Faut-il renommer le fichier de rapport ? (il s'appelle mbr par défaut)
Il y a actuellement 135 visiteurs
Lundi 06 Mai 2024
       |
Infecté BOO/Sinowal.A • page 2
Règles du forum
Pour afficher un rapport d'analyse ou un rapport d'infection (HijackThis, OTL, AdwCleaner etc...), veuillez utiliser le système de fichiers joints interne au forum. Seuls les formats les .txt et .log de moins de 1Mo sont acceptés. Pour obtenir de l'aide pour insérer vos fichiers joints, veuillez consulter ce tutoriel
Pour afficher un rapport d'analyse ou un rapport d'infection (HijackThis, OTL, AdwCleaner etc...), veuillez utiliser le système de fichiers joints interne au forum. Seuls les formats les .txt et .log de moins de 1Mo sont acceptés. Pour obtenir de l'aide pour insérer vos fichiers joints, veuillez consulter ce tutoriel
Re: Infecté BOO/Sinowal.A
le 09 Jan 2010 15:23
J'ai commencé a procéder mais ca ne marche pas. Le fichier MBR est sur mon bureau. Quand je double-clic dessus, il génère un rapport sur le bureau. Ensuite, pour etre sur de ne pas me tromper, j'ai meme copier-coller %userprofile%\Bureau\mbr -f. Quand je fais executer, ca me donne ce message d'erreur.
Faut-il renommer le fichier de rapport ? (il s'appelle mbr par défaut)
Faut-il renommer le fichier de rapport ? (il s'appelle mbr par défaut)
- Giles de Mounard
- Visiteur Confirmé
- Messages: 24
- Inscription: 06 Jan 2010 01:23
Re: Infecté BOO/Sinowal.A
le 09 Jan 2010 17:14
Hello,
merci du coup de main AtOm
Pour la fenêtre d'avertissement, rien à craindre tu peux cocher la case et fermer la fenêtre.
pour lancer mbr.exe c'est bizarre, peut être un soucies de variable...
Supprime mbr.exe de ton bureau et re-télécharge le...toujours sur ton bureau (sur la cession Marco)
recommences depuis le début la procédure comme je te l'ai modifié et utilises le copier/coller pour la commande "exécuter" comme tu l'as fais la première fois
cela devrait aller
@++
merci du coup de main AtOm
Pour la fenêtre d'avertissement, rien à craindre tu peux cocher la case et fermer la fenêtre.
pour lancer mbr.exe c'est bizarre, peut être un soucies de variable...
Supprime mbr.exe de ton bureau et re-télécharge le...toujours sur ton bureau (sur la cession Marco)
recommences depuis le début la procédure comme je te l'ai modifié et utilises le copier/coller pour la commande "exécuter" comme tu l'as fais la première fois
> Désactives tes protections Antivirus et antispywares et déconnectes toi d'internet.
pour le disque "c"
> Fais un double-clic sur mbr.exe Un rapport sera généré :mbr.log (ne saute pas cette étape)
> Dans le menu Démarrer > choisies "Exécuter" tapes ( ou copies/colles ) c:\documents and settings\Marco\Bureau\mbr -f
(N'oubliez pas l'espace entre mbr et -f)
> Ensuite re-belotte >> Fais un double-clic sur mbr.exe Un rapport sera généré :mbr.log >> poste le moi stp...
On passe au disque "D" maintenant
> Fais un double-clic sur D:\mbr.exe Un rapport sera généré :mbr.log (ne saute pas cette étape)
> Dans le menu Démarrer > choisies "Exécuter" tapes ( ou copies/colles ) D:\mbr -f
(N'oubliez pas l'espace entre mbr et -f)
> Ensuite re-belotte >> Fais un double-clic sur D:\mbr.exe Un rapport sera généré :mbr.log (cette fois ci le nouveau rapport se trouve à la racine du disque "D:\")>> poste le moi stp...
PS: En postant les deux rapports mbr.exe, précises moi à quel disque appartient chaque rapports (par exemple rapport "Mbr.exe disque C" et "rapport Mbr.exe disque D"
cela devrait aller
@++
-
jeanmimigab - PC-Infopraticien
- Messages: 2986
- Inscription: 29 Nov 2009 12:05
Re: Infecté BOO/Sinowal.A
le 09 Jan 2010 17:56
Yop. Touours la meme fenetre.
Je double clic sur mbr.exe, un rapport se génère sur mon bureau. Ensuite je colle selon la procédure dans la fenetre et je clic sur executer. Toujours le meme message d'erreur. Si je suis je chemin que tu m'a donné (c:\documents and settings\Marco\Bureau\) j'arrive sur mon bureau. Donc, il devrait théoriquement trouver mbr -f par lui meme. Le seul rapport que je puisse t'envoyer pour le C: est le suivant (celui du premier coup):
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
PE file found in sector at 0x02546841 !
Par contre, je me suis permis de faire un essai pour le D:, histoire de voir si j'avais le meme probleme. Ca marche. Alors je ne comprend pas pourquoi ca ne fonctionne pas pour C:. En tout cas, voici le rapport du D:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
PE file found in sector at 0x02546841 !
Il semble etre le meme pour les deux. Peut etre qu'en le mettant a la racine du C:\ cela marcherais. J'attend ta réponse.
Merci
Je double clic sur mbr.exe, un rapport se génère sur mon bureau. Ensuite je colle selon la procédure dans la fenetre et je clic sur executer. Toujours le meme message d'erreur. Si je suis je chemin que tu m'a donné (c:\documents and settings\Marco\Bureau\) j'arrive sur mon bureau. Donc, il devrait théoriquement trouver mbr -f par lui meme. Le seul rapport que je puisse t'envoyer pour le C: est le suivant (celui du premier coup):
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
PE file found in sector at 0x02546841 !
Par contre, je me suis permis de faire un essai pour le D:, histoire de voir si j'avais le meme probleme. Ca marche. Alors je ne comprend pas pourquoi ca ne fonctionne pas pour C:. En tout cas, voici le rapport du D:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
PE file found in sector at 0x02546841 !
Il semble etre le meme pour les deux. Peut etre qu'en le mettant a la racine du C:\ cela marcherais. J'attend ta réponse.
Merci
- Giles de Mounard
- Visiteur Confirmé
- Messages: 24
- Inscription: 06 Jan 2010 01:23
Re: Infecté BOO/Sinowal.A
le 09 Jan 2010 19:09
hello,
je me suis peut être mal fait comprendre ...
tu es sûre de bien faire Menu démarrer >> choisir "exécuter " et copier/coller la commande et en cliquant sur OK comme sur cette capture ??
si oui, je ne vois pas pourquoi ça bloque !
je me suis peut être mal fait comprendre ...
tu es sûre de bien faire Menu démarrer >> choisir "exécuter " et copier/coller la commande et en cliquant sur OK comme sur cette capture ??
si oui, je ne vois pas pourquoi ça bloque !
-
jeanmimigab - PC-Infopraticien
- Messages: 2986
- Inscription: 29 Nov 2009 12:05
Re: Infecté BOO/Sinowal.A
le 09 Jan 2010 20:09
Oh que oui mon ami. C'est pourtant assez simple a exécuter et en plus,je ne comprend pas pourquoi ca ne marche pas sur le C: quand ca marche sur le D:.
Finalement, je suis peut etre condamné a changer de machine. En attendant, a quels danger suis-je exposé ? Et mes fichiers sont-ils récupérables sans danger ?
Finalement, je suis peut etre condamné a changer de machine. En attendant, a quels danger suis-je exposé ? Et mes fichiers sont-ils récupérables sans danger ?
- Giles de Mounard
- Visiteur Confirmé
- Messages: 24
- Inscription: 06 Jan 2010 01:23
Re: Infecté BOO/Sinowal.A
le 09 Jan 2010 20:23
Je viens de faire un test. A partir de C:\, ca marche. Pourquoi le chemin pour ce rendre de la jusqu'au bureau ne marche pas ,,, mystère. Voici les deux rapport.
C:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
PE file found in sector at 0x02546841 !
D:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
PE file found in sector at 0x02546841 !
J'ai fais exactement les étapes comme tu me les avais dites sauf pour le chemin du C: ou j'ai écris C:\ au lieu de C:\documents and settings\Marco\Bureau\mbr -f.
Si ya rien a faire, dit moi a quoi je m'expose.
C:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
PE file found in sector at 0x02546841 !
D:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
PE file found in sector at 0x02546841 !
J'ai fais exactement les étapes comme tu me les avais dites sauf pour le chemin du C: ou j'ai écris C:\ au lieu de C:\documents and settings\Marco\Bureau\mbr -f.
Si ya rien a faire, dit moi a quoi je m'expose.
- Giles de Mounard
- Visiteur Confirmé
- Messages: 24
- Inscription: 06 Jan 2010 01:23
Re: Infecté BOO/Sinowal.A
le 09 Jan 2010 22:03
re,
Comme je te l'ai dit, l'infection n'est plus active...donc tu ne risque pas grand chose, mais la présence de ce fichier.PE m'embête, j'aimerai qu'on le vire
si tu as fait la manipulation en copiant mbr.exe à la racine de c:\ et que tu la lancer avec la commande c:\mbr -f >> alors c'est ok...
Mbr.exe n'a pas réussis à restaurer la MBR des deux disque...
essais cela stp...
/!\ Avant tout, désactives ton antivirus /!\
Télécharges Gmer. (Przemyslaw Gmerek)
ensuite...
Télécharge RootRepeal.zip sur ton Bureau.
Dans la fenêtre "Select Drives", coche le lecteur "C" et "D".
Note: Ce scan peut être relativement long (facilement une heure), ne lances pas d'autres programmes tant qu'il n'est pas finis.
A la fin du scan, un rapport va s'ouvrir, ferme le.
Clique sur "Save report" et enregistres le rapport dans le dossier RootRepeal sous le nom RootRepealn1.txt
Ouvres le menu "File" (en haut à gauche) et cliques sur "Exit" pour fermer le programme.
/!\ Ré-active ton Antivirus /!\
Postes le rapport de RootRepeal ( contenu du fichier C:\RootRepeal\RootRepealn1.txt ).
ensuite répond à ces quelques question stp...
1. est ce que c'est un pc de marque ou bien un pc monté ( assemblé)
2. est ce que tu as le CD de Windows XPpro ou bien tu as des cd de restauration que tu as crées
@++
a quels danger suis-je exposé ?
Comme je te l'ai dit, l'infection n'est plus active...donc tu ne risque pas grand chose, mais la présence de ce fichier.PE m'embête, j'aimerai qu'on le vire
si tu as fait la manipulation en copiant mbr.exe à la racine de c:\ et que tu la lancer avec la commande c:\mbr -f >> alors c'est ok...
Mbr.exe n'a pas réussis à restaurer la MBR des deux disque...
essais cela stp...
/!\ Avant tout, désactives ton antivirus /!\
Télécharges Gmer. (Przemyslaw Gmerek)
- Dézipes-le dans un dossier dédié ou sur ton Bureau.
- Déconnectes toi d'Internet puis fermes tous les programmes.
- Double-clique sur Gmer.exe.
- Clique sur l'onglet Rootkit.
- A droite, coche seulement Files, Services & Registry.
- Coche bien les disque C et D ( toujours à droite)
- Clique maintenant sur Scan.
- Lorsque le scan est terminé, clique sur Copy.
- Ouvre le Bloc-notes puis clique sur le Menu Edition / Coller.
- Le rapport doit alors apparaître.
- Enregistre le fichier sur ton Bureau et poste le contenu ici.
ensuite...
Télécharge RootRepeal.zip sur ton Bureau.
- Crées un nouveau dossier nommé RootRepeal à la racine du disque système (généralement C:\)
- Dézipes l'archive téléchargée dans ce nouveau dossier RootRepeal (Fais un clic droit sur l'archive et choisis "extraire vers" et choisis C:\RootRepeal )
- Fais un double-clic sur Rootrepeal.exe pour le lancer.
- Cliques sur l'onglet "Report" (en bas de la fenêtre) puis sur "Scan".
- Drivers
- Files
- Processes
- SSDT
- Stealth Objects
- Hidden Services
- Shadow SSDT
- Cliques sur "OK"
Dans la fenêtre "Select Drives", coche le lecteur "C" et "D".
Note: Ce scan peut être relativement long (facilement une heure), ne lances pas d'autres programmes tant qu'il n'est pas finis.
A la fin du scan, un rapport va s'ouvrir, ferme le.
Clique sur "Save report" et enregistres le rapport dans le dossier RootRepeal sous le nom RootRepealn1.txt
Ouvres le menu "File" (en haut à gauche) et cliques sur "Exit" pour fermer le programme.
/!\ Ré-active ton Antivirus /!\
Postes le rapport de RootRepeal ( contenu du fichier C:\RootRepeal\RootRepealn1.txt ).
ensuite répond à ces quelques question stp...
1. est ce que c'est un pc de marque ou bien un pc monté ( assemblé)
2. est ce que tu as le CD de Windows XPpro ou bien tu as des cd de restauration que tu as crées
@++
-
jeanmimigab - PC-Infopraticien
- Messages: 2986
- Inscription: 29 Nov 2009 12:05
Re: Infecté BOO/Sinowal.A
le 13 Jan 2010 22:18
Bon, la je ne sais pas si c'est parce que je suis trop con ou que je m'y prend mal. Je me suis pris par 5 fois pour effectuer le scan GMER et il n'y a qu'une fois ou ca semblé donner un rapport mais je n'ai pas pu le copier parce que mon l'écran était gelée. Les autres fois je n'ai eu que ce message.
Voici comment je coche les cases avant de démarrer le scan. SVP me confirmer si c'est ok, je referai un scan.
Merci
Voici comment je coche les cases avant de démarrer le scan. SVP me confirmer si c'est ok, je referai un scan.
Merci
- Giles de Mounard
- Visiteur Confirmé
- Messages: 24
- Inscription: 06 Jan 2010 01:23
Re: Infecté BOO/Sinowal.A
le 14 Jan 2010 06:46
hello,
je te trouve bien sévère avec toi Même, tout ce que l'on fait n'est pas évident, il est possible que Gmer bug sur ton pc car tu t'y prend bien..
Surtout tu dois désactiver ton antivirus, sinon GMER ne fonctionnera pas
quand tu as cette fenêtre, tu cliques sur OK
puis tu coches les case demandés et enfin "scan", une fois le scan fini (il peux durer de une à deux heures) tu clique sur "COPY"(cela n'ouvre pas de rapport, cela permet juste de copier celui ci dans le presse papier)
ensuite tu crées un nouveau document texte et tu cliques à l'intérieur pour choisir "Coller" et le rapport apparait
Si tu n'y arrives pas, ce n'est pas grave, la première fenêtre de GMER est rassurante, passe direct à rootrepeal
@++
je te trouve bien sévère avec toi Même, tout ce que l'on fait n'est pas évident, il est possible que Gmer bug sur ton pc car tu t'y prend bien..
Surtout tu dois désactiver ton antivirus, sinon GMER ne fonctionnera pas
quand tu as cette fenêtre, tu cliques sur OK
puis tu coches les case demandés et enfin "scan", une fois le scan fini (il peux durer de une à deux heures) tu clique sur "COPY"(cela n'ouvre pas de rapport, cela permet juste de copier celui ci dans le presse papier)
ensuite tu crées un nouveau document texte et tu cliques à l'intérieur pour choisir "Coller" et le rapport apparait
Si tu n'y arrives pas, ce n'est pas grave, la première fenêtre de GMER est rassurante, passe direct à rootrepeal
@++
-
jeanmimigab - PC-Infopraticien
- Messages: 2986
- Inscription: 29 Nov 2009 12:05
Re: Infecté BOO/Sinowal.A
le 15 Jan 2010 00:15
Salut, salut.
Bon GMER veut pas marcher sur mon PC. Mais pour RootRepeal ca fonctionne bien. Voici le rapport.
ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time: 2010/01/14 15:33
Program Version: Version 1.3.5.0
Windows Version: Windows XP SP3
==================================================
Drivers
-------------------
Name: dump_atapi.sys
Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys
Address: 0xF6B47000 Size: 98304 File Visible: No Signed: -
Status: -
Name: dump_WMILIB.SYS
Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS
Address: 0xF8A9F000 Size: 8192 File Visible: No Signed: -
Status: -
Name: rootrepeal.sys
Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys
Address: 0xF4CF3000 Size: 49152 File Visible: No Signed: -
Status: -
Hidden/Locked Files
-------------------
Path: C:\hiberfil.sys
Status: Locked to the Windows API!
Path: c:\documents and settings\marco\local settings\temp\~df72ac.tmp
Status: Allocation size mismatch (API: 16384, Raw: 0)
Path: c:\documents and settings\marco\local settings\temp\~df72bb.tmp
Status: Allocation size mismatch (API: 327680, Raw: 16384)
Path: c:\documents and settings\marco\local settings\temp\~dfaa92.tmp
Status: Allocation size mismatch (API: 16384, Raw: 0)
Path: c:\documents and settings\marco\local settings\temp\~dfb3c6.tmp
Status: Allocation size mismatch (API: 262144, Raw: 16384)
SSDT
-------------------
#: 041 Function Name: NtCreateKey
Status: Hooked by "<unknown>" at address 0xf8bc10de
#: 053 Function Name: NtCreateThread
Status: Hooked by "<unknown>" at address 0xf8bc10d4
#: 063 Function Name: NtDeleteKey
Status: Hooked by "<unknown>" at address 0xf8bc10e3
#: 065 Function Name: NtDeleteValueKey
Status: Hooked by "<unknown>" at address 0xf8bc10ed
#: 098 Function Name: NtLoadKey
Status: Hooked by "<unknown>" at address 0xf8bc10f2
#: 122 Function Name: NtOpenProcess
Status: Hooked by "<unknown>" at address 0xf8bc10c0
#: 128 Function Name: NtOpenThread
Status: Hooked by "<unknown>" at address 0xf8bc10c5
#: 193 Function Name: NtReplaceKey
Status: Hooked by "<unknown>" at address 0xf8bc10fc
#: 204 Function Name: NtRestoreKey
Status: Hooked by "<unknown>" at address 0xf8bc10f7
#: 247 Function Name: NtSetValueKey
Status: Hooked by "<unknown>" at address 0xf8bc10e8
#: 257 Function Name: NtTerminateProcess
Status: Hooked by "<unknown>" at address 0xf8bc10cf
==EOF==
Pour ce qui est des questions :
1- Ordinateur monté
2- J'ai le CD XP Pro
Bon GMER veut pas marcher sur mon PC. Mais pour RootRepeal ca fonctionne bien. Voici le rapport.
ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time: 2010/01/14 15:33
Program Version: Version 1.3.5.0
Windows Version: Windows XP SP3
==================================================
Drivers
-------------------
Name: dump_atapi.sys
Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys
Address: 0xF6B47000 Size: 98304 File Visible: No Signed: -
Status: -
Name: dump_WMILIB.SYS
Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS
Address: 0xF8A9F000 Size: 8192 File Visible: No Signed: -
Status: -
Name: rootrepeal.sys
Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys
Address: 0xF4CF3000 Size: 49152 File Visible: No Signed: -
Status: -
Hidden/Locked Files
-------------------
Path: C:\hiberfil.sys
Status: Locked to the Windows API!
Path: c:\documents and settings\marco\local settings\temp\~df72ac.tmp
Status: Allocation size mismatch (API: 16384, Raw: 0)
Path: c:\documents and settings\marco\local settings\temp\~df72bb.tmp
Status: Allocation size mismatch (API: 327680, Raw: 16384)
Path: c:\documents and settings\marco\local settings\temp\~dfaa92.tmp
Status: Allocation size mismatch (API: 16384, Raw: 0)
Path: c:\documents and settings\marco\local settings\temp\~dfb3c6.tmp
Status: Allocation size mismatch (API: 262144, Raw: 16384)
SSDT
-------------------
#: 041 Function Name: NtCreateKey
Status: Hooked by "<unknown>" at address 0xf8bc10de
#: 053 Function Name: NtCreateThread
Status: Hooked by "<unknown>" at address 0xf8bc10d4
#: 063 Function Name: NtDeleteKey
Status: Hooked by "<unknown>" at address 0xf8bc10e3
#: 065 Function Name: NtDeleteValueKey
Status: Hooked by "<unknown>" at address 0xf8bc10ed
#: 098 Function Name: NtLoadKey
Status: Hooked by "<unknown>" at address 0xf8bc10f2
#: 122 Function Name: NtOpenProcess
Status: Hooked by "<unknown>" at address 0xf8bc10c0
#: 128 Function Name: NtOpenThread
Status: Hooked by "<unknown>" at address 0xf8bc10c5
#: 193 Function Name: NtReplaceKey
Status: Hooked by "<unknown>" at address 0xf8bc10fc
#: 204 Function Name: NtRestoreKey
Status: Hooked by "<unknown>" at address 0xf8bc10f7
#: 247 Function Name: NtSetValueKey
Status: Hooked by "<unknown>" at address 0xf8bc10e8
#: 257 Function Name: NtTerminateProcess
Status: Hooked by "<unknown>" at address 0xf8bc10cf
==EOF==
Pour ce qui est des questions :
1- Ordinateur monté
2- J'ai le CD XP Pro
- Giles de Mounard
- Visiteur Confirmé
- Messages: 24
- Inscription: 06 Jan 2010 01:23
Re: Infecté BOO/Sinowal.A
le 15 Jan 2010 18:14
hello,
yep, c'est bon tout ça..
A tout hasard relance MBR.exe et poste moi le rapport, car depuis la version V 1.2.3 il est censé traiter les modification de MBR
Télécharge WGetIA.exe (De Batch_Man) sur ton bureau.
Fais un double-clic dessus pour le lancer, cela va ouvrir une fenêtre du bloc note.
Fais un "copier/coller" de cette citation à l'intérieure de la fenêtre du bloc note.
Fermes la fenêtre du bloc note, et cliques sur "Enregistrer" .
Laisse travailler WGetIA et poste le rapport qui s'ouvre à la fin du scan.
ensuite...
Relance OTL.exe et Fais un "copier/coller" de cette citation à l'intérieure de la fenêtre "Custom scanx/fixes" et cliques sur "RunScan".
Poste le rapport de scan stp...
Et si la MBR n'est pas réparée, on se servira de la console de récupération pour tenter la réparation.
Courage...
yep, c'est bon tout ça..
A tout hasard relance MBR.exe et poste moi le rapport, car depuis la version V 1.2.3 il est censé traiter les modification de MBR
Télécharge WGetIA.exe (De Batch_Man) sur ton bureau.
Fais un double-clic dessus pour le lancer, cela va ouvrir une fenêtre du bloc note.
Fais un "copier/coller" de cette citation à l'intérieure de la fenêtre du bloc note.
C:\dump_WMILIB.SYS /s
C:\dump_atapi.sys /s
Fermes la fenêtre du bloc note, et cliques sur "Enregistrer" .
Laisse travailler WGetIA et poste le rapport qui s'ouvre à la fin du scan.
ensuite...
Relance OTL.exe et Fais un "copier/coller" de cette citation à l'intérieure de la fenêtre "Custom scanx/fixes" et cliques sur "RunScan".
%SYSTEMDRIVE%\dump_WMILIB.SYS /s /md5
%SYSTEMDRIVE%\dump_atapi.sys /s /md5
Poste le rapport de scan stp...
Et si la MBR n'est pas réparée, on se servira de la console de récupération pour tenter la réparation.
Courage...
-
jeanmimigab - PC-Infopraticien
- Messages: 2986
- Inscription: 29 Nov 2009 12:05
Re: Infecté BOO/Sinowal.A
le 19 Jan 2010 00:02
Salut,
Rapport GetIA:
GetIA de Batch_Man
OS: Microsoft Windows XP [version 5.1.2600]
Date: 2010-01-18 # Temps: 17:39:40
Utilisateur: Marco
#----------- Fichiers
********** FIN **********
Rapport OTL:
OTL logfile created on: 2010-01-18 17:52:54 - Run 2
OTL by OldTimer - Version 3.1.21.0 Folder = C:\Documents and Settings\Marco\Bureau
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000C0C | Country: Canada | Language: FRC | Date Format: yyyy-MM-dd
511,00 Mb Total Physical Memory | 287,00 Mb Available Physical Memory | 56,00% Memory free
1,00 Gb Paging File | 1,00 Gb Available in Paging File | 77,00% Paging File free
Paging file location(s): C:\pagefile.sys 768 1536 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files
Drive C: | 18,64 Gb Total Space | 5,05 Gb Free Space | 27,11% Space Free | Partition Type: NTFS
Drive D: | 37,27 Gb Total Space | 12,17 Gb Free Space | 32,66% Space Free | Partition Type: NTFS
Drive E: | 576,76 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
Computer Name: ORDIMAISON
Current User Name: Marco
Logged in as Administrator.
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
========== Processes (SafeList) ==========
PRC - C:\Documents and Settings\Marco\Bureau\OTL.exe (OldTimer Tools)
PRC - C:\Program Files\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Program Files\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation)
PRC - C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\WINDOWS\system32\wscntfy.exe (Microsoft Corporation)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\WINDOWS\system32\devldr32.exe (Creative Technology Ltd.)
========== Modules (SafeList) ==========
MOD - C:\Documents and Settings\Marco\Bureau\OTL.exe (OldTimer Tools)
========== Win32 Services (SafeList) ==========
SRV - (AntiVirService) -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Program Files\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
========== Driver Services (SafeList) ==========
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgntmgr) -- C:\WINDOWS\SYSTEM32\DRIVERS\avgntmgr.sys (Avira GmbH)
DRV - (avgntdd) -- C:\WINDOWS\system32\drivers\avgntdd.sys (Avira GmbH)
DRV - (gameenum) -- C:\WINDOWS\system32\drivers\gameenum.sys (Microsoft Corporation)
DRV - (sisagp) -- C:\WINDOWS\System32\DRIVERS\sisagp.sys (Silicon Integrated Systems Corporation)
DRV - (Secdrv) -- C:\WINDOWS\system32\drivers\secdrv.sys (Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K.)
DRV - (SISNIC) -- C:\WINDOWS\system32\drivers\sisnic.sys (SiS Corporation)
DRV - (nv) -- C:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation)
DRV - (Ptilink) -- C:\WINDOWS\system32\drivers\ptilink.sys (Parallel Technologies, Inc.)
DRV - (ms_mpu401) -- C:\WINDOWS\system32\drivers\msmpu401.sys (Microsoft Corporation)
DRV - (nv4) -- C:\WINDOWS\system32\drivers\nv4.sys (NVIDIA Corporation)
DRV - (SiS7018) Service pour le pilote d'échantillonnage AC'97 (WDM) -- C:\WINDOWS\system32\drivers\ac97sis.sys (Silicon Integrated Systems Corp.)
DRV - (sfman) Pilote du Gestionnaire SoundFont Creative (WDM) -- C:\WINDOWS\system32\drivers\sfmanm.sys (Creative Technology Ltd.)
DRV - (emu10k1) Pilote du Gestionnaire d'interface Creative (WDM) -- C:\WINDOWS\system32\drivers\ctlfacem.sys (Creative Technology Ltd.)
DRV - (emu10k) Creative SB Live! (WDM) -- C:\WINDOWS\system32\drivers\emu10k1m.sys (Creative Technology Ltd.)
DRV - (ctljystk) -- C:\WINDOWS\system32\drivers\ctljystk.sys (Creative Technology Ltd.)
========== Standard Registry (SafeList) ==========
========== Internet Explorer ==========
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ca/
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
O1 HOSTS File: (27 bytes) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (Programme d'aide de l'Assistant de connexion Windows Live) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
O4 - HKLM..\Run: [Adobe ARM] C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Adobe Reader Speed Launcher] C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKCU..\Run: [Pando Media Booster] C:\Program Files\Pando Networks\Media Booster\PMB.exe ()
O4 - Startup: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE (Microsoft Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O15 - HKLM\..Trusted Domains: 1 domain(s) and sub-domain(s) not assigned to a zone.
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 24.200.241.37 24.201.245.77 24.200.243.189
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\wlmailhtml {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Program Files\Windows Live\Mail\mailcomm.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Ma page d'accueil) - About:Home
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009-12-19 09:27:31 | 00,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2000-06-05 14:34:34 | 00,011,942 | R--- | M] () - E:\automenu.apm -- [ CDFS ]
O32 - AutoRun File - [1999-11-03 19:05:00 | 00,172,032 | R--- | M] (Indigo Rose Corporation) - E:\automenu.exe -- [ CDFS ]
O32 - AutoRun File - [2000-06-05 14:02:20 | 00,000,000 | R--D | M] - E:\Autorun -- [ CDFS ]
O32 - AutoRun File - [1999-06-13 14:56:36 | 00,061,440 | R--- | M] () - E:\Autorun.exe -- [ CDFS ]
O32 - AutoRun File - [1999-05-30 14:08:48 | 00,011,478 | R--- | M] () - E:\Autorun.ico -- [ CDFS ]
O32 - AutoRun File - [2000-02-07 10:37:46 | 00,000,074 | R--- | M] () - E:\AUTORUN.INF -- [ CDFS ]
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - comfile [open] -- "%1" %*
O35 - exefile [open] -- "%1" %*
========== Files/Folders - Created Within 30 Days ==========
[2010-01-18 17:39:35 | 00,000,000 | ---D | C] -- C:\WgetIA
[2010-01-14 15:31:56 | 00,000,000 | ---D | C] -- C:\RootRepeal
[2010-01-09 15:24:26 | 00,000,000 | ---D | C] -- C:\Program Files\Bullfrog
[2010-01-09 15:24:16 | 00,305,152 | ---- | C] (InstallShield Software Corporation) -- C:\WINDOWS\IsUninst.exe
[2010-01-09 07:46:21 | 00,000,000 | ---D | C] -- C:\Documents and Settings\Marco\Bureau\Nouveau dossier
[2010-01-08 20:05:58 | 00,000,000 | -HSD | C] -- C:\RECYCLER
[2010-01-08 19:20:27 | 00,000,000 | ---D | C] -- C:\WINDOWS\temp
[2010-01-08 19:07:13 | 00,000,000 | ---D | C] -- C:\Giles
[2010-01-07 19:46:11 | 00,000,000 | RHSD | C] -- C:\cmdcons
[2010-01-07 19:44:51 | 00,161,792 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe
[2010-01-07 19:44:51 | 00,136,704 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe
[2010-01-07 19:44:51 | 00,031,232 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe
[2010-01-07 19:44:50 | 00,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe
[2010-01-07 19:44:39 | 00,000,000 | ---D | C] -- C:\WINDOWS\ERDNT
[2010-01-07 19:44:13 | 00,000,000 | ---D | C] -- C:\Qoobox
[2010-01-07 19:40:56 | 01,445,888 | ---- | C] (Option^Explicit Software Solutions) -- C:\Documents and Settings\Marco\Bureau\WinsockxpFix.exe
[2010-01-06 19:09:43 | 00,513,536 | ---- | C] (OldTimer Tools) -- C:\Documents and Settings\Marco\Bureau\OTL.exe
[2010-01-06 17:02:28 | 00,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010-01-06 17:02:23 | 00,019,160 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010-01-06 17:02:22 | 00,000,000 | ---D | C] -- C:\Program Files\Malwarebytes' Anti-Malware
[2010-01-06 16:46:58 | 00,410,624 | ---- | C] (OldTimer Tools) -- C:\Documents and Settings\Marco\Bureau\TFC.exe
[2010-01-05 17:01:48 | 00,000,000 | ---D | C] -- C:\Documents and Settings\Marco\Application Data\Malwarebytes
[2010-01-05 17:01:36 | 00,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\Malwarebytes
[2010-01-04 19:31:04 | 00,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\Adobe
[2010-01-04 19:30:29 | 00,000,000 | ---D | C] -- C:\Program Files\Fichiers communs\Adobe
[2010-01-04 19:30:29 | 00,000,000 | ---D | C] -- C:\Program Files\Adobe
[2010-01-03 07:33:23 | 00,000,000 | ---D | M] -- C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft
[2010-01-02 17:57:11 | 00,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\Estsoft
[2010-01-02 17:55:53 | 00,000,000 | ---D | C] -- C:\Program Files\ESTsoft
[2010-01-02 17:55:53 | 00,000,000 | ---D | C] -- C:\Documents and Settings\Marco\Application Data\ESTsoft
[2010-01-02 16:18:15 | 00,000,000 | ---D | C] -- C:\Program Files\Microsoft Visual Studio
[2010-01-02 16:18:12 | 00,000,000 | ---D | C] -- C:\Program Files\Fichiers communs\Designer
[2010-01-02 16:17:17 | 00,000,000 | ---D | C] -- C:\WINDOWS\ShellNew
[2010-01-02 16:15:53 | 00,000,000 | ---D | C] -- C:\Documents and Settings\Marco\Application Data\Microsoft Web Folders
[2010-01-02 16:15:53 | 00,000,000 | ---D | C] -- C:\Program Files\Microsoft Office
[2009-12-29 12:42:12 | 00,000,000 | ---D | C] -- C:\Program Files\Guitar Pro 5
[2009-12-28 22:10:44 | 00,356,928 | ---- | C] (SkyLine Inc.) -- C:\WINDOWS\System\SKY16V3C.DLL
[2009-12-28 22:10:32 | 00,000,000 | ---D | C] -- C:\PT
[2009-12-28 22:09:55 | 00,248,064 | ---- | C] (InstallShield Corporation, Inc.) -- C:\WINDOWS\UNINST16.EXE
[2009-12-28 22:09:55 | 00,026,768 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System\CTL3D.DLL
[2009-12-28 22:09:46 | 00,000,000 | ---D | C] -- C:\Documents and Settings\Marco\WINDOWS
[2009-12-28 21:55:10 | 00,000,000 | ---D | C] -- C:\Program Files\Guitar Pro 3
[2009-12-28 09:22:09 | 00,000,000 | ---D | M] -- C:\Documents and Settings\LocalService\Application Data\Adobe
[2009-12-25 09:50:29 | 00,000,000 | ---D | C] -- C:\WINDOWS\G2Runner
[2009-12-24 11:16:40 | 00,026,368 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\usbstor.sys
[2009-12-23 10:12:38 | 00,000,000 | ---D | C] -- C:\Nexon
[2009-12-23 09:36:38 | 00,471,552 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\aclayers.dll
[2009-12-23 09:12:10 | 00,000,000 | -HSD | C] -- C:\Documents and Settings\Marco\IECompatCache
[2009-12-22 20:32:21 | 00,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\Nexon
[2009-12-22 19:07:27 | 00,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\NexonUS
[2009-12-22 18:46:34 | 91,696,8641 | ---- | C] (Nexon) -- C:\Documents and Settings\Marco\Mes documents\CombatArmsSetupV33.exe
[2009-12-22 18:46:05 | 00,000,000 | ---D | C] -- C:\Documents and Settings\Marco\Local Settings\Application Data\PMB Files
[2009-12-22 18:45:56 | 00,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\PMB Files
[2009-12-22 18:45:36 | 00,000,000 | ---D | C] -- C:\Program Files\Pando Networks
[2009-12-21 05:37:16 | 00,000,000 | ---D | C] -- C:\Program Files\DivX
[2009-12-20 11:36:48 | 00,000,000 | ---D | C] -- C:\Program Files\Eidos Interactive
[2009-12-19 09:32:31 | 00,000,000 | ---D | M] -- C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft
[2009-12-19 09:26:59 | 00,000,000 | --SD | M] -- C:\Documents and Settings\NetworkService\Application Data\Microsoft
[2009-12-19 09:26:59 | 00,000,000 | --SD | M] -- C:\Documents and Settings\LocalService\Application Data\Microsoft
========== Files - Modified Within 30 Days ==========
[2010-01-18 17:39:11 | 00,105,694 | ---- | M] () -- C:\Documents and Settings\Marco\Bureau\WGetIA.exe
[2010-01-17 18:27:32 | 00,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010-01-17 18:27:30 | 00,002,262 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010-01-17 18:27:28 | 00,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010-01-17 18:27:26 | 53,639,9872 | -HS- | M] () -- C:\hiberfil.sys
[2010-01-17 18:26:42 | 00,000,184 | -HS- | M] () -- C:\Documents and Settings\Marco\ntuser.ini
[2010-01-17 18:26:41 | 01,572,864 | -H-- | M] () -- C:\Documents and Settings\Marco\NTUSER.DAT
[2010-01-17 18:26:27 | 01,576,216 | -H-- | M] () -- C:\Documents and Settings\Marco\Local Settings\Application Data\IconCache.db
[2010-01-14 15:22:39 | 00,464,491 | ---- | M] () -- C:\Documents and Settings\Marco\Bureau\RootRepeal.zip
[2010-01-11 16:43:56 | 00,284,915 | ---- | M] () -- C:\Documents and Settings\Marco\Bureau\gmer.zip
[2010-01-09 15:26:07 | 00,000,295 | ---- | M] () -- C:\WINDOWS\EReg072.dat
[2010-01-09 11:30:05 | 00,077,312 | ---- | M] () -- C:\mbr.exe
[2010-01-09 11:30:05 | 00,077,312 | ---- | M] () -- C:\Documents and Settings\Marco\Bureau\mbr.exe
[2010-01-08 19:15:31 | 00,000,227 | ---- | M] () -- C:\WINDOWS\system.ini
[2010-01-08 19:15:10 | 00,000,027 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2010-01-07 19:46:17 | 00,000,282 | RHS- | M] () -- C:\boot.ini
[2010-01-07 19:42:11 | 03,819,182 | R--- | M] () -- C:\Documents and Settings\Marco\Bureau\Giles.exe
[2010-01-07 19:41:09 | 01,445,888 | ---- | M] (Option^Explicit Software Solutions) -- C:\Documents and Settings\Marco\Bureau\WinsockxpFix.exe
[2010-01-06 19:09:54 | 00,513,536 | ---- | M] (OldTimer Tools) -- C:\Documents and Settings\Marco\Bureau\OTL.exe
[2010-01-06 17:02:31 | 00,000,696 | ---- | M] () -- C:\Documents and Settings\All Users\Bureau\Malwarebytes' Anti-Malware.lnk
[2010-01-06 16:47:01 | 00,410,624 | ---- | M] (OldTimer Tools) -- C:\Documents and Settings\Marco\Bureau\TFC.exe
[2010-01-06 16:44:32 | 00,037,888 | ---- | M] () -- C:\Documents and Settings\Marco\Mes documents\Re.doc
[2010-01-05 18:44:01 | 00,112,584 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010-01-04 19:31:30 | 00,001,729 | ---- | M] () -- C:\Documents and Settings\All Users\Bureau\Adobe Reader 9.lnk
[2010-01-02 22:09:21 | 00,018,256 | ---- | M] () -- C:\Documents and Settings\Marco\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
[2010-01-02 18:14:49 | 00,000,811 | ---- | M] () -- C:\Documents and Settings\Marco\Bureau\Raccourci vers Teilia.lnk
[2010-01-02 16:20:08 | 00,000,379 | ---- | M] () -- C:\WINDOWS\ODBC.INI
[2010-01-02 16:19:50 | 00,000,059 | ---- | M] () -- C:\WINDOWS\vbaddin.ini
[2010-01-02 16:19:05 | 00,000,615 | ---- | M] () -- C:\WINDOWS\win.ini
[2010-01-02 16:18:47 | 00,001,735 | ---- | M] () -- C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk
[2009-12-30 14:55:24 | 00,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2009-12-30 14:54:58 | 00,019,160 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2009-12-29 12:44:08 | 00,000,619 | ---- | M] () -- C:\Documents and Settings\Marco\Bureau\Guitar Pro 5.lnk
[2009-12-28 21:55:19 | 00,001,465 | ---- | M] () -- C:\Documents and Settings\Marco\Bureau\Guitar Pro 3.lnk
[2009-12-23 10:17:44 | 00,001,497 | ---- | M] () -- C:\Documents and Settings\All Users\Bureau\Combat Arms.lnk
[2009-12-23 09:38:50 | 00,001,393 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2009-12-22 19:05:54 | 91,696,8641 | ---- | M] (Nexon) -- C:\Documents and Settings\Marco\Mes documents\CombatArmsSetupV33.exe
[2009-12-22 18:45:07 | 01,601,224 | ---- | M] () -- C:\Documents and Settings\Marco\Mes documents\CombatArmsDownloaderV33.exe
[2009-12-21 05:38:10 | 00,007,168 | ---- | M] () -- C:\Documents and Settings\Marco\Local Settings\Application Data\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009-12-20 11:36:31 | 00,000,393 | ---- | M] () -- C:\Documents and Settings\Marco\Application Data\Gangsters2Setup.lnk
[2009-12-20 11:36:00 | 00,775,210 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2009-12-20 11:36:00 | 00,367,988 | ---- | M] () -- C:\WINDOWS\System32\perfh00C.dat
[2009-12-20 11:36:00 | 00,311,740 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2009-12-20 11:36:00 | 00,048,820 | ---- | M] () -- C:\WINDOWS\System32\perfc00C.dat
[2009-12-20 11:36:00 | 00,040,128 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
========== Files Created - No Company Name ==========
[2010-01-18 17:39:10 | 00,105,694 | ---- | C] () -- C:\Documents and Settings\Marco\Bureau\WGetIA.exe
[2010-01-14 15:22:38 | 00,464,491 | ---- | C] () -- C:\Documents and Settings\Marco\Bureau\RootRepeal.zip
[2010-01-11 16:44:24 | 00,293,376 | ---- | C] () -- C:\Documents and Settings\Marco\Bureau\gmer.exe
[2010-01-11 16:43:55 | 00,284,915 | ---- | C] () -- C:\Documents and Settings\Marco\Bureau\gmer.zip
[2010-01-09 15:26:07 | 00,000,295 | ---- | C] () -- C:\WINDOWS\EReg072.dat
[2010-01-09 14:09:31 | 00,077,312 | ---- | C] () -- C:\mbr.exe
[2010-01-08 19:23:23 | 00,077,312 | ---- | C] () -- C:\Documents and Settings\Marco\Bureau\mbr.exe
[2010-01-07 19:46:17 | 00,000,212 | ---- | C] () -- C:\Boot.bak
[2010-01-07 19:46:13 | 00,263,488 | ---- | C] () -- C:\cmldr
[2010-01-07 19:44:51 | 00,261,632 | ---- | C] () -- C:\WINDOWS\PEV.exe
[2010-01-07 19:44:51 | 00,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe
[2010-01-07 19:44:51 | 00,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe
[2010-01-07 19:44:51 | 00,077,312 | ---- | C] () -- C:\WINDOWS\MBR.exe
[2010-01-07 19:44:51 | 00,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe
[2010-01-07 19:42:04 | 03,819,182 | R--- | C] () -- C:\Documents and Settings\Marco\Bureau\Giles.exe
[2010-01-06 17:02:31 | 00,000,696 | ---- | C] () -- C:\Documents and Settings\All Users\Bureau\Malwarebytes' Anti-Malware.lnk
[2010-01-06 16:44:31 | 00,037,888 | ---- | C] () -- C:\Documents and Settings\Marco\Mes documents\Re.doc
[2010-01-05 17:40:09 | 02,647,152 | ---- | C] () -- C:\Documents and Settings\Marco\Application Data\install.txt
[2010-01-04 19:31:30 | 00,001,729 | ---- | C] () -- C:\Documents and Settings\All Users\Bureau\Adobe Reader 9.lnk
[2010-01-02 18:14:49 | 00,000,811 | ---- | C] () -- C:\Documents and Settings\Marco\Bureau\Raccourci vers Teilia.lnk
[2010-01-02 16:20:07 | 00,000,379 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2010-01-02 16:18:47 | 00,001,735 | ---- | C] () -- C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk
[2009-12-29 12:44:08 | 00,000,619 | ---- | C] () -- C:\Documents and Settings\Marco\Bureau\Guitar Pro 5.lnk
[2009-12-28 22:10:44 | 00,049,896 | ---- | C] () -- C:\WINDOWS\System\PGTEXT.TTF
[2009-12-28 22:10:44 | 00,047,252 | ---- | C] () -- C:\WINDOWS\System\PGMUS.TTF
[2009-12-28 21:55:19 | 00,001,465 | ---- | C] () -- C:\Documents and Settings\Marco\Bureau\Guitar Pro 3.lnk
[2009-12-22 19:16:16 | 00,001,497 | ---- | C] () -- C:\Documents and Settings\All Users\Bureau\Combat Arms.lnk
[2009-12-22 18:44:58 | 01,601,224 | ---- | C] () -- C:\Documents and Settings\Marco\Mes documents\CombatArmsDownloaderV33.exe
[2009-12-20 11:36:31 | 00,000,393 | ---- | C] () -- C:\Documents and Settings\Marco\Application Data\Gangsters2Setup.lnk
[2009-12-19 11:18:00 | 00,007,168 | ---- | C] () -- C:\Documents and Settings\Marco\Local Settings\Application Data\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2005-08-12 16:57:09 | 03,596,288 | ---- | C] () -- C:\WINDOWS\System32\qt-dx331.dll
[1999-01-22 14:46:58 | 00,065,536 | ---- | C] () -- C:\WINDOWS\System32\MSRTEDIT.DLL
========== Custom Scans ==========
< %SYSTEMDRIVE%\dump_WMILIB.SYS /s /md5 >
< %SYSTEMDRIVE%\dump_atapi.sys /s /md5 >
< End of report >
A toi.
Rapport GetIA:
GetIA de Batch_Man
OS: Microsoft Windows XP [version 5.1.2600]
Date: 2010-01-18 # Temps: 17:39:40
Utilisateur: Marco
#----------- Fichiers
********** FIN **********
Rapport OTL:
OTL logfile created on: 2010-01-18 17:52:54 - Run 2
OTL by OldTimer - Version 3.1.21.0 Folder = C:\Documents and Settings\Marco\Bureau
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000C0C | Country: Canada | Language: FRC | Date Format: yyyy-MM-dd
511,00 Mb Total Physical Memory | 287,00 Mb Available Physical Memory | 56,00% Memory free
1,00 Gb Paging File | 1,00 Gb Available in Paging File | 77,00% Paging File free
Paging file location(s): C:\pagefile.sys 768 1536 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files
Drive C: | 18,64 Gb Total Space | 5,05 Gb Free Space | 27,11% Space Free | Partition Type: NTFS
Drive D: | 37,27 Gb Total Space | 12,17 Gb Free Space | 32,66% Space Free | Partition Type: NTFS
Drive E: | 576,76 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
Computer Name: ORDIMAISON
Current User Name: Marco
Logged in as Administrator.
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
========== Processes (SafeList) ==========
PRC - C:\Documents and Settings\Marco\Bureau\OTL.exe (OldTimer Tools)
PRC - C:\Program Files\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Program Files\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation)
PRC - C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\WINDOWS\system32\wscntfy.exe (Microsoft Corporation)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\WINDOWS\system32\devldr32.exe (Creative Technology Ltd.)
========== Modules (SafeList) ==========
MOD - C:\Documents and Settings\Marco\Bureau\OTL.exe (OldTimer Tools)
========== Win32 Services (SafeList) ==========
SRV - (AntiVirService) -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Program Files\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
========== Driver Services (SafeList) ==========
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgntmgr) -- C:\WINDOWS\SYSTEM32\DRIVERS\avgntmgr.sys (Avira GmbH)
DRV - (avgntdd) -- C:\WINDOWS\system32\drivers\avgntdd.sys (Avira GmbH)
DRV - (gameenum) -- C:\WINDOWS\system32\drivers\gameenum.sys (Microsoft Corporation)
DRV - (sisagp) -- C:\WINDOWS\System32\DRIVERS\sisagp.sys (Silicon Integrated Systems Corporation)
DRV - (Secdrv) -- C:\WINDOWS\system32\drivers\secdrv.sys (Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K.)
DRV - (SISNIC) -- C:\WINDOWS\system32\drivers\sisnic.sys (SiS Corporation)
DRV - (nv) -- C:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation)
DRV - (Ptilink) -- C:\WINDOWS\system32\drivers\ptilink.sys (Parallel Technologies, Inc.)
DRV - (ms_mpu401) -- C:\WINDOWS\system32\drivers\msmpu401.sys (Microsoft Corporation)
DRV - (nv4) -- C:\WINDOWS\system32\drivers\nv4.sys (NVIDIA Corporation)
DRV - (SiS7018) Service pour le pilote d'échantillonnage AC'97 (WDM) -- C:\WINDOWS\system32\drivers\ac97sis.sys (Silicon Integrated Systems Corp.)
DRV - (sfman) Pilote du Gestionnaire SoundFont Creative (WDM) -- C:\WINDOWS\system32\drivers\sfmanm.sys (Creative Technology Ltd.)
DRV - (emu10k1) Pilote du Gestionnaire d'interface Creative (WDM) -- C:\WINDOWS\system32\drivers\ctlfacem.sys (Creative Technology Ltd.)
DRV - (emu10k) Creative SB Live! (WDM) -- C:\WINDOWS\system32\drivers\emu10k1m.sys (Creative Technology Ltd.)
DRV - (ctljystk) -- C:\WINDOWS\system32\drivers\ctljystk.sys (Creative Technology Ltd.)
========== Standard Registry (SafeList) ==========
========== Internet Explorer ==========
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ca/
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
O1 HOSTS File: (27 bytes) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (Programme d'aide de l'Assistant de connexion Windows Live) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
O4 - HKLM..\Run: [Adobe ARM] C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Adobe Reader Speed Launcher] C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKCU..\Run: [Pando Media Booster] C:\Program Files\Pando Networks\Media Booster\PMB.exe ()
O4 - Startup: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE (Microsoft Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O15 - HKLM\..Trusted Domains: 1 domain(s) and sub-domain(s) not assigned to a zone.
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 24.200.241.37 24.201.245.77 24.200.243.189
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\wlmailhtml {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Program Files\Windows Live\Mail\mailcomm.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Ma page d'accueil) - About:Home
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009-12-19 09:27:31 | 00,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2000-06-05 14:34:34 | 00,011,942 | R--- | M] () - E:\automenu.apm -- [ CDFS ]
O32 - AutoRun File - [1999-11-03 19:05:00 | 00,172,032 | R--- | M] (Indigo Rose Corporation) - E:\automenu.exe -- [ CDFS ]
O32 - AutoRun File - [2000-06-05 14:02:20 | 00,000,000 | R--D | M] - E:\Autorun -- [ CDFS ]
O32 - AutoRun File - [1999-06-13 14:56:36 | 00,061,440 | R--- | M] () - E:\Autorun.exe -- [ CDFS ]
O32 - AutoRun File - [1999-05-30 14:08:48 | 00,011,478 | R--- | M] () - E:\Autorun.ico -- [ CDFS ]
O32 - AutoRun File - [2000-02-07 10:37:46 | 00,000,074 | R--- | M] () - E:\AUTORUN.INF -- [ CDFS ]
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - comfile [open] -- "%1" %*
O35 - exefile [open] -- "%1" %*
========== Files/Folders - Created Within 30 Days ==========
[2010-01-18 17:39:35 | 00,000,000 | ---D | C] -- C:\WgetIA
[2010-01-14 15:31:56 | 00,000,000 | ---D | C] -- C:\RootRepeal
[2010-01-09 15:24:26 | 00,000,000 | ---D | C] -- C:\Program Files\Bullfrog
[2010-01-09 15:24:16 | 00,305,152 | ---- | C] (InstallShield Software Corporation) -- C:\WINDOWS\IsUninst.exe
[2010-01-09 07:46:21 | 00,000,000 | ---D | C] -- C:\Documents and Settings\Marco\Bureau\Nouveau dossier
[2010-01-08 20:05:58 | 00,000,000 | -HSD | C] -- C:\RECYCLER
[2010-01-08 19:20:27 | 00,000,000 | ---D | C] -- C:\WINDOWS\temp
[2010-01-08 19:07:13 | 00,000,000 | ---D | C] -- C:\Giles
[2010-01-07 19:46:11 | 00,000,000 | RHSD | C] -- C:\cmdcons
[2010-01-07 19:44:51 | 00,161,792 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe
[2010-01-07 19:44:51 | 00,136,704 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe
[2010-01-07 19:44:51 | 00,031,232 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe
[2010-01-07 19:44:50 | 00,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe
[2010-01-07 19:44:39 | 00,000,000 | ---D | C] -- C:\WINDOWS\ERDNT
[2010-01-07 19:44:13 | 00,000,000 | ---D | C] -- C:\Qoobox
[2010-01-07 19:40:56 | 01,445,888 | ---- | C] (Option^Explicit Software Solutions) -- C:\Documents and Settings\Marco\Bureau\WinsockxpFix.exe
[2010-01-06 19:09:43 | 00,513,536 | ---- | C] (OldTimer Tools) -- C:\Documents and Settings\Marco\Bureau\OTL.exe
[2010-01-06 17:02:28 | 00,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010-01-06 17:02:23 | 00,019,160 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010-01-06 17:02:22 | 00,000,000 | ---D | C] -- C:\Program Files\Malwarebytes' Anti-Malware
[2010-01-06 16:46:58 | 00,410,624 | ---- | C] (OldTimer Tools) -- C:\Documents and Settings\Marco\Bureau\TFC.exe
[2010-01-05 17:01:48 | 00,000,000 | ---D | C] -- C:\Documents and Settings\Marco\Application Data\Malwarebytes
[2010-01-05 17:01:36 | 00,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\Malwarebytes
[2010-01-04 19:31:04 | 00,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\Adobe
[2010-01-04 19:30:29 | 00,000,000 | ---D | C] -- C:\Program Files\Fichiers communs\Adobe
[2010-01-04 19:30:29 | 00,000,000 | ---D | C] -- C:\Program Files\Adobe
[2010-01-03 07:33:23 | 00,000,000 | ---D | M] -- C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft
[2010-01-02 17:57:11 | 00,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\Estsoft
[2010-01-02 17:55:53 | 00,000,000 | ---D | C] -- C:\Program Files\ESTsoft
[2010-01-02 17:55:53 | 00,000,000 | ---D | C] -- C:\Documents and Settings\Marco\Application Data\ESTsoft
[2010-01-02 16:18:15 | 00,000,000 | ---D | C] -- C:\Program Files\Microsoft Visual Studio
[2010-01-02 16:18:12 | 00,000,000 | ---D | C] -- C:\Program Files\Fichiers communs\Designer
[2010-01-02 16:17:17 | 00,000,000 | ---D | C] -- C:\WINDOWS\ShellNew
[2010-01-02 16:15:53 | 00,000,000 | ---D | C] -- C:\Documents and Settings\Marco\Application Data\Microsoft Web Folders
[2010-01-02 16:15:53 | 00,000,000 | ---D | C] -- C:\Program Files\Microsoft Office
[2009-12-29 12:42:12 | 00,000,000 | ---D | C] -- C:\Program Files\Guitar Pro 5
[2009-12-28 22:10:44 | 00,356,928 | ---- | C] (SkyLine Inc.) -- C:\WINDOWS\System\SKY16V3C.DLL
[2009-12-28 22:10:32 | 00,000,000 | ---D | C] -- C:\PT
[2009-12-28 22:09:55 | 00,248,064 | ---- | C] (InstallShield Corporation, Inc.) -- C:\WINDOWS\UNINST16.EXE
[2009-12-28 22:09:55 | 00,026,768 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System\CTL3D.DLL
[2009-12-28 22:09:46 | 00,000,000 | ---D | C] -- C:\Documents and Settings\Marco\WINDOWS
[2009-12-28 21:55:10 | 00,000,000 | ---D | C] -- C:\Program Files\Guitar Pro 3
[2009-12-28 09:22:09 | 00,000,000 | ---D | M] -- C:\Documents and Settings\LocalService\Application Data\Adobe
[2009-12-25 09:50:29 | 00,000,000 | ---D | C] -- C:\WINDOWS\G2Runner
[2009-12-24 11:16:40 | 00,026,368 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\usbstor.sys
[2009-12-23 10:12:38 | 00,000,000 | ---D | C] -- C:\Nexon
[2009-12-23 09:36:38 | 00,471,552 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\aclayers.dll
[2009-12-23 09:12:10 | 00,000,000 | -HSD | C] -- C:\Documents and Settings\Marco\IECompatCache
[2009-12-22 20:32:21 | 00,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\Nexon
[2009-12-22 19:07:27 | 00,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\NexonUS
[2009-12-22 18:46:34 | 91,696,8641 | ---- | C] (Nexon) -- C:\Documents and Settings\Marco\Mes documents\CombatArmsSetupV33.exe
[2009-12-22 18:46:05 | 00,000,000 | ---D | C] -- C:\Documents and Settings\Marco\Local Settings\Application Data\PMB Files
[2009-12-22 18:45:56 | 00,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\PMB Files
[2009-12-22 18:45:36 | 00,000,000 | ---D | C] -- C:\Program Files\Pando Networks
[2009-12-21 05:37:16 | 00,000,000 | ---D | C] -- C:\Program Files\DivX
[2009-12-20 11:36:48 | 00,000,000 | ---D | C] -- C:\Program Files\Eidos Interactive
[2009-12-19 09:32:31 | 00,000,000 | ---D | M] -- C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft
[2009-12-19 09:26:59 | 00,000,000 | --SD | M] -- C:\Documents and Settings\NetworkService\Application Data\Microsoft
[2009-12-19 09:26:59 | 00,000,000 | --SD | M] -- C:\Documents and Settings\LocalService\Application Data\Microsoft
========== Files - Modified Within 30 Days ==========
[2010-01-18 17:39:11 | 00,105,694 | ---- | M] () -- C:\Documents and Settings\Marco\Bureau\WGetIA.exe
[2010-01-17 18:27:32 | 00,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010-01-17 18:27:30 | 00,002,262 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010-01-17 18:27:28 | 00,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010-01-17 18:27:26 | 53,639,9872 | -HS- | M] () -- C:\hiberfil.sys
[2010-01-17 18:26:42 | 00,000,184 | -HS- | M] () -- C:\Documents and Settings\Marco\ntuser.ini
[2010-01-17 18:26:41 | 01,572,864 | -H-- | M] () -- C:\Documents and Settings\Marco\NTUSER.DAT
[2010-01-17 18:26:27 | 01,576,216 | -H-- | M] () -- C:\Documents and Settings\Marco\Local Settings\Application Data\IconCache.db
[2010-01-14 15:22:39 | 00,464,491 | ---- | M] () -- C:\Documents and Settings\Marco\Bureau\RootRepeal.zip
[2010-01-11 16:43:56 | 00,284,915 | ---- | M] () -- C:\Documents and Settings\Marco\Bureau\gmer.zip
[2010-01-09 15:26:07 | 00,000,295 | ---- | M] () -- C:\WINDOWS\EReg072.dat
[2010-01-09 11:30:05 | 00,077,312 | ---- | M] () -- C:\mbr.exe
[2010-01-09 11:30:05 | 00,077,312 | ---- | M] () -- C:\Documents and Settings\Marco\Bureau\mbr.exe
[2010-01-08 19:15:31 | 00,000,227 | ---- | M] () -- C:\WINDOWS\system.ini
[2010-01-08 19:15:10 | 00,000,027 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2010-01-07 19:46:17 | 00,000,282 | RHS- | M] () -- C:\boot.ini
[2010-01-07 19:42:11 | 03,819,182 | R--- | M] () -- C:\Documents and Settings\Marco\Bureau\Giles.exe
[2010-01-07 19:41:09 | 01,445,888 | ---- | M] (Option^Explicit Software Solutions) -- C:\Documents and Settings\Marco\Bureau\WinsockxpFix.exe
[2010-01-06 19:09:54 | 00,513,536 | ---- | M] (OldTimer Tools) -- C:\Documents and Settings\Marco\Bureau\OTL.exe
[2010-01-06 17:02:31 | 00,000,696 | ---- | M] () -- C:\Documents and Settings\All Users\Bureau\Malwarebytes' Anti-Malware.lnk
[2010-01-06 16:47:01 | 00,410,624 | ---- | M] (OldTimer Tools) -- C:\Documents and Settings\Marco\Bureau\TFC.exe
[2010-01-06 16:44:32 | 00,037,888 | ---- | M] () -- C:\Documents and Settings\Marco\Mes documents\Re.doc
[2010-01-05 18:44:01 | 00,112,584 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010-01-04 19:31:30 | 00,001,729 | ---- | M] () -- C:\Documents and Settings\All Users\Bureau\Adobe Reader 9.lnk
[2010-01-02 22:09:21 | 00,018,256 | ---- | M] () -- C:\Documents and Settings\Marco\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
[2010-01-02 18:14:49 | 00,000,811 | ---- | M] () -- C:\Documents and Settings\Marco\Bureau\Raccourci vers Teilia.lnk
[2010-01-02 16:20:08 | 00,000,379 | ---- | M] () -- C:\WINDOWS\ODBC.INI
[2010-01-02 16:19:50 | 00,000,059 | ---- | M] () -- C:\WINDOWS\vbaddin.ini
[2010-01-02 16:19:05 | 00,000,615 | ---- | M] () -- C:\WINDOWS\win.ini
[2010-01-02 16:18:47 | 00,001,735 | ---- | M] () -- C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk
[2009-12-30 14:55:24 | 00,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2009-12-30 14:54:58 | 00,019,160 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2009-12-29 12:44:08 | 00,000,619 | ---- | M] () -- C:\Documents and Settings\Marco\Bureau\Guitar Pro 5.lnk
[2009-12-28 21:55:19 | 00,001,465 | ---- | M] () -- C:\Documents and Settings\Marco\Bureau\Guitar Pro 3.lnk
[2009-12-23 10:17:44 | 00,001,497 | ---- | M] () -- C:\Documents and Settings\All Users\Bureau\Combat Arms.lnk
[2009-12-23 09:38:50 | 00,001,393 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2009-12-22 19:05:54 | 91,696,8641 | ---- | M] (Nexon) -- C:\Documents and Settings\Marco\Mes documents\CombatArmsSetupV33.exe
[2009-12-22 18:45:07 | 01,601,224 | ---- | M] () -- C:\Documents and Settings\Marco\Mes documents\CombatArmsDownloaderV33.exe
[2009-12-21 05:38:10 | 00,007,168 | ---- | M] () -- C:\Documents and Settings\Marco\Local Settings\Application Data\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009-12-20 11:36:31 | 00,000,393 | ---- | M] () -- C:\Documents and Settings\Marco\Application Data\Gangsters2Setup.lnk
[2009-12-20 11:36:00 | 00,775,210 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2009-12-20 11:36:00 | 00,367,988 | ---- | M] () -- C:\WINDOWS\System32\perfh00C.dat
[2009-12-20 11:36:00 | 00,311,740 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2009-12-20 11:36:00 | 00,048,820 | ---- | M] () -- C:\WINDOWS\System32\perfc00C.dat
[2009-12-20 11:36:00 | 00,040,128 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
========== Files Created - No Company Name ==========
[2010-01-18 17:39:10 | 00,105,694 | ---- | C] () -- C:\Documents and Settings\Marco\Bureau\WGetIA.exe
[2010-01-14 15:22:38 | 00,464,491 | ---- | C] () -- C:\Documents and Settings\Marco\Bureau\RootRepeal.zip
[2010-01-11 16:44:24 | 00,293,376 | ---- | C] () -- C:\Documents and Settings\Marco\Bureau\gmer.exe
[2010-01-11 16:43:55 | 00,284,915 | ---- | C] () -- C:\Documents and Settings\Marco\Bureau\gmer.zip
[2010-01-09 15:26:07 | 00,000,295 | ---- | C] () -- C:\WINDOWS\EReg072.dat
[2010-01-09 14:09:31 | 00,077,312 | ---- | C] () -- C:\mbr.exe
[2010-01-08 19:23:23 | 00,077,312 | ---- | C] () -- C:\Documents and Settings\Marco\Bureau\mbr.exe
[2010-01-07 19:46:17 | 00,000,212 | ---- | C] () -- C:\Boot.bak
[2010-01-07 19:46:13 | 00,263,488 | ---- | C] () -- C:\cmldr
[2010-01-07 19:44:51 | 00,261,632 | ---- | C] () -- C:\WINDOWS\PEV.exe
[2010-01-07 19:44:51 | 00,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe
[2010-01-07 19:44:51 | 00,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe
[2010-01-07 19:44:51 | 00,077,312 | ---- | C] () -- C:\WINDOWS\MBR.exe
[2010-01-07 19:44:51 | 00,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe
[2010-01-07 19:42:04 | 03,819,182 | R--- | C] () -- C:\Documents and Settings\Marco\Bureau\Giles.exe
[2010-01-06 17:02:31 | 00,000,696 | ---- | C] () -- C:\Documents and Settings\All Users\Bureau\Malwarebytes' Anti-Malware.lnk
[2010-01-06 16:44:31 | 00,037,888 | ---- | C] () -- C:\Documents and Settings\Marco\Mes documents\Re.doc
[2010-01-05 17:40:09 | 02,647,152 | ---- | C] () -- C:\Documents and Settings\Marco\Application Data\install.txt
[2010-01-04 19:31:30 | 00,001,729 | ---- | C] () -- C:\Documents and Settings\All Users\Bureau\Adobe Reader 9.lnk
[2010-01-02 18:14:49 | 00,000,811 | ---- | C] () -- C:\Documents and Settings\Marco\Bureau\Raccourci vers Teilia.lnk
[2010-01-02 16:20:07 | 00,000,379 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2010-01-02 16:18:47 | 00,001,735 | ---- | C] () -- C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk
[2009-12-29 12:44:08 | 00,000,619 | ---- | C] () -- C:\Documents and Settings\Marco\Bureau\Guitar Pro 5.lnk
[2009-12-28 22:10:44 | 00,049,896 | ---- | C] () -- C:\WINDOWS\System\PGTEXT.TTF
[2009-12-28 22:10:44 | 00,047,252 | ---- | C] () -- C:\WINDOWS\System\PGMUS.TTF
[2009-12-28 21:55:19 | 00,001,465 | ---- | C] () -- C:\Documents and Settings\Marco\Bureau\Guitar Pro 3.lnk
[2009-12-22 19:16:16 | 00,001,497 | ---- | C] () -- C:\Documents and Settings\All Users\Bureau\Combat Arms.lnk
[2009-12-22 18:44:58 | 01,601,224 | ---- | C] () -- C:\Documents and Settings\Marco\Mes documents\CombatArmsDownloaderV33.exe
[2009-12-20 11:36:31 | 00,000,393 | ---- | C] () -- C:\Documents and Settings\Marco\Application Data\Gangsters2Setup.lnk
[2009-12-19 11:18:00 | 00,007,168 | ---- | C] () -- C:\Documents and Settings\Marco\Local Settings\Application Data\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2005-08-12 16:57:09 | 03,596,288 | ---- | C] () -- C:\WINDOWS\System32\qt-dx331.dll
[1999-01-22 14:46:58 | 00,065,536 | ---- | C] () -- C:\WINDOWS\System32\MSRTEDIT.DLL
========== Custom Scans ==========
< %SYSTEMDRIVE%\dump_WMILIB.SYS /s /md5 >
< %SYSTEMDRIVE%\dump_atapi.sys /s /md5 >
< End of report >
A toi.
- Giles de Mounard
- Visiteur Confirmé
- Messages: 24
- Inscription: 06 Jan 2010 01:23
Re: Infecté BOO/Sinowal.A
le 19 Jan 2010 17:40
hello,
bon, on progresse...
On vas re-contrôler tes deux MBR...
suis cette procédure...
> Désactives tes protections Antivirus et antispywares et déconnectes toi d'internet.
pour le disque "c"
> Fais un double-clic sur mbr.exe Un rapport sera généré :mbr.log (ne saute pas cette étape)
> ouvre le rapport et si la MBR est saine tu obtiendra ce rapport
On passe au disque "D" maintenant
> Fais un double-clic sur D:\mbr.exe Un rapport sera généré :mbr.log (ne saute pas cette étape)
> ouvre le rapport et si la MBR est saine tu obtiendra ce rapport
Par contre si tu obtient les mêmes rapports que ces derniers jours, c'est que ce n'est pas bon...donc fais cela...
on va tenter une restauration manuelle de ta MBR...
Démarrer la console de récupération avec le CD d'XP >>> méthode <<<
Ensuite restaure ta MBR >>> méthode <<<
ATTENTION: Pour ne pas te tromper car à la lecture de l'article, il y a risque de confusion:
Les deux commandes a taper sont:
fixmbr \device\harddisk0 c'est pour le disque "C:"
fixmbr \device\harddisk1 c'est pour le disque "D:"
une fois cela fait >> quitte la console de récupération et redémarre ton pc normalement...
ensuite relance MBR.exe pour les Disques c et d et le rapport devrait ressemblé à celui que je t'ai mis plus haut
bon courage
bon, on progresse...
On vas re-contrôler tes deux MBR...
suis cette procédure...
> Désactives tes protections Antivirus et antispywares et déconnectes toi d'internet.
pour le disque "c"
> Fais un double-clic sur mbr.exe Un rapport sera généré :mbr.log (ne saute pas cette étape)
> ouvre le rapport et si la MBR est saine tu obtiendra ce rapport
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
On passe au disque "D" maintenant
> Fais un double-clic sur D:\mbr.exe Un rapport sera généré :mbr.log (ne saute pas cette étape)
> ouvre le rapport et si la MBR est saine tu obtiendra ce rapport
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
Par contre si tu obtient les mêmes rapports que ces derniers jours, c'est que ce n'est pas bon...donc fais cela...
on va tenter une restauration manuelle de ta MBR...
Démarrer la console de récupération avec le CD d'XP >>> méthode <<<
Ensuite restaure ta MBR >>> méthode <<<
ATTENTION: Pour ne pas te tromper car à la lecture de l'article, il y a risque de confusion:
Les deux commandes a taper sont:
fixmbr \device\harddisk0
fixmbr \device\harddisk1
Note que pour les deux commandes il y a un espace entre fixmbr et \device
fixmbr \device\harddisk0 c'est pour le disque "C:"
fixmbr \device\harddisk1 c'est pour le disque "D:"
une fois cela fait >> quitte la console de récupération et redémarre ton pc normalement...
ensuite relance MBR.exe pour les Disques c et d et le rapport devrait ressemblé à celui que je t'ai mis plus haut
bon courage
-
jeanmimigab - PC-Infopraticien
- Messages: 2986
- Inscription: 29 Nov 2009 12:05
Re: Infecté BOO/Sinowal.A
le 24 Jan 2010 21:13
Bon, la mon ca va pas bien mon affaire. J'ai essayé avec la console de récupération et je suis incapable de taper les commandes. Ce sapré signe '' \ '' je ne le trouve pas parce que certaines touches ont changé de place. Exmple, mon '' m '' n'est plus a sa place. Il est a la place de '' ; ''. Et comme je ne peut pas faire de copier coller, je suis un peu fourré.
- Giles de Mounard
- Visiteur Confirmé
- Messages: 24
- Inscription: 06 Jan 2010 01:23
Re: Infecté BOO/Sinowal.A
le 24 Jan 2010 21:49
hello,
tu es sûrement en querty avec ta console.
Fais attention vérifies le clavier numérique n'est par verrouillé et si la touche "MAJ" n'est pas active.
Sert toi de cette correspondance pour les claviers
bon courage
tu es sûrement en querty avec ta console.
Fais attention vérifies le clavier numérique n'est par verrouillé et si la touche "MAJ" n'est pas active.
Sert toi de cette correspondance pour les claviers
bon courage
-
jeanmimigab - PC-Infopraticien
- Messages: 2986
- Inscription: 29 Nov 2009 12:05
Sujets similaires
[Résolu] Ordinateur infecté par : Program:Win32/Uwasson.A!mlBonjour, Je me permet de vous contacter car je n'arrive pas à me débarrasser d'un virus sur mon ordinateur, je n'arrive pas à la supprimer ou mettre en quarantaine.Si j'ai bien compris le fichier porteur n'est plus sur l'ordinateur mais la menace est toujours là.Merci de votre aide.
Réponses: 7
[Réglé] Ordinateur Infecté par chainthorn.comBonsoir, je me suis apercu que l'ordinateur de mon père était affecter via le navigateur google chrome d'un logiciel malveillant nomé chainthorn.comCelui controle si j'ai bien compris ce que mon père fait sur le navigateur et peut etre en dehors , il lui fait aussi apparaitre des pop-ups et à fait p ...
Réponses: 24
infecté par bing bar, et plein d'autres problèmesbonjour à tous,je m'appelles jonathan, 27 ans,en plus des trois ou quatre problèmes usb sur les deux pc depuis des mois,je suis depuis cette nuit infecté par la barre d'outils "bing bar", etwondershare filmora s'est mal installé, je l'ai désinstallé par revo, puis en reinstallant filmora v ...
Réponses: 26
[Résolu] Infecté?Bonjour a tous !Voila j'ai un collègue qui m'a passé son ordi et je voulais voir avec vous si il est infecté enfin si il reste encore des bestioles.J'ai passé Malwarebyte et Zhpcleaner qui ont trouvé plein de chose..ZhpDiagZHPDiag.txtMerci pour votre aide !
Réponses: 35
Samsung galaxy book infecté + périphériques non reconnus + 2Shortcut.txtAddition.txtFRST.txtadlice diag clean rapport 22_01_2019.txtBonjour à tous,Mon Samsung Galaxy Book (PC Tablette) est lent depuis l'installation de Adlice Diag, DriverFighter & iObit Software Updater,-2 Go d'espace libre sur 107 Go sur C:/-Plein d'infections-Périphériques non-reconnus ...
Réponses: 2
Virus ayant infecté mon ordinateurBonjour, j'ai actuellement de nombreuses publicités s'affichant lorsque je suis sur internet. De plus lorsque je clique, des pages supplémentaires s'affichent. Par exemple des informations, tel que de commentaires sur youtube, ne s'affiche plus. J'ai aussi une version de bitdefender qui a expirée. C ...
Réponses: 12
Qui est en ligne
Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 5 invités
|
.: Nous contacter :: Flux RSS :: Données personnelles :. |