Ordinateur infécté
Dernière réponse : dans Sécurité
Bonsoir á tous,
Je vous expose mon problème :
Depuis peu google chrome se ferme lorsque je navigue sur la toile, et mon PC réagit de manière suspecte; et mon antivirus détécte des virus ( que je supprime bien evidement)
J'aimerai de l'aide svp
Merci!
Je vous expose mon problème :
Depuis peu google chrome se ferme lorsque je navigue sur la toile, et mon PC réagit de manière suspecte; et mon antivirus détécte des virus ( que je supprime bien evidement)
J'aimerai de l'aide svp
Merci!
Autres pages sur : ordinateur infecte
Lassé par la pub ? Créez un compte
Salut,
> soit plus précis stp : quel est le nom de la(les) menace(s) , quel(s) fichiers et les emplacements exacte si possible ...
Ensuite fait ce qui suit pour avoir un diagostique précis de la situation :
Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :
-> http://telechargement.zebulon.fr/zhpdiag.html
!! déconnecte toi et ferme toutes tes applications en cours !!
Double-clique sur "ZHPDiag.exe" ( avec Vista/Seven faire clique droit / "exécuter en tant qu'admin..." ) pour lancer l'installation de l'outil et laisse toi guider. Ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" ( afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ).
A la fin de l'installe , laisse bien la case "exécuter ZHPDiag" cochée et clique sur "Terminé " > l'outil se lancera donc automatiquement .
Une fois ZHPDiag ouvert, clique sur le bouton "option" ![]()
en haut sur la droite :
Une liste apparait dans l'encadré principal > coche toutes les lignes sauf les 045 et 061 ( important ! ) .
Clique sur le bouton "calendrier" ![]()
qui est en haut à droite : choisis 30 days
Puis clique sur le bouton de "la loupe" ![]()
( en haut à gauche ) pour lancer le scan .
> Laisses travailler l'outil ...
( Cela peut durer quelques minutes. Si ton antivirus donne des alertes durant le scan, ignore les et ne mets rien en quarantaine pour le moment ! )
Une fois terminé, le rapport obtenu ( ZHPDiag.txt ) est sauvegardé sur ton bureau.
Ferme le programme ...
> Pour me faire parvenir ce rapport, rends toi sur ce site : http://www.cijoint.fr/
Clique sur "parcourir" et va jusqu'au rapport ZHPDiag.txt qui est sauvegardé sur le bureau .
Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....
Citation :
mon antivirus détécte des virus> soit plus précis stp : quel est le nom de la(les) menace(s) , quel(s) fichiers et les emplacements exacte si possible ...
Ensuite fait ce qui suit pour avoir un diagostique précis de la situation :
Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :
-> http://telechargement.zebulon.fr/zhpdiag.html
!! déconnecte toi et ferme toutes tes applications en cours !!
en haut sur la droite :Une liste apparait dans l'encadré principal > coche toutes les lignes sauf les 045 et 061 ( important ! ) .
qui est en haut à droite : choisis 30 days
( en haut à gauche ) pour lancer le scan .> Laisses travailler l'outil ...
( Cela peut durer quelques minutes. Si ton antivirus donne des alertes durant le scan, ignore les et ne mets rien en quarantaine pour le moment ! )
Ferme le programme ...
> Pour me faire parvenir ce rapport, rends toi sur ce site : http://www.cijoint.fr/
Bonjour et merci de ton aide, voici le lien
http://www.cijoint.fr/cjlink.php?file=cj201012/cijcpLEC...
http://www.cijoint.fr/cjlink.php?file=cj201012/cijcpLEC...
hello,
Donc pour commencer , arrête de suite les cracks , keygens et autres conneries du genre ! ... c'est l'une des causes principales d'infection ...![:pfff:]( ":pfff:")
Plusieurs bestioles pourrissent ton ordi ...
/!\ Pour le bon déroulement de la désinfection :
Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .
N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
Si tu as un quelconque problème, n' hésite pas à m'en faire part ( évite les prises de décision hasardeuses ).
=============================================================
Commence par ceci dans l'ordre :
1- Désinstalle proprement depuis le panneau de configuration / "ajout et supp de prg" les barre d'outils suivantes :
Conduit Engine
Vuze Remote Toolbar
A part alourdir le systeme et la navigation , servent à que dale ... voir à 'espoinner' au mieux ...
Une fois ceci fait , enchaine ...
=======================
2- Les logiciels d'émulation de CD ( comme Daemon Tools ) peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :
* Télécharge Defogger (de jpshortstuff) sur ton Bureau
http://www.jpshortstuff.247fixes.com/Defogger.exe
* Lance le
* Une fenêtre apparait : clique sur "Disable"
* Fais redémarrer l'ordinateur si l'outil te le demande
* Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"
=======================
3- Utilisation de l'outil ZHPFix :
* Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
> Puis Lance ZHPFix depuis le raccourci du bureau .
* Une fois l'outil ZHPFix ouvert , clique sur le bouton![]()
( "coller les lignes Helper" ) .
* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .
Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
* Puis clique sur le bouton![]()
.
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien !
!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!
* Clique sur le bouton![]()
. Vérifies que toutes les lignes soient bien cochées .
* Enfin clique sur le bouton![]()
.
-> laisse travailler l'outil et ne touche à rien ...
Une fois terminée , un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...
( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )
Important : si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le de suite !
Pense à réactiver tes défenses une fois la procédure terminée !...
( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )
=======================================
4- Je vois que tu as Malwarebytes , on va l'utiliser ainsi ,
mets le à jour ! ( onglet "mise à jour " . recommence jusqu'à ce qu'il n'y est plus de maj disponible )
* Potasse ce tuto pour te familiariser avec le prg :
http://forum.pcastuces.com/sujet.asp?f=31&s=3
( cela dis, il est très simple d'utilisation ).
* utilisation :
! Déconnecte toi et ferme toutes applications en cours !
Fais un examen dit " RAPIDE " .
--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "résultat" .
--> Vérifie que tous les objets infectés soient validés, puis clique sur "suppression".
Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !
Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ...
================================
5- Refais un scan ZHPDiag .
* Coche bien toutes les options ( sauf les 045 et 061 )
* Au niveau du bouton "calendrier" choisis > 30 days
> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...
Donc pour commencer , arrête de suite les cracks , keygens et autres conneries du genre ! ... c'est l'une des causes principales d'infection ...
Plusieurs bestioles pourrissent ton ordi ...
/!\ Pour le bon déroulement de la désinfection :
=============================================================
Commence par ceci dans l'ordre :
1- Désinstalle proprement depuis le panneau de configuration / "ajout et supp de prg" les barre d'outils suivantes :
Conduit Engine
Vuze Remote Toolbar
A part alourdir le systeme et la navigation , servent à que dale ... voir à 'espoinner' au mieux ...
Une fois ceci fait , enchaine ...
=======================
2- Les logiciels d'émulation de CD ( comme Daemon Tools ) peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :
* Télécharge Defogger (de jpshortstuff) sur ton Bureau
http://www.jpshortstuff.247fixes.com/Defogger.exe
* Lance le
* Une fenêtre apparait : clique sur "Disable"
* Fais redémarrer l'ordinateur si l'outil te le demande
* Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"
=======================
3- Utilisation de l'outil ZHPFix :
* Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
C:\LFS
O47 - AAKE:Key Export SP - "C:\LFS\LFS.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) --
O47 - AAKE:Key Export SP - "C:\LFS\CSR.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) --
O47 - AAKE:Key Export SP - "C:\Documents and Settings\Propriétaire\Mes documents\Downloads\LFS V FULL\LFS V FULL\LFS S2 V\CSR.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) --
O47 - AAKE:Key Export SP - "C:\LFS\CSR\CSR\CSR.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) --
O64 - Services: CurCS - (.not file.) - agniakob (agniakob) .(.Pas de propriétaire - Pas de description.) - LEGACY_AGNIAKOB
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe
[HKCU\Software\3FWHZQA3LT]
O47 - AAKE:Key Export SP - "C:\LFS\LFS.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) --
O47 - AAKE:Key Export SP - "C:\LFS\CSR.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) --
O47 - AAKE:Key Export SP - "C:\Documents and Settings\Propriétaire\Mes documents\Downloads\LFS V FULL\LFS V FULL\LFS S2 V\CSR.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) --
O47 - AAKE:Key Export SP - "C:\LFS\CSR\CSR\CSR.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) --
O64 - Services: CurCS - (.not file.) - agniakob (agniakob) .(.Pas de propriétaire - Pas de description.) - LEGACY_AGNIAKOB
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe
[HKCU\Software\3FWHZQA3LT]
> Puis Lance ZHPFix depuis le raccourci du bureau .
* Une fois l'outil ZHPFix ouvert , clique sur le bouton
( "coller les lignes Helper" ) . * Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .
Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
* Puis clique sur le bouton
.> à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien !
!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!
* Clique sur le bouton
. Vérifies que toutes les lignes soient bien cochées .* Enfin clique sur le bouton
.-> laisse travailler l'outil et ne touche à rien ...
Une fois terminée , un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...
( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )
Important : si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le de suite !
Pense à réactiver tes défenses une fois la procédure terminée !...
( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )
=======================================
4- Je vois que tu as Malwarebytes , on va l'utiliser ainsi ,
mets le à jour ! ( onglet "mise à jour " . recommence jusqu'à ce qu'il n'y est plus de maj disponible )
* Potasse ce tuto pour te familiariser avec le prg :
http://forum.pcastuces.com/sujet.asp?f=31&s=3
( cela dis, il est très simple d'utilisation ).
* utilisation :
! Déconnecte toi et ferme toutes applications en cours !
Fais un examen dit " RAPIDE " .
--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "résultat" .
--> Vérifie que tous les objets infectés soient validés, puis clique sur "suppression".
Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !
Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ...
================================
5- Refais un scan ZHPDiag .
* Coche bien toutes les options ( sauf les 045 et 061 )
* Au niveau du bouton "calendrier" choisis > 30 days
> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...
Re,
Premier rapport :
Rapport de ZHPFix 6.12.3226 par Nicolas Coolman, Update du 06/12/2010
Fichier d'export Registre :
Run by Propriétaire at 14/12/2010 18:00:49
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.ht...
Contact : nicolascoolman@yahoo.fr
========== Clé(s) du Registre ==========
O64 - Services: CurCS - (.not file.) - agniakob (agniakob) .(.Pas de propriétaire - Pas de description.) - LEGACY_AGNIAKOB => Clé supprimée avec succès
HKCU\Software\3FWHZQA3LT => Clé supprimée avec succès
========== Valeur(s) du Registre ==========
O47 - AAKE:Key Export SP - "C:\LFS\LFS.exe" [Enabled] .(.) (.not file.) -- => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\LFS\CSR.exe" [Enabled] .(.) (.not file.) -- => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\Documents and Settings\Propriétaire\Mes documents\Downloads\LFS V FULL\LFS V FULL\LFS S2 V\CSR.exe" [Enabled] .(.) (.not file.) -- => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\LFS\CSR\CSR\CSR.exe" [Enabled] .(.) (.not file.) -- => Valeur supprimée avec succès
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur supprimée avec succès
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur absente
========== Fichier(s) ==========
C:\LFS => Supprimé et mis en quarantaine
========== Récapitulatif ==========
2 : Clé(s) du Registre
6 : Valeur(s) du Registre
1 : Fichier(s)
End of the scan
2ème rapport :
Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org
Version de la base de données: 5312
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
14/12/2010 18:12:40
mbam-log-2010-12-14 (18-12-40).txt
Type d'examen: Examen rapide
Elément(s) analysé(s): 146126
Temps écoulé: 5 minute(s), 47 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Invictus (Trojan.FakeAlert) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
c:\zrpt.xml (Malware.Trace) -> Quarantined and deleted successfully.
Dernier rapport :
http://www.cijoint.fr/cjlink.php?file=cj201012/cijHuGgA...
Merci
Premier rapport :
Rapport de ZHPFix 6.12.3226 par Nicolas Coolman, Update du 06/12/2010
Fichier d'export Registre :
Run by Propriétaire at 14/12/2010 18:00:49
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.ht...
Contact : nicolascoolman@yahoo.fr
========== Clé(s) du Registre ==========
O64 - Services: CurCS - (.not file.) - agniakob (agniakob) .(.Pas de propriétaire - Pas de description.) - LEGACY_AGNIAKOB => Clé supprimée avec succès
HKCU\Software\3FWHZQA3LT => Clé supprimée avec succès
========== Valeur(s) du Registre ==========
O47 - AAKE:Key Export SP - "C:\LFS\LFS.exe" [Enabled] .(.) (.not file.) -- => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\LFS\CSR.exe" [Enabled] .(.) (.not file.) -- => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\Documents and Settings\Propriétaire\Mes documents\Downloads\LFS V FULL\LFS V FULL\LFS S2 V\CSR.exe" [Enabled] .(.) (.not file.) -- => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\LFS\CSR\CSR\CSR.exe" [Enabled] .(.) (.not file.) -- => Valeur supprimée avec succès
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur supprimée avec succès
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur absente
========== Fichier(s) ==========
C:\LFS => Supprimé et mis en quarantaine
========== Récapitulatif ==========
2 : Clé(s) du Registre
6 : Valeur(s) du Registre
1 : Fichier(s)
End of the scan
2ème rapport :
Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org
Version de la base de données: 5312
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
14/12/2010 18:12:40
mbam-log-2010-12-14 (18-12-40).txt
Type d'examen: Examen rapide
Elément(s) analysé(s): 146126
Temps écoulé: 5 minute(s), 47 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Invictus (Trojan.FakeAlert) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
c:\zrpt.xml (Malware.Trace) -> Quarantined and deleted successfully.
Dernier rapport :
http://www.cijoint.fr/cjlink.php?file=cj201012/cijHuGgA...
Merci
bien ...
on poursuit , dans l'ordre :
1- Télécharge Ad-remover ( de C_XX ) sur ton bureau :
ici http://www.teamxscript.org/adremoverTelechargement.html
ou ici http://forum-aide-contre-virus.be/download/AD-Remover.h...
! Déconnecte toi et ferme toutes applications en cours (Navigateur compris) !
• Double clique sur Ad-remover.exe pour lancer l'installation .
Une fois l'outil installé, ce dernier s'ouvre directement ( et un raccourci se crée sur le bureau ).
• Au menu principal, clique directement sur le bouton [Nettoyer] .
• Le nettoyage débute > Laisse travailler l'outil et ne touche à rien !...
Note : si il t'es demandé de redémarrer le PC pour finir la procédure , fais le .
--> Poste le rapport qui apparait à la fin dans ta prochaine réponse pour analyse ...
( Le rapport est sauvegardé aussi sous C:\Ad-Report-CLEAN.log )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
==================================
2- Télécharge UsbFix ( de C_XX & El desaparecido ) sur ton bureau :
ici http://www.teamxscript.org/usbfixTelechargement.html
ou ici http://chiquitine.changelog.fr/UsbFix.exe
! Déconnecte toi d'internet, désactive ton antivirus et ferme toutes applications en cours !
Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .
# Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil.
# Clique sur le bouton [ Recherche ] .
-> Laisse travailler l'outil et ne touche à rien pendant le scan .
# Une fois terminé, poste le rapport UsbFix.txt qui apparaitra.
Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\UsbFix.txt ).
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
Note :
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
Site de l'auteur > http://www.teamxscript.org/usbfix.html
on poursuit , dans l'ordre :
1- Télécharge Ad-remover ( de C_XX ) sur ton bureau :
ici http://www.teamxscript.org/adremoverTelechargement.html
ou ici http://forum-aide-contre-virus.be/download/AD-Remover.h...
! Déconnecte toi et ferme toutes applications en cours (Navigateur compris) !
• Double clique sur Ad-remover.exe pour lancer l'installation .
Une fois l'outil installé, ce dernier s'ouvre directement ( et un raccourci se crée sur le bureau ).
• Au menu principal, clique directement sur le bouton [Nettoyer] .
• Le nettoyage débute > Laisse travailler l'outil et ne touche à rien !...
Note : si il t'es demandé de redémarrer le PC pour finir la procédure , fais le .
--> Poste le rapport qui apparait à la fin dans ta prochaine réponse pour analyse ...
( Le rapport est sauvegardé aussi sous C:\Ad-Report-CLEAN.log )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
==================================
2- Télécharge UsbFix ( de C_XX & El desaparecido ) sur ton bureau :
ici http://www.teamxscript.org/usbfixTelechargement.html
ou ici http://chiquitine.changelog.fr/UsbFix.exe
! Déconnecte toi d'internet, désactive ton antivirus et ferme toutes applications en cours !
Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .
# Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil.
# Clique sur le bouton [ Recherche ] .
-> Laisse travailler l'outil et ne touche à rien pendant le scan .
# Une fois terminé, poste le rapport UsbFix.txt qui apparaitra.
Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\UsbFix.txt ).
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
Note :
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
Site de l'auteur > http://www.teamxscript.org/usbfix.html
1er rapport
======= RAPPORT D'AD-REMOVER 2.0.0.2,C | UNIQUEMENT XP/VISTA/7 =======
Mis à jour par TeamXscript le 08/12/10 à 10:40
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org
C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 19:06:03 le 14/12/2010, Mode normal
Microsoft Windows XP Édition familiale Service Pack 3 (X86)
Propriétaire@MANSUY-BA9FB3C9 ( )
============== ACTION(S) ==============
Dossier supprimé: C:\Documents and Settings\Propriétaire\Application Data\Mozilla\FireFox\Profiles\ahmbf339.default\conduit
Fichier supprimé: C:\Documents and Settings\Propriétaire\Application Data\Mozilla\FireFox\Profiles\ahmbf339.default\searchplugins\conduit.xml
(!) -- Fichiers temporaires supprimés.
-- Fichier ouvert: C:\Documents and Settings\Propriétaire\Application Data\Mozilla\FireFox\Profiles\ahmbf339.default\Prefs.js --
Ligne supprimée:
Ligne supprimée:
Ligne supprimée: user_pref("CT2504091.SearchEngine", "Search||hxxp://search.conduit.com/Results.aspx?q=UCM_SEARCH_TER...
Ligne supprimée: user_pref("CT2504091.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT250...
Ligne supprimée: user_pref("CT292072.SearchEngine", "Suchen||hxxp://search.conduit.com/Results.aspx?q=UCM_SEARCH_TERM...
Ligne supprimée: user_pref("CT292072.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2920...
Ligne supprimée: user_pref("browser.search.defaulturl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT292072&Sear...
-- Fichier Fermé --
Clé supprimée: HKLM\Software\Classes\Toolbar.CT2504091
Clé supprimée: HKLM\Software\Conduit
============== SCAN ADDITIONNEL ==============
** Mozilla Firefox Version [3.6.12 (fr)] **
-- C:\Documents and Settings\Propriétaire\Application Data\Mozilla\FireFox\Profiles\ahmbf339.default\Prefs.js --
browser.startup.homepage, hxxp://google.fr
browser.startup.homepage_override.mstone, rv:1.9.2.12
========================================
** Internet Explorer Version [8.0.6001.18702] **
[HKCU\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnh...
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Search Asst: no
[HKLM\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
========================================
C:\Program Files\Ad-Remover\Quarantine: 2 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 14 Fichier(s)
C:\Ad-Report-CLEAN[1].txt - 14/12/2010 (1578 Octet(s))
Fin à: 19:07:14, 14/12/2010
============== E.O.F ==============
2eme rapport
############################## | UsbFix 7.035 | [Recherche]
Utilisateur: Propriétaire (Administrateur) # MANSUY-BA9FB3C9 [ ]
Mis à jour le 05/12/10 par El Desaparecido / C_XX
Lancé à 19:19:34 | 14/12/2010
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org
CPU: AMD Athlon(tm) 64 X2 Dual Core Processor 3800+
CPU 2: AMD Athlon(tm) 64 X2 Dual Core Processor 3800+
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Pare-feu Windows: Activé
Antivirus: AntiVir Desktop 9.0.1.32 [Enabled | Updated]
RAM -> 1535 Mo
C:\ (%systemdrive%) -> Disque fixe # 233 Go (34 Go libre(s) - 15%) [] # NTFS
D:\ -> CD-ROM
################## | Éléments infectieux |
Présent! D:\autorun.inf
Présent! D:\Installer.exe
################## | Registre |
Présent! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman
Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools
Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives
Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Run|MSConfig
################## | Mountpoints2 |
################## | Vaccin |
D:\Autorun.inf -> Dossier créé par Panda USB Vaccine
################## | E.O.F |
======= RAPPORT D'AD-REMOVER 2.0.0.2,C | UNIQUEMENT XP/VISTA/7 =======
Mis à jour par TeamXscript le 08/12/10 à 10:40
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org
C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 19:06:03 le 14/12/2010, Mode normal
Microsoft Windows XP Édition familiale Service Pack 3 (X86)
Propriétaire@MANSUY-BA9FB3C9 ( )
============== ACTION(S) ==============
Dossier supprimé: C:\Documents and Settings\Propriétaire\Application Data\Mozilla\FireFox\Profiles\ahmbf339.default\conduit
Fichier supprimé: C:\Documents and Settings\Propriétaire\Application Data\Mozilla\FireFox\Profiles\ahmbf339.default\searchplugins\conduit.xml
(!) -- Fichiers temporaires supprimés.
-- Fichier ouvert: C:\Documents and Settings\Propriétaire\Application Data\Mozilla\FireFox\Profiles\ahmbf339.default\Prefs.js --
Ligne supprimée:
Ligne supprimée:
Ligne supprimée: user_pref("CT2504091.SearchEngine", "Search||hxxp://search.conduit.com/Results.aspx?q=UCM_SEARCH_TER...
Ligne supprimée: user_pref("CT2504091.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT250...
Ligne supprimée: user_pref("CT292072.SearchEngine", "Suchen||hxxp://search.conduit.com/Results.aspx?q=UCM_SEARCH_TERM...
Ligne supprimée: user_pref("CT292072.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2920...
Ligne supprimée: user_pref("browser.search.defaulturl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT292072&Sear...
-- Fichier Fermé --
Clé supprimée: HKLM\Software\Classes\Toolbar.CT2504091
Clé supprimée: HKLM\Software\Conduit
============== SCAN ADDITIONNEL ==============
** Mozilla Firefox Version [3.6.12 (fr)] **
-- C:\Documents and Settings\Propriétaire\Application Data\Mozilla\FireFox\Profiles\ahmbf339.default\Prefs.js --
browser.startup.homepage, hxxp://google.fr
browser.startup.homepage_override.mstone, rv:1.9.2.12
========================================
** Internet Explorer Version [8.0.6001.18702] **
[HKCU\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnh...
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Search Asst: no
[HKLM\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
========================================
C:\Program Files\Ad-Remover\Quarantine: 2 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 14 Fichier(s)
C:\Ad-Report-CLEAN[1].txt - 14/12/2010 (1578 Octet(s))
Fin à: 19:07:14, 14/12/2010
============== E.O.F ==============
2eme rapport
############################## | UsbFix 7.035 | [Recherche]
Utilisateur: Propriétaire (Administrateur) # MANSUY-BA9FB3C9 [ ]
Mis à jour le 05/12/10 par El Desaparecido / C_XX
Lancé à 19:19:34 | 14/12/2010
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org
CPU: AMD Athlon(tm) 64 X2 Dual Core Processor 3800+
CPU 2: AMD Athlon(tm) 64 X2 Dual Core Processor 3800+
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Pare-feu Windows: Activé
Antivirus: AntiVir Desktop 9.0.1.32 [Enabled | Updated]
RAM -> 1535 Mo
C:\ (%systemdrive%) -> Disque fixe # 233 Go (34 Go libre(s) - 15%) [] # NTFS
D:\ -> CD-ROM
################## | Éléments infectieux |
Présent! D:\autorun.inf
Présent! D:\Installer.exe
################## | Registre |
Présent! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman
Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools
Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives
Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Run|MSConfig
################## | Mountpoints2 |
################## | Vaccin |
D:\Autorun.inf -> Dossier créé par Panda USB Vaccine
################## | E.O.F |
re,
la suite dans l'ordre :
1- ! Déconnecte toi d'internet, désactive ton antivirus et ferme toutes applications en cours !
Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .
# Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil .
# Cette fois ci , tu cliques sur le bouton [ Suppression ] .
-> Laisse travailler l'outil et ne touche à rien ...
# Une fois terminé, poste le nouveau rapport UsbFix.txt qui apparaitra avec le bureau .
( Le rapport est en outre sauvegardé à la racine du disque maitre > C:\UsbFix.txt ).
/!\ Important : une fois le rapport posté , redémarre le PC pour que l'outil puisse terminer le nettoyage .
====================================
2- Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !) :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>[ ! ATTENTION ! ]<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
Ferme tes applications en cours ( ainsi que ton navigateur ) .
DESACTIVE TOUTES TES DEFENSES (anti-virus, garde anti spy-ware, pare-feu) le temps de la manipe.
En effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !
> Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : http://www.bleepingcomputer.com/combofix/fr/comment-uti...
Note : pour XP, il est IMPERATIF d'installer la Console de Récupération de Windows si l'outil le demande ( voir tuto ci-dessus ).
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>[ ! ATTENTION ! ]<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
Ensuite :
> Double-clique sur l'icône "ComboFix.exe" pour lancer l'outil .
> A la fenêtre "DISCLAIMER..." , clique sur "oui" et laisse travailler ...
-- Pour XP, l' installation de la Console de Récupération sera demandé :
* Laisse toi guider et fais l'installe de la "console de récupération" ( en anglais, "Windows Recovery Console" ) lorsque l'outil te le demandera ( important ! ).
![]()
*Une fois la console installée,
![]()
Déconnecte toi si possible avant de cliquer sur "Oui" pour lancer le scan --
Notes importantes :
-> Ne rien faire avec le PC pendant le scan !
-> N'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Si l'otuil t'anonce qu'un version plus récente de ComboFix est disponible, accepte la mise à jour.
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
-> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes .
-> Si après un reboot éventuel , ton antivirus s'affole lorsque travail encore ComboFix , ignore les alertes ! ( ne supprime rien et ne mets rien en quarantaine )
Le rapport sera crée ici : C:\Combofix.txt
Réactive bien tes défenses une fois la procédure terminée.
> Poste le rapport ComboFix pour analyse ...
==============================
3- Refais un scan ZHPDiag .
* Coche bien toutes les options ( sauf les 045 et 061 )
* Au niveau du bouton "calendrier" choisis > 30 days
> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...
la suite dans l'ordre :
1- ! Déconnecte toi d'internet, désactive ton antivirus et ferme toutes applications en cours !
Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .
# Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil .
# Cette fois ci , tu cliques sur le bouton [ Suppression ] .
-> Laisse travailler l'outil et ne touche à rien ...
# Une fois terminé, poste le nouveau rapport UsbFix.txt qui apparaitra avec le bureau .
( Le rapport est en outre sauvegardé à la racine du disque maitre > C:\UsbFix.txt ).
/!\ Important : une fois le rapport posté , redémarre le PC pour que l'outil puisse terminer le nettoyage .
====================================
2- Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !) :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>[ ! ATTENTION ! ]<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
En effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !
> Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>[ ! ATTENTION ! ]<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
Ensuite :
> Double-clique sur l'icône "ComboFix.exe" pour lancer l'outil .
> A la fenêtre "DISCLAIMER..." , clique sur "oui" et laisse travailler ...
-- Pour XP, l' installation de la Console de Récupération sera demandé :
* Laisse toi guider et fais l'installe de la "console de récupération" ( en anglais, "Windows Recovery Console" ) lorsque l'outil te le demandera ( important ! ).
*Une fois la console installée,
Déconnecte toi si possible avant de cliquer sur "Oui" pour lancer le scan --
Notes importantes :
-> Ne rien faire avec le PC pendant le scan !
-> N'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Si l'otuil t'anonce qu'un version plus récente de ComboFix est disponible, accepte la mise à jour.
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
-> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes .
-> Si après un reboot éventuel , ton antivirus s'affole lorsque travail encore ComboFix , ignore les alertes ! ( ne supprime rien et ne mets rien en quarantaine )
Le rapport sera crée ici : C:\Combofix.txt
Réactive bien tes défenses une fois la procédure terminée.
> Poste le rapport ComboFix pour analyse ...
==============================
3- Refais un scan ZHPDiag .
* Coche bien toutes les options ( sauf les 045 et 061 )
* Au niveau du bouton "calendrier" choisis > 30 days
> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...
Re,
Premier rapport :
############################## | UsbFix 7.035 | [Suppression]
Utilisateur: Propriétaire (Administrateur) # MANSUY-BA9FB3C9 [ ]
Mis à jour le 05/12/10 par El Desaparecido / C_XX
Lancé à 14:47:03 | 15/12/2010
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org
CPU: AMD Athlon(tm) 64 X2 Dual Core Processor 3800+
CPU 2: AMD Athlon(tm) 64 X2 Dual Core Processor 3800+
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Pare-feu Windows: Activé
Antivirus: AntiVir Desktop 9.0.1.32 [(!) Disabled | Updated]
RAM -> 1535 Mo
C:\ (%systemdrive%) -> Disque fixe # 233 Go (34 Go libre(s) - 15%) [] # NTFS
D:\ -> CD-ROM
################## | Éléments infectieux |
Supprimé! C:\Recycler\S-1-5-21-515967899-1177238915-839522115-1003
Non supprimé ! D:\autorun.inf
Non supprimé ! D:\Installer.exe
################## | Registre |
Supprimé! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman
Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools
Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives
Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Run|MSConfig
################## | Mountpoints2 |
################## | Listing |
[02/02/2010 - 09:34:15 | D ] C:\6476609a3aad01676e4c57ef45
[14/12/2010 - 19:07:14 | N | 3376] C:\Ad-Report-CLEAN[1].txt
[29/01/2010 - 16:40:33 | D ] C:\AddOn
[29/01/2010 - 16:38:25 | N | 0] C:\AUTOEXEC.BAT
[29/01/2010 - 16:56:39 | N | 228] C:\Boot.bak
[10/12/2010 - 10:06:31 | N | 344] C:\boot.ini
[05/08/2004 - 13:00:00 | N | 4952] C:\Bootfont.bin
[15/02/2010 - 12:57:43 | N | 240] C:\CDFE.log
[02/10/2010 - 09:17:55 | D ] C:\cmdcons
[03/08/2004 - 22:00:08 | N | 263488] C:\cmldr
[06/10/2010 - 11:22:12 | D ] C:\ComboFix
[02/10/2010 - 09:38:34 | N | 30206] C:\ComboFix.txt
[29/01/2010 - 16:38:25 | N | 0] C:\CONFIG.SYS
[15/12/2010 - 07:28:09 | D ] C:\Documents and Settings
[14/11/2010 - 12:10:37 | D ] C:\Downloads
[07/11/2007 - 07:00:40 | N | 17734] C:\eula.1028.txt
[07/11/2007 - 07:00:40 | N | 17734] C:\eula.1031.txt
[07/11/2007 - 07:00:40 | N | 10134] C:\eula.1033.txt
[07/11/2007 - 07:00:40 | N | 17734] C:\eula.1036.txt
[07/11/2007 - 07:00:40 | N | 17734] C:\eula.1040.txt
[07/11/2007 - 07:00:40 | N | 118] C:\eula.1041.txt
[07/11/2007 - 07:00:40 | N | 17734] C:\eula.1042.txt
[07/11/2007 - 07:00:40 | N | 17734] C:\eula.2052.txt
[07/11/2007 - 07:00:40 | N | 17734] C:\eula.3082.txt
[20/08/2010 - 01:46:10 | D ] C:\Games
[07/11/2007 - 07:00:40 | N | 1110] C:\globdata.ini
[07/11/2007 - 07:00:40 | N | 843] C:\install.ini
[07/11/2007 - 07:03:18 | N | 76304] C:\install.res.1028.dll
[07/11/2007 - 07:03:18 | N | 96272] C:\install.res.1031.dll
[07/11/2007 - 07:03:18 | N | 91152] C:\install.res.1033.dll
[07/11/2007 - 07:03:18 | N | 97296] C:\install.res.1036.dll
[07/11/2007 - 07:03:18 | N | 95248] C:\install.res.1040.dll
[07/11/2007 - 07:03:18 | N | 81424] C:\install.res.1041.dll
[07/11/2007 - 07:03:18 | N | 79888] C:\install.res.1042.dll
[07/11/2007 - 07:03:18 | N | 75792] C:\install.res.2052.dll
[07/11/2007 - 07:03:18 | N | 96272] C:\install.res.3082.dll
[29/01/2010 - 16:38:25 | N | 0] C:\IO.SYS
[15/11/2010 - 18:19:02 | N | 194] C:\lxce.log
[15/02/2010 - 12:57:39 | N | 0] C:\lxcefire.csv
[15/02/2010 - 12:58:13 | N | 1004] C:\LXCEINST.csv
[28/07/2010 - 22:10:11 | N | 18060] C:\lxcescan.log
[29/01/2010 - 16:38:25 | N | 0] C:\MSDOS.SYS
[05/08/2004 - 13:00:00 | N | 47564] C:\NTDETECT.COM
[10/02/2010 - 22:36:51 | N | 252240] C:\ntldr
[15/12/2010 - 07:23:47 | ASH | 2145386496] C:\pagefile.sys
[06/11/2010 - 10:48:20 | D ] C:\Perfect World Entertainment
[10/06/2010 - 10:14:12 | D ] C:\pot
[14/12/2010 - 19:05:57 | D ] C:\Program Files
[06/10/2010 - 11:22:07 | D ] C:\Qoobox
[15/12/2010 - 14:48:59 | SHD ] C:\RECYCLER
[26/08/2010 - 00:48:31 | N | 511] C:\rkill.log
[26/08/2010 - 09:30:47 | SHD ] C:\System Volume Information
[15/02/2010 - 12:57:39 | D ] C:\Temp
[15/12/2010 - 14:48:59 | D ] C:\UsbFix
[15/12/2010 - 14:49:05 | A | 1344] C:\UsbFix.txt
[07/11/2007 - 07:00:40 | N | 5686] C:\vcredist.bmp
[07/11/2007 - 07:09:22 | N | 1442522] C:\VC_RED.cab
[07/11/2007 - 07:12:28 | N | 232960] C:\VC_RED.MSI
[15/12/2010 - 11:05:57 | D ] C:\WINDOWS
[14/12/2010 - 18:00:49 | N | 42390] C:\ZHPExportRegistry-14-12-2010-18-00-49.txt
[11/09/2010 - 00:09:29 | RH | 47] D:\autorun.inf
[11/09/2010 - 00:09:29 | RH | 293950] D:\cat.ico
[10/09/2010 - 23:51:43 | RH | 2306336519] D:\Installer Tome 1.MPQ
[11/09/2010 - 00:03:18 | RH | 4092297165] D:\Installer Tome 2.MPQ
[11/09/2010 - 00:08:54 | RH | 1728490300] D:\Installer Tome 3.MPQ
[10/09/2010 - 23:45:43 | RH | 151773985] D:\Installer UI.MPQ
[11/09/2010 - 00:09:30 | R | 2508760] D:\Installer.exe
################## | Vaccin |
C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
D:\Autorun.inf -> Dossier créé par Panda USB Vaccine
################## | Upload |
Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_MANSUY-BA9FB3C9.zip
http://www.teamxscript.org/Upload.php
Merci de votre contribution.
################## | E.O.F |
2eme rapport:
ComboFix 10-12-14.05 - Propriétaire 15/12/2010 15:03:34.2.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1535.935 [GMT 1:00]
Lancé depuis: c:\documents and settings\Propriétaire\Mes documents\Downloads\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
Une copie infectée de c:\windows\regedit.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\windows\SoftwareDistribution\Download\327771f7f3830b5acec68906a2aac4ab\regedit.exe
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-11-15 au 2010-12-15 ))))))))))))))))))))))))))))))))))))
.
2010-12-14 18:17 . 2010-12-15 13:49 -------- d-----w- C:\UsbFix
2010-12-14 18:05 . 2010-12-14 18:05 -------- d-----w- c:\program files\Ad-Remover
2010-12-14 16:51 . 2010-12-14 16:51 -------- d-----w- c:\documents and settings\Propriétaire\Local Settings\Application Data\Vuze_Remote
2010-12-14 12:18 . 2010-12-14 17:26 -------- d-----w- c:\program files\ZHPDiag
2010-12-07 14:28 . 2010-12-07 14:28 -------- d-----w- c:\program files\NetLimiter
2010-12-07 14:28 . 2010-12-07 14:28 -------- d-----w- c:\documents and settings\Propriétaire\Application Data\LockTime
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-15 13:49 . 2010-12-15 13:49 2293669 ----a-w- C:\UsbFix_Upload_Me_MANSUY-BA9FB3C9.zip
2010-11-29 16:42 . 2010-07-17 22:28 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-11-29 16:42 . 2010-07-17 22:28 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-10-14 15:34 . 2010-10-14 15:34 9893 ----a-w- c:\documents and settings\Propriétaire\Application Data\TheHunterSettings_live.bin
2010-10-13 14:35 . 2010-02-23 17:23 691696 ----a-w- c:\windows\system32\drivers\sptd.sys
2010-09-18 10:23 . 2004-08-05 12:00 974848 ----a-w- c:\windows\system32\mfc42u.dll
2010-09-18 06:53 . 2004-08-05 12:00 974848 ----a-w- c:\windows\system32\mfc42.dll
2010-09-18 06:53 . 2004-08-05 12:00 954368 ----a-w- c:\windows\system32\mfc40.dll
2010-09-18 06:53 . 2004-08-05 12:00 953856 ----a-w- c:\windows\system32\mfc40u.dll
2010-02-04 09:21 . 2010-02-04 09:21 525656 ----a-w- c:\program files\DXSETUP.exe
2010-02-04 09:21 . 2010-02-04 09:21 94040 ----a-w- c:\program files\DSETUP.dll
2010-02-04 09:21 . 2010-02-04 09:21 1691480 ----a-w- c:\program files\dsetup32.dll
.
------- Sigcheck -------
[7] 2008-04-14 . E853F84D3CE2FAA2A802E33CF89AC023 . 579584 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\327771f7f3830b5acec68906a2aac4ab\user32.dll
[7] 2008-04-13 . E853F84D3CE2FAA2A802E33CF89AC023 . 579584 . . [5.1.2600.5512] . . c:\windows\NiwradSoft Shell Pack\Backup\user32.dll
[-] 2008-04-13 . DE4A4AC7328FC80156034E7EB283676D . 579584 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\user32.dll
[-] 2008-04-13 . DE4A4AC7328FC80156034E7EB283676D . 579584 . . [5.1.2600.5512] . . c:\windows\system32\user32.dll
[7] 2004-08-05 . E46FB493E3B33704F0715020CF52106B . 578048 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\user32.dll
[7] 2008-04-14 . 59DC5BB82E4C8E0B3EADCFDBC44BA6E4 . 15360 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\327771f7f3830b5acec68906a2aac4ab\ctfmon.exe
[7] 2008-04-13 . 59DC5BB82E4C8E0B3EADCFDBC44BA6E4 . 15360 . . [5.1.2600.5512] . . c:\windows\NiwradSoft Shell Pack\Backup\ctfmon.exe
[-] 2008-04-13 . E21578B40C046A3F0FF371A9755145E5 . 40448 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\ctfmon.exe
[-] 2008-04-13 . E21578B40C046A3F0FF371A9755145E5 . 40448 . . [5.1.2600.5512] . . c:\windows\system32\ctfmon.exe
[7] 2004-08-05 . 5584247B568C2E53934873F4B655FE6A . 15360 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\ctfmon.exe
[7] 2009-03-08 . B60DDDD2D63CE41CB8C487FCFBB6419E . 638816 . . [8.00.6001.18702] . . c:\windows\NiwradSoft Shell Pack\Backup\iexplore.exe
[-] 2009-03-08 . F68C1BAC147227B86FFB36828FF8BEDF . 510816 . . [8.00.6001.18702] . . c:\windows\ServicePackFiles\i386\iexplore.exe
[-] 2009-03-08 . F68C1BAC147227B86FFB36828FF8BEDF . 510816 . . [8.00.6001.18702] . . c:\windows\system32\dllcache\iexplore.exe
[7] 2008-04-14 . 3D3C316BD1E112F3B9C532D8B9939BDC . 93184 . . [6.00.2900.5512] . . c:\windows\SoftwareDistribution\Download\327771f7f3830b5acec68906a2aac4ab\iexplore.exe
[7] 2008-04-13 . 3D3C316BD1E112F3B9C532D8B9939BDC . 93184 . . [6.00.2900.5512] . . c:\windows\ie8\iexplore.exe
[7] 2004-08-05 . 833E2B3F0E2484C0F2B804AE871B4381 . 93184 . . [6.00.2900.2180] . . c:\windows\$NtServicePackUninstall$\iexplore.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-04-16 3872080]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LXCECATS"="c:\windows\System32\spool\DRIVERS\W32X86\3\LXCEtime.dll" [2005-07-20 73728]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 40448]
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Wireless Configuration Utility.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Wireless Configuration Utility.lnk
backup=c:\windows\pss\Wireless Configuration Utility.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^Propriétaire^Menu Démarrer^Programmes^Démarrage^CurseClientStartup.ccip]
path=c:\documents and settings\Propriétaire\Menu Démarrer\Programmes\Démarrage\CurseClientStartup.ccip
backup=c:\windows\pss\CurseClientStartup.ccipStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-09-21 18:37 932288 ----a-w- c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-12-22 00:57 35760 ----a-w- c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
2009-03-02 11:08 209153 ----a-w- c:\program files\Avira\AntiVir Desktop\avgnt.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
2008-04-13 18:34 40448 ----a-w- c:\windows\system32\ctfmon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
2010-04-16 20:12 3872080 ----a-w- c:\program files\Windows Live\Messenger\msnmsgr.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NetLimiter]
2004-03-31 13:23 823296 ----a-w- c:\program files\NetLimiter\NetLimiter.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-03-17 19:53 421888 ----a-w- c:\program files\QuickTime\QTTask.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2010-09-02 13:15 13351304 ----a-r- c:\program files\Skype\Phone\Skype.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
2005-11-11 13:07 90112 ----a-r- c:\windows\SOUNDMAN.EXE
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC]
2008-07-16 15:57 61440 ----a-w- c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-01-11 14:21 246504 ----a-w- c:\program files\Fichiers communs\Java\Java Update\jusched.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\BitComet\\BitComet.exe"=
"c:\\Program Files\\River Past\\Audio Converter Pro\\AudioConverter.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\World of Warcraft\\WoW-3.2.0-frFR-downloader.exe"=
"c:\\Program Files\\World of Warcraft\\Launcher.exe"=
"c:\\WINDOWS\\system32\\lxcecoms.exe"=
"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxcepswx.exe"=
"c:\\Program Files\\StreamTorrent 1.0\\StreamTorrent.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Spotify\\spotify.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Documents and Settings\\Propriétaire\\Local Settings\\Apps\\2.0\\ZW0YGPNX.DEB\\A5TJOXPW.CKA\\curs..tion_eee711038731a406_0004.0000_1829574d2128b108\\CurseClient.exe"=
"c:\\Program Files\\Pando Networks\\Media Booster\\PMB.exe"=
"c:\\Program Files\\Vuze\\Azureus.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Program Files\\World of Warcraft\\Blizzard Downloader.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"17118:TCP"= 17118:TCP:BitComet 17118 TCP
"17118:UDP"= 17118:UDP:BitComet 17118 UDP
"11273:TCP"= 11273:TCP:BitComet 11273 TCP
"11273:UDP"= 11273:UDP:BitComet 11273 UDP
"135:TCP"= 135:TCP:TCP Port 135
"5000:TCP"= 5000:TCP:TCP Port 5000
"5001:TCP"= 5001:TCP:TCP Port 5001
"5002:TCP"= 5002:TCP:TCP Port 5002
"5003:TCP"= 5003:TCP:TCP Port 5003
"5004:TCP"= 5004:TCP:TCP Port 5004
"5005:TCP"= 5005:TCP:TCP Port 5005
"5006:TCP"= 5006:TCP:TCP Port 5006
"5007:TCP"= 5007:TCP:TCP Port 5007
"5008:TCP"= 5008:TCP:TCP Port 5008
"5009:TCP"= 5009:TCP:TCP Port 5009
"5010:TCP"= 5010:TCP:TCP Port 5010
"5011:TCP"= 5011:TCP:TCP Port 5011
"5012:TCP"= 5012:TCP:TCP Port 5012
"5013:TCP"= 5013:TCP:TCP Port 5013
"5014:TCP"= 5014:TCP:TCP Port 5014
"5015:TCP"= 5015:TCP:TCP Port 5015
"5016:TCP"= 5016:TCP:TCP Port 5016
"5017:TCP"= 5017:TCP:TCP Port 5017
"5018:TCP"= 5018:TCP:TCP Port 5018
"5019:TCP"= 5019:TCP:TCP Port 5019
"5020:TCP"= 5020:TCP:TCP Port 5020
"56632:TCP"= 56632:TCP![:p]( ":p")
ando Media Booster
"56632:UDP"= 56632:UDP![:p]( ":p")
ando Media Booster
"6112:TCP"= 6112:TCP:Blizzard Downloader
"1119:TCP"= 1119:TCP:Blizzard Downloader
"4000:TCP"= 4000:TCP:Blizzard Downloader
"6113:TCP"= 6113:TCP:Blizzard Downloader
"6114:TCP"= 6114:TCP:Blizzard Downloader
"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724
"1039:TCP"= 1039:TCP:Akamai NetSession Interface
"5000:UDP"= 5000:UDP:Akamai NetSession Interface
R2 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe -k Akamai [05/08/2004 13:00 14336]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [11/08/2010 15:10 108289]
R2 libusbd;LibUsb-Win32 - Daemon, Version 0.1.10.1;system32\libusbd-nt.exe --> system32\libusbd-nt.exe [?]
R2 WLNdis50;Wireless Lan NDIS Protocol I/O Control;c:\windows\system32\drivers\WLNdis50.sys [29/01/2010 17:19 20480]
R3 libusb0;LibUsb-Win32 - Kernel Driver, Version 0.1.10.1;c:\windows\system32\drivers\libusb0.sys [11/02/2010 12:56 33792]
R3 RTL8192su;TRENDnet 300Mbps Wireless N USB Adapter;c:\windows\system32\drivers\RTL8192su.sys [25/08/2010 14:34 588032]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [12/05/2010 08:24 136176]
S2 WLSVC;WLSVC;c:\program files\TRENDnet\TEW-648UB\WLSVC.exe [25/08/2010 14:34 167936]
S3 DsAudioDevice_282;DsAudioDevice_282;c:\windows\system32\drivers\DsAudioDevice_282.sys [30/01/2010 08:43 16640]
S3 esgiguard;esgiguard;\??\c:\program files\Enigma Software Group\SpyHunter\esgiguard.sys --> c:\program files\Enigma Software Group\SpyHunter\esgiguard.sys [?]
S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [23/02/2010 18:23 691696]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Akamai REG_MULTI_SZ Akamai
.
Contenu du dossier 'Tâches planifiées'
2010-12-10 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2009-10-22 09:50]
2010-12-15 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-05-12 07:24]
2010-12-15 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-05-12 07:24]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MI1933~1\OFFICE11\EXCEL.EXE/3000
IE: Tout télécharger avec BitComet - c:\program files\BitComet\BitComet.exe/AddAllLink.htm
IE: Télécharger avec BitComet - c:\program files\BitComet\BitComet.exe/AddLink.htm
IE: Télécharger toutes les vidéos avec BitComet - c:\program files\BitComet\BitComet.exe/AddVideo.htm
LSP: c:\program files\NetLimiter\nl_lsp.dll
FF - ProfilePath - c:\documents and settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\ahmbf339.default\
FF - prefs.js: browser.startup.homepage - hxxp://google.fr
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA}
FF - Ext: Skype extension for Firefox: {AB2CE124-6272-4b12-94A9-7303C7397BD1} - c:\program files\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\program files\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: BitComet Video Downloader: {B042753D-F57E-4e8e-A01B-7379A6D4CEFB} - %profile%\extensions\{B042753D-F57E-4e8e-A01B-7379A6D4CEFB}
FF - Ext: DownloadHelper: {b9db16a4-6edc-47ec-a1f4-b86292ed211d} - %profile%\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: Deutschland Radio Toolbar: {2069a8c8-fad1-424b-b76c-d7f33d77dc4c} - %profile%\extensions\{2069a8c8-fad1-424b-b76c-d7f33d77dc4c}
FF - Ext: Vuze Remote Toolbar: {ba14329e-9550-4989-b3f2-9732e92d17cc} - %profile%\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc}
.
- - - - ORPHELINS SUPPRIMES - - - -
MSConfigStartUp-DAEMON Tools Lite - c:\program files\DAEMON Tools Lite\DTLite.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-12-15 15:11
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
LXCECATS = rundll32 c:\windows\System32\spool\DRIVERS\W32X86\3\LXCEtime.dll,_RunDLLEntry@16???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
[HKEY_USERS\S-1-5-21-515967899-1177238915-839522115-1003\Software\SecuROM\License information*]
"datasecu"=hex:cb,63,34,ca,ce,54,f9,0e,22,ff,6f,60,a6,9a,47,e2,88,cc,7a,d5,3c,
61,78,f7,d4,1b,c0,6e,ac,db,d0,c8,8c,db,41,0f,bf,5f,e2,59,8f,82,60,b5,f9,b0,\
"rkeysecu"=hex:1f,6d,b3,40,ad,99,ec,9d,bc,3c,d5,ab,74,aa,02,01
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{5ED60779-4DE2-4E07-B862-974CA4FF2E9C}]
@Denied: (Full) (Everyone)
"scansk"=hex(0):2a,d3,01,f4,de,f2,71,60,b2,21,2a,8c,30,ed,50,46,83,48,5c,ee,bd,
d8,2e,b5,98,f6,ca,bb,d2,79,73,9c,24,2d,c6,d1,4b,af,ca,cd,00,00,00,00,00,00,\
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe,-101"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{dcafbd3f-50e0-406f-b2a4-74e4d6cdb987}]
@Denied: (Full) (Everyone)
"Model"=dword:00000066
"Therad"=dword:0000001e
"MData"=hex(0):2b,8f,78,29,5a,0c,ce,ec,48,d4,68,e5,9f,6a,96,3e,ab,de,c5,81,26,
38,95,44,ab,9e,50,1b,eb,77,d1,ab,a5,dc,ce,c4,12,ad,eb,5f,83,e0,8b,c5,07,bb,\
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•9~*]
"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(908)
c:\windows\system32\SETUPAPI.dll
c:\windows\system32\sfc_os.dll
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\cscui.dll
c:\windows\system32\COMRes.dll
- - - - - - - > 'lsass.exe'(968)
c:\windows\system32\setupapi.dll
c:\program files\NetLimiter\nl_lsp.dll
c:\windows\system32\nl_msgc.dll
c:\windows\system32\psbase.dll
- - - - - - - > 'explorer.exe'(3488)
c:\windows\system32\COMRes.dll
c:\windows\System32\cscui.dll
c:\windows\system32\SETUPAPI.dll
c:\windows\system32\NETSHELL.dll
c:\windows\system32\credui.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\libusbd-nt.exe
c:\program files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\lxcecoms.exe
.
**************************************************************************
.
Heure de fin: 2010-12-15 15:16:11 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-12-15 14:16
ComboFix2.txt 2010-10-02 08:38
Avant-CF: 36 920 725 504 octets libres
Après-CF: 36 978 171 904 octets libres
- - End Of File - - D405F150BC37D5FA1B0B645FFB042EA5
3eme rapport :
http://www.cijoint.fr/cjlink.php?file=cj201012/cij8B2J7...
Premier rapport :
############################## | UsbFix 7.035 | [Suppression]
Utilisateur: Propriétaire (Administrateur) # MANSUY-BA9FB3C9 [ ]
Mis à jour le 05/12/10 par El Desaparecido / C_XX
Lancé à 14:47:03 | 15/12/2010
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org
CPU: AMD Athlon(tm) 64 X2 Dual Core Processor 3800+
CPU 2: AMD Athlon(tm) 64 X2 Dual Core Processor 3800+
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Pare-feu Windows: Activé
Antivirus: AntiVir Desktop 9.0.1.32 [(!) Disabled | Updated]
RAM -> 1535 Mo
C:\ (%systemdrive%) -> Disque fixe # 233 Go (34 Go libre(s) - 15%) [] # NTFS
D:\ -> CD-ROM
################## | Éléments infectieux |
Supprimé! C:\Recycler\S-1-5-21-515967899-1177238915-839522115-1003
Non supprimé ! D:\autorun.inf
Non supprimé ! D:\Installer.exe
################## | Registre |
Supprimé! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman
Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools
Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives
Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Run|MSConfig
################## | Mountpoints2 |
################## | Listing |
[02/02/2010 - 09:34:15 | D ] C:\6476609a3aad01676e4c57ef45
[14/12/2010 - 19:07:14 | N | 3376] C:\Ad-Report-CLEAN[1].txt
[29/01/2010 - 16:40:33 | D ] C:\AddOn
[29/01/2010 - 16:38:25 | N | 0] C:\AUTOEXEC.BAT
[29/01/2010 - 16:56:39 | N | 228] C:\Boot.bak
[10/12/2010 - 10:06:31 | N | 344] C:\boot.ini
[05/08/2004 - 13:00:00 | N | 4952] C:\Bootfont.bin
[15/02/2010 - 12:57:43 | N | 240] C:\CDFE.log
[02/10/2010 - 09:17:55 | D ] C:\cmdcons
[03/08/2004 - 22:00:08 | N | 263488] C:\cmldr
[06/10/2010 - 11:22:12 | D ] C:\ComboFix
[02/10/2010 - 09:38:34 | N | 30206] C:\ComboFix.txt
[29/01/2010 - 16:38:25 | N | 0] C:\CONFIG.SYS
[15/12/2010 - 07:28:09 | D ] C:\Documents and Settings
[14/11/2010 - 12:10:37 | D ] C:\Downloads
[07/11/2007 - 07:00:40 | N | 17734] C:\eula.1028.txt
[07/11/2007 - 07:00:40 | N | 17734] C:\eula.1031.txt
[07/11/2007 - 07:00:40 | N | 10134] C:\eula.1033.txt
[07/11/2007 - 07:00:40 | N | 17734] C:\eula.1036.txt
[07/11/2007 - 07:00:40 | N | 17734] C:\eula.1040.txt
[07/11/2007 - 07:00:40 | N | 118] C:\eula.1041.txt
[07/11/2007 - 07:00:40 | N | 17734] C:\eula.1042.txt
[07/11/2007 - 07:00:40 | N | 17734] C:\eula.2052.txt
[07/11/2007 - 07:00:40 | N | 17734] C:\eula.3082.txt
[20/08/2010 - 01:46:10 | D ] C:\Games
[07/11/2007 - 07:00:40 | N | 1110] C:\globdata.ini
[07/11/2007 - 07:00:40 | N | 843] C:\install.ini
[07/11/2007 - 07:03:18 | N | 76304] C:\install.res.1028.dll
[07/11/2007 - 07:03:18 | N | 96272] C:\install.res.1031.dll
[07/11/2007 - 07:03:18 | N | 91152] C:\install.res.1033.dll
[07/11/2007 - 07:03:18 | N | 97296] C:\install.res.1036.dll
[07/11/2007 - 07:03:18 | N | 95248] C:\install.res.1040.dll
[07/11/2007 - 07:03:18 | N | 81424] C:\install.res.1041.dll
[07/11/2007 - 07:03:18 | N | 79888] C:\install.res.1042.dll
[07/11/2007 - 07:03:18 | N | 75792] C:\install.res.2052.dll
[07/11/2007 - 07:03:18 | N | 96272] C:\install.res.3082.dll
[29/01/2010 - 16:38:25 | N | 0] C:\IO.SYS
[15/11/2010 - 18:19:02 | N | 194] C:\lxce.log
[15/02/2010 - 12:57:39 | N | 0] C:\lxcefire.csv
[15/02/2010 - 12:58:13 | N | 1004] C:\LXCEINST.csv
[28/07/2010 - 22:10:11 | N | 18060] C:\lxcescan.log
[29/01/2010 - 16:38:25 | N | 0] C:\MSDOS.SYS
[05/08/2004 - 13:00:00 | N | 47564] C:\NTDETECT.COM
[10/02/2010 - 22:36:51 | N | 252240] C:\ntldr
[15/12/2010 - 07:23:47 | ASH | 2145386496] C:\pagefile.sys
[06/11/2010 - 10:48:20 | D ] C:\Perfect World Entertainment
[10/06/2010 - 10:14:12 | D ] C:\pot
[14/12/2010 - 19:05:57 | D ] C:\Program Files
[06/10/2010 - 11:22:07 | D ] C:\Qoobox
[15/12/2010 - 14:48:59 | SHD ] C:\RECYCLER
[26/08/2010 - 00:48:31 | N | 511] C:\rkill.log
[26/08/2010 - 09:30:47 | SHD ] C:\System Volume Information
[15/02/2010 - 12:57:39 | D ] C:\Temp
[15/12/2010 - 14:48:59 | D ] C:\UsbFix
[15/12/2010 - 14:49:05 | A | 1344] C:\UsbFix.txt
[07/11/2007 - 07:00:40 | N | 5686] C:\vcredist.bmp
[07/11/2007 - 07:09:22 | N | 1442522] C:\VC_RED.cab
[07/11/2007 - 07:12:28 | N | 232960] C:\VC_RED.MSI
[15/12/2010 - 11:05:57 | D ] C:\WINDOWS
[14/12/2010 - 18:00:49 | N | 42390] C:\ZHPExportRegistry-14-12-2010-18-00-49.txt
[11/09/2010 - 00:09:29 | RH | 47] D:\autorun.inf
[11/09/2010 - 00:09:29 | RH | 293950] D:\cat.ico
[10/09/2010 - 23:51:43 | RH | 2306336519] D:\Installer Tome 1.MPQ
[11/09/2010 - 00:03:18 | RH | 4092297165] D:\Installer Tome 2.MPQ
[11/09/2010 - 00:08:54 | RH | 1728490300] D:\Installer Tome 3.MPQ
[10/09/2010 - 23:45:43 | RH | 151773985] D:\Installer UI.MPQ
[11/09/2010 - 00:09:30 | R | 2508760] D:\Installer.exe
################## | Vaccin |
C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
D:\Autorun.inf -> Dossier créé par Panda USB Vaccine
################## | Upload |
Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_MANSUY-BA9FB3C9.zip
http://www.teamxscript.org/Upload.php
Merci de votre contribution.
################## | E.O.F |
2eme rapport:
ComboFix 10-12-14.05 - Propriétaire 15/12/2010 15:03:34.2.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1535.935 [GMT 1:00]
Lancé depuis: c:\documents and settings\Propriétaire\Mes documents\Downloads\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
Une copie infectée de c:\windows\regedit.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\windows\SoftwareDistribution\Download\327771f7f3830b5acec68906a2aac4ab\regedit.exe
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-11-15 au 2010-12-15 ))))))))))))))))))))))))))))))))))))
.
2010-12-14 18:17 . 2010-12-15 13:49 -------- d-----w- C:\UsbFix
2010-12-14 18:05 . 2010-12-14 18:05 -------- d-----w- c:\program files\Ad-Remover
2010-12-14 16:51 . 2010-12-14 16:51 -------- d-----w- c:\documents and settings\Propriétaire\Local Settings\Application Data\Vuze_Remote
2010-12-14 12:18 . 2010-12-14 17:26 -------- d-----w- c:\program files\ZHPDiag
2010-12-07 14:28 . 2010-12-07 14:28 -------- d-----w- c:\program files\NetLimiter
2010-12-07 14:28 . 2010-12-07 14:28 -------- d-----w- c:\documents and settings\Propriétaire\Application Data\LockTime
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-15 13:49 . 2010-12-15 13:49 2293669 ----a-w- C:\UsbFix_Upload_Me_MANSUY-BA9FB3C9.zip
2010-11-29 16:42 . 2010-07-17 22:28 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-11-29 16:42 . 2010-07-17 22:28 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-10-14 15:34 . 2010-10-14 15:34 9893 ----a-w- c:\documents and settings\Propriétaire\Application Data\TheHunterSettings_live.bin
2010-10-13 14:35 . 2010-02-23 17:23 691696 ----a-w- c:\windows\system32\drivers\sptd.sys
2010-09-18 10:23 . 2004-08-05 12:00 974848 ----a-w- c:\windows\system32\mfc42u.dll
2010-09-18 06:53 . 2004-08-05 12:00 974848 ----a-w- c:\windows\system32\mfc42.dll
2010-09-18 06:53 . 2004-08-05 12:00 954368 ----a-w- c:\windows\system32\mfc40.dll
2010-09-18 06:53 . 2004-08-05 12:00 953856 ----a-w- c:\windows\system32\mfc40u.dll
2010-02-04 09:21 . 2010-02-04 09:21 525656 ----a-w- c:\program files\DXSETUP.exe
2010-02-04 09:21 . 2010-02-04 09:21 94040 ----a-w- c:\program files\DSETUP.dll
2010-02-04 09:21 . 2010-02-04 09:21 1691480 ----a-w- c:\program files\dsetup32.dll
.
------- Sigcheck -------
[7] 2008-04-14 . E853F84D3CE2FAA2A802E33CF89AC023 . 579584 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\327771f7f3830b5acec68906a2aac4ab\user32.dll
[7] 2008-04-13 . E853F84D3CE2FAA2A802E33CF89AC023 . 579584 . . [5.1.2600.5512] . . c:\windows\NiwradSoft Shell Pack\Backup\user32.dll
[-] 2008-04-13 . DE4A4AC7328FC80156034E7EB283676D . 579584 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\user32.dll
[-] 2008-04-13 . DE4A4AC7328FC80156034E7EB283676D . 579584 . . [5.1.2600.5512] . . c:\windows\system32\user32.dll
[7] 2004-08-05 . E46FB493E3B33704F0715020CF52106B . 578048 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\user32.dll
[7] 2008-04-14 . 59DC5BB82E4C8E0B3EADCFDBC44BA6E4 . 15360 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\327771f7f3830b5acec68906a2aac4ab\ctfmon.exe
[7] 2008-04-13 . 59DC5BB82E4C8E0B3EADCFDBC44BA6E4 . 15360 . . [5.1.2600.5512] . . c:\windows\NiwradSoft Shell Pack\Backup\ctfmon.exe
[-] 2008-04-13 . E21578B40C046A3F0FF371A9755145E5 . 40448 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\ctfmon.exe
[-] 2008-04-13 . E21578B40C046A3F0FF371A9755145E5 . 40448 . . [5.1.2600.5512] . . c:\windows\system32\ctfmon.exe
[7] 2004-08-05 . 5584247B568C2E53934873F4B655FE6A . 15360 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\ctfmon.exe
[7] 2009-03-08 . B60DDDD2D63CE41CB8C487FCFBB6419E . 638816 . . [8.00.6001.18702] . . c:\windows\NiwradSoft Shell Pack\Backup\iexplore.exe
[-] 2009-03-08 . F68C1BAC147227B86FFB36828FF8BEDF . 510816 . . [8.00.6001.18702] . . c:\windows\ServicePackFiles\i386\iexplore.exe
[-] 2009-03-08 . F68C1BAC147227B86FFB36828FF8BEDF . 510816 . . [8.00.6001.18702] . . c:\windows\system32\dllcache\iexplore.exe
[7] 2008-04-14 . 3D3C316BD1E112F3B9C532D8B9939BDC . 93184 . . [6.00.2900.5512] . . c:\windows\SoftwareDistribution\Download\327771f7f3830b5acec68906a2aac4ab\iexplore.exe
[7] 2008-04-13 . 3D3C316BD1E112F3B9C532D8B9939BDC . 93184 . . [6.00.2900.5512] . . c:\windows\ie8\iexplore.exe
[7] 2004-08-05 . 833E2B3F0E2484C0F2B804AE871B4381 . 93184 . . [6.00.2900.2180] . . c:\windows\$NtServicePackUninstall$\iexplore.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-04-16 3872080]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LXCECATS"="c:\windows\System32\spool\DRIVERS\W32X86\3\LXCEtime.dll" [2005-07-20 73728]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 40448]
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Wireless Configuration Utility.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Wireless Configuration Utility.lnk
backup=c:\windows\pss\Wireless Configuration Utility.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^Propriétaire^Menu Démarrer^Programmes^Démarrage^CurseClientStartup.ccip]
path=c:\documents and settings\Propriétaire\Menu Démarrer\Programmes\Démarrage\CurseClientStartup.ccip
backup=c:\windows\pss\CurseClientStartup.ccipStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-09-21 18:37 932288 ----a-w- c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-12-22 00:57 35760 ----a-w- c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
2009-03-02 11:08 209153 ----a-w- c:\program files\Avira\AntiVir Desktop\avgnt.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
2008-04-13 18:34 40448 ----a-w- c:\windows\system32\ctfmon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
2010-04-16 20:12 3872080 ----a-w- c:\program files\Windows Live\Messenger\msnmsgr.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NetLimiter]
2004-03-31 13:23 823296 ----a-w- c:\program files\NetLimiter\NetLimiter.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-03-17 19:53 421888 ----a-w- c:\program files\QuickTime\QTTask.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2010-09-02 13:15 13351304 ----a-r- c:\program files\Skype\Phone\Skype.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
2005-11-11 13:07 90112 ----a-r- c:\windows\SOUNDMAN.EXE
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC]
2008-07-16 15:57 61440 ----a-w- c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-01-11 14:21 246504 ----a-w- c:\program files\Fichiers communs\Java\Java Update\jusched.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\BitComet\\BitComet.exe"=
"c:\\Program Files\\River Past\\Audio Converter Pro\\AudioConverter.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\World of Warcraft\\WoW-3.2.0-frFR-downloader.exe"=
"c:\\Program Files\\World of Warcraft\\Launcher.exe"=
"c:\\WINDOWS\\system32\\lxcecoms.exe"=
"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxcepswx.exe"=
"c:\\Program Files\\StreamTorrent 1.0\\StreamTorrent.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Spotify\\spotify.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Documents and Settings\\Propriétaire\\Local Settings\\Apps\\2.0\\ZW0YGPNX.DEB\\A5TJOXPW.CKA\\curs..tion_eee711038731a406_0004.0000_1829574d2128b108\\CurseClient.exe"=
"c:\\Program Files\\Pando Networks\\Media Booster\\PMB.exe"=
"c:\\Program Files\\Vuze\\Azureus.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Program Files\\World of Warcraft\\Blizzard Downloader.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"17118:TCP"= 17118:TCP:BitComet 17118 TCP
"17118:UDP"= 17118:UDP:BitComet 17118 UDP
"11273:TCP"= 11273:TCP:BitComet 11273 TCP
"11273:UDP"= 11273:UDP:BitComet 11273 UDP
"135:TCP"= 135:TCP:TCP Port 135
"5000:TCP"= 5000:TCP:TCP Port 5000
"5001:TCP"= 5001:TCP:TCP Port 5001
"5002:TCP"= 5002:TCP:TCP Port 5002
"5003:TCP"= 5003:TCP:TCP Port 5003
"5004:TCP"= 5004:TCP:TCP Port 5004
"5005:TCP"= 5005:TCP:TCP Port 5005
"5006:TCP"= 5006:TCP:TCP Port 5006
"5007:TCP"= 5007:TCP:TCP Port 5007
"5008:TCP"= 5008:TCP:TCP Port 5008
"5009:TCP"= 5009:TCP:TCP Port 5009
"5010:TCP"= 5010:TCP:TCP Port 5010
"5011:TCP"= 5011:TCP:TCP Port 5011
"5012:TCP"= 5012:TCP:TCP Port 5012
"5013:TCP"= 5013:TCP:TCP Port 5013
"5014:TCP"= 5014:TCP:TCP Port 5014
"5015:TCP"= 5015:TCP:TCP Port 5015
"5016:TCP"= 5016:TCP:TCP Port 5016
"5017:TCP"= 5017:TCP:TCP Port 5017
"5018:TCP"= 5018:TCP:TCP Port 5018
"5019:TCP"= 5019:TCP:TCP Port 5019
"5020:TCP"= 5020:TCP:TCP Port 5020
"56632:TCP"= 56632:TCP
ando Media Booster"56632:UDP"= 56632:UDP
ando Media Booster"6112:TCP"= 6112:TCP:Blizzard Downloader
"1119:TCP"= 1119:TCP:Blizzard Downloader
"4000:TCP"= 4000:TCP:Blizzard Downloader
"6113:TCP"= 6113:TCP:Blizzard Downloader
"6114:TCP"= 6114:TCP:Blizzard Downloader
"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724
"1039:TCP"= 1039:TCP:Akamai NetSession Interface
"5000:UDP"= 5000:UDP:Akamai NetSession Interface
R2 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe -k Akamai [05/08/2004 13:00 14336]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [11/08/2010 15:10 108289]
R2 libusbd;LibUsb-Win32 - Daemon, Version 0.1.10.1;system32\libusbd-nt.exe --> system32\libusbd-nt.exe [?]
R2 WLNdis50;Wireless Lan NDIS Protocol I/O Control;c:\windows\system32\drivers\WLNdis50.sys [29/01/2010 17:19 20480]
R3 libusb0;LibUsb-Win32 - Kernel Driver, Version 0.1.10.1;c:\windows\system32\drivers\libusb0.sys [11/02/2010 12:56 33792]
R3 RTL8192su;TRENDnet 300Mbps Wireless N USB Adapter;c:\windows\system32\drivers\RTL8192su.sys [25/08/2010 14:34 588032]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [12/05/2010 08:24 136176]
S2 WLSVC;WLSVC;c:\program files\TRENDnet\TEW-648UB\WLSVC.exe [25/08/2010 14:34 167936]
S3 DsAudioDevice_282;DsAudioDevice_282;c:\windows\system32\drivers\DsAudioDevice_282.sys [30/01/2010 08:43 16640]
S3 esgiguard;esgiguard;\??\c:\program files\Enigma Software Group\SpyHunter\esgiguard.sys --> c:\program files\Enigma Software Group\SpyHunter\esgiguard.sys [?]
S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [23/02/2010 18:23 691696]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Akamai REG_MULTI_SZ Akamai
.
Contenu du dossier 'Tâches planifiées'
2010-12-10 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2009-10-22 09:50]
2010-12-15 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-05-12 07:24]
2010-12-15 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-05-12 07:24]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MI1933~1\OFFICE11\EXCEL.EXE/3000
IE: Tout télécharger avec BitComet - c:\program files\BitComet\BitComet.exe/AddAllLink.htm
IE: Télécharger avec BitComet - c:\program files\BitComet\BitComet.exe/AddLink.htm
IE: Télécharger toutes les vidéos avec BitComet - c:\program files\BitComet\BitComet.exe/AddVideo.htm
LSP: c:\program files\NetLimiter\nl_lsp.dll
FF - ProfilePath - c:\documents and settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\ahmbf339.default\
FF - prefs.js: browser.startup.homepage - hxxp://google.fr
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA}
FF - Ext: Skype extension for Firefox: {AB2CE124-6272-4b12-94A9-7303C7397BD1} - c:\program files\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\program files\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: BitComet Video Downloader: {B042753D-F57E-4e8e-A01B-7379A6D4CEFB} - %profile%\extensions\{B042753D-F57E-4e8e-A01B-7379A6D4CEFB}
FF - Ext: DownloadHelper: {b9db16a4-6edc-47ec-a1f4-b86292ed211d} - %profile%\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: Deutschland Radio Toolbar: {2069a8c8-fad1-424b-b76c-d7f33d77dc4c} - %profile%\extensions\{2069a8c8-fad1-424b-b76c-d7f33d77dc4c}
FF - Ext: Vuze Remote Toolbar: {ba14329e-9550-4989-b3f2-9732e92d17cc} - %profile%\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc}
.
- - - - ORPHELINS SUPPRIMES - - - -
MSConfigStartUp-DAEMON Tools Lite - c:\program files\DAEMON Tools Lite\DTLite.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-12-15 15:11
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
LXCECATS = rundll32 c:\windows\System32\spool\DRIVERS\W32X86\3\LXCEtime.dll,_RunDLLEntry@16???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
[HKEY_USERS\S-1-5-21-515967899-1177238915-839522115-1003\Software\SecuROM\License information*]
"datasecu"=hex:cb,63,34,ca,ce,54,f9,0e,22,ff,6f,60,a6,9a,47,e2,88,cc,7a,d5,3c,
61,78,f7,d4,1b,c0,6e,ac,db,d0,c8,8c,db,41,0f,bf,5f,e2,59,8f,82,60,b5,f9,b0,\
"rkeysecu"=hex:1f,6d,b3,40,ad,99,ec,9d,bc,3c,d5,ab,74,aa,02,01
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{5ED60779-4DE2-4E07-B862-974CA4FF2E9C}]
@Denied: (Full) (Everyone)
"scansk"=hex(0):2a,d3,01,f4,de,f2,71,60,b2,21,2a,8c,30,ed,50,46,83,48,5c,ee,bd,
d8,2e,b5,98,f6,ca,bb,d2,79,73,9c,24,2d,c6,d1,4b,af,ca,cd,00,00,00,00,00,00,\
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe,-101"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{dcafbd3f-50e0-406f-b2a4-74e4d6cdb987}]
@Denied: (Full) (Everyone)
"Model"=dword:00000066
"Therad"=dword:0000001e
"MData"=hex(0):2b,8f,78,29,5a,0c,ce,ec,48,d4,68,e5,9f,6a,96,3e,ab,de,c5,81,26,
38,95,44,ab,9e,50,1b,eb,77,d1,ab,a5,dc,ce,c4,12,ad,eb,5f,83,e0,8b,c5,07,bb,\
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•9~*]
"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(908)
c:\windows\system32\SETUPAPI.dll
c:\windows\system32\sfc_os.dll
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\cscui.dll
c:\windows\system32\COMRes.dll
- - - - - - - > 'lsass.exe'(968)
c:\windows\system32\setupapi.dll
c:\program files\NetLimiter\nl_lsp.dll
c:\windows\system32\nl_msgc.dll
c:\windows\system32\psbase.dll
- - - - - - - > 'explorer.exe'(3488)
c:\windows\system32\COMRes.dll
c:\windows\System32\cscui.dll
c:\windows\system32\SETUPAPI.dll
c:\windows\system32\NETSHELL.dll
c:\windows\system32\credui.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\libusbd-nt.exe
c:\program files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\lxcecoms.exe
.
**************************************************************************
.
Heure de fin: 2010-12-15 15:16:11 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-12-15 14:16
ComboFix2.txt 2010-10-02 08:38
Avant-CF: 36 920 725 504 octets libres
Après-CF: 36 978 171 904 octets libres
- - End Of File - - D405F150BC37D5FA1B0B645FFB042EA5
3eme rapport :
http://www.cijoint.fr/cjlink.php?file=cj201012/cij8B2J7...
hello,
la suite dans l'ordre :
1- Créer un doc texte sur ton bureau :
Pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .
Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :
Puis va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi : CFScript puis valide ...
2- Nettoyage :
!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!
--> Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .
Regarde ici :
![]()
Cette manipulation va relancer Combofix !
Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)
! Ne touches à rien tant que le scan n'est pas terminé !
Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
-> Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse ...
( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )
la suite dans l'ordre :
1- Créer un doc texte sur ton bureau :
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5000:TCP"=-
"5001:TCP"=-
"5002:TCP"=-
"5003:TCP"=-
"5004:TCP"=-
"5005:TCP"=-
"5006:TCP"=-
"5007:TCP"=-
"5008:TCP"=-
"5009:TCP"=-
"5010:TCP"=-
"5011:TCP"=-
"5012:TCP"=-
"5013:TCP"=-
"5014:TCP"=-
"5015:TCP"=-
"5016:TCP"=-
"5017:TCP"=-
"5018:TCP"=-
"5019:TCP"=-
"5020:TCP"=-
Folder::
c:\program files\Enigma Software Group
Driver::
esgiguard
FireFox::
FF - Ext: Vuze Remote Toolbar: {ba14329e-9550-4989-b3f2-9732e92d17cc} - %profile%\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc}
RegLock::
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{5ED60779-4DE2-4E07-B862-974CA4FF2E9C}]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{dcafbd3f-50e0-406f-b2a4-74e4d6cdb987}]
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5000:TCP"=-
"5001:TCP"=-
"5002:TCP"=-
"5003:TCP"=-
"5004:TCP"=-
"5005:TCP"=-
"5006:TCP"=-
"5007:TCP"=-
"5008:TCP"=-
"5009:TCP"=-
"5010:TCP"=-
"5011:TCP"=-
"5012:TCP"=-
"5013:TCP"=-
"5014:TCP"=-
"5015:TCP"=-
"5016:TCP"=-
"5017:TCP"=-
"5018:TCP"=-
"5019:TCP"=-
"5020:TCP"=-
Folder::
c:\program files\Enigma Software Group
Driver::
esgiguard
FireFox::
FF - Ext: Vuze Remote Toolbar: {ba14329e-9550-4989-b3f2-9732e92d17cc} - %profile%\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc}
RegLock::
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{5ED60779-4DE2-4E07-B862-974CA4FF2E9C}]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{dcafbd3f-50e0-406f-b2a4-74e4d6cdb987}]
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
2- Nettoyage :
!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!
--> Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .
Regarde ici :
Cette manipulation va relancer Combofix !
Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)
! Ne touches à rien tant que le scan n'est pas terminé !
Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
-> Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse ...
( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )
Re,
Voici le rapport :
ComboFix 10-12-15.02 - Propriétaire 15/12/2010 19:51:46.3.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1535.1055 [GMT 1:00]
Lancé depuis: c:\documents and settings\Propriétaire\Mes documents\Downloads\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Propriétaire\Bureau\CFScript.txt
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\program files\Enigma Software Group
c:\program files\Enigma Software Group\SpyHunter\Data\dns.dat
c:\program files\Enigma Software Group\SpyHunter\Data\proxy.dat
c:\program files\Enigma Software Group\SpyHunter\Defs\cmp_2010092901.def
c:\program files\Enigma Software Group\SpyHunter\exclusions.dat
c:\program files\Enigma Software Group\SpyHunter\gil.dat
c:\program files\Enigma Software Group\SpyHunter\Log\SpyHunter4_20100923_174045.log
c:\program files\Enigma Software Group\SpyHunter\Log\SpyHunter4_20100924_072450.log
c:\program files\Enigma Software Group\SpyHunter\Log\SpyHunter4_20100924_175439.log
c:\program files\Enigma Software Group\SpyHunter\Log\SpyHunter4_20100925_100235.log
c:\program files\Enigma Software Group\SpyHunter\Log\SpyHunter4_20100925_102555.log
c:\program files\Enigma Software Group\SpyHunter\Log\SpyHunter4_20100926_100249.log
c:\program files\Enigma Software Group\SpyHunter\Log\SpyHunter4_20100927_182108.log
c:\program files\Enigma Software Group\SpyHunter\Log\SpyHunter4_20100928_121902.log
c:\program files\Enigma Software Group\SpyHunter\Log\SpyHunter4_20100928_131949.log
c:\program files\Enigma Software Group\SpyHunter\Log\SpyHunter4_20100929_071927.log
c:\program files\Enigma Software Group\SpyHunter\Log\SpyHunter4_20100929_152206.log
c:\program files\Enigma Software Group\SpyHunter\Log\SpyHunter4_20100930_182714.log
c:\program files\Enigma Software Group\SpyHunter\Log\SpyHunter4_20100930_184111.log
c:\program files\Enigma Software Group\SpyHunter\Log\SpyHunter4_20100930_192335.log
c:\program files\Enigma Software Group\SpyHunter\Log\SpyHunter4_20101001_070930.log
c:\program files\Enigma Software Group\SpyHunter\Log\SpyHunter4_20101001_164319.log
c:\program files\Enigma Software Group\SpyHunter\Log\SpyHunter4_20101001_181351.log
c:\program files\Enigma Software Group\SpyHunter\mon\autoexec.bat.bk
c:\program files\Enigma Software Group\SpyHunter\mon\hosts.bk
c:\program files\Enigma Software Group\SpyHunter\mon\system.ini.bk
c:\program files\Enigma Software Group\SpyHunter\mon\win.ini.bk
c:\program files\Enigma Software Group\SpyHunter\safeol.dat
c:\program files\Enigma Software Group\SpyHunter\scan.log
c:\program files\Enigma Software Group\SpyHunter\scanlog.xml
c:\program files\Enigma Software Group\SpyHunter\supportlog.txt
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_ESGIGUARD
-------\Service_esgiguard
((((((((((((((((((((((((((((( Fichiers créés du 2010-11-15 au 2010-12-15 ))))))))))))))))))))))))))))))))))))
.
2010-12-14 18:17 . 2010-12-15 13:49 -------- d-----w- C:\UsbFix
2010-12-14 18:05 . 2010-12-14 18:05 -------- d-----w- c:\program files\Ad-Remover
2010-12-14 16:51 . 2010-12-14 16:51 -------- d-----w- c:\documents and settings\Propriétaire\Local Settings\Application Data\Vuze_Remote
2010-12-14 12:18 . 2010-12-15 14:25 -------- d-----w- c:\program files\ZHPDiag
2010-12-07 14:28 . 2010-12-07 14:28 -------- d-----w- c:\program files\NetLimiter
2010-12-07 14:28 . 2010-12-07 14:28 -------- d-----w- c:\documents and settings\Propriétaire\Application Data\LockTime
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-15 13:49 . 2010-12-15 13:49 2293669 ----a-w- C:\UsbFix_Upload_Me_MANSUY-BA9FB3C9.zip
2010-11-29 16:42 . 2010-07-17 22:28 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-11-29 16:42 . 2010-07-17 22:28 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-10-14 15:34 . 2010-10-14 15:34 9893 ----a-w- c:\documents and settings\Propriétaire\Application Data\TheHunterSettings_live.bin
2010-10-13 14:35 . 2010-02-23 17:23 691696 ----a-w- c:\windows\system32\drivers\sptd.sys
2010-09-18 10:23 . 2004-08-05 12:00 974848 ----a-w- c:\windows\system32\mfc42u.dll
2010-09-18 06:53 . 2004-08-05 12:00 974848 ----a-w- c:\windows\system32\mfc42.dll
2010-09-18 06:53 . 2004-08-05 12:00 954368 ----a-w- c:\windows\system32\mfc40.dll
2010-09-18 06:53 . 2004-08-05 12:00 953856 ----a-w- c:\windows\system32\mfc40u.dll
2010-02-04 09:21 . 2010-02-04 09:21 525656 ----a-w- c:\program files\DXSETUP.exe
2010-02-04 09:21 . 2010-02-04 09:21 94040 ----a-w- c:\program files\DSETUP.dll
2010-02-04 09:21 . 2010-02-04 09:21 1691480 ----a-w- c:\program files\dsetup32.dll
.
------- Sigcheck -------
[7] 2008-04-14 . E853F84D3CE2FAA2A802E33CF89AC023 . 579584 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\327771f7f3830b5acec68906a2aac4ab\user32.dll
[7] 2008-04-13 . E853F84D3CE2FAA2A802E33CF89AC023 . 579584 . . [5.1.2600.5512] . . c:\windows\NiwradSoft Shell Pack\Backup\user32.dll
[-] 2008-04-13 . DE4A4AC7328FC80156034E7EB283676D . 579584 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\user32.dll
[-] 2008-04-13 . DE4A4AC7328FC80156034E7EB283676D . 579584 . . [5.1.2600.5512] . . c:\windows\system32\user32.dll
[7] 2004-08-05 . E46FB493E3B33704F0715020CF52106B . 578048 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\user32.dll
[7] 2008-04-14 . 59DC5BB82E4C8E0B3EADCFDBC44BA6E4 . 15360 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\327771f7f3830b5acec68906a2aac4ab\ctfmon.exe
[7] 2008-04-13 . 59DC5BB82E4C8E0B3EADCFDBC44BA6E4 . 15360 . . [5.1.2600.5512] . . c:\windows\NiwradSoft Shell Pack\Backup\ctfmon.exe
[-] 2008-04-13 . E21578B40C046A3F0FF371A9755145E5 . 40448 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\ctfmon.exe
[-] 2008-04-13 . E21578B40C046A3F0FF371A9755145E5 . 40448 . . [5.1.2600.5512] . . c:\windows\system32\ctfmon.exe
[7] 2004-08-05 . 5584247B568C2E53934873F4B655FE6A . 15360 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\ctfmon.exe
[7] 2009-03-08 . B60DDDD2D63CE41CB8C487FCFBB6419E . 638816 . . [8.00.6001.18702] . . c:\windows\NiwradSoft Shell Pack\Backup\iexplore.exe
[-] 2009-03-08 . F68C1BAC147227B86FFB36828FF8BEDF . 510816 . . [8.00.6001.18702] . . c:\windows\ServicePackFiles\i386\iexplore.exe
[-] 2009-03-08 . F68C1BAC147227B86FFB36828FF8BEDF . 510816 . . [8.00.6001.18702] . . c:\windows\system32\dllcache\iexplore.exe
[7] 2008-04-14 . 3D3C316BD1E112F3B9C532D8B9939BDC . 93184 . . [6.00.2900.5512] . . c:\windows\SoftwareDistribution\Download\327771f7f3830b5acec68906a2aac4ab\iexplore.exe
[7] 2008-04-13 . 3D3C316BD1E112F3B9C532D8B9939BDC . 93184 . . [6.00.2900.5512] . . c:\windows\ie8\iexplore.exe
[7] 2004-08-05 . 833E2B3F0E2484C0F2B804AE871B4381 . 93184 . . [6.00.2900.2180] . . c:\windows\$NtServicePackUninstall$\iexplore.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-04-16 3872080]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LXCECATS"="c:\windows\System32\spool\DRIVERS\W32X86\3\LXCEtime.dll" [2005-07-20 73728]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 40448]
c:\documents and settings\Propri‚taire\Menu D‚marrer\Programmes\D‚marrage\
CurseClientStartup.ccip [2010-12-15 0]
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Wireless Configuration Utility.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Wireless Configuration Utility.lnk
backup=c:\windows\pss\Wireless Configuration Utility.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^Propriétaire^Menu Démarrer^Programmes^Démarrage^CurseClientStartup.ccip]
path=c:\documents and settings\Propriétaire\Menu Démarrer\Programmes\Démarrage\CurseClientStartup.ccip
backup=c:\windows\pss\CurseClientStartup.ccipStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-09-21 18:37 932288 ----a-w- c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-12-22 00:57 35760 ----a-w- c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
2009-03-02 11:08 209153 ----a-w- c:\program files\Avira\AntiVir Desktop\avgnt.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
2008-04-13 18:34 40448 ----a-w- c:\windows\system32\ctfmon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
2010-04-16 20:12 3872080 ----a-w- c:\program files\Windows Live\Messenger\msnmsgr.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NetLimiter]
2004-03-31 13:23 823296 ----a-w- c:\program files\NetLimiter\NetLimiter.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-03-17 19:53 421888 ----a-w- c:\program files\QuickTime\QTTask.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2010-09-02 13:15 13351304 ----a-r- c:\program files\Skype\Phone\Skype.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
2005-11-11 13:07 90112 ----a-r- c:\windows\SOUNDMAN.EXE
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC]
2008-07-16 15:57 61440 ----a-w- c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-01-11 14:21 246504 ----a-w- c:\program files\Fichiers communs\Java\Java Update\jusched.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\BitComet\\BitComet.exe"=
"c:\\Program Files\\River Past\\Audio Converter Pro\\AudioConverter.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\World of Warcraft\\WoW-3.2.0-frFR-downloader.exe"=
"c:\\Program Files\\World of Warcraft\\Launcher.exe"=
"c:\\WINDOWS\\system32\\lxcecoms.exe"=
"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxcepswx.exe"=
"c:\\Program Files\\StreamTorrent 1.0\\StreamTorrent.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Spotify\\spotify.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\Pando Networks\\Media Booster\\PMB.exe"=
"c:\\Program Files\\Vuze\\Azureus.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Program Files\\World of Warcraft\\Blizzard Downloader.exe"=
"c:\\Documents and Settings\\Propriétaire\\Local Settings\\Apps\\2.0\\LR2Q7VXH.6E2\\TGQA1NPP.XYR\\curs..tion_eee711038731a406_0004.0000_efb506202a7c3b08\\CurseClient.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"17118:TCP"= 17118:TCP:BitComet 17118 TCP
"17118:UDP"= 17118:UDP:BitComet 17118 UDP
"11273:TCP"= 11273:TCP:BitComet 11273 TCP
"11273:UDP"= 11273:UDP:BitComet 11273 UDP
"135:TCP"= 135:TCP:TCP Port 135
"56632:TCP"= 56632:TCP![:p]( ":p")
ando Media Booster
"56632:UDP"= 56632:UDP![:p]( ":p")
ando Media Booster
"6112:TCP"= 6112:TCP:Blizzard Downloader
"1119:TCP"= 1119:TCP:Blizzard Downloader
"4000:TCP"= 4000:TCP:Blizzard Downloader
"6113:TCP"= 6113:TCP:Blizzard Downloader
"6114:TCP"= 6114:TCP:Blizzard Downloader
"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724
"1039:TCP"= 1039:TCP:Akamai NetSession Interface
"5000:UDP"= 5000:UDP:Akamai NetSession Interface
R2 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe -k Akamai [05/08/2004 13:00 14336]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [11/08/2010 15:10 108289]
R2 libusbd;LibUsb-Win32 - Daemon, Version 0.1.10.1;system32\libusbd-nt.exe --> system32\libusbd-nt.exe [?]
R2 WLNdis50;Wireless Lan NDIS Protocol I/O Control;c:\windows\system32\drivers\WLNdis50.sys [29/01/2010 17:19 20480]
R3 libusb0;LibUsb-Win32 - Kernel Driver, Version 0.1.10.1;c:\windows\system32\drivers\libusb0.sys [11/02/2010 12:56 33792]
R3 RTL8192su;TRENDnet 300Mbps Wireless N USB Adapter;c:\windows\system32\drivers\RTL8192su.sys [25/08/2010 14:34 588032]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [12/05/2010 08:24 136176]
S2 WLSVC;WLSVC;c:\program files\TRENDnet\TEW-648UB\WLSVC.exe [25/08/2010 14:34 167936]
S3 DsAudioDevice_282;DsAudioDevice_282;c:\windows\system32\drivers\DsAudioDevice_282.sys [30/01/2010 08:43 16640]
S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [23/02/2010 18:23 691696]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Akamai REG_MULTI_SZ Akamai
.
Contenu du dossier 'Tâches planifiées'
2010-12-10 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2009-10-22 09:50]
2010-12-15 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-05-12 07:24]
2010-12-15 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-05-12 07:24]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MI1933~1\OFFICE11\EXCEL.EXE/3000
IE: Tout télécharger avec BitComet - c:\program files\BitComet\BitComet.exe/AddAllLink.htm
IE: Télécharger avec BitComet - c:\program files\BitComet\BitComet.exe/AddLink.htm
IE: Télécharger toutes les vidéos avec BitComet - c:\program files\BitComet\BitComet.exe/AddVideo.htm
LSP: c:\program files\NetLimiter\nl_lsp.dll
FF - ProfilePath - c:\documents and settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\ahmbf339.default\
FF - prefs.js: browser.startup.homepage - hxxp://google.fr
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA}
FF - Ext: Skype extension for Firefox: {AB2CE124-6272-4b12-94A9-7303C7397BD1} - c:\program files\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\program files\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: BitComet Video Downloader: {B042753D-F57E-4e8e-A01B-7379A6D4CEFB} - %profile%\extensions\{B042753D-F57E-4e8e-A01B-7379A6D4CEFB}
FF - Ext: DownloadHelper: {b9db16a4-6edc-47ec-a1f4-b86292ed211d} - %profile%\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: Deutschland Radio Toolbar: {2069a8c8-fad1-424b-b76c-d7f33d77dc4c} - %profile%\extensions\{2069a8c8-fad1-424b-b76c-d7f33d77dc4c}
FF - Ext: Vuze Remote Toolbar: {ba14329e-9550-4989-b3f2-9732e92d17cc} - %profile%\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc}
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-12-15 20:00
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
LXCECATS = rundll32 c:\windows\System32\spool\DRIVERS\W32X86\3\LXCEtime.dll,_RunDLLEntry@16???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
[HKEY_USERS\S-1-5-21-515967899-1177238915-839522115-1003\Software\SecuROM\License information*]
"datasecu"=hex:cb,63,34,ca,ce,54,f9,0e,22,ff,6f,60,a6,9a,47,e2,88,cc,7a,d5,3c,
61,78,f7,d4,1b,c0,6e,ac,db,d0,c8,8c,db,41,0f,bf,5f,e2,59,8f,82,60,b5,f9,b0,\
"rkeysecu"=hex:1f,6d,b3,40,ad,99,ec,9d,bc,3c,d5,ab,74,aa,02,01
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•9~*]
"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(864)
c:\windows\system32\SETUPAPI.dll
c:\windows\system32\sfc_os.dll
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\cscui.dll
c:\windows\system32\COMRes.dll
- - - - - - - > 'lsass.exe'(920)
c:\windows\system32\setupapi.dll
c:\program files\NetLimiter\nl_lsp.dll
c:\windows\system32\nl_msgc.dll
c:\windows\system32\psbase.dll
- - - - - - - > 'explorer.exe'(3120)
c:\windows\system32\COMRes.dll
c:\windows\System32\cscui.dll
c:\windows\system32\SETUPAPI.dll
c:\windows\system32\NETSHELL.dll
c:\windows\system32\credui.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\libusbd-nt.exe
c:\program files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
c:\windows\Microsoft.NET\Framework\v2.0.50727\dfsvc.exe
c:\windows\system32\lxcecoms.exe
.
**************************************************************************
.
Heure de fin: 2010-12-15 20:05:25 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-12-15 19:05
ComboFix2.txt 2010-12-15 14:16
ComboFix3.txt 2010-10-02 08:38
Avant-CF: 40 057 253 888 octets libres
Après-CF: 39 983 824 896 octets libres
- - End Of File - - 52A613446F59F01B483367512BE3B0C6
Voici le rapport :
ComboFix 10-12-15.02 - Propriétaire 15/12/2010 19:51:46.3.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1535.1055 [GMT 1:00]
Lancé depuis: c:\documents and settings\Propriétaire\Mes documents\Downloads\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Propriétaire\Bureau\CFScript.txt
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\program files\Enigma Software Group
c:\program files\Enigma Software Group\SpyHunter\Data\dns.dat
c:\program files\Enigma Software Group\SpyHunter\Data\proxy.dat
c:\program files\Enigma Software Group\SpyHunter\Defs\cmp_2010092901.def
c:\program files\Enigma Software Group\SpyHunter\exclusions.dat
c:\program files\Enigma Software Group\SpyHunter\gil.dat
c:\program files\Enigma Software Group\SpyHunter\Log\SpyHunter4_20100923_174045.log
c:\program files\Enigma Software Group\SpyHunter\Log\SpyHunter4_20100924_072450.log
c:\program files\Enigma Software Group\SpyHunter\Log\SpyHunter4_20100924_175439.log
c:\program files\Enigma Software Group\SpyHunter\Log\SpyHunter4_20100925_100235.log
c:\program files\Enigma Software Group\SpyHunter\Log\SpyHunter4_20100925_102555.log
c:\program files\Enigma Software Group\SpyHunter\Log\SpyHunter4_20100926_100249.log
c:\program files\Enigma Software Group\SpyHunter\Log\SpyHunter4_20100927_182108.log
c:\program files\Enigma Software Group\SpyHunter\Log\SpyHunter4_20100928_121902.log
c:\program files\Enigma Software Group\SpyHunter\Log\SpyHunter4_20100928_131949.log
c:\program files\Enigma Software Group\SpyHunter\Log\SpyHunter4_20100929_071927.log
c:\program files\Enigma Software Group\SpyHunter\Log\SpyHunter4_20100929_152206.log
c:\program files\Enigma Software Group\SpyHunter\Log\SpyHunter4_20100930_182714.log
c:\program files\Enigma Software Group\SpyHunter\Log\SpyHunter4_20100930_184111.log
c:\program files\Enigma Software Group\SpyHunter\Log\SpyHunter4_20100930_192335.log
c:\program files\Enigma Software Group\SpyHunter\Log\SpyHunter4_20101001_070930.log
c:\program files\Enigma Software Group\SpyHunter\Log\SpyHunter4_20101001_164319.log
c:\program files\Enigma Software Group\SpyHunter\Log\SpyHunter4_20101001_181351.log
c:\program files\Enigma Software Group\SpyHunter\mon\autoexec.bat.bk
c:\program files\Enigma Software Group\SpyHunter\mon\hosts.bk
c:\program files\Enigma Software Group\SpyHunter\mon\system.ini.bk
c:\program files\Enigma Software Group\SpyHunter\mon\win.ini.bk
c:\program files\Enigma Software Group\SpyHunter\safeol.dat
c:\program files\Enigma Software Group\SpyHunter\scan.log
c:\program files\Enigma Software Group\SpyHunter\scanlog.xml
c:\program files\Enigma Software Group\SpyHunter\supportlog.txt
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_ESGIGUARD
-------\Service_esgiguard
((((((((((((((((((((((((((((( Fichiers créés du 2010-11-15 au 2010-12-15 ))))))))))))))))))))))))))))))))))))
.
2010-12-14 18:17 . 2010-12-15 13:49 -------- d-----w- C:\UsbFix
2010-12-14 18:05 . 2010-12-14 18:05 -------- d-----w- c:\program files\Ad-Remover
2010-12-14 16:51 . 2010-12-14 16:51 -------- d-----w- c:\documents and settings\Propriétaire\Local Settings\Application Data\Vuze_Remote
2010-12-14 12:18 . 2010-12-15 14:25 -------- d-----w- c:\program files\ZHPDiag
2010-12-07 14:28 . 2010-12-07 14:28 -------- d-----w- c:\program files\NetLimiter
2010-12-07 14:28 . 2010-12-07 14:28 -------- d-----w- c:\documents and settings\Propriétaire\Application Data\LockTime
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-15 13:49 . 2010-12-15 13:49 2293669 ----a-w- C:\UsbFix_Upload_Me_MANSUY-BA9FB3C9.zip
2010-11-29 16:42 . 2010-07-17 22:28 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-11-29 16:42 . 2010-07-17 22:28 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-10-14 15:34 . 2010-10-14 15:34 9893 ----a-w- c:\documents and settings\Propriétaire\Application Data\TheHunterSettings_live.bin
2010-10-13 14:35 . 2010-02-23 17:23 691696 ----a-w- c:\windows\system32\drivers\sptd.sys
2010-09-18 10:23 . 2004-08-05 12:00 974848 ----a-w- c:\windows\system32\mfc42u.dll
2010-09-18 06:53 . 2004-08-05 12:00 974848 ----a-w- c:\windows\system32\mfc42.dll
2010-09-18 06:53 . 2004-08-05 12:00 954368 ----a-w- c:\windows\system32\mfc40.dll
2010-09-18 06:53 . 2004-08-05 12:00 953856 ----a-w- c:\windows\system32\mfc40u.dll
2010-02-04 09:21 . 2010-02-04 09:21 525656 ----a-w- c:\program files\DXSETUP.exe
2010-02-04 09:21 . 2010-02-04 09:21 94040 ----a-w- c:\program files\DSETUP.dll
2010-02-04 09:21 . 2010-02-04 09:21 1691480 ----a-w- c:\program files\dsetup32.dll
.
------- Sigcheck -------
[7] 2008-04-14 . E853F84D3CE2FAA2A802E33CF89AC023 . 579584 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\327771f7f3830b5acec68906a2aac4ab\user32.dll
[7] 2008-04-13 . E853F84D3CE2FAA2A802E33CF89AC023 . 579584 . . [5.1.2600.5512] . . c:\windows\NiwradSoft Shell Pack\Backup\user32.dll
[-] 2008-04-13 . DE4A4AC7328FC80156034E7EB283676D . 579584 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\user32.dll
[-] 2008-04-13 . DE4A4AC7328FC80156034E7EB283676D . 579584 . . [5.1.2600.5512] . . c:\windows\system32\user32.dll
[7] 2004-08-05 . E46FB493E3B33704F0715020CF52106B . 578048 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\user32.dll
[7] 2008-04-14 . 59DC5BB82E4C8E0B3EADCFDBC44BA6E4 . 15360 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\327771f7f3830b5acec68906a2aac4ab\ctfmon.exe
[7] 2008-04-13 . 59DC5BB82E4C8E0B3EADCFDBC44BA6E4 . 15360 . . [5.1.2600.5512] . . c:\windows\NiwradSoft Shell Pack\Backup\ctfmon.exe
[-] 2008-04-13 . E21578B40C046A3F0FF371A9755145E5 . 40448 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\ctfmon.exe
[-] 2008-04-13 . E21578B40C046A3F0FF371A9755145E5 . 40448 . . [5.1.2600.5512] . . c:\windows\system32\ctfmon.exe
[7] 2004-08-05 . 5584247B568C2E53934873F4B655FE6A . 15360 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\ctfmon.exe
[7] 2009-03-08 . B60DDDD2D63CE41CB8C487FCFBB6419E . 638816 . . [8.00.6001.18702] . . c:\windows\NiwradSoft Shell Pack\Backup\iexplore.exe
[-] 2009-03-08 . F68C1BAC147227B86FFB36828FF8BEDF . 510816 . . [8.00.6001.18702] . . c:\windows\ServicePackFiles\i386\iexplore.exe
[-] 2009-03-08 . F68C1BAC147227B86FFB36828FF8BEDF . 510816 . . [8.00.6001.18702] . . c:\windows\system32\dllcache\iexplore.exe
[7] 2008-04-14 . 3D3C316BD1E112F3B9C532D8B9939BDC . 93184 . . [6.00.2900.5512] . . c:\windows\SoftwareDistribution\Download\327771f7f3830b5acec68906a2aac4ab\iexplore.exe
[7] 2008-04-13 . 3D3C316BD1E112F3B9C532D8B9939BDC . 93184 . . [6.00.2900.5512] . . c:\windows\ie8\iexplore.exe
[7] 2004-08-05 . 833E2B3F0E2484C0F2B804AE871B4381 . 93184 . . [6.00.2900.2180] . . c:\windows\$NtServicePackUninstall$\iexplore.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-04-16 3872080]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LXCECATS"="c:\windows\System32\spool\DRIVERS\W32X86\3\LXCEtime.dll" [2005-07-20 73728]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 40448]
c:\documents and settings\Propri‚taire\Menu D‚marrer\Programmes\D‚marrage\
CurseClientStartup.ccip [2010-12-15 0]
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Wireless Configuration Utility.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Wireless Configuration Utility.lnk
backup=c:\windows\pss\Wireless Configuration Utility.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^Propriétaire^Menu Démarrer^Programmes^Démarrage^CurseClientStartup.ccip]
path=c:\documents and settings\Propriétaire\Menu Démarrer\Programmes\Démarrage\CurseClientStartup.ccip
backup=c:\windows\pss\CurseClientStartup.ccipStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-09-21 18:37 932288 ----a-w- c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-12-22 00:57 35760 ----a-w- c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
2009-03-02 11:08 209153 ----a-w- c:\program files\Avira\AntiVir Desktop\avgnt.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
2008-04-13 18:34 40448 ----a-w- c:\windows\system32\ctfmon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
2010-04-16 20:12 3872080 ----a-w- c:\program files\Windows Live\Messenger\msnmsgr.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NetLimiter]
2004-03-31 13:23 823296 ----a-w- c:\program files\NetLimiter\NetLimiter.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-03-17 19:53 421888 ----a-w- c:\program files\QuickTime\QTTask.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2010-09-02 13:15 13351304 ----a-r- c:\program files\Skype\Phone\Skype.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
2005-11-11 13:07 90112 ----a-r- c:\windows\SOUNDMAN.EXE
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC]
2008-07-16 15:57 61440 ----a-w- c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-01-11 14:21 246504 ----a-w- c:\program files\Fichiers communs\Java\Java Update\jusched.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\BitComet\\BitComet.exe"=
"c:\\Program Files\\River Past\\Audio Converter Pro\\AudioConverter.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\World of Warcraft\\WoW-3.2.0-frFR-downloader.exe"=
"c:\\Program Files\\World of Warcraft\\Launcher.exe"=
"c:\\WINDOWS\\system32\\lxcecoms.exe"=
"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxcepswx.exe"=
"c:\\Program Files\\StreamTorrent 1.0\\StreamTorrent.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Spotify\\spotify.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\Pando Networks\\Media Booster\\PMB.exe"=
"c:\\Program Files\\Vuze\\Azureus.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Program Files\\World of Warcraft\\Blizzard Downloader.exe"=
"c:\\Documents and Settings\\Propriétaire\\Local Settings\\Apps\\2.0\\LR2Q7VXH.6E2\\TGQA1NPP.XYR\\curs..tion_eee711038731a406_0004.0000_efb506202a7c3b08\\CurseClient.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"17118:TCP"= 17118:TCP:BitComet 17118 TCP
"17118:UDP"= 17118:UDP:BitComet 17118 UDP
"11273:TCP"= 11273:TCP:BitComet 11273 TCP
"11273:UDP"= 11273:UDP:BitComet 11273 UDP
"135:TCP"= 135:TCP:TCP Port 135
"56632:TCP"= 56632:TCP
ando Media Booster"56632:UDP"= 56632:UDP
ando Media Booster"6112:TCP"= 6112:TCP:Blizzard Downloader
"1119:TCP"= 1119:TCP:Blizzard Downloader
"4000:TCP"= 4000:TCP:Blizzard Downloader
"6113:TCP"= 6113:TCP:Blizzard Downloader
"6114:TCP"= 6114:TCP:Blizzard Downloader
"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724
"1039:TCP"= 1039:TCP:Akamai NetSession Interface
"5000:UDP"= 5000:UDP:Akamai NetSession Interface
R2 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe -k Akamai [05/08/2004 13:00 14336]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [11/08/2010 15:10 108289]
R2 libusbd;LibUsb-Win32 - Daemon, Version 0.1.10.1;system32\libusbd-nt.exe --> system32\libusbd-nt.exe [?]
R2 WLNdis50;Wireless Lan NDIS Protocol I/O Control;c:\windows\system32\drivers\WLNdis50.sys [29/01/2010 17:19 20480]
R3 libusb0;LibUsb-Win32 - Kernel Driver, Version 0.1.10.1;c:\windows\system32\drivers\libusb0.sys [11/02/2010 12:56 33792]
R3 RTL8192su;TRENDnet 300Mbps Wireless N USB Adapter;c:\windows\system32\drivers\RTL8192su.sys [25/08/2010 14:34 588032]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [12/05/2010 08:24 136176]
S2 WLSVC;WLSVC;c:\program files\TRENDnet\TEW-648UB\WLSVC.exe [25/08/2010 14:34 167936]
S3 DsAudioDevice_282;DsAudioDevice_282;c:\windows\system32\drivers\DsAudioDevice_282.sys [30/01/2010 08:43 16640]
S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [23/02/2010 18:23 691696]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Akamai REG_MULTI_SZ Akamai
.
Contenu du dossier 'Tâches planifiées'
2010-12-10 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2009-10-22 09:50]
2010-12-15 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-05-12 07:24]
2010-12-15 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-05-12 07:24]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MI1933~1\OFFICE11\EXCEL.EXE/3000
IE: Tout télécharger avec BitComet - c:\program files\BitComet\BitComet.exe/AddAllLink.htm
IE: Télécharger avec BitComet - c:\program files\BitComet\BitComet.exe/AddLink.htm
IE: Télécharger toutes les vidéos avec BitComet - c:\program files\BitComet\BitComet.exe/AddVideo.htm
LSP: c:\program files\NetLimiter\nl_lsp.dll
FF - ProfilePath - c:\documents and settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\ahmbf339.default\
FF - prefs.js: browser.startup.homepage - hxxp://google.fr
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA}
FF - Ext: Skype extension for Firefox: {AB2CE124-6272-4b12-94A9-7303C7397BD1} - c:\program files\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\program files\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: BitComet Video Downloader: {B042753D-F57E-4e8e-A01B-7379A6D4CEFB} - %profile%\extensions\{B042753D-F57E-4e8e-A01B-7379A6D4CEFB}
FF - Ext: DownloadHelper: {b9db16a4-6edc-47ec-a1f4-b86292ed211d} - %profile%\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: Deutschland Radio Toolbar: {2069a8c8-fad1-424b-b76c-d7f33d77dc4c} - %profile%\extensions\{2069a8c8-fad1-424b-b76c-d7f33d77dc4c}
FF - Ext: Vuze Remote Toolbar: {ba14329e-9550-4989-b3f2-9732e92d17cc} - %profile%\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc}
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-12-15 20:00
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
LXCECATS = rundll32 c:\windows\System32\spool\DRIVERS\W32X86\3\LXCEtime.dll,_RunDLLEntry@16???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
[HKEY_USERS\S-1-5-21-515967899-1177238915-839522115-1003\Software\SecuROM\License information*]
"datasecu"=hex:cb,63,34,ca,ce,54,f9,0e,22,ff,6f,60,a6,9a,47,e2,88,cc,7a,d5,3c,
61,78,f7,d4,1b,c0,6e,ac,db,d0,c8,8c,db,41,0f,bf,5f,e2,59,8f,82,60,b5,f9,b0,\
"rkeysecu"=hex:1f,6d,b3,40,ad,99,ec,9d,bc,3c,d5,ab,74,aa,02,01
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•9~*]
"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(864)
c:\windows\system32\SETUPAPI.dll
c:\windows\system32\sfc_os.dll
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\cscui.dll
c:\windows\system32\COMRes.dll
- - - - - - - > 'lsass.exe'(920)
c:\windows\system32\setupapi.dll
c:\program files\NetLimiter\nl_lsp.dll
c:\windows\system32\nl_msgc.dll
c:\windows\system32\psbase.dll
- - - - - - - > 'explorer.exe'(3120)
c:\windows\system32\COMRes.dll
c:\windows\System32\cscui.dll
c:\windows\system32\SETUPAPI.dll
c:\windows\system32\NETSHELL.dll
c:\windows\system32\credui.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\libusbd-nt.exe
c:\program files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
c:\windows\Microsoft.NET\Framework\v2.0.50727\dfsvc.exe
c:\windows\system32\lxcecoms.exe
.
**************************************************************************
.
Heure de fin: 2010-12-15 20:05:25 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-12-15 19:05
ComboFix2.txt 2010-12-15 14:16
ComboFix3.txt 2010-10-02 08:38
Avant-CF: 40 057 253 888 octets libres
Après-CF: 39 983 824 896 octets libres
- - End Of File - - 52A613446F59F01B483367512BE3B0C6
Re,
Dis moi comment va l'ordi ... encore des soucis ? ...
Vire l'outil ComboFix correctement en fesant cette manipe :
Clique sur " Démarrer " -> " Executer "( ou combine la touche Windows + R ) -> copie/colle cette ligne :
ComboFix /uninstall
( laisse l'espace entre "Combofix" et "/uninstall" )
-> Valide .
l'outil se relancera et se supprimera de lui-même ....
Puis fait ceci dans l'ordre ( si le dernier rapport est clean , on pourra finaliser ) :
( ne saute pas d'étape ! si tu rencontres un soucis lors de cette manipe , tu stoppes et tu m'en fais part )
1- Utilisation de l'outil ZHPFix :
> Lance ZHPFix depuis le raccourci du bureau .
* Une fois l'outil ZHPFix ouvert :
!! ferme tes autres applications en cours !!
A- Clique sur le bouton " Nettoyeur de tools "![]()
. Des lignes pré-cochées apparaissent alors dans l'encadré principal .
> Là tu décoches la case devant ZHPDiag !
> Enfin clique en bas sur![]()
.
Laisse travailler l'outil ... une fois terminé , un nouveau rapport apparait dans l'encadré principal .
-> Copie/colle le contenu de ce rapport pour analyse ...
( il est également sauvegardé ici : C:\Program files\ZHPFix\ZHPFixReport.txt )
Note : si il t'est demandé de redémarrer le PC pour finir le nettoyage, fait le !
B- Clique sur le bouton en haut à droite " Vider la quarantaine "![]()
Au message de confirmation , clique sur "Ok" .
Puis ferme ZHPFix ...
======================================
2- Télécharge CCleaner :
ici http://www.infos-du-net.com/telecharger/CCleaner,0301-1...
ou ici http://www.commentcamarche.net/telecharger/telecharger-...
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre .
Lors de l'installation:
- choisis bien "français" en langue .
- dans la première fenêtre : décoche toutes les "options supplémentaires" sauf les 2 premières.
- dans la deuxieme fenêtre : refuser l'installation de GoogleChrome en décochant les deux cases.
Un tuto ( aide ):
http://www.commentcamarche.net/faq/27688-tutoriel-cclea...
---> Utilisation :
*Décocher dans le menu Options - sous-menu Avancé :
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .
! déconnecte toi et ferme toutes applications en cours !
* va dans "nettoyeur" : fais -analyse- puis -nettoyage-
* va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs-
( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .
( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )
======================================
3- Important :
Purge de la restauration système
*Désactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/ coche la case désactiver la restauration, appliquer, OK
---> Redémarre ton PC ...
*Réactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/ décoche la case désactiver la restauration, appliquer, OK
--->Redémarre ton PC ...
( Note : tu peux aussi y accéder via panneau de configuration->"systeme"->" restauration système " ).
======================================
4- on va utiliser ton antivurs AntiVir ainsi ,
mets le à jour si besoin .
Aide AntiVir : http://www.malekal.com/tutorial_antivir.php
Fais ce réglage supplémentaire :
***************************************
Une fois AntiVir ouvert, clique sur "configuration" et coche bien la case " mode expert " :
* mets toi sur "scanner"/"recherche" (à gauche) -> dans "fichiers", coche tous les fichiers et en dessous dans priorité scanner= élevé .
coche aussi : autorisé l'arrêt , comme cela tu peux faire une pause pendant le scan si tu le desir.
* toujours dans "recherche" -> "Autres réglages", coche les cases suivantes :
> secteur d'amorçage lecteurs de rech.
> Contrôler secteurs d'amorçage maître
> Suivre les liens symboliques
> Rech.Rootkit au dém. de la recherche
et décoche :
ignorer les fichiers hors ligne
* mets toi sur "scanner"/"recherche"/ "heuristique" -> Heuristique macrovirus = coché, et en dessous coche activer AHeAD et coche la case degré d'identification élevé ...
* mets toi sur "scanner"/"recherche"/ "action en cas de résultat positif" -> coche " interactif" et choisis le mode "individuel" .
* mets toi sur "Guard"/"recherche"/ "heuristique" -> Heuristique macrovirus = coché, et en dessous coche activer AHeAD et coche la case degré d'identification moyen ...
---> clique sur "OK" pour valider le réglage ..
****************************************
Une fois fait, lance un scan complet de ton PC , mets tout ce qu'il peut trouver en "quarantaine" ...
=> poste moi le rapport obtenu ... Aide toi bien du tuto![;)]( ";)")
Dis moi comment va l'ordi ... encore des soucis ? ...
Vire l'outil ComboFix correctement en fesant cette manipe :
Clique sur " Démarrer " -> " Executer "( ou combine la touche Windows + R ) -> copie/colle cette ligne :
ComboFix /uninstall
( laisse l'espace entre "Combofix" et "/uninstall" )
-> Valide .
l'outil se relancera et se supprimera de lui-même ....
Puis fait ceci dans l'ordre ( si le dernier rapport est clean , on pourra finaliser ) :
( ne saute pas d'étape ! si tu rencontres un soucis lors de cette manipe , tu stoppes et tu m'en fais part )
1- Utilisation de l'outil ZHPFix :
> Lance ZHPFix depuis le raccourci du bureau .
* Une fois l'outil ZHPFix ouvert :
!! ferme tes autres applications en cours !!
A- Clique sur le bouton " Nettoyeur de tools "
. Des lignes pré-cochées apparaissent alors dans l'encadré principal .> Là tu décoches la case devant ZHPDiag !
> Enfin clique en bas sur
. Laisse travailler l'outil ... une fois terminé , un nouveau rapport apparait dans l'encadré principal .
-> Copie/colle le contenu de ce rapport pour analyse ...
( il est également sauvegardé ici : C:\Program files\ZHPFix\ZHPFixReport.txt )
Note : si il t'est demandé de redémarrer le PC pour finir le nettoyage, fait le !
B- Clique sur le bouton en haut à droite " Vider la quarantaine "
Au message de confirmation , clique sur "Ok" .
Puis ferme ZHPFix ...
======================================
2- Télécharge CCleaner :
ici http://www.infos-du-net.com/telecharger/CCleaner,0301-1...
ou ici http://www.commentcamarche.net/telecharger/telecharger-...
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre .
Lors de l'installation:
- choisis bien "français" en langue .
- dans la première fenêtre : décoche toutes les "options supplémentaires" sauf les 2 premières.
- dans la deuxieme fenêtre : refuser l'installation de GoogleChrome en décochant les deux cases.
Un tuto ( aide ):
http://www.commentcamarche.net/faq/27688-tutoriel-cclea...
---> Utilisation :
*Décocher dans le menu Options - sous-menu Avancé :
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .
! déconnecte toi et ferme toutes applications en cours !
* va dans "nettoyeur" : fais -analyse- puis -nettoyage-
* va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs-
( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .
( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )
======================================
3- Important :
Purge de la restauration système
*Désactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/ coche la case désactiver la restauration, appliquer, OK
---> Redémarre ton PC ...
*Réactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/ décoche la case désactiver la restauration, appliquer, OK
--->Redémarre ton PC ...
( Note : tu peux aussi y accéder via panneau de configuration->"systeme"->" restauration système " ).
======================================
4- on va utiliser ton antivurs AntiVir ainsi ,
mets le à jour si besoin .
Aide AntiVir : http://www.malekal.com/tutorial_antivir.php
Fais ce réglage supplémentaire :
***************************************
Une fois AntiVir ouvert, clique sur "configuration" et coche bien la case " mode expert " :
* mets toi sur "scanner"/"recherche" (à gauche) -> dans "fichiers", coche tous les fichiers et en dessous dans priorité scanner= élevé .
coche aussi : autorisé l'arrêt , comme cela tu peux faire une pause pendant le scan si tu le desir.
* toujours dans "recherche" -> "Autres réglages", coche les cases suivantes :
> secteur d'amorçage lecteurs de rech.
> Contrôler secteurs d'amorçage maître
> Suivre les liens symboliques
> Rech.Rootkit au dém. de la recherche
et décoche :
ignorer les fichiers hors ligne
* mets toi sur "scanner"/"recherche"/ "heuristique" -> Heuristique macrovirus = coché, et en dessous coche activer AHeAD et coche la case degré d'identification élevé ...
* mets toi sur "scanner"/"recherche"/ "action en cas de résultat positif" -> coche " interactif" et choisis le mode "individuel" .
* mets toi sur "Guard"/"recherche"/ "heuristique" -> Heuristique macrovirus = coché, et en dessous coche activer AHeAD et coche la case degré d'identification moyen ...
---> clique sur "OK" pour valider le réglage ..
****************************************
Une fois fait, lance un scan complet de ton PC , mets tout ce qu'il peut trouver en "quarantaine" ...
=> poste moi le rapport obtenu ... Aide toi bien du tuto
Salut,
Mon PC a l'air de se porter plutot bien, voici les rapports
Rapport de ZHPFix 6.12.3226 par Nicolas Coolman, Update du 06/12/2010
Fichier d'export Registre :
Run by Propriétaire at 16/12/2010 13:18:46
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.ht...
Contact : nicolascoolman@yahoo.fr
========== Logiciel(s) ==========
O63 - Logiciel: Ad-Remover By C_XX - (.C_XX.) [HKLM] -- Ad-Remover => Logiciel supprimé avec succès
O63 - Logiciel: HijackThis 2.0.2 - (.TrendMicro.) [HKLM] -- HijackThis => Logiciel supprimé avec succès
O63 - Logiciel: UsbFix By El Desaparecido & C_XX - (.El Desaparecido & C_XX.) [HKLM] -- Usbfix => Logiciel supprimé avec succès
========== Récapitulatif ==========
3 : Logiciel(s)
End of the scan
-----------------------
Avira AntiVir Personal
Date de création du fichier de rapport : jeudi 16 décembre 2010 13:48
La recherche porte sur 2259675 souches de virus.
Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows XP
Version de Windows : (Service Pack 3) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur : MANSUY-BA9FB3C9
Informations de version :
BUILD.DAT : 9.0.0.81 21698 Bytes 22/10/2010 12:02:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 13/10/2009 10:25:46
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 06:35:52
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14/12/2010 17:34:41
VBASE002.VDF : 7.11.0.1 2048 Bytes 14/12/2010 17:34:41
VBASE003.VDF : 7.11.0.2 2048 Bytes 14/12/2010 17:34:41
VBASE004.VDF : 7.11.0.3 2048 Bytes 14/12/2010 17:34:41
VBASE005.VDF : 7.11.0.4 2048 Bytes 14/12/2010 17:34:42
VBASE006.VDF : 7.11.0.5 2048 Bytes 14/12/2010 17:34:42
VBASE007.VDF : 7.11.0.6 2048 Bytes 14/12/2010 17:34:42
VBASE008.VDF : 7.11.0.7 2048 Bytes 14/12/2010 17:34:42
VBASE009.VDF : 7.11.0.8 2048 Bytes 14/12/2010 17:34:42
VBASE010.VDF : 7.11.0.9 2048 Bytes 14/12/2010 17:34:42
VBASE011.VDF : 7.11.0.10 2048 Bytes 14/12/2010 17:34:42
VBASE012.VDF : 7.11.0.11 2048 Bytes 14/12/2010 17:34:42
VBASE013.VDF : 7.11.0.12 2048 Bytes 14/12/2010 17:34:42
VBASE014.VDF : 7.11.0.13 2048 Bytes 14/12/2010 17:34:42
VBASE015.VDF : 7.11.0.14 2048 Bytes 14/12/2010 17:34:42
VBASE016.VDF : 7.11.0.15 2048 Bytes 14/12/2010 17:34:42
VBASE017.VDF : 7.11.0.16 2048 Bytes 14/12/2010 17:34:42
VBASE018.VDF : 7.11.0.17 2048 Bytes 14/12/2010 17:34:43
VBASE019.VDF : 7.11.0.18 2048 Bytes 14/12/2010 17:34:43
VBASE020.VDF : 7.11.0.19 2048 Bytes 14/12/2010 17:34:43
VBASE021.VDF : 7.11.0.20 2048 Bytes 14/12/2010 17:34:43
VBASE022.VDF : 7.11.0.21 2048 Bytes 14/12/2010 17:34:43
VBASE023.VDF : 7.11.0.22 2048 Bytes 14/12/2010 17:34:43
VBASE024.VDF : 7.11.0.23 2048 Bytes 14/12/2010 17:34:43
VBASE025.VDF : 7.11.0.24 2048 Bytes 14/12/2010 17:34:43
VBASE026.VDF : 7.11.0.25 2048 Bytes 14/12/2010 17:34:43
VBASE027.VDF : 7.11.0.26 2048 Bytes 14/12/2010 17:34:43
VBASE028.VDF : 7.11.0.27 2048 Bytes 14/12/2010 17:34:43
VBASE029.VDF : 7.11.0.28 2048 Bytes 14/12/2010 17:34:43
VBASE030.VDF : 7.11.0.29 2048 Bytes 14/12/2010 17:34:43
VBASE031.VDF : 7.11.0.50 125440 Bytes 16/12/2010 12:43:24
Version du moteur : 8.2.4.122
AEVDF.DLL : 8.1.2.1 106868 Bytes 11/08/2010 14:12:39
AESCRIPT.DLL : 8.1.3.48 1286524 Bytes 02/12/2010 17:22:48
AESCN.DLL : 8.1.7.2 127349 Bytes 22/11/2010 17:21:17
AESBX.DLL : 8.1.3.2 254324 Bytes 22/11/2010 17:21:47
AERDL.DLL : 8.1.9.2 635252 Bytes 21/09/2010 16:13:37
AEPACK.DLL : 8.2.4.1 512375 Bytes 02/12/2010 17:22:35
AEOFFICE.DLL : 8.1.1.10 201084 Bytes 22/11/2010 17:21:16
AEHEUR.DLL : 8.1.2.54 3113335 Bytes 07/12/2010 17:35:08
AEHELP.DLL : 8.1.16.0 246136 Bytes 02/12/2010 17:21:14
AEGEN.DLL : 8.1.5.0 397685 Bytes 02/12/2010 17:21:07
AEEMU.DLL : 8.1.3.0 393589 Bytes 22/11/2010 17:20:14
AECORE.DLL : 8.1.19.0 196984 Bytes 02/12/2010 17:20:57
AEBB.DLL : 8.1.1.0 53618 Bytes 11/08/2010 14:12:30
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30
AVPREF.DLL : 9.0.3.0 44289 Bytes 26/08/2009 14:13:31
AVREP.DLL : 8.0.0.7 159784 Bytes 11/08/2010 14:12:40
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 17/06/2009 12:44:26
RCTEXT.DLL : 9.0.73.0 88321 Bytes 02/11/2009 15:58:32
Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: C:\Program Files\Avira\AntiVir Desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen
Début de la recherche : jeudi 16 décembre 2010 13:48
La recherche d'objets cachés commence.
'64673' objets ont été contrôlés, '0' objets cachés ont été trouvés.
La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lxcecoms.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmiprvse.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmiapsrv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'StarWindServiceAE.exe' - '1' module(s) sont contrôlés
Processus de recherche 'libusbd-nt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ati2evxx.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ati2evxx.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'31' processus ont été contrôlés avec '31' modules
La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD1
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD2
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD3
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD4
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD5
[INFO] Aucun virus trouvé !
La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '55' fichiers).
La recherche sur les fichiers sélectionnés commence :
Recherche débutant dans 'C:\'
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\WINDOWS\system32\drivers\sptd.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
Fin de la recherche : jeudi 16 décembre 2010 14:47
Temps nécessaire: 59:05 Minute(s)
La recherche a été effectuée intégralement
8071 Les répertoires ont été contrôlés
255325 Des fichiers ont été contrôlés
0 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
0 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
2 Impossible de contrôler des fichiers
255323 Fichiers non infectés
1628 Les archives ont été contrôlées
2 Avertissements
1 Consignes
64673 Des objets ont été contrôlés lors du Rootkitscan
0 Des objets cachés ont été trouvés
Mon PC a l'air de se porter plutot bien, voici les rapports
Rapport de ZHPFix 6.12.3226 par Nicolas Coolman, Update du 06/12/2010
Fichier d'export Registre :
Run by Propriétaire at 16/12/2010 13:18:46
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.ht...
Contact : nicolascoolman@yahoo.fr
========== Logiciel(s) ==========
O63 - Logiciel: Ad-Remover By C_XX - (.C_XX.) [HKLM] -- Ad-Remover => Logiciel supprimé avec succès
O63 - Logiciel: HijackThis 2.0.2 - (.TrendMicro.) [HKLM] -- HijackThis => Logiciel supprimé avec succès
O63 - Logiciel: UsbFix By El Desaparecido & C_XX - (.El Desaparecido & C_XX.) [HKLM] -- Usbfix => Logiciel supprimé avec succès
========== Récapitulatif ==========
3 : Logiciel(s)
End of the scan
-----------------------
Avira AntiVir Personal
Date de création du fichier de rapport : jeudi 16 décembre 2010 13:48
La recherche porte sur 2259675 souches de virus.
Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows XP
Version de Windows : (Service Pack 3) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur : MANSUY-BA9FB3C9
Informations de version :
BUILD.DAT : 9.0.0.81 21698 Bytes 22/10/2010 12:02:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 13/10/2009 10:25:46
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 06:35:52
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14/12/2010 17:34:41
VBASE002.VDF : 7.11.0.1 2048 Bytes 14/12/2010 17:34:41
VBASE003.VDF : 7.11.0.2 2048 Bytes 14/12/2010 17:34:41
VBASE004.VDF : 7.11.0.3 2048 Bytes 14/12/2010 17:34:41
VBASE005.VDF : 7.11.0.4 2048 Bytes 14/12/2010 17:34:42
VBASE006.VDF : 7.11.0.5 2048 Bytes 14/12/2010 17:34:42
VBASE007.VDF : 7.11.0.6 2048 Bytes 14/12/2010 17:34:42
VBASE008.VDF : 7.11.0.7 2048 Bytes 14/12/2010 17:34:42
VBASE009.VDF : 7.11.0.8 2048 Bytes 14/12/2010 17:34:42
VBASE010.VDF : 7.11.0.9 2048 Bytes 14/12/2010 17:34:42
VBASE011.VDF : 7.11.0.10 2048 Bytes 14/12/2010 17:34:42
VBASE012.VDF : 7.11.0.11 2048 Bytes 14/12/2010 17:34:42
VBASE013.VDF : 7.11.0.12 2048 Bytes 14/12/2010 17:34:42
VBASE014.VDF : 7.11.0.13 2048 Bytes 14/12/2010 17:34:42
VBASE015.VDF : 7.11.0.14 2048 Bytes 14/12/2010 17:34:42
VBASE016.VDF : 7.11.0.15 2048 Bytes 14/12/2010 17:34:42
VBASE017.VDF : 7.11.0.16 2048 Bytes 14/12/2010 17:34:42
VBASE018.VDF : 7.11.0.17 2048 Bytes 14/12/2010 17:34:43
VBASE019.VDF : 7.11.0.18 2048 Bytes 14/12/2010 17:34:43
VBASE020.VDF : 7.11.0.19 2048 Bytes 14/12/2010 17:34:43
VBASE021.VDF : 7.11.0.20 2048 Bytes 14/12/2010 17:34:43
VBASE022.VDF : 7.11.0.21 2048 Bytes 14/12/2010 17:34:43
VBASE023.VDF : 7.11.0.22 2048 Bytes 14/12/2010 17:34:43
VBASE024.VDF : 7.11.0.23 2048 Bytes 14/12/2010 17:34:43
VBASE025.VDF : 7.11.0.24 2048 Bytes 14/12/2010 17:34:43
VBASE026.VDF : 7.11.0.25 2048 Bytes 14/12/2010 17:34:43
VBASE027.VDF : 7.11.0.26 2048 Bytes 14/12/2010 17:34:43
VBASE028.VDF : 7.11.0.27 2048 Bytes 14/12/2010 17:34:43
VBASE029.VDF : 7.11.0.28 2048 Bytes 14/12/2010 17:34:43
VBASE030.VDF : 7.11.0.29 2048 Bytes 14/12/2010 17:34:43
VBASE031.VDF : 7.11.0.50 125440 Bytes 16/12/2010 12:43:24
Version du moteur : 8.2.4.122
AEVDF.DLL : 8.1.2.1 106868 Bytes 11/08/2010 14:12:39
AESCRIPT.DLL : 8.1.3.48 1286524 Bytes 02/12/2010 17:22:48
AESCN.DLL : 8.1.7.2 127349 Bytes 22/11/2010 17:21:17
AESBX.DLL : 8.1.3.2 254324 Bytes 22/11/2010 17:21:47
AERDL.DLL : 8.1.9.2 635252 Bytes 21/09/2010 16:13:37
AEPACK.DLL : 8.2.4.1 512375 Bytes 02/12/2010 17:22:35
AEOFFICE.DLL : 8.1.1.10 201084 Bytes 22/11/2010 17:21:16
AEHEUR.DLL : 8.1.2.54 3113335 Bytes 07/12/2010 17:35:08
AEHELP.DLL : 8.1.16.0 246136 Bytes 02/12/2010 17:21:14
AEGEN.DLL : 8.1.5.0 397685 Bytes 02/12/2010 17:21:07
AEEMU.DLL : 8.1.3.0 393589 Bytes 22/11/2010 17:20:14
AECORE.DLL : 8.1.19.0 196984 Bytes 02/12/2010 17:20:57
AEBB.DLL : 8.1.1.0 53618 Bytes 11/08/2010 14:12:30
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30
AVPREF.DLL : 9.0.3.0 44289 Bytes 26/08/2009 14:13:31
AVREP.DLL : 8.0.0.7 159784 Bytes 11/08/2010 14:12:40
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 17/06/2009 12:44:26
RCTEXT.DLL : 9.0.73.0 88321 Bytes 02/11/2009 15:58:32
Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: C:\Program Files\Avira\AntiVir Desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen
Début de la recherche : jeudi 16 décembre 2010 13:48
La recherche d'objets cachés commence.
'64673' objets ont été contrôlés, '0' objets cachés ont été trouvés.
La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lxcecoms.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmiprvse.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmiapsrv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'StarWindServiceAE.exe' - '1' module(s) sont contrôlés
Processus de recherche 'libusbd-nt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ati2evxx.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ati2evxx.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'31' processus ont été contrôlés avec '31' modules
La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD1
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD2
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD3
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD4
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD5
[INFO] Aucun virus trouvé !
La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '55' fichiers).
La recherche sur les fichiers sélectionnés commence :
Recherche débutant dans 'C:\'
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\WINDOWS\system32\drivers\sptd.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
Fin de la recherche : jeudi 16 décembre 2010 14:47
Temps nécessaire: 59:05 Minute(s)
La recherche a été effectuée intégralement
8071 Les répertoires ont été contrôlés
255325 Des fichiers ont été contrôlés
0 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
0 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
2 Impossible de contrôler des fichiers
255323 Fichiers non infectés
1628 Les archives ont été contrôlées
2 Avertissements
1 Consignes
64673 Des objets ont été contrôlés lors du Rootkitscan
0 Des objets cachés ont été trouvés
hello,
* désinstalle GoogleChrome depuis le paneau de configuration / ajout et suppression de prg .
* refait uncoup de CCleaner derrière ( registre compris )
* retélécharge le et réinstalle le > http://www.infos-du-net.com/telecharger/Google-Chrome,0...
dis moi en suite si le prb de blocage persiste ...
* désinstalle GoogleChrome depuis le paneau de configuration / ajout et suppression de prg .
* refait uncoup de CCleaner derrière ( registre compris )
* retélécharge le et réinstalle le > http://www.infos-du-net.com/telecharger/Google-Chrome,0...
dis moi en suite si le prb de blocage persiste ...
re,
on va virer les extentions pour voir ...
Utilisation de l'outil ZHPFix :
* Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
> Puis Lance ZHPFix depuis le raccourci du bureau .
* Une fois l'outil ZHPFix ouvert , clique sur le bouton![]()
( "coller les lignes Helper" ) .
* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .
Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
* Puis clique sur le bouton![]()
.
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien !
!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!
* Clique sur le bouton![]()
. Vérifies que toutes les lignes soient bien cochées .
* Enfin clique sur le bouton![]()
.
-> laisse travailler l'outil et ne touche à rien ...
Une fois terminée , un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...
( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )
Important : si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le de suite !
Pense à réactiver tes défenses une fois la procédure terminée !...
( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )
=============================
Puis reteste GoogleChrome et dis moi ...
( As tu le même genre de soucis avec les autres navigateurs ? )
on va virer les extentions pour voir ...
Utilisation de l'outil ZHPFix :
* Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
G2 - GCE: Preference [User Data\Default] [efnbcbkogjjigadbgmipcjdhojjhgbmh] 72m Megavideo v.1.1 (Activé)
G2 - GCE: Preference [User Data\Default] [gkclphmapdcppbmekmbkcjfanpmoidpg] AT_Porsche v.3 (Activé)
G2 - GCE: Preference [User Data\Default] [gkclphmapdcppbmekmbkcjfanpmoidpg] AT_Porsche v.3 (Activé)
> Puis Lance ZHPFix depuis le raccourci du bureau .
* Une fois l'outil ZHPFix ouvert , clique sur le bouton
( "coller les lignes Helper" ) . * Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .
Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
* Puis clique sur le bouton
.> à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien !
!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!
* Clique sur le bouton
. Vérifies que toutes les lignes soient bien cochées .* Enfin clique sur le bouton
.-> laisse travailler l'outil et ne touche à rien ...
Une fois terminée , un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...
( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )
Important : si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le de suite !
Pense à réactiver tes défenses une fois la procédure terminée !...
( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )
=============================
Puis reteste GoogleChrome et dis moi ...
( As tu le même genre de soucis avec les autres navigateurs ? )
Lassé par la pub ? Créez un compte
- Contenus similaires :
- ForumOrdinateur portable vista infecte
- ForumOrdinateur infecte fichier pmkjg.dll.
- ForumNettoyer un ordinateur infecté
- ForumOrdinateur infecte bamital
- ForumOrdinateur infecté
- ForumOrdinateur infecte par personal security
- ForumOrdinateur infecte, pub, ralentissement
- ForumOrdinateur infecté par un virus
- ForumComment nettoyer un ordinateur infecté
- ForumOrdinateur infecte virus
- Voir plus
