Files\Valve\Steam\SteamApps\roymost\condition zero deleted scenes\hl.exe:*:Enabled:Half-Life Launcher" "C:\Program Files\Valve\Steam\SteamApps\roymost\deathmatch classic\hl.exe"="C:\Program Files\Valve\Steam\SteamApps\roymost\deathmatch classic\hl.exe:*:Enabled:Half-Life Launcher" "C:\Program Files\Fichiers communs\PocketSoft\RTPatch\AutoRTP\artpschd.exe"="C:\Program Files\Fichiers communs\PocketSoft\RTPatch\AutoRTP\artpschd.exe:*:Enabled:artpschd" "C:\Program Files\Valve\Steam\SteamApps\roymost\counter-strike\hl.exe"="C:\Program Files\Valve\Steam\SteamApps\roymost\counter-strike\hl.exe:*:Enabled:Half-Life Launcher" "C:\Program Files\EA GAMES\Battlefield 1942\BF1942.exe"="C:\Program Files\EA GAMES\Battlefield 1942\BF1942.exe:*:Enabled:BF1942" "C:\Program Files\Valve\Steam\steam.exe"="C:\Program Files\Valve\Steam\steam.exe:*:Enabled:Steam" "C:\Program Files\Electronic Arts\Battlefield 2142\BF2142.exe"="C:\Program Files\Electronic Arts\Battlefield 2142\BF2142.exe:*:Enabled:Battlefield 2" "C:\Program Files\EA GAMES\Battlefield 1942\BF1942_w32ded.exe"="C:\Program Files\EA GAMES\Battlefield 1942\BF1942_w32ded.exe:*:Enabled:BF1942_w32ded" "C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe"="C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:*:Enabled:Logitech Desktop Messenger" "C:\Program Files\Shareaza\Shareaza.exe"="C:\Program Files\Shareaza\Shareaza.exe:*:Enabled:Shareaza" "C:\Program Files\Microsoft Games\Age of Empires III\age3x.exe"="C:\Program Files\Microsoft Games\Age of Empires III\age3x.exe:*:Enabled:Age of Empires III - The WarChiefs" "C:\WINDOWS\system32\spoolsv.exe"="C:\WINDOWS\system32\spoolsv.exe:*:Enabled:Spooler SubSystem App" "F:\setup\HPZnet01.exe"="F:\setup\HPZnet01.exe:*:Enabled:hpznet01.exe" "F:\setup\hponicifs01.exe"="F:\setup\hponicifs01.exe:*:Enabled:hponicifs01.exe" "C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe"="C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe:*:Enabled:hpqtra08.exe" "C:\Program Files\HP\Digital Imaging\bin\hpqste08.exe"="C:\Program Files\HP\Digital Imaging\bin\hpqste08.exe:*:Enabled:hpqste08.exe" "C:\Program Files\HP\Digital Imaging\bin\hpofxm08.exe"="C:\Program Files\HP\Digital Imaging\bin\hpofxm08.exe:*:Enabled:hpofxm08.exe" "C:\Program Files\HP\Digital Imaging\bin\hposfx08.exe"="C:\Program Files\HP\Digital Imaging\bin\hposfx08.exe:*:Enabled:hposfx08.exe" "C:\Program Files\HP\Digital Imaging\bin\hposid01.exe"="C:\Program Files\HP\Digital Imaging\bin\hposid01.exe:*:Enabled:hposid01.exe" "C:\Program Files\HP\Digital Imaging\bin\hpqscnvw.exe"="C:\Program Files\HP\Digital Imaging\bin\hpqscnvw.exe:*:Enabled:hpqscnvw.exe" "C:\Program Files\HP\Digital Imaging\bin\hpqkygrp.exe"="C:\Program Files\HP\Digital Imaging\bin\hpqkygrp.exe:*:Enabled:hpqkygrp.exe" "C:\Program Files\HP\Digital Imaging\bin\hpqCopy.exe"="C:\Program Files\HP\Digital Imaging\bin\hpqCopy.exe:*:Enabled:hpqcopy.exe" "C:\Program Files\HP\Digital Imaging\bin\hpfccopy.exe"="C:\Program Files\HP\Digital Imaging\bin\hpfccopy.exe:*:Enabled:hpfccopy.exe" "C:\Program Files\HP\Digital Imaging\bin\hpzwiz01.exe"="C:\Program Files\HP\Digital Imaging\bin\hpzwiz01.exe:*:Enabled:hpzwiz01.exe" "C:\Program Files\HP\Digital Imaging\Unload\HpqPhUnl.exe"="C:\Program Files\HP\Digital Imaging\Unload\HpqPhUnl.exe:*:Enabled:hpqphunl.exe" "C:\Program Files\HP\Digital Imaging\Unload\HpqDIA.exe"="C:\Program Files\HP\Digital Imaging\Unload\HpqDIA.exe:*:Enabled:hpqdia.exe" "C:\Program Files\HP\Digital Imaging\bin\hpoews01.exe"="C:\Program Files\HP\Digital Imaging\bin\hpoews01.exe:*:Enabled:hpoews01.exe" "C:\Program Files\HP\Digital Imaging\bin\hpqnrs08.exe"="C:\Program Files\HP\Digital Imaging\bin\hpqnrs08.exe:*:Enabled:hpqnrs08.exe" "C:\Program Files\Microsoft Games\Motocross Madness\mcm.exe"="C:\Program Files\Microsoft Games\Motocross Madness\mcm.exe:*:Disabled:Microsoft® Motocross Madness" "C:\Program Files\Bonjour\mDNSResponder.exe"="C:\Program Files\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour" "C:\Program Files\iTunes\iTunes.exe"="C:\Program Files\iTunes\iTunes.exe:*:Enabled:iTunes" "C:\Program Files\MSN Messenger\msnmsgr.exe"="C:\Program Files\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1" "C:\Program Files\MSN Messenger\livecall.exe"="C:\Program Files\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)" "C:\Program Files\Microsoft Games\Age of Empires III\age3y.exe"="C:\Program Files\Microsoft Games\Age of Empires III\age3y.exe:*:Enabled:Age of Empires III - The Asian Dynasties" "C:\WINDOWS\system32\drivers\svchost.exe"="C:\WINDOWS\system32\drivers\svchost.exe:*:Disabled:svchost"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "C:\Program Files\MSN Messenger\msncall.exe"="C:\Program Files\MSN Messenger\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)" "C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe"="C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:*:Enabled:Logitech Desktop Messenger" "C:\Program Files\MSN Messenger\msnmsgr.exe"="C:\Program Files\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1" "C:\Program Files\MSN Messenger\livecall.exe"="C:\Program Files\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
File associations | |
|
| |
gruik63 Bibouactif
Nombre de messages : 58 Age : 61 Localisation : france Date d'inscription : 01/04/2008
| Sujet: Re: Infection par virus win32: Fraud Tool - GI [Tool] Mar 9 Sep 2008 - 23:13 | |
| log.txt message 3
File associations
.reg - open - regedit.exe "%1" %* .scr - open - "%1" %*
List of files/folders created in the last three months
2008-09-09 22:47:46 ----A---- C:\WINDOWS\system32\pphcetvj0ec8v.exe 2008-09-09 22:47:46 ----A---- C:\WINDOWS\system32\418.tmp 2008-09-09 22:47:46 ----A---- C:\WINDOWS\system32\417.tmp 2008-09-09 22:41:22 ----D---- C:\rsit 2008-09-09 19:16:12 ----A---- C:\WINDOWS\system32\3E2.tmp 2008-09-09 19:16:12 ----A---- C:\WINDOWS\system32\3E1.tmp 2008-09-08 19:53:06 ----N---- C:\WINDOWS\system32\trz2DE.tmp 2008-09-08 19:52:16 ----N---- C:\WINDOWS\system32\trz2CB.tmp 2008-09-07 23:08:11 ----D---- C:\Documents and Settings\SABINE ET FRED\Application Data\rhcatvj0ec8v 2008-09-07 23:08:08 ----D---- C:\Program Files\rhcatvj0ec8v 2008-09-07 18:43:42 ----A---- C:\WINDOWS\system32\tdssinit.dll 2008-09-07 18:43:40 ----A---- C:\WINDOWS\system32\tdsslog.dll 2008-09-07 18:43:40 ----A---- C:\WINDOWS\system32\tdssadw.dll 2008-09-07 18:43:39 ----A---- C:\WINDOWS\system32\tdssmain.dll 2008-09-07 18:43:01 ----A---- C:\WINDOWS\system32\lphcetvj0ec8v.exe 2008-08-28 23:39:51 ----D---- C:\Program Files\CVitae 2008-08-28 18:38:45 ----HDC---- C:\WINDOWS\$NtUninstallKB951978$ 2008-08-28 14:31:51 ----A---- C:\WINDOWS\OEWABLog.txt 2008-08-28 14:30:47 ----D---- C:\WINDOWS\Prefetch 2008-08-28 13:01:08 ----HDC---- C:\WINDOWS\$NtUninstallKB952954$ 2008-08-28 13:01:01 ----HDC---- C:\WINDOWS\$NtUninstallKB952287$ 2008-08-28 13:00:53 ----HDC---- C:\WINDOWS\$NtUninstallKB951748$ 2008-08-28 13:00:46 ----HDC---- C:\WINDOWS\$NtUninstallKB951698$ 2008-08-28 13:00:40 ----HDC---- C:\WINDOWS\$NtUninstallKB951376-v2$ 2008-08-28 13:00:33 ----HDC---- C:\WINDOWS\$NtUninstallKB951376$ 2008-08-28 13:00:24 ----HDC---- C:\WINDOWS\$NtUninstallKB951066$ 2008-08-28 13:00:18 ----HDC---- C:\WINDOWS\$NtUninstallKB950974$ 2008-08-28 13:00:11 ----HDC---- C:\WINDOWS\$NtUninstallKB950762$ 2008-08-28 13:00:02 ----HDC---- C:\WINDOWS\$NtUninstallKB946648$ 2008-08-28 12:57:57 ----A---- C:\WINDOWS\setuplog.txt 2008-08-28 12:56:36 ----D---- C:\WINDOWS\system32\fr 2008-08-28 12:56:36 ----D---- C:\WINDOWS\l2schemas 2008-08-28 12:56:35 ----D---- C:\WINDOWS\system32\bits 2008-08-28 12:53:32 ----D---- C:\WINDOWS\ServicePackFiles 2008-08-28 12:45:23 ----HDC---- C:\WINDOWS\$NtServicePackUninstall$ 2008-08-28 12:45:21 ----D---- C:\WINDOWS\EHome 2008-08-27 21:24:58 ----HDC---- C:\WINDOWS\$NtUninstallKB952954_0$ 2008-08-27 21:21:29 ----HDC---- C:\WINDOWS\$NtUninstallKB946648_0$ 2008-08-27 21:21:20 ----HDC---- C:\WINDOWS\$NtUninstallKB953839$ 2008-08-27 21:19:57 ----HDC---- C:\WINDOWS\$NtUninstallKB950974_0$ 2008-08-27 21:16:36 ----HDC---- C:\WINDOWS\$NtUninstallKB951072-v2$ 2008-08-27 21:16:28 ----HDC---- C:\WINDOWS\$NtUninstallKB952287_0$ 2008-08-27 21:15:40 ----HDC---- C:\WINDOWS\$NtUninstallKB951066_0$ 2008-08-11 14:17:24 ----D---- C:\Documents and Settings\All Users\Application Data\BOONTY 2008-08-11 14:17:19 ----D---- C:\Program Files\Fichiers communs\BOONTY Shared 2008-08-11 14:17:12 ----D---- C:\Program Files\Téléchargeur de Virtual Music Studio 2008-08-11 14:16:56 ----D---- C:\Program Files\BoontyGames 2008-08-11 14:16:55 ----D---- C:\Program Files\Boonty 2008-08-03 10:47:16 ----D---- C:\Program Files\Bonjour 2008-07-31 12:32:47 ----D---- C:\Program Files\Fichiers communs\DESIGNER 2008-07-19 11:33:59 ----D---- C:\Program Files\Sun 2008-07-19 11:33:44 ----A---- C:\WINDOWS\system32\javaws.exe 2008-07-19 11:33:44 ----A---- C:\WINDOWS\system32\javaw.exe 2008-07-19 11:33:44 ----A---- C:\WINDOWS\system32\java.exe 2008-07-09 21:09:01 ----HDC---- C:\WINDOWS\$NtUninstallKB951748_0$ 2008-06-23 15:41:14 ----D---- C:\Program Files\GUILD WARS 2008-06-21 17:09:26 ----A---- C:\WINDOWS\system32\mpg4c32.dll 2008-06-20 19:30:52 ----HDC---- C:\WINDOWS\$NtUninstallKB951376-v2_0$ 2008-06-17 23:50:04 ----D---- C:\Program Files\Microids 2008-06-13 14:09:11 ----RHD---- C:\Documents and Settings\SABINE ET FRED\Application Data\SecuROM 2008-06-11 23:21:22 ----HDC---- C:\WINDOWS\$NtUninstallKB951698_0$ 2008-06-11 23:21:16 ----HDC---- C:\WINDOWS\$NtUninstallKB950762_0$ 2008-06-11 23:21:11 ----HDC---- C:\WINDOWS\$NtUninstallKB950760$ 2008-06-11 23:21:02 ----HDC---- C:\WINDOWS\$NtUninstallKB951376_0$
List of drivers
R1 Aavmker4;avast! Asynchronous Virus Monitor; C:\WINDOWS\system32\drivers\Aavmker4.sys [2008-07-19 26944] R1 AmdK7;Pilote de processeur AMD K7; C:\WINDOWS\system32\DRIVERS\amdk7.sys [2008-04-14 41856] R1 aswSP;avast! Self Protection; C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 78416] R1 aswTdi;avast! Network Shield Support; C:\WINDOWS\system32\drivers\aswTdi.sys [2008-07-19 42912] R1 cdrbsdrv;cdrbsdrv; C:\WINDOWS\system32\drivers\cdrbsdrv.sys [2004-03-08 13567] R1 kbdhid;Pilote HID de clavier; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-14 14720] R1 PCLEPCI;PCLEPCI; \??\C:\WINDOWS\system32\drivers\pclepci.sys [] R2 Aspi32;Aspi32; C:\WINDOWS\system32\drivers\Aspi32.sys [1999-09-10 25244] R2 aswFsBlk;aswFsBlk; C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560] R2 aswMon2;avast! Standard Shield Support; C:\WINDOWS\system32\drivers\aswMon2.sys [2008-07-19 94416] R3 Arp1394;Protocole client ARP 1394; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2008-04-13 60800] R3 ASAPIW2K;ASAPIW2K; C:\WINDOWS\System32\Drivers\ASAPIW2K.sys [2005-01-10 11264] R3 aswRdr;aswRdr; C:\WINDOWS\system32\drivers\aswRdr.sys [2008-07-19 23152] R3 ati2mtag;ati2mtag; C:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2007-02-02 1975296] R3 GEARAspiWDM;GEARAspiWDM; C:\WINDOWS\System32\Drivers\GEARAspiWDM.sys [2008-01-29 16168] R3 HidUsb;Pilote de classe HID Microsoft; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368] R3 L8042Kbd;Logitech SetPoint Keyboard Driver; C:\WINDOWS\system32\DRIVERS\L8042Kbd.sys [2005-07-23 13440] R3 mouhid;Pilote HID de souris; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-23 12288] R3 ms_mpu401;Pilote UART MIDI MPU-401 Microsoft; C:\WINDOWS\system32\drivers\msmpu401.sys [2001-08-18 2944] R3 NIC1394;Pilote réseau 1394; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2008-04-13 61824] R3 nvax;Service for NVIDIA(R) nForce(TM) Audio Enumerator; C:\WINDOWS\system32\drivers\nvax.sys [2002-12-05 13056] R3 NVENET;NVIDIA nForce MCP Networking Adapter Driver; C:\WINDOWS\system32\DRIVERS\NVENET.sys [2002-09-23 80896] R3 nvnforce;Service for NVIDIA(R) nForce(TM) Audio; C:\WINDOWS\system32\drivers\nvapu.sys [2002-12-05 241664] R3 QCMerced;Logitech QuickCam Communicate; C:\WINDOWS\system32\DRIVERS\LVCM.sys [2004-02-14 469696] R3 StillCam;Pilote d'appareil photo numérique série; C:\WINDOWS\system32\DRIVERS\serscan.sys [2001-08-23 6912] R3 usbaudio;Pilote USB audio (WDM); C:\WINDOWS\system32\drivers\usbaudio.sys [2008-04-13 60032] R3 usbccgp;Pilote parent générique USB Microsoft; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128] R3 usbehci;Pilote miniport de contrôleur d'hôte amélioré Microsoft USB 2.0; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208] R3 usbhub;Pilote de concentrateur standard USB Microsoft; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520] R3 usbohci;Pilote miniport de contrôleur hôte ouvert USB Microsoft; C:\WINDOWS\system32\DRIVERS\usbohci.sys [2008-04-13 17152] S1 cdrbsvsd;cdrbsvsd; C:\WINDOWS\system32\drivers\cdrbsvsd.sys [] S3 61883;Pilote d'unité 61883; C:\WINDOWS\system32\DRIVERS\61883.sys [2008-04-13 48128] S3 Avc;Périphérique AVC; C:\WINDOWS\system32\DRIVERS\avc.sys [2008-04-13 38912] S3 CCDECODE;Décodeur sous-titre fermé; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2008-04-13 17024] S3 ezplay;VSO Software ezplay; C:\WINDOWS\System32\Drivers\ezplay.sys [2008-05-31 94208] S3 HPZid412;IEEE-1284.4 Driver HPZid412; C:\WINDOWS\system32\DRIVERS\HPZid412.sys [2004-12-14 51120] S3 HPZipr12;Print Class Driver for IEEE-1284.4 HPZipr12; C:\WINDOWS\system32\DRIVERS\HPZipr12.sys [2004-12-14 16496] S3 HPZius12;USB to IEEE-1284.4 Translation Driver HPZius12; C:\WINDOWS\system32\DRIVERS\HPZius12.sys [2004-12-14 21744] S3 hSONYPVh;hSONYPVh; \??\C:\DOCUME~1\SABINE~1\LOCALS~1\Temp\hSONYPVh.sys [] S3 L8042mou;Logitech SetPoint PS/2 Mouse Filter Driver; C:\WINDOWS\System32\Drivers\L8042mou.sys [2005-07-23 55040] S3 LMouKE;Logitech SetPoint Mouse Filter Driver; C:\WINDOWS\System32\Drivers\LMouKE.sys [2005-07-23 68864] S3 MBAMCatchMe;MBAMCatchMe; \??\C:\Program Files\Malwarebytes' Anti-Malware\catchme.sys [] S3 MSDV;Microsoft DV Camera and VCR; C:\WINDOWS\system32\DRIVERS\msdv.sys [2008-04-13 51200] S3 MSTEE;Convertisseur en T/site-à-site de répartition Microsoft; C:\WINDOWS\system32\drivers\MSTEE.sys [2008-04-13 5504] S3 NABTSFEC;Codec NABTS/FEC VBI; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2008-04-13 85248] S3 NdisIP;Connection TV/vidéo Microsoft; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2008-04-13 10880] S3 pcouffin;VSO Software pcouffin; C:\WINDOWS\System32\Drivers\pcouffin.sys [2008-05-31 47360] S3 SLIP;Détrameur décalage BDA; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2008-04-13 11136] S3 SONYPVU1;Pilote de filtrage Sony USB (SONYPVU1); C:\WINDOWS\system32\DRIVERS\SONYPVU1.SYS [2001-08-17 7552] S3 streamip;BDA IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2008-04-13 15232] S3 usbprint;Classe d'imprimantes USB Microsoft; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856] S3 usbscan;Pilote de scanneur USB; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104] S3 USBSTOR;Pilote de stockage de masse USB; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368] S3 WSTCODEC;Codec Teletext standard; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2008-04-13 19200] S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568] S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944] S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys [] | |
|
| |
gruik63 Bibouactif
Nombre de messages : 58 Age : 61 Localisation : france Date d'inscription : 01/04/2008
| Sujet: Re: Infection par virus win32: Fraud Tool - GI [Tool] Mar 9 Sep 2008 - 23:14 | |
| log.txt message 4
List of services
R2 Apple Mobile Device;Apple Mobile Device; C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [2008-07-22 116040] R2 aswUpdSv;avast! iAVS4 Control Service; C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe [2008-07-19 16056] R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2007-02-02 446464] R2 avast! Antivirus;avast! Antivirus; C:\Program Files\Alwil Software\Avast4\ashServ.exe [2008-07-19 147640] R2 Bonjour Service;Service Bonjour; C:\Program Files\Bonjour\mDNSResponder.exe [2007-07-24 229376] R2 PnkBstrA;PnkBstrA; C:\WINDOWS\system32\PnkBstrA.exe [2007-10-17 66872] R3 avast! Mail Scanner;avast! Mail Scanner; C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe [2008-07-19 250040] R3 avast! Web Scanner;avast! Web Scanner; C:\Program Files\Alwil Software\Avast4\ashWebSv.exe [2008-07-23 348344] R3 iPod Service;Service de l'iPod; C:\Program Files\iPod\bin\iPodService.exe [2008-07-30 532264] S2 ATI Smart;ATI Smart; C:\WINDOWS\system32\ati2sgag.exe [2007-02-02 520192] S2 Pml Driver HPZ12;Pml Driver HPZ12; C:\WINDOWS\system32\HPZipm12.exe [2007-08-09 73728] S3 aspnet_state;Service d'état ASP.NET; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2007-10-24 33800] S3 Boonty Games;Boonty Games; C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe [2008-08-11 69120] S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2007-10-24 70144] S3 gusvc;Google Updater Service; C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-07-22 138168] S3 IDriverT;InstallDriver Table Manager; C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe [2005-04-04 69632] S3 odserv;Microsoft Office Diagnostics Service; C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE12\ODSERV.EXE [2007-08-24 443776] S3 ose;Office Source Engine; C:\Program Files\Fichiers communs\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184] S3 usnjsvc;Service Messenger Sharing Folders USN Journal Reader; C:\Program Files\MSN Messenger\usnsvc.exe [2007-01-19 97136] S3 usprserv;User Privilege Service; C:\WINDOWS\System32\svchost.exe [2008-04-14 14336] S3 WMPNetworkSvc;Service Partage réseau du Lecteur Windows Media; C:\Program Files\Windows Media Player\WMPNetwk.exe [2006-11-03 918016] S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
-----------------EOF----------------- | |
|
| |
gruik63 Bibouactif
Nombre de messages : 58 Age : 61 Localisation : france Date d'inscription : 01/04/2008
| Sujet: Re: Infection par virus win32: Fraud Tool - GI [Tool] Mar 9 Sep 2008 - 23:19 | |
| info .txt message 1
info.txt logfile of random's system information tool 2008-09-09 22:54:34
Uninstall list
-->C:\Program Files\DivX\ConverterUninstall.exe /CONVERTER -->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf 2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {BEE75E01-DD3F-4D5F-B96C-609E6538D419} 2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-0015-040C-0000-0000000FF1CE} /uninstall {A0353900-21A2-42CF-B973-883500A027F7} 2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-0016-040C-0000-0000000FF1CE} /uninstall {A0353900-21A2-42CF-B973-883500A027F7} 2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-0018-040C-0000-0000000FF1CE} /uninstall {A0353900-21A2-42CF-B973-883500A027F7} 2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-0019-040C-0000-0000000FF1CE} /uninstall {A0353900-21A2-42CF-B973-883500A027F7} 2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-001A-040C-0000-0000000FF1CE} /uninstall {A0353900-21A2-42CF-B973-883500A027F7} 2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-001B-040C-0000-0000000FF1CE} /uninstall {A0353900-21A2-42CF-B973-883500A027F7} 2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-001F-0401-0000-0000000FF1CE} /uninstall {5A2F65A4-808F-4A1E-973E-92E17824982D} 2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-001F-0407-0000-0000000FF1CE} /uninstall {2AB528A5-BB1B-4EBE-8E51-AD0C4CD33CA9} 2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-001F-0409-0000-0000000FF1CE} /uninstall {3EC77D26-799B-4CD8-914F-C1565E796173} 2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-001F-040C-0000-0000000FF1CE} /uninstall {430971B1-C31E-45DA-81E0-72C095BAB72C} 2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-001F-0413-0000-0000000FF1CE} /uninstall {B3F4DC34-7F60-4B7C-A79F-1C13012D99D4} 2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-001F-0C0A-0000-0000000FF1CE} /uninstall {F7A31780-33C4-4E39-951A-5EC9B91D7BF1} 2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-0044-040C-0000-0000000FF1CE} /uninstall {A0353900-21A2-42CF-B973-883500A027F7} Ad-Aware SE Personal-->C:\PROGRA~1\Lavasoft\AD-AWA~1\UNWISE.EXE C:\PROGRA~1\Lavasoft\AD-AWA~1\INSTALL.LOG Adobe Flash Player ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe Adobe Reader 7.0.8 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A70800000002} Adobe SVG Viewer-->C:\WINDOWS\IsUn040c.exe -f"C:\WINDOWS\System32\Adobe\SVG Viewer\Uninst.isu" Agama-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{42C9C702-67B3-4308-9747-9E29B1D596E9}\setup.exe" -l0x40c Age of Empires III - The Asian Dynasties-->C:\Program Files\InstallShield Installation Information\{C43C1415-3DFC-4089-9A32-0BECF28A6046}\install.exe -runfromtemp -l0x040c Age of Empires III - The WarChiefs-->C:\PROGRA~1\FICHIE~1\INSTAL~1\Driver\11\INTEL3~1\IDriver.exe /M{1C08A24C-B168-407E-A826-68FAF5F20710} Age of Empires III-->C:\PROGRA~1\FICHIE~1\INSTAL~1\Driver\11\INTEL3~1\IDriver.exe /M{485775E8-AEB8-46BD-922B-242879E03DD5} AntivirXP08-->"C:\Program Files\rhcatvj0ec8v\uninstall.exe" Apple Mobile Device Support-->MsiExec.exe /I{49C88E44-1B38-4FC6-824E-2BDA3063B0E3} Apple Software Update-->MsiExec.exe /I{02DFF6B1-1654-411C-8D7B-FD6052EF016F} Archiveur WinRAR-->C:\Program Files\WinRAR\uninstall.exe ATI Display Driver-->rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean Audacity 1.2.6-->"C:\Program Files\Audacity\unins000.exe" Avanquest update-->C:\Program Files\InstallShield Installation Information\{76E41F43-59D2-4F30-BA42-9A762EE1E8DE}\setup.exe -runfromtemp -l0x040c -removeonly avast! Antivirus-->C:\Program Files\Alwil Software\Avast4\aswRunDll.exe "C:\Program Files\Alwil Software\Avast4\Setup\setiface.dll",RunSetup AviSynth 2.5-->"C:\Program Files\AviSynth 2.5\Uninstall.exe" Battlefield 1942: Secret Weapons of WWII-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{B73B4A99-4173-4747-BBEC-0F05E966F9D2}\setup.exe" -l0x40c Battlefield 1942: The Road To Rome-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{D057AA08-8CBF-42E3-9EAB-23B8FED1C279}\setup.exe" -l0x40c Battlefield 1942-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{698D7E61-E4BF-4CA6-8A09-CF6BDBFDEF65}\setup.exe" -l0x40c Battlefield 2142-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\10\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{ED50ECE9-EC54-4C05-B5ED-EE4741A9F2EC}\setup.exe" -l0x40c -removeonly BlindWrite 6-->"C:\Program Files\VSO\BlindWrite6\unins000.exe" Bonjour-->MsiExec.exe /I{47BF1BD6-DCAC-468F-A0AD-E5DECC2211C3} CCleaner (remove only)-->"C:\Documents and Settings\SABINE ET FRED\Mes documents\Mes fichiers reçus\CCleaner\uninst.exe" CDBurnerXP Pro 3-->MsiExec.exe /I{896D642C-7125-44F0-AC49-A23ABF82209C} Code de la Route-->MsiExec.exe /X{9BB9F8F2-3073-4F47-8207-0E7191C67DE9} Compel Adaptec WinASPI-->"C:\Program Files\WinASPI\unins000.exe" Correctif pour Lecteur Windows Media 11 (KB939683)-->"C:\WINDOWS\$NtUninstallKB939683$\spuninst\spuninst.exe" Correctif pour Windows Internet Explorer 7 (KB947864)-->"C:\WINDOWS\ie7updates\KB947864-IE7\spuninst\spuninst.exe" Correctif pour Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe" | |
|
| |
gruik63 Bibouactif
Nombre de messages : 58 Age : 61 Localisation : france Date d'inscription : 01/04/2008
| Sujet: Re: Infection par virus win32: Fraud Tool - GI [Tool] Mar 9 Sep 2008 - 23:20 | |
| info.txt message 2
Counter-Strike(TM)-->MsiExec.exe /I{DF5A03CC-D5AA-43D8-B948-D9903F2AF94A} DG834-->C:\WINDOWS\uninst.exe -f"C:\Program Files\Netgear\DG834\DeIsL1.isu" -c"C:\Program Files\Netgear\DG834\_ISREG32.DLL" Disc2Phone-->MsiExec.exe /I{FFAB5ABB-8AAB-42E2-847F-1743E51E01E9} DiscAPI (Studio 10)-->MsiExec.exe /X{A77F3C2D-50CC-4A29-A1FB-1E018BE4DCA2} DivX Content Uploader-->C:\Program Files\DivX\DivXContentUploaderUninstall.exe /CUPLOADER DivX Converter-->C:\Program Files\DivX\ConverterUninstall.exe /CONVERTER DivX Player-->C:\Program Files\DivX\DivXPlayerUninstall.exe /PLAYER DivX Web Player-->C:\Program Files\DivX\DivXWebPlayerUninstall.exe /PLUGIN DivX-->C:\Program Files\DivX\DivXCodecUninstall.exe /CODEC Dofus 1.21.0-->C:\Program Files\Dofus\uninstall.exe eMule-->"C:\Program Files\eMule\Uninstall.exe" Fable - The Lost Chapters-->C:\PROGRA~1\FICHIE~1\INSTAL~1\Driver\1050\INTEL3~1\IDriver.exe /M{C3C9EB3D-24FA-4462-B784-0EC6AAFCD2DD} Google Earth-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{3DE5E7D4-7B88-403C-A3FD-2017A8240C5B}\setup.exe" -l0x40c -removeonly Google Toolbar for Internet Explorer-->MsiExec.exe /I{DBEA1034-5882-4A88-8033-81C4EF0CFA29} Google Toolbar for Internet Explorer-->regsvr32 /u /s "c:\program files\google\googletoolbar2.dll" GUILD WARS-->"C:\Program Files\GUILD WARS\Gw.exe" -uninstall | |
|
| |
gruik63 Bibouactif
Nombre de messages : 58 Age : 61 Localisation : france Date d'inscription : 01/04/2008
| Sujet: Re: Infection par virus win32: Fraud Tool - GI [Tool] Mar 9 Sep 2008 - 23:22 | |
| info.txt message 3
Guitar Pro 5.0-->"C:\Program Files\Guitar Pro 5\unins000.exe" HijackThis 2.0.2-->"C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall Hotfix for Windows Media Format 11 SDK (KB929399)-->"C:\WINDOWS\$NtUninstallKB929399$\spuninst\spuninst.exe" HP Customer Participation Program 7.0-->C:\Program Files\HP\Digital Imaging\ExtCapUninstall\hpzscr01.exe -datfile hpqhsc01.dat HP Document Viewer 7.0-->C:\Program Files\HP\Digital Imaging\DocumentViewer\hpzscr01.exe -datfile hpqbud04.dat HP Imaging Device Functions 7.0-->C:\Program Files\HP\Digital Imaging\DeviceManagement\hpzscr01.exe -datfile hpqbud01.dat HP Photosmart Premier Software 6.5-->C:\Program Files\HP\Digital Imaging\uninstall\hpzscr01.exe -datfile hpqscr01.dat HP Photosmart, Officejet and Deskjet 7.0.A-->C:\Program Files\HP\Digital Imaging\{BDBE2F3E-42DB-4d4a-8CB1-19BA765DBC6C}\setup\hpzscr01.exe -datfile hposcr11.dat HP Software Update-->MsiExec.exe /X{BB85ED9C-AFC9-43BD-B8DC-258C3C7DF72E} HP Solution Center 7.0-->C:\Program Files\HP\Digital Imaging\eSupport\hpzscr01.exe -datfile hpqbud05.dat ImageMixer VCD2-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F8C6BABF-0837-4EA0-AD6C-8E5A392A7538}\setup.exe" -l0x40c UNINSTALL iPod for Windows 2006-06-28-->C:\Program Files\Fichiers communs\InstallShield\Driver\8\Intel 32\IDriver.exe /M{BD57EA4D-026E-4F08-9B93-080E282B81FE} /l1036 iTunes-->MsiExec.exe /I{3DE0053C-FD9A-483E-B7C9-B06E4392206E} Java(TM) 6 Update 2-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160020} Java(TM) 6 Update 3-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160030} Java(TM) 6 Update 5-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160050} Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070} Java(TM) SE Runtime Environment 6 Update 1-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160010} K-Lite Codec Pack 3.8.5 Full-->"C:\Program Files\K-Lite Codec Pack\unins000.exe" La Malédiction de Judas-->"C:\Program Files\Micro Application\La Malédiction de Judas\unins000.exe" Lecteur Windows Media 11-->"C:\Program Files\Windows Media Player\Setup_wm.exe" /Uninstall Les Chevaliers de Baphomet - Le Manuscrit de Voynich-->C:\WINDOWS\unvise32.exe C:\Program Files\THQ\Les Chevaliers de Baphomet - Le Manuscrit de Voynich\uninstal.log Les Chevaliers de Baphomet - Les Gardiens du Temple de Salomon-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F41C11EC-7C13-47A7-A07C-251D96EC3879}\setup.exe" -l0x40c -removeonly Les Sims 2-->C:\Program Files\EA GAMES\Les Sims 2\EAUninstall.exe Lesaccros2.com - Service Photo-->"C:\Program Files\Lesaccros2.com - Service Photo\uninstall.exe" Logitech Desktop Messenger-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{900B1197-53F5-4F46-A882-2CFFFE2EEDCB}\Setup.exe" -l0x40c UNINSTALL Logitech Print Service-->C:\PROGRA~1\Logitech\PRINTS~1\UNWISE.EXE C:\PROGRA~1\Logitech\PRINTS~1\INSTALL.LOG Logitech QuickCam-->MsiExec.exe /I{466B21EE-2858-4845-B2B3-056FC544DAA3} Logitech SetPoint-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{2E8EAC71-BFE4-417A-88F0-5A1BDFBCF5D3}\setup.exe" -l0x40c -removeonly Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe" Mes Films et DVD-->C:\Program Files\InstallShield Installation Information\{A72D1D05-1145-4BDB-AC26-DA88AB4B7B65}\setup.exe -runfromtemp -l0x040c -removeonly Messenger Plus! Live & Sponsor (CiD)-->"C:\Program Files\Messenger Plus! Live\Uninstall.exe" Micro Application - Tests de culture générale-->C:\WINDOWS\IsUn040c.exe -f"C:\Program Files\Micro Application\JeuDeCultureG\Uninst.isu" Microsoft .NET Framework 1.1 French Language Pack-->MsiExec.exe /X{9A394342-4A68-4EBA-85A6-55B559F4E700} Microsoft .NET Framework 1.1 Hotfix (KB928366)-->"C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\M928366\M928366Uninstall.msp" Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1} Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1} Microsoft .NET Framework 2.0 Service Pack 1-->MsiExec.exe /I{B508B3F1-A24A-32C0-B310-85786919EF28} Microsoft Combat Flight Simulator-->"C:\Program Files\Microsoft Games\Combat Flight Simulator\DESINST.EXE" /runtemp Microsoft Compression Client Pack 1.0 for Windows XP-->"C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe" Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe" Microsoft Motocross Madness-->"C:\Program Files\Microsoft Games\Motocross Madness\Uninstal.exe" /runtemp Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe" Microsoft Office Access MUI (French) 2007-->MsiExec.exe /X{90120000-0015-040C-0000-0000000FF1CE} Microsoft Office Excel MUI (French) 2007-->MsiExec.exe /X{90120000-0016-040C-0000-0000000FF1CE} Microsoft Office InfoPath MUI (French) 2007-->MsiExec.exe /X{90120000-0044-040C-0000-0000000FF1CE} | |
|
| |
gruik63 Bibouactif
Nombre de messages : 58 Age : 61 Localisation : france Date d'inscription : 01/04/2008
| Sujet: Re: Infection par virus win32: Fraud Tool - GI [Tool] Mar 9 Sep 2008 - 23:23 | |
| info.txt message 4
Microsoft Office Language Pack 2007 Service Pack 1 (SP1)-->msiexec /package {90120000-006E-040C-0000-0000000FF1CE} /uninstall {EC50B538-CBE1-42E6-B7FE-87AA540AADFB} Microsoft Office Outlook MUI (French) 2007-->MsiExec.exe /X{90120000-001A-040C-0000-0000000FF1CE} Microsoft Office PowerPoint MUI (French) 2007-->MsiExec.exe /X{90120000-0018-040C-0000-0000000FF1CE} Microsoft Office Professional Plus 2007-->"C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall PROPLUS /dll OSETUP.DLL Microsoft Office Professional Plus 2007-->MsiExec.exe /X{90120000-0011-0000-0000-0000000FF1CE} Microsoft Office Proof (Arabic) 2007-->MsiExec.exe /X{90120000-001F-0401-0000-0000000FF1CE} Microsoft Office Proof (Dutch) 2007-->MsiExec.exe /X{90120000-001F-0413-0000-0000000FF1CE} Microsoft Office Proof (English) 2007-->MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE} Microsoft Office Proof (French) 2007-->MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE} Microsoft Office Proof (German) 2007-->MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE} Microsoft Office Proof (Spanish) 2007-->MsiExec.exe /X{90120000-001F-0C0A-0000-0000000FF1CE} Microsoft Office Proofing (French) 2007-->MsiExec.exe /X{90120000-002C-040C-0000-0000000FF1CE} Microsoft Office Publisher MUI (French) 2007-->MsiExec.exe /X{90120000-0019-040C-0000-0000000FF1CE} Microsoft Office Shared MUI (French) 2007-->MsiExec.exe /X{90120000-006E-040C-0000-0000000FF1CE} Microsoft Office Word MUI (French) 2007-->MsiExec.exe /X{90120000-001B-040C-0000-0000000FF1CE} Microsoft User-Mode Driver Framework Feature Pack 1.0-->"C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe" Mise à jour de sécurité pour Lecteur Windows Media 11 (KB936782)-->"C:\WINDOWS\$NtUninstallKB936782_WMP11$\spuninst\spuninst.exe" Mise à jour de sécurité pour Windows Internet Explorer 7 (KB928090)-->"C:\WINDOWS\ie7updates\KB928090-IE7\spuninst\spuninst.exe" Mise à jour de sécurité pour Windows Internet Explorer 7 (KB931768)-->"C:\WINDOWS\ie7updates\KB931768-IE7\spuninst\spuninst.exe" Mise à jour de sécurité pour Windows Internet Explorer 7 (KB933566)-->"C:\WINDOWS\ie7updates\KB933566-IE7\spuninst\spuninst.exe" Mise à jour de sécurité pour Windows Internet Explorer 7 (KB937143)-->"C:\WINDOWS\ie7updates\KB937143-IE7\spuninst\spuninst.exe" Mise à jour de sécurité pour Windows Internet Explorer 7 (KB938127)-->"C:\WINDOWS\ie7updates\KB938127-IE7\spuninst\spuninst.exe" Mise à jour de sécurité pour Windows Internet Explorer 7 (KB939653)-->"C:\WINDOWS\ie7updates\KB939653-IE7\spuninst\spuninst.exe" Mise à jour de sécurité pour Windows Internet Explorer 7 (KB942615)-->"C:\WINDOWS\ie7updates\KB942615-IE7\spuninst\spuninst.exe" Mise à jour de sécurité pour Windows Internet Explorer 7 (KB944533)-->"C:\WINDOWS\ie7updates\KB944533-IE7\spuninst\spuninst.exe" Mise à jour de sécurité pour Windows Internet Explorer 7 (KB950759)-->"C:\WINDOWS\ie7updates\KB950759-IE7\spuninst\spuninst.exe" Mise à jour de sécurité pour Windows Internet Explorer 7 (KB953838)-->"C:\WINDOWS\ie7updates\KB953838-IE7\spuninst\spuninst.exe" Mise à jour de sécurité pour Windows XP (KB923789)-->C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB923789.inf Mise à jour de sécurité pour Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe" Mise à jour de sécurité pour Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe" Mise à jour de sécurité pour Windows XP (KB950760)-->"C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe" Mise à jour de sécurité pour Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe" Mise à jour de sécurité pour Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe" Mise à jour de sécurité pour Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe" Mise à jour de sécurité pour Windows XP (KB951376)-->"C:\WINDOWS\$NtUninstallKB951376$\spuninst\spuninst.exe" Mise à jour de sécurité pour Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe" Mise à jour de sécurité pour Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe" Mise à jour de sécurité pour Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe" Mise à jour de sécurité pour Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe" Mise à jour de sécurité pour Windows XP (KB953839)-->"C:\WINDOWS\$NtUninstallKB953839$\spuninst\spuninst.exe" Mise à jour pour Windows XP (KB951072-v2)-->"C:\WINDOWS\$NtUninstallKB951072-v2$\spuninst\spuninst.exe" Mise à jour pour Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe" Module de prise en charge linguistique de Microsoft .NET Framework 2.0 - FRA-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0 Language Pack - FRA\install.exe Mon Univers Photoc-->"C:\Program Files\Photoc\Mon Univers Photoc\uninstall.exe" MSN-->C:\Program Files\MSN\MsnInstaller\msninst.exe /Action:ARP MSXML 4.0 SP2 (KB927978)-->MsiExec.exe /I{37477865-A3F1-4772-AD43-AAFC6BCFF99F} MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF} Nancy Drew - La Créature de Kapu Cave-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{448B8E72-0BF7-419F-822B-DCAFCCEE4799}\SETUP.EXE" -l0x40c NetGammon8-->C:\PROGRA~1\GOTO~1.GAM\NETGAM~1\UNWISE.EXE C:\PROGRA~1\GOTO~1.GAM\NETGAM~1\INSTALL.LOG OCR Software by I.R.I.S 7.0-->C:\Program Files\HP\Digital Imaging\OCR\hpzscr01.exe -datfile hpqbud11.dat OpenOffice.org Installer 1.0-->MsiExec.exe /X{3A2AF807-9F9F-43C9-A24A-17B617238B74} PDFCreator-->C:\Program Files\PDFCreator\unins000.exe Picture Package-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{1E2F8AE3-3437-44E6-BB75-E95751D6B83F}\setup.exe" -l0x40c UNINSTALL Pilotes NVIDIA nForce pour Windows 2000/XP-->rundll32.exe C:\WINDOWS\system32\NVNFINST.DLL,NvUninstallCrush Programme de gestion Camera de Logitech®-->"C:\Program Files\Fichiers communs\Logitech\QCDRV\BIN\SETUP.EXE" UNINSTALL REMOVEPROMPT PunkBuster pour Battlefield 1942-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{127B684B-A002-44C8-99A7-6CF8F1E26873}\setup.exe" -l0x40c QuickTime Alternative 1.75-->"C:\Program Files\QuickTime Alternative\unins000.exe" QuickTime-->MsiExec.exe /I{08CA9554-B5FE-4313-938F-D4A417B81175} RAPID (Studio 10)-->MsiExec.exe /X{EEECE229-49F6-4851-A73A-99B058221F8C} RCT3 Soaked-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{EA926717-CE5A-4CB4-AB21-9E6E9565A458}\Setup.exe" -l0x40c Real Alternative 1.43-->"C:\Program Files\Real Alternative\unins000.exe" RGSS de RMXP version 1.0.1-->"C:\Program Files\Bodom-Child - RaBBi\RGSS\unins000.exe" RMXP version 1.01-->"C:\Program Files\Bodom-Child - RaBBi\RMXP\unins000.exe" RollerCoaster Tycoon 3-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{907B4640-266B-4A21-92FB-CD1A86CD0F63}\Setup.exe" -l0x40c Safari-->MsiExec.exe /I{40589552-3892-409E-B92C-9F5032A4B2F0} Security Update for 2007 Microsoft Office System (KB951596)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {1AFF2298-CC00-4A3B-866A-C62B8373794E} Security Update for CAPICOM (KB931906)-->MsiExec.exe /I{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A} Security Update for CAPICOM (KB931906)-->MsiExec.exe /X{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A} Security Update for Microsoft Office Excel 2007 (KB951546)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {7399DD71-8E24-4E60-B6A8-6CED89C0AC26} Security Update for Microsoft Office PowerPoint 2007 (KB951338)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {558B709B-821B-4FC5-90FC-9A8890641E77} Security Update for Microsoft Office Publisher 2007 (KB950114)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {F9C3CDBA-1F00-4D4D-959D-75C9D3ACDD85} Security Update for Microsoft Office system 2007 (KB951808)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {8F375E11-4FD6-4B89-9E2B-A76D48B51E00} Security Update for Microsoft Office Word 2007 (KB950113)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {AD72BABE-C733-4FCF-9674-4314466191B9} Security Update for Visio 2007 (KB947590)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {6BAD036C-261F-4BEF-96CF-C20678D07A41} Sony USB Driver-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{5C29CB8B-AC1E-4114-8D68-9CD080140D4A}\Setup.exe" UNINSTALL Spybot - Search & Destroy 1.4-->"C:\Program Files\Spybot - Search & Destroy\unins000.exe" Steam(TM)-->MsiExec.exe /X{048298C9-A4D3-490B-9FF9-AB023A9238F3} Studio 10-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{3CB05291-F546-458E-A796-B5BCF5A3CDC4}\Setup2.exe" -l0x40c UNINSTALL Syberia 2-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\Microids\Syberia 2\Uninstall\setup.exe" -l0x40c Syberia-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\Microids\Syberia\Uninstall\setup.exe" -l0x40c Téléchargeur de Ejay Virtual Music Studio fr-->"C:\Program Files\Téléchargeur de Virtual Music Studio\unins000.exe" The Longest Journey-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{0280F0D8-1542-4DAA-913C-8529E2A3835D}\Setup.exe" TomTom HOME-->C:\Program Files\TomTom HOME 2\Uninstall TomTom HOME.exe Ultimate Ride-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{5F87DE5F-A373-11D5-AA2E-0008C760B784}\setup.exe" Ultimate Ride Update for Microsoft Office Outlook 2007 (KB952142)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {4AD3A076-427C-491F-A5B7-7D1DE788A756} Update for Office 2007 (KB946691)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {A420F522-7395-4872-9882-C591B4B92278} Update for Outlook 2007 Junk Email Filter (kb955433)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {D9806966-6AA1-4B55-9528-6748E37CEE86} VC_MergeModuleToMSI-->MsiExec.exe /I{900A92BA-19EF-4A34-86CF-7B6C85BDD971} Windows Live Messenger-->MsiExec.exe /I{F6326B60-1B1D-4ABF-BFCD-7B7404F44411} Windows Live Sign-in Assistant-->MsiExec.exe /I{49672EC2-171B-47B4-8CE7-50D7806360D7} Windows Media Format 11 runtime-->"C:\Program Files\Windows Media Player\wmsetsdk.exe" /UninstallAll Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe" Windows Media Player 11-->"C:\WINDOWS\$NtUninstallwmp11$\spuninst\spuninst.exe" Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
Hosts File
192.168.0.3 HP001CC43E3E93
Security center information
AV: avast! antivirus 4.8.1229 [VPS 080908-0]
Environment variables
"ComSpec"=%SystemRoot%\system32\cmd.exe "Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\QuickTime Alternative\QTSystem\ "windir"=%SystemRoot% "FP_NO_HOST_CHECK"=NO "OS"=Windows_NT "PROCESSOR_ARCHITECTURE"=x86 "PROCESSOR_LEVEL"=6 "PROCESSOR_IDENTIFIER"=x86 Family 6 Model 8 Stepping 1, AuthenticAMD "PROCESSOR_REVISION"=0801 "NUMBER_OF_PROCESSORS"=1 "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH "TEMP"=%SystemRoot%\TEMP "TMP"=%SystemRoot%\TEMP "CLASSPATH"=.;C:\Program Files\Java\jre1.6.0_07\lib\ext\QTJava.zip "QTJAVA"=C:\Program Files\Java\jre1.6.0_07\lib\ext\QTJava.zip
-----------------EOF----------------- | |
|
| |
gruik63 Bibouactif
Nombre de messages : 58 Age : 61 Localisation : france Date d'inscription : 01/04/2008
| Sujet: Re: Infection par virus win32: Fraud Tool - GI [Tool] Mar 9 Sep 2008 - 23:24 | |
| Accass
le message 4 était le dernier | |
|
| |
GrosBébé Moderateurs (trices)
Nombre de messages : 6878 Age : 43 Localisation : devant le pc Date d'inscription : 18/12/2007
| Sujet: Re: Infection par virus win32: Fraud Tool - GI [Tool] Mar 9 Sep 2008 - 23:27 | |
| Ok, voici ton principal problème, http://www.malekal.com/Trojan-Downloader.Win32.FraudLoad.php On réglera les autres ensuite. Alors on est parti pour télécharger quelques logiciels, et assister à quelques redémarrages. Clique ici pour télécharger ATF Cleaner (de Atribune). Attention, ce programme ne fonctionne que sous Windows 2000, XP et Vista Double-clique sur ATF-Cleaner.exe pour le lancer. Dans le menu Main coche Select All Clique sur le bouton Empty Selected.
Si tu utilises le navigateur Firefox Clique sur le menu Firefox en haut puis coche Select All Clique surle bouton Empty Selected. NOTE: Si tu veux garder tes mots de passe, réponds No à la question.
Si tu utilises le navigateur Opera Clique sur le menu Opera en haut puis coche Select All Clique surle bouton Empty Selected. NOTE: Si tu veux garder tes mots de passe, réponds No à la question.
Clique sur Exit dans le menu principal (Main) pour quitter ATF Cleaner. ~~~~~~~~~~~~Clique ici pour télécharger SDFix (de AndyManchesta) sur le bureau Installe le. => Redémarre le pc en mode sans échec : Méthode F8 de préférenceLance Runthis.bat dans le dossier C:\SDFIX
- Appuie sur Y et valide. Laisse tourner.
- Quand on te le demandera, appuie sur une touche pour redémarrer le pc.
- Le démarrage sera plus long que d'habitude, ne t'inquiète pas
Poste le rapport dans ta prochaine réponse s'il te plait. Une aide à l'utilisation ici~~~~~~~~~~~~Lance Malwarebytes antimalware et mets le à jour - Assure toi qu'il se soit bien mis à jour avant de passer à la suite. => Redémarre le pc en mode sans échec : Méthode F8 de préférence* Lance MBAM et sélectionne "Exécuter un examen complet". Patiente le temps du scan. * Une fois le scan terminé,clique sur " Afficher les résultats" puis sur " Supprimer la sélection". Si MBAM a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok. Enregistre le rapport sur ton Bureau lorsqu'il s'affichera => Redémarre normalement l'ordinateur => Poste le rapport Une aide à l'utilisation ici~~~~~~~~~~~~Dans ta prochaine réponse, poste moi s'il te plait : - le rapport de SDFix - le rapport de Malwarebytes | |
|
| |
gruik63 Bibouactif
Nombre de messages : 58 Age : 61 Localisation : france Date d'inscription : 01/04/2008
| Sujet: Re: Infection par virus win32: Fraud Tool - GI [Tool] Mar 9 Sep 2008 - 23:41 | |
| Ok Accass
merci pour ton aide et tes explications j' utilise le navigateur Internet explorer est ce la meme manip que pour opéra. Je travaille très tôt demain matin te propose de t'envoyer la suite des analyses demain vers 19h
Encore merci, à demain
Gruik63 | |
|
| |
GrosBébé Moderateurs (trices)
Nombre de messages : 6878 Age : 43 Localisation : devant le pc Date d'inscription : 18/12/2007
| Sujet: Re: Infection par virus win32: Fraud Tool - GI [Tool] Mar 9 Sep 2008 - 23:47 | |
| Ok pour demain Je ne suis pas sûr de comprendre la question ... si tu n'utilises que internet explorer, ne t'occupe pas de ce que j'ai mis concernant Opera et Firefox. Bonne soirée | |
|
| |
gruik63 Bibouactif
Nombre de messages : 58 Age : 61 Localisation : france Date d'inscription : 01/04/2008
| Sujet: Re: Infection par virus win32: Fraud Tool - GI [Tool] Mer 10 Sep 2008 - 21:03 | |
| Bonsoir Accass je suis tjrs là, en train de faire une seconde analyse avec SDFX, je n' ai pas eu de rapport comme indiqué dans ton process. actuellement on me deande de patienter une vingtaine de minutes, je reviens vers toi dès que c' est fini, en attendant y' a le match.....; | |
|
| |
GrosBébé Moderateurs (trices)
Nombre de messages : 6878 Age : 43 Localisation : devant le pc Date d'inscription : 18/12/2007
| Sujet: Re: Infection par virus win32: Fraud Tool - GI [Tool] Mer 10 Sep 2008 - 21:35 | |
| Bonsoir Gruik63 - gruik63 a écrit:
- je reviens vers toi dès que c' est fini, en attendant y' a le match.....;
Oh ben 2 - 0 pour la Serbie hein | |
|
| |
gruik63 Bibouactif
Nombre de messages : 58 Age : 61 Localisation : france Date d'inscription : 01/04/2008
| Sujet: Re: Infection par virus win32: Fraud Tool - GI [Tool] Mer 10 Sep 2008 - 21:41 | |
| Accass
ci après le résultat de l' analyse SDFX te l' envoie en deux messages
SDFix: Version 1.223 Run by SABINE ET FRED on 10/09/2008 at 21:07
Microsoft Windows XP [version 5.1.2600] Running From: C:\SDFix
Checking Services :
Rootkit Found : C:\WINDOWS\system32\drivers\tdssserv.sys - Rootkit.Win32.Agent.cku
Name : tdssserv
Path : \systemroot\system32\drivers\TDSSserv.sys
tdssserv - Deleted
C:\WINDOWS\system32\Microsoft\backup.ftp Found C:\WINDOWS\system32\Microsoft\backup.tftp Found
Checking files:
Genuine: C:\WINDOWS\system32\Microsoft\backup.ftp C:\WINDOWS\system32\Microsoft\backup.tftp C:\WINDOWS\system32\ftp.exe
Dummy: C:\WINDOWS\system32\tftp.exe C:\WINDOWS\system32\dllcache\tftp.exe
Files copied to SDFix\Backups
Restoring files if backups are found Final Check:
Genuine: C:\WINDOWS\system32\Microsoft\backup.ftp C:\WINDOWS\system32\Microsoft\backup.tftp C:\WINDOWS\system32\ftp.exe C:\WINDOWS\system32\tftp.exe C:\WINDOWS\system32\dllcache\ftp.exe C:\WINDOWS\system32\dllcache\tftp.exe
Restoring Default Security Values Restoring Default Hosts File Restoring Default Desktop Wallpaper
Rebooting
Checking Files :
Trojan Files Found:
C:\WINDOWS\system32\lphcetvj0ec8v.exe - Deleted C:\WINDOWS\system32\pphcetvj0ec8v.exe - Deleted C:\WINDOWS\system32\phcetvj0ec8v.bmp - Deleted C:\DOCUME~1\SABINE~1\LOCALS~1\Temp\tmp20.tmp - Deleted C:\DOCUME~1\SABINE~1\LOCALS~1\Temp\tmpE2.tmp - Deleted C:\Documents and Settings\SABINE ET FRED\Application Data\Microsoft\Internet Explorer\Quick Launch\Antivirus XP 2008.lnk - Deleted C:\Documents and Settings\All Users\Bureau\Antivirus XP 2008.lnk - Deleted C:\smp.bat - Deleted C:\WINDOWS\system32\Microsoft\backup.ftp - Deleted C:\WINDOWS\system32\Microsoft\backup.tftp - Deleted C:\WINDOWS\system32\drivers\tdssserv.sys - Deleted C:\WINDOWS\system32\tdssadw.dll - Deleted C:\WINDOWS\system32\tdssinit.dll - Deleted C:\WINDOWS\system32\tdsslog.dll - Deleted C:\WINDOWS\system32\tdssmain.dll - Deleted C:\WINDOWS\system32\tdssservers.dat - Deleted
Folder C:\Documents and Settings\SABINE ET FRED\Application Data\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#w*w.redtube.com - Removed
Removing Temp Files
ADS Check :
Final Check :
catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-09-10 21:25:31 Windows 5.1.2600 Service Pack 3 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
scanning hidden registry entries ...
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{D1088C32-CD51-B289-6284-80C7DF7EE56E}] "iabipgbhcnacfiifll"=hex:6a,61,6e,66,6e,64,63,70,62,6e,6e,6a,6d,6c,64,65,63,61,6f,6a,00,.. "hapijibiepeohhib"=hex:6a,61,6e,66,6e,64,63,70,62,6e,6e,6a,6d,6c,64,65,63,61,6f,6a,00,..
scanning hidden files ...
scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 | |
|
| |
gruik63 Bibouactif
Nombre de messages : 58 Age : 61 Localisation : france Date d'inscription : 01/04/2008
| Sujet: Re: Infection par virus win32: Fraud Tool - GI [Tool] Mer 10 Sep 2008 - 21:43 | |
| message 2
Remaining Services :
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)" "C:\\WINDOWS\\system32\\dpvsetup.exe"="C:\\WINDOWS\\system32\\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test" "C:\\WINDOWS\\system32\\rundll32.exe"="C:\\WINDOWS\\system32\\rundll32.exe:*:Enabled:Ex‚cuter une DLL en tant qu'application" "C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule" "C:\\Program Files\\Pinnacle\\Studio 10\\programs\\RM.exe"="C:\\Program Files\\Pinnacle\\Studio 10\\programs\\RM.exe:*:Enabled:Render Manager" "C:\\Program Files\\Pinnacle\\Studio 10\\programs\\Studio.exe"="C:\\Program Files\\Pinnacle\\Studio 10\\programs\\Studio.exe:*:Enabled:Studio" "C:\\Program Files\\Pinnacle\\Studio 10\\programs\\PMSRegisterFile.exe"="C:\\Program Files\\Pinnacle\\Studio 10\\programs\\PMSRegisterFile.exe:*:Enabled:PMSRegisterFile" "C:\\Program Files\\Pinnacle\\Studio 10\\programs\\umi.exe"="C:\\Program Files\\Pinnacle\\Studio 10\\programs\\umi.exe:*:Enabled:umi" "C:\\Program Files\\Valve\\Steam\\SteamApps\\roymost\\condition zero\\hl.exe"="C:\\Program Files\\Valve\\Steam\\SteamApps\\roymost\\condition zero\\hl.exe:*:Enabled:Half-Life Launcher" "C:\\Program Files\\Valve\\Steam\\SteamApps\\roymost\\condition zero deleted scenes\\hl.exe"="C:\\Program Files\\Valve\\Steam\\SteamApps\\roymost\\condition zero deleted scenes\\hl.exe:*:Enabled:Half-Life Launcher" "C:\\Program Files\\Valve\\Steam\\SteamApps\\roymost\\deathmatch classic\\hl.exe"="C:\\Program Files\\Valve\\Steam\\SteamApps\\roymost\\deathmatch classic\\hl.exe:*:Enabled:Half-Life Launcher" "C:\\Program Files\\Fichiers communs\\PocketSoft\\RTPatch\\AutoRTP\\artpschd.exe"="C:\\Program Files\\Fichiers communs\\PocketSoft\\RTPatch\\AutoRTP\\artpschd.exe:*:Enabled:artpschd" "C:\\Program Files\\Valve\\Steam\\SteamApps\\roymost\\counter-strike\\hl.exe"="C:\\Program Files\\Valve\\Steam\\SteamApps\\roymost\\counter-strike\\hl.exe:*:Enabled:Half-Life Launcher" "C:\\Program Files\\EA GAMES\\Battlefield 1942\\BF1942.exe"="C:\\Program Files\\EA GAMES\\Battlefield 1942\\BF1942.exe:*:Enabled:BF1942" "C:\\Program Files\\Valve\\Steam\\steam.exe"="C:\\Program Files\\Valve\\Steam\\steam.exe:*:Enabled:Steam" "C:\\Program Files\\Electronic Arts\\Battlefield 2142\\BF2142.exe"="C:\\Program Files\\Electronic Arts\\Battlefield 2142\\BF2142.exe:*:Enabled:Battlefield 2" "C:\\Program Files\\EA GAMES\\Battlefield 1942\\BF1942_w32ded.exe"="C:\\Program Files\\EA GAMES\\Battlefield 1942\\BF1942_w32ded.exe:*:Enabled:BF1942_w32ded" "C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"="C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe:*:Enabled:Logitech Desktop Messenger" "C:\\Program Files\\Shareaza\\Shareaza.exe"="C:\\Program Files\\Shareaza\\Shareaza.exe:*:Enabled:Shareaza" "C:\\Program Files\\Microsoft Games\\Age of Empires III\\age3x.exe"="C:\\Program Files\\Microsoft Games\\Age of Empires III\\age3x.exe:*:Enabled:Age of Empires III - The WarChiefs" "C:\\WINDOWS\\system32\\spoolsv.exe"="C:\\WINDOWS\\system32\\spoolsv.exe:*:Enabled:Spooler SubSystem App" "F:\\setup\\HPZnet01.exe"="F:\\setup\\HPZnet01.exe:*:Enabled:hpznet01.exe" "F:\\setup\\hponicifs01.exe"="F:\\setup\\hponicifs01.exe:*:Enabled:hponicifs01.exe" "C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe:*:Enabled:hpqtra08.exe" "C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe:*:Enabled:hpqste08.exe" "C:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe:*:Enabled:hpofxm08.exe" "C:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe:*:Enabled:hposfx08.exe" "C:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe:*:Enabled:hposid01.exe" "C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe:*:Enabled:hpqscnvw.exe" "C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe:*:Enabled:hpqkygrp.exe" "C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe:*:Enabled:hpqcopy.exe" "C:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe:*:Enabled:hpfccopy.exe" "C:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe:*:Enabled:hpzwiz01.exe" "C:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"="C:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe:*:Enabled:hpqphunl.exe" "C:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"="C:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqDIA.exe:*:Enabled:hpqdia.exe" "C:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe:*:Enabled:hpoews01.exe" "C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqnrs08.exe:*:Enabled:hpqnrs08.exe" "C:\\Program Files\\Microsoft Games\\Motocross Madness\\mcm.exe"="C:\\Program Files\\Microsoft Games\\Motocross Madness\\mcm.exe:*:Disabled:Microsoft© Motocross Madness" "C:\\Program Files\\Bonjour\\mDNSResponder.exe"="C:\\Program Files\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour" "C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes" "C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1" "C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)" "C:\\Program Files\\Microsoft Games\\Age of Empires III\\age3y.exe"="C:\\Program Files\\Microsoft Games\\Age of Empires III\\age3y.exe:*:Enabled:Age of Empires III - The Asian Dynasties" "C:\\WINDOWS\\system32\\drivers\\svchost.exe"="C:\\WINDOWS\\system32\\drivers\\svchost.exe:*:Disabled:svchost"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)" "C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"="C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe:*:Enabled:Logitech Desktop Messenger" "C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1" "C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
Remaining Files :
File Backups: - C:\SDFix\backups\backups.zip
Files with Hidden Attributes :
Sat 2 Jun 2007 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak" Sat 24 Mar 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp" Fri 25 Jun 2004 12,431,945 A..H. --- "C:\Program Files\Bodom-Child - RaBBi\RGSS\Standard\Graphics.exe"
Finished!
t 'envoie le rapport malware dès que terminé comme la carrière de Domenech peut être aussi ..... | |
|
| |
gruik63 Bibouactif
Nombre de messages : 58 Age : 61 Localisation : france Date d'inscription : 01/04/2008
| Sujet: Re: Infection par virus win32: Fraud Tool - GI [Tool] Mer 10 Sep 2008 - 21:55 | |
| Accass analyse malwayre en cours déjà un fichier infecté, sais tu combien de temps en moyenne pour l analyse ai également un souci sur mon portable, tourne avec vista et le pare feu windows se deconnecte systématiquement peux tu m' aider ? | |
|
| |
GrosBébé Moderateurs (trices)
Nombre de messages : 6878 Age : 43 Localisation : devant le pc Date d'inscription : 18/12/2007
| Sujet: Re: Infection par virus win32: Fraud Tool - GI [Tool] Mer 10 Sep 2008 - 22:00 | |
| Le temps d'analyse est variable (entre 20min et ... 3h voir plus ) Concernant ton problème sur le portable, je te conseille d'ouvrir un autre sujet | |
|
| |
gruik63 Bibouactif
Nombre de messages : 58 Age : 61 Localisation : france Date d'inscription : 01/04/2008
| Sujet: Re: Infection par virus win32: Fraud Tool - GI [Tool] Mer 10 Sep 2008 - 23:21 | |
| Accass je t'envoie l' analyse demain Malware tourne tjrs et je pense qu'il en a encore pour un bon moment Bonne fin de soirée Gruik63 | |
|
| |
GrosBébé Moderateurs (trices)
Nombre de messages : 6878 Age : 43 Localisation : devant le pc Date d'inscription : 18/12/2007
| Sujet: Re: Infection par virus win32: Fraud Tool - GI [Tool] Mer 10 Sep 2008 - 23:43 | |
| | |
|
| |
gruik63 Bibouactif
Nombre de messages : 58 Age : 61 Localisation : france Date d'inscription : 01/04/2008
| Sujet: Re: Infection par virus win32: Fraud Tool - GI [Tool] Jeu 11 Sep 2008 - 7:47 | |
| Bonjour Accass
Après 6h d'analyse voici le rapport Malware, ai suivi le mode opératoire comme indiqué dans ton dernier message et donc supprimé la sélection. Ci après le rapport Malware
Malwarebytes' Anti-Malware 1.28 Version de la base de données: 1137 Windows 5.1.2600 Service Pack 3
11/09/2008 07:34:44 mbam-log-2008-09-11 (07-34-44).txt
Type de recherche: Examen complet (A:\|C:\|D:\|E:\|) Eléments examinés: 263469 Temps écoulé: 6 hour(s), 35 minute(s), 27 second(s)
Processus mémoire infecté(s): 0 Module(s) mémoire infecté(s): 0 Clé(s) du Registre infectée(s): 1 Valeur(s) du Registre infectée(s): 1 Elément(s) de données du Registre infecté(s): 1 Dossier(s) infecté(s): 12 Fichier(s) infecté(s): 9
Processus mémoire infecté(s): (Aucun élément nuisible détecté)
Module(s) mémoire infecté(s): (Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s): HKEY_LOCAL_MACHINE\SOFTWARE\rhcatvj0ec8v (Rogue.Multiple) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s): HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s): HKEY_CLASSES_ROOT\scrfile\shell\open\command\ (Broken.OpenCommand) -> Bad: ("%1" %*) Good: ("%1" /S) -> Quarantined and deleted successfully.
Dossier(s) infecté(s): C:\Program Files\rhcatvj0ec8v (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Documents and Settings\SABINE ET FRED\Application Data\rhcatvj0ec8v (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Documents and Settings\SABINE ET FRED\Application Data\rhcatvj0ec8v\Quarantine (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Documents and Settings\SABINE ET FRED\Application Data\rhcatvj0ec8v\Quarantine\Autorun (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Documents and Settings\SABINE ET FRED\Application Data\rhcatvj0ec8v\Quarantine\Autorun\HKCU (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Documents and Settings\SABINE ET FRED\Application Data\rhcatvj0ec8v\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Documents and Settings\SABINE ET FRED\Application Data\rhcatvj0ec8v\Quarantine\Autorun\HKLM (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Documents and Settings\SABINE ET FRED\Application Data\rhcatvj0ec8v\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Documents and Settings\SABINE ET FRED\Application Data\rhcatvj0ec8v\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Documents and Settings\SABINE ET FRED\Application Data\rhcatvj0ec8v\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Documents and Settings\SABINE ET FRED\Application Data\rhcatvj0ec8v\Quarantine\BrowserObjects (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Documents and Settings\SABINE ET FRED\Application Data\rhcatvj0ec8v\Quarantine\Packages (Rogue.Multiple) -> Quarantined and deleted successfully.
Fichier(s) infecté(s): C:\WINDOWS\system32\trz2CB.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Program Files\rhcatvj0ec8v\database.dat (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Program Files\rhcatvj0ec8v\license.txt (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Program Files\rhcatvj0ec8v\MFC71.dll (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Program Files\rhcatvj0ec8v\MFC71ENU.DLL (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Program Files\rhcatvj0ec8v\msvcp71.dll (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Program Files\rhcatvj0ec8v\msvcr71.dll (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Program Files\rhcatvj0ec8v\rhcatvj0ec8v.exe (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Program Files\rhcatvj0ec8v\rhcatvj0ec8v.exe.local (Rogue.Multiple) -> Quarantined and deleted successfully.
Bonne journée | |
|
| |
GrosBébé Moderateurs (trices)
Nombre de messages : 6878 Age : 43 Localisation : devant le pc Date d'inscription : 18/12/2007
| Sujet: Re: Infection par virus win32: Fraud Tool - GI [Tool] Jeu 11 Sep 2008 - 8:52 | |
| Bonjour Gruik63 Beau boulot On continue. Tu as installé le sponsor de Messenger Plus! Live & Sponsor (CiD), le sponsor c'est problème et compagnie. On va le désinstaller. Lance la désinstallation de Messenger Plus! Live & Sponsor (CiD) il va te demander si tu veux désinstaller Messenger Plus ou le sponsor, choisis de désinstaller le sponsor. ~~~~~~~~~~~~Clique ici pour télécharger OTMoveIt2 (de OldTimer) sur le bureau Double-clique sur OTMoveIt2.exe pour le lancer. => Assure toi que la case Unregister Dll's and Ocx's soit bien cochée !!! => copie/colle le contenu du cadre ci dessous dans le cadre de gauche de OTMoveIt nommé Paste List of Files/Folders to move. - Citation :
- C:\WINDOWS\system32\418.tmp
C:\WINDOWS\system32\417.tmp C:\WINDOWS\system32\3E2.tmp C:\WINDOWS\system32\3E1.tmp C:\WINDOWS\system32\trz2DE.tmp C:\WINDOWS\system32\trz2CB.tmp EmptyTemp purity => Clique sur MoveIt! pour lancer la suppression. => Si OTMoveIt demande à redémarrer le pc, accepte. => Lorsqu'un résultat apparaît dans le cadre Results, clique sur Exit. => Poste le rapport qui se trouve ici C:\_OTMoveIt\MovedFiles\exemple 09142008_141450.log Une aide à l'utilisation iciSi tu obtiens un message comme quoi le rapport ne peut pas être créé, copie/colle ce qui apparaît dans la colonne droite de l’outil. ~~~~~~~~~~~~Lance le scan en ligne Kaspersky s'il te plait - Clique sur Démarrer online scanner
- Clique sur J'accepte
- Installe le contrôle activeX
Le programme va commencer à s'installer et à se mettre à jour, puis clique sur Suivant. Clique sur Paramètres d'analyse : - Dans Analyser avec la base antivirus suivante coche étendue. A défaut, choisis Standard.
- Dans Options d'analyse, coche Analyser les archives + Analyser les bases de messagerie.
=> Puis valide en cliquant sur OkClique sur Poste de travail, le scan se lance ... A la fin, clique sur Enregistrer rapport et enregistre le sur le bureau. Poste moi ce rapport dans ta prochaine réponse s'il te plait Une aide en image ici ~~~~~~~~~~~~Relance Hijackthis et poste moi un nouveau rapport s'il te plait ~~~~~~~~~~~~Dans ta prochaine réponse, poste moi s'il te plait : - le rapport d'OTMoveIt - le rapport de Kaspersky - le nouveau rapport Hijackthis Bonne journée | |
|
| |
gruik63 Bibouactif
Nombre de messages : 58 Age : 61 Localisation : france Date d'inscription : 01/04/2008
| Sujet: Re: Infection par virus win32: Fraud Tool - GI [Tool] Jeu 11 Sep 2008 - 19:51 | |
| Bonsoir Accass
ai supprimé messenger plus sponsor et lancé le logiciel OTMoveIt2 en insérant par copier coller les fichiers demandés ai reçu de nouvelles alertes Avast m' informant de la présence de logiciels malveillants en appuyant sur move it , est ce normal ? Je dois maintenant redémarrer le PC
Gruik63 | |
|
| |
GrosBébé Moderateurs (trices)
Nombre de messages : 6878 Age : 43 Localisation : devant le pc Date d'inscription : 18/12/2007
| Sujet: Re: Infection par virus win32: Fraud Tool - GI [Tool] Jeu 11 Sep 2008 - 20:14 | |
| Bonsoir
Oui oui, ça arrive quand on agit sur des fichiers pas très nets | |
|
| |
gruik63 Bibouactif
Nombre de messages : 58 Age : 61 Localisation : france Date d'inscription : 01/04/2008
| Sujet: Re: Infection par virus win32: Fraud Tool - GI [Tool] Jeu 11 Sep 2008 - 22:11 | |
| Bonsoir Accass
ci dessous le résultat de l' analyse OTMoveIt2, Kapersky tourne tjrs avec 3 nvx virus détectés
C:\WINDOWS\system32\418.tmp moved successfully. C:\WINDOWS\system32\417.tmp moved successfully. C:\WINDOWS\system32\3E2.tmp moved successfully. C:\WINDOWS\system32\3E1.tmp moved successfully. C:\WINDOWS\system32\trz2DE.tmp moved successfully. File/Folder C:\WINDOWS\system32\trz2CB.tmp not found. < EmptyTemp > File delete failed. C:\DOCUME~1\SABINE~1\LOCALS~1\Temp\hpodvd09.log scheduled to be deleted on reboot. File delete failed. C:\DOCUME~1\SABINE~1\LOCALS~1\Temp\~DFF499.tmp scheduled to be deleted on reboot. File delete failed. C:\DOCUME~1\SABINE~1\LOCALS~1\Temp\~DFF99D.tmp scheduled to be deleted on reboot. File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_5e0.dat scheduled to be deleted on reboot. File delete failed. C:\WINDOWS\temp\_avast4_\Webshlock.txt scheduled to be deleted on reboot. Temp folders emptied. IE temp folders emptied. < purity > OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 09112008_194457
Files moved on Reboot... File move failed. C:\DOCUME~1\SABINE~1\LOCALS~1\Temp\hpodvd09.log scheduled to be moved on reboot. File C:\DOCUME~1\SABINE~1\LOCALS~1\Temp\~DFF499.tmp not found! C:\DOCUME~1\SABINE~1\LOCALS~1\Temp\~DFF99D.tmp moved successfully. File move failed. C:\WINDOWS\temp\Perflib_Perfdata_5e0.dat scheduled to be moved on reboot. File move failed. C:\WINDOWS\temp\_avast4_\Webshlock.txt scheduled to be moved on reboot. | |
|
| |
GrosBébé Moderateurs (trices)
Nombre de messages : 6878 Age : 43 Localisation : devant le pc Date d'inscription : 18/12/2007
| Sujet: Re: Infection par virus win32: Fraud Tool - GI [Tool] Jeu 11 Sep 2008 - 22:30 | |
| Oui Kaspersky va détecter pas mal de choses mais c'est normal (une partie dans SDFIX, une partie dans System volume information, une partie peut être dans OTMoveIt, et après on verra ) | |
|
| |
gruik63 Bibouactif
Nombre de messages : 58 Age : 61 Localisation : france Date d'inscription : 01/04/2008
| Sujet: Re: Infection par virus win32: Fraud Tool - GI [Tool] Jeu 11 Sep 2008 - 22:37 | |
| Pétard j' avais vraiment récolté de vraies cochonneries, en fait le premier message d' alerte est apparu alors que mon fils jouait à counter strike. Il a également pour habitude de beaucoup chater sur msn penses tu que ce soit la source de notre infection, d' autant que ses correspondants msn il ne les connait pas vraiment et récupère leurs adresses via des blogs (skyblog ......) Sacrés ados !!!!!!! | |
|
| |
gruik63 Bibouactif
Nombre de messages : 58 Age : 61 Localisation : france Date d'inscription : 01/04/2008
| Sujet: Re: Infection par virus win32: Fraud Tool - GI [Tool] Jeu 11 Sep 2008 - 23:21 | |
| Accass Kapersky tourne toujours, on en est à 60% et 12 virus trouvés. Je pense qu' il y en a encore pour deux bonnes heures, te fait parvenir le rapport demain matin avant d'aller au boulot. Bonne nuit Gruik63 | |
|
| |
GrosBébé Moderateurs (trices)
Nombre de messages : 6878 Age : 43 Localisation : devant le pc Date d'inscription : 18/12/2007
| Sujet: Re: Infection par virus win32: Fraud Tool - GI [Tool] Jeu 11 Sep 2008 - 23:25 | |
| Je ne pense pas que ça vienne de MSN Vois ceci http://www.malekal.com/Trojan-Downloader.Win32.FraudLoad.php C'est ce que tu as (enfin le pc) Par contre ajouter des contacts inconnus sur msn .................................. Ok je le regarderai donc demain, bonne nuit | |
|
| |
gruik63 Bibouactif
Nombre de messages : 58 Age : 61 Localisation : france Date d'inscription : 01/04/2008
| Sujet: Re: Infection par virus win32: Fraud Tool - GI [Tool] Ven 12 Sep 2008 - 7:48 | |
| Bonjour Accass
ce matin galère impossible de trouver comment enregistrer le rapport d' analyse sur Kapersky, aucun résultat ne s' est affiché seulement le nombre de virus et de dossiers infectés. La touche enregistrer rapport ne figurait pas dans la fenêtre. Ai donc relancé, te communique le résultat ce soir en espérant ne pas avoir de "bug" et un rapport complet. Bonne journée
Gruik63 | |
|
| |
gruik63 Bibouactif
Nombre de messages : 58 Age : 61 Localisation : france Date d'inscription : 01/04/2008
| Sujet: Re: Infection par virus win32: Fraud Tool - GI [Tool] Ven 12 Sep 2008 - 7:57 | |
| Accass
ai donc relancé en suivant le mode opératoire mais impossible de lancer le contrôle Active X, kapersky ne me le propose pas .... | |
|
| |
GrosBébé Moderateurs (trices)
Nombre de messages : 6878 Age : 43 Localisation : devant le pc Date d'inscription : 18/12/2007
| Sujet: Re: Infection par virus win32: Fraud Tool - GI [Tool] Ven 12 Sep 2008 - 10:15 | |
| Bonjour Gruik63 En fait, maintenant que tu as lancé le scan en ligne une fois, il ne te propose plus de télécharger le plug in car il a été installé lors du premier scan, donc tu devrais pouvoir relancer le scan en ligne sans souci | |
|
| |
gruik63 Bibouactif
Nombre de messages : 58 Age : 61 Localisation : france Date d'inscription : 01/04/2008
| Sujet: Re: Infection par virus win32: Fraud Tool - GI [Tool] Ven 12 Sep 2008 - 21:20 | |
| bonsoir Accass
ci après le rapport d' analyse Kapersky, la fen^tre Lapersky ne me propose pas de suppression des fichiers ou quelque autre alternative. Dois je fermer basiquement la fenêtre Kapersky - message 1
Friday, September 12, 2008 9:09:18 PM Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 3 (Build 2600) Kaspersky On-line Scanner version : 5.0.84.2 Dernière mise à jour de la base antivirus Kaspersky : 12/09/2008 Enregistrements dans la base antivirus Kaspersky : 1215774 Paramètres d'analyse Analyser avec la base antivirus suivante étendue Analyser les archives vrai Analyser les bases de messagerie vrai Cible de l'analyse Poste de travail A:\ C:\ D:\ E:\ F:\ G:\ Statistiques de l'analyse Total d'objets analysés 208425 Nombre de virus trouvés 16 Nombre d'objets infectés 39 / 0 Nombre d'objets suspects 0 Durée de l'analyse 04:36:38
Nom de l'objet infecté Nom du virus Dernière action C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré C:\Documents and Settings\LocalService\Local Settings\Temp\Cookies\index.dat L'objet est verrouillé ignoré C:\Documents and Settings\LocalService\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\index.dat L'objet est verrouillé ignoré C:\Documents and Settings\LocalService\Local Settings\Temp\History\History.IE5\index.dat L'objet est verrouillé ignoré C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré C:\Documents and Settings\NetworkService\Cookies\index.dat L'objet est verrouillé ignoré C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré C:\Documents and Settings\NetworkService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré C:\Documents and Settings\SABINE ET FRED\Bureau\Raccourcis Bureau non utilisés\SmitfraudFix\Reboot.exe Infecté : not-a-virus:RiskTool.Win32.Reboot.f ignoré C:\Documents and Settings\SABINE ET FRED\Cookies\index.dat L'objet est verrouillé ignoré C:\Documents and Settings\SABINE ET FRED\Local Settings\Application Data\ApplicationHistory\hpqimzone.exe.3204510e.ini.inuse L'objet est verrouillé ignoré C:\Documents and Settings\SABINE ET FRED\Local Settings\Application Data\HP\Digital Imaging\db\administrativeInfo.dbf L'objet est verrouillé ignoré C:\Documents and Settings\SABINE ET FRED\Local Settings\Application Data\HP\Digital Imaging\db\albumImagesTable.cdx L'objet est verrouillé ignoré C:\Documents and Settings\SABINE ET FRED\Local Settings\Application Data\HP\Digital Imaging\db\albumImagesTable.dbf L'objet est verrouillé ignoré C:\Documents and Settings\SABINE ET FRED\Local Settings\Application Data\HP\Digital Imaging\db\albumTable.cdx L'objet est verrouillé ignoré C:\Documents and Settings\SABINE ET FRED\Local Settings\Application Data\HP\Digital Imaging\db\albumTable.dbf L'objet est verrouillé ignoré C:\Documents and Settings\SABINE ET FRED\Local Settings\Application Data\HP\Digital Imaging\db\CB_Server_Errors.txt L'objet est verrouillé ignoré C:\Documents and Settings\SABINE ET FRED\Local Settings\Application Data\HP\Digital Imaging\db\EXIFTable.cdx L'objet est verrouillé ignoré C:\Documents and Settings\SABINE ET FRED\Local Settings\Application Data\HP\Digital Imaging\db\EXIFTable.dbf L'objet est verrouillé ignoré C:\Documents and Settings\SABINE ET FRED\Local Settings\Application Data\HP\Digital Imaging\db\imageTable.cdx L'objet est verrouillé ignoré C:\Documents and Settings\SABINE ET FRED\Local Settings\Application Data\HP\Digital Imaging\db\imageTable.dbf L'objet est verrouillé ignoré C:\Documents and Settings\SABINE ET FRED\Local Settings\Application Data\HP\Digital Imaging\db\imageTable.fpt L'objet est verrouillé ignoré C:\Documents and Settings\SABINE ET FRED\Local Settings\Application Data\HP\Digital Imaging\db\keywordImagesTable.cdx L'objet est verrouillé ignoré C:\Documents and Settings\SABINE ET FRED\Local Settings\Application Data\HP\Digital Imaging\db\keywordImagesTable.dbf L'objet est verrouillé ignoré C:\Documents and Settings\SABINE ET FRED\Local Settings\Application Data\HP\Digital Imaging\db\keywordTable.cdx L'objet est verrouillé ignoré C:\Documents and Settings\SABINE ET FRED\Local Settings\Application Data\HP\Digital Imaging\db\keywordTable.dbf L'objet est verrouillé ignoré C:\Documents and Settings\SABINE ET FRED\Local Settings\Application Data\HP\Digital Imaging\db\managedFolderTable.dbf L'objet est verrouillé ignoré C:\Documents and Settings\SABINE ET FRED\Local Settings\Application Data\HP\Digital Imaging\db\pathnameTable.cdx L'objet est verrouillé ignoré C:\Documents and Settings\SABINE ET FRED\Local Settings\Application Data\HP\Digital Imaging\db\pathnameTable.dbf L'objet est verrouillé ignoré C:\Documents and Settings\SABINE ET FRED\Local Settings\Application Data\HP\Digital Imaging\db\propertiesTable.cdx L'objet est verrouillé ignoré C:\Documents and Settings\SABINE ET FRED\Local Settings\Application Data\HP\Digital Imaging\db\propertiesTable.dbf L'objet est verrouillé ignoré C:\Documents and Settings\SABINE ET FRED\Local Settings\Application Data\HP\Digital Imaging\db\ROFImagesTable.cdx L'objet est verrouillé ignoré C:\Documents and Settings\SABINE ET FRED\Local Settings\Application Data\HP\Digital Imaging\db\ROFImagesTable.dbf L'objet est verrouillé ignoré C:\Documents and Settings\SABINE ET FRED\Local Settings\Application Data\HP\Digital Imaging\db\ROFTable.cdx L'objet est verrouillé ignoré C:\Documents and Settings\SABINE ET FRED\Local Settings\Application Data\HP\Digital Imaging\db\ROFTable.dbf L'objet est verrouillé ignoré C:\Documents and Settings\SABINE ET FRED\Local Settings\Application Data\Microsoft\Feeds Cache\index.dat L'objet est verrouillé ignoré C:\Documents and Settings\SABINE ET FRED\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré C:\Documents and Settings\SABINE ET FRED\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré C:\Documents and Settings\SABINE ET FRED\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré C:\Documents and Settings\SABINE ET FRED\Local Settings\Historique\History.IE5\MSHist012008091120080912\index.dat L'objet est verrouillé ignoré C:\Documents and Settings\SABINE ET FRED\Local Settings\Historique\History.IE5\MSHist012008091220080913\index.dat L'objet est verrouillé ignoré C:\Documents and Settings\SABINE ET FRED\Local Settings\Temp\Acr8AFF.tmp L'objet est verrouillé ignoré C:\Documents and Settings\SABINE ET FRED\Local Settings\Temp\hpodvd09.log L'objet est verrouillé ignoré C:\Documents and Settings\SABINE ET FRED\Local Settings\Temp\~DF8818.tmp L'objet est verrouillé ignoré C:\Documents and Settings\SABINE ET FRED\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré C:\Documents and Settings\SABINE ET FRED\Mes documents\Jeux\GTA.Grand Theft.Auto.San. Andreas.Crack + Patch FR.zip/GTA.Grand Theft.Auto.San. Andreas.Crack/Comment Gagner gros sur internet by Sierra/La 1ère astuce pour tricher avec eurobarre.zip/La 1ère astuce pour tricher avec eurobarre/Eurofake.exe Infecté : IM-Worm.Win32.Kelvir.bp ignoré C:\Documents and Settings\SABINE ET FRED\Mes documents\Jeux\GTA.Grand Theft.Auto.San. Andreas.Crack + Patch FR.zip/GTA.Grand Theft.Auto.San. Andreas.Crack/Comment Gagner gros sur internet by Sierra/La 1ère astuce pour tricher avec eurobarre.zip Infecté : IM-Worm.Win32.Kelvir.bp ignoré C:\Documents and Settings\SABINE ET FRED\Mes documents\Jeux\GTA.Grand Theft.Auto.San. Andreas.Crack + Patch FR.zip ZIP: infecté - 2 ignoré C:\Documents and Settings\SABINE ET FRED\NTUSER.DAT L'objet est verrouillé ignoré C:\Documents and Settings\SABINE ET FRED\ntuser.dat.LOG L'objet est verrouillé ignoré C:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat L'objet est verrouillé ignoré C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db L'objet est verrouillé ignoré C:\Program Files\Alwil Software\Avast4\DATA\log\AshWebSv.ws L'objet est verrouillé ignoré C:\Program Files\Alwil Software\Avast4\DATA\log\aswMaiSv.log L'objet est verrouillé ignoré C:\Program Files\Alwil Software\Avast4\DATA\log\nshield.log L'objet est verrouillé ignoré C:\Program Files\Alwil Software\Avast4\DATA\log\selfdef.log L'objet est verrouillé ignoré C:\Program Files\Alwil Software\Avast4\DATA\report\Protection résidente.txt L'objet est verrouillé ignoré C:\Program Files\eMule\Temp\013.part/SecuredeMule_09_FR_FF.EXE/WISE0016.BIN/data0015/data0005 Infecté : not-a-virus:AdWare.Win32.Shopper.l ignoré C:\Program Files\eMule\Temp\013.part/SecuredeMule_09_FR_FF.EXE/WISE0016.BIN/data0015 Infecté : not-a-virus:AdWare.Win32.Shopper.l ignoré C:\Program Files\eMule\Temp\013.part/SecuredeMule_09_FR_FF.EXE/WISE0016.BIN Infecté : not-a-virus:AdWare.Win32.Shopper.l ignoré C:\Program Files\eMule\Temp\013.part/SecuredeMule_09_FR_FF.EXE Infecté : not-a-virus:AdWare.Win32.Shopper.l ignoré C:\Program Files\eMule\Temp\013.part ZIP: infecté - 4 ignoré C:\Program Files\Logitech\Desktop Messenger\8876480\Users\SABINE ET FRED\Data\chandir.dat L'objet est verrouillé ignoré C:\Program Files\Logitech\Desktop Messenger\8876480\Users\SABINE ET FRED\Data\chandir.idx L'objet est verrouillé ignoré C:\Program Files\Logitech\Desktop Messenger\8876480\Users\SABINE ET FRED\Data\chn.dat L'objet est verrouillé ignoré C:\Program Files\Logitech\Desktop Messenger\8876480\Users\SABINE ET FRED\Data\chn.idx L'objet est verrouillé ignoré C:\Program Files\Logitech\Desktop Messenger\8876480\Users\SABINE ET FRED\Data\D0000000.FCS L'objet est verrouillé ignoré C:\Program Files\Logitech\Desktop Messenger\8876480\Users\SABINE ET FRED\Data\inuse.txt L'objet est verrouillé ignoré C:\Program Files\Logitech\Desktop Messenger\8876480\Users\SABINE ET FRED\Data\L0000002.FCS L'objet est verrouillé ignoré C:\Program Files\Logitech\Desktop Messenger\8876480\Users\SABINE ET FRED\Data\main.log L'objet est verrouillé ignoré C:\Program Files\Logitech\Desktop Messenger\8876480\Users\SABINE ET FRED\Data\prs.dat L'objet est verrouillé ignoré C:\Program Files\Logitech\Desktop Messenger\8876480\Users\SABINE ET FRED\Data\prs.idx L'objet est verrouillé ignoré C:\Program Files\Logitech\Desktop Messenger\8876480\Users\SABINE ET FRED\Data\prs_die.dat L'objet est verrouillé ignoré C:\Program Files\Logitech\Desktop Messenger\8876480\Users\SABINE ET FRED\Data\prs_die.idx L'objet est verrouillé ignoré C:\Program Files\Logitech\Desktop Messenger\8876480\Users\SABINE ET FRED\Data\prs_dnd.dat L'objet est verrouillé ignoré C:\Program Files\Logitech\Desktop Messenger\8876480\Users\SABINE ET FRED\Data\prs_dnd.idx L'objet est verrouillé ignoré C:\Program Files\Logitech\Desktop Messenger\8876480\Users\SABINE ET FRED\Data\prs_ext.dat L'objet est verrouillé ignoré C:\Program Files\Logitech\Desktop Messenger\8876480\Users\SABINE ET FRED\Data\prs_ext.idx L'objet est verrouillé ignoré C:\Program Files\Logitech\Desktop Messenger\8876480\Users\SABINE ET FRED\Data\prs_rcv.dat L'objet est verrouillé ignoré C:\Program Files\Logitech\Desktop Messenger\8876480\Users\SABINE ET FRED\Data\prs_rcv.idx L'objet est verrouillé ignoré C:\Program Files\Logitech\Desktop Messenger\8876480\Users\SABINE ET FRED\Data\storydb.dat L'objet est verrouillé ignoré C:\Program Files\Logitech\Desktop Messenger\8876480\Users\SABINE ET FRED\Data\storydb.idx L'objet est verrouillé ignoré C:\SDFix\backups\backups.zip/backups/lphcetvj0ec8v.exe Infecté : Backdoor.Win32.Frauder.dk ignoré C:\SDFix\backups\backups.zip/backups/pphcetvj0ec8v.exe Infecté : not-a-virus:FraudTool.Win32.XPAntivirus.qj ignoré C:\SDFix\backups\backups.zip/backups/tdssadw.dll Infecté : Rootkit.Win32.Clbd.jj ignoré C:\SDFix\backups\backups.zip/backups/tdsslog.dll Infecté : Backdoor.Win32.Agent.rfv ignoré C:\SDFix\backups\backups.zip/backups/tdssmain.dll Infecté : Backdoor.Win32.Agent.rfw ignoré C:\SDFix\backups\backups.zip ZIP: infecté - 5 ignoré | |
|
| |
gruik63 Bibouactif
Nombre de messages : 58 Age : 61 Localisation : france Date d'inscription : 01/04/2008
| Sujet: Re: Infection par virus win32: Fraud Tool - GI [Tool] Ven 12 Sep 2008 - 21:21 | |
| Message 2
C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré C:\System Volume Information\_restore{DD10F327-9C3E-45C0-AB8B-B3A0D732AEBB}\RP1\A0000011.dll Infecté : Trojan-Downloader.Win32.Small.acri ignoré C:\System Volume Information\_restore{DD10F327-9C3E-45C0-AB8B-B3A0D732AEBB}\RP1\A0000027.exe Infecté : not-a-virus:FraudTool.Win32.XPAntivirus.qj ignoré C:\System Volume Information\_restore{DD10F327-9C3E-45C0-AB8B-B3A0D732AEBB}\RP1\A0000030.dll Infecté : Trojan-Downloader.Win32.FraudLoad.vbxt ignoré C:\System Volume Information\_restore{DD10F327-9C3E-45C0-AB8B-B3A0D732AEBB}\RP1\A0000033.exe Infecté : Hoax.Win32.Renos.dws ignoré C:\System Volume Information\_restore{DD10F327-9C3E-45C0-AB8B-B3A0D732AEBB}\RP1\A0000058.exe Infecté : Trojan-Downloader.Win32.Small.acyj ignoré C:\System Volume Information\_restore{DD10F327-9C3E-45C0-AB8B-B3A0D732AEBB}\RP2\A0000177.exe Infecté : Backdoor.Win32.Frauder.dk ignoré C:\System Volume Information\_restore{DD10F327-9C3E-45C0-AB8B-B3A0D732AEBB}\RP2\A0000178.exe Infecté : not-a-virus:FraudTool.Win32.XPAntivirus.qj ignoré C:\System Volume Information\_restore{DD10F327-9C3E-45C0-AB8B-B3A0D732AEBB}\RP2\A0000189.dll Infecté : Rootkit.Win32.Clbd.jj ignoré C:\System Volume Information\_restore{DD10F327-9C3E-45C0-AB8B-B3A0D732AEBB}\RP2\A0000191.dll Infecté : Backdoor.Win32.Agent.rfv ignoré C:\System Volume Information\_restore{DD10F327-9C3E-45C0-AB8B-B3A0D732AEBB}\RP2\A0000192.dll Infecté : Backdoor.Win32.Agent.rfw ignoré C:\System Volume Information\_restore{DD10F327-9C3E-45C0-AB8B-B3A0D732AEBB}\RP2\A0000195.exe Infecté : Backdoor.Win32.Frauder.dk ignoré C:\System Volume Information\_restore{DD10F327-9C3E-45C0-AB8B-B3A0D732AEBB}\RP2\A0000196.exe Infecté : not-a-virus:FraudTool.Win32.XPAntivirus.qj ignoré C:\System Volume Information\_restore{DD10F327-9C3E-45C0-AB8B-B3A0D732AEBB}\RP2\A0000267.sys Infecté : Hoax.Win32.Agent.fu ignoré C:\System Volume Information\_restore{DD10F327-9C3E-45C0-AB8B-B3A0D732AEBB}\RP3\change.log L'objet est verrouillé ignoré C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré C:\WINDOWS\system32\421.tmp Infecté : not-a-virus:FraudTool.Win32.XPAntivirus.qj ignoré C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré C:\WINDOWS\system32\config\Antivirus.Evt L'objet est verrouillé ignoré C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré C:\WINDOWS\system32\config\Internet.evt L'objet est verrouillé ignoré C:\WINDOWS\system32\config\ODiag.evt L'objet est verrouillé ignoré C:\WINDOWS\system32\config\OSession.evt L'objet est verrouillé ignoré C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\OBIH8TKX\acCA6783WE.htm Infecté : Trojan-Downloader.JS.Agent.cnn ignoré C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\OBIH8TKX\acCA9B7WTU.htm Infecté : Trojan-Downloader.JS.Agent.cnn ignoré C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\OBIH8TKX\acCAI8SAOA.htm Infecté : Trojan-Downloader.JS.Agent.cnn ignoré C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\OBIH8TKX\acCAJC85RB.htm Infecté : Trojan-Downloader.JS.Agent.cnn ignoré C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\OBIH8TKX\acCAKZA2IB.htm Infecté : Trojan-Downloader.JS.Agent.cnn ignoré C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\OBIH8TKX\acCAV4O8Y3.htm Infecté : Trojan-Downloader.JS.Agent.cnn ignoré C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré C:\WINDOWS\Temp\Perflib_Perfdata_5e0.dat L'objet est verrouillé ignoré C:\WINDOWS\Temp\Perflib_Perfdata_6e0.dat L'objet est verrouillé ignoré C:\WINDOWS\Temp\_avast4_\Webshlock.txt L'objet est verrouillé ignoré C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré C:\_OTMoveIt\MovedFiles\09112008_194457\WINDOWS\system32\418.tmp Infecté : not-a-virus:FraudTool.Win32.XPAntivirus.qj ignoré D:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré D:\System Volume Information\_restore{DD10F327-9C3E-45C0-AB8B-B3A0D732AEBB}\RP3\change.log L'objet est verrouillé ignoré E:\Psp\--- PSP ---\TUTO-www.Jaxx21.com\[TUTO] Vnc pour PSP-mode infrastructure\tightvnc-1.2.9-setup.exe/data0002 Infecté : not-a-virus:RemoteAdmin.Win32.WinVNC-based.h ignoré E:\Psp\--- PSP ---\TUTO-www.Jaxx21.com\[TUTO] Vnc pour PSP-mode infrastructure\tightvnc-1.2.9-setup.exe/data0003 Infecté : not-a-virus:RemoteAdmin.Win32.WinVNC-based.b ignoré E:\Psp\--- PSP ---\TUTO-www.Jaxx21.com\[TUTO] Vnc pour PSP-mode infrastructure\tightvnc-1.2.9-setup.exe Inno: infecté - 2 ignoré E:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré E:\System Volume Information\_restore{DD10F327-9C3E-45C0-AB8B-B3A0D732AEBB}\RP3\change.log L'objet est verrouillé ignoré Analyse terminée. | |
|
| |
gruik63 Bibouactif
Nombre de messages : 58 Age : 61 Localisation : france Date d'inscription : 01/04/2008
| Sujet: Re: Infection par virus win32: Fraud Tool - GI [Tool] Ven 12 Sep 2008 - 21:37 | |
| Bonsoir Accass
Ai relancé Hijackthis, l' analyse a été très brève, pas plus de 15 secondes, suis pas très sur du mode opératoire ai cliqué sur do a system scan and save a log file, est ce correct docteur ?
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:32:32, on 12/09/2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal
Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Program Files\Bonjour\mDNSResponder.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Program Files\Logitech\Video\LogiTray.exe C:\WINDOWS\system32\LVCOMSX.EXE C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe C:\Program Files\HP\HP Software Update\HPWuSchd2.exe C:\Program Files\iTunes\iTunesHelper.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Program Files\TomTom HOME 2\HOMERunner.exe C:\Program Files\Logitech\Video\FxSvr2.exe C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe C:\Program Files\iPod\bin\iPodService.exe C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe C:\Program Files\Logitech\SetPoint\SetPoint.exe C:\Program Files\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe C:\Program Files\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe C:\Program Files\Fichiers communs\Logitech\KHAL\KHALMNPR.EXE C:\Program Files\HP\Digital Imaging\bin\hpqnrs08.exe C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe C:\WINDOWS\system32\HPZinw12.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPBOID.EXE C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPBPRO.EXE C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPBOID.EXE C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPBPRO.EXE C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/webhp?sourceid=navclient&hl=fr&ie=UTF-8 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.emjysoft.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [Emjysoft_Anti-spam] C:\Program Files\Emjysoft\Anti-Spam\antispam.exe O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime Alternative\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe O4 - HKCU\..\Run: [Spamihilator] "C:\Program Files\Spamihilator\spamihilator.exe" O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME 2\HOMERunner.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe O4 - Global Startup: Picture Package Menu.lnk = ? O4 - Global Startup: Picture Package VCD Maker.lnk = ? O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1174052227796 O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://asp07.photoprintit.de/microsite/12188/defaults/activex/IPSUploader.cab O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: HP Port Resolver - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBPRO.EXE O23 - Service: HP Status Server - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBOID.EXE O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O24 - Desktop Component 1: (no name) - http://fr.beijing2008.cn/index.shtml
-- End of file - 10812 bytes | |
|
| |
GrosBébé Moderateurs (trices)
Nombre de messages : 6878 Age : 43 Localisation : devant le pc Date d'inscription : 18/12/2007
| Sujet: Re: Infection par virus win32: Fraud Tool - GI [Tool] Ven 12 Sep 2008 - 21:49 | |
| Bonsoir Gruik63 Je regarde les rapports, tu peux fermer la fenêtre de Kaspersky | |
|
| |
gruik63 Bibouactif
Nombre de messages : 58 Age : 61 Localisation : france Date d'inscription : 01/04/2008
| Sujet: Re: Infection par virus win32: Fraud Tool - GI [Tool] Ven 12 Sep 2008 - 21:51 | |
| Merci | |
|
| |
GrosBébé Moderateurs (trices)
Nombre de messages : 6878 Age : 43 Localisation : devant le pc Date d'inscription : 18/12/2007
| Sujet: Re: Infection par virus win32: Fraud Tool - GI [Tool] Ven 12 Sep 2008 - 22:28 | |
| Là c'est moins bien. Il y a des cracks (donc infecté) sur l'ordinateur, il va falloir les virer. Dans un dossier temporaire d'Emule, on voit SecuredEmule, il faut aussi le virer car programme piégé Double-clique sur OTMoveIt2.exe pour le lancer. => Assure toi que la case Unregister Dll's and Ocx's soit bien cochée !!! => copie/colle le contenu du cadre ci dessous dans le cadre de gauche de OTMoveIt nommé Paste List of Files/Folders to move. - Citation :
[kill explorer] C:\Documents and Settings\SABINE ET FRED\Mes documents\Jeux\GTA.Grand Theft.Auto.San. Andreas.Crack + Patch FR.zip C:\Program Files\eMule\Temp\013.part C:\SDFix C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\OBIH8TKX\acCA6783WE.htm C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\OBIH8TKX\acCA9B7WTU.htm C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\OBIH8TKX\acCAI8SAOA.htm C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\OBIH8TKX\acCAJC85RB.htm C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\OBIH8TKX\acCAKZA2IB.htm C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\OBIH8TKX\acCAV4O8Y3.htm EmptyTemp purity [start explorer]
=> Clique sur MoveIt! pour lancer la suppression. => Si OTMoveIt demande à redémarrer le pc, accepte. => Lorsqu'un résultat apparaît dans le cadre Results, clique sur Exit. => Poste le rapport qui se trouve ici C:\_OTMoveIt\MovedFiles\exemple 04232008_141450.log Une aide à l'utilisation iciSi tu obtiens un message comme quoi le rapport ne peut pas être créé, copie/colle ce qui apparaît dans la colonne droite de l’outil. ~~~~~~~~~~~~Redémarre l'ordinateur Attention à être bien attentif à tout ce qui suit ! Si ton antivirus Avast réagit face à Combofix, désactive ton antivirus. Si tu as déjà Combofix, supprime le et vide ta corbeilleClique ici pour télécharger ComboFix (de sUBs) sur ton bureau Avant de l'utiliser, regarde cette aide en image=> Désactive toutes les protections résidentes (UAC, antivirus, parefeu, antispyware, tea timer, etc) http://forum.pcastuces.com/desactiver_les_protections_residentes-f31s4.htm http://www.bleepingcomputer.com/forums/topic114351.html N'oublie pas de les réactiver à la fin. Ferme toutes tes fenêtres.
- Double-clique sur Combofix.exe et suis les instructions.
- Tape sur la touche 1 (Yes) pour démarrer le scan.
- Lorsqu'il aura terminé, un rapport apparaîtra à l'écran (fichier texte).
- Copie/colle le contenu du rapport dans ta prochaine réponse.
Le rapport est également sauvegardé ici : C:\ComboFix.txt **Note : Ne clique surtout pas dans la fenêtre de Combofix durant l'analyse, ceci provoquerait le gel du programme.~~~~~~~~~~~~Dans ta prochaine réponse, poste moi s'il te plait : - le rapport d'OTMoveIt - le rapport de Combofix accompagné d'un nouveau rapport hijackthis | |
|
| |
gruik63 Bibouactif
Nombre de messages : 58 Age : 61 Localisation : france Date d'inscription : 01/04/2008
| Sujet: Re: Infection par virus win32: Fraud Tool - GI [Tool] Ven 12 Sep 2008 - 23:04 | |
| Accass ci après l' analyse OTMoveIt2.exe, pas eu le temps d'appuyer sur exit lorsque les fichiers ont basculés sur l' écran de droite, dans la foulée le système m'a proposé un redémarrage du Pc , puis à la réouverture j' ai eu tout de suite le rapport en appuyant sur exécuter logiciel.......
Explorer killed successfully C:\Documents and Settings\SABINE ET FRED\Mes documents\Jeux\GTA.Grand Theft.Auto.San. Andreas.Crack + Patch FR.zip moved successfully. C:\Program Files\eMule\Temp\013.part moved successfully. C:\SDFix\backups moved successfully. C:\SDFix\apps\Replace\xp moved successfully. C:\SDFix\apps\Replace\w2k moved successfully. C:\SDFix\apps\Replace moved successfully. C:\SDFix\apps moved successfully. C:\SDFix moved successfully. C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\OBIH8TKX\acCA6783WE.htm moved successfully. C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\OBIH8TKX\acCA9B7WTU.htm moved successfully. C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\OBIH8TKX\acCAI8SAOA.htm moved successfully. C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\OBIH8TKX\acCAJC85RB.htm moved successfully. C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\OBIH8TKX\acCAKZA2IB.htm moved successfully. C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\OBIH8TKX\acCAV4O8Y3.htm moved successfully. < EmptyTemp > File delete failed. C:\DOCUME~1\SABINE~1\LOCALS~1\Temp\Acr8AFF.tmp scheduled to be deleted on reboot. File delete failed. C:\DOCUME~1\SABINE~1\LOCALS~1\Temp\Acr8B01.tmp scheduled to be deleted on reboot. File delete failed. C:\DOCUME~1\SABINE~1\LOCALS~1\Temp\hpodvd09.log scheduled to be deleted on reboot. File delete failed. C:\DOCUME~1\SABINE~1\LOCALS~1\Temp\~DF8818.tmp scheduled to be deleted on reboot. File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_5e0.dat scheduled to be deleted on reboot. File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_6e0.dat scheduled to be deleted on reboot. File delete failed. C:\WINDOWS\temp\_avast4_\Webshlock.txt scheduled to be deleted on reboot. Temp folders emptied. IE temp folders emptied. < purity > Explorer started successfully OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 09122008_224535
Files moved on Reboot... File C:\DOCUME~1\SABINE~1\LOCALS~1\Temp\Acr8AFF.tmp not found! File C:\DOCUME~1\SABINE~1\LOCALS~1\Temp\Acr8B01.tmp not found! C:\DOCUME~1\SABINE~1\LOCALS~1\Temp\hpodvd09.log moved successfully. File C:\DOCUME~1\SABINE~1\LOCALS~1\Temp\~DF8818.tmp not found! C:\WINDOWS\temp\Perflib_Perfdata_5e0.dat moved successfully. File C:\WINDOWS\temp\Perflib_Perfdata_6e0.dat not found! File move failed. C:\WINDOWS\temp\_avast4_\Webshlock.txt scheduled to be moved on reboot. | |
|
| |
gruik63 Bibouactif
Nombre de messages : 58 Age : 61 Localisation : france Date d'inscription : 01/04/2008
| Sujet: Re: Infection par virus win32: Fraud Tool - GI [Tool] Ven 12 Sep 2008 - 23:12 | |
| si j' ai bien compris
1 je redémarre le PC 2 je télécharge combofix 3 je désactive toutes protections residentes parefeu avast kapersky adaware etc .... 4 je lance combofix
c bien ça ? | |
|
| |
GrosBébé Moderateurs (trices)
Nombre de messages : 6878 Age : 43 Localisation : devant le pc Date d'inscription : 18/12/2007
| Sujet: Re: Infection par virus win32: Fraud Tool - GI [Tool] Ven 12 Sep 2008 - 23:22 | |
| C'est bien ça Je précise en plus que tu dois absolumment fermer toutes tes fenêtres avant de le lancer. Tu seras déconnecté d'internet, ton bureau disparaitra, ton ordinateur deviendra inutilisable, n'y touche pas pendant le scan. Le scan sera long (maxi 20 min) , laisse le finir | |
|
| |
gruik63 Bibouactif
Nombre de messages : 58 Age : 61 Localisation : france Date d'inscription : 01/04/2008
| Sujet: Re: Infection par virus win32: Fraud Tool - GI [Tool] Ven 12 Sep 2008 - 23:27 | |
| Accass je n' ai qu avast qui tourne et le pare feu windows ce sont donc les deux seules protections a désactiver, le mode d' emploi combofix fait un peu peur je n'ai pas mon cd windows à mon domicile on me dit de cliquer sur un lien pour charger l equivalent d' une procedure d' installation de la console de récupération windows dois je m' executer | |
|
| |
GrosBébé Moderateurs (trices)
Nombre de messages : 6878 Age : 43 Localisation : devant le pc Date d'inscription : 18/12/2007
| Sujet: Re: Infection par virus win32: Fraud Tool - GI [Tool] Ven 12 Sep 2008 - 23:44 | |
| - gruik63 a écrit:
- Accass
je n' ai qu avast qui tourne et le pare feu windows C'est bien ce qu'il me semblait, je ne comprenais pas pourquoi tu me parlais de kaspersky et de Ad Aware. - gruik63 a écrit:
- je n'ai pas mon cd windows à mon domicile on me dit de cliquer sur un lien pour charger l equivalent d' une procedure d' installation de la console de récupération windows
dois je m' executer Installer la console de récupération n'est pas nécessaire pour l'instant et dans le pire des cas, il est possible d'installer la console d'une autre façon. | |
|
| |
gruik63 Bibouactif
Nombre de messages : 58 Age : 61 Localisation : france Date d'inscription : 01/04/2008
| Sujet: Re: Infection par virus win32: Fraud Tool - GI [Tool] Ven 12 Sep 2008 - 23:52 | |
| me sent mieux c' est fait ai reactive mon pare feu et avast , remarque avast pour ce a quoi il a servi dans mon malheur ........ en revanche les fenêtres étaient fermées mais un bandeau logitech est apparu pendant l' analyse, j espère sans conséquence ......... t envoie la analyse | |
|
| |
gruik63 Bibouactif
Nombre de messages : 58 Age : 61 Localisation : france Date d'inscription : 01/04/2008
| Sujet: Re: Infection par virus win32: Fraud Tool - GI [Tool] Ven 12 Sep 2008 - 23:54 | |
| combofix message 1
ComboFix 08-09-11.02 - SABINE ET FRED 2008-09-12 23:36:50.1 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.629 [GMT 2:00] Endroit: C:\Documents and Settings\SABINE ET FRED\Bureau\ComboFix.exe * Création d'un nouveau point de restauration
AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !! .
(((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) .
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Antivirus XP 2008 C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Antivirus XP 2008.lnk C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Antivirus XP 2008\Antivirus XP 2008.lnk C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Antivirus XP 2008\How to Register Antivirus XP 2008.lnk C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Antivirus XP 2008\License Agreement.lnk C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Antivirus XP 2008\Register Antivirus XP 2008.lnk C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Antivirus XP 2008\Uninstall.lnk C:\Documents and Settings\SABINE ET FRED\Application Data\inst.exe
. ((((((((((((((((((((((((((((( Fichiers créés 2008-08-12 to 2008-09-12 )))))))))))))))))))))))))))))))))))) .
2008-09-11 20:03 . 2008-09-11 20:03 d-------- C:\WINDOWS\system32\Kaspersky Lab 2008-09-11 19:39 . 2008-09-11 19:39 d-------- C:\_OTMoveIt 2008-09-10 21:06 . 2008-09-10 21:06 579,584 --a--c--- C:\WINDOWS\system32\dllcache\user32.dll 2008-09-10 21:06 . 2006-03-02 14:00 46,080 --a--c--- C:\WINDOWS\system32\dllcache\ftp.exe 2008-09-10 21:00 . 2008-09-10 21:00 d-------- C:\WINDOWS\ERUNT 2008-09-10 12:55 . 2008-09-10 12:55 118 --a------ C:\WINDOWS\system32\MRT.INI 2008-09-09 23:49 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-09-09 23:49 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-09-09 22:47 . 2008-09-09 22:49 106,496 --a------ C:\WINDOWS\system32\421.tmp 2008-09-09 22:41 . 2008-09-09 22:54 d-------- C:\rsit 2008-08-28 23:39 . 2008-08-28 23:39 d-------- C:\Program Files\CVitae 2008-08-28 12:56 . 2008-08-28 12:56 d-------- C:\WINDOWS\system32\fr 2008-08-28 12:56 . 2008-08-28 12:56 d-------- C:\WINDOWS\system32\bits 2008-08-28 12:56 . 2008-08-28 12:56 d-------- C:\WINDOWS\l2schemas 2008-08-28 12:53 . 2008-08-28 12:56 d-------- C:\WINDOWS\ServicePackFiles 2008-08-28 12:45 . 2008-08-28 12:45 d-------- C:\WINDOWS\EHome 2008-08-27 21:41 . 2004-08-03 22:41 1,041,536 --------- C:\WINDOWS\system32\drivers\hsfdpsp2.sys 2008-08-27 21:41 . 2004-08-03 22:41 685,056 --------- C:\WINDOWS\system32\drivers\hsfcxts2.sys 2008-08-27 21:41 . 2004-08-03 22:41 220,032 --------- C:\WINDOWS\system32\drivers\hsfbs2s2.sys 2008-08-27 21:41 . 2004-07-17 22:55 129,045 --------- C:\WINDOWS\system32\drivers\cxthsfs2.cty 2008-08-27 19:07 . 2008-04-11 21:05 691,712 -----c--- C:\WINDOWS\system32\dllcache\inetcomm.dll | |
|
| |
gruik63 Bibouactif
Nombre de messages : 58 Age : 61 Localisation : france Date d'inscription : 01/04/2008
| Sujet: Re: Infection par virus win32: Fraud Tool - GI [Tool] Ven 12 Sep 2008 - 23:55 | |
| combofix message 2
. (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-09-11 17:37 --------- d-----w C:\Program Files\MSN Messenger 2008-09-11 17:37 --------- d-----w C:\Program Files\Messenger Plus! Live 2008-09-10 19:39 --------- d-----w C:\Program Files\Malwarebytes' Anti-Malware 2008-09-10 10:53 --------- d-----w C:\Documents and Settings\All Users\Application Data\Microsoft Help 2008-09-09 17:11 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 2008-09-07 16:13 --------- d-----w C:\Program Files\eMule 2008-09-05 16:20 --------- d-----w C:\Documents and Settings\CHRISTOPHER\Application Data\HP 2008-08-28 13:40 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-08-11 17:26 284 -c--a-w C:\Documents and Settings\SABINE ET FRED\Application Data\ViewerApp.dat 2008-08-11 12:20 --------- d-----w C:\Program Files\Audacity 2008-08-11 12:17 --------- d-----w C:\Program Files\Téléchargeur de Virtual Music Studio 2008-08-11 12:17 --------- d-----w C:\Program Files\Fichiers communs\BOONTY Shared 2008-08-11 12:17 --------- d-----w C:\Documents and Settings\All Users\Application Data\BOONTY 2008-08-11 12:16 --------- d-----w C:\Program Files\BoontyGames 2008-08-11 12:16 --------- d-----w C:\Program Files\Boonty 2008-08-03 08:53 --------- d-----w C:\Program Files\iTunes 2008-08-03 08:52 --------- d-----w C:\Program Files\iPod 2008-08-03 08:47 --------- d-----w C:\Program Files\Bonjour 2008-08-03 08:45 --------- d-----w C:\Program Files\QuickTime Alternative 2008-07-19 09:33 --------- d-----w C:\Program Files\Sun 2008-07-19 09:33 --------- d-----w C:\Program Files\Java 2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll 2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe 2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll 2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll 2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll 2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll 2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll 2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll 2008-07-18 20:07 270,880 ----a-w C:\WINDOWS\system32\mucltui.dll 2008-07-18 20:07 210,976 ----a-w C:\WINDOWS\system32\muweb.dll 2008-07-07 20:28 253,952 ----a-w C:\WINDOWS\system32\es.dll 2008-06-24 16:44 74,240 ----a-w C:\WINDOWS\system32\mscms.dll 2008-06-24 16:12 295,936 ------w C:\WINDOWS\system32\wmpeffects.dll 2008-06-23 16:28 826,368 ----a-w C:\WINDOWS\system32\wininet.dll 2008-06-20 17:47 247,808 ----a-w C:\WINDOWS\system32\mswsock.dll 2008-06-13 12:22 94,208 ----a-w C:\Documents and Settings\SABINE ET FRED\Application Data\ezplay.sys 2008-06-13 12:18 47,360 ----a-w C:\Documents and Settings\SABINE ET FRED\Application Data\pcouffin.sys 2008-06-13 12:09 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll 2007-08-03 15:47 560 -c--a-w C:\Documents and Settings\CHRISTOPHER\Application Data\ViewerApp.dat 2007-03-22 20:32 2,442,222 ----a-w C:\Program Files\eMule047c.exe .
((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360] "MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2008-04-14 1695232] "swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-25 68856] "TomTomHOME.exe"="C:\Program Files\TomTom HOME 2\HOMERunner.exe" [2008-05-06 202088]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 78008] "LogitechVideoRepair"="C:\Program Files\Logitech\Video\ISStart.exe" [2004-02-25 454656] "LogitechVideoTray"="C:\Program Files\Logitech\Video\LogiTray.exe" [2004-02-25 212992] "LVCOMSX"="C:\WINDOWS\system32\LVCOMSX.EXE" [2004-02-25 221184] "PinnacleDriverCheck"="C:\WINDOWS\system32\\PSDrvCheck.exe" [2004-03-11 406016] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784] "HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2006-02-19 49152] "AppleSyncNotifier"="C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-07-22 116040] "QuickTime Task"="C:\Program Files\QuickTime Alternative\qttask.exe" [2008-05-27 413696] "iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2008-07-30 289064]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]
C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ Adobe Gamma Loader.exe.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2007-06-03 113664] D‚marrage rapide de HP Photosmart Premier.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe [2006-02-10 73728] HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2006-02-19 288472] Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696] Logitech Desktop Messenger.lnk - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2007-11-02 67128] Logitech SetPoint.lnk - C:\Program Files\Logitech\SetPoint\SetPoint.exe [2008-02-09 528384] Picture Package Menu.lnk - C:\Program Files\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe [2007-04-16 151552] Picture Package VCD Maker.lnk - C:\Program Files\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe [2007-04-16 106496]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "msacm.enc"= ITIG726.acm "VIDC.MJPG"= Pvmjpg30.dll "VIDC.YV12"= yv12vfw.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam] --a------ 2008-04-05 15:40 1271032 c:\Program Files\Valve\Steam\steam.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "C:\\WINDOWS\\system32\\dpvsetup.exe"= "C:\\Program Files\\eMule\\emule.exe"= "C:\\Program Files\\Pinnacle\\Studio 10\\programs\\RM.exe"= "C:\\Program Files\\Pinnacle\\Studio 10\\programs\\Studio.exe"= "C:\\Program Files\\Pinnacle\\Studio 10\\programs\\PMSRegisterFile.exe"= "C:\\Program Files\\Pinnacle\\Studio 10\\programs\\umi.exe"= "C:\\Program Files\\Valve\\Steam\\SteamApps\\roymost\\condition zero\\hl.exe"= "C:\\Program Files\\Valve\\Steam\\SteamApps\\roymost\\condition zero deleted scenes\\hl.exe"= "C:\\Program Files\\Valve\\Steam\\SteamApps\\roymost\\deathmatch classic\\hl.exe"= "C:\\Program Files\\Fichiers communs\\PocketSoft\\RTPatch\\AutoRTP\\artpschd.exe"= "C:\\Program Files\\Valve\\Steam\\SteamApps\\roymost\\counter-strike\\hl.exe"= "C:\\Program Files\\EA GAMES\\Battlefield 1942\\BF1942.exe"= "C:\\Program Files\\Valve\\Steam\\steam.exe"= "C:\\Program Files\\Electronic Arts\\Battlefield 2142\\BF2142.exe"= "C:\\Program Files\\EA GAMES\\Battlefield 1942\\BF1942_w32ded.exe"= "C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"= "C:\\Program Files\\Shareaza\\Shareaza.exe"= "C:\\Program Files\\Microsoft Games\\Age of Empires III\\age3x.exe"= "C:\\WINDOWS\\system32\\spoolsv.exe"= "C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"= "C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"= "C:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"= "C:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"= "C:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"= "C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"= "C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"= "C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"= "C:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"= "C:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"= "C:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"= "C:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"= "C:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"= "C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"= "C:\\Program Files\\Microsoft Games\\Motocross Madness\\mcm.exe"= "C:\\Program Files\\Bonjour\\mDNSResponder.exe"= "C:\\Program Files\\iTunes\\iTunes.exe"= "C:\\Program Files\\MSN Messenger\\msnmsgr.exe"= "C:\\Program Files\\MSN Messenger\\livecall.exe"= "C:\\Program Files\\Microsoft Games\\Age of Empires III\\age3y.exe"=
R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 78416] R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560] S3 Boonty Games;Boonty Games;C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe [2008-08-11 69120] S3 MBAMCatchMe;MBAMCatchMe;C:\Program Files\Malwarebytes' Anti-Malware\catchme.sys [ ]
*Newly Created Service* - PROCEXP90 . Contenu du dossier 'Scheduled Tasks/Tâches planifiées' | |
|
| |
Contenu sponsorisé
| Sujet: Re: Infection par virus win32: Fraud Tool - GI [Tool] | |
| |
|
| |
| Infection par virus win32: Fraud Tool - GI [Tool] | |
|