Des infections
Dernière réponse : dans Sécurité
Bonjour!
Je suis amené à créer un sujet ici, car je suis depuis quelques temps infecté par des virus. Après avoir été infecté une première fois l'autre jour suite à l'installation d'un jeu par mon frère il y a quelques temps, j'ai laissé un peu couler l'eau sous les ponts (et dieu sait qu'il en tombe en ce moment ^^), mais je crois qu'un autre (voir plusieurs sans doutes), se sont rajoutés par-dessus depuis que j'ai installé un logiciel "pirate" l'autre jour...
La première infection, me demande de cliquer sur OK plusieurs fois lorsque je clique droit sur des dossiers, quand je veux ouvrir la corbeille, ce genre de choses...
La deuxième me redirige parfois vers de fausses pages internet lorsque je surfe. Ex : Je suis sur la Fnac, une deuxième page Fnac s'ouvre, avec une adresse similaire mais modifiée, évidemment je me garde bien de commander en ces conditions... J'ai d'ailleurs effacé mes mots de passe préenregistrés, sait-on jamais, et encore rien ne me dit qu'ils ne sont pas utilisés :s
Donc j'aimerais tout simplement trouver une solution pour tout réparer tout ça![:)]( ":)")
En gros, je fais les bêtises, et vous m'aidez à les rattraper... J'en suis désolé ![:/]( ":/")
Je me sens en fait pas trop chez moi sur mon ordi en ce moment, et j'avoue que c'est très désagréable :s
Mon antivirus (AVG Free) ne détecte rien...
Au passage, je tiens à vous remercier pour vos pages de conseils sur la sécurité que j'ai commencées de lire (j'ai pas énormément de temps en ce moment, révisions de bac oblige), que je compte lire assez rapidement pour enfin adopter des logiciels et habitudes de surf efficaces...
Par avance, merci!
Je suis amené à créer un sujet ici, car je suis depuis quelques temps infecté par des virus. Après avoir été infecté une première fois l'autre jour suite à l'installation d'un jeu par mon frère il y a quelques temps, j'ai laissé un peu couler l'eau sous les ponts (et dieu sait qu'il en tombe en ce moment ^^), mais je crois qu'un autre (voir plusieurs sans doutes), se sont rajoutés par-dessus depuis que j'ai installé un logiciel "pirate" l'autre jour...
La première infection, me demande de cliquer sur OK plusieurs fois lorsque je clique droit sur des dossiers, quand je veux ouvrir la corbeille, ce genre de choses...
La deuxième me redirige parfois vers de fausses pages internet lorsque je surfe. Ex : Je suis sur la Fnac, une deuxième page Fnac s'ouvre, avec une adresse similaire mais modifiée, évidemment je me garde bien de commander en ces conditions... J'ai d'ailleurs effacé mes mots de passe préenregistrés, sait-on jamais, et encore rien ne me dit qu'ils ne sont pas utilisés :s
Donc j'aimerais tout simplement trouver une solution pour tout réparer tout ça
En gros, je fais les bêtises, et vous m'aidez à les rattraper... J'en suis désolé 
Je me sens en fait pas trop chez moi sur mon ordi en ce moment, et j'avoue que c'est très désagréable :sMon antivirus (AVG Free) ne détecte rien...
Au passage, je tiens à vous remercier pour vos pages de conseils sur la sécurité que j'ai commencées de lire (j'ai pas énormément de temps en ce moment, révisions de bac oblige), que je compte lire assez rapidement pour enfin adopter des logiciels et habitudes de surf efficaces...
Par avance, merci!
Autres pages sur : infections
Lassé par la pub ? Créez un compte
Hello,
on va jeter un oiel sur ce PC ...
commence par faire ce qui suit pour avoir un diagnostique précis de la situation :
Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :
-> http://telechargement.zebulon.fr/zhpdiag.html
!! déconnecte toi et ferme toutes tes applications en cours !!
Double-clique sur "ZHPDiag.exe" ( avec Vista/Seven faire clique droit / "executer en tant qu'admin..." ) pour lancer l'installation de l'outil et laisse toi guider. Ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" ( afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ).
A la fin de l'installe , laisse bien la case "executer ZHPDiag" cochée et clique sur "Terminer " > l'outil se lancera donc automatiquement .
Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite ( celui avec le tournevis ) :
Une liste apparait dans l'encadré principal > coche toutes les lignes sauf les 045 et 061 ( important ! ) .
clique sur le bouton "calendrier" qui est en haut à droite : choisis 30 days
Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan .
> Laisses travailler l'outil ... ( cela peut-être relativement long )
Une fois terminé, le rapport obtenu ( ZHPDiag.txt ) est sauvegardé sur ton bureau.
Puis ferme le programme ...
> Pour me faire parvenir ce rapport, rends toi sur ce site : http://www.cijoint.fr/
Clique sur "parcourir" et va jusqu'au rapport ZHPDiag.txt qui est sauvegardé sur le bureau .
Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....
on va jeter un oiel sur ce PC ...
commence par faire ce qui suit pour avoir un diagnostique précis de la situation :
Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :
-> http://telechargement.zebulon.fr/zhpdiag.html
!! déconnecte toi et ferme toutes tes applications en cours !!
Une liste apparait dans l'encadré principal > coche toutes les lignes sauf les 045 et 061 ( important ! ) .
> Laisses travailler l'outil ... ( cela peut-être relativement long )
Puis ferme le programme ...
> Pour me faire parvenir ce rapport, rends toi sur ce site : http://www.cijoint.fr/
re,
c'était à prévoir ... infection assez coriace ! ....![:sarcastic:]( ":sarcastic:")
/!\ Pour le bon déroulement de la désinfection :
Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .
N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
Si tu as un quelconque problème, n' hésite pas à m'en faire part ( évite les prises de décision hasardeuses ).
=============================================================
commence par faire ceci dans l'ordre :
1- protocole à suivre pour Windows Vista :
Désactiver le "contrôle des comptes utilisateurs" ou UAC (le réactiver seulement à la fin de la désinfection) :
Aller dans "démarrer" puis "panneau de configuration" :
--->Sur la droite de la fenêtre , cliques sur " affichage classique "
--->Double-Cliquer sur l'icône "Comptes d'utilisateurs"
--->Cliquer ensuite sur "Activer ou désactiver le contrôle ..." .
--->Décocher la case "utlisiser le contrôle ..." et cliquer sur OK .
--->Redémarrer le PC !
Tutos :
http://pagesperso-orange.fr/NosTools/uac_vista.html
http://forum.malekal.com/viewtopic.php?f=59&t=6517
Important :
Pour installer ou pour lancer les outils, que tu utiliseras au court de la désinfection, fais toujours ainsi :
clique DROIT ( sur le setup d'installe ou sur l'outil ) -> choisis " Exécuter entant qu'administrateur " .
Fais ceci systématiquement ! ...
une fois ceci fait et pris en compte , enchaine ...
==================================
2- Utilisation de l'outil ZHPFix :
* Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
> Puis Lance ZHPFix "en tant qu'admin ..." depuis le raccouci du bureau .
* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .
* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .
Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
* Puis clique sur le bouton [ OK ] .
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien !
!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!
* Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .
* Enfin clique sur le bouton [ Nettoyer ] .
-> laisse travailler l'outil et ne touche à rien ...
Une fois terminée , un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...
( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )
Important : si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le de suite !
Pense à réactiver tes défenses une fois la procédure terminée !...
( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )
==================================
3- Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !) :
> http://www.sendspace.com/file/vlrnn3
( ske.exe = Combofix.exe préalablement renomé par mes soins pour contrer l'infection )
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>[ ! ATTENTION ! ]<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
Ferme tes applications en cours ( ainsi que ton navigateur ) .
DESACTIVE TOUTES TES DEFENSES (anti-virus, garde anti spy-ware, pare-feu) le temps de la manipe.
En effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !
> Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : http://www.bleepingcomputer.com/combofix/fr/comment-uti...
Note : pour XP, il est IMPERATIF d'installer la Console de Récupération de Windows si l'outil le demande ( voir tuto ci-dessus ).
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>[ ! ATTENTION ! ]<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
Ensuite :
> clique droit / "executer en tant qu'admin..." sur l'icône de ske.exe ( = Combofix ) pour lancer l'outil .
> A la fenêtre "DISCLAIMER..." , clique sur "oui" et laisse travailler ...
Notes importantes :
-> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> si l'outil te dit qu'une version plus récente est disponible , accepte la mise à jour.
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
-> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes .
-> Si après un reboot éventuel , ton antivirus s'affole lorsque travail encore Combofix , ignore les alertes ! ( ne supprime rien et ne mets rien en quarantaine )
Le rapport sera crée ici : C:\Combofix.txt
Réactive bien tes défenses .
> Poste le rapport Combofix pour analyse et attends la suite ...
c'était à prévoir ... infection assez coriace ! ....
/!\ Pour le bon déroulement de la désinfection :
=============================================================
commence par faire ceci dans l'ordre :
1- protocole à suivre pour Windows Vista :
Aller dans "démarrer" puis "panneau de configuration" :
--->Sur la droite de la fenêtre , cliques sur " affichage classique "
--->Double-Cliquer sur l'icône "Comptes d'utilisateurs"
--->Cliquer ensuite sur "Activer ou désactiver le contrôle ..." .
--->Décocher la case "utlisiser le contrôle ..." et cliquer sur OK .
--->Redémarrer le PC !
Tutos :
http://pagesperso-orange.fr/NosTools/uac_vista.html
http://forum.malekal.com/viewtopic.php?f=59&t=6517
Pour installer ou pour lancer les outils, que tu utiliseras au court de la désinfection, fais toujours ainsi :
clique DROIT ( sur le setup d'installe ou sur l'outil ) -> choisis " Exécuter entant qu'administrateur " .
Fais ceci systématiquement ! ...
une fois ceci fait et pris en compte , enchaine ...
==================================
2- Utilisation de l'outil ZHPFix :
* Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
O63 - Logiciel: Ad-Remover By C_XX - (.C_XX.)
O63 - Logiciel: Toolbar SD - (.IDN Team.)
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe
MBRFix
O63 - Logiciel: Toolbar SD - (.IDN Team.)
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe
MBRFix
> Puis Lance ZHPFix "en tant qu'admin ..." depuis le raccouci du bureau .
* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .
* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .
Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
* Puis clique sur le bouton [ OK ] .
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien !
!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!
* Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .
* Enfin clique sur le bouton [ Nettoyer ] .
-> laisse travailler l'outil et ne touche à rien ...
Une fois terminée , un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...
( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )
Important : si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le de suite !
Pense à réactiver tes défenses une fois la procédure terminée !...
( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )
==================================
3- Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !) :
> http://www.sendspace.com/file/vlrnn3
( ske.exe = Combofix.exe préalablement renomé par mes soins pour contrer l'infection )
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>[ ! ATTENTION ! ]<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
En effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !
> Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>[ ! ATTENTION ! ]<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
Ensuite :
> clique droit / "executer en tant qu'admin..." sur l'icône de ske.exe ( = Combofix ) pour lancer l'outil .
> A la fenêtre "DISCLAIMER..." , clique sur "oui" et laisse travailler ...
Notes importantes :
-> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> si l'outil te dit qu'une version plus récente est disponible , accepte la mise à jour.
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
-> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes .
-> Si après un reboot éventuel , ton antivirus s'affole lorsque travail encore Combofix , ignore les alertes ! ( ne supprime rien et ne mets rien en quarantaine )
Le rapport sera crée ici : C:\Combofix.txt
Réactive bien tes défenses .
> Poste le rapport Combofix pour analyse et attends la suite ...
Avant de me lancer là-dedans dès que j'ai le temps, ce qui risque d'arriver assez tôt vu que j'ai du temps devant moi avec la fin du bac... Tu as marqué ceci :
/!\ Pour le bon déroulement de la désinfection :
* Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .
* N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
* Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
* Si tu as un quelconque problème, n' hésite pas à m'en faire part ( évite les prises de décision hasardeuses ).
C'est à dire, en gros, je ne dois plus utiliser mon PC à part pour le réparer si j'ai bien compris ?
En tout cas merci d'avoir continué de m'aider, les débuts ont été assez difficiles pour se lancer![:D]( ":D")
/!\ Pour le bon déroulement de la désinfection :
* Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .
* N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
* Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
* Si tu as un quelconque problème, n' hésite pas à m'en faire part ( évite les prises de décision hasardeuses ).
C'est à dire, en gros, je ne dois plus utiliser mon PC à part pour le réparer si j'ai bien compris ?
En tout cas merci d'avoir continué de m'aider, les débuts ont été assez difficiles pour se lancer
Voilà, j'attaque maintenant que j'ai le temps, les épreuves sont terminées donc je vais pouvoir profiter un peu du temps libre pour remettre tout ça au clair, j'espère!
J'ai lu intégralement ce que tu as marqué, et j'ai un doute sur ça avant de commencer :
* Puis clique sur le bouton [ OK ] .
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien !
!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!
Quand tu dis ne touche plus à rien, je vais savoir comment que je peux poursuivre ? Je préfère ne pas prendre de risque![:D]( ":D")
J'ai lu intégralement ce que tu as marqué, et j'ai un doute sur ça avant de commencer :
* Puis clique sur le bouton [ OK ] .
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien !
!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!
Quand tu dis ne touche plus à rien, je vais savoir comment que je peux poursuivre ? Je préfère ne pas prendre de risque
Je commence la procédure ![:)]( ":)")
En attendant, par simple curiosité, tu sais déjà comme ça de quels types de virus il peut s'agir, les risques j'encours, etc... ? (je vais flipper là ^^)
EDIT J'ai accès à un autre ordinateur, ce qui m'a permis d'aller vérifier comment désactiver AVG Free, je te demande néanmoins confirmation avant :
j'ouvre l'interface utilisateur, je double-clique sur "bouclier résident", puis je décoche la case "bouclier résident actif", et enfin je clique sur "enregistrer les modifications". C'est bien ça ?
En attendant, par simple curiosité, tu sais déjà comme ça de quels types de virus il peut s'agir, les risques j'encours, etc... ? (je vais flipper là ^^)EDIT J'ai accès à un autre ordinateur, ce qui m'a permis d'aller vérifier comment désactiver AVG Free, je te demande néanmoins confirmation avant :
j'ouvre l'interface utilisateur, je double-clique sur "bouclier résident", puis je décoche la case "bouclier résident actif", et enfin je clique sur "enregistrer les modifications". C'est bien ça ?
Désolé de te faire attendre, mais je préfère vraiment prendre un maximum de précautions pour pas faire de gaffe :s ![;)]( ";)")
ZHPFix v1.12.3108 by Nicolas Coolman - Rapport de suppression du 24/06/2010 11:57:25
Fichier d'export Registre : C:\ZHPExportRegistry-24-06-2010-11-57-25.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.ht...
Contact : nicolascoolman@yahoo.fr
Processus mémoire :
(Néant)
Module mémoire :
(Néant)
Clé du Registre :
(Néant)
Valeur du Registre :
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur supprimée avec succès
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur absente
Elément de données du Registre :
(Néant)
Préférences navigateur :
(Néant)
Dossier :
C:\ToolBar SD => Supprimé et mis en quarantaine
Fichier :
c:\tb.txt => Supprimé et mis en quarantaine
Logiciel :
O63 - Logiciel: Ad-Remover By C_XX - (.C_XX.) => Logiciel supprimé avec succès
Script Registre :
(Néant)
Master Boot Record :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x919D1EC5]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x8521e1f8
Warning: possible MBR rootkit infection !
user & kernel MBR OK
Use "Recovery Console" command "fixmbr" to clear infection !
Resultat après le fix :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
Autre :
(Néant)
Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 2
Elément de données du Registre : 0
Dossier : 1
Fichier : 1
Logiciel : 1
Master Boot Record : 19
Préférences navigateur : 0
Autre : 0
End of the scan
ZHPFix v1.12.3108 by Nicolas Coolman - Rapport de suppression du 24/06/2010 11:57:25
Fichier d'export Registre : C:\ZHPExportRegistry-24-06-2010-11-57-25.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.ht...
Contact : nicolascoolman@yahoo.fr
Processus mémoire :
(Néant)
Module mémoire :
(Néant)
Clé du Registre :
(Néant)
Valeur du Registre :
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur supprimée avec succès
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur absente
Elément de données du Registre :
(Néant)
Préférences navigateur :
(Néant)
Dossier :
C:\ToolBar SD => Supprimé et mis en quarantaine
Fichier :
c:\tb.txt => Supprimé et mis en quarantaine
Logiciel :
O63 - Logiciel: Ad-Remover By C_XX - (.C_XX.) => Logiciel supprimé avec succès
Script Registre :
(Néant)
Master Boot Record :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x919D1EC5]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x8521e1f8
Warning: possible MBR rootkit infection !
user & kernel MBR OK
Use "Recovery Console" command "fixmbr" to clear infection !
Resultat après le fix :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
Autre :
(Néant)
Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 2
Elément de données du Registre : 0
Dossier : 1
Fichier : 1
Logiciel : 1
Master Boot Record : 19
Préférences navigateur : 0
Autre : 0
End of the scan
Soucis pour réactiver AVG, voici un screen :
http://www.sendspace.com/file/8rgtoq
Pour le reste, voici le rapport :
ComboFix 10-06-21.03 - Niouki 24/06/2010 12:54:22.1.2 - x86
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.2046.1037 [GMT 2:00]
Lancé depuis: c:\users\Niouki\Desktop\ske.exe
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
* Un nouveau point de restauration a été créé
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-05-24 au 2010-06-24 ))))))))))))))))))))))))))))))))))))
.
2010-06-24 11:10 . 2010-06-24 11:11 -------- d-----w- c:\users\Niouki\AppData\Local\temp
2010-06-24 11:10 . 2010-06-24 11:10 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-06-17 14:02 . 2010-06-24 09:57 -------- d-----w- c:\program files\ZHPDiag
2010-06-11 11:13 . 2010-06-11 11:13 95024 ----a-w- c:\windows\system32\drivers\SBREDrv.sys
2010-06-11 11:03 . 2010-06-16 11:45 -------- d-----w- c:\programdata\Lavasoft
2010-06-10 11:44 . 2010-06-11 10:51 -------- d-----w- c:\programdata\Spybot - Search & Destroy
2010-06-10 11:44 . 2010-06-11 10:51 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-05-29 09:22 . 2010-06-18 16:34 -------- d-----w- c:\users\Niouki\AppData\Roaming\vlc
2010-05-26 15:55 . 2010-05-26 15:55 -------- d-----w- c:\program files\Common Files\Java
2010-05-26 15:54 . 2010-04-12 15:29 411368 ----a-w- c:\windows\system32\deployJava1.dll
2010-05-26 12:21 . 2010-04-23 14:13 2048 ----a-w- c:\windows\system32\tzres.dll
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-24 10:59 . 2006-11-02 15:48 669566 ----a-w- c:\windows\system32\perfh00C.dat
2010-06-24 10:59 . 2006-11-02 15:48 123556 ----a-w- c:\windows\system32\perfc00C.dat
2010-06-23 17:42 . 2010-03-04 19:09 0 ----a-w- c:\users\Niouki\AppData\Local\prvlcl.dat
2010-06-08 19:25 . 2009-12-20 17:50 -------- d-----w- c:\program files\Guitar Pro 5
2010-06-05 10:55 . 2009-07-22 19:43 -------- d-----w- c:\program files\Microsoft Silverlight
2010-06-04 13:47 . 2009-11-11 10:57 242896 ----a-w- c:\windows\system32\drivers\avgtdix.sys
2010-06-04 13:47 . 2009-11-11 10:57 29584 ----a-w- c:\windows\system32\drivers\avgmfx86.sys
2010-05-26 15:54 . 2010-05-26 15:54 0 ----a-w- c:\windows\system32\RENDDB3.tmp
2010-05-26 15:54 . 2010-05-26 15:54 0 ----a-w- c:\windows\system32\RENDDB2.tmp
2010-05-26 15:54 . 2010-05-26 15:54 0 ----a-w- c:\windows\system32\RENDDB1.tmp
2010-05-26 15:54 . 2009-07-01 08:12 -------- d-----w- c:\program files\Java
2010-05-23 19:51 . 2010-05-23 19:51 50354 ----a-w- c:\users\Niouki\AppData\Roaming\Facebook\uninstall.exe
2010-05-23 19:51 . 2010-02-03 20:01 -------- d-----w- c:\users\Niouki\AppData\Roaming\Facebook
2010-05-17 18:13 . 2009-06-30 20:51 -------- d-----w- c:\program files\Windows Live
2010-05-13 09:46 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2010-05-09 12:40 . 2010-05-09 12:40 -------- d-----w- c:\program files\Microsoft Sync Framework
2010-05-09 12:39 . 2010-05-09 12:39 -------- d-----w- c:\program files\Microsoft
2010-05-09 12:38 . 2010-05-09 12:38 -------- d-----w- c:\program files\Common Files\Windows Live
2010-04-28 14:47 . 2010-04-28 14:46 -------- d-----w- c:\program files\iTunes
2010-04-28 14:46 . 2010-04-28 14:46 -------- d-----w- c:\program files\iPod
2010-04-28 14:46 . 2009-07-23 11:05 -------- d-----w- c:\program files\Common Files\Apple
2010-04-28 14:43 . 2009-07-23 11:08 -------- d-----w- c:\program files\Bonjour
2010-04-24 16:33 . 2010-04-24 16:33 73000 ----a-w- c:\programdata\Apple Computer\Installer Cache\iTunes 9.1.1.11\SetupAdmin.exe
2010-04-16 23:28 . 2010-04-16 23:28 307056 ----a-w- c:\windows\WLXPGSS.SCR
2010-04-16 20:12 . 2010-04-16 20:12 48464 ----a-w- c:\windows\system32\sirenacm.dll
2010-04-08 11:20 . 2010-04-08 11:20 91424 ----a-w- c:\windows\system32\dnssd.dll
2010-04-08 11:20 . 2010-04-08 11:20 107808 ----a-w- c:\windows\system32\dns-sd.exe
2010-04-06 17:11 . 2010-04-06 15:15 1086 ----a-w- C:\UsbFix_Upload_Me_PC-de-Niouki.zip
2010-04-06 09:33 . 2010-04-06 09:33 94208 ----a-w- c:\windows\amcap.exe
2010-04-04 08:47 . 2009-07-10 21:17 1 ----a-w- c:\users\Niouki\AppData\Roaming\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-03-29 22:46 . 2010-04-07 13:27 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-03-29 22:45 . 2010-04-07 13:27 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]
"Google Update"="c:\users\Niouki\AppData\Local\Google\Update\GoogleUpdate.exe" [2009-12-21 135664]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 202240]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Smart Watch Dog"="-c:\program files\Compal Electronics" [X]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-19 1008184]
"RtHDVCpl"="RtHDVCpl.exe" [2007-04-10 4431872]
"WLSS"="c:\program files\Compal\Wireless Select Switch\WLSS.exe" [2007-03-29 190000]
"snp2uvc"="c:\windows\vsnp2uvc.exe" [2006-12-29 569344]
"Wow Video&Audio"="c:\program files\Compal\Wow Video&Audio\WVAMain.exe" [2007-04-12 947760]
"ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" [2004-08-09 81920]
"SmtLauncher"="c:\program files\Compal\Smart Tracing\SmLaunch.exe" [2007-04-12 13312]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2006-04-23 174872]
"SMSERIAL"="c:\program files\Motorola\SMSERIAL\sm56hlpr.exe" [2009-05-05 1466368]
"NvSvc"="c:\windows\system32\nvsvc.dll" [2008-01-11 92704]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-01-11 8534560]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-01-11 88608]
"AVG9_TRAY"="c:\progra~1\AVG\AVG9\avgtray.exe" [2010-06-04 2065248]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-02-18 248040]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-04-04 36272]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-17 421888]
"NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-04-24 142120]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\System32\avgrsstx.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):c9,a7,46,dc,0a,54,ca,01
R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\Drivers\avgldx86.sys [2010-03-13 216200]
R2 ATE_PROCMON;ATE_PROCMON;c:\program files\Anti Trojan Elite\ATEPMon.sys [x]
R2 avg9emc;AVG Free E-mail Scanner;c:\program files\AVG\AVG9\avgemc.exe [2010-03-13 916760]
R3 ActionReplayDS;ActionReplayDS;c:\windows\system32\Drivers\ActionReplayDS.sys [2007-02-08 29184]
R4 sptd;sptd;c:\windows\system32\Drivers\sptd.sys [2009-12-20 691696]
S0 EMSC;COMPAL Embedded System Control;c:\windows\system32\DRIVERS\EMSC.SYS [2007-02-13 11776]
S1 AvgTdiX;AVG Free Network Redirector;c:\windows\system32\Drivers\avgtdix.sys [2010-06-04 242896]
S2 avg9wd;AVG Free WatchDog;c:\program files\AVG\AVG9\avgwdsvc.exe [2010-03-13 308064]
S2 Smart Watchdog;Smart Watchdog Service;c:\program files\Compal Electronics, INC\Smart Watchdog\SWDsvc.exe [2007-04-19 114688]
S3 b57nd60x;%SvcDispName%;c:\windows\system32\DRIVERS\b57nd60x.sys [2008-01-19 179712]
S3 CamFilter;CamFilter;c:\windows\system32\Drivers\CamFilter.sys [2009-06-30 17408]
S3 enecir;ENE CIR Receiver;c:\windows\system32\DRIVERS\enecir.sys [2007-03-07 32256]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
.
Contenu du dossier 'Tâches planifiées'
2010-06-23 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-4271400101-1776489150-3921235929-1000Core.job
- c:\users\Niouki\AppData\Local\Google\Update\GoogleUpdate.exe [2009-12-21 18:19]
2010-06-24 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-4271400101-1776489150-3921235929-1000UA.job
- c:\users\Niouki\AppData\Local\Google\Update\GoogleUpdate.exe [2009-12-21 18:19]
.
.
------- Examen supplémentaire -------
.
mWindow Title =
uInternet Settings,ProxyOverride = *.local
FF - ProfilePath - c:\users\Niouki\AppData\Roaming\Mozilla\Firefox\Profiles\x0dy2hkl.default\
FF - prefs.js: browser.startup.homepage - www.google.fr
FF - prefs.js: keyword.URL - hxxp://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navcli...
FF - component: c:\program files\AVG\AVG9\Firefox\components\avgssff.dll
FF - plugin: c:\program files\Java\jre6\bin\npdeployJava1.dll
FF - plugin: c:\program files\Java\jre6\bin\npjpi160_20.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - plugin: c:\programdata\id Software\QuakeLive\npquakezero.dll
FF - plugin: c:\users\Niouki\AppData\Local\Google\Update\1.2.183.29\npGoogleOneClick8.dll
FF - plugin: c:\users\Niouki\AppData\Roaming\Facebook\npfbplugin_1_0_1.dll
FF - plugin: c:\users\Niouki\AppData\Roaming\Facebook\npfbplugin_1_0_3.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- PARAMETRES FIREFOX ----
FF - user.js: yahoo.homepage.dontask - truec:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type", 5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 10);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - ORPHELINS SUPPRIMES - - - -
HKCU-Run-Anti Trojan Elite - c:\program files\Anti Trojan Elite\TJEnder.exe
HKLM-Run-SMBTray - c:\program files\Compal\Smart Battery\SMBTray.exe
AddRemove-Action Replay Code Manager_is1 - c:\program files\Datel\Action Replay Code Manager\unins000.exe
AddRemove-Adobe_32e9033392a51340b32fdc6ad893ab7 - c:\program files\Common Files\Adobe\Installers\32e9033392a51340b32fdc6ad893ab7\Setup.exe
AddRemove-Audacity_is1 - c:\program files\Audacity\unins000.exe
AddRemove-AxCrypt - c:\program files\Axon Data\AxCrypt\AxCryptU.exe
AddRemove-eMule - c:\program files\eMule\Uninstall.exe
AddRemove-GeoGebra - c:\program files\GeoGebra\UninstallerData\Uninstaller.exe
AddRemove-Google Updater - c:\program files\Google\Google Updater\GoogleUpdater.exe
AddRemove-Insaniquarium_Deluxe_1.0 - c:\windows\iun6002.exe
AddRemove-InstallShield_{065A7AFE-195D-4DFB-A4B2-A83842C0F79F} - c:\progra~1\COMMON~1\INSTAL~1\Driver\1050\INTEL3~1\IDriver.exe
AddRemove-InstallShield_{14F7C0A0-64AA-4EBB-A836-E36232FD8B55} - c:\progra~1\COMMON~1\INSTAL~1\Driver\1050\INTEL3~1\IDriver.exe
AddRemove-InstallShield_{449A16C4-83B3-426C-AA4A-00A34E80C093} - c:\progra~1\COMMON~1\INSTAL~1\Driver\1050\INTEL3~1\IDriver.exe
AddRemove-InstallShield_{485775E8-AEB8-46BD-922B-242879E03DD5} - c:\progra~1\COMMON~1\INSTAL~1\Driver\11\INTEL3~1\IDriver.exe
AddRemove-InstallShield_{7243A264-7401-445E-99E6-2CC334960047} - c:\progra~1\COMMON~1\INSTAL~1\Driver\1050\INTEL3~1\IDriver.exe
AddRemove-InstallShield_{85B9124A-7EE0-4A60-B141-B233124E7DBD} - c:\progra~1\COMMON~1\INSTAL~1\Driver\1050\INTEL3~1\IDriver.exe
AddRemove-InstallShield_{F408DA6B-DA75-4D95-B87D-49AFF0B4EBB0} - c:\progra~1\COMMON~1\INSTAL~1\Driver\1050\INTEL3~1\IDriver.exe
AddRemove-Messenger Plus! Live - c:\program files\Messenger Plus! Live\Uninstall.exe
AddRemove-Notepad++ - c:\program files\Notepad++\uninstall.exe
AddRemove-Steam App 3483 - c:\program files\Steam\steam.exe
AddRemove-UnderCoverXP_is1 - c:\program files\UnderCoverXP\unins000.exe
AddRemove-Urban Terror_is1 - c:\program files\UrbanTerror\unins000.exe
AddRemove-Youtube Music Downloader_is1 - c:\youtubemusicdownloader\unins000.exe
AddRemove-{399C37FB-08AF-493B-BFED-20FBD85EDF7F} - c:\program files\InstallShield Installation Information\{399C37FB-08AF-493B-BFED-20FBD85EDF7F}\setup.exe
AddRemove-{86D3D561-D1FD-4d57-8395-20030467E0F9} - c:\program files\HP\Digital Imaging\{86D3D561-D1FD-4d57-8395-20030467E0F9}\setup\hpzscr01.exe
AddRemove-{909F8EBC-EC7F-48FF-0085-475D818F0F31} - c:\mes documents\Need for Speed Underground 2\EA GAMES\Need for Speed Underground 2\EAUninstall.exe
AddRemove-{e960f870-9e13-4163-ba8a-e544e904de15} - c:\program files\Common Files\Nero\Nero ProductInstaller 4\SetupX.exe
AddRemove-CodeBlocks - c:\program files\CodeBlocks\uninstall.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-06-24 13:11
Windows 6.0.6002 Service Pack 2 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x911A3EC5]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0x88ab2d24
\Driver\ACPI -> acpi.sys @ 0x8324dd68
\Driver\atapi -> ataport.SYS @ 0x884d2a2c
\Driver\iaStor -> iaStor.sys @ 0x88411c1a
IoDeviceObjectType ->\Device\Harddisk0\DR0 ->user & kernel MBR OK
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5
.
Heure de fin: 2010-06-24 13:13:44
ComboFix-quarantined-files.txt 2010-06-24 11:13
Avant-CF: 12 528 140 288 octets libres
Après-CF: 12 480 720 896 octets libres
- - End Of File - - A1CADF1B898D0FF726490F282073A4D8
http://www.sendspace.com/file/8rgtoq
Pour le reste, voici le rapport :
ComboFix 10-06-21.03 - Niouki 24/06/2010 12:54:22.1.2 - x86
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.2046.1037 [GMT 2:00]
Lancé depuis: c:\users\Niouki\Desktop\ske.exe
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
* Un nouveau point de restauration a été créé
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-05-24 au 2010-06-24 ))))))))))))))))))))))))))))))))))))
.
2010-06-24 11:10 . 2010-06-24 11:11 -------- d-----w- c:\users\Niouki\AppData\Local\temp
2010-06-24 11:10 . 2010-06-24 11:10 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-06-17 14:02 . 2010-06-24 09:57 -------- d-----w- c:\program files\ZHPDiag
2010-06-11 11:13 . 2010-06-11 11:13 95024 ----a-w- c:\windows\system32\drivers\SBREDrv.sys
2010-06-11 11:03 . 2010-06-16 11:45 -------- d-----w- c:\programdata\Lavasoft
2010-06-10 11:44 . 2010-06-11 10:51 -------- d-----w- c:\programdata\Spybot - Search & Destroy
2010-06-10 11:44 . 2010-06-11 10:51 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-05-29 09:22 . 2010-06-18 16:34 -------- d-----w- c:\users\Niouki\AppData\Roaming\vlc
2010-05-26 15:55 . 2010-05-26 15:55 -------- d-----w- c:\program files\Common Files\Java
2010-05-26 15:54 . 2010-04-12 15:29 411368 ----a-w- c:\windows\system32\deployJava1.dll
2010-05-26 12:21 . 2010-04-23 14:13 2048 ----a-w- c:\windows\system32\tzres.dll
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-24 10:59 . 2006-11-02 15:48 669566 ----a-w- c:\windows\system32\perfh00C.dat
2010-06-24 10:59 . 2006-11-02 15:48 123556 ----a-w- c:\windows\system32\perfc00C.dat
2010-06-23 17:42 . 2010-03-04 19:09 0 ----a-w- c:\users\Niouki\AppData\Local\prvlcl.dat
2010-06-08 19:25 . 2009-12-20 17:50 -------- d-----w- c:\program files\Guitar Pro 5
2010-06-05 10:55 . 2009-07-22 19:43 -------- d-----w- c:\program files\Microsoft Silverlight
2010-06-04 13:47 . 2009-11-11 10:57 242896 ----a-w- c:\windows\system32\drivers\avgtdix.sys
2010-06-04 13:47 . 2009-11-11 10:57 29584 ----a-w- c:\windows\system32\drivers\avgmfx86.sys
2010-05-26 15:54 . 2010-05-26 15:54 0 ----a-w- c:\windows\system32\RENDDB3.tmp
2010-05-26 15:54 . 2010-05-26 15:54 0 ----a-w- c:\windows\system32\RENDDB2.tmp
2010-05-26 15:54 . 2010-05-26 15:54 0 ----a-w- c:\windows\system32\RENDDB1.tmp
2010-05-26 15:54 . 2009-07-01 08:12 -------- d-----w- c:\program files\Java
2010-05-23 19:51 . 2010-05-23 19:51 50354 ----a-w- c:\users\Niouki\AppData\Roaming\Facebook\uninstall.exe
2010-05-23 19:51 . 2010-02-03 20:01 -------- d-----w- c:\users\Niouki\AppData\Roaming\Facebook
2010-05-17 18:13 . 2009-06-30 20:51 -------- d-----w- c:\program files\Windows Live
2010-05-13 09:46 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2010-05-09 12:40 . 2010-05-09 12:40 -------- d-----w- c:\program files\Microsoft Sync Framework
2010-05-09 12:39 . 2010-05-09 12:39 -------- d-----w- c:\program files\Microsoft
2010-05-09 12:38 . 2010-05-09 12:38 -------- d-----w- c:\program files\Common Files\Windows Live
2010-04-28 14:47 . 2010-04-28 14:46 -------- d-----w- c:\program files\iTunes
2010-04-28 14:46 . 2010-04-28 14:46 -------- d-----w- c:\program files\iPod
2010-04-28 14:46 . 2009-07-23 11:05 -------- d-----w- c:\program files\Common Files\Apple
2010-04-28 14:43 . 2009-07-23 11:08 -------- d-----w- c:\program files\Bonjour
2010-04-24 16:33 . 2010-04-24 16:33 73000 ----a-w- c:\programdata\Apple Computer\Installer Cache\iTunes 9.1.1.11\SetupAdmin.exe
2010-04-16 23:28 . 2010-04-16 23:28 307056 ----a-w- c:\windows\WLXPGSS.SCR
2010-04-16 20:12 . 2010-04-16 20:12 48464 ----a-w- c:\windows\system32\sirenacm.dll
2010-04-08 11:20 . 2010-04-08 11:20 91424 ----a-w- c:\windows\system32\dnssd.dll
2010-04-08 11:20 . 2010-04-08 11:20 107808 ----a-w- c:\windows\system32\dns-sd.exe
2010-04-06 17:11 . 2010-04-06 15:15 1086 ----a-w- C:\UsbFix_Upload_Me_PC-de-Niouki.zip
2010-04-06 09:33 . 2010-04-06 09:33 94208 ----a-w- c:\windows\amcap.exe
2010-04-04 08:47 . 2009-07-10 21:17 1 ----a-w- c:\users\Niouki\AppData\Roaming\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-03-29 22:46 . 2010-04-07 13:27 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-03-29 22:45 . 2010-04-07 13:27 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]
"Google Update"="c:\users\Niouki\AppData\Local\Google\Update\GoogleUpdate.exe" [2009-12-21 135664]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 202240]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Smart Watch Dog"="-c:\program files\Compal Electronics" [X]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-19 1008184]
"RtHDVCpl"="RtHDVCpl.exe" [2007-04-10 4431872]
"WLSS"="c:\program files\Compal\Wireless Select Switch\WLSS.exe" [2007-03-29 190000]
"snp2uvc"="c:\windows\vsnp2uvc.exe" [2006-12-29 569344]
"Wow Video&Audio"="c:\program files\Compal\Wow Video&Audio\WVAMain.exe" [2007-04-12 947760]
"ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" [2004-08-09 81920]
"SmtLauncher"="c:\program files\Compal\Smart Tracing\SmLaunch.exe" [2007-04-12 13312]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2006-04-23 174872]
"SMSERIAL"="c:\program files\Motorola\SMSERIAL\sm56hlpr.exe" [2009-05-05 1466368]
"NvSvc"="c:\windows\system32\nvsvc.dll" [2008-01-11 92704]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-01-11 8534560]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-01-11 88608]
"AVG9_TRAY"="c:\progra~1\AVG\AVG9\avgtray.exe" [2010-06-04 2065248]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-02-18 248040]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-04-04 36272]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-17 421888]
"NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-04-24 142120]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\System32\avgrsstx.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):c9,a7,46,dc,0a,54,ca,01
R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\Drivers\avgldx86.sys [2010-03-13 216200]
R2 ATE_PROCMON;ATE_PROCMON;c:\program files\Anti Trojan Elite\ATEPMon.sys [x]
R2 avg9emc;AVG Free E-mail Scanner;c:\program files\AVG\AVG9\avgemc.exe [2010-03-13 916760]
R3 ActionReplayDS;ActionReplayDS;c:\windows\system32\Drivers\ActionReplayDS.sys [2007-02-08 29184]
R4 sptd;sptd;c:\windows\system32\Drivers\sptd.sys [2009-12-20 691696]
S0 EMSC;COMPAL Embedded System Control;c:\windows\system32\DRIVERS\EMSC.SYS [2007-02-13 11776]
S1 AvgTdiX;AVG Free Network Redirector;c:\windows\system32\Drivers\avgtdix.sys [2010-06-04 242896]
S2 avg9wd;AVG Free WatchDog;c:\program files\AVG\AVG9\avgwdsvc.exe [2010-03-13 308064]
S2 Smart Watchdog;Smart Watchdog Service;c:\program files\Compal Electronics, INC\Smart Watchdog\SWDsvc.exe [2007-04-19 114688]
S3 b57nd60x;%SvcDispName%;c:\windows\system32\DRIVERS\b57nd60x.sys [2008-01-19 179712]
S3 CamFilter;CamFilter;c:\windows\system32\Drivers\CamFilter.sys [2009-06-30 17408]
S3 enecir;ENE CIR Receiver;c:\windows\system32\DRIVERS\enecir.sys [2007-03-07 32256]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
.
Contenu du dossier 'Tâches planifiées'
2010-06-23 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-4271400101-1776489150-3921235929-1000Core.job
- c:\users\Niouki\AppData\Local\Google\Update\GoogleUpdate.exe [2009-12-21 18:19]
2010-06-24 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-4271400101-1776489150-3921235929-1000UA.job
- c:\users\Niouki\AppData\Local\Google\Update\GoogleUpdate.exe [2009-12-21 18:19]
.
.
------- Examen supplémentaire -------
.
mWindow Title =
uInternet Settings,ProxyOverride = *.local
FF - ProfilePath - c:\users\Niouki\AppData\Roaming\Mozilla\Firefox\Profiles\x0dy2hkl.default\
FF - prefs.js: browser.startup.homepage - www.google.fr
FF - prefs.js: keyword.URL - hxxp://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navcli...
FF - component: c:\program files\AVG\AVG9\Firefox\components\avgssff.dll
FF - plugin: c:\program files\Java\jre6\bin\npdeployJava1.dll
FF - plugin: c:\program files\Java\jre6\bin\npjpi160_20.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - plugin: c:\programdata\id Software\QuakeLive\npquakezero.dll
FF - plugin: c:\users\Niouki\AppData\Local\Google\Update\1.2.183.29\npGoogleOneClick8.dll
FF - plugin: c:\users\Niouki\AppData\Roaming\Facebook\npfbplugin_1_0_1.dll
FF - plugin: c:\users\Niouki\AppData\Roaming\Facebook\npfbplugin_1_0_3.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- PARAMETRES FIREFOX ----
FF - user.js: yahoo.homepage.dontask - truec:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type", 5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 10);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - ORPHELINS SUPPRIMES - - - -
HKCU-Run-Anti Trojan Elite - c:\program files\Anti Trojan Elite\TJEnder.exe
HKLM-Run-SMBTray - c:\program files\Compal\Smart Battery\SMBTray.exe
AddRemove-Action Replay Code Manager_is1 - c:\program files\Datel\Action Replay Code Manager\unins000.exe
AddRemove-Adobe_32e9033392a51340b32fdc6ad893ab7 - c:\program files\Common Files\Adobe\Installers\32e9033392a51340b32fdc6ad893ab7\Setup.exe
AddRemove-Audacity_is1 - c:\program files\Audacity\unins000.exe
AddRemove-AxCrypt - c:\program files\Axon Data\AxCrypt\AxCryptU.exe
AddRemove-eMule - c:\program files\eMule\Uninstall.exe
AddRemove-GeoGebra - c:\program files\GeoGebra\UninstallerData\Uninstaller.exe
AddRemove-Google Updater - c:\program files\Google\Google Updater\GoogleUpdater.exe
AddRemove-Insaniquarium_Deluxe_1.0 - c:\windows\iun6002.exe
AddRemove-InstallShield_{065A7AFE-195D-4DFB-A4B2-A83842C0F79F} - c:\progra~1\COMMON~1\INSTAL~1\Driver\1050\INTEL3~1\IDriver.exe
AddRemove-InstallShield_{14F7C0A0-64AA-4EBB-A836-E36232FD8B55} - c:\progra~1\COMMON~1\INSTAL~1\Driver\1050\INTEL3~1\IDriver.exe
AddRemove-InstallShield_{449A16C4-83B3-426C-AA4A-00A34E80C093} - c:\progra~1\COMMON~1\INSTAL~1\Driver\1050\INTEL3~1\IDriver.exe
AddRemove-InstallShield_{485775E8-AEB8-46BD-922B-242879E03DD5} - c:\progra~1\COMMON~1\INSTAL~1\Driver\11\INTEL3~1\IDriver.exe
AddRemove-InstallShield_{7243A264-7401-445E-99E6-2CC334960047} - c:\progra~1\COMMON~1\INSTAL~1\Driver\1050\INTEL3~1\IDriver.exe
AddRemove-InstallShield_{85B9124A-7EE0-4A60-B141-B233124E7DBD} - c:\progra~1\COMMON~1\INSTAL~1\Driver\1050\INTEL3~1\IDriver.exe
AddRemove-InstallShield_{F408DA6B-DA75-4D95-B87D-49AFF0B4EBB0} - c:\progra~1\COMMON~1\INSTAL~1\Driver\1050\INTEL3~1\IDriver.exe
AddRemove-Messenger Plus! Live - c:\program files\Messenger Plus! Live\Uninstall.exe
AddRemove-Notepad++ - c:\program files\Notepad++\uninstall.exe
AddRemove-Steam App 3483 - c:\program files\Steam\steam.exe
AddRemove-UnderCoverXP_is1 - c:\program files\UnderCoverXP\unins000.exe
AddRemove-Urban Terror_is1 - c:\program files\UrbanTerror\unins000.exe
AddRemove-Youtube Music Downloader_is1 - c:\youtubemusicdownloader\unins000.exe
AddRemove-{399C37FB-08AF-493B-BFED-20FBD85EDF7F} - c:\program files\InstallShield Installation Information\{399C37FB-08AF-493B-BFED-20FBD85EDF7F}\setup.exe
AddRemove-{86D3D561-D1FD-4d57-8395-20030467E0F9} - c:\program files\HP\Digital Imaging\{86D3D561-D1FD-4d57-8395-20030467E0F9}\setup\hpzscr01.exe
AddRemove-{909F8EBC-EC7F-48FF-0085-475D818F0F31} - c:\mes documents\Need for Speed Underground 2\EA GAMES\Need for Speed Underground 2\EAUninstall.exe
AddRemove-{e960f870-9e13-4163-ba8a-e544e904de15} - c:\program files\Common Files\Nero\Nero ProductInstaller 4\SetupX.exe
AddRemove-CodeBlocks - c:\program files\CodeBlocks\uninstall.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-06-24 13:11
Windows 6.0.6002 Service Pack 2 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x911A3EC5]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0x88ab2d24
\Driver\ACPI -> acpi.sys @ 0x8324dd68
\Driver\atapi -> ataport.SYS @ 0x884d2a2c
\Driver\iaStor -> iaStor.sys @ 0x88411c1a
IoDeviceObjectType ->\Device\Harddisk0\DR0 ->user & kernel MBR OK
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5
.
Heure de fin: 2010-06-24 13:13:44
ComboFix-quarantined-files.txt 2010-06-24 11:13
Avant-CF: 12 528 140 288 octets libres
Après-CF: 12 480 720 896 octets libres
- - End Of File - - A1CADF1B898D0FF726490F282073A4D8
bon ...
pour AVG , t'inquète ... au prochaine rebbot tu y auras accès ...
Mais il faut arriver à dénicher quels sont le(s) fichier(s) systeme patché(s) par l'infection ...
il me faut plus d'info donc ... fait ce qui suit :
Télécharge gmer sur le bureau :
http://cjoint.com/?gynSYPboH2
!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes tes applications le temps de la manipe ( naviguateurs compris ) !!
* clique droit / 'executer en tant qu'admin..." sur ..._gmer.exe pour lancer l'outil.
* Met toi bien sur l'onglet "rootkit".
* A droite, au niveau des options , vérifie que TOUT soit coché .
* puis clique sur scan .
> laisse travailler et ne touche à rien ! ( cela est relativement long, donc patience ... )
* A la fin du scan, clique sur le bouton copy.
* Puis va dans le menu "démarrer"> "programmes" > accessoires : ouvre le bloc-note et clique sur CTRL+V afin de copier le rapport dans ce même bloc-note.
> poste le contenu du rapport via "Cijoint" ( ou "SendSpace" ) si possible stp ...
pour AVG , t'inquète ... au prochaine rebbot tu y auras accès ...
Mais il faut arriver à dénicher quels sont le(s) fichier(s) systeme patché(s) par l'infection ...
il me faut plus d'info donc ... fait ce qui suit :
Télécharge gmer sur le bureau :
http://cjoint.com/?gynSYPboH2
!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes tes applications le temps de la manipe ( naviguateurs compris ) !!
* clique droit / 'executer en tant qu'admin..." sur ..._gmer.exe pour lancer l'outil.
* Met toi bien sur l'onglet "rootkit".
* A droite, au niveau des options , vérifie que TOUT soit coché .
* puis clique sur scan .
> laisse travailler et ne touche à rien ! ( cela est relativement long, donc patience ... )
* A la fin du scan, clique sur le bouton copy.
* Puis va dans le menu "démarrer"> "programmes" > accessoires : ouvre le bloc-note et clique sur CTRL+V afin de copier le rapport dans ce même bloc-note.
> poste le contenu du rapport via "Cijoint" ( ou "SendSpace" ) si possible stp ...
très bien ...
j'ai le fichier patché ...![;)]( ";)")
maintenant il me faut savoir où dénicher sur le PC un fichier saint pour le remplacer ...
fait ceci donc :
Télécharge SEAF ( de C__XX ) sur ton bureau :
ici http://pagesperso-orange.fr/NosTools/C_XX/SEAF.exe
ou ici http://forum-aide-contre-virus.be/download/C_XX/SEAF.ex...
! Ferme toutes applications en cours !
clique droit / "executer en tant qu'admin..." sur "SEAF.exe" ( clique droit et "Exécuter en tant qu'administrateur" pour Vista / 7 ) pour lancer l'outil.
Dans l'encardré blanc " Entrez ci dessous...." copie/colle ceci :
netbt.sys
Au niveau des "options des fichiers ", fait les réglages suivant :
> A "Calculer le checksum" , choisis : MD5
> Coche la case devant " Info. supplémentaire ".
> Coche la case devant " Afficher les ADS "
( ne touche à aucun autre réglage )
Clique sur " Lancer la recherche " et laisse travailler l'outil ...
( cela peut-être plus ou moins long suivant les cas ).
--> Une fois terminé, une fenêtre avec un log .txt va s'afficher. Enregistre ce rapport de façon à le retrouver facilement ( sur le bureau par exemple ). Sinon il sera en outre sauvegardé à la racine de ton disque dur ( ici > C:\SEAFLog.txt )
--> Copie/colle le contenu de ce rapport dans ta prochaine réponse . Si le rapport est trop long, utilise le site d'uplaod "Cijoint" pour me le faire parvenir > http://www.cijoint.fr/
j'ai le fichier patché ...
maintenant il me faut savoir où dénicher sur le PC un fichier saint pour le remplacer ...
fait ceci donc :
Télécharge SEAF ( de C__XX ) sur ton bureau :
ici http://pagesperso-orange.fr/NosTools/C_XX/SEAF.exe
ou ici http://forum-aide-contre-virus.be/download/C_XX/SEAF.ex...
! Ferme toutes applications en cours !
netbt.sys
> A "Calculer le checksum" , choisis : MD5
> Coche la case devant " Info. supplémentaire ".
> Coche la case devant " Afficher les ADS "
( ne touche à aucun autre réglage )
( cela peut-être plus ou moins long suivant les cas ).
--> Une fois terminé, une fenêtre avec un log .txt va s'afficher. Enregistre ce rapport de façon à le retrouver facilement ( sur le bureau par exemple ). Sinon il sera en outre sauvegardé à la racine de ton disque dur ( ici > C:\SEAFLog.txt )
--> Copie/colle le contenu de ce rapport dans ta prochaine réponse . Si le rapport est trop long, utilise le site d'uplaod "Cijoint" pour me le faire parvenir > http://www.cijoint.fr/
Raooirt SEAFlog :
1. ========================= SEAF 1.0.0.7 - C_XX
2.
3. Commencé à: 17:36:27 le 24/06/2010
4.
5. Valeur(s) recherchée(s):
6.
7. netbt.sys
8.
9. (!) --- Calcul du Hash "MD5"
10. (!) --- Affichage des ADS
11. (!) --- Informations supplémentaires
12.
13. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
14.
15. "c:\Windows\winsxs\x86_microsoft-windows-netbt_31bf3856ad364e35_6.0.6002.18005_none_6250416df465f2b1\netbt.sys" [ ----A---- | 185856 ]
16. TC: 21/10/2009,12:39:59 | TM: 11/04/2009,06:45:37 | DA: 21/10/2009,12:39:59
17. MD5: ecd64230a59cbd93c85f1cd1cab9f3f6
18.
19.
20. CompagnyName: Microsoft Corporation
21. ProductName: Microsoft® Windows® Operating System
22. InternalName: netbt.sys
23. OriginalFilename: netbt.sys
24. LegalCopyright: © Microsoft Corporation. All rights reserved.
25. ProductVersion: 6.0.6002.18005
26. FileVersion: 6.0.6002.18005 (lh_sp2rtm.090410-1830)
27.
28. =========================
29.
30. "c:\Windows\winsxs\x86_microsoft-windows-netbt_31bf3856ad364e35_6.0.6001.18000_none_6064c861f7442765\netbt.sys" [ ----A---- | 184320 ]
31. TC: 05/07/2009,11:38:44 | TM: 19/01/2008,07:55:35 | DA: 05/07/2009,11:38:44
32. MD5: 7c5fee5b1c5728507cd96fb4a13e7a02
33.
34.
35. CompagnyName: Microsoft Corporation
36. ProductName: Microsoft® Windows® Operating System
37. InternalName: netbt.sys
38. OriginalFilename: netbt.sys
39. LegalCopyright: © Microsoft Corporation. All rights reserved.
40. ProductVersion: 6.0.6001.18000
41. FileVersion: 6.0.6001.18000 (longhorn_rtm.080118-1840)
42.
43. =========================
44.
45. "c:\Windows\winsxs\x86_microsoft-windows-netbt_31bf3856ad364e35_6.0.6000.16386_none_5e2e0665fa591691\netbt.sys" [ ----A---- | 184320 ]
46. TC: 02/11/2006,10:57:20 | TM: 02/11/2006,10:57:20 | DA: 02/11/2006,12:43:10
47. MD5: e3a168912e7eefc3bd3b814720d68b41
48.
49.
50. CompagnyName: Microsoft Corporation
51. ProductName: Microsoft® Windows® Operating System
52. InternalName: netbt.sys
53. OriginalFilename: netbt.sys
54. LegalCopyright: © Microsoft Corporation. All rights reserved.
55. ProductVersion: 6.0.6000.16386
56. FileVersion: 6.0.6000.16386 (vista_rtm.061101-2205)
57.
58. =========================
59.
60. "c:\Windows\winsxs\Backup\x86_microsoft-windows-netbt_31bf3856ad364e35_6.0.6002.18005_none_6250416df465f2b1_netbt.sys_9226f314" [ ----A---- | 185856 ]
61. TC: 23/10/2009,19:55:32 | TM: 23/10/2009,18:38:53 | DA: 23/10/2009,18:38:53
62. MD5: ecd64230a59cbd93c85f1cd1cab9f3f6
63.
64.
65. CompagnyName: Microsoft Corporation
66. ProductName: Microsoft® Windows® Operating System
67. InternalName: netbt.sys
68. OriginalFilename: netbt.sys
69. LegalCopyright: © Microsoft Corporation. All rights reserved.
70. ProductVersion: 6.0.6002.18005
71. FileVersion: 6.0.6002.18005 (lh_sp2rtm.090410-1830)
72.
73. =========================
74.
75. "c:\Windows\System32\drivers\netbt.sys" [ ----A---- | 185856 ]
76. TC: 21/10/2009,12:39:59 | TM: 11/04/2009,06:45:37 | DA: 21/10/2009,12:39:59
77. MD5: ecd64230a59cbd93c85f1cd1cab9f3f6
78.
79.
80. CompagnyName: Microsoft Corporation
81. ProductName: Microsoft® Windows® Operating System
82. InternalName: netbt.sys
83. OriginalFilename: netbt.sys
84. LegalCopyright: © Microsoft Corporation. All rights reserved.
85. ProductVersion: 6.0.6002.18005
86. FileVersion: 6.0.6002.18005 (lh_sp2rtm.090410-1830)
87.
88. =========================
89.
90. ====== Dossier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
91.
92. Aucun dossier trouvé
93.
94. =========================
95.
96. Fin à: 17:36:47 le 24/06/2010 ( E.O.F )
1. ========================= SEAF 1.0.0.7 - C_XX
2.
3. Commencé à: 17:36:27 le 24/06/2010
4.
5. Valeur(s) recherchée(s):
6.
7. netbt.sys
8.
9. (!) --- Calcul du Hash "MD5"
10. (!) --- Affichage des ADS
11. (!) --- Informations supplémentaires
12.
13. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
14.
15. "c:\Windows\winsxs\x86_microsoft-windows-netbt_31bf3856ad364e35_6.0.6002.18005_none_6250416df465f2b1\netbt.sys" [ ----A---- | 185856 ]
16. TC: 21/10/2009,12:39:59 | TM: 11/04/2009,06:45:37 | DA: 21/10/2009,12:39:59
17. MD5: ecd64230a59cbd93c85f1cd1cab9f3f6
18.
19.
20. CompagnyName: Microsoft Corporation
21. ProductName: Microsoft® Windows® Operating System
22. InternalName: netbt.sys
23. OriginalFilename: netbt.sys
24. LegalCopyright: © Microsoft Corporation. All rights reserved.
25. ProductVersion: 6.0.6002.18005
26. FileVersion: 6.0.6002.18005 (lh_sp2rtm.090410-1830)
27.
28. =========================
29.
30. "c:\Windows\winsxs\x86_microsoft-windows-netbt_31bf3856ad364e35_6.0.6001.18000_none_6064c861f7442765\netbt.sys" [ ----A---- | 184320 ]
31. TC: 05/07/2009,11:38:44 | TM: 19/01/2008,07:55:35 | DA: 05/07/2009,11:38:44
32. MD5: 7c5fee5b1c5728507cd96fb4a13e7a02
33.
34.
35. CompagnyName: Microsoft Corporation
36. ProductName: Microsoft® Windows® Operating System
37. InternalName: netbt.sys
38. OriginalFilename: netbt.sys
39. LegalCopyright: © Microsoft Corporation. All rights reserved.
40. ProductVersion: 6.0.6001.18000
41. FileVersion: 6.0.6001.18000 (longhorn_rtm.080118-1840)
42.
43. =========================
44.
45. "c:\Windows\winsxs\x86_microsoft-windows-netbt_31bf3856ad364e35_6.0.6000.16386_none_5e2e0665fa591691\netbt.sys" [ ----A---- | 184320 ]
46. TC: 02/11/2006,10:57:20 | TM: 02/11/2006,10:57:20 | DA: 02/11/2006,12:43:10
47. MD5: e3a168912e7eefc3bd3b814720d68b41
48.
49.
50. CompagnyName: Microsoft Corporation
51. ProductName: Microsoft® Windows® Operating System
52. InternalName: netbt.sys
53. OriginalFilename: netbt.sys
54. LegalCopyright: © Microsoft Corporation. All rights reserved.
55. ProductVersion: 6.0.6000.16386
56. FileVersion: 6.0.6000.16386 (vista_rtm.061101-2205)
57.
58. =========================
59.
60. "c:\Windows\winsxs\Backup\x86_microsoft-windows-netbt_31bf3856ad364e35_6.0.6002.18005_none_6250416df465f2b1_netbt.sys_9226f314" [ ----A---- | 185856 ]
61. TC: 23/10/2009,19:55:32 | TM: 23/10/2009,18:38:53 | DA: 23/10/2009,18:38:53
62. MD5: ecd64230a59cbd93c85f1cd1cab9f3f6
63.
64.
65. CompagnyName: Microsoft Corporation
66. ProductName: Microsoft® Windows® Operating System
67. InternalName: netbt.sys
68. OriginalFilename: netbt.sys
69. LegalCopyright: © Microsoft Corporation. All rights reserved.
70. ProductVersion: 6.0.6002.18005
71. FileVersion: 6.0.6002.18005 (lh_sp2rtm.090410-1830)
72.
73. =========================
74.
75. "c:\Windows\System32\drivers\netbt.sys" [ ----A---- | 185856 ]
76. TC: 21/10/2009,12:39:59 | TM: 11/04/2009,06:45:37 | DA: 21/10/2009,12:39:59
77. MD5: ecd64230a59cbd93c85f1cd1cab9f3f6
78.
79.
80. CompagnyName: Microsoft Corporation
81. ProductName: Microsoft® Windows® Operating System
82. InternalName: netbt.sys
83. OriginalFilename: netbt.sys
84. LegalCopyright: © Microsoft Corporation. All rights reserved.
85. ProductVersion: 6.0.6002.18005
86. FileVersion: 6.0.6002.18005 (lh_sp2rtm.090410-1830)
87.
88. =========================
89.
90. ====== Dossier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
91.
92. Aucun dossier trouvé
93.
94. =========================
95.
96. Fin à: 17:36:47 le 24/06/2010 ( E.O.F )
bien ....
fait ceci dans un premier temps :
1- Créer un doc texte sur ton bureau :
Pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .
Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :
Puis va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi : CFScript puis valide ...
2- Nettoyage :
!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!
--> Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .
Regarde ici :
![]()
Cette manipulation va relancer Combofix !
Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)
! Ne touches à rien tant que le scan n'est pas terminé !
Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
-> Une fois le scan achevé, un rapport va s'afficher : poste le via "Cijoint" pour analyse ...
( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )
fait ceci dans un premier temps :
1- Créer un doc texte sur ton bureau :
KillAll::
File::
c:\users\Niouki\AppData\Local\prvlcl.dat
c:\windows\system32\RENDDB3.tmp
c:\windows\system32\RENDDB2.tmp
c:\windows\system32\RENDDB1.tmp
C:\UsbFix_Upload_Me_PC-de-Niouki.zip
Folder::
c:\programdata\Spybot - Search & Destroy
c:\program files\Spybot - Search & Destroy
Fcopy::
c:\Windows\winsxs\x86_microsoft-windows-netbt_31bf3856ad364e35_6.0.6002.18005_none_6250416df465f2b1\netbt.sys | c:\ske1.bak
Mbr::
File::
c:\users\Niouki\AppData\Local\prvlcl.dat
c:\windows\system32\RENDDB3.tmp
c:\windows\system32\RENDDB2.tmp
c:\windows\system32\RENDDB1.tmp
C:\UsbFix_Upload_Me_PC-de-Niouki.zip
Folder::
c:\programdata\Spybot - Search & Destroy
c:\program files\Spybot - Search & Destroy
Fcopy::
c:\Windows\winsxs\x86_microsoft-windows-netbt_31bf3856ad364e35_6.0.6002.18005_none_6250416df465f2b1\netbt.sys | c:\ske1.bak
Mbr::
2- Nettoyage :
!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!
--> Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .
Regarde ici :
Cette manipulation va relancer Combofix !
Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)
! Ne touches à rien tant que le scan n'est pas terminé !
Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
-> Une fois le scan achevé, un rapport va s'afficher : poste le via "Cijoint" pour analyse ...
( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )
Hum j'ai rebooté et en effet ça fonctionne! Il me semble que c'était ce rapport le voici :
ComboFix 10-06-21.03 - Niouki 24/06/2010 18:36:58.2.2 - x86
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.2046.1144 [GMT 2:00]
Lancé depuis: c:\users\Niouki\Desktop\ske.exe
Commutateurs utilisés :: c:\users\Niouki\Desktop\CFScript.txt
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
* Un nouveau point de restauration a été créé
FILE ::
"C:\UsbFix_Upload_Me_PC-de-Niouki.zip"
"c:\users\Niouki\AppData\Local\prvlcl.dat"
"c:\windows\system32\RENDDB1.tmp"
"c:\windows\system32\RENDDB2.tmp"
"c:\windows\system32\RENDDB3.tmp"
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\program files\Spybot - Search & Destroy
c:\program files\Spybot - Search & Destroy\advcheck.dll
c:\program files\Spybot - Search & Destroy\SDWinSec.exe
c:\program files\Spybot - Search & Destroy\TeaTimer.exe
c:\programdata\Spybot - Search & Destroy
c:\programdata\Spybot - Search & Destroy\Logs\Checks.100610-1347.log
c:\programdata\Spybot - Search & Destroy\Logs\Checks.100610-1423.txt
c:\programdata\Spybot - Search & Destroy\Logs\Checks.100610-1446.log
c:\programdata\Spybot - Search & Destroy\Logs\Checks.100610-1446.txt
c:\programdata\Spybot - Search & Destroy\Logs\Checks.100610-1455.log
c:\programdata\Spybot - Search & Destroy\Logs\Checks.100610-1527.txt
c:\programdata\Spybot - Search & Destroy\ProcCache.sbc
C:\UsbFix_Upload_Me_PC-de-Niouki.zip
c:\users\Niouki\AppData\Local\prvlcl.dat
c:\windows\system32\RENDDB1.tmp
c:\windows\system32\RENDDB2.tmp
c:\windows\system32\RENDDB3.tmp
Une copie infectée de c:\windows\system32\drivers\netbt.sys a été trouvée et désinfectée
Copie restaurée à partir de - Kitty had a snack![:p]( ":p")
.
--------------- FCopy ---------------
c:\windows\winsxs\x86_microsoft-windows-netbt_31bf3856ad364e35_6.0.6002.18005_none_6250416df465f2b1\netbt.sys --> c:\ske1.bak
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-05-24 au 2010-06-24 ))))))))))))))))))))))))))))))))))))
.
2010-06-24 16:44 . 2010-06-24 16:45 -------- d-----w- c:\users\Niouki\AppData\Local\temp
2010-06-24 16:44 . 2010-06-24 16:44 -------- d-----w- c:\users\Public\AppData\Local\temp
2010-06-24 16:44 . 2010-06-24 16:44 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-06-24 15:36 . 2010-06-24 15:36 -------- d-----w- c:\program files\SEAF
2010-06-17 14:02 . 2010-06-24 09:57 -------- d-----w- c:\program files\ZHPDiag
2010-06-11 11:13 . 2010-06-11 11:13 95024 ----a-w- c:\windows\system32\drivers\SBREDrv.sys
2010-06-11 11:03 . 2010-06-16 11:45 -------- d-----w- c:\programdata\Lavasoft
2010-05-29 09:22 . 2010-06-18 16:34 -------- d-----w- c:\users\Niouki\AppData\Roaming\vlc
2010-05-26 15:55 . 2010-05-26 15:55 -------- d-----w- c:\program files\Common Files\Java
2010-05-26 15:54 . 2010-04-12 15:29 411368 ----a-w- c:\windows\system32\deployJava1.dll
2010-05-26 12:21 . 2010-04-23 14:13 2048 ----a-w- c:\windows\system32\tzres.dll
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-24 16:40 . 2006-11-02 15:48 669566 ----a-w- c:\windows\system32\perfh00C.dat
2010-06-24 16:40 . 2006-11-02 15:48 123556 ----a-w- c:\windows\system32\perfc00C.dat
2010-06-08 19:25 . 2009-12-20 17:50 -------- d-----w- c:\program files\Guitar Pro 5
2010-06-05 10:55 . 2009-07-22 19:43 -------- d-----w- c:\program files\Microsoft Silverlight
2010-06-04 13:47 . 2009-11-11 10:57 242896 ----a-w- c:\windows\system32\drivers\avgtdix.sys
2010-06-04 13:47 . 2009-11-11 10:57 29584 ----a-w- c:\windows\system32\drivers\avgmfx86.sys
2010-05-26 15:54 . 2009-07-01 08:12 -------- d-----w- c:\program files\Java
2010-05-23 19:51 . 2010-05-23 19:51 50354 ----a-w- c:\users\Niouki\AppData\Roaming\Facebook\uninstall.exe
2010-05-23 19:51 . 2010-02-03 20:01 -------- d-----w- c:\users\Niouki\AppData\Roaming\Facebook
2010-05-17 18:13 . 2009-06-30 20:51 -------- d-----w- c:\program files\Windows Live
2010-05-13 09:46 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2010-05-09 12:40 . 2010-05-09 12:40 -------- d-----w- c:\program files\Microsoft Sync Framework
2010-05-09 12:39 . 2010-05-09 12:39 -------- d-----w- c:\program files\Microsoft
2010-05-09 12:38 . 2010-05-09 12:38 -------- d-----w- c:\program files\Common Files\Windows Live
2010-04-28 14:47 . 2010-04-28 14:46 -------- d-----w- c:\program files\iTunes
2010-04-28 14:46 . 2010-04-28 14:46 -------- d-----w- c:\program files\iPod
2010-04-28 14:46 . 2009-07-23 11:05 -------- d-----w- c:\program files\Common Files\Apple
2010-04-28 14:43 . 2009-07-23 11:08 -------- d-----w- c:\program files\Bonjour
2010-04-24 16:33 . 2010-04-24 16:33 73000 ----a-w- c:\programdata\Apple Computer\Installer Cache\iTunes 9.1.1.11\SetupAdmin.exe
2010-04-16 23:28 . 2010-04-16 23:28 307056 ----a-w- c:\windows\WLXPGSS.SCR
2010-04-16 20:12 . 2010-04-16 20:12 48464 ----a-w- c:\windows\system32\sirenacm.dll
2010-04-08 11:20 . 2010-04-08 11:20 91424 ----a-w- c:\windows\system32\dnssd.dll
2010-04-08 11:20 . 2010-04-08 11:20 107808 ----a-w- c:\windows\system32\dns-sd.exe
2010-04-06 09:33 . 2010-04-06 09:33 94208 ----a-w- c:\windows\amcap.exe
2010-04-04 08:47 . 2009-07-10 21:17 1 ----a-w- c:\users\Niouki\AppData\Roaming\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-03-29 22:46 . 2010-04-07 13:27 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-03-29 22:45 . 2010-04-07 13:27 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]
"Google Update"="c:\users\Niouki\AppData\Local\Google\Update\GoogleUpdate.exe" [2009-12-21 135664]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 202240]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Smart Watch Dog"="-c:\program files\Compal Electronics" [X]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-19 1008184]
"RtHDVCpl"="RtHDVCpl.exe" [2007-04-10 4431872]
"WLSS"="c:\program files\Compal\Wireless Select Switch\WLSS.exe" [2007-03-29 190000]
"snp2uvc"="c:\windows\vsnp2uvc.exe" [2006-12-29 569344]
"Wow Video&Audio"="c:\program files\Compal\Wow Video&Audio\WVAMain.exe" [2007-04-12 947760]
"ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" [2004-08-09 81920]
"SmtLauncher"="c:\program files\Compal\Smart Tracing\SmLaunch.exe" [2007-04-12 13312]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2006-04-23 174872]
"SMSERIAL"="c:\program files\Motorola\SMSERIAL\sm56hlpr.exe" [2009-05-05 1466368]
"NvSvc"="c:\windows\system32\nvsvc.dll" [2008-01-11 92704]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-01-11 8534560]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-01-11 88608]
"AVG9_TRAY"="c:\progra~1\AVG\AVG9\avgtray.exe" [2010-06-04 2065248]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-02-18 248040]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-04-04 36272]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-17 421888]
"NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-04-24 142120]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\System32\avgrsstx.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):c9,a7,46,dc,0a,54,ca,01
R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\Drivers\avgldx86.sys [2010-03-13 216200]
R2 ATE_PROCMON;ATE_PROCMON;c:\program files\Anti Trojan Elite\ATEPMon.sys [x]
R2 avg9emc;AVG Free E-mail Scanner;c:\program files\AVG\AVG9\avgemc.exe [2010-03-13 916760]
R3 ActionReplayDS;ActionReplayDS;c:\windows\system32\Drivers\ActionReplayDS.sys [2007-02-08 29184]
R4 sptd;sptd;c:\windows\system32\Drivers\sptd.sys [2009-12-20 691696]
S0 EMSC;COMPAL Embedded System Control;c:\windows\system32\DRIVERS\EMSC.SYS [2007-02-13 11776]
S1 AvgTdiX;AVG Free Network Redirector;c:\windows\system32\Drivers\avgtdix.sys [2010-06-04 242896]
S2 avg9wd;AVG Free WatchDog;c:\program files\AVG\AVG9\avgwdsvc.exe [2010-03-13 308064]
S2 Smart Watchdog;Smart Watchdog Service;c:\program files\Compal Electronics, INC\Smart Watchdog\SWDsvc.exe [2007-04-19 114688]
S3 b57nd60x;%SvcDispName%;c:\windows\system32\DRIVERS\b57nd60x.sys [2008-01-19 179712]
S3 CamFilter;CamFilter;c:\windows\system32\Drivers\CamFilter.sys [2009-06-30 17408]
S3 enecir;ENE CIR Receiver;c:\windows\system32\DRIVERS\enecir.sys [2007-03-07 32256]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
.
Contenu du dossier 'Tâches planifiées'
2010-06-23 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-4271400101-1776489150-3921235929-1000Core.job
- c:\users\Niouki\AppData\Local\Google\Update\GoogleUpdate.exe [2009-12-21 18:19]
2010-06-24 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-4271400101-1776489150-3921235929-1000UA.job
- c:\users\Niouki\AppData\Local\Google\Update\GoogleUpdate.exe [2009-12-21 18:19]
.
.
------- Examen supplémentaire -------
.
mWindow Title =
uInternet Settings,ProxyOverride = *.local
FF - ProfilePath - c:\users\Niouki\AppData\Roaming\Mozilla\Firefox\Profiles\x0dy2hkl.default\
FF - prefs.js: browser.startup.homepage - www.google.fr
FF - prefs.js: keyword.URL - hxxp://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navcli...
FF - component: c:\program files\AVG\AVG9\Firefox\components\avgssff.dll
FF - plugin: c:\program files\Java\jre6\bin\npdeployJava1.dll
FF - plugin: c:\program files\Java\jre6\bin\npjpi160_20.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - plugin: c:\programdata\id Software\QuakeLive\npquakezero.dll
FF - plugin: c:\users\Niouki\AppData\Local\Google\Update\1.2.183.29\npGoogleOneClick8.dll
FF - plugin: c:\users\Niouki\AppData\Roaming\Facebook\npfbplugin_1_0_1.dll
FF - plugin: c:\users\Niouki\AppData\Roaming\Facebook\npfbplugin_1_0_3.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- PARAMETRES FIREFOX ----
FF - user.js: yahoo.homepage.dontask - truec:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type", 5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 10);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-06-24 18:45
Windows 6.0.6002 Service Pack 2 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\WLANExt.exe
c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Intel\Wireless\Bin\EvtEng.exe
c:\program files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\program files\AVG\AVG9\avgnsx.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\PnkBstrB.exe
c:\program files\Intel\Wireless\Bin\RegSrvc.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\windows\system32\conime.exe
c:\windows\system32\WUDFHost.exe
c:\program files\AVG\AVG9\avgchsvx.exe
c:\windows\RtHDVCpl.exe
c:\windows\System32\rundll32.exe
c:\program files\AVG\AVG9\avgtray.exe
c:\windows\ehome\ehmsas.exe
c:\windows\System32\rundll32.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\program files\iPod\bin\iPodService.exe
c:\windows\servicing\TrustedInstaller.exe
.
**************************************************************************
.
Heure de fin: 2010-06-24 18:52:21 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-06-24 16:52
ComboFix2.txt 2010-06-24 11:13
Avant-CF: 12 451 962 880 octets libres
Après-CF: 12 427 788 288 octets libres
- - End Of File - - F985CEA4F0FD56745EFC596F0232AD14
ComboFix 10-06-21.03 - Niouki 24/06/2010 18:36:58.2.2 - x86
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.2046.1144 [GMT 2:00]
Lancé depuis: c:\users\Niouki\Desktop\ske.exe
Commutateurs utilisés :: c:\users\Niouki\Desktop\CFScript.txt
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
* Un nouveau point de restauration a été créé
FILE ::
"C:\UsbFix_Upload_Me_PC-de-Niouki.zip"
"c:\users\Niouki\AppData\Local\prvlcl.dat"
"c:\windows\system32\RENDDB1.tmp"
"c:\windows\system32\RENDDB2.tmp"
"c:\windows\system32\RENDDB3.tmp"
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\program files\Spybot - Search & Destroy
c:\program files\Spybot - Search & Destroy\advcheck.dll
c:\program files\Spybot - Search & Destroy\SDWinSec.exe
c:\program files\Spybot - Search & Destroy\TeaTimer.exe
c:\programdata\Spybot - Search & Destroy
c:\programdata\Spybot - Search & Destroy\Logs\Checks.100610-1347.log
c:\programdata\Spybot - Search & Destroy\Logs\Checks.100610-1423.txt
c:\programdata\Spybot - Search & Destroy\Logs\Checks.100610-1446.log
c:\programdata\Spybot - Search & Destroy\Logs\Checks.100610-1446.txt
c:\programdata\Spybot - Search & Destroy\Logs\Checks.100610-1455.log
c:\programdata\Spybot - Search & Destroy\Logs\Checks.100610-1527.txt
c:\programdata\Spybot - Search & Destroy\ProcCache.sbc
C:\UsbFix_Upload_Me_PC-de-Niouki.zip
c:\users\Niouki\AppData\Local\prvlcl.dat
c:\windows\system32\RENDDB1.tmp
c:\windows\system32\RENDDB2.tmp
c:\windows\system32\RENDDB3.tmp
Une copie infectée de c:\windows\system32\drivers\netbt.sys a été trouvée et désinfectée
Copie restaurée à partir de - Kitty had a snack
.
--------------- FCopy ---------------
c:\windows\winsxs\x86_microsoft-windows-netbt_31bf3856ad364e35_6.0.6002.18005_none_6250416df465f2b1\netbt.sys --> c:\ske1.bak
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-05-24 au 2010-06-24 ))))))))))))))))))))))))))))))))))))
.
2010-06-24 16:44 . 2010-06-24 16:45 -------- d-----w- c:\users\Niouki\AppData\Local\temp
2010-06-24 16:44 . 2010-06-24 16:44 -------- d-----w- c:\users\Public\AppData\Local\temp
2010-06-24 16:44 . 2010-06-24 16:44 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-06-24 15:36 . 2010-06-24 15:36 -------- d-----w- c:\program files\SEAF
2010-06-17 14:02 . 2010-06-24 09:57 -------- d-----w- c:\program files\ZHPDiag
2010-06-11 11:13 . 2010-06-11 11:13 95024 ----a-w- c:\windows\system32\drivers\SBREDrv.sys
2010-06-11 11:03 . 2010-06-16 11:45 -------- d-----w- c:\programdata\Lavasoft
2010-05-29 09:22 . 2010-06-18 16:34 -------- d-----w- c:\users\Niouki\AppData\Roaming\vlc
2010-05-26 15:55 . 2010-05-26 15:55 -------- d-----w- c:\program files\Common Files\Java
2010-05-26 15:54 . 2010-04-12 15:29 411368 ----a-w- c:\windows\system32\deployJava1.dll
2010-05-26 12:21 . 2010-04-23 14:13 2048 ----a-w- c:\windows\system32\tzres.dll
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-24 16:40 . 2006-11-02 15:48 669566 ----a-w- c:\windows\system32\perfh00C.dat
2010-06-24 16:40 . 2006-11-02 15:48 123556 ----a-w- c:\windows\system32\perfc00C.dat
2010-06-08 19:25 . 2009-12-20 17:50 -------- d-----w- c:\program files\Guitar Pro 5
2010-06-05 10:55 . 2009-07-22 19:43 -------- d-----w- c:\program files\Microsoft Silverlight
2010-06-04 13:47 . 2009-11-11 10:57 242896 ----a-w- c:\windows\system32\drivers\avgtdix.sys
2010-06-04 13:47 . 2009-11-11 10:57 29584 ----a-w- c:\windows\system32\drivers\avgmfx86.sys
2010-05-26 15:54 . 2009-07-01 08:12 -------- d-----w- c:\program files\Java
2010-05-23 19:51 . 2010-05-23 19:51 50354 ----a-w- c:\users\Niouki\AppData\Roaming\Facebook\uninstall.exe
2010-05-23 19:51 . 2010-02-03 20:01 -------- d-----w- c:\users\Niouki\AppData\Roaming\Facebook
2010-05-17 18:13 . 2009-06-30 20:51 -------- d-----w- c:\program files\Windows Live
2010-05-13 09:46 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2010-05-09 12:40 . 2010-05-09 12:40 -------- d-----w- c:\program files\Microsoft Sync Framework
2010-05-09 12:39 . 2010-05-09 12:39 -------- d-----w- c:\program files\Microsoft
2010-05-09 12:38 . 2010-05-09 12:38 -------- d-----w- c:\program files\Common Files\Windows Live
2010-04-28 14:47 . 2010-04-28 14:46 -------- d-----w- c:\program files\iTunes
2010-04-28 14:46 . 2010-04-28 14:46 -------- d-----w- c:\program files\iPod
2010-04-28 14:46 . 2009-07-23 11:05 -------- d-----w- c:\program files\Common Files\Apple
2010-04-28 14:43 . 2009-07-23 11:08 -------- d-----w- c:\program files\Bonjour
2010-04-24 16:33 . 2010-04-24 16:33 73000 ----a-w- c:\programdata\Apple Computer\Installer Cache\iTunes 9.1.1.11\SetupAdmin.exe
2010-04-16 23:28 . 2010-04-16 23:28 307056 ----a-w- c:\windows\WLXPGSS.SCR
2010-04-16 20:12 . 2010-04-16 20:12 48464 ----a-w- c:\windows\system32\sirenacm.dll
2010-04-08 11:20 . 2010-04-08 11:20 91424 ----a-w- c:\windows\system32\dnssd.dll
2010-04-08 11:20 . 2010-04-08 11:20 107808 ----a-w- c:\windows\system32\dns-sd.exe
2010-04-06 09:33 . 2010-04-06 09:33 94208 ----a-w- c:\windows\amcap.exe
2010-04-04 08:47 . 2009-07-10 21:17 1 ----a-w- c:\users\Niouki\AppData\Roaming\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-03-29 22:46 . 2010-04-07 13:27 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-03-29 22:45 . 2010-04-07 13:27 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]
"Google Update"="c:\users\Niouki\AppData\Local\Google\Update\GoogleUpdate.exe" [2009-12-21 135664]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 202240]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Smart Watch Dog"="-c:\program files\Compal Electronics" [X]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-19 1008184]
"RtHDVCpl"="RtHDVCpl.exe" [2007-04-10 4431872]
"WLSS"="c:\program files\Compal\Wireless Select Switch\WLSS.exe" [2007-03-29 190000]
"snp2uvc"="c:\windows\vsnp2uvc.exe" [2006-12-29 569344]
"Wow Video&Audio"="c:\program files\Compal\Wow Video&Audio\WVAMain.exe" [2007-04-12 947760]
"ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" [2004-08-09 81920]
"SmtLauncher"="c:\program files\Compal\Smart Tracing\SmLaunch.exe" [2007-04-12 13312]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2006-04-23 174872]
"SMSERIAL"="c:\program files\Motorola\SMSERIAL\sm56hlpr.exe" [2009-05-05 1466368]
"NvSvc"="c:\windows\system32\nvsvc.dll" [2008-01-11 92704]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-01-11 8534560]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-01-11 88608]
"AVG9_TRAY"="c:\progra~1\AVG\AVG9\avgtray.exe" [2010-06-04 2065248]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-02-18 248040]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-04-04 36272]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-17 421888]
"NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-04-24 142120]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\System32\avgrsstx.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):c9,a7,46,dc,0a,54,ca,01
R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\Drivers\avgldx86.sys [2010-03-13 216200]
R2 ATE_PROCMON;ATE_PROCMON;c:\program files\Anti Trojan Elite\ATEPMon.sys [x]
R2 avg9emc;AVG Free E-mail Scanner;c:\program files\AVG\AVG9\avgemc.exe [2010-03-13 916760]
R3 ActionReplayDS;ActionReplayDS;c:\windows\system32\Drivers\ActionReplayDS.sys [2007-02-08 29184]
R4 sptd;sptd;c:\windows\system32\Drivers\sptd.sys [2009-12-20 691696]
S0 EMSC;COMPAL Embedded System Control;c:\windows\system32\DRIVERS\EMSC.SYS [2007-02-13 11776]
S1 AvgTdiX;AVG Free Network Redirector;c:\windows\system32\Drivers\avgtdix.sys [2010-06-04 242896]
S2 avg9wd;AVG Free WatchDog;c:\program files\AVG\AVG9\avgwdsvc.exe [2010-03-13 308064]
S2 Smart Watchdog;Smart Watchdog Service;c:\program files\Compal Electronics, INC\Smart Watchdog\SWDsvc.exe [2007-04-19 114688]
S3 b57nd60x;%SvcDispName%;c:\windows\system32\DRIVERS\b57nd60x.sys [2008-01-19 179712]
S3 CamFilter;CamFilter;c:\windows\system32\Drivers\CamFilter.sys [2009-06-30 17408]
S3 enecir;ENE CIR Receiver;c:\windows\system32\DRIVERS\enecir.sys [2007-03-07 32256]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
.
Contenu du dossier 'Tâches planifiées'
2010-06-23 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-4271400101-1776489150-3921235929-1000Core.job
- c:\users\Niouki\AppData\Local\Google\Update\GoogleUpdate.exe [2009-12-21 18:19]
2010-06-24 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-4271400101-1776489150-3921235929-1000UA.job
- c:\users\Niouki\AppData\Local\Google\Update\GoogleUpdate.exe [2009-12-21 18:19]
.
.
------- Examen supplémentaire -------
.
mWindow Title =
uInternet Settings,ProxyOverride = *.local
FF - ProfilePath - c:\users\Niouki\AppData\Roaming\Mozilla\Firefox\Profiles\x0dy2hkl.default\
FF - prefs.js: browser.startup.homepage - www.google.fr
FF - prefs.js: keyword.URL - hxxp://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navcli...
FF - component: c:\program files\AVG\AVG9\Firefox\components\avgssff.dll
FF - plugin: c:\program files\Java\jre6\bin\npdeployJava1.dll
FF - plugin: c:\program files\Java\jre6\bin\npjpi160_20.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - plugin: c:\programdata\id Software\QuakeLive\npquakezero.dll
FF - plugin: c:\users\Niouki\AppData\Local\Google\Update\1.2.183.29\npGoogleOneClick8.dll
FF - plugin: c:\users\Niouki\AppData\Roaming\Facebook\npfbplugin_1_0_1.dll
FF - plugin: c:\users\Niouki\AppData\Roaming\Facebook\npfbplugin_1_0_3.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- PARAMETRES FIREFOX ----
FF - user.js: yahoo.homepage.dontask - truec:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type", 5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 10);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-06-24 18:45
Windows 6.0.6002 Service Pack 2 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\WLANExt.exe
c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Intel\Wireless\Bin\EvtEng.exe
c:\program files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\program files\AVG\AVG9\avgnsx.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\PnkBstrB.exe
c:\program files\Intel\Wireless\Bin\RegSrvc.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\windows\system32\conime.exe
c:\windows\system32\WUDFHost.exe
c:\program files\AVG\AVG9\avgchsvx.exe
c:\windows\RtHDVCpl.exe
c:\windows\System32\rundll32.exe
c:\program files\AVG\AVG9\avgtray.exe
c:\windows\ehome\ehmsas.exe
c:\windows\System32\rundll32.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\program files\iPod\bin\iPodService.exe
c:\windows\servicing\TrustedInstaller.exe
.
**************************************************************************
.
Heure de fin: 2010-06-24 18:52:21 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-06-24 16:52
ComboFix2.txt 2010-06-24 11:13
Avant-CF: 12 451 962 880 octets libres
Après-CF: 12 427 788 288 octets libres
- - End Of File - - F985CEA4F0FD56745EFC596F0232AD14
Re,
tient ... bisard ...
Combo est arrivé sur ce deuxième passage à réparer le fichier infecté ...
dis moi , l'outil a fait une mise à jour sur ce deuxieme passage non ?
On va réutiliser GMER pour contrôler :
!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes tes applications le temps de la manipe ( naviguateurs compris ) !!
* Clique droit / "executer en tant qu'admin..." sur gmer.exe pour lancer l'outil.
* Met toi bien sur l'onglet "rootkit".
* Au niveau des options, coche uniquement " Files "
* puis clique sur scan .
> laisse travailler et ne touche à rien ! ( cela est relativement long, donc patience ... )
* A la fin du scan, clique sur le bouton copy.
* Puis va dans le menu "démarrer"> "programmes" > accessoires : ouvre le bloc-note et clique sur CTRL+V afin de copier le rapport dans ce même bloc-note.
> poste le contenu du rapport stp ...
tient ... bisard ...
Combo est arrivé sur ce deuxième passage à réparer le fichier infecté ...
dis moi , l'outil a fait une mise à jour sur ce deuxieme passage non ?
On va réutiliser GMER pour contrôler :
!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes tes applications le temps de la manipe ( naviguateurs compris ) !!
* Clique droit / "executer en tant qu'admin..." sur gmer.exe pour lancer l'outil.
* Met toi bien sur l'onglet "rootkit".
* Au niveau des options, coche uniquement " Files "
* puis clique sur scan .
> laisse travailler et ne touche à rien ! ( cela est relativement long, donc patience ... )
* A la fin du scan, clique sur le bouton copy.
* Puis va dans le menu "démarrer"> "programmes" > accessoires : ouvre le bloc-note et clique sur CTRL+V afin de copier le rapport dans ce même bloc-note.
> poste le contenu du rapport stp ...
Il n'y a pas eut de mise à jour à ma connaissance, mais peut-être qu'un moment d'inatention a permis d'en faire une. Je n'ai rien eut à valider en tout cas!
Là j'ai un soucis plutôt important, je n'ai plus accès à internet sur mon portable, et je l'ai sur le PC familial! Le soucis vient donc de mon portable...
Là j'ai un soucis plutôt important, je n'ai plus accès à internet sur mon portable, et je l'ai sur le PC familial! Le soucis vient donc de mon portable...
hello,
tu as récupéré ta connexion ou pas ? ...
j'attends ce que j'ai demandé ici > http://www.infos-du-net.com/forum/293899-11-infections#...
si tu n'as toujours pas ta connexion après un reboot , essaye ceci > http://www.bleepingcomputer.com/combofix/fr/comment-uti...
tu as récupéré ta connexion ou pas ? ...
j'attends ce que j'ai demandé ici > http://www.infos-du-net.com/forum/293899-11-infections#...
si tu n'as toujours pas ta connexion après un reboot , essaye ceci > http://www.bleepingcomputer.com/combofix/fr/comment-uti...
Oki,
donc :
si tu n'as toujours pas ta connexion après un reboot , essaye ceci > http://www.bleepingcomputer.com/combofix/fr/comment-uti...
donc :
Citation :
j'attends ce que j'ai demandé ici > http://www.infos-du-net.com/forum/293899-11-infections#...si tu n'as toujours pas ta connexion après un reboot , essaye ceci > http://www.bleepingcomputer.com/combofix/fr/comment-uti...
Me voici sur mon portable, celui que l'on désinfecte donc. Comme tu le vois j'ai récupéré la connexion sans rien faire.
Vista s'est mis à jour au démarrage, avant ça il y avait un écran noir avec des noms de dossiers, je ne sais pas trop ce que c'était, je ne l'avais jamais vu. Peut-être que ça peut t'être utile, je le précise donc![;)]( ";)")
Je me lance de ce pas dans ce que tu m'as demandé!
EDIT Gmer me dit qu'il n'a détecté aucune modification, dans le doute je demande confirmation, est-ce qu'il faut aussi décocher C:\, ADS et Show All ?
Autre chose, puis-je :
- utiliser iTunes pour écouter de la musique et changer de musiques sur mon ipod ?
- consulter gmail et facebook ?
Merci!
Vista s'est mis à jour au démarrage, avant ça il y avait un écran noir avec des noms de dossiers, je ne sais pas trop ce que c'était, je ne l'avais jamais vu. Peut-être que ça peut t'être utile, je le précise donc
Je me lance de ce pas dans ce que tu m'as demandé!
EDIT Gmer me dit qu'il n'a détecté aucune modification, dans le doute je demande confirmation, est-ce qu'il faut aussi décocher C:\, ADS et Show All ?
Autre chose, puis-je :
- utiliser iTunes pour écouter de la musique et changer de musiques sur mon ipod ?
- consulter gmail et facebook ?
Merci!
oki ...
dis moi si tu as encore des redirections lors des recherches sur Google ...
Puis refais un scan ZHPDiag " en tant qu'admin...".
* Coche bien toutes les options ( sauf les 045 et 061 )
* Au niveau du bouton "calendrier" choisis > 30 days
> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...
dis moi si tu as encore des redirections lors des recherches sur Google ...
Puis refais un scan ZHPDiag " en tant qu'admin...".
* Coche bien toutes les options ( sauf les 045 et 061 )
* Au niveau du bouton "calendrier" choisis > 30 days
> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...
Auparavant les recherches Google n'aboutissaient pas toujours à des ouvertures de pages, donc je ne peux pas te dire si il n'y en a plus avec certitude, peut-être que ça va arriver de nouveau. En tout cas je viens d'en faire une dizaine, avec des sujets qui pourraient titiller genre banques, sites de vente en ligne, et aucune redirection!
Je m'occupe de suite de la procédure!
Je m'occupe de suite de la procédure!
Voici le rapport (ça a marché cette fois, je ne comprends pas pourquoi, tant mieux!) :
http://www.cijoint.fr/cjlink.php?file=cj201007/cijrrPQt...
http://www.cijoint.fr/cjlink.php?file=cj201007/cijrrPQt...
Re,
grrr ... quelque chose ne me plait pas dans ce rapport ....
on va reprendre ... dans l'ordre :
1- Utilisation de l'outil ZHPFix :
* Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
> Puis Lance ZHPFix " en tant qu'admin..." depuis le raccouci du bureau .
* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .
* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .
Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
* Puis clique sur le bouton [ OK ] .
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien !
!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!
* Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .
* Enfin clique sur le bouton [ Nettoyer ] .
-> laisse travailler l'outil et ne touche à rien ...
Une fois terminée , un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...
( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )
Important : si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le de suite !
Pense à réactiver tes défenses une fois la procédure terminée !...
( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )
=============================
2- Refait un san avec l'outil Combofix ( ske.exe ) comme indiqué ici ( étape 3 ) > http://www.infos-du-net.com/forum/293899-11-infections#...
L'outil va surement te demander de se mettre à jour : accepte ! ...
poste le nouveau rapport obtenu pour analyse ....
grrr ... quelque chose ne me plait pas dans ce rapport ....
on va reprendre ... dans l'ordre :
1- Utilisation de l'outil ZHPFix :
* Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe
> Puis Lance ZHPFix " en tant qu'admin..." depuis le raccouci du bureau .
* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .
* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .
Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
* Puis clique sur le bouton [ OK ] .
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien !
!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!
* Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .
* Enfin clique sur le bouton [ Nettoyer ] .
-> laisse travailler l'outil et ne touche à rien ...
Une fois terminée , un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...
( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )
Important : si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le de suite !
Pense à réactiver tes défenses une fois la procédure terminée !...
( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )
=============================
2- Refait un san avec l'outil Combofix ( ske.exe ) comme indiqué ici ( étape 3 ) > http://www.infos-du-net.com/forum/293899-11-infections#...
L'outil va surement te demander de se mettre à jour : accepte ! ...
poste le nouveau rapport obtenu pour analyse ....
ZHPFix v1.12.3108 by Nicolas Coolman - Rapport de suppression du 01/07/2010 13:54:59
Fichier Registre :
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.ht...
Contact : nicolascoolman@yahoo.fr
Processus mémoire :
(Néant)
Module mémoire :
(Néant)
Clé du Registre :
(Néant)
Valeur du Registre :
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur supprimée avec succès
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur absente
Elément de données du Registre :
(Néant)
Préférences navigateur :
(Néant)
Dossier :
(Néant)
Fichier :
(Néant)
Logiciel :
(Néant)
Script Registre :
(Néant)
Master Boot Record :
(Néant)
Autre :
(Néant)
Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 2
Elément de données du Registre : 0
Dossier : 0
Fichier : 0
Logiciel : 0
Master Boot Record : 0
Préférences navigateur : 0
Autre : 0
End of the scan
____________
Je te fais passer la suite sous peu![;)]( ";)")
Fichier Registre :
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.ht...
Contact : nicolascoolman@yahoo.fr
Processus mémoire :
(Néant)
Module mémoire :
(Néant)
Clé du Registre :
(Néant)
Valeur du Registre :
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur supprimée avec succès
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur absente
Elément de données du Registre :
(Néant)
Préférences navigateur :
(Néant)
Dossier :
(Néant)
Fichier :
(Néant)
Logiciel :
(Néant)
Script Registre :
(Néant)
Master Boot Record :
(Néant)
Autre :
(Néant)
Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 2
Elément de données du Registre : 0
Dossier : 0
Fichier : 0
Logiciel : 0
Master Boot Record : 0
Préférences navigateur : 0
Autre : 0
End of the scan
____________
Je te fais passer la suite sous peu
ComboFix 10-06-21.03 - Niouki 01/07/2010 14:11:58.3.2 - x86
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.2046.1152 [GMT 2:00]
Lancé depuis: c:\users\Niouki\Desktop\ske.exe
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.
- Mode FONCTIONNALITES REDUITES -
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-06-01 au 2010-07-01 ))))))))))))))))))))))))))))))))))))
.
2010-06-24 15:36 . 2010-06-24 15:36 -------- d-----w- c:\program files\SEAF
2010-06-17 14:02 . 2010-07-01 11:09 -------- d-----w- c:\program files\ZHPDiag
2010-06-11 11:13 . 2010-06-11 11:13 95024 ----a-w- c:\windows\system32\drivers\SBREDrv.sys
2010-06-11 11:03 . 2010-06-16 11:45 -------- d-----w- c:\programdata\Lavasoft
2010-06-09 08:06 . 2010-06-09 08:06 976832 ----a-w- c:\programdata\Adobe\Reader\9.3\ARM\26022\AdobeARM.exe
2010-06-09 08:06 . 2010-06-09 08:06 70584 ----a-w- c:\programdata\Adobe\Reader\9.3\ARM\26022\AdobeExtractFiles.dll
2010-06-09 08:06 . 2010-06-09 08:06 331176 ----a-w- c:\programdata\Adobe\Reader\9.3\ARM\26022\ReaderUpdater.exe
2010-06-09 08:06 . 2010-06-09 08:06 331176 ----a-w- c:\programdata\Adobe\Reader\9.3\ARM\26022\AcrobatUpdater.exe
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-01 08:52 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2010-06-29 08:18 . 2006-11-02 15:48 673938 ----a-w- c:\windows\system32\perfh00C.dat
2010-06-29 08:18 . 2006-11-02 15:48 125636 ----a-w- c:\windows\system32\perfc00C.dat
2010-06-18 16:34 . 2010-05-29 09:22 -------- d-----w- c:\users\Niouki\AppData\Roaming\vlc
2010-06-08 19:25 . 2009-12-20 17:50 -------- d-----w- c:\program files\Guitar Pro 5
2010-06-05 10:55 . 2009-07-22 19:43 -------- d-----w- c:\program files\Microsoft Silverlight
2010-06-04 13:47 . 2009-11-11 10:57 242896 ----a-w- c:\windows\system32\drivers\avgtdix.sys
2010-06-04 13:47 . 2009-11-11 10:57 29584 ----a-w- c:\windows\system32\drivers\avgmfx86.sys
2010-05-26 15:55 . 2010-05-26 15:55 -------- d-----w- c:\program files\Common Files\Java
2010-04-08 11:20 . 2010-04-08 11:20 91424 ----a-w- c:\windows\system32\dnssd.dll
2010-04-08 11:20 . 2010-04-08 11:20 107808 ----a-w- c:\windows\system32\dns-sd.exe
2010-04-06 09:33 . 2010-04-06 09:33 94208 ----a-w- c:\windows\amcap.exe
2010-04-04 08:47 . 2009-07-10 21:17 1 ----a-w- c:\users\Niouki\AppData\Roaming\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]
"Google Update"="c:\users\Niouki\AppData\Local\Google\Update\GoogleUpdate.exe" [2009-12-21 135664]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 202240]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Smart Watch Dog"="-c:\program files\Compal Electronics" [X]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-19 1008184]
"RtHDVCpl"="RtHDVCpl.exe" [2007-04-10 4431872]
"WLSS"="c:\program files\Compal\Wireless Select Switch\WLSS.exe" [2007-03-29 190000]
"snp2uvc"="c:\windows\vsnp2uvc.exe" [2006-12-29 569344]
"Wow Video&Audio"="c:\program files\Compal\Wow Video&Audio\WVAMain.exe" [2007-04-12 947760]
"ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" [2004-08-09 81920]
"SmtLauncher"="c:\program files\Compal\Smart Tracing\SmLaunch.exe" [2007-04-12 13312]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2006-04-23 174872]
"SMSERIAL"="c:\program files\Motorola\SMSERIAL\sm56hlpr.exe" [2009-05-05 1466368]
"NvSvc"="c:\windows\system32\nvsvc.dll" [2008-01-11 92704]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-01-11 8534560]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-01-11 88608]
"AVG9_TRAY"="c:\progra~1\AVG\AVG9\avgtray.exe" [2010-06-04 2065248]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-02-18 248040]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-04-04 36272]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-17 421888]
"NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-04-24 142120]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\System32\avgrsstx.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):c9,a7,46,dc,0a,54,ca,01
R2 ATE_PROCMON;ATE_PROCMON;c:\program files\Anti Trojan Elite\ATEPMon.sys [x]
R3 ActionReplayDS;ActionReplayDS;c:\windows\system32\Drivers\ActionReplayDS.sys [2007-02-08 29184]
R4 sptd;sptd;c:\windows\system32\Drivers\sptd.sys [2009-12-20 691696]
S0 EMSC;COMPAL Embedded System Control;c:\windows\system32\DRIVERS\EMSC.SYS [2007-02-13 11776]
S1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\Drivers\avgldx86.sys [2010-03-13 216200]
S1 AvgTdiX;AVG Free Network Redirector;c:\windows\system32\Drivers\avgtdix.sys [2010-06-04 242896]
S2 avg9emc;AVG Free E-mail Scanner;c:\program files\AVG\AVG9\avgemc.exe [2010-03-13 916760]
S2 avg9wd;AVG Free WatchDog;c:\program files\AVG\AVG9\avgwdsvc.exe [2010-03-13 308064]
S2 Smart Watchdog;Smart Watchdog Service;c:\program files\Compal Electronics, INC\Smart Watchdog\SWDsvc.exe [2007-04-19 114688]
S3 b57nd60x;%SvcDispName%;c:\windows\system32\DRIVERS\b57nd60x.sys [2008-01-19 179712]
S3 CamFilter;CamFilter;c:\windows\system32\Drivers\CamFilter.sys [2009-06-30 17408]
S3 enecir;ENE CIR Receiver;c:\windows\system32\DRIVERS\enecir.sys [2007-03-07 32256]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
.
Contenu du dossier 'Tâches planifiées'
2010-06-24 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-4271400101-1776489150-3921235929-1000Core.job
- c:\users\Niouki\AppData\Local\Google\Update\GoogleUpdate.exe [2009-12-21 18:19]
2010-07-01 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-4271400101-1776489150-3921235929-1000UA.job
- c:\users\Niouki\AppData\Local\Google\Update\GoogleUpdate.exe [2009-12-21 18:19]
.
.
------- Examen supplémentaire -------
.
mWindow Title =
uInternet Settings,ProxyOverride = *.local
FF - ProfilePath - c:\users\Niouki\AppData\Roaming\Mozilla\Firefox\Profiles\x0dy2hkl.default\
FF - prefs.js: browser.startup.homepage - www.google.fr
FF - prefs.js: keyword.URL - hxxp://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navcli...
FF - component: c:\program files\AVG\AVG9\Firefox\components\avgssff.dll
FF - plugin: c:\program files\Java\jre6\bin\npdeployJava1.dll
FF - plugin: c:\program files\Java\jre6\bin\npjpi160_20.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - plugin: c:\programdata\id Software\QuakeLive\npquakezero.dll
FF - plugin: c:\users\Niouki\AppData\Local\Google\Update\1.2.183.29\npGoogleOneClick8.dll
FF - plugin: c:\users\Niouki\AppData\Roaming\Facebook\npfbplugin_1_0_1.dll
FF - plugin: c:\users\Niouki\AppData\Roaming\Facebook\npfbplugin_1_0_3.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- PARAMETRES FIREFOX ----
FF - user.js: yahoo.homepage.dontask - truec:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type", 5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - ORPHELINS SUPPRIMES - - - -
AddRemove-Microsoft .NET Framework 4 Client Profile - c:\windows\Microsoft.NET\Framework\v4.0.30319\SetupCache\Client\Setup.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-07-01 14:13
Windows 6.0.6002 Service Pack 2 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5
.
Heure de fin: 2010-07-01 14:16:28
ComboFix-quarantined-files.txt 2010-07-01 12:16
ComboFix2.txt 2010-06-24 16:52
ComboFix3.txt 2010-06-24 11:13
Avant-CF: 9 768 787 968 octets libres
Après-CF: 9 647 955 968 octets libres
- - End Of File - - A35E5A9958CA483C14B2CC60EA416443
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.2046.1152 [GMT 2:00]
Lancé depuis: c:\users\Niouki\Desktop\ske.exe
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.
- Mode FONCTIONNALITES REDUITES -
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-06-01 au 2010-07-01 ))))))))))))))))))))))))))))))))))))
.
2010-06-24 15:36 . 2010-06-24 15:36 -------- d-----w- c:\program files\SEAF
2010-06-17 14:02 . 2010-07-01 11:09 -------- d-----w- c:\program files\ZHPDiag
2010-06-11 11:13 . 2010-06-11 11:13 95024 ----a-w- c:\windows\system32\drivers\SBREDrv.sys
2010-06-11 11:03 . 2010-06-16 11:45 -------- d-----w- c:\programdata\Lavasoft
2010-06-09 08:06 . 2010-06-09 08:06 976832 ----a-w- c:\programdata\Adobe\Reader\9.3\ARM\26022\AdobeARM.exe
2010-06-09 08:06 . 2010-06-09 08:06 70584 ----a-w- c:\programdata\Adobe\Reader\9.3\ARM\26022\AdobeExtractFiles.dll
2010-06-09 08:06 . 2010-06-09 08:06 331176 ----a-w- c:\programdata\Adobe\Reader\9.3\ARM\26022\ReaderUpdater.exe
2010-06-09 08:06 . 2010-06-09 08:06 331176 ----a-w- c:\programdata\Adobe\Reader\9.3\ARM\26022\AcrobatUpdater.exe
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-01 08:52 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2010-06-29 08:18 . 2006-11-02 15:48 673938 ----a-w- c:\windows\system32\perfh00C.dat
2010-06-29 08:18 . 2006-11-02 15:48 125636 ----a-w- c:\windows\system32\perfc00C.dat
2010-06-18 16:34 . 2010-05-29 09:22 -------- d-----w- c:\users\Niouki\AppData\Roaming\vlc
2010-06-08 19:25 . 2009-12-20 17:50 -------- d-----w- c:\program files\Guitar Pro 5
2010-06-05 10:55 . 2009-07-22 19:43 -------- d-----w- c:\program files\Microsoft Silverlight
2010-06-04 13:47 . 2009-11-11 10:57 242896 ----a-w- c:\windows\system32\drivers\avgtdix.sys
2010-06-04 13:47 . 2009-11-11 10:57 29584 ----a-w- c:\windows\system32\drivers\avgmfx86.sys
2010-05-26 15:55 . 2010-05-26 15:55 -------- d-----w- c:\program files\Common Files\Java
2010-04-08 11:20 . 2010-04-08 11:20 91424 ----a-w- c:\windows\system32\dnssd.dll
2010-04-08 11:20 . 2010-04-08 11:20 107808 ----a-w- c:\windows\system32\dns-sd.exe
2010-04-06 09:33 . 2010-04-06 09:33 94208 ----a-w- c:\windows\amcap.exe
2010-04-04 08:47 . 2009-07-10 21:17 1 ----a-w- c:\users\Niouki\AppData\Roaming\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]
"Google Update"="c:\users\Niouki\AppData\Local\Google\Update\GoogleUpdate.exe" [2009-12-21 135664]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 202240]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Smart Watch Dog"="-c:\program files\Compal Electronics" [X]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-19 1008184]
"RtHDVCpl"="RtHDVCpl.exe" [2007-04-10 4431872]
"WLSS"="c:\program files\Compal\Wireless Select Switch\WLSS.exe" [2007-03-29 190000]
"snp2uvc"="c:\windows\vsnp2uvc.exe" [2006-12-29 569344]
"Wow Video&Audio"="c:\program files\Compal\Wow Video&Audio\WVAMain.exe" [2007-04-12 947760]
"ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" [2004-08-09 81920]
"SmtLauncher"="c:\program files\Compal\Smart Tracing\SmLaunch.exe" [2007-04-12 13312]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2006-04-23 174872]
"SMSERIAL"="c:\program files\Motorola\SMSERIAL\sm56hlpr.exe" [2009-05-05 1466368]
"NvSvc"="c:\windows\system32\nvsvc.dll" [2008-01-11 92704]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-01-11 8534560]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-01-11 88608]
"AVG9_TRAY"="c:\progra~1\AVG\AVG9\avgtray.exe" [2010-06-04 2065248]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-02-18 248040]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-04-04 36272]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-17 421888]
"NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-04-24 142120]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\System32\avgrsstx.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):c9,a7,46,dc,0a,54,ca,01
R2 ATE_PROCMON;ATE_PROCMON;c:\program files\Anti Trojan Elite\ATEPMon.sys [x]
R3 ActionReplayDS;ActionReplayDS;c:\windows\system32\Drivers\ActionReplayDS.sys [2007-02-08 29184]
R4 sptd;sptd;c:\windows\system32\Drivers\sptd.sys [2009-12-20 691696]
S0 EMSC;COMPAL Embedded System Control;c:\windows\system32\DRIVERS\EMSC.SYS [2007-02-13 11776]
S1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\Drivers\avgldx86.sys [2010-03-13 216200]
S1 AvgTdiX;AVG Free Network Redirector;c:\windows\system32\Drivers\avgtdix.sys [2010-06-04 242896]
S2 avg9emc;AVG Free E-mail Scanner;c:\program files\AVG\AVG9\avgemc.exe [2010-03-13 916760]
S2 avg9wd;AVG Free WatchDog;c:\program files\AVG\AVG9\avgwdsvc.exe [2010-03-13 308064]
S2 Smart Watchdog;Smart Watchdog Service;c:\program files\Compal Electronics, INC\Smart Watchdog\SWDsvc.exe [2007-04-19 114688]
S3 b57nd60x;%SvcDispName%;c:\windows\system32\DRIVERS\b57nd60x.sys [2008-01-19 179712]
S3 CamFilter;CamFilter;c:\windows\system32\Drivers\CamFilter.sys [2009-06-30 17408]
S3 enecir;ENE CIR Receiver;c:\windows\system32\DRIVERS\enecir.sys [2007-03-07 32256]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
.
Contenu du dossier 'Tâches planifiées'
2010-06-24 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-4271400101-1776489150-3921235929-1000Core.job
- c:\users\Niouki\AppData\Local\Google\Update\GoogleUpdate.exe [2009-12-21 18:19]
2010-07-01 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-4271400101-1776489150-3921235929-1000UA.job
- c:\users\Niouki\AppData\Local\Google\Update\GoogleUpdate.exe [2009-12-21 18:19]
.
.
------- Examen supplémentaire -------
.
mWindow Title =
uInternet Settings,ProxyOverride = *.local
FF - ProfilePath - c:\users\Niouki\AppData\Roaming\Mozilla\Firefox\Profiles\x0dy2hkl.default\
FF - prefs.js: browser.startup.homepage - www.google.fr
FF - prefs.js: keyword.URL - hxxp://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navcli...
FF - component: c:\program files\AVG\AVG9\Firefox\components\avgssff.dll
FF - plugin: c:\program files\Java\jre6\bin\npdeployJava1.dll
FF - plugin: c:\program files\Java\jre6\bin\npjpi160_20.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - plugin: c:\programdata\id Software\QuakeLive\npquakezero.dll
FF - plugin: c:\users\Niouki\AppData\Local\Google\Update\1.2.183.29\npGoogleOneClick8.dll
FF - plugin: c:\users\Niouki\AppData\Roaming\Facebook\npfbplugin_1_0_1.dll
FF - plugin: c:\users\Niouki\AppData\Roaming\Facebook\npfbplugin_1_0_3.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- PARAMETRES FIREFOX ----
FF - user.js: yahoo.homepage.dontask - truec:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type", 5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - ORPHELINS SUPPRIMES - - - -
AddRemove-Microsoft .NET Framework 4 Client Profile - c:\windows\Microsoft.NET\Framework\v4.0.30319\SetupCache\Client\Setup.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-07-01 14:13
Windows 6.0.6002 Service Pack 2 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5
.
Heure de fin: 2010-07-01 14:16:28
ComboFix-quarantined-files.txt 2010-07-01 12:16
ComboFix2.txt 2010-06-24 16:52
ComboFix3.txt 2010-06-24 11:13
Avant-CF: 9 768 787 968 octets libres
Après-CF: 9 647 955 968 octets libres
- - End Of File - - A35E5A9958CA483C14B2CC60EA416443
bon ....
fait ce qui suit dans l'ordre :
1- 1- Créer un doc texte sur ton bureau :
Pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .
Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :
Puis va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi : CFScript puis valide ...
2- Nettoyage :
!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!
--> Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .
Regarde ici :
![]()
Cette manipulation va relancer Combofix !
Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)
! Ne touches à rien tant que le scan n'est pas terminé !
Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
-> Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse ...
( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )
=============================
3- je voit que tu as le prg Malwarebytes , on va l'utiliser :
mets le à jour ! ( onglet "mise à jour" ; recommence jusqu'à ce qu'il n'y est plus de maj disponible ).
! Déconnecte toi et ferme toutes applications en cours !
* Fais un examen dit " RAPIDE " .
--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "résultat" .
--> Vérifie que tous les objets infectés soient validés, puis clique sur "suppression".
Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !
Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ...
=============================
4- Refais un scan ZHPDiag .
* Coche bien toutes les options ( sauf les 045 et 061 )
* Au niveau du bouton "calendrier" choisis > 30 days
> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...
fait ce qui suit dans l'ordre :
1- 1- Créer un doc texte sur ton bureau :
File::
c:\ske1.bak
RegLock::
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
c:\ske1.bak
RegLock::
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
2- Nettoyage :
!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!
--> Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .
Regarde ici :
Cette manipulation va relancer Combofix !
Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)
! Ne touches à rien tant que le scan n'est pas terminé !
Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
-> Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse ...
( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )
=============================
3- je voit que tu as le prg Malwarebytes , on va l'utiliser :
mets le à jour ! ( onglet "mise à jour" ; recommence jusqu'à ce qu'il n'y est plus de maj disponible ).
! Déconnecte toi et ferme toutes applications en cours !
* Fais un examen dit " RAPIDE " .
--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "résultat" .
--> Vérifie que tous les objets infectés soient validés, puis clique sur "suppression".
Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !
Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ...
=============================
4- Refais un scan ZHPDiag .
* Coche bien toutes les options ( sauf les 045 et 061 )
* Au niveau du bouton "calendrier" choisis > 30 days
> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...
Rapport ComboFix
ComboFix 10-06-21.03 - Niouki 01/07/2010 16:31:13.4.2 - x86
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.2046.1121 [GMT 2:00]
Lancé depuis: c:\users\Niouki\Desktop\ske.exe
Commutateurs utilisés :: c:\users\Niouki\Desktop\CFScript.txt
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.
- Mode FONCTIONNALITES REDUITES -
FILE ::
"c:\ske1.bak"
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\ske1.bak
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-06-01 au 2010-07-01 ))))))))))))))))))))))))))))))))))))
.
2010-07-01 14:32 . 2010-07-01 14:32 -------- d-----w- c:\users\Public\AppData\Local\temp
2010-07-01 14:32 . 2010-07-01 14:32 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-07-01 12:11 . 2010-07-01 12:21 -------- d-----w- C:\ske
2010-06-29 08:16 . 2010-06-29 08:20 -------- d-----w- C:\f090eb0cea81424ea2
2010-06-29 08:16 . 2009-11-08 08:55 99176 ----a-w- c:\windows\system32\PresentationHostProxy.dll
2010-06-29 08:16 . 2009-11-08 08:55 49472 ----a-w- c:\windows\system32\netfxperf.dll
2010-06-29 08:16 . 2009-11-08 08:55 297808 ----a-w- c:\windows\system32\mscoree.dll
2010-06-29 08:16 . 2009-11-08 08:55 295264 ----a-w- c:\windows\system32\PresentationHost.exe
2010-06-29 08:16 . 2009-11-08 08:55 1130824 ----a-w- c:\windows\system32\dfshim.dll
2010-06-25 11:05 . 2010-05-01 14:13 2037248 ----a-w- c:\windows\system32\win32k.sys
2010-06-24 16:52 . 2010-07-01 14:33 -------- d-----w- c:\users\Niouki\AppData\Local\temp
2010-06-24 15:36 . 2010-06-24 15:36 -------- d-----w- c:\program files\SEAF
2010-06-17 14:02 . 2010-07-01 11:09 -------- d-----w- c:\program files\ZHPDiag
2010-06-11 11:13 . 2010-06-11 11:13 95024 ----a-w- c:\windows\system32\drivers\SBREDrv.sys
2010-06-11 11:03 . 2010-06-16 11:45 -------- d-----w- c:\programdata\Lavasoft
2010-06-09 08:06 . 2010-06-09 08:06 976832 ----a-w- c:\programdata\Adobe\Reader\9.3\ARM\26022\AdobeARM.exe
2010-06-09 08:06 . 2010-06-09 08:06 70584 ----a-w- c:\programdata\Adobe\Reader\9.3\ARM\26022\AdobeExtractFiles.dll
2010-06-09 08:06 . 2010-06-09 08:06 331176 ----a-w- c:\programdata\Adobe\Reader\9.3\ARM\26022\ReaderUpdater.exe
2010-06-09 08:06 . 2010-06-09 08:06 331176 ----a-w- c:\programdata\Adobe\Reader\9.3\ARM\26022\AcrobatUpdater.exe
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-01 08:52 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2010-06-29 08:18 . 2006-11-02 15:48 673938 ----a-w- c:\windows\system32\perfh00C.dat
2010-06-29 08:18 . 2006-11-02 15:48 125636 ----a-w- c:\windows\system32\perfc00C.dat
2010-06-18 16:34 . 2010-05-29 09:22 -------- d-----w- c:\users\Niouki\AppData\Roaming\vlc
2010-06-08 19:25 . 2009-12-20 17:50 -------- d-----w- c:\program files\Guitar Pro 5
2010-06-05 10:55 . 2009-07-22 19:43 -------- d-----w- c:\program files\Microsoft Silverlight
2010-06-04 13:47 . 2009-11-11 10:57 242896 ----a-w- c:\windows\system32\drivers\avgtdix.sys
2010-06-04 13:47 . 2009-11-11 10:57 29584 ----a-w- c:\windows\system32\drivers\avgmfx86.sys
2010-05-26 15:55 . 2010-05-26 15:55 -------- d-----w- c:\program files\Common Files\Java
2010-05-26 15:54 . 2009-07-01 08:12 -------- d-----w- c:\program files\Java
2010-05-23 19:51 . 2010-05-23 19:51 50354 ----a-w- c:\users\Niouki\AppData\Roaming\Facebook\uninstall.exe
2010-05-23 19:51 . 2010-02-03 20:01 -------- d-----w- c:\users\Niouki\AppData\Roaming\Facebook
2010-05-17 18:13 . 2009-06-30 20:51 -------- d-----w- c:\program files\Windows Live
2010-05-09 12:40 . 2010-05-09 12:40 -------- d-----w- c:\program files\Microsoft Sync Framework
2010-05-09 12:39 . 2010-05-09 12:39 -------- d-----w- c:\program files\Microsoft
2010-05-09 12:38 . 2010-05-09 12:38 -------- d-----w- c:\program files\Common Files\Windows Live
2010-04-24 16:33 . 2010-04-24 16:33 73000 ----a-w- c:\programdata\Apple Computer\Installer Cache\iTunes 9.1.1.11\SetupAdmin.exe
2010-04-23 14:13 . 2010-05-26 12:21 2048 ----a-w- c:\windows\system32\tzres.dll
2010-04-16 23:28 . 2010-04-16 23:28 307056 ----a-w- c:\windows\WLXPGSS.SCR
2010-04-16 20:12 . 2010-04-16 20:12 48464 ----a-w- c:\windows\system32\sirenacm.dll
2010-04-12 15:29 . 2010-05-26 15:54 411368 ----a-w- c:\windows\system32\deployJava1.dll
2010-04-08 11:20 . 2010-04-08 11:20 91424 ----a-w- c:\windows\system32\dnssd.dll
2010-04-08 11:20 . 2010-04-08 11:20 107808 ----a-w- c:\windows\system32\dns-sd.exe
2010-04-06 09:33 . 2010-04-06 09:33 94208 ----a-w- c:\windows\amcap.exe
2010-04-04 08:47 . 2009-07-10 21:17 1 ----a-w- c:\users\Niouki\AppData\Roaming\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]
"Google Update"="c:\users\Niouki\AppData\Local\Google\Update\GoogleUpdate.exe" [2009-12-21 135664]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 202240]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Smart Watch Dog"="-c:\program files\Compal Electronics" [X]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-19 1008184]
"RtHDVCpl"="RtHDVCpl.exe" [2007-04-10 4431872]
"WLSS"="c:\program files\Compal\Wireless Select Switch\WLSS.exe" [2007-03-29 190000]
"snp2uvc"="c:\windows\vsnp2uvc.exe" [2006-12-29 569344]
"Wow Video&Audio"="c:\program files\Compal\Wow Video&Audio\WVAMain.exe" [2007-04-12 947760]
"ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" [2004-08-09 81920]
"SmtLauncher"="c:\program files\Compal\Smart Tracing\SmLaunch.exe" [2007-04-12 13312]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2006-04-23 174872]
"SMSERIAL"="c:\program files\Motorola\SMSERIAL\sm56hlpr.exe" [2009-05-05 1466368]
"NvSvc"="c:\windows\system32\nvsvc.dll" [2008-01-11 92704]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-01-11 8534560]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-01-11 88608]
"AVG9_TRAY"="c:\progra~1\AVG\AVG9\avgtray.exe" [2010-06-04 2065248]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-02-18 248040]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-04-04 36272]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-17 421888]
"NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-04-24 142120]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\System32\avgrsstx.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):c9,a7,46,dc,0a,54,ca,01
R2 ATE_PROCMON;ATE_PROCMON;c:\program files\Anti Trojan Elite\ATEPMon.sys [x]
R3 ActionReplayDS;ActionReplayDS;c:\windows\system32\Drivers\ActionReplayDS.sys [2007-02-08 29184]
R4 sptd;sptd;c:\windows\system32\Drivers\sptd.sys [2009-12-20 691696]
S0 EMSC;COMPAL Embedded System Control;c:\windows\system32\DRIVERS\EMSC.SYS [2007-02-13 11776]
S1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\Drivers\avgldx86.sys [2010-03-13 216200]
S1 AvgTdiX;AVG Free Network Redirector;c:\windows\system32\Drivers\avgtdix.sys [2010-06-04 242896]
S2 avg9emc;AVG Free E-mail Scanner;c:\program files\AVG\AVG9\avgemc.exe [2010-03-13 916760]
S2 avg9wd;AVG Free WatchDog;c:\program files\AVG\AVG9\avgwdsvc.exe [2010-03-13 308064]
S2 Smart Watchdog;Smart Watchdog Service;c:\program files\Compal Electronics, INC\Smart Watchdog\SWDsvc.exe [2007-04-19 114688]
S3 b57nd60x;%SvcDispName%;c:\windows\system32\DRIVERS\b57nd60x.sys [2008-01-19 179712]
S3 CamFilter;CamFilter;c:\windows\system32\Drivers\CamFilter.sys [2009-06-30 17408]
S3 enecir;ENE CIR Receiver;c:\windows\system32\DRIVERS\enecir.sys [2007-03-07 32256]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
.
Contenu du dossier 'Tâches planifiées'
2010-06-24 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-4271400101-1776489150-3921235929-1000Core.job
- c:\users\Niouki\AppData\Local\Google\Update\GoogleUpdate.exe [2009-12-21 18:19]
2010-07-01 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-4271400101-1776489150-3921235929-1000UA.job
- c:\users\Niouki\AppData\Local\Google\Update\GoogleUpdate.exe [2009-12-21 18:19]
.
.
------- Examen supplémentaire -------
.
mWindow Title =
uInternet Settings,ProxyOverride = *.local
FF - ProfilePath - c:\users\Niouki\AppData\Roaming\Mozilla\Firefox\Profiles\x0dy2hkl.default\
FF - prefs.js: browser.startup.homepage - www.google.fr
FF - prefs.js: keyword.URL - hxxp://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navcli...
FF - component: c:\program files\AVG\AVG9\Firefox\components\avgssff.dll
FF - plugin: c:\program files\Java\jre6\bin\npdeployJava1.dll
FF - plugin: c:\program files\Java\jre6\bin\npjpi160_20.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - plugin: c:\programdata\id Software\QuakeLive\npquakezero.dll
FF - plugin: c:\users\Niouki\AppData\Local\Google\Update\1.2.183.29\npGoogleOneClick8.dll
FF - plugin: c:\users\Niouki\AppData\Roaming\Facebook\npfbplugin_1_0_1.dll
FF - plugin: c:\users\Niouki\AppData\Roaming\Facebook\npfbplugin_1_0_3.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- PARAMETRES FIREFOX ----
FF - user.js: yahoo.homepage.dontask - truec:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type", 5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-07-01 16:33
Windows 6.0.6002 Service Pack 2 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
Heure de fin: 2010-07-01 16:35:12
ComboFix-quarantined-files.txt 2010-07-01 14:35
ComboFix2.txt 2010-07-01 12:16
ComboFix3.txt 2010-06-24 16:52
ComboFix4.txt 2010-06-24 11:13
Avant-CF: 9 665 163 264 octets libres
Après-CF: 9 642 405 888 octets libres
- - End Of File - - FD3FD480FCBE0CF1CDB97CCC1741A965
ComboFix 10-06-21.03 - Niouki 01/07/2010 16:31:13.4.2 - x86
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.2046.1121 [GMT 2:00]
Lancé depuis: c:\users\Niouki\Desktop\ske.exe
Commutateurs utilisés :: c:\users\Niouki\Desktop\CFScript.txt
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.
- Mode FONCTIONNALITES REDUITES -
FILE ::
"c:\ske1.bak"
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\ske1.bak
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-06-01 au 2010-07-01 ))))))))))))))))))))))))))))))))))))
.
2010-07-01 14:32 . 2010-07-01 14:32 -------- d-----w- c:\users\Public\AppData\Local\temp
2010-07-01 14:32 . 2010-07-01 14:32 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-07-01 12:11 . 2010-07-01 12:21 -------- d-----w- C:\ske
2010-06-29 08:16 . 2010-06-29 08:20 -------- d-----w- C:\f090eb0cea81424ea2
2010-06-29 08:16 . 2009-11-08 08:55 99176 ----a-w- c:\windows\system32\PresentationHostProxy.dll
2010-06-29 08:16 . 2009-11-08 08:55 49472 ----a-w- c:\windows\system32\netfxperf.dll
2010-06-29 08:16 . 2009-11-08 08:55 297808 ----a-w- c:\windows\system32\mscoree.dll
2010-06-29 08:16 . 2009-11-08 08:55 295264 ----a-w- c:\windows\system32\PresentationHost.exe
2010-06-29 08:16 . 2009-11-08 08:55 1130824 ----a-w- c:\windows\system32\dfshim.dll
2010-06-25 11:05 . 2010-05-01 14:13 2037248 ----a-w- c:\windows\system32\win32k.sys
2010-06-24 16:52 . 2010-07-01 14:33 -------- d-----w- c:\users\Niouki\AppData\Local\temp
2010-06-24 15:36 . 2010-06-24 15:36 -------- d-----w- c:\program files\SEAF
2010-06-17 14:02 . 2010-07-01 11:09 -------- d-----w- c:\program files\ZHPDiag
2010-06-11 11:13 . 2010-06-11 11:13 95024 ----a-w- c:\windows\system32\drivers\SBREDrv.sys
2010-06-11 11:03 . 2010-06-16 11:45 -------- d-----w- c:\programdata\Lavasoft
2010-06-09 08:06 . 2010-06-09 08:06 976832 ----a-w- c:\programdata\Adobe\Reader\9.3\ARM\26022\AdobeARM.exe
2010-06-09 08:06 . 2010-06-09 08:06 70584 ----a-w- c:\programdata\Adobe\Reader\9.3\ARM\26022\AdobeExtractFiles.dll
2010-06-09 08:06 . 2010-06-09 08:06 331176 ----a-w- c:\programdata\Adobe\Reader\9.3\ARM\26022\ReaderUpdater.exe
2010-06-09 08:06 . 2010-06-09 08:06 331176 ----a-w- c:\programdata\Adobe\Reader\9.3\ARM\26022\AcrobatUpdater.exe
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-01 08:52 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2010-06-29 08:18 . 2006-11-02 15:48 673938 ----a-w- c:\windows\system32\perfh00C.dat
2010-06-29 08:18 . 2006-11-02 15:48 125636 ----a-w- c:\windows\system32\perfc00C.dat
2010-06-18 16:34 . 2010-05-29 09:22 -------- d-----w- c:\users\Niouki\AppData\Roaming\vlc
2010-06-08 19:25 . 2009-12-20 17:50 -------- d-----w- c:\program files\Guitar Pro 5
2010-06-05 10:55 . 2009-07-22 19:43 -------- d-----w- c:\program files\Microsoft Silverlight
2010-06-04 13:47 . 2009-11-11 10:57 242896 ----a-w- c:\windows\system32\drivers\avgtdix.sys
2010-06-04 13:47 . 2009-11-11 10:57 29584 ----a-w- c:\windows\system32\drivers\avgmfx86.sys
2010-05-26 15:55 . 2010-05-26 15:55 -------- d-----w- c:\program files\Common Files\Java
2010-05-26 15:54 . 2009-07-01 08:12 -------- d-----w- c:\program files\Java
2010-05-23 19:51 . 2010-05-23 19:51 50354 ----a-w- c:\users\Niouki\AppData\Roaming\Facebook\uninstall.exe
2010-05-23 19:51 . 2010-02-03 20:01 -------- d-----w- c:\users\Niouki\AppData\Roaming\Facebook
2010-05-17 18:13 . 2009-06-30 20:51 -------- d-----w- c:\program files\Windows Live
2010-05-09 12:40 . 2010-05-09 12:40 -------- d-----w- c:\program files\Microsoft Sync Framework
2010-05-09 12:39 . 2010-05-09 12:39 -------- d-----w- c:\program files\Microsoft
2010-05-09 12:38 . 2010-05-09 12:38 -------- d-----w- c:\program files\Common Files\Windows Live
2010-04-24 16:33 . 2010-04-24 16:33 73000 ----a-w- c:\programdata\Apple Computer\Installer Cache\iTunes 9.1.1.11\SetupAdmin.exe
2010-04-23 14:13 . 2010-05-26 12:21 2048 ----a-w- c:\windows\system32\tzres.dll
2010-04-16 23:28 . 2010-04-16 23:28 307056 ----a-w- c:\windows\WLXPGSS.SCR
2010-04-16 20:12 . 2010-04-16 20:12 48464 ----a-w- c:\windows\system32\sirenacm.dll
2010-04-12 15:29 . 2010-05-26 15:54 411368 ----a-w- c:\windows\system32\deployJava1.dll
2010-04-08 11:20 . 2010-04-08 11:20 91424 ----a-w- c:\windows\system32\dnssd.dll
2010-04-08 11:20 . 2010-04-08 11:20 107808 ----a-w- c:\windows\system32\dns-sd.exe
2010-04-06 09:33 . 2010-04-06 09:33 94208 ----a-w- c:\windows\amcap.exe
2010-04-04 08:47 . 2009-07-10 21:17 1 ----a-w- c:\users\Niouki\AppData\Roaming\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]
"Google Update"="c:\users\Niouki\AppData\Local\Google\Update\GoogleUpdate.exe" [2009-12-21 135664]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 202240]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Smart Watch Dog"="-c:\program files\Compal Electronics" [X]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-19 1008184]
"RtHDVCpl"="RtHDVCpl.exe" [2007-04-10 4431872]
"WLSS"="c:\program files\Compal\Wireless Select Switch\WLSS.exe" [2007-03-29 190000]
"snp2uvc"="c:\windows\vsnp2uvc.exe" [2006-12-29 569344]
"Wow Video&Audio"="c:\program files\Compal\Wow Video&Audio\WVAMain.exe" [2007-04-12 947760]
"ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" [2004-08-09 81920]
"SmtLauncher"="c:\program files\Compal\Smart Tracing\SmLaunch.exe" [2007-04-12 13312]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2006-04-23 174872]
"SMSERIAL"="c:\program files\Motorola\SMSERIAL\sm56hlpr.exe" [2009-05-05 1466368]
"NvSvc"="c:\windows\system32\nvsvc.dll" [2008-01-11 92704]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-01-11 8534560]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-01-11 88608]
"AVG9_TRAY"="c:\progra~1\AVG\AVG9\avgtray.exe" [2010-06-04 2065248]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-02-18 248040]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-04-04 36272]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-17 421888]
"NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-04-24 142120]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\System32\avgrsstx.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):c9,a7,46,dc,0a,54,ca,01
R2 ATE_PROCMON;ATE_PROCMON;c:\program files\Anti Trojan Elite\ATEPMon.sys [x]
R3 ActionReplayDS;ActionReplayDS;c:\windows\system32\Drivers\ActionReplayDS.sys [2007-02-08 29184]
R4 sptd;sptd;c:\windows\system32\Drivers\sptd.sys [2009-12-20 691696]
S0 EMSC;COMPAL Embedded System Control;c:\windows\system32\DRIVERS\EMSC.SYS [2007-02-13 11776]
S1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\Drivers\avgldx86.sys [2010-03-13 216200]
S1 AvgTdiX;AVG Free Network Redirector;c:\windows\system32\Drivers\avgtdix.sys [2010-06-04 242896]
S2 avg9emc;AVG Free E-mail Scanner;c:\program files\AVG\AVG9\avgemc.exe [2010-03-13 916760]
S2 avg9wd;AVG Free WatchDog;c:\program files\AVG\AVG9\avgwdsvc.exe [2010-03-13 308064]
S2 Smart Watchdog;Smart Watchdog Service;c:\program files\Compal Electronics, INC\Smart Watchdog\SWDsvc.exe [2007-04-19 114688]
S3 b57nd60x;%SvcDispName%;c:\windows\system32\DRIVERS\b57nd60x.sys [2008-01-19 179712]
S3 CamFilter;CamFilter;c:\windows\system32\Drivers\CamFilter.sys [2009-06-30 17408]
S3 enecir;ENE CIR Receiver;c:\windows\system32\DRIVERS\enecir.sys [2007-03-07 32256]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
.
Contenu du dossier 'Tâches planifiées'
2010-06-24 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-4271400101-1776489150-3921235929-1000Core.job
- c:\users\Niouki\AppData\Local\Google\Update\GoogleUpdate.exe [2009-12-21 18:19]
2010-07-01 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-4271400101-1776489150-3921235929-1000UA.job
- c:\users\Niouki\AppData\Local\Google\Update\GoogleUpdate.exe [2009-12-21 18:19]
.
.
------- Examen supplémentaire -------
.
mWindow Title =
uInternet Settings,ProxyOverride = *.local
FF - ProfilePath - c:\users\Niouki\AppData\Roaming\Mozilla\Firefox\Profiles\x0dy2hkl.default\
FF - prefs.js: browser.startup.homepage - www.google.fr
FF - prefs.js: keyword.URL - hxxp://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navcli...
FF - component: c:\program files\AVG\AVG9\Firefox\components\avgssff.dll
FF - plugin: c:\program files\Java\jre6\bin\npdeployJava1.dll
FF - plugin: c:\program files\Java\jre6\bin\npjpi160_20.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - plugin: c:\programdata\id Software\QuakeLive\npquakezero.dll
FF - plugin: c:\users\Niouki\AppData\Local\Google\Update\1.2.183.29\npGoogleOneClick8.dll
FF - plugin: c:\users\Niouki\AppData\Roaming\Facebook\npfbplugin_1_0_1.dll
FF - plugin: c:\users\Niouki\AppData\Roaming\Facebook\npfbplugin_1_0_3.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- PARAMETRES FIREFOX ----
FF - user.js: yahoo.homepage.dontask - truec:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type", 5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-07-01 16:33
Windows 6.0.6002 Service Pack 2 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
Heure de fin: 2010-07-01 16:35:12
ComboFix-quarantined-files.txt 2010-07-01 14:35
ComboFix2.txt 2010-07-01 12:16
ComboFix3.txt 2010-06-24 16:52
ComboFix4.txt 2010-06-24 11:13
Avant-CF: 9 665 163 264 octets libres
Après-CF: 9 642 405 888 octets libres
- - End Of File - - FD3FD480FCBE0CF1CDB97CCC1741A965
Lassé par la pub ? Créez un compte
- Contenus similaires :
- ForumSystem32 infecte par un gros virus help
- ForumInfection windows live messenger
- ForumInternet explorer se ouvre sans cesse
- ForumLenteur ordinateur portable
- ForumProbleme processus systeme lsass.exe
- ForumMon ordinateur est lent trop lent windows
- ForumWindows super lent anormale
- ForumInfection de windows media player
- ForumDesinstaller babylon search windows xp
- ForumMon ordi rame résolu
- Voir plus
