Magic.Control : Rootkit

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

ldo

Magic.Control : Rootkit

par ldo »

Bonjour,


Je crois que j'ai été infecté par un rootkit.
Comment faire pour le supprimer ? Merci d'avance.

voici mon raport F-secure :

Code : Tout sélectionner

08/22/06 10:08:10 [Info]: BlackLight Engine 1.0.46 initialized
08/22/06 10:08:10 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/22/06 10:08:11 [Note]: 7019 4
08/22/06 10:08:11 [Note]: 7005 0
08/22/06 10:08:15 [Note]: 7006 0
08/22/06 10:08:15 [Note]: 7011 1672
08/22/06 10:08:15 [Note]: 7026 0
08/22/06 10:08:16 [Note]: 7026 0
08/22/06 10:08:16 [Note]: 7024 3
08/22/06 10:08:16 [Info]: Hidden process: C:\windows\system32\dazsukm.exe
08/22/06 10:08:16 [Note]: FSRAW library version 1.7.1019
08/22/06 10:10:43 [Info]: Hidden file: c:\WINDOWS\Prefetch\DAZSUKM.EXE-05746EDD.pf
08/22/06 10:10:43 [Note]: 10002 1
08/22/06 10:11:01 [Info]: Hidden file: c:\WINDOWS\system32\dazsukm.dat
08/22/06 10:11:01 [Note]: 10002 1
08/22/06 10:11:01 [Info]: Hidden file: C:\windows\system32\dazsukm.exe
08/22/06 10:11:01 [Note]: 10002 1
08/22/06 10:11:02 [Info]: Hidden file: c:\WINDOWS\system32\dazsukm_nav.dat
08/22/06 10:11:02 [Note]: 10002 1
08/22/06 10:11:02 [Info]: Hidden file: c:\WINDOWS\system32\dazsukm_navps.dat
08/22/06 10:11:02 [Note]: 10002 1
08/22/06 10:12:37 [Note]: 7007 0
Malekal_morte
Messages : 112133
Inscription : 10 sept. 2005 13:57

par Malekal_morte »

Bonjour et bienvenue,

tout à fait, il se nomme Magic.control


Voici la manipulation à effectuer en entier
Merci de bien vouloir :
- Lire attentivement les instructions demandées et prendre son temps pour les effectuer convenablement, sinon la désinfection ne sera pas complète.
- Si certains éléments ne sont pas trouvés, merci de le signaler mais de poursuivre les manipulations jusqu'au bout.
- A l'issu de la procédure, merci de bien copier/coller TOUS les rapports demandés.
- N'hésitez pas à consulter les liens d'aides, ils sont là pour vous guider !

Sur HijackThis, refais un scan et coches les lignes suivantes :

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {6AA85413-165C-4200-8154-71166077B22E} - http://scripts.downloadv3.com/binaries/ ... _FR_XP.cab
O16 - DPF: {71DA2A4E-ACB3-4065-9E41-8BC42EABE427} - http://scripts.dlv4.com/binaries/IA/svcia32_FR_XP.cab
O16 - DPF: {82FC4503-8459-4239-9B85-0617BEAA950A} - http://scripts.dlv4.com/binaries/egacce ... 061_XP.cab
O16 - DPF: {92ABACFE-EF6E-42C7-A824-D50A914B5B70} (MastaCash Loader Class) - http://dx.mastacash.com/loader.cab
O16 - DPF: {9EB4F647-FE4A-42F9-9F5C-B8FB28DD02F9} - http://scripts.dlv4.com/binaries/IA/sys ... _FR_XP.cab
O16 - DPF: {AF7410C1-FBA3-415E-800A-4110CED40536} - http://scripts.dlv4.com/binaries/egacce ... 060_XP.cab
O16 - DPF: {B2B0AEDF-7CDF-4792-BB67-7654AD1E1B13} - http://scripts.downloadv3.com/binaries/ ... _FR_XP.cab

---> puis clic sur le bouton "Fix Checked"
n'hésite pas à consulter l'aide HijackThis

Affiche les extensions des fichiers, ce sera plus simple :
-- Ouvre le poste de travail
-- Clic sur le menu outils en haut à droite puis options des dossiers
-- Dans la nouvelle fenêtre, clic sur l'onglet Affichage en haut
-- Décoche l'option "Masquez les extensions des fichiers dont le type est connu"

Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Pour cela :
-- Ouvre le poste de travail
-- Double-clic sur le disque C
-- Menu Fichier en haut puis Nouveau et nouveau dossier
-- Tapez BFU dans le nom du nouveau dossier

Télécharge Brute Force Uninstaller (de Merijn) et tu mets le fichier dans le dossier C:\BFU.

Rends toi dans le dossier C:\BFU :
-- Ouvre le poste de travail
-- Double-clic sur le disque C
-- Double-clic sur le dossier BFU
-- Sur le fichier BFU.zip, fais un clic droit / Extraire ici ou Extraire tout.

Tu dois maintenant avoir dans le dossier BFU, deux fichiers : Bfu.exe et Bfu.zip

Ensuite :
FAIS UN CLIC-DROIT ICI de Metallica et choisis "Enregistrer la cible sous..." afin de télécharger EGDACCESS.bfu (de Metallica). Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utilises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers".

Important : Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : EGDACCESS.bfu et BFU.exe.
Si ce n'est pas le cas, recommence les opérations, doucement, cela ne sert à rien d'aller plus loin tant que tu n'as pas ces deux fichiers.


- Télécharge et installe ewido
- Mets le à jour à partir du menu update en haut, n'hésite pas à consulter l'Aide ewido pour tout problème.
- Télécharge clean.zip, décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.

____

-- Redémarre en mode en mode sans échec, si tu sais pas comment on fait lis ceci

-- Ouvre le dossier clean qui se trouve sur ton bureau, et double-clic sur clean.cmd, une fenêtre noire va apparaître pendant un instant, laisse la ouverte.

Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)
- Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur :

EGDACCESS.bfu

- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu
Clique sur Execute et laisse-le faire son travail.
Attendre que Complete script execution apparaîsse et clique sur OK.
Clique Exit pour fermer le programme BFU.

-- Ouvre le poste de travail
-- Double clic sur le disque C
-- Double clic sur le dossier Windows
-- Double clic sur le dossier system32
-- Fais un clic droit sur le fichier dazsukm.exe puis dans le menu déroulant clic sur supprimer
-- Fais un clic droit sur le fichier dazsukm.dat puis dans le menu déroulant clic sur supprimer
-- Fais un clic droit sur le fichier dazsukm_nav.dat puis dans le menu déroulant clic sur supprimer
-- Fais un clic droit sur le fichier dazsukm_navps.dat puis dans le menu déroulant clic sur supprimer

-- Navigue dans les dossiers et supprime, si existant :
C:\Program Files\MaillSkinner

- Ouvre ewido et clic sur l'onglet Settings, pour How to Act sélèctionne Quarantine.
Reviens a l'onglet Scan cliques Complete system Scan.
Le scan démarre.
A la fin cliquer sur Apply all actions
Puis sur Save report et pour finir Save report as enregistrer sur le Bureau.

Aide : N'hésite pas à consulter l'Aide ewido pour tout problème.


____


-- Redémarre en mode normal : Menu Démarrer / Arreter / Redémarre l'ordinateur
Attention : dans le cas où l'ordinateur redémarre en boucle en mode sans échec, faire la manipulation inverse en décochant l'option /SAFEBOOT à l'aide de msconfig : voir à nouveau cette page : cliquez-ici

-- Fais un scan en ligne avec Internet Explorer : Scan Kaspersky et colle le rapport ici. Si tu es perdu, tu peux suivre cette aide pour les scans en ligne


-- Copie/Colle ici les rapports sans en oublier :
- du scan Kaspersky
- ewido
- le rapport clean : Poste de travail / double clic sur disque C / double-clic sur rapport_clean.txt et copier/coller le contenu ici C:\rapport_clean.txt
- Le contenu du fichier : C:\egd.txt
- Relance un scan sur BlackLight et copie/colle le rapport ici
- ainsi qu'un nouveau log HijackThis
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
ldo

par ldo »

re,


Voila les différents rapports :

---------------------------------------------------------

Code : Tout sélectionner

ewido anti-spyware - Scan Report
---------------------------------------------------------

 + Created at:	12:37:15 22/08/2006

 + Scan result:	



:mozilla.28:C:\Documents and Settings\Ludovic\Application Data\Mozilla\Firefox\Profiles\t9xidddf.default\cookies.txt -> TrackingCookie.247realmedia : No action taken.
:mozilla.29:C:\Documents and Settings\Ludovic\Application Data\Mozilla\Firefox\Profiles\t9xidddf.default\cookies.txt -> TrackingCookie.247realmedia : No action taken.
:mozilla.25:C:\Documents and Settings\Ludovic\Application Data\Mozilla\Firefox\Profiles\t9xidddf.default\cookies.txt -> TrackingCookie.Bluestreak : No action taken.
:mozilla.10:C:\Documents and Settings\Ludovic\Application Data\Mozilla\Firefox\Profiles\t9xidddf.default\cookies.txt -> TrackingCookie.Smartadserver : No action taken.
:mozilla.8:C:\Documents and Settings\Ludovic\Application Data\Mozilla\Firefox\Profiles\t9xidddf.default\cookies.txt -> TrackingCookie.Smartadserver : No action taken.
:mozilla.9:C:\Documents and Settings\Ludovic\Application Data\Mozilla\Firefox\Profiles\t9xidddf.default\cookies.txt -> TrackingCookie.Smartadserver : No action taken.
:mozilla.6:C:\Documents and Settings\Ludovic\Application Data\Mozilla\Firefox\Profiles\t9xidddf.default\cookies.txt -> TrackingCookie.Weborama : No action taken.
:mozilla.7:C:\Documents and Settings\Ludovic\Application Data\Mozilla\Firefox\Profiles\t9xidddf.default\cookies.txt -> TrackingCookie.Weborama : No action taken.


::Report end

Code : Tout sélectionner

Script clean par Malekal_morte - https://www.malekal.com 

Microsoft Windows XP [version 5.1.2600]
Script execute en mode sans echec 
 
*** Suppression de fichiers sur C: 
 
*** Suppression des fichiers dans C:\WINDOWS\ 
C:\WINDOWS\IsUninst.exe FOUND 
 
*** Suppression des fichiers dans C:\WINDOWS\system32 
 
 
*** Suppression des clefs du registre effectuee.. 

Code : Tout sélectionner

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE"
"ABIT uGuru"="\"C:\\Program Files\\ABIT\\ABIT uGuru\\uGuru.exe\""
"avast!"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"DAEMON Tools-1033"="\"C:\\Program Files\\D-Tools\\daemon.exe\"  -lang 1033"
"TkBellExe"="\"C:\\Program Files\\Fichiers communs\\Real\\Update_OB\\realsched.exe\"  -osboot"
"SunJavaUpdateSched"="\"C:\\Program Files\\Java\\jre1.5.0_04\\bin\\jusched.exe\""
"MsmqIntCert"="regsvr32 /s mqrt.dll"
"dazsukm"="c:\\windows\\system32\\dazsukm.exe dazsukm"
"SSBkgdUpdate"="\"C:\\Program Files\\Fichiers communs\\Scansoft Shared\\SSBkgdUpdate\\SSBkgdupdate.exe\" -Embedding -boot"
"PinnacleDriverCheck"="\"C:\\WINDOWS\\system32\\PSDrvCheck.exe\" -CheckReg"
"QuickTime Task"="\"C:\\Program Files\\QuickTime\\qttask.exe\" -atboottime"
"!ewido"="\"C:\\Program Files\\ewido anti-spyware 4.0\\ewido.exe\" /minimized"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

Code : Tout sélectionner

Logfile of HijackThis v1.99.1
Scan saved at 13:02:58, on 22/08/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ABIT\ABIT uGuru\uGuru.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\ABIT\ABIT uGuru\uGuru_Event_Receiver.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\SetPoint\KEM.exe
C:\Program Files\Logitech\SetPoint\KHALMNPR.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
E:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\mqsvc.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\WINDOWS\system32\mqtgsvc.exe
E:\Pinnacle\Shared Files\Programs\MediaServer\PMSHost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\Ludovic\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ABIT uGuru] "C:\Program Files\ABIT\ABIT uGuru\uGuru.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe"
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [dazsukm] c:\windows\system32\dazsukm.exe dazsukm
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PinnacleDriverCheck] "C:\WINDOWS\system32\PSDrvCheck.exe" -CheckReg
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Dragon NaturallySpeaking.lnk = E:\ScanSoft\NaturallySpeaking8\Program\natspeak.exe
O4 - Startup: Stardock ObjectDock.lnk = C:\Program Files\WinOSX\Ludovic\ObjectDock\ObjectDock.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\KEM.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1125070828500
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: Abpnkfmp -   - (no file)
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MSSQL$PINNACLESYS - Unknown owner - E:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe" -sPINNACLESYS (file missing)
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - E:\Pinnacle\Shared Files\Programs\MediaServer\PMSHost.exe
O23 - Service: SQLAgent$PINNACLESYS - Unknown owner - E:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlagent.EXE" -i PINNACLESYS (file missing)


Code : Tout sélectionner

08/22/06 13:06:03 [Info]: BlackLight Engine 1.0.46 initialized
08/22/06 13:06:03 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/22/06 13:06:04 [Note]: 7019 4
08/22/06 13:06:04 [Note]: 7005 0
08/22/06 13:06:08 [Note]: 7006 0
08/22/06 13:06:08 [Note]: 7011 1648
08/22/06 13:06:08 [Note]: 7026 0
08/22/06 13:06:08 [Note]: 7026 0
08/22/06 13:06:44 [Note]: FSRAW library version 1.7.1019
08/22/06 13:15:53 [Note]: 7007 0

Code : Tout sélectionner

KASPERSKY ON-LINE SCANNER REPORT
Tuesday, August 22, 2006 1:42:28 PM
Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 22/08/2006
Enregistrements dans la base antivirus Kaspersky : 204397
Paramètres d'analyse
Analyser avec la base antivirus suivante 	standard
Analyser les archives 	vrai
Analyser les bases de messagerie 	vrai
Cible de l'analyse 	Dossiers
C:\
Statistiques de l'analyse
Total d'objets analysés 	77380
Nombre de virus trouvés 	2
Nombre d'objets infectés 	4 / 0
Nombre d'objets suspects 	0
Durée de l'analyse 	00:44:03

Nom de l'objet infecté 	Nom du virus 	Dernière action
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\LocalService\Cookies\index.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\LocalService\ntuser.dat.LOG 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\Ludovic\Application Data\Mozilla\Firefox\Profiles\t9xidddf.default\cert8.db 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\Ludovic\Application Data\Mozilla\Firefox\Profiles\t9xidddf.default\formhistory.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\Ludovic\Application Data\Mozilla\Firefox\Profiles\t9xidddf.default\googlesafebrowsing.db 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\Ludovic\Application Data\Mozilla\Firefox\Profiles\t9xidddf.default\history.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\Ludovic\Application Data\Mozilla\Firefox\Profiles\t9xidddf.default\key3.db 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\Ludovic\Application Data\Mozilla\Firefox\Profiles\t9xidddf.default\parent.lock 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\Ludovic\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\count.jar-f109165-6046c865.zip/BlackBox.class 	Infecté : Exploit.Java.ByteVerify 	ignoré
C:\Documents and Settings\Ludovic\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\count.jar-f109165-6046c865.zip/VerifierBug.class 	Infecté : Exploit.Java.ByteVerify 	ignoré
C:\Documents and Settings\Ludovic\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\count.jar-f109165-6046c865.zip/Beyond.class 	Infecté : Trojan-Downloader.Java.OpenConnection.aa 	ignoré
C:\Documents and Settings\Ludovic\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\count.jar-f109165-6046c865.zip 	ZIP: infecté - 3 	ignoré
C:\Documents and Settings\Ludovic\Cookies\index.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\Ludovic\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\Ludovic\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\Ludovic\Local Settings\Historique\History.IE5\index.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\Ludovic\Local Settings\Historique\History.IE5\MSHist012006082220060823\index.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\Ludovic\Local Settings\Temp\~DF6FFA.tmp 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\Ludovic\Local Settings\Temporary Internet Files\Content.IE5\index.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\Ludovic\NTUSER.DAT 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\Ludovic\ntuser.dat.LOG 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT 	L'objet est verrouillé 	ignoré
C:\Documents and Settings\NetworkService\ntuser.dat.LOG 	L'objet est verrouillé 	ignoré
C:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat 	L'objet est verrouillé 	ignoré
C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db 	L'objet est verrouillé 	ignoré
C:\Program Files\Alwil Software\Avast4\DATA\integ\avast.int 	L'objet est verrouillé 	ignoré
C:\Program Files\Alwil Software\Avast4\DATA\log\nshield.log 	L'objet est verrouillé 	ignoré
C:\System Volume Information\MountPointManagerRemoteDatabase 	L'objet est verrouillé 	ignoré
C:\System Volume Information\_restore{36B4D705-7B75-4765-967E-BC8CF9C3AC2A}\RP311\change.log 	L'objet est verrouillé 	ignoré
C:\WINDOWS\Debug\PASSWD.LOG 	L'objet est verrouillé 	ignoré
C:\WINDOWS\SchedLgU.Txt 	L'objet est verrouillé 	ignoré
C:\WINDOWS\SoftwareDistribution\EventCache\{ED9B92FE-AF3F-433A-90EA-AAC2FCA9D031}.bin 	L'objet est verrouillé 	ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log 	L'objet est verrouillé 	ignoré
C:\WINDOWS\Sti_Trace.log 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\CatRoot2\edb.log 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\CatRoot2\tmp.edb 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\Antivirus.Evt 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\AppEvent.Evt 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\default 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\default.LOG 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\SAM 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\SAM.LOG 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\SecEvent.Evt 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\SECURITY 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\SECURITY.LOG 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\software 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\software.LOG 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\SysEvent.Evt 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\system 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\system.LOG 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\MsDtc\MSDTC.LOG 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\MsDtc\Trace\dtctrace.log 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\msmq\storage\QMLog 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP 	L'objet est verrouillé 	ignoré
C:\WINDOWS\Temp\Perflib_Perfdata_1f8.dat 	L'objet est verrouillé 	ignoré
C:\WINDOWS\Temp\Perflib_Perfdata_704.dat 	L'objet est verrouillé 	ignoré
C:\WINDOWS\Temp\Perflib_Perfdata_894.dat 	L'objet est verrouillé 	ignoré
C:\WINDOWS\wiadebug.log 	L'objet est verrouillé 	ignoré
C:\WINDOWS\wiaservc.log 	L'objet est verrouillé 	ignoré
C:\WINDOWS\WindowsUpdate.log 	L'objet est verrouillé 	ignoré
Analyse terminée.
Malekal_morte
Messages : 112133
Inscription : 10 sept. 2005 13:57

par Malekal_morte »

C'est OK PDT_003



- Nettoye ton ordinateur avec CCleaner : https://www.malekal.com/tutorial_CCleaner.html
- Désactive puis réactive la restauration du système :
- Mode d'emploi Windows XP

Tu peux ensuite désinstaller tous les programmes que l'on a utilisé.

je t'invite à jeter un coup d'oeil à ces liens dans la mesure du possible, essaye de rapporter ton infection :

Comment se protéger des virus : - Tout ceci est résume sur cette page : Sécuriser son ordinateur et connaître les menaces

Rapporte ton infection pour faire condamner les auteurs sur Malware-Complaints. Pour faire entendre notre voix, nous devons être le plus nombreux possibles, alors rapport ton infection :
- Voir les règles de Malware-Complaints
- Enregistre sur le forum à partir du bouton register en haut :
Si tu as plus de 13 ans, choisir : I Agree to these terms and am over or exactly 13 years of age
Si tu as moins, clic sur : I Agree to these terms and am under 13 years of age

Après t'être enregistré, tu as sous forme de liste les types d'infection (Look2Me, Smitfraud, SpywareQuake etc..) : http://www.malwarecomplaints.info/viewf ... da8cee41a4

Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas quelle infection tu as eu, créé un message dans le sujet "Autres infections" conforme au règle du forum (age, ville, département etc..) : http://www.malwarecomplaints.info/viewforum.php?f=10

Si tu as des questions ou des problèmes, n'hésites pas à me demander ici ou à contacter un des modérateurs du forum : Kimberly, AgnesD ou ipl_001.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
ldo

par ldo »

Ok > et merci!
Malekal_morte
Messages : 112133
Inscription : 10 sept. 2005 13:57

par Malekal_morte »

Pas de problème, essaye de rapporter ton infection sur le site que je t'ai donné PDT_019
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »