Bibou Le Forum
Portail sur la sécurité
 
PortailAccueilRechercherS'enregistrerMembresGroupesConnexion

Partagez | 
 

 Infection par virus win32: Fraud Tool - GI [Tool]

Voir le sujet précédent Voir le sujet suivant Aller en bas 
Aller à la page : 1, 2  Suivant
AuteurMessage
gruik63
Bibouactif
Bibouactif


Masculin
Nombre de messages : 58
Age : 54
Localisation : france
Date d'inscription : 01/04/2008

MessageSujet: Infection par virus win32: Fraud Tool - GI [Tool]   Mar 9 Sep 2008 - 22:24

Bonsoir Bibou,

de retour sur le forum pour une nouvelle demande d' aide en ligne.
Mon PC est infecté par un virus nommé win32: Fraud Tool -GI[Tool], conséquence une fenêtre d' alerte Avast apparait toutes
les dix secondes pour me prévenir qu'un logiciel malveillant a été trouvé sur mon PC.
Avast ne parvient pas à eliminer le problèm, je ne peux quasiment plus travailler sur ce PC et j' utilise mon portable pour t' écrire.
Y a t'il une solution pour stopper ce virus.

Merci d' avance pour ton aide

Cdlt

Gruik63
Revenir en haut Aller en bas
GrosBébé
Moderateurs (trices)
Moderateurs (trices)
avatar

Masculin
Nombre de messages : 6878
Age : 36
Localisation : devant le pc
Date d'inscription : 18/12/2007

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Mar 9 Sep 2008 - 22:29

Bonsoir Gruik63 et bienvenu

On va regarder ça.

Est ce que tu pourrais me dire où a été détecté ce virus ? (dans quel dossier)


Clique ici pour télécharger random's system information tool (RSIT) par random/random et sauvegarde le sur ton Bureau

  • Double-clique sur RSIT.exe pour l'exécuter.
  • Clique sur le bouton "Continue" sur la fenêtre d'avertissement.
  • Une fois le scan terminé, tu auras deux rapports qui seront ouverts : log.txt et info.txt (c:\rsit)
  • Poste les dans ta prochaine réponse s'il te plait

Note : un rapport hijackthis est contenu dans le rapport log.txt

__________________________________________________________________________________________________________________
Profitez d'offres promotionnelles et suivez Bibou0007.com sur Facebook -------->
*
*
Revenir en haut Aller en bas
gruik63
Bibouactif
Bibouactif


Masculin
Nombre de messages : 58
Age : 54
Localisation : france
Date d'inscription : 01/04/2008

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Mar 9 Sep 2008 - 22:48

Bonsoir Accass

ci après le nom des fichiers qui reviennent sur le message d'alerte :

C:\DOCUME~1\SABINE~1\LOCALS~1\Temp\WERe468.dir00\Ad-Aware.exe.hdmp
C:\WINDOWS\system32\pphcetvj0ec8v.exe

Ai lancé random' s system l' analyse est elle longue car la barre de progression n' a pas dépassé les 1/3 depuis qqes minutes ?
Revenir en haut Aller en bas
GrosBébé
Moderateurs (trices)
Moderateurs (trices)
avatar

Masculin
Nombre de messages : 6878
Age : 36
Localisation : devant le pc
Date d'inscription : 18/12/2007

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Mar 9 Sep 2008 - 22:54

Ok, je vois ce que c'est, ce n'est pas long (quelques secondes voir minutes)

Si au bout de 20 minutes, ça coince encore (mais laisse lui quand même 20 minutes Wink ), arrête le et :

Clique ici pour télécharger OTViewIt de OldTimer sur ton bureau.

  • Ferme toutes les fenêtres et applications.
  • Double clique sur OTViewIt.exe pour le lancer
  • Dans la liste déroulante "File Age" choisis : 30 days
  • Clique sur le bouton "Run Scan"
    Dans quelques minutes le bloc note va s'ouvrir, poste les deux rapports obtenus dans ta prochaine réponse.
Ils sont placés sur ton bureau : OTViewIt.txt et Extras.txt

__________________________________________________________________________________________________________________
Profitez d'offres promotionnelles et suivez Bibou0007.com sur Facebook -------->
*
*
Revenir en haut Aller en bas
gruik63
Bibouactif
Bibouactif


Masculin
Nombre de messages : 58
Age : 54
Localisation : france
Date d'inscription : 01/04/2008

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Mar 9 Sep 2008 - 23:12

Accass

ci dessous l' analyse Random log.txt en plusieurs messages

Logfile of random's system information tool (written by random/random)
Run by SABINE ET FRED at 2008-09-09 22:54:25
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 29 GB (18%) free of 157 GB
Total RAM: 1023 MB (42% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:54:30, on 09/09/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Logitech\Video\LogiTray.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\lphcetvj0ec8v.exe
C:\Program Files\rhcatvj0ec8v\rhcatvj0ec8v.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\TomTom HOME 2\HOMERunner.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
C:\Program Files\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
C:\Program Files\Fichiers communs\Logitech\KHAL\KHALMNPR.EXE
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\Program Files\HP\Digital Imaging\bin\hpqnrs08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\system32\HPZinw12.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\SABINE ET FRED\Bureau\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\SABINE ET FRED.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/webhp?sourceid=navclient&hl=fr&ie=UTF-8
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.emjysoft.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Emjysoft_Anti-spam] C:\Program Files\Emjysoft\Anti-Spam\antispam.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime Alternative\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [lphcetvj0ec8v] C:\WINDOWS\system32\lphcetvj0ec8v.exe
O4 - HKLM\..\Run: [SMrhcatvj0ec8v] C:\Program Files\rhcatvj0ec8v\rhcatvj0ec8v.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [Spamihilator] "C:\Program Files\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME 2\HOMERunner.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Picture Package Menu.lnk = ?
O4 - Global Startup: Picture Package VCD Maker.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1174052227796
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://asp07.photoprintit.de/microsite/12188/defaults/activex/IPSUploader.cab
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O24 - Desktop Component 1: (no name) - http://fr.beijing2008.cn/index.shtml

--
End of file - 10516 bytes
Revenir en haut Aller en bas
gruik63
Bibouactif
Bibouactif


Masculin
Nombre de messages : 58
Age : 54
Localisation : france
Date d'inscription : 01/04/2008

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Mar 9 Sep 2008 - 23:12

log.txt message 2

Scheduled tasks folder

C:\WINDOWS\tasks\AppleSoftwareUpdate.job

Registry dump

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader Link Helper - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2006-01-12 63128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]
C:\PROGRA~1\SPYBOT~1\SDHelper.dll [2005-05-31 853672]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
SSVHelper Class - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll [2008-06-10 509328]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7E853D72-626A-48EC-A868-BA8D5E23E045}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
Windows Live Sign-in Helper - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2006-08-31 322368]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}]
Google Toolbar Helper - c:\program files\google\googletoolbar2.dll [2007-07-22 2436160]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}]
Google Toolbar Notifier BHO - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll [2007-07-25 325048]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{2318C2B1-4965-11d4-9B18-009027A5CD4F} - &Google - c:\program files\google\googletoolbar2.dll [2007-07-22 2436160]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"avast!"=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe [2008-07-19 78008]
"Emjysoft_Anti-spam"=C:\Program Files\Emjysoft\Anti-Spam\antispam.exe []
"LogitechVideoRepair"=C:\Program Files\Logitech\Video\ISStart.exe [2004-02-25 454656]
"LogitechVideoTray"=C:\Program Files\Logitech\Video\LogiTray.exe [2004-02-25 212992]
"LVCOMSX"=C:\WINDOWS\system32\LVCOMSX.EXE [2004-02-25 221184]
"PinnacleDriverCheck"=C:\WINDOWS\system32\\PSDrvCheck.exe [2004-03-11 406016]
"SunJavaUpdateSched"=C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe [2008-06-10 144784]
"HP Software Update"=C:\Program Files\HP\HP Software Update\HPWuSchd2.exe [2006-02-19 49152]
"AppleSyncNotifier"=C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe [2008-07-22 116040]
"QuickTime Task"=C:\Program Files\QuickTime Alternative\qttask.exe [2008-05-27 413696]
"iTunesHelper"=C:\Program Files\iTunes\iTunesHelper.exe [2008-07-30 289064]
"lphcetvj0ec8v"=C:\WINDOWS\system32\lphcetvj0ec8v.exe [2008-09-07 203776]
"SMrhcatvj0ec8v"=C:\Program Files\rhcatvj0ec8v\rhcatvj0ec8v.exe [2008-09-05 831488]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]
"MSMSGS"=C:\Program Files\Messenger\msmsgs.exe [2008-04-14 1695232]
"swg"=C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [2007-07-25 68856]
"LDM"=C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe []
"Spamihilator"=C:\Program Files\Spamihilator\spamihilator.exe []
"TomTomHOME.exe"=C:\Program Files\TomTom HOME 2\HOMERunner.exe [2008-05-06 202088]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
c:\program files\valve\steam\steam.exe [2008-04-05 1271032]

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage
Adobe Gamma Loader.exe.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
Démarrage rapide de HP Photosmart Premier.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
Logitech Desktop Messenger.lnk - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
Logitech SetPoint.lnk - C:\Program Files\Logitech\SetPoint\SetPoint.exe
Picture Package Menu.lnk - C:\Program Files\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
Picture Package VCD Maker.lnk - C:\Program Files\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
C:\WINDOWS\system32\Ati2evxx.dll [2007-02-02 110592]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINDOWS\system32\WgaLogon.dll [2007-02-15 236928]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"=msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll,

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TDSSserv.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\TDSSserv.sys]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"NoDispScrSavPage"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Program Files\MSN Messenger\msncall.exe"="C:\Program Files\MSN Messenger\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"C:\WINDOWS\system32\dpvsetup.exe"="C:\WINDOWS\system32\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test"
"C:\WINDOWS\system32\rundll32.exe"="C:\WINDOWS\system32\rundll32.exe:*:Enabled:Exécuter une DLL en tant qu'application"
"C:\Program Files\eMule\emule.exe"="C:\Program Files\eMule\emule.exe:*:Enabled:eMule"
"C:\Program Files\Pinnacle\Studio 10\programs\RM.exe"="C:\Program Files\Pinnacle\Studio 10\programs\RM.exe:*:Enabled:Render Manager"
"C:\Program Files\Pinnacle\Studio 10\programs\Studio.exe"="C:\Program Files\Pinnacle\Studio 10\programs\Studio.exe:*:Enabled:Studio"
"C:\Program Files\Pinnacle\Studio 10\programs\PMSRegisterFile.exe"="C:\Program Files\Pinnacle\Studio 10\programs\PMSRegisterFile.exe:*:Enabled:PMSRegisterFile"
"C:\Program Files\Pinnacle\Studio 10\programs\umi.exe"="C:\Program Files\Pinnacle\Studio 10\programs\umi.exe:*:Enabled:umi"
"C:\Program Files\Valve\Steam\SteamApps\roymost\condition zero\hl.exe"="C:\Program Files\Valve\Steam\SteamApps\roymost\condition zero\hl.exe:*:Enabled:Half-Life Launcher"
"C:\Program Files\Valve\Steam\SteamApps\roymost\condition zero deleted scenes\hl.exe"="C:\Program Files\Valve\Steam\SteamApps\roymost\condition zero deleted scenes\hl.exe:*:Enabled:Half-Life Launcher"
"C:\Program Files\Valve\Steam\SteamApps\roymost\deathmatch classic\hl.exe"="C:\Program Files\Valve\Steam\SteamApps\roymost\deathmatch classic\hl.exe:*:Enabled:Half-Life Launcher"
"C:\Program Files\Fichiers communs\PocketSoft\RTPatch\AutoRTP\artpschd.exe"="C:\Program Files\Fichiers communs\PocketSoft\RTPatch\AutoRTP\artpschd.exe:*:Enabled:artpschd"
"C:\Program Files\Valve\Steam\SteamApps\roymost\counter-strike\hl.exe"="C:\Program Files\Valve\Steam\SteamApps\roymost\counter-strike\hl.exe:*:Enabled:Half-Life Launcher"
"C:\Program Files\EA GAMES\Battlefield 1942\BF1942.exe"="C:\Program Files\EA GAMES\Battlefield 1942\BF1942.exe:*:Enabled:BF1942"
"C:\Program Files\Valve\Steam\steam.exe"="C:\Program Files\Valve\Steam\steam.exe:*:Enabled:Steam"
"C:\Program Files\Electronic Arts\Battlefield 2142\BF2142.exe"="C:\Program Files\Electronic Arts\Battlefield 2142\BF2142.exe:*:Enabled:Battlefield 2"
"C:\Program Files\EA GAMES\Battlefield 1942\BF1942_w32ded.exe"="C:\Program Files\EA GAMES\Battlefield 1942\BF1942_w32ded.exe:*:Enabled:BF1942_w32ded"
"C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe"="C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:*:Enabled:Logitech Desktop Messenger"
"C:\Program Files\Shareaza\Shareaza.exe"="C:\Program Files\Shareaza\Shareaza.exe:*:Enabled:Shareaza"
"C:\Program Files\Microsoft Games\Age of Empires III\age3x.exe"="C:\Program Files\Microsoft Games\Age of Empires III\age3x.exe:*:Enabled:Age of Empires III - The WarChiefs"
"C:\WINDOWS\system32\spoolsv.exe"="C:\WINDOWS\system32\spoolsv.exe:*:Enabled:Spooler SubSystem App"
"F:\setup\HPZnet01.exe"="F:\setup\HPZnet01.exe:*:Enabled:hpznet01.exe"
"F:\setup\hponicifs01.exe"="F:\setup\hponicifs01.exe:*:Enabled:hponicifs01.exe"
"C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe"="C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe:*:Enabled:hpqtra08.exe"
"C:\Program Files\HP\Digital Imaging\bin\hpqste08.exe"="C:\Program Files\HP\Digital Imaging\bin\hpqste08.exe:*:Enabled:hpqste08.exe"
"C:\Program Files\HP\Digital Imaging\bin\hpofxm08.exe"="C:\Program Files\HP\Digital Imaging\bin\hpofxm08.exe:*:Enabled:hpofxm08.exe"
"C:\Program Files\HP\Digital Imaging\bin\hposfx08.exe"="C:\Program Files\HP\Digital Imaging\bin\hposfx08.exe:*:Enabled:hposfx08.exe"
"C:\Program Files\HP\Digital Imaging\bin\hposid01.exe"="C:\Program Files\HP\Digital Imaging\bin\hposid01.exe:*:Enabled:hposid01.exe"
"C:\Program Files\HP\Digital Imaging\bin\hpqscnvw.exe"="C:\Program Files\HP\Digital Imaging\bin\hpqscnvw.exe:*:Enabled:hpqscnvw.exe"
"C:\Program Files\HP\Digital Imaging\bin\hpqkygrp.exe"="C:\Program Files\HP\Digital Imaging\bin\hpqkygrp.exe:*:Enabled:hpqkygrp.exe"
"C:\Program Files\HP\Digital Imaging\bin\hpqCopy.exe"="C:\Program Files\HP\Digital Imaging\bin\hpqCopy.exe:*:Enabled:hpqcopy.exe"
"C:\Program Files\HP\Digital Imaging\bin\hpfccopy.exe"="C:\Program Files\HP\Digital Imaging\bin\hpfccopy.exe:*:Enabled:hpfccopy.exe"
"C:\Program Files\HP\Digital Imaging\bin\hpzwiz01.exe"="C:\Program Files\HP\Digital Imaging\bin\hpzwiz01.exe:*:Enabled:hpzwiz01.exe"
"C:\Program Files\HP\Digital Imaging\Unload\HpqPhUnl.exe"="C:\Program Files\HP\Digital Imaging\Unload\HpqPhUnl.exe:*:Enabled:hpqphunl.exe"
"C:\Program Files\HP\Digital Imaging\Unload\HpqDIA.exe"="C:\Program Files\HP\Digital Imaging\Unload\HpqDIA.exe:*:Enabled:hpqdia.exe"
"C:\Program Files\HP\Digital Imaging\bin\hpoews01.exe"="C:\Program Files\HP\Digital Imaging\bin\hpoews01.exe:*:Enabled:hpoews01.exe"
"C:\Program Files\HP\Digital Imaging\bin\hpqnrs08.exe"="C:\Program Files\HP\Digital Imaging\bin\hpqnrs08.exe:*:Enabled:hpqnrs08.exe"
"C:\Program Files\Microsoft Games\Motocross Madness\mcm.exe"="C:\Program Files\Microsoft Games\Motocross Madness\mcm.exe:*:Disabled:Microsoft® Motocross Madness"
"C:\Program Files\Bonjour\mDNSResponder.exe"="C:\Program Files\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\Program Files\iTunes\iTunes.exe"="C:\Program Files\iTunes\iTunes.exe:*:Enabled:iTunes"
"C:\Program Files\MSN Messenger\msnmsgr.exe"="C:\Program Files\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\Program Files\MSN Messenger\livecall.exe"="C:\Program Files\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\Program Files\Microsoft Games\Age of Empires III\age3y.exe"="C:\Program Files\Microsoft Games\Age of Empires III\age3y.exe:*:Enabled:Age of Empires III - The Asian Dynasties"
"C:\WINDOWS\system32\drivers\svchost.exe"="C:\WINDOWS\system32\drivers\svchost.exe:*:Disabled:svchost"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Program Files\MSN Messenger\msncall.exe"="C:\Program Files\MSN Messenger\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe"="C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:*:Enabled:Logitech Desktop Messenger"
"C:\Program Files\MSN Messenger\msnmsgr.exe"="C:\Program Files\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\Program Files\MSN Messenger\livecall.exe"="C:\Program Files\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

File associations
Revenir en haut Aller en bas
gruik63
Bibouactif
Bibouactif


Masculin
Nombre de messages : 58
Age : 54
Localisation : france
Date d'inscription : 01/04/2008

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Mar 9 Sep 2008 - 23:13

log.txt message 3

File associations

.reg - open - regedit.exe "%1" %*
.scr - open - "%1" %*

List of files/folders created in the last three months

2008-09-09 22:47:46 ----A---- C:\WINDOWS\system32\pphcetvj0ec8v.exe
2008-09-09 22:47:46 ----A---- C:\WINDOWS\system32\418.tmp
2008-09-09 22:47:46 ----A---- C:\WINDOWS\system32\417.tmp
2008-09-09 22:41:22 ----D---- C:\rsit
2008-09-09 19:16:12 ----A---- C:\WINDOWS\system32\3E2.tmp
2008-09-09 19:16:12 ----A---- C:\WINDOWS\system32\3E1.tmp
2008-09-08 19:53:06 ----N---- C:\WINDOWS\system32\trz2DE.tmp
2008-09-08 19:52:16 ----N---- C:\WINDOWS\system32\trz2CB.tmp
2008-09-07 23:08:11 ----D---- C:\Documents and Settings\SABINE ET FRED\Application Data\rhcatvj0ec8v
2008-09-07 23:08:08 ----D---- C:\Program Files\rhcatvj0ec8v
2008-09-07 18:43:42 ----A---- C:\WINDOWS\system32\tdssinit.dll
2008-09-07 18:43:40 ----A---- C:\WINDOWS\system32\tdsslog.dll
2008-09-07 18:43:40 ----A---- C:\WINDOWS\system32\tdssadw.dll
2008-09-07 18:43:39 ----A---- C:\WINDOWS\system32\tdssmain.dll
2008-09-07 18:43:01 ----A---- C:\WINDOWS\system32\lphcetvj0ec8v.exe
2008-08-28 23:39:51 ----D---- C:\Program Files\CVitae
2008-08-28 18:38:45 ----HDC---- C:\WINDOWS\$NtUninstallKB951978$
2008-08-28 14:31:51 ----A---- C:\WINDOWS\OEWABLog.txt
2008-08-28 14:30:47 ----D---- C:\WINDOWS\Prefetch
2008-08-28 13:01:08 ----HDC---- C:\WINDOWS\$NtUninstallKB952954$
2008-08-28 13:01:01 ----HDC---- C:\WINDOWS\$NtUninstallKB952287$
2008-08-28 13:00:53 ----HDC---- C:\WINDOWS\$NtUninstallKB951748$
2008-08-28 13:00:46 ----HDC---- C:\WINDOWS\$NtUninstallKB951698$
2008-08-28 13:00:40 ----HDC---- C:\WINDOWS\$NtUninstallKB951376-v2$
2008-08-28 13:00:33 ----HDC---- C:\WINDOWS\$NtUninstallKB951376$
2008-08-28 13:00:24 ----HDC---- C:\WINDOWS\$NtUninstallKB951066$
2008-08-28 13:00:18 ----HDC---- C:\WINDOWS\$NtUninstallKB950974$
2008-08-28 13:00:11 ----HDC---- C:\WINDOWS\$NtUninstallKB950762$
2008-08-28 13:00:02 ----HDC---- C:\WINDOWS\$NtUninstallKB946648$
2008-08-28 12:57:57 ----A---- C:\WINDOWS\setuplog.txt
2008-08-28 12:56:36 ----D---- C:\WINDOWS\system32\fr
2008-08-28 12:56:36 ----D---- C:\WINDOWS\l2schemas
2008-08-28 12:56:35 ----D---- C:\WINDOWS\system32\bits
2008-08-28 12:53:32 ----D---- C:\WINDOWS\ServicePackFiles
2008-08-28 12:45:23 ----HDC---- C:\WINDOWS\$NtServicePackUninstall$
2008-08-28 12:45:21 ----D---- C:\WINDOWS\EHome
2008-08-27 21:24:58 ----HDC---- C:\WINDOWS\$NtUninstallKB952954_0$
2008-08-27 21:21:29 ----HDC---- C:\WINDOWS\$NtUninstallKB946648_0$
2008-08-27 21:21:20 ----HDC---- C:\WINDOWS\$NtUninstallKB953839$
2008-08-27 21:19:57 ----HDC---- C:\WINDOWS\$NtUninstallKB950974_0$
2008-08-27 21:16:36 ----HDC---- C:\WINDOWS\$NtUninstallKB951072-v2$
2008-08-27 21:16:28 ----HDC---- C:\WINDOWS\$NtUninstallKB952287_0$
2008-08-27 21:15:40 ----HDC---- C:\WINDOWS\$NtUninstallKB951066_0$
2008-08-11 14:17:24 ----D---- C:\Documents and Settings\All Users\Application Data\BOONTY
2008-08-11 14:17:19 ----D---- C:\Program Files\Fichiers communs\BOONTY Shared
2008-08-11 14:17:12 ----D---- C:\Program Files\Téléchargeur de Virtual Music Studio
2008-08-11 14:16:56 ----D---- C:\Program Files\BoontyGames
2008-08-11 14:16:55 ----D---- C:\Program Files\Boonty
2008-08-03 10:47:16 ----D---- C:\Program Files\Bonjour
2008-07-31 12:32:47 ----D---- C:\Program Files\Fichiers communs\DESIGNER
2008-07-19 11:33:59 ----D---- C:\Program Files\Sun
2008-07-19 11:33:44 ----A---- C:\WINDOWS\system32\javaws.exe
2008-07-19 11:33:44 ----A---- C:\WINDOWS\system32\javaw.exe
2008-07-19 11:33:44 ----A---- C:\WINDOWS\system32\java.exe
2008-07-09 21:09:01 ----HDC---- C:\WINDOWS\$NtUninstallKB951748_0$
2008-06-23 15:41:14 ----D---- C:\Program Files\GUILD WARS
2008-06-21 17:09:26 ----A---- C:\WINDOWS\system32\mpg4c32.dll
2008-06-20 19:30:52 ----HDC---- C:\WINDOWS\$NtUninstallKB951376-v2_0$
2008-06-17 23:50:04 ----D---- C:\Program Files\Microids
2008-06-13 14:09:11 ----RHD---- C:\Documents and Settings\SABINE ET FRED\Application Data\SecuROM
2008-06-11 23:21:22 ----HDC---- C:\WINDOWS\$NtUninstallKB951698_0$
2008-06-11 23:21:16 ----HDC---- C:\WINDOWS\$NtUninstallKB950762_0$
2008-06-11 23:21:11 ----HDC---- C:\WINDOWS\$NtUninstallKB950760$
2008-06-11 23:21:02 ----HDC---- C:\WINDOWS\$NtUninstallKB951376_0$

List of drivers

R1 Aavmker4;avast! Asynchronous Virus Monitor; C:\WINDOWS\system32\drivers\Aavmker4.sys [2008-07-19 26944]
R1 AmdK7;Pilote de processeur AMD K7; C:\WINDOWS\system32\DRIVERS\amdk7.sys [2008-04-14 41856]
R1 aswSP;avast! Self Protection; C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 78416]
R1 aswTdi;avast! Network Shield Support; C:\WINDOWS\system32\drivers\aswTdi.sys [2008-07-19 42912]
R1 cdrbsdrv;cdrbsdrv; C:\WINDOWS\system32\drivers\cdrbsdrv.sys [2004-03-08 13567]
R1 kbdhid;Pilote HID de clavier; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-14 14720]
R1 PCLEPCI;PCLEPCI; \??\C:\WINDOWS\system32\drivers\pclepci.sys []
R2 Aspi32;Aspi32; C:\WINDOWS\system32\drivers\Aspi32.sys [1999-09-10 25244]
R2 aswFsBlk;aswFsBlk; C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560]
R2 aswMon2;avast! Standard Shield Support; C:\WINDOWS\system32\drivers\aswMon2.sys [2008-07-19 94416]
R3 Arp1394;Protocole client ARP 1394; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2008-04-13 60800]
R3 ASAPIW2K;ASAPIW2K; C:\WINDOWS\System32\Drivers\ASAPIW2K.sys [2005-01-10 11264]
R3 aswRdr;aswRdr; C:\WINDOWS\system32\drivers\aswRdr.sys [2008-07-19 23152]
R3 ati2mtag;ati2mtag; C:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2007-02-02 1975296]
R3 GEARAspiWDM;GEARAspiWDM; C:\WINDOWS\System32\Drivers\GEARAspiWDM.sys [2008-01-29 16168]
R3 HidUsb;Pilote de classe HID Microsoft; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
R3 L8042Kbd;Logitech SetPoint Keyboard Driver; C:\WINDOWS\system32\DRIVERS\L8042Kbd.sys [2005-07-23 13440]
R3 mouhid;Pilote HID de souris; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-23 12288]
R3 ms_mpu401;Pilote UART MIDI MPU-401 Microsoft; C:\WINDOWS\system32\drivers\msmpu401.sys [2001-08-18 2944]
R3 NIC1394;Pilote réseau 1394; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2008-04-13 61824]
R3 nvax;Service for NVIDIA(R) nForce(TM) Audio Enumerator; C:\WINDOWS\system32\drivers\nvax.sys [2002-12-05 13056]
R3 NVENET;NVIDIA nForce MCP Networking Adapter Driver; C:\WINDOWS\system32\DRIVERS\NVENET.sys [2002-09-23 80896]
R3 nvnforce;Service for NVIDIA(R) nForce(TM) Audio; C:\WINDOWS\system32\drivers\nvapu.sys [2002-12-05 241664]
R3 QCMerced;Logitech QuickCam Communicate; C:\WINDOWS\system32\DRIVERS\LVCM.sys [2004-02-14 469696]
R3 StillCam;Pilote d'appareil photo numérique série; C:\WINDOWS\system32\DRIVERS\serscan.sys [2001-08-23 6912]
R3 usbaudio;Pilote USB audio (WDM); C:\WINDOWS\system32\drivers\usbaudio.sys [2008-04-13 60032]
R3 usbccgp;Pilote parent générique USB Microsoft; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128]
R3 usbehci;Pilote miniport de contrôleur d'hôte amélioré Microsoft USB 2.0; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;Pilote de concentrateur standard USB Microsoft; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 usbohci;Pilote miniport de contrôleur hôte ouvert USB Microsoft; C:\WINDOWS\system32\DRIVERS\usbohci.sys [2008-04-13 17152]
S1 cdrbsvsd;cdrbsvsd; C:\WINDOWS\system32\drivers\cdrbsvsd.sys []
S3 61883;Pilote d'unité 61883; C:\WINDOWS\system32\DRIVERS\61883.sys [2008-04-13 48128]
S3 Avc;Périphérique AVC; C:\WINDOWS\system32\DRIVERS\avc.sys [2008-04-13 38912]
S3 CCDECODE;Décodeur sous-titre fermé; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2008-04-13 17024]
S3 ezplay;VSO Software ezplay; C:\WINDOWS\System32\Drivers\ezplay.sys [2008-05-31 94208]
S3 HPZid412;IEEE-1284.4 Driver HPZid412; C:\WINDOWS\system32\DRIVERS\HPZid412.sys [2004-12-14 51120]
S3 HPZipr12;Print Class Driver for IEEE-1284.4 HPZipr12; C:\WINDOWS\system32\DRIVERS\HPZipr12.sys [2004-12-14 16496]
S3 HPZius12;USB to IEEE-1284.4 Translation Driver HPZius12; C:\WINDOWS\system32\DRIVERS\HPZius12.sys [2004-12-14 21744]
S3 hSONYPVh;hSONYPVh; \??\C:\DOCUME~1\SABINE~1\LOCALS~1\Temp\hSONYPVh.sys []
S3 L8042mou;Logitech SetPoint PS/2 Mouse Filter Driver; C:\WINDOWS\System32\Drivers\L8042mou.sys [2005-07-23 55040]
S3 LMouKE;Logitech SetPoint Mouse Filter Driver; C:\WINDOWS\System32\Drivers\LMouKE.sys [2005-07-23 68864]
S3 MBAMCatchMe;MBAMCatchMe; \??\C:\Program Files\Malwarebytes' Anti-Malware\catchme.sys []
S3 MSDV;Microsoft DV Camera and VCR; C:\WINDOWS\system32\DRIVERS\msdv.sys [2008-04-13 51200]
S3 MSTEE;Convertisseur en T/site-à-site de répartition Microsoft; C:\WINDOWS\system32\drivers\MSTEE.sys [2008-04-13 5504]
S3 NABTSFEC;Codec NABTS/FEC VBI; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2008-04-13 85248]
S3 NdisIP;Connection TV/vidéo Microsoft; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2008-04-13 10880]
S3 pcouffin;VSO Software pcouffin; C:\WINDOWS\System32\Drivers\pcouffin.sys [2008-05-31 47360]
S3 SLIP;Détrameur décalage BDA; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2008-04-13 11136]
S3 SONYPVU1;Pilote de filtrage Sony USB (SONYPVU1); C:\WINDOWS\system32\DRIVERS\SONYPVU1.SYS [2001-08-17 7552]
S3 streamip;BDA IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2008-04-13 15232]
S3 usbprint;Classe d'imprimantes USB Microsoft; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856]
S3 usbscan;Pilote de scanneur USB; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104]
S3 USBSTOR;Pilote de stockage de masse USB; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
S3 WSTCODEC;Codec Teletext standard; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2008-04-13 19200]
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []
Revenir en haut Aller en bas
gruik63
Bibouactif
Bibouactif


Masculin
Nombre de messages : 58
Age : 54
Localisation : france
Date d'inscription : 01/04/2008

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Mar 9 Sep 2008 - 23:14

log.txt message 4

List of services

R2 Apple Mobile Device;Apple Mobile Device; C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [2008-07-22 116040]
R2 aswUpdSv;avast! iAVS4 Control Service; C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe [2008-07-19 16056]
R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2007-02-02 446464]
R2 avast! Antivirus;avast! Antivirus; C:\Program Files\Alwil Software\Avast4\ashServ.exe [2008-07-19 147640]
R2 Bonjour Service;Service Bonjour; C:\Program Files\Bonjour\mDNSResponder.exe [2007-07-24 229376]
R2 PnkBstrA;PnkBstrA; C:\WINDOWS\system32\PnkBstrA.exe [2007-10-17 66872]
R3 avast! Mail Scanner;avast! Mail Scanner; C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe [2008-07-19 250040]
R3 avast! Web Scanner;avast! Web Scanner; C:\Program Files\Alwil Software\Avast4\ashWebSv.exe [2008-07-23 348344]
R3 iPod Service;Service de l'iPod; C:\Program Files\iPod\bin\iPodService.exe [2008-07-30 532264]
S2 ATI Smart;ATI Smart; C:\WINDOWS\system32\ati2sgag.exe [2007-02-02 520192]
S2 Pml Driver HPZ12;Pml Driver HPZ12; C:\WINDOWS\system32\HPZipm12.exe [2007-08-09 73728]
S3 aspnet_state;Service d'état ASP.NET; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2007-10-24 33800]
S3 Boonty Games;Boonty Games; C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe [2008-08-11 69120]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2007-10-24 70144]
S3 gusvc;Google Updater Service; C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-07-22 138168]
S3 IDriverT;InstallDriver Table Manager; C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe [2005-04-04 69632]
S3 odserv;Microsoft Office Diagnostics Service; C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE12\ODSERV.EXE [2007-08-24 443776]
S3 ose;Office Source Engine; C:\Program Files\Fichiers communs\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184]
S3 usnjsvc;Service Messenger Sharing Folders USN Journal Reader; C:\Program Files\MSN Messenger\usnsvc.exe [2007-01-19 97136]
S3 usprserv;User Privilege Service; C:\WINDOWS\System32\svchost.exe [2008-04-14 14336]
S3 WMPNetworkSvc;Service Partage réseau du Lecteur Windows Media; C:\Program Files\Windows Media Player\WMPNetwk.exe [2006-11-03 918016]
S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]

-----------------EOF-----------------
Revenir en haut Aller en bas
gruik63
Bibouactif
Bibouactif


Masculin
Nombre de messages : 58
Age : 54
Localisation : france
Date d'inscription : 01/04/2008

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Mar 9 Sep 2008 - 23:19

info .txt message 1

info.txt logfile of random's system information tool 2008-09-09 22:54:34

Uninstall list

-->C:\Program Files\DivX\ConverterUninstall.exe /CONVERTER
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {BEE75E01-DD3F-4D5F-B96C-609E6538D419}
2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-0015-040C-0000-0000000FF1CE} /uninstall {A0353900-21A2-42CF-B973-883500A027F7}
2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-0016-040C-0000-0000000FF1CE} /uninstall {A0353900-21A2-42CF-B973-883500A027F7}
2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-0018-040C-0000-0000000FF1CE} /uninstall {A0353900-21A2-42CF-B973-883500A027F7}
2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-0019-040C-0000-0000000FF1CE} /uninstall {A0353900-21A2-42CF-B973-883500A027F7}
2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-001A-040C-0000-0000000FF1CE} /uninstall {A0353900-21A2-42CF-B973-883500A027F7}
2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-001B-040C-0000-0000000FF1CE} /uninstall {A0353900-21A2-42CF-B973-883500A027F7}
2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-001F-0401-0000-0000000FF1CE} /uninstall {5A2F65A4-808F-4A1E-973E-92E17824982D}
2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-001F-0407-0000-0000000FF1CE} /uninstall {2AB528A5-BB1B-4EBE-8E51-AD0C4CD33CA9}
2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-001F-0409-0000-0000000FF1CE} /uninstall {3EC77D26-799B-4CD8-914F-C1565E796173}
2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-001F-040C-0000-0000000FF1CE} /uninstall {430971B1-C31E-45DA-81E0-72C095BAB72C}
2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-001F-0413-0000-0000000FF1CE} /uninstall {B3F4DC34-7F60-4B7C-A79F-1C13012D99D4}
2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-001F-0C0A-0000-0000000FF1CE} /uninstall {F7A31780-33C4-4E39-951A-5EC9B91D7BF1}
2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-0044-040C-0000-0000000FF1CE} /uninstall {A0353900-21A2-42CF-B973-883500A027F7}
Ad-Aware SE Personal-->C:\PROGRA~1\Lavasoft\AD-AWA~1\UNWISE.EXE C:\PROGRA~1\Lavasoft\AD-AWA~1\INSTALL.LOG
Adobe Flash Player ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Reader 7.0.8 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A70800000002}
Adobe SVG Viewer-->C:\WINDOWS\IsUn040c.exe -f"C:\WINDOWS\System32\Adobe\SVG Viewer\Uninst.isu"
Agama-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{42C9C702-67B3-4308-9747-9E29B1D596E9}\setup.exe" -l0x40c
Age of Empires III - The Asian Dynasties-->C:\Program Files\InstallShield Installation Information\{C43C1415-3DFC-4089-9A32-0BECF28A6046}\install.exe -runfromtemp -l0x040c
Age of Empires III - The WarChiefs-->C:\PROGRA~1\FICHIE~1\INSTAL~1\Driver\11\INTEL3~1\IDriver.exe /M{1C08A24C-B168-407E-A826-68FAF5F20710}
Age of Empires III-->C:\PROGRA~1\FICHIE~1\INSTAL~1\Driver\11\INTEL3~1\IDriver.exe /M{485775E8-AEB8-46BD-922B-242879E03DD5}
AntivirXP08-->"C:\Program Files\rhcatvj0ec8v\uninstall.exe"
Apple Mobile Device Support-->MsiExec.exe /I{49C88E44-1B38-4FC6-824E-2BDA3063B0E3}
Apple Software Update-->MsiExec.exe /I{02DFF6B1-1654-411C-8D7B-FD6052EF016F}
Archiveur WinRAR-->C:\Program Files\WinRAR\uninstall.exe
ATI Display Driver-->rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean
Audacity 1.2.6-->"C:\Program Files\Audacity\unins000.exe"
Avanquest update-->C:\Program Files\InstallShield Installation Information\{76E41F43-59D2-4F30-BA42-9A762EE1E8DE}\setup.exe -runfromtemp -l0x040c -removeonly
avast! Antivirus-->C:\Program Files\Alwil Software\Avast4\aswRunDll.exe "C:\Program Files\Alwil Software\Avast4\Setup\setiface.dll",RunSetup
AviSynth 2.5-->"C:\Program Files\AviSynth 2.5\Uninstall.exe"
Battlefield 1942: Secret Weapons of WWII-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{B73B4A99-4173-4747-BBEC-0F05E966F9D2}\setup.exe" -l0x40c
Battlefield 1942: The Road To Rome-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{D057AA08-8CBF-42E3-9EAB-23B8FED1C279}\setup.exe" -l0x40c
Battlefield 1942-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{698D7E61-E4BF-4CA6-8A09-CF6BDBFDEF65}\setup.exe" -l0x40c
Battlefield 2142-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\10\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{ED50ECE9-EC54-4C05-B5ED-EE4741A9F2EC}\setup.exe" -l0x40c -removeonly
BlindWrite 6-->"C:\Program Files\VSO\BlindWrite6\unins000.exe"
Bonjour-->MsiExec.exe /I{47BF1BD6-DCAC-468F-A0AD-E5DECC2211C3}
CCleaner (remove only)-->"C:\Documents and Settings\SABINE ET FRED\Mes documents\Mes fichiers reçus\CCleaner\uninst.exe"
CDBurnerXP Pro 3-->MsiExec.exe /I{896D642C-7125-44F0-AC49-A23ABF82209C}
Code de la Route-->MsiExec.exe /X{9BB9F8F2-3073-4F47-8207-0E7191C67DE9}
Compel Adaptec WinASPI-->"C:\Program Files\WinASPI\unins000.exe"
Correctif pour Lecteur Windows Media 11 (KB939683)-->"C:\WINDOWS\$NtUninstallKB939683$\spuninst\spuninst.exe"
Correctif pour Windows Internet Explorer 7 (KB947864)-->"C:\WINDOWS\ie7updates\KB947864-IE7\spuninst\spuninst.exe"
Correctif pour Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
Revenir en haut Aller en bas
gruik63
Bibouactif
Bibouactif


Masculin
Nombre de messages : 58
Age : 54
Localisation : france
Date d'inscription : 01/04/2008

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Mar 9 Sep 2008 - 23:20

info.txt message 2

Counter-Strike(TM)-->MsiExec.exe /I{DF5A03CC-D5AA-43D8-B948-D9903F2AF94A}
DG834-->C:\WINDOWS\uninst.exe -f"C:\Program Files\Netgear\DG834\DeIsL1.isu" -c"C:\Program Files\Netgear\DG834\_ISREG32.DLL"
Disc2Phone-->MsiExec.exe /I{FFAB5ABB-8AAB-42E2-847F-1743E51E01E9}
DiscAPI (Studio 10)-->MsiExec.exe /X{A77F3C2D-50CC-4A29-A1FB-1E018BE4DCA2}
DivX Content Uploader-->C:\Program Files\DivX\DivXContentUploaderUninstall.exe /CUPLOADER
DivX Converter-->C:\Program Files\DivX\ConverterUninstall.exe /CONVERTER
DivX Player-->C:\Program Files\DivX\DivXPlayerUninstall.exe /PLAYER
DivX Web Player-->C:\Program Files\DivX\DivXWebPlayerUninstall.exe /PLUGIN
DivX-->C:\Program Files\DivX\DivXCodecUninstall.exe /CODEC
Dofus 1.21.0-->C:\Program Files\Dofus\uninstall.exe
eMule-->"C:\Program Files\eMule\Uninstall.exe"
Fable - The Lost Chapters-->C:\PROGRA~1\FICHIE~1\INSTAL~1\Driver\1050\INTEL3~1\IDriver.exe /M{C3C9EB3D-24FA-4462-B784-0EC6AAFCD2DD}
Google Earth-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{3DE5E7D4-7B88-403C-A3FD-2017A8240C5B}\setup.exe" -l0x40c -removeonly
Google Toolbar for Internet Explorer-->MsiExec.exe /I{DBEA1034-5882-4A88-8033-81C4EF0CFA29}
Google Toolbar for Internet Explorer-->regsvr32 /u /s "c:\program files\google\googletoolbar2.dll"
GUILD WARS-->"C:\Program Files\GUILD WARS\Gw.exe" -uninstall
Revenir en haut Aller en bas
gruik63
Bibouactif
Bibouactif


Masculin
Nombre de messages : 58
Age : 54
Localisation : france
Date d'inscription : 01/04/2008

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Mar 9 Sep 2008 - 23:22

info.txt message 3

Guitar Pro 5.0-->"C:\Program Files\Guitar Pro 5\unins000.exe"
HijackThis 2.0.2-->"C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Hotfix for Windows Media Format 11 SDK (KB929399)-->"C:\WINDOWS\$NtUninstallKB929399$\spuninst\spuninst.exe"
HP Customer Participation Program 7.0-->C:\Program Files\HP\Digital Imaging\ExtCapUninstall\hpzscr01.exe -datfile hpqhsc01.dat
HP Document Viewer 7.0-->C:\Program Files\HP\Digital Imaging\DocumentViewer\hpzscr01.exe -datfile hpqbud04.dat
HP Imaging Device Functions 7.0-->C:\Program Files\HP\Digital Imaging\DeviceManagement\hpzscr01.exe -datfile hpqbud01.dat
HP Photosmart Premier Software 6.5-->C:\Program Files\HP\Digital Imaging\uninstall\hpzscr01.exe -datfile hpqscr01.dat
HP Photosmart, Officejet and Deskjet 7.0.A-->C:\Program Files\HP\Digital Imaging\{BDBE2F3E-42DB-4d4a-8CB1-19BA765DBC6C}\setup\hpzscr01.exe -datfile hposcr11.dat
HP Software Update-->MsiExec.exe /X{BB85ED9C-AFC9-43BD-B8DC-258C3C7DF72E}
HP Solution Center 7.0-->C:\Program Files\HP\Digital Imaging\eSupport\hpzscr01.exe -datfile hpqbud05.dat
ImageMixer VCD2-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F8C6BABF-0837-4EA0-AD6C-8E5A392A7538}\setup.exe" -l0x40c UNINSTALL
iPod for Windows 2006-06-28-->C:\Program Files\Fichiers communs\InstallShield\Driver\8\Intel 32\IDriver.exe /M{BD57EA4D-026E-4F08-9B93-080E282B81FE} /l1036
iTunes-->MsiExec.exe /I{3DE0053C-FD9A-483E-B7C9-B06E4392206E}
Java(TM) 6 Update 2-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160020}
Java(TM) 6 Update 3-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160030}
Java(TM) 6 Update 5-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160050}
Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
Java(TM) SE Runtime Environment 6 Update 1-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160010}
K-Lite Codec Pack 3.8.5 Full-->"C:\Program Files\K-Lite Codec Pack\unins000.exe"
La Malédiction de Judas-->"C:\Program Files\Micro Application\La Malédiction de Judas\unins000.exe"
Lecteur Windows Media 11-->"C:\Program Files\Windows Media Player\Setup_wm.exe" /Uninstall
Les Chevaliers de Baphomet - Le Manuscrit de Voynich-->C:\WINDOWS\unvise32.exe C:\Program Files\THQ\Les Chevaliers de Baphomet - Le Manuscrit de Voynich\uninstal.log
Les Chevaliers de Baphomet - Les Gardiens du Temple de Salomon-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F41C11EC-7C13-47A7-A07C-251D96EC3879}\setup.exe" -l0x40c -removeonly
Les Sims 2-->C:\Program Files\EA GAMES\Les Sims 2\EAUninstall.exe
Lesaccros2.com - Service Photo-->"C:\Program Files\Lesaccros2.com - Service Photo\uninstall.exe"
Logitech Desktop Messenger-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{900B1197-53F5-4F46-A882-2CFFFE2EEDCB}\Setup.exe" -l0x40c UNINSTALL
Logitech Print Service-->C:\PROGRA~1\Logitech\PRINTS~1\UNWISE.EXE C:\PROGRA~1\Logitech\PRINTS~1\INSTALL.LOG
Logitech QuickCam-->MsiExec.exe /I{466B21EE-2858-4845-B2B3-056FC544DAA3}
Logitech SetPoint-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{2E8EAC71-BFE4-417A-88F0-5A1BDFBCF5D3}\setup.exe" -l0x40c -removeonly
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Mes Films et DVD-->C:\Program Files\InstallShield Installation Information\{A72D1D05-1145-4BDB-AC26-DA88AB4B7B65}\setup.exe -runfromtemp -l0x040c -removeonly
Messenger Plus! Live & Sponsor (CiD)-->"C:\Program Files\Messenger Plus! Live\Uninstall.exe"
Micro Application - Tests de culture générale-->C:\WINDOWS\IsUn040c.exe -f"C:\Program Files\Micro Application\JeuDeCultureG\Uninst.isu"
Microsoft .NET Framework 1.1 French Language Pack-->MsiExec.exe /X{9A394342-4A68-4EBA-85A6-55B559F4E700}
Microsoft .NET Framework 1.1 Hotfix (KB928366)-->"C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\M928366\M928366Uninstall.msp"
Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 2.0 Service Pack 1-->MsiExec.exe /I{B508B3F1-A24A-32C0-B310-85786919EF28}
Microsoft Combat Flight Simulator-->"C:\Program Files\Microsoft Games\Combat Flight Simulator\DESINST.EXE" /runtemp
Microsoft Compression Client Pack 1.0 for Windows XP-->"C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe"
Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe"
Microsoft Motocross Madness-->"C:\Program Files\Microsoft Games\Motocross Madness\Uninstal.exe" /runtemp
Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe"
Microsoft Office Access MUI (French) 2007-->MsiExec.exe /X{90120000-0015-040C-0000-0000000FF1CE}
Microsoft Office Excel MUI (French) 2007-->MsiExec.exe /X{90120000-0016-040C-0000-0000000FF1CE}
Microsoft Office InfoPath MUI (French) 2007-->MsiExec.exe /X{90120000-0044-040C-0000-0000000FF1CE}
Revenir en haut Aller en bas
gruik63
Bibouactif
Bibouactif


Masculin
Nombre de messages : 58
Age : 54
Localisation : france
Date d'inscription : 01/04/2008

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Mar 9 Sep 2008 - 23:23

info.txt message 4

Microsoft Office Language Pack 2007 Service Pack 1 (SP1)-->msiexec /package {90120000-006E-040C-0000-0000000FF1CE} /uninstall {EC50B538-CBE1-42E6-B7FE-87AA540AADFB}
Microsoft Office Outlook MUI (French) 2007-->MsiExec.exe /X{90120000-001A-040C-0000-0000000FF1CE}
Microsoft Office PowerPoint MUI (French) 2007-->MsiExec.exe /X{90120000-0018-040C-0000-0000000FF1CE}
Microsoft Office Professional Plus 2007-->"C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall PROPLUS /dll OSETUP.DLL
Microsoft Office Professional Plus 2007-->MsiExec.exe /X{90120000-0011-0000-0000-0000000FF1CE}
Microsoft Office Proof (Arabic) 2007-->MsiExec.exe /X{90120000-001F-0401-0000-0000000FF1CE}
Microsoft Office Proof (Dutch) 2007-->MsiExec.exe /X{90120000-001F-0413-0000-0000000FF1CE}
Microsoft Office Proof (English) 2007-->MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
Microsoft Office Proof (French) 2007-->MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}
Microsoft Office Proof (German) 2007-->MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}
Microsoft Office Proof (Spanish) 2007-->MsiExec.exe /X{90120000-001F-0C0A-0000-0000000FF1CE}
Microsoft Office Proofing (French) 2007-->MsiExec.exe /X{90120000-002C-040C-0000-0000000FF1CE}
Microsoft Office Publisher MUI (French) 2007-->MsiExec.exe /X{90120000-0019-040C-0000-0000000FF1CE}
Microsoft Office Shared MUI (French) 2007-->MsiExec.exe /X{90120000-006E-040C-0000-0000000FF1CE}
Microsoft Office Word MUI (French) 2007-->MsiExec.exe /X{90120000-001B-040C-0000-0000000FF1CE}
Microsoft User-Mode Driver Framework Feature Pack 1.0-->"C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Lecteur Windows Media 11 (KB936782)-->"C:\WINDOWS\$NtUninstallKB936782_WMP11$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB928090)-->"C:\WINDOWS\ie7updates\KB928090-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB931768)-->"C:\WINDOWS\ie7updates\KB931768-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB933566)-->"C:\WINDOWS\ie7updates\KB933566-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB937143)-->"C:\WINDOWS\ie7updates\KB937143-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB938127)-->"C:\WINDOWS\ie7updates\KB938127-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB939653)-->"C:\WINDOWS\ie7updates\KB939653-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB942615)-->"C:\WINDOWS\ie7updates\KB942615-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB944533)-->"C:\WINDOWS\ie7updates\KB944533-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB950759)-->"C:\WINDOWS\ie7updates\KB950759-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB953838)-->"C:\WINDOWS\ie7updates\KB953838-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB923789)-->C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB923789.inf
Mise à jour de sécurité pour Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB950760)-->"C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB951376)-->"C:\WINDOWS\$NtUninstallKB951376$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB953839)-->"C:\WINDOWS\$NtUninstallKB953839$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB951072-v2)-->"C:\WINDOWS\$NtUninstallKB951072-v2$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe"
Module de prise en charge linguistique de Microsoft .NET Framework 2.0 - FRA-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0 Language Pack - FRA\install.exe
Mon Univers Photoc-->"C:\Program Files\Photoc\Mon Univers Photoc\uninstall.exe"
MSN-->C:\Program Files\MSN\MsnInstaller\msninst.exe /Action:ARP
MSXML 4.0 SP2 (KB927978)-->MsiExec.exe /I{37477865-A3F1-4772-AD43-AAFC6BCFF99F}
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
Nancy Drew - La Créature de Kapu Cave-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{448B8E72-0BF7-419F-822B-DCAFCCEE4799}\SETUP.EXE" -l0x40c
NetGammon8-->C:\PROGRA~1\GOTO~1.GAM\NETGAM~1\UNWISE.EXE C:\PROGRA~1\GOTO~1.GAM\NETGAM~1\INSTALL.LOG
OCR Software by I.R.I.S 7.0-->C:\Program Files\HP\Digital Imaging\OCR\hpzscr01.exe -datfile hpqbud11.dat
OpenOffice.org Installer 1.0-->MsiExec.exe /X{3A2AF807-9F9F-43C9-A24A-17B617238B74}
PDFCreator-->C:\Program Files\PDFCreator\unins000.exe
Picture Package-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{1E2F8AE3-3437-44E6-BB75-E95751D6B83F}\setup.exe" -l0x40c UNINSTALL
Pilotes NVIDIA nForce pour Windows 2000/XP-->rundll32.exe C:\WINDOWS\system32\NVNFINST.DLL,NvUninstallCrush
Programme de gestion Camera de Logitech®-->"C:\Program Files\Fichiers communs\Logitech\QCDRV\BIN\SETUP.EXE" UNINSTALL REMOVEPROMPT
PunkBuster pour Battlefield 1942-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{127B684B-A002-44C8-99A7-6CF8F1E26873}\setup.exe" -l0x40c
QuickTime Alternative 1.75-->"C:\Program Files\QuickTime Alternative\unins000.exe"
QuickTime-->MsiExec.exe /I{08CA9554-B5FE-4313-938F-D4A417B81175}
RAPID (Studio 10)-->MsiExec.exe /X{EEECE229-49F6-4851-A73A-99B058221F8C}
RCT3 Soaked-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{EA926717-CE5A-4CB4-AB21-9E6E9565A458}\Setup.exe" -l0x40c
Real Alternative 1.43-->"C:\Program Files\Real Alternative\unins000.exe"
RGSS de RMXP version 1.0.1-->"C:\Program Files\Bodom-Child - RaBBi\RGSS\unins000.exe"
RMXP version 1.01-->"C:\Program Files\Bodom-Child - RaBBi\RMXP\unins000.exe"
RollerCoaster Tycoon 3-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{907B4640-266B-4A21-92FB-CD1A86CD0F63}\Setup.exe" -l0x40c
Safari-->MsiExec.exe /I{40589552-3892-409E-B92C-9F5032A4B2F0}
Security Update for 2007 Microsoft Office System (KB951596)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {1AFF2298-CC00-4A3B-866A-C62B8373794E}
Security Update for CAPICOM (KB931906)-->MsiExec.exe /I{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Security Update for CAPICOM (KB931906)-->MsiExec.exe /X{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Security Update for Microsoft Office Excel 2007 (KB951546)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {7399DD71-8E24-4E60-B6A8-6CED89C0AC26}
Security Update for Microsoft Office PowerPoint 2007 (KB951338)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {558B709B-821B-4FC5-90FC-9A8890641E77}
Security Update for Microsoft Office Publisher 2007 (KB950114)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {F9C3CDBA-1F00-4D4D-959D-75C9D3ACDD85}
Security Update for Microsoft Office system 2007 (KB951808)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {8F375E11-4FD6-4B89-9E2B-A76D48B51E00}
Security Update for Microsoft Office Word 2007 (KB950113)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {AD72BABE-C733-4FCF-9674-4314466191B9}
Security Update for Visio 2007 (KB947590)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {6BAD036C-261F-4BEF-96CF-C20678D07A41}
Sony USB Driver-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{5C29CB8B-AC1E-4114-8D68-9CD080140D4A}\Setup.exe" UNINSTALL
Spybot - Search & Destroy 1.4-->"C:\Program Files\Spybot - Search & Destroy\unins000.exe"
Steam(TM)-->MsiExec.exe /X{048298C9-A4D3-490B-9FF9-AB023A9238F3}
Studio 10-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{3CB05291-F546-458E-A796-B5BCF5A3CDC4}\Setup2.exe" -l0x40c UNINSTALL
Syberia 2-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\Microids\Syberia 2\Uninstall\setup.exe" -l0x40c
Syberia-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\Microids\Syberia\Uninstall\setup.exe" -l0x40c
Téléchargeur de Ejay Virtual Music Studio fr-->"C:\Program Files\Téléchargeur de Virtual Music Studio\unins000.exe"
The Longest Journey-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{0280F0D8-1542-4DAA-913C-8529E2A3835D}\Setup.exe"
TomTom HOME-->C:\Program Files\TomTom HOME 2\Uninstall TomTom HOME.exe
Ultimate Ride-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{5F87DE5F-A373-11D5-AA2E-0008C760B784}\setup.exe" Ultimate Ride
Update for Microsoft Office Outlook 2007 (KB952142)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {4AD3A076-427C-491F-A5B7-7D1DE788A756}
Update for Office 2007 (KB946691)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {A420F522-7395-4872-9882-C591B4B92278}
Update for Outlook 2007 Junk Email Filter (kb955433)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {D9806966-6AA1-4B55-9528-6748E37CEE86}
VC_MergeModuleToMSI-->MsiExec.exe /I{900A92BA-19EF-4A34-86CF-7B6C85BDD971}
Windows Live Messenger-->MsiExec.exe /I{F6326B60-1B1D-4ABF-BFCD-7B7404F44411}
Windows Live Sign-in Assistant-->MsiExec.exe /I{49672EC2-171B-47B4-8CE7-50D7806360D7}
Windows Media Format 11 runtime-->"C:\Program Files\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows Media Player 11-->"C:\WINDOWS\$NtUninstallwmp11$\spuninst\spuninst.exe"
Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"

Hosts File

192.168.0.3 HP001CC43E3E93

Security center information

AV: avast! antivirus 4.8.1229 [VPS 080908-0]

Environment variables

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\QuickTime Alternative\QTSystem\
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 8 Stepping 1, AuthenticAMD
"PROCESSOR_REVISION"=0801
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"CLASSPATH"=.;C:\Program Files\Java\jre1.6.0_07\lib\ext\QTJava.zip
"QTJAVA"=C:\Program Files\Java\jre1.6.0_07\lib\ext\QTJava.zip

-----------------EOF-----------------
Revenir en haut Aller en bas
gruik63
Bibouactif
Bibouactif


Masculin
Nombre de messages : 58
Age : 54
Localisation : france
Date d'inscription : 01/04/2008

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Mar 9 Sep 2008 - 23:24

Accass

le message 4 était le dernier
Revenir en haut Aller en bas
GrosBébé
Moderateurs (trices)
Moderateurs (trices)
avatar

Masculin
Nombre de messages : 6878
Age : 36
Localisation : devant le pc
Date d'inscription : 18/12/2007

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Mar 9 Sep 2008 - 23:27

Ok, voici ton principal problème,
http://www.malekal.com/Trojan-Downloader.Win32.FraudLoad.php
On réglera les autres ensuite.
Alors on est parti pour télécharger quelques logiciels, et assister à quelques redémarrages.

Clique ici pour télécharger ATF Cleaner (de Atribune).

Attention, ce programme ne fonctionne que sous Windows 2000, XP et Vista

    Double-clique sur ATF-Cleaner.exe pour le lancer.
    Dans le menu Main coche Select All
    Clique sur le bouton Empty Selected.
Si tu utilises le navigateur Firefox
    Clique sur le menu Firefox en haut puis coche Select All
    Clique surle bouton Empty Selected.
    NOTE: Si tu veux garder tes mots de passe, réponds No à la question.
Si tu utilises le navigateur Opera
    Clique sur le menu Opera en haut puis coche Select All
    Clique surle bouton Empty Selected.
    NOTE: Si tu veux garder tes mots de passe, réponds No à la question.
Clique sur Exit dans le menu principal (Main) pour quitter ATF Cleaner.

~~~~~~~~~~~~

Clique ici pour télécharger SDFix (de AndyManchesta) sur le bureau
Installe le.

=> Redémarre le pc en mode sans échec : Méthode F8 de préférence

Lance Runthis.bat dans le dossier C:\SDFIX

  • Appuie sur Y et valide. Laisse tourner.
  • Quand on te le demandera, appuie sur une touche pour redémarrer le pc.
  • Le démarrage sera plus long que d'habitude, ne t'inquiète pas
Poste le rapport dans ta prochaine réponse s'il te plait.

Une aide à l'utilisation ici

~~~~~~~~~~~~

Lance Malwarebytes antimalware et mets le à jour
- Assure toi qu'il se soit bien mis à jour avant de passer à la suite.

=> Redémarre le pc en mode sans échec : Méthode F8 de préférence

* Lance MBAM et sélectionne "Exécuter un examen complet". Patiente le temps du scan.
* Une fois le scan terminé,clique sur "Afficher les résultats" puis sur "Supprimer la sélection".

Si MBAM a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok. Enregistre le rapport sur ton Bureau lorsqu'il s'affichera
=> Redémarre normalement l'ordinateur
=> Poste le rapport

Une aide à l'utilisation ici

~~~~~~~~~~~~

Dans ta prochaine réponse, poste moi s'il te plait :
- le rapport de SDFix
- le rapport de Malwarebytes

__________________________________________________________________________________________________________________
Profitez d'offres promotionnelles et suivez Bibou0007.com sur Facebook -------->
*
*
Revenir en haut Aller en bas
gruik63
Bibouactif
Bibouactif


Masculin
Nombre de messages : 58
Age : 54
Localisation : france
Date d'inscription : 01/04/2008

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Mar 9 Sep 2008 - 23:41

Ok Accass

merci pour ton aide et tes explications j' utilise le navigateur Internet explorer est ce la meme manip que pour opéra.
Je travaille très tôt demain matin te propose de t'envoyer la suite des analyses demain vers 19h

Encore merci, à demain

Gruik63
Revenir en haut Aller en bas
GrosBébé
Moderateurs (trices)
Moderateurs (trices)
avatar

Masculin
Nombre de messages : 6878
Age : 36
Localisation : devant le pc
Date d'inscription : 18/12/2007

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Mar 9 Sep 2008 - 23:47

Ok pour demain Smile

Je ne suis pas sûr de comprendre la question ... si tu n'utilises que internet explorer, ne t'occupe pas de ce que j'ai mis concernant Opera et Firefox.

Bonne soirée

__________________________________________________________________________________________________________________
Profitez d'offres promotionnelles et suivez Bibou0007.com sur Facebook -------->
*
*
Revenir en haut Aller en bas
gruik63
Bibouactif
Bibouactif


Masculin
Nombre de messages : 58
Age : 54
Localisation : france
Date d'inscription : 01/04/2008

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Mer 10 Sep 2008 - 21:03

Bonsoir Accass

je suis tjrs là, en train de faire une seconde analyse avec SDFX, je n' ai pas eu de rapport comme indiqué dans ton process.
actuellement on me deande de patienter une vingtaine de minutes, je reviens vers toi dès que c' est fini, en attendant y' a le match.....;
Revenir en haut Aller en bas
GrosBébé
Moderateurs (trices)
Moderateurs (trices)
avatar

Masculin
Nombre de messages : 6878
Age : 36
Localisation : devant le pc
Date d'inscription : 18/12/2007

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Mer 10 Sep 2008 - 21:35

Bonsoir Gruik63 Smile

@gruik63 a écrit:
je reviens vers toi dès que c' est fini, en attendant y' a le match.....;
Oh ben 2 - 0 pour la Serbie hein

__________________________________________________________________________________________________________________
Profitez d'offres promotionnelles et suivez Bibou0007.com sur Facebook -------->
*
*
Revenir en haut Aller en bas
gruik63
Bibouactif
Bibouactif


Masculin
Nombre de messages : 58
Age : 54
Localisation : france
Date d'inscription : 01/04/2008

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Mer 10 Sep 2008 - 21:41

Accass

ci après le résultat de l' analyse SDFX te l' envoie en deux messages

SDFix: Version 1.223
Run by SABINE ET FRED on 10/09/2008 at 21:07

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

Checking Services :

Rootkit Found :
C:\WINDOWS\system32\drivers\tdssserv.sys - Rootkit.Win32.Agent.cku

Name :
tdssserv

Path :
\systemroot\system32\drivers\TDSSserv.sys

tdssserv - Deleted


C:\WINDOWS\system32\Microsoft\backup.ftp Found
C:\WINDOWS\system32\Microsoft\backup.tftp Found

Checking files:

Genuine:
C:\WINDOWS\system32\Microsoft\backup.ftp
C:\WINDOWS\system32\Microsoft\backup.tftp
C:\WINDOWS\system32\ftp.exe

Dummy:
C:\WINDOWS\system32\tftp.exe
C:\WINDOWS\system32\dllcache\tftp.exe

Files copied to SDFix\Backups

Restoring files if backups are found

Final Check:

Genuine:
C:\WINDOWS\system32\Microsoft\backup.ftp
C:\WINDOWS\system32\Microsoft\backup.tftp
C:\WINDOWS\system32\ftp.exe
C:\WINDOWS\system32\tftp.exe
C:\WINDOWS\system32\dllcache\ftp.exe
C:\WINDOWS\system32\dllcache\tftp.exe




Restoring Default Security Values
Restoring Default Hosts File
Restoring Default Desktop Wallpaper

Rebooting


Checking Files :

Trojan Files Found:

C:\WINDOWS\system32\lphcetvj0ec8v.exe - Deleted
C:\WINDOWS\system32\pphcetvj0ec8v.exe - Deleted
C:\WINDOWS\system32\phcetvj0ec8v.bmp - Deleted
C:\DOCUME~1\SABINE~1\LOCALS~1\Temp\tmp20.tmp - Deleted
C:\DOCUME~1\SABINE~1\LOCALS~1\Temp\tmpE2.tmp - Deleted
C:\Documents and Settings\SABINE ET FRED\Application Data\Microsoft\Internet Explorer\Quick Launch\Antivirus XP 2008.lnk - Deleted
C:\Documents and Settings\All Users\Bureau\Antivirus XP 2008.lnk - Deleted
C:\smp.bat - Deleted
C:\WINDOWS\system32\Microsoft\backup.ftp - Deleted
C:\WINDOWS\system32\Microsoft\backup.tftp - Deleted
C:\WINDOWS\system32\drivers\tdssserv.sys - Deleted
C:\WINDOWS\system32\tdssadw.dll - Deleted
C:\WINDOWS\system32\tdssinit.dll - Deleted
C:\WINDOWS\system32\tdsslog.dll - Deleted
C:\WINDOWS\system32\tdssmain.dll - Deleted
C:\WINDOWS\system32\tdssservers.dat - Deleted



Folder C:\Documents and Settings\SABINE ET FRED\Application Data\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#w*w.redtube.com - Removed


Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-10 21:25:31
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{D1088C32-CD51-B289-6284-80C7DF7EE56E}]
"iabipgbhcnacfiifll"=hex:6a,61,6e,66,6e,64,63,70,62,6e,6e,6a,6d,6c,64,65,63,61,6f,6a,00,..
"hapijibiepeohhib"=hex:6a,61,6e,66,6e,64,63,70,62,6e,6e,6a,6d,6c,64,65,63,61,6f,6a,00,..

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
Revenir en haut Aller en bas
gruik63
Bibouactif
Bibouactif


Masculin
Nombre de messages : 58
Age : 54
Localisation : france
Date d'inscription : 01/04/2008

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Mer 10 Sep 2008 - 21:43

message 2

Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"C:\\WINDOWS\\system32\\dpvsetup.exe"="C:\\WINDOWS\\system32\\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test"
"C:\\WINDOWS\\system32\\rundll32.exe"="C:\\WINDOWS\\system32\\rundll32.exe:*:Enabled:Ex‚cuter une DLL en tant qu'application"
"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"
"C:\\Program Files\\Pinnacle\\Studio 10\\programs\\RM.exe"="C:\\Program Files\\Pinnacle\\Studio 10\\programs\\RM.exe:*:Enabled:Render Manager"
"C:\\Program Files\\Pinnacle\\Studio 10\\programs\\Studio.exe"="C:\\Program Files\\Pinnacle\\Studio 10\\programs\\Studio.exe:*:Enabled:Studio"
"C:\\Program Files\\Pinnacle\\Studio 10\\programs\\PMSRegisterFile.exe"="C:\\Program Files\\Pinnacle\\Studio 10\\programs\\PMSRegisterFile.exe:*:Enabled:PMSRegisterFile"
"C:\\Program Files\\Pinnacle\\Studio 10\\programs\\umi.exe"="C:\\Program Files\\Pinnacle\\Studio 10\\programs\\umi.exe:*:Enabled:umi"
"C:\\Program Files\\Valve\\Steam\\SteamApps\\roymost\\condition zero\\hl.exe"="C:\\Program Files\\Valve\\Steam\\SteamApps\\roymost\\condition zero\\hl.exe:*:Enabled:Half-Life Launcher"
"C:\\Program Files\\Valve\\Steam\\SteamApps\\roymost\\condition zero deleted scenes\\hl.exe"="C:\\Program Files\\Valve\\Steam\\SteamApps\\roymost\\condition zero deleted scenes\\hl.exe:*:Enabled:Half-Life Launcher"
"C:\\Program Files\\Valve\\Steam\\SteamApps\\roymost\\deathmatch classic\\hl.exe"="C:\\Program Files\\Valve\\Steam\\SteamApps\\roymost\\deathmatch classic\\hl.exe:*:Enabled:Half-Life Launcher"
"C:\\Program Files\\Fichiers communs\\PocketSoft\\RTPatch\\AutoRTP\\artpschd.exe"="C:\\Program Files\\Fichiers communs\\PocketSoft\\RTPatch\\AutoRTP\\artpschd.exe:*:Enabled:artpschd"
"C:\\Program Files\\Valve\\Steam\\SteamApps\\roymost\\counter-strike\\hl.exe"="C:\\Program Files\\Valve\\Steam\\SteamApps\\roymost\\counter-strike\\hl.exe:*:Enabled:Half-Life Launcher"
"C:\\Program Files\\EA GAMES\\Battlefield 1942\\BF1942.exe"="C:\\Program Files\\EA GAMES\\Battlefield 1942\\BF1942.exe:*:Enabled:BF1942"
"C:\\Program Files\\Valve\\Steam\\steam.exe"="C:\\Program Files\\Valve\\Steam\\steam.exe:*:Enabled:Steam"
"C:\\Program Files\\Electronic Arts\\Battlefield 2142\\BF2142.exe"="C:\\Program Files\\Electronic Arts\\Battlefield 2142\\BF2142.exe:*:Enabled:Battlefield 2"
"C:\\Program Files\\EA GAMES\\Battlefield 1942\\BF1942_w32ded.exe"="C:\\Program Files\\EA GAMES\\Battlefield 1942\\BF1942_w32ded.exe:*:Enabled:BF1942_w32ded"
"C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"="C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe:*:Enabled:Logitech Desktop Messenger"
"C:\\Program Files\\Shareaza\\Shareaza.exe"="C:\\Program Files\\Shareaza\\Shareaza.exe:*:Enabled:Shareaza"
"C:\\Program Files\\Microsoft Games\\Age of Empires III\\age3x.exe"="C:\\Program Files\\Microsoft Games\\Age of Empires III\\age3x.exe:*:Enabled:Age of Empires III - The WarChiefs"
"C:\\WINDOWS\\system32\\spoolsv.exe"="C:\\WINDOWS\\system32\\spoolsv.exe:*:Enabled:Spooler SubSystem App"
"F:\\setup\\HPZnet01.exe"="F:\\setup\\HPZnet01.exe:*:Enabled:hpznet01.exe"
"F:\\setup\\hponicifs01.exe"="F:\\setup\\hponicifs01.exe:*:Enabled:hponicifs01.exe"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe:*:Enabled:hpqtra08.exe"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe:*:Enabled:hpqste08.exe"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe:*:Enabled:hpofxm08.exe"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe:*:Enabled:hposfx08.exe"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe:*:Enabled:hposid01.exe"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe:*:Enabled:hpqscnvw.exe"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe:*:Enabled:hpqkygrp.exe"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe:*:Enabled:hpqcopy.exe"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe:*:Enabled:hpfccopy.exe"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe:*:Enabled:hpzwiz01.exe"
"C:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"="C:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe:*:Enabled:hpqphunl.exe"
"C:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"="C:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqDIA.exe:*:Enabled:hpqdia.exe"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe:*:Enabled:hpoews01.exe"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqnrs08.exe:*:Enabled:hpqnrs08.exe"
"C:\\Program Files\\Microsoft Games\\Motocross Madness\\mcm.exe"="C:\\Program Files\\Microsoft Games\\Motocross Madness\\mcm.exe:*:Disabled:Microsoft© Motocross Madness"
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"="C:\\Program Files\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\Program Files\\Microsoft Games\\Age of Empires III\\age3y.exe"="C:\\Program Files\\Microsoft Games\\Age of Empires III\\age3y.exe:*:Enabled:Age of Empires III - The Asian Dynasties"
"C:\\WINDOWS\\system32\\drivers\\svchost.exe"="C:\\WINDOWS\\system32\\drivers\\svchost.exe:*:Disabled:svchost"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"="C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe:*:Enabled:Logitech Desktop Messenger"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

Remaining Files :


File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Sat 2 Jun 2007 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Sat 24 Mar 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Fri 25 Jun 2004 12,431,945 A..H. --- "C:\Program Files\Bodom-Child - RaBBi\RGSS\Standard\Graphics.exe"

Finished!

t 'envoie le rapport malware dès que terminé comme la carrière de Domenech peut être aussi .....
Revenir en haut Aller en bas
gruik63
Bibouactif
Bibouactif


Masculin
Nombre de messages : 58
Age : 54
Localisation : france
Date d'inscription : 01/04/2008

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Mer 10 Sep 2008 - 21:55

Accass

analyse malwayre en cours déjà un fichier infecté, sais tu combien de temps en moyenne pour l analyse
ai également un souci sur mon portable, tourne avec vista et le pare feu windows se deconnecte systématiquement peux tu m' aider ?
Revenir en haut Aller en bas
GrosBébé
Moderateurs (trices)
Moderateurs (trices)
avatar

Masculin
Nombre de messages : 6878
Age : 36
Localisation : devant le pc
Date d'inscription : 18/12/2007

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Mer 10 Sep 2008 - 22:00

Le temps d'analyse est variable (entre 20min et ... 3h voir plus Sad )

Concernant ton problème sur le portable, je te conseille d'ouvrir un autre sujet Smile

__________________________________________________________________________________________________________________
Profitez d'offres promotionnelles et suivez Bibou0007.com sur Facebook -------->
*
*
Revenir en haut Aller en bas
gruik63
Bibouactif
Bibouactif


Masculin
Nombre de messages : 58
Age : 54
Localisation : france
Date d'inscription : 01/04/2008

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Mer 10 Sep 2008 - 23:21

Accass

je t'envoie l' analyse demain Malware tourne tjrs et je pense qu'il en a encore pour un bon moment

Bonne fin de soirée

Gruik63
Revenir en haut Aller en bas
GrosBébé
Moderateurs (trices)
Moderateurs (trices)
avatar

Masculin
Nombre de messages : 6878
Age : 36
Localisation : devant le pc
Date d'inscription : 18/12/2007

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Mer 10 Sep 2008 - 23:43

Ok, bonne soirée.

__________________________________________________________________________________________________________________
Profitez d'offres promotionnelles et suivez Bibou0007.com sur Facebook -------->
*
*
Revenir en haut Aller en bas
gruik63
Bibouactif
Bibouactif


Masculin
Nombre de messages : 58
Age : 54
Localisation : france
Date d'inscription : 01/04/2008

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Jeu 11 Sep 2008 - 7:47

Bonjour Accass

Après 6h d'analyse voici le rapport Malware, ai suivi le mode opératoire comme indiqué dans ton dernier message et donc supprimé la sélection.
Ci après le rapport Malware

Malwarebytes' Anti-Malware 1.28
Version de la base de données: 1137
Windows 5.1.2600 Service Pack 3

11/09/2008 07:34:44
mbam-log-2008-09-11 (07-34-44).txt

Type de recherche: Examen complet (A:\|C:\|D:\|E:\|)
Eléments examinés: 263469
Temps écoulé: 6 hour(s), 35 minute(s), 27 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 12
Fichier(s) infecté(s): 9

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\rhcatvj0ec8v (Rogue.Multiple) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_CLASSES_ROOT\scrfile\shell\open\command\ (Broken.OpenCommand) -> Bad: ("%1" %*) Good: ("%1" /S) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
C:\Program Files\rhcatvj0ec8v (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\SABINE ET FRED\Application Data\rhcatvj0ec8v (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\SABINE ET FRED\Application Data\rhcatvj0ec8v\Quarantine (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\SABINE ET FRED\Application Data\rhcatvj0ec8v\Quarantine\Autorun (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\SABINE ET FRED\Application Data\rhcatvj0ec8v\Quarantine\Autorun\HKCU (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\SABINE ET FRED\Application Data\rhcatvj0ec8v\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\SABINE ET FRED\Application Data\rhcatvj0ec8v\Quarantine\Autorun\HKLM (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\SABINE ET FRED\Application Data\rhcatvj0ec8v\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\SABINE ET FRED\Application Data\rhcatvj0ec8v\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\SABINE ET FRED\Application Data\rhcatvj0ec8v\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\SABINE ET FRED\Application Data\rhcatvj0ec8v\Quarantine\BrowserObjects (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\SABINE ET FRED\Application Data\rhcatvj0ec8v\Quarantine\Packages (Rogue.Multiple) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\WINDOWS\system32\trz2CB.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Program Files\rhcatvj0ec8v\database.dat (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Program Files\rhcatvj0ec8v\license.txt (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Program Files\rhcatvj0ec8v\MFC71.dll (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Program Files\rhcatvj0ec8v\MFC71ENU.DLL (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Program Files\rhcatvj0ec8v\msvcp71.dll (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Program Files\rhcatvj0ec8v\msvcr71.dll (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Program Files\rhcatvj0ec8v\rhcatvj0ec8v.exe (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Program Files\rhcatvj0ec8v\rhcatvj0ec8v.exe.local (Rogue.Multiple) -> Quarantined and deleted successfully.

Bonne journée
Revenir en haut Aller en bas
GrosBébé
Moderateurs (trices)
Moderateurs (trices)
avatar

Masculin
Nombre de messages : 6878
Age : 36
Localisation : devant le pc
Date d'inscription : 18/12/2007

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Jeu 11 Sep 2008 - 8:52

Bonjour Gruik63 Smile

Beau boulot Cool
On continue.

Tu as installé le sponsor de Messenger Plus! Live & Sponsor (CiD), le sponsor c'est problème et compagnie. On va le désinstaller.
Lance la désinstallation de Messenger Plus! Live & Sponsor (CiD) il va te demander si tu veux désinstaller Messenger Plus ou le sponsor, choisis de désinstaller le sponsor.

~~~~~~~~~~~~

Clique ici pour télécharger OTMoveIt2 (de OldTimer) sur le bureau

Double-clique sur OTMoveIt2.exe pour le lancer.
=> Assure toi que la case Unregister Dll's and Ocx's soit bien cochée !!!
=> copie/colle le contenu du cadre ci dessous dans le cadre de gauche de OTMoveIt nommé Paste List of Files/Folders to move.
Citation :
C:\WINDOWS\system32\418.tmp
C:\WINDOWS\system32\417.tmp
C:\WINDOWS\system32\3E2.tmp
C:\WINDOWS\system32\3E1.tmp
C:\WINDOWS\system32\trz2DE.tmp
C:\WINDOWS\system32\trz2CB.tmp
EmptyTemp
purity

=> Clique sur MoveIt! pour lancer la suppression.
=> Si OTMoveIt demande à redémarrer le pc, accepte.
=> Lorsqu'un résultat apparaît dans le cadre Results, clique sur Exit.
=> Poste le rapport qui se trouve ici C:\_OTMoveIt\MovedFiles\exemple 09142008_141450.log

Une aide à l'utilisation ici

Si tu obtiens un message comme quoi le rapport ne peut pas être créé, copie/colle ce qui apparaît dans la colonne droite de l’outil.

~~~~~~~~~~~~

Lance le scan en ligne Kaspersky s'il te plait
  • Clique sur Démarrer online scanner
  • Clique sur J'accepte
  • Installe le contrôle activeX
Le programme va commencer à s'installer et à se mettre à jour, puis clique sur Suivant.

Clique sur Paramètres d'analyse :
  • Dans Analyser avec la base antivirus suivante coche étendue. A défaut, choisis Standard.
  • Dans Options d'analyse, coche Analyser les archives + Analyser les bases de messagerie.
=> Puis valide en cliquant sur Ok
Clique sur Poste de travail, le scan se lance ...
A la fin, clique sur Enregistrer rapport et enregistre le sur le bureau. Poste moi ce rapport dans ta prochaine réponse s'il te plait

Une aide en image ici

~~~~~~~~~~~~

Relance Hijackthis et poste moi un nouveau rapport s'il te plait

~~~~~~~~~~~~

Dans ta prochaine réponse, poste moi s'il te plait :
- le rapport d'OTMoveIt
- le rapport de Kaspersky
- le nouveau rapport Hijackthis

Bonne journée

__________________________________________________________________________________________________________________
Profitez d'offres promotionnelles et suivez Bibou0007.com sur Facebook -------->
*
*
Revenir en haut Aller en bas
gruik63
Bibouactif
Bibouactif


Masculin
Nombre de messages : 58
Age : 54
Localisation : france
Date d'inscription : 01/04/2008

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Jeu 11 Sep 2008 - 19:51

Bonsoir Accass

ai supprimé messenger plus sponsor et lancé le logiciel OTMoveIt2 en insérant par copier coller les fichiers demandés ai reçu de nouvelles alertes Avast m' informant de la présence de logiciels malveillants en appuyant sur move it , est ce normal ?
Je dois maintenant redémarrer le PC

Gruik63
Revenir en haut Aller en bas
GrosBébé
Moderateurs (trices)
Moderateurs (trices)
avatar

Masculin
Nombre de messages : 6878
Age : 36
Localisation : devant le pc
Date d'inscription : 18/12/2007

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Jeu 11 Sep 2008 - 20:14

Bonsoir

Oui oui, ça arrive quand on agit sur des fichiers pas très nets

__________________________________________________________________________________________________________________
Profitez d'offres promotionnelles et suivez Bibou0007.com sur Facebook -------->
*
*
Revenir en haut Aller en bas
gruik63
Bibouactif
Bibouactif


Masculin
Nombre de messages : 58
Age : 54
Localisation : france
Date d'inscription : 01/04/2008

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Jeu 11 Sep 2008 - 22:11

Bonsoir Accass

ci dessous le résultat de l' analyse OTMoveIt2, Kapersky tourne tjrs avec 3 nvx virus détectés

C:\WINDOWS\system32\418.tmp moved successfully.
C:\WINDOWS\system32\417.tmp moved successfully.
C:\WINDOWS\system32\3E2.tmp moved successfully.
C:\WINDOWS\system32\3E1.tmp moved successfully.
C:\WINDOWS\system32\trz2DE.tmp moved successfully.
File/Folder C:\WINDOWS\system32\trz2CB.tmp not found.
< EmptyTemp >
File delete failed. C:\DOCUME~1\SABINE~1\LOCALS~1\Temp\hpodvd09.log scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\SABINE~1\LOCALS~1\Temp\~DFF499.tmp scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\SABINE~1\LOCALS~1\Temp\~DFF99D.tmp scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_5e0.dat scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\_avast4_\Webshlock.txt scheduled to be deleted on reboot.
Temp folders emptied.
IE temp folders emptied.
< purity >

OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 09112008_194457

Files moved on Reboot...
File move failed. C:\DOCUME~1\SABINE~1\LOCALS~1\Temp\hpodvd09.log scheduled to be moved on reboot.
File C:\DOCUME~1\SABINE~1\LOCALS~1\Temp\~DFF499.tmp not found!
C:\DOCUME~1\SABINE~1\LOCALS~1\Temp\~DFF99D.tmp moved successfully.
File move failed. C:\WINDOWS\temp\Perflib_Perfdata_5e0.dat scheduled to be moved on reboot.
File move failed. C:\WINDOWS\temp\_avast4_\Webshlock.txt scheduled to be moved on reboot.
Revenir en haut Aller en bas
GrosBébé
Moderateurs (trices)
Moderateurs (trices)
avatar

Masculin
Nombre de messages : 6878
Age : 36
Localisation : devant le pc
Date d'inscription : 18/12/2007

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Jeu 11 Sep 2008 - 22:30

Oui Kaspersky va détecter pas mal de choses mais c'est normal
(une partie dans SDFIX, une partie dans System volume information, une partie peut être dans OTMoveIt, et après on verra Wink )

__________________________________________________________________________________________________________________
Profitez d'offres promotionnelles et suivez Bibou0007.com sur Facebook -------->
*
*
Revenir en haut Aller en bas
gruik63
Bibouactif
Bibouactif


Masculin
Nombre de messages : 58
Age : 54
Localisation : france
Date d'inscription : 01/04/2008

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Jeu 11 Sep 2008 - 22:37

Pétard j' avais vraiment récolté de vraies cochonneries, en fait le premier message d' alerte est apparu alors que mon fils jouait à counter strike.
Il a également pour habitude de beaucoup chater sur msn penses tu que ce soit la source de notre infection, d' autant que ses correspondants msn il ne les connait pas vraiment et récupère leurs adresses via des blogs (skyblog ......)
Sacrés ados !!!!!!!

Wink
Revenir en haut Aller en bas
gruik63
Bibouactif
Bibouactif


Masculin
Nombre de messages : 58
Age : 54
Localisation : france
Date d'inscription : 01/04/2008

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Jeu 11 Sep 2008 - 23:21

Accass

Kapersky tourne toujours, on en est à 60% et 12 virus trouvés. Je pense qu' il y en a encore pour deux bonnes heures, te fait parvenir le rapport demain matin avant d'aller au boulot.

Bonne nuit

Gruik63 Wink
Revenir en haut Aller en bas
GrosBébé
Moderateurs (trices)
Moderateurs (trices)
avatar

Masculin
Nombre de messages : 6878
Age : 36
Localisation : devant le pc
Date d'inscription : 18/12/2007

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Jeu 11 Sep 2008 - 23:25

Je ne pense pas que ça vienne de MSN
Vois ceci http://www.malekal.com/Trojan-Downloader.Win32.FraudLoad.php
C'est ce que tu as (enfin le pc)

Par contre ajouter des contacts inconnus sur msn ..................................

Ok je le regarderai donc demain, bonne nuit Smile

__________________________________________________________________________________________________________________
Profitez d'offres promotionnelles et suivez Bibou0007.com sur Facebook -------->
*
*
Revenir en haut Aller en bas
gruik63
Bibouactif
Bibouactif


Masculin
Nombre de messages : 58
Age : 54
Localisation : france
Date d'inscription : 01/04/2008

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Ven 12 Sep 2008 - 7:48

Bonjour Accass

ce matin galère impossible de trouver comment enregistrer le rapport d' analyse sur Kapersky, aucun résultat ne s' est affiché seulement le nombre de virus et de dossiers infectés.
La touche enregistrer rapport ne figurait pas dans la fenêtre.
Ai donc relancé, te communique le résultat ce soir en espérant ne pas avoir de "bug" et un rapport complet.
Bonne journée

Gruik63
Revenir en haut Aller en bas
gruik63
Bibouactif
Bibouactif


Masculin
Nombre de messages : 58
Age : 54
Localisation : france
Date d'inscription : 01/04/2008

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Ven 12 Sep 2008 - 7:57

Accass

ai donc relancé en suivant le mode opératoire mais impossible de lancer le contrôle Active X, kapersky ne me le propose pas ....
Revenir en haut Aller en bas
GrosBébé
Moderateurs (trices)
Moderateurs (trices)
avatar

Masculin
Nombre de messages : 6878
Age : 36
Localisation : devant le pc
Date d'inscription : 18/12/2007

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Ven 12 Sep 2008 - 10:15

Bonjour Gruik63


En fait, maintenant que tu as lancé le scan en ligne une fois, il ne te propose plus de télécharger le plug in car il a été installé lors du premier scan, donc tu devrais pouvoir relancer le scan en ligne sans souci Smile

__________________________________________________________________________________________________________________
Profitez d'offres promotionnelles et suivez Bibou0007.com sur Facebook -------->
*
*
Revenir en haut Aller en bas
gruik63
Bibouactif
Bibouactif


Masculin
Nombre de messages : 58
Age : 54
Localisation : france
Date d'inscription : 01/04/2008

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Ven 12 Sep 2008 - 21:20

bonsoir Accass

ci après le rapport d' analyse Kapersky, la fen^tre Lapersky ne me propose pas de suppression des fichiers ou quelque autre alternative. Dois je fermer basiquement la fenêtre Kapersky - message 1

Friday, September 12, 2008 9:09:18 PM
Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 3 (Build 2600)
Kaspersky On-line Scanner version : 5.0.84.2
Dernière mise à jour de la base antivirus Kaspersky : 12/09/2008
Enregistrements dans la base antivirus Kaspersky : 1215774


Paramètres d'analyse
Analyser avec la base antivirus suivante étendue
Analyser les archives vrai
Analyser les bases de messagerie vrai

Cible de l'analyse Poste de travail
A:\
C:\
D:\
E:\
F:\
G:\

Statistiques de l'analyse
Total d'objets analysés 208425
Nombre de virus trouvés 16
Nombre d'objets infectés 39 / 0
Nombre d'objets suspects 0
Durée de l'analyse 04:36:38

Nom de l'objet infecté Nom du virus Dernière action
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Temp\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Temp\History\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\SABINE ET FRED\Bureau\Raccourcis Bureau non utilisés\SmitfraudFix\Reboot.exe Infecté : not-a-virus:RiskTool.Win32.Reboot.f ignoré

C:\Documents and Settings\SABINE ET FRED\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\SABINE ET FRED\Local Settings\Application Data\ApplicationHistory\hpqimzone.exe.3204510e.ini.inuse L'objet est verrouillé ignoré

C:\Documents and Settings\SABINE ET FRED\Local Settings\Application Data\HP\Digital Imaging\db\administrativeInfo.dbf L'objet est verrouillé ignoré

C:\Documents and Settings\SABINE ET FRED\Local Settings\Application Data\HP\Digital Imaging\db\albumImagesTable.cdx L'objet est verrouillé ignoré

C:\Documents and Settings\SABINE ET FRED\Local Settings\Application Data\HP\Digital Imaging\db\albumImagesTable.dbf L'objet est verrouillé ignoré

C:\Documents and Settings\SABINE ET FRED\Local Settings\Application Data\HP\Digital Imaging\db\albumTable.cdx L'objet est verrouillé ignoré

C:\Documents and Settings\SABINE ET FRED\Local Settings\Application Data\HP\Digital Imaging\db\albumTable.dbf L'objet est verrouillé ignoré

C:\Documents and Settings\SABINE ET FRED\Local Settings\Application Data\HP\Digital Imaging\db\CB_Server_Errors.txt L'objet est verrouillé ignoré

C:\Documents and Settings\SABINE ET FRED\Local Settings\Application Data\HP\Digital Imaging\db\EXIFTable.cdx L'objet est verrouillé ignoré

C:\Documents and Settings\SABINE ET FRED\Local Settings\Application Data\HP\Digital Imaging\db\EXIFTable.dbf L'objet est verrouillé ignoré

C:\Documents and Settings\SABINE ET FRED\Local Settings\Application Data\HP\Digital Imaging\db\imageTable.cdx L'objet est verrouillé ignoré

C:\Documents and Settings\SABINE ET FRED\Local Settings\Application Data\HP\Digital Imaging\db\imageTable.dbf L'objet est verrouillé ignoré

C:\Documents and Settings\SABINE ET FRED\Local Settings\Application Data\HP\Digital Imaging\db\imageTable.fpt L'objet est verrouillé ignoré

C:\Documents and Settings\SABINE ET FRED\Local Settings\Application Data\HP\Digital Imaging\db\keywordImagesTable.cdx L'objet est verrouillé ignoré

C:\Documents and Settings\SABINE ET FRED\Local Settings\Application Data\HP\Digital Imaging\db\keywordImagesTable.dbf L'objet est verrouillé ignoré

C:\Documents and Settings\SABINE ET FRED\Local Settings\Application Data\HP\Digital Imaging\db\keywordTable.cdx L'objet est verrouillé ignoré

C:\Documents and Settings\SABINE ET FRED\Local Settings\Application Data\HP\Digital Imaging\db\keywordTable.dbf L'objet est verrouillé ignoré

C:\Documents and Settings\SABINE ET FRED\Local Settings\Application Data\HP\Digital Imaging\db\managedFolderTable.dbf L'objet est verrouillé ignoré

C:\Documents and Settings\SABINE ET FRED\Local Settings\Application Data\HP\Digital Imaging\db\pathnameTable.cdx L'objet est verrouillé ignoré

C:\Documents and Settings\SABINE ET FRED\Local Settings\Application Data\HP\Digital Imaging\db\pathnameTable.dbf L'objet est verrouillé ignoré

C:\Documents and Settings\SABINE ET FRED\Local Settings\Application Data\HP\Digital Imaging\db\propertiesTable.cdx L'objet est verrouillé ignoré

C:\Documents and Settings\SABINE ET FRED\Local Settings\Application Data\HP\Digital Imaging\db\propertiesTable.dbf L'objet est verrouillé ignoré

C:\Documents and Settings\SABINE ET FRED\Local Settings\Application Data\HP\Digital Imaging\db\ROFImagesTable.cdx L'objet est verrouillé ignoré

C:\Documents and Settings\SABINE ET FRED\Local Settings\Application Data\HP\Digital Imaging\db\ROFImagesTable.dbf L'objet est verrouillé ignoré

C:\Documents and Settings\SABINE ET FRED\Local Settings\Application Data\HP\Digital Imaging\db\ROFTable.cdx L'objet est verrouillé ignoré

C:\Documents and Settings\SABINE ET FRED\Local Settings\Application Data\HP\Digital Imaging\db\ROFTable.dbf L'objet est verrouillé ignoré

C:\Documents and Settings\SABINE ET FRED\Local Settings\Application Data\Microsoft\Feeds Cache\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\SABINE ET FRED\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\SABINE ET FRED\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\SABINE ET FRED\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\SABINE ET FRED\Local Settings\Historique\History.IE5\MSHist012008091120080912\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\SABINE ET FRED\Local Settings\Historique\History.IE5\MSHist012008091220080913\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\SABINE ET FRED\Local Settings\Temp\Acr8AFF.tmp L'objet est verrouillé ignoré

C:\Documents and Settings\SABINE ET FRED\Local Settings\Temp\hpodvd09.log L'objet est verrouillé ignoré

C:\Documents and Settings\SABINE ET FRED\Local Settings\Temp\~DF8818.tmp L'objet est verrouillé ignoré

C:\Documents and Settings\SABINE ET FRED\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\SABINE ET FRED\Mes documents\Jeux\GTA.Grand Theft.Auto.San. Andreas.Crack + Patch FR.zip/GTA.Grand Theft.Auto.San. Andreas.Crack/Comment Gagner gros sur internet by Sierra/La 1ère astuce pour tricher avec eurobarre.zip/La 1ère astuce pour tricher avec eurobarre/Eurofake.exe Infecté : IM-Worm.Win32.Kelvir.bp ignoré

C:\Documents and Settings\SABINE ET FRED\Mes documents\Jeux\GTA.Grand Theft.Auto.San. Andreas.Crack + Patch FR.zip/GTA.Grand Theft.Auto.San. Andreas.Crack/Comment Gagner gros sur internet by Sierra/La 1ère astuce pour tricher avec eurobarre.zip Infecté : IM-Worm.Win32.Kelvir.bp ignoré

C:\Documents and Settings\SABINE ET FRED\Mes documents\Jeux\GTA.Grand Theft.Auto.San. Andreas.Crack + Patch FR.zip ZIP: infecté - 2 ignoré

C:\Documents and Settings\SABINE ET FRED\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\SABINE ET FRED\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat L'objet est verrouillé ignoré

C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db L'objet est verrouillé ignoré

C:\Program Files\Alwil Software\Avast4\DATA\log\AshWebSv.ws L'objet est verrouillé ignoré

C:\Program Files\Alwil Software\Avast4\DATA\log\aswMaiSv.log L'objet est verrouillé ignoré

C:\Program Files\Alwil Software\Avast4\DATA\log\nshield.log L'objet est verrouillé ignoré

C:\Program Files\Alwil Software\Avast4\DATA\log\selfdef.log L'objet est verrouillé ignoré

C:\Program Files\Alwil Software\Avast4\DATA\report\Protection résidente.txt L'objet est verrouillé ignoré

C:\Program Files\eMule\Temp\013.part/SecuredeMule_09_FR_FF.EXE/WISE0016.BIN/data0015/data0005 Infecté : not-a-virus:AdWare.Win32.Shopper.l ignoré

C:\Program Files\eMule\Temp\013.part/SecuredeMule_09_FR_FF.EXE/WISE0016.BIN/data0015 Infecté : not-a-virus:AdWare.Win32.Shopper.l ignoré

C:\Program Files\eMule\Temp\013.part/SecuredeMule_09_FR_FF.EXE/WISE0016.BIN Infecté : not-a-virus:AdWare.Win32.Shopper.l ignoré

C:\Program Files\eMule\Temp\013.part/SecuredeMule_09_FR_FF.EXE Infecté : not-a-virus:AdWare.Win32.Shopper.l ignoré

C:\Program Files\eMule\Temp\013.part ZIP: infecté - 4 ignoré

C:\Program Files\Logitech\Desktop Messenger\8876480\Users\SABINE ET FRED\Data\chandir.dat L'objet est verrouillé ignoré

C:\Program Files\Logitech\Desktop Messenger\8876480\Users\SABINE ET FRED\Data\chandir.idx L'objet est verrouillé ignoré

C:\Program Files\Logitech\Desktop Messenger\8876480\Users\SABINE ET FRED\Data\chn.dat L'objet est verrouillé ignoré

C:\Program Files\Logitech\Desktop Messenger\8876480\Users\SABINE ET FRED\Data\chn.idx L'objet est verrouillé ignoré

C:\Program Files\Logitech\Desktop Messenger\8876480\Users\SABINE ET FRED\Data\D0000000.FCS L'objet est verrouillé ignoré

C:\Program Files\Logitech\Desktop Messenger\8876480\Users\SABINE ET FRED\Data\inuse.txt L'objet est verrouillé ignoré

C:\Program Files\Logitech\Desktop Messenger\8876480\Users\SABINE ET FRED\Data\L0000002.FCS L'objet est verrouillé ignoré

C:\Program Files\Logitech\Desktop Messenger\8876480\Users\SABINE ET FRED\Data\main.log L'objet est verrouillé ignoré

C:\Program Files\Logitech\Desktop Messenger\8876480\Users\SABINE ET FRED\Data\prs.dat L'objet est verrouillé ignoré

C:\Program Files\Logitech\Desktop Messenger\8876480\Users\SABINE ET FRED\Data\prs.idx L'objet est verrouillé ignoré

C:\Program Files\Logitech\Desktop Messenger\8876480\Users\SABINE ET FRED\Data\prs_die.dat L'objet est verrouillé ignoré

C:\Program Files\Logitech\Desktop Messenger\8876480\Users\SABINE ET FRED\Data\prs_die.idx L'objet est verrouillé ignoré

C:\Program Files\Logitech\Desktop Messenger\8876480\Users\SABINE ET FRED\Data\prs_dnd.dat L'objet est verrouillé ignoré

C:\Program Files\Logitech\Desktop Messenger\8876480\Users\SABINE ET FRED\Data\prs_dnd.idx L'objet est verrouillé ignoré

C:\Program Files\Logitech\Desktop Messenger\8876480\Users\SABINE ET FRED\Data\prs_ext.dat L'objet est verrouillé ignoré

C:\Program Files\Logitech\Desktop Messenger\8876480\Users\SABINE ET FRED\Data\prs_ext.idx L'objet est verrouillé ignoré

C:\Program Files\Logitech\Desktop Messenger\8876480\Users\SABINE ET FRED\Data\prs_rcv.dat L'objet est verrouillé ignoré

C:\Program Files\Logitech\Desktop Messenger\8876480\Users\SABINE ET FRED\Data\prs_rcv.idx L'objet est verrouillé ignoré

C:\Program Files\Logitech\Desktop Messenger\8876480\Users\SABINE ET FRED\Data\storydb.dat L'objet est verrouillé ignoré

C:\Program Files\Logitech\Desktop Messenger\8876480\Users\SABINE ET FRED\Data\storydb.idx L'objet est verrouillé ignoré

C:\SDFix\backups\backups.zip/backups/lphcetvj0ec8v.exe Infecté : Backdoor.Win32.Frauder.dk ignoré

C:\SDFix\backups\backups.zip/backups/pphcetvj0ec8v.exe Infecté : not-a-virus:FraudTool.Win32.XPAntivirus.qj ignoré

C:\SDFix\backups\backups.zip/backups/tdssadw.dll Infecté : Rootkit.Win32.Clbd.jj ignoré

C:\SDFix\backups\backups.zip/backups/tdsslog.dll Infecté : Backdoor.Win32.Agent.rfv ignoré

C:\SDFix\backups\backups.zip/backups/tdssmain.dll Infecté : Backdoor.Win32.Agent.rfw ignoré

C:\SDFix\backups\backups.zip ZIP: infecté - 5 ignoré
Revenir en haut Aller en bas
gruik63
Bibouactif
Bibouactif


Masculin
Nombre de messages : 58
Age : 54
Localisation : france
Date d'inscription : 01/04/2008

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Ven 12 Sep 2008 - 21:21

Message 2

C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

C:\System Volume Information\_restore{DD10F327-9C3E-45C0-AB8B-B3A0D732AEBB}\RP1\A0000011.dll Infecté : Trojan-Downloader.Win32.Small.acri ignoré

C:\System Volume Information\_restore{DD10F327-9C3E-45C0-AB8B-B3A0D732AEBB}\RP1\A0000027.exe Infecté : not-a-virus:FraudTool.Win32.XPAntivirus.qj ignoré

C:\System Volume Information\_restore{DD10F327-9C3E-45C0-AB8B-B3A0D732AEBB}\RP1\A0000030.dll Infecté : Trojan-Downloader.Win32.FraudLoad.vbxt ignoré

C:\System Volume Information\_restore{DD10F327-9C3E-45C0-AB8B-B3A0D732AEBB}\RP1\A0000033.exe Infecté : Hoax.Win32.Renos.dws ignoré

C:\System Volume Information\_restore{DD10F327-9C3E-45C0-AB8B-B3A0D732AEBB}\RP1\A0000058.exe Infecté : Trojan-Downloader.Win32.Small.acyj ignoré

C:\System Volume Information\_restore{DD10F327-9C3E-45C0-AB8B-B3A0D732AEBB}\RP2\A0000177.exe Infecté : Backdoor.Win32.Frauder.dk ignoré

C:\System Volume Information\_restore{DD10F327-9C3E-45C0-AB8B-B3A0D732AEBB}\RP2\A0000178.exe Infecté : not-a-virus:FraudTool.Win32.XPAntivirus.qj ignoré

C:\System Volume Information\_restore{DD10F327-9C3E-45C0-AB8B-B3A0D732AEBB}\RP2\A0000189.dll Infecté : Rootkit.Win32.Clbd.jj ignoré

C:\System Volume Information\_restore{DD10F327-9C3E-45C0-AB8B-B3A0D732AEBB}\RP2\A0000191.dll Infecté : Backdoor.Win32.Agent.rfv ignoré

C:\System Volume Information\_restore{DD10F327-9C3E-45C0-AB8B-B3A0D732AEBB}\RP2\A0000192.dll Infecté : Backdoor.Win32.Agent.rfw ignoré

C:\System Volume Information\_restore{DD10F327-9C3E-45C0-AB8B-B3A0D732AEBB}\RP2\A0000195.exe Infecté : Backdoor.Win32.Frauder.dk ignoré

C:\System Volume Information\_restore{DD10F327-9C3E-45C0-AB8B-B3A0D732AEBB}\RP2\A0000196.exe Infecté : not-a-virus:FraudTool.Win32.XPAntivirus.qj ignoré

C:\System Volume Information\_restore{DD10F327-9C3E-45C0-AB8B-B3A0D732AEBB}\RP2\A0000267.sys Infecté : Hoax.Win32.Agent.fu ignoré

C:\System Volume Information\_restore{DD10F327-9C3E-45C0-AB8B-B3A0D732AEBB}\RP3\change.log L'objet est verrouillé ignoré

C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré

C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\421.tmp Infecté : not-a-virus:FraudTool.Win32.XPAntivirus.qj ignoré

C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\Antivirus.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\Internet.evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\ODiag.evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\OSession.evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\OBIH8TKX\acCA6783WE.htm Infecté : Trojan-Downloader.JS.Agent.cnn ignoré

C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\OBIH8TKX\acCA9B7WTU.htm Infecté : Trojan-Downloader.JS.Agent.cnn ignoré

C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\OBIH8TKX\acCAI8SAOA.htm Infecté : Trojan-Downloader.JS.Agent.cnn ignoré

C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\OBIH8TKX\acCAJC85RB.htm Infecté : Trojan-Downloader.JS.Agent.cnn ignoré

C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\OBIH8TKX\acCAKZA2IB.htm Infecté : Trojan-Downloader.JS.Agent.cnn ignoré

C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\OBIH8TKX\acCAV4O8Y3.htm Infecté : Trojan-Downloader.JS.Agent.cnn ignoré

C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré

C:\WINDOWS\Temp\Perflib_Perfdata_5e0.dat L'objet est verrouillé ignoré

C:\WINDOWS\Temp\Perflib_Perfdata_6e0.dat L'objet est verrouillé ignoré

C:\WINDOWS\Temp\_avast4_\Webshlock.txt L'objet est verrouillé ignoré

C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré

C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré

C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré

C:\_OTMoveIt\MovedFiles\09112008_194457\WINDOWS\system32\418.tmp Infecté : not-a-virus:FraudTool.Win32.XPAntivirus.qj ignoré

D:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

D:\System Volume Information\_restore{DD10F327-9C3E-45C0-AB8B-B3A0D732AEBB}\RP3\change.log L'objet est verrouillé ignoré

E:\Psp\--- PSP ---\TUTO-www.Jaxx21.com\[TUTO] Vnc pour PSP-mode infrastructure\tightvnc-1.2.9-setup.exe/data0002 Infecté : not-a-virus:RemoteAdmin.Win32.WinVNC-based.h ignoré

E:\Psp\--- PSP ---\TUTO-www.Jaxx21.com\[TUTO] Vnc pour PSP-mode infrastructure\tightvnc-1.2.9-setup.exe/data0003 Infecté : not-a-virus:RemoteAdmin.Win32.WinVNC-based.b ignoré

E:\Psp\--- PSP ---\TUTO-www.Jaxx21.com\[TUTO] Vnc pour PSP-mode infrastructure\tightvnc-1.2.9-setup.exe Inno: infecté - 2 ignoré

E:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

E:\System Volume Information\_restore{DD10F327-9C3E-45C0-AB8B-B3A0D732AEBB}\RP3\change.log L'objet est verrouillé ignoré

Analyse terminée.
Revenir en haut Aller en bas
gruik63
Bibouactif
Bibouactif


Masculin
Nombre de messages : 58
Age : 54
Localisation : france
Date d'inscription : 01/04/2008

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Ven 12 Sep 2008 - 21:37

Bonsoir Accass

Ai relancé Hijackthis, l' analyse a été très brève, pas plus de 15 secondes, suis pas très sur du mode opératoire ai cliqué sur do a system scan and save a log file, est ce correct docteur ?


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:32:32, on 12/09/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Logitech\Video\LogiTray.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\TomTom HOME 2\HOMERunner.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
C:\Program Files\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
C:\Program Files\Fichiers communs\Logitech\KHAL\KHALMNPR.EXE
C:\Program Files\HP\Digital Imaging\bin\hpqnrs08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\system32\HPZinw12.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPBOID.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPBPRO.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPBOID.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPBPRO.EXE
C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/webhp?sourceid=navclient&hl=fr&ie=UTF-8
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.emjysoft.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Emjysoft_Anti-spam] C:\Program Files\Emjysoft\Anti-Spam\antispam.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime Alternative\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [Spamihilator] "C:\Program Files\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME 2\HOMERunner.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Picture Package Menu.lnk = ?
O4 - Global Startup: Picture Package VCD Maker.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1174052227796
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://asp07.photoprintit.de/microsite/12188/defaults/activex/IPSUploader.cab
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP Port Resolver - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBPRO.EXE
O23 - Service: HP Status Server - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBOID.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O24 - Desktop Component 1: (no name) - http://fr.beijing2008.cn/index.shtml

--
End of file - 10812 bytes
Revenir en haut Aller en bas
GrosBébé
Moderateurs (trices)
Moderateurs (trices)
avatar

Masculin
Nombre de messages : 6878
Age : 36
Localisation : devant le pc
Date d'inscription : 18/12/2007

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Ven 12 Sep 2008 - 21:49

Bonsoir Gruik63

Je regarde les rapports, tu peux fermer la fenêtre de Kaspersky Wink

__________________________________________________________________________________________________________________
Profitez d'offres promotionnelles et suivez Bibou0007.com sur Facebook -------->
*
*
Revenir en haut Aller en bas
gruik63
Bibouactif
Bibouactif


Masculin
Nombre de messages : 58
Age : 54
Localisation : france
Date d'inscription : 01/04/2008

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Ven 12 Sep 2008 - 21:51

Merci Smile
Revenir en haut Aller en bas
GrosBébé
Moderateurs (trices)
Moderateurs (trices)
avatar

Masculin
Nombre de messages : 6878
Age : 36
Localisation : devant le pc
Date d'inscription : 18/12/2007

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Ven 12 Sep 2008 - 22:28

Là c'est moins bien. Il y a des cracks (donc infecté) sur l'ordinateur, il va falloir les virer.
Dans un dossier temporaire d'Emule, on voit SecuredEmule, il faut aussi le virer car programme piégé

Double-clique sur OTMoveIt2.exe pour le lancer.
=> Assure toi que la case Unregister Dll's and Ocx's soit bien cochée !!!
=> copie/colle le contenu du cadre ci dessous dans le cadre de gauche de OTMoveIt nommé Paste List of Files/Folders to move.
Citation :

[kill explorer]
C:\Documents and Settings\SABINE ET FRED\Mes documents\Jeux\GTA.Grand Theft.Auto.San. Andreas.Crack + Patch FR.zip
C:\Program Files\eMule\Temp\013.part
C:\SDFix
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\OBIH8TKX\acCA6783WE.htm
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\OBIH8TKX\acCA9B7WTU.htm
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\OBIH8TKX\acCAI8SAOA.htm
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\OBIH8TKX\acCAJC85RB.htm
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\OBIH8TKX\acCAKZA2IB.htm
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\OBIH8TKX\acCAV4O8Y3.htm
EmptyTemp
purity
[start explorer]

=> Clique sur MoveIt! pour lancer la suppression.
=> Si OTMoveIt demande à redémarrer le pc, accepte.
=> Lorsqu'un résultat apparaît dans le cadre Results, clique sur Exit.
=> Poste le rapport qui se trouve ici C:\_OTMoveIt\MovedFiles\exemple 04232008_141450.log

Une aide à l'utilisation ici

Si tu obtiens un message comme quoi le rapport ne peut pas être créé, copie/colle ce qui apparaît dans la colonne droite de l’outil.

~~~~~~~~~~~~

Redémarre l'ordinateur

Attention à être bien attentif à tout ce qui suit !
Si ton antivirus Avast réagit face à Combofix, désactive ton antivirus.

Si tu as déjà Combofix, supprime le et vide ta corbeille

Clique ici pour télécharger ComboFix (de sUBs) sur ton bureau

Avant de l'utiliser, regarde cette aide en image

=> Désactive toutes les protections résidentes (UAC, antivirus, parefeu, antispyware, tea timer, etc)
http://forum.pcastuces.com/desactiver_les_protections_residentes-f31s4.htm
http://www.bleepingcomputer.com/forums/topic114351.html

N'oublie pas de les réactiver à la fin.

Ferme toutes tes fenêtres.

  • Double-clique sur Combofix.exe et suis les instructions.
  • Tape sur la touche 1 (Yes) pour démarrer le scan.
  • Lorsqu'il aura terminé, un rapport apparaîtra à l'écran (fichier texte).
  • Copie/colle le contenu du rapport dans ta prochaine réponse.


Le rapport est également sauvegardé ici : C:\ComboFix.txt

**Note : Ne clique surtout pas dans la fenêtre de Combofix durant l'analyse, ceci provoquerait le gel du programme.

~~~~~~~~~~~~

Dans ta prochaine réponse, poste moi s'il te plait :
- le rapport d'OTMoveIt
- le rapport de Combofix accompagné d'un nouveau rapport hijackthis

__________________________________________________________________________________________________________________
Profitez d'offres promotionnelles et suivez Bibou0007.com sur Facebook -------->
*
*
Revenir en haut Aller en bas
gruik63
Bibouactif
Bibouactif


Masculin
Nombre de messages : 58
Age : 54
Localisation : france
Date d'inscription : 01/04/2008

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Ven 12 Sep 2008 - 23:04

Accass
ci après l' analyse OTMoveIt2.exe, pas eu le temps d'appuyer sur exit lorsque les fichiers ont basculés sur l' écran de droite, dans la foulée le système m'a proposé un redémarrage du Pc , puis à la réouverture j' ai eu tout de suite le rapport en appuyant sur exécuter logiciel.......

Explorer killed successfully
C:\Documents and Settings\SABINE ET FRED\Mes documents\Jeux\GTA.Grand Theft.Auto.San. Andreas.Crack + Patch FR.zip moved successfully.
C:\Program Files\eMule\Temp\013.part moved successfully.
C:\SDFix\backups moved successfully.
C:\SDFix\apps\Replace\xp moved successfully.
C:\SDFix\apps\Replace\w2k moved successfully.
C:\SDFix\apps\Replace moved successfully.
C:\SDFix\apps moved successfully.
C:\SDFix moved successfully.
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\OBIH8TKX\acCA6783WE.htm moved successfully.
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\OBIH8TKX\acCA9B7WTU.htm moved successfully.
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\OBIH8TKX\acCAI8SAOA.htm moved successfully.
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\OBIH8TKX\acCAJC85RB.htm moved successfully.
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\OBIH8TKX\acCAKZA2IB.htm moved successfully.
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\OBIH8TKX\acCAV4O8Y3.htm moved successfully.
< EmptyTemp >
File delete failed. C:\DOCUME~1\SABINE~1\LOCALS~1\Temp\Acr8AFF.tmp scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\SABINE~1\LOCALS~1\Temp\Acr8B01.tmp scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\SABINE~1\LOCALS~1\Temp\hpodvd09.log scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\SABINE~1\LOCALS~1\Temp\~DF8818.tmp scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_5e0.dat scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_6e0.dat scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\_avast4_\Webshlock.txt scheduled to be deleted on reboot.
Temp folders emptied.
IE temp folders emptied.
< purity >
Explorer started successfully

OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 09122008_224535

Files moved on Reboot...
File C:\DOCUME~1\SABINE~1\LOCALS~1\Temp\Acr8AFF.tmp not found!
File C:\DOCUME~1\SABINE~1\LOCALS~1\Temp\Acr8B01.tmp not found!
C:\DOCUME~1\SABINE~1\LOCALS~1\Temp\hpodvd09.log moved successfully.
File C:\DOCUME~1\SABINE~1\LOCALS~1\Temp\~DF8818.tmp not found!
C:\WINDOWS\temp\Perflib_Perfdata_5e0.dat moved successfully.
File C:\WINDOWS\temp\Perflib_Perfdata_6e0.dat not found!
File move failed. C:\WINDOWS\temp\_avast4_\Webshlock.txt scheduled to be moved on reboot.
Revenir en haut Aller en bas
gruik63
Bibouactif
Bibouactif


Masculin
Nombre de messages : 58
Age : 54
Localisation : france
Date d'inscription : 01/04/2008

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Ven 12 Sep 2008 - 23:12

si j' ai bien compris

1 je redémarre le PC
2 je télécharge combofix
3 je désactive toutes protections residentes parefeu avast kapersky adaware etc ....
4 je lance combofix

c bien ça ?
Revenir en haut Aller en bas
GrosBébé
Moderateurs (trices)
Moderateurs (trices)
avatar

Masculin
Nombre de messages : 6878
Age : 36
Localisation : devant le pc
Date d'inscription : 18/12/2007

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Ven 12 Sep 2008 - 23:22

C'est bien ça
Je précise en plus que tu dois absolumment fermer toutes tes fenêtres avant de le lancer.
Tu seras déconnecté d'internet, ton bureau disparaitra, ton ordinateur deviendra inutilisable, n'y touche pas pendant le scan.
Le scan sera long (maxi 20 min) , laisse le finir Wink

__________________________________________________________________________________________________________________
Profitez d'offres promotionnelles et suivez Bibou0007.com sur Facebook -------->
*
*
Revenir en haut Aller en bas
gruik63
Bibouactif
Bibouactif


Masculin
Nombre de messages : 58
Age : 54
Localisation : france
Date d'inscription : 01/04/2008

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Ven 12 Sep 2008 - 23:27

Accass
je n' ai qu avast qui tourne et le pare feu windows ce sont donc les deux seules protections a désactiver, le mode d' emploi combofix fait un peu peur je n'ai pas mon cd windows à mon domicile on me dit de cliquer sur un lien pour charger l equivalent d' une procedure d' installation de la console de récupération windows
dois je m' executer
Revenir en haut Aller en bas
GrosBébé
Moderateurs (trices)
Moderateurs (trices)
avatar

Masculin
Nombre de messages : 6878
Age : 36
Localisation : devant le pc
Date d'inscription : 18/12/2007

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Ven 12 Sep 2008 - 23:44

@gruik63 a écrit:
Accass
je n' ai qu avast qui tourne et le pare feu windows
C'est bien ce qu'il me semblait, je ne comprenais pas pourquoi tu me parlais de kaspersky et de Ad Aware.


@gruik63 a écrit:
je n'ai pas mon cd windows à mon domicile on me dit de cliquer sur un lien pour charger l equivalent d' une procedure d' installation de la console de récupération windows
dois je m' executer
Installer la console de récupération n'est pas nécessaire pour l'instant et dans le pire des cas, il est possible d'installer la console d'une autre façon.

__________________________________________________________________________________________________________________
Profitez d'offres promotionnelles et suivez Bibou0007.com sur Facebook -------->
*
*
Revenir en haut Aller en bas
gruik63
Bibouactif
Bibouactif


Masculin
Nombre de messages : 58
Age : 54
Localisation : france
Date d'inscription : 01/04/2008

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Ven 12 Sep 2008 - 23:52

me sent mieux c' est fait ai reactive mon pare feu et avast , remarque avast pour ce a quoi il a servi dans mon malheur ........
en revanche les fenêtres étaient fermées mais un bandeau logitech est apparu pendant l' analyse, j espère sans conséquence .........
t envoie la analyse
Revenir en haut Aller en bas
gruik63
Bibouactif
Bibouactif


Masculin
Nombre de messages : 58
Age : 54
Localisation : france
Date d'inscription : 01/04/2008

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Ven 12 Sep 2008 - 23:54

combofix message 1

ComboFix 08-09-11.02 - SABINE ET FRED 2008-09-12 23:36:50.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.629 [GMT 2:00]
Endroit: C:\Documents and Settings\SABINE ET FRED\Bureau\ComboFix.exe
* Création d'un nouveau point de restauration

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Antivirus XP 2008
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Antivirus XP 2008.lnk
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Antivirus XP 2008\Antivirus XP 2008.lnk
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Antivirus XP 2008\How to Register Antivirus XP 2008.lnk
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Antivirus XP 2008\License Agreement.lnk
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Antivirus XP 2008\Register Antivirus XP 2008.lnk
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Antivirus XP 2008\Uninstall.lnk
C:\Documents and Settings\SABINE ET FRED\Application Data\inst.exe

.
((((((((((((((((((((((((((((( Fichiers créés 2008-08-12 to 2008-09-12 ))))))))))))))))))))))))))))))))))))
.

2008-09-11 20:03 . 2008-09-11 20:03 d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-09-11 19:39 . 2008-09-11 19:39 d-------- C:\_OTMoveIt
2008-09-10 21:06 . 2008-09-10 21:06 579,584 --a--c--- C:\WINDOWS\system32\dllcache\user32.dll
2008-09-10 21:06 . 2006-03-02 14:00 46,080 --a--c--- C:\WINDOWS\system32\dllcache\ftp.exe
2008-09-10 21:00 . 2008-09-10 21:00 d-------- C:\WINDOWS\ERUNT
2008-09-10 12:55 . 2008-09-10 12:55 118 --a------ C:\WINDOWS\system32\MRT.INI
2008-09-09 23:49 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-09 23:49 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-09 22:47 . 2008-09-09 22:49 106,496 --a------ C:\WINDOWS\system32\421.tmp
2008-09-09 22:41 . 2008-09-09 22:54 d-------- C:\rsit
2008-08-28 23:39 . 2008-08-28 23:39 d-------- C:\Program Files\CVitae
2008-08-28 12:56 . 2008-08-28 12:56 d-------- C:\WINDOWS\system32\fr
2008-08-28 12:56 . 2008-08-28 12:56 d-------- C:\WINDOWS\system32\bits
2008-08-28 12:56 . 2008-08-28 12:56 d-------- C:\WINDOWS\l2schemas
2008-08-28 12:53 . 2008-08-28 12:56 d-------- C:\WINDOWS\ServicePackFiles
2008-08-28 12:45 . 2008-08-28 12:45 d-------- C:\WINDOWS\EHome
2008-08-27 21:41 . 2004-08-03 22:41 1,041,536 --------- C:\WINDOWS\system32\drivers\hsfdpsp2.sys
2008-08-27 21:41 . 2004-08-03 22:41 685,056 --------- C:\WINDOWS\system32\drivers\hsfcxts2.sys
2008-08-27 21:41 . 2004-08-03 22:41 220,032 --------- C:\WINDOWS\system32\drivers\hsfbs2s2.sys
2008-08-27 21:41 . 2004-07-17 22:55 129,045 --------- C:\WINDOWS\system32\drivers\cxthsfs2.cty
2008-08-27 19:07 . 2008-04-11 21:05 691,712 -----c--- C:\WINDOWS\system32\dllcache\inetcomm.dll
Revenir en haut Aller en bas
gruik63
Bibouactif
Bibouactif


Masculin
Nombre de messages : 58
Age : 54
Localisation : france
Date d'inscription : 01/04/2008

MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   Ven 12 Sep 2008 - 23:55

combofix message 2

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-11 17:37 --------- d-----w C:\Program Files\MSN Messenger
2008-09-11 17:37 --------- d-----w C:\Program Files\Messenger Plus! Live
2008-09-10 19:39 --------- d-----w C:\Program Files\Malwarebytes' Anti-Malware
2008-09-10 10:53 --------- d-----w C:\Documents and Settings\All Users\Application Data\Microsoft Help
2008-09-09 17:11 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-09-07 16:13 --------- d-----w C:\Program Files\eMule
2008-09-05 16:20 --------- d-----w C:\Documents and Settings\CHRISTOPHER\Application Data\HP
2008-08-28 13:40 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-08-11 17:26 284 -c--a-w C:\Documents and Settings\SABINE ET FRED\Application Data\ViewerApp.dat
2008-08-11 12:20 --------- d-----w C:\Program Files\Audacity
2008-08-11 12:17 --------- d-----w C:\Program Files\Téléchargeur de Virtual Music Studio
2008-08-11 12:17 --------- d-----w C:\Program Files\Fichiers communs\BOONTY Shared
2008-08-11 12:17 --------- d-----w C:\Documents and Settings\All Users\Application Data\BOONTY
2008-08-11 12:16 --------- d-----w C:\Program Files\BoontyGames
2008-08-11 12:16 --------- d-----w C:\Program Files\Boonty
2008-08-03 08:53 --------- d-----w C:\Program Files\iTunes
2008-08-03 08:52 --------- d-----w C:\Program Files\iPod
2008-08-03 08:47 --------- d-----w C:\Program Files\Bonjour
2008-08-03 08:45 --------- d-----w C:\Program Files\QuickTime Alternative
2008-07-19 09:33 --------- d-----w C:\Program Files\Sun
2008-07-19 09:33 --------- d-----w C:\Program Files\Java
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-18 20:07 270,880 ----a-w C:\WINDOWS\system32\mucltui.dll
2008-07-18 20:07 210,976 ----a-w C:\WINDOWS\system32\muweb.dll
2008-07-07 20:28 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-06-24 16:44 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-24 16:12 295,936 ------w C:\WINDOWS\system32\wmpeffects.dll
2008-06-23 16:28 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-06-20 17:47 247,808 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-13 12:22 94,208 ----a-w C:\Documents and Settings\SABINE ET FRED\Application Data\ezplay.sys
2008-06-13 12:18 47,360 ----a-w C:\Documents and Settings\SABINE ET FRED\Application Data\pcouffin.sys
2008-06-13 12:09 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2007-08-03 15:47 560 -c--a-w C:\Documents and Settings\CHRISTOPHER\Application Data\ViewerApp.dat
2007-03-22 20:32 2,442,222 ----a-w C:\Program Files\eMule047c.exe
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2008-04-14 1695232]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-25 68856]
"TomTomHOME.exe"="C:\Program Files\TomTom HOME 2\HOMERunner.exe" [2008-05-06 202088]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 78008]
"LogitechVideoRepair"="C:\Program Files\Logitech\Video\ISStart.exe" [2004-02-25 454656]
"LogitechVideoTray"="C:\Program Files\Logitech\Video\LogiTray.exe" [2004-02-25 212992]
"LVCOMSX"="C:\WINDOWS\system32\LVCOMSX.EXE" [2004-02-25 221184]
"PinnacleDriverCheck"="C:\WINDOWS\system32\\PSDrvCheck.exe" [2004-03-11 406016]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2006-02-19 49152]
"AppleSyncNotifier"="C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-07-22 116040]
"QuickTime Task"="C:\Program Files\QuickTime Alternative\qttask.exe" [2008-05-27 413696]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2008-07-30 289064]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma Loader.exe.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2007-06-03 113664]
D‚marrage rapide de HP Photosmart Premier.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe [2006-02-10 73728]
HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2006-02-19 288472]
Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696]
Logitech Desktop Messenger.lnk - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2007-11-02 67128]
Logitech SetPoint.lnk - C:\Program Files\Logitech\SetPoint\SetPoint.exe [2008-02-09 528384]
Picture Package Menu.lnk - C:\Program Files\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe [2007-04-16 151552]
Picture Package VCD Maker.lnk - C:\Program Files\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe [2007-04-16 106496]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.enc"= ITIG726.acm
"VIDC.MJPG"= Pvmjpg30.dll
"VIDC.YV12"= yv12vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
--a------ 2008-04-05 15:40 1271032 c:\Program Files\Valve\Steam\steam.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"C:\\Program Files\\Pinnacle\\Studio 10\\programs\\RM.exe"=
"C:\\Program Files\\Pinnacle\\Studio 10\\programs\\Studio.exe"=
"C:\\Program Files\\Pinnacle\\Studio 10\\programs\\PMSRegisterFile.exe"=
"C:\\Program Files\\Pinnacle\\Studio 10\\programs\\umi.exe"=
"C:\\Program Files\\Valve\\Steam\\SteamApps\\roymost\\condition zero\\hl.exe"=
"C:\\Program Files\\Valve\\Steam\\SteamApps\\roymost\\condition zero deleted scenes\\hl.exe"=
"C:\\Program Files\\Valve\\Steam\\SteamApps\\roymost\\deathmatch classic\\hl.exe"=
"C:\\Program Files\\Fichiers communs\\PocketSoft\\RTPatch\\AutoRTP\\artpschd.exe"=
"C:\\Program Files\\Valve\\Steam\\SteamApps\\roymost\\counter-strike\\hl.exe"=
"C:\\Program Files\\EA GAMES\\Battlefield 1942\\BF1942.exe"=
"C:\\Program Files\\Valve\\Steam\\steam.exe"=
"C:\\Program Files\\Electronic Arts\\Battlefield 2142\\BF2142.exe"=
"C:\\Program Files\\EA GAMES\\Battlefield 1942\\BF1942_w32ded.exe"=
"C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"C:\\Program Files\\Shareaza\\Shareaza.exe"=
"C:\\Program Files\\Microsoft Games\\Age of Empires III\\age3x.exe"=
"C:\\WINDOWS\\system32\\spoolsv.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=
"C:\\Program Files\\Microsoft Games\\Motocross Madness\\mcm.exe"=
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"C:\\Program Files\\Microsoft Games\\Age of Empires III\\age3y.exe"=

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 78416]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560]
S3 Boonty Games;Boonty Games;C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe [2008-08-11 69120]
S3 MBAMCatchMe;MBAMCatchMe;C:\Program Files\Malwarebytes' Anti-Malware\catchme.sys [ ]

*Newly Created Service* - PROCEXP90
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
Revenir en haut Aller en bas
Contenu sponsorisé




MessageSujet: Re: Infection par virus win32: Fraud Tool - GI [Tool]   

Revenir en haut Aller en bas
 
Infection par virus win32: Fraud Tool - GI [Tool]
Voir le sujet précédent Voir le sujet suivant Revenir en haut 
Page 1 sur 2Aller à la page : 1, 2  Suivant
 Sujets similaires
-
» Infection par virus win32: Fraud Tool - GI [Tool]
» Nouveau virus : Win32.Induc.A. Surveillez vos logiciels !
» [Résolu] Virus : Win32 - Jeefo
» [Résolu] Rootkit : win32-rootkit-gen
» Infection de virus sur mon ordinateur

Permission de ce forum:Vous ne pouvez pas répondre aux sujets dans ce forum
Bibou le forum :: 
La sécurité
 :: Aide à la désinfection :: Sujets résolus ou anciens
-
Sauter vers: