Backdoor Win32/smadow [RESOLU]
Dernière réponse : dans Sécurité
Bonjour à tous, je suis infecté par "smadow",
toutes mes recherches google sont redirigés vers des sites de pub (un faux face book, un jeu de qui veut gagner des millions sur téléphone portable etc...)
Microsoft security essential le detecte à chaque fois, il le supprime et me demande de redemarrer pour "terminer le nettoyage", je redemarre, mais que ce soit en mode sans echec ou pas, il revient toujours.
apparement le fichier infecté serait:
c:/windows/assembly/GAC_32/Desktop.ini
mais impossible de le trouver dans un explorer windows: je n'ai même pas de dossier GAC 32 visible (et pourtant j'ai bien activé "afficher les fichiers et dossiers systeme", et "afficher les fichiers cachés"...
par contre en ligne de commande je le trouve.
est ce qu'il faut que je download une install' linux bootable sur une clé USB? pour l'effacer de l'exterieur (sans que windows soit lancé? est-ce un fichier important?.
je suis une windows 7 pro, en 64 bits.
merci d'avance pour vos réponses...
toutes mes recherches google sont redirigés vers des sites de pub (un faux face book, un jeu de qui veut gagner des millions sur téléphone portable etc...)
Microsoft security essential le detecte à chaque fois, il le supprime et me demande de redemarrer pour "terminer le nettoyage", je redemarre, mais que ce soit en mode sans echec ou pas, il revient toujours.
apparement le fichier infecté serait:
c:/windows/assembly/GAC_32/Desktop.ini
mais impossible de le trouver dans un explorer windows: je n'ai même pas de dossier GAC 32 visible (et pourtant j'ai bien activé "afficher les fichiers et dossiers systeme", et "afficher les fichiers cachés"...
par contre en ligne de commande je le trouve.
est ce qu'il faut que je download une install' linux bootable sur une clé USB? pour l'effacer de l'exterieur (sans que windows soit lancé? est-ce un fichier important?.
je suis une windows 7 pro, en 64 bits.
merci d'avance pour vos réponses...
Autres pages sur : backdoor win32 smadow resolu
Lassé par la pub ? Créez un compte
Re-bonjour,
Télécharge TDSSKiller de Kaspersky sur ton bureau.
Décompresse-le en faisant clic-droit dessus -> extraire tout... (clique sur "suivant", "suivant" et "Terminer".)
Double clique sur "TDSSKiller.exe" pour lancer l'outil.
(Utilisateur de Vista/Windows 7 : effectue un clic droit sur TDSSKiller.exe et sélectionne "Exécuter en tant qu'administrateur".)
Clique alors sur le bouton "Start Scan".
Laisse le scan s'effectuer.
Dans la fenêtre de résultat :
Si TDSS.tdl2 est détecté l'option delete sera cochée par défaut.
Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
Pour la partie "Suspicious object" laisse sur "Skip"
Si TDSS.tdl4 (mbr) est détecté assure toi que Cure est bien coché.
Clique enfin sur "Continue"
Il te sera surement demandé de redémarrer ton pc, fait-le en cliquant sur "Reboot now"
Au redémarrage va chercher le rapport de suppression, il se trouve ici :
C:\ TDSSKiller.x.x.x.x_date_heure_log.txt
Poste son contenu dans ta prochaine réponse.
Reposte-moi aussi les deux rapports obtenu précédemment avec OTL.
![[:_tom_:7]]( "[:_tom_:7]")
Télécharge TDSSKiller de Kaspersky sur ton bureau.
(Utilisateur de Vista/Windows 7 : effectue un clic droit sur TDSSKiller.exe et sélectionne "Exécuter en tant qu'administrateur".)
C:\ TDSSKiller.x.x.x.x_date_heure_log.txt
Poste son contenu dans ta prochaine réponse.
Reposte-moi aussi les deux rapports obtenu précédemment avec OTL.
![[:_tom_:7]](http://m.bestofmedia.com/sfp/design/usr/fr/smilies/bd/ec/_tom_:7.gif "[:_tom_:7]")
Rebonjour, merci pour ta réponse.
Alors:
TDSSKiller n'a rien trouvé sur 280 objects: infection not found.
Est ce que c'est parce que Microsoft Security Essential dès le redemarrage l'a détécté, et l'a "supprimé" temporairement en me demandant un redemarrage?
j'ai malwarebyte antimalware qui tourne en tache de fond, et intox ou pas, normal ou pas, il m'a notifié il y a 5 min: (storyboarder est le nom de ma session)
12:14:38 Storyboarder IP-BLOCK 193.105.135.219 (Type: outgoing, Port: 50039, Process: csrss.exe)
détail peut-être important, je ne sais pas: impossible d'activer le parfeu windows: automatiquement il refuse et que j'ouvre le centre de maintenance pour l'activer CROIX ROUGE "le centre de maintenance n'a pas pu activer le pare feu windows," en dessous il me propose "activer manuellement le Pare-feu Windows", je clique, je clique sur "utiliser les parametres recommandés" et là erreur: Le pare feu windows ne peut pas modifier certains de vos parametres code erreur: 0x8007042c
mais cette histoire de pare feu est peut etre liée à MSE qui a pris le relais (MSE fait pare feu non?), c'était peut être comme ça avant.
ci dessous:
OTL.txt
http://www.cijoint.fr/cjlink.php?file=cj201107/cijOH2AJ...
Extras.txt
http://www.cijoint.fr/cjlink.php?file=cj201107/cijTulEb...
(est ce qu'il faut que je refasse un OTL? je crois que celui là était après l'infection mais avant l'apparition des symptomes... j'ai trouvé 2 desktop.ini sur mon bureau (en fichier caché) est-ce normal?)
merci encore pour votre aide.
Alors:
TDSSKiller n'a rien trouvé sur 280 objects: infection not found.
Est ce que c'est parce que Microsoft Security Essential dès le redemarrage l'a détécté, et l'a "supprimé" temporairement en me demandant un redemarrage?
j'ai malwarebyte antimalware qui tourne en tache de fond, et intox ou pas, normal ou pas, il m'a notifié il y a 5 min: (storyboarder est le nom de ma session)
12:14:38 Storyboarder IP-BLOCK 193.105.135.219 (Type: outgoing, Port: 50039, Process: csrss.exe)
détail peut-être important, je ne sais pas: impossible d'activer le parfeu windows: automatiquement il refuse et que j'ouvre le centre de maintenance pour l'activer CROIX ROUGE "le centre de maintenance n'a pas pu activer le pare feu windows," en dessous il me propose "activer manuellement le Pare-feu Windows", je clique, je clique sur "utiliser les parametres recommandés" et là erreur: Le pare feu windows ne peut pas modifier certains de vos parametres code erreur: 0x8007042c
mais cette histoire de pare feu est peut etre liée à MSE qui a pris le relais (MSE fait pare feu non?), c'était peut être comme ça avant.
ci dessous:
OTL.txt
http://www.cijoint.fr/cjlink.php?file=cj201107/cijOH2AJ...
Extras.txt
http://www.cijoint.fr/cjlink.php?file=cj201107/cijTulEb...
(est ce qu'il faut que je refasse un OTL? je crois que celui là était après l'infection mais avant l'apparition des symptomes... j'ai trouvé 2 desktop.ini sur mon bureau (en fichier caché) est-ce normal?)
merci encore pour votre aide.
Re,
ça aurait été bien de me mettre le rapport TDSSkiller quand même mais bon ...
Pour le parefeu, c'est parce que tu as la suite de sécurité pctool, c'est elle qui gère le parefeu Windows.
D'ailleurs pourquoi as-tu deux antivirus ? PCtool et MSE ?
Plusieurs antivirus peuvent provoquer ralentissements et conflit ...
Supprime l'un des deux.
Pourquoi avoir installer PCTool ? Ce serait pas parce que tu as trouvé un page qui disait qu'il s'occupait de cette infection ? C'est pour cela que je n'apprécie pas PcTool ...
La suite :
On va vérifier des fichiers :
Affiche les fichiers et dossiers cachés :
http://www.inforumatique.fr/afficher-les-fichiers-cache...
Va sur ce site :
http://www.virustotal.com/fr/
Clique sur "Parcourir" puis recherche ce fichier (si présent) :
Une fois sélectionné, clique sur "Send File", l'envoi va commencer.
S'il te dit que ce fichier a déjà été analysé, redemande une analyse (bouton "Reanalysis"), et/ou laisse faire l'analyse jusqu'à avoir "terminée" en haut, après "current statut"
Copie alors l'adresse dans la barre d'adresse de ton navigateur, puis donne-la moi dans ta prochaine réponse.
Fais la même chose ensuite avec celui-là :
ça aurait été bien de me mettre le rapport TDSSkiller quand même mais bon ...
Pour le parefeu, c'est parce que tu as la suite de sécurité pctool, c'est elle qui gère le parefeu Windows.
D'ailleurs pourquoi as-tu deux antivirus ? PCtool et MSE ?
Plusieurs antivirus peuvent provoquer ralentissements et conflit ...
Supprime l'un des deux.
Pourquoi avoir installer PCTool ? Ce serait pas parce que tu as trouvé un page qui disait qu'il s'occupait de cette infection ? C'est pour cela que je n'apprécie pas PcTool ...
La suite :
On va vérifier des fichiers :
Affiche les fichiers et dossiers cachés :
http://www.inforumatique.fr/afficher-les-fichiers-cache...
Va sur ce site :
http://www.virustotal.com/fr/
Clique sur "Parcourir" puis recherche ce fichier (si présent) :
Citation :
C:\Windows\snuvcdsm.exeUne fois sélectionné, clique sur "Send File", l'envoi va commencer.
S'il te dit que ce fichier a déjà été analysé, redemande une analyse (bouton "Reanalysis"), et/ou laisse faire l'analyse jusqu'à avoir "terminée" en haut, après "current statut"
Copie alors l'adresse dans la barre d'adresse de ton navigateur, puis donne-la moi dans ta prochaine réponse.
Fais la même chose ensuite avec celui-là :
Citation :
C:\Windows\SysNative\drivers\smabvahh.sys
re,
je me souviens pas avoir installé pc tool (encore moins récemment), je le trouve pas dans programmes et fonctionnalités afin de le désinstaller.
contrairement à ce que OTL.txt dit je ne trouve aucun .exe dans C:\Program Files (x86)\PC Tools Security
bizarre non?
et pour le desinstaller, je ne sais pas comment faire: je peux supprimer comme un cochon tout le dossier "PC tools security"?
sinon il y a :
unins000.lst
unins000.dat
unins000.msg
je ne sais pas avec quoi il faut les ouvrir.
Edit:
(Oups, si j'ai téléchargé ça pour regler mon probleme tout seul c'est sur:
http://www.cleanpcguide.com/remove-backdoor-win32smadow...
au temps pour moi... je n'aurai pas du j'imagine. C'est *%@$# à enlever...
je me souviens pas avoir installé pc tool (encore moins récemment), je le trouve pas dans programmes et fonctionnalités afin de le désinstaller.
contrairement à ce que OTL.txt dit je ne trouve aucun .exe dans C:\Program Files (x86)\PC Tools Security
bizarre non?
et pour le desinstaller, je ne sais pas comment faire: je peux supprimer comme un cochon tout le dossier "PC tools security"?
sinon il y a :
unins000.lst
unins000.dat
unins000.msg
je ne sais pas avec quoi il faut les ouvrir.
Edit:
(Oups, si j'ai téléchargé ça pour regler mon probleme tout seul c'est sur:
http://www.cleanpcguide.com/remove-backdoor-win32smadow...
au temps pour moi... je n'aurai pas du j'imagine. C'est *%@$# à enlever...
les fichiers cachés sont toujours affichés chez moi, mais merci d'ailleurs ton adresse à changé: si ca peut te servir pour d'autres gens :
(il y a "forum" apres "fr" maintenant)
http://www.inforumatique.fr/forum/afficher-les-fichiers...
(il y a "forum" apres "fr" maintenant)
http://www.inforumatique.fr/forum/afficher-les-fichiers...
snuvcdsm.exe
http://www.virustotal.com/file-scan/report.html?id=ec3b...
smabvahh.sys je ne l'ai pas, par contre, fait étrange, je n'arrive pas a acceder au dossier
c:\Windows\SysNative\drivers par l'explorer ou la commande ms dos... par contre quand je colle l'adresse dans la fenetre "parcourir" de virus total, j'ai bien le dossier... enfin bref, aucun smabyahh.sys
sinon j'ai installé le service pack 1 de windows 7 64bits, depuis firefox ne se fait plus rediriger, mais MSE continue de detecter smadow et Malware bytes antimalware bloque toujours une sortie par csrss.exe
15:44:03 Storyboarder IP-BLOCK 193.105.135.219 (Type: outgoing, Port: 49922, Process: csrss.exe)
16:00:05 Storyboarder IP-BLOCK 193.105.135.219 (Type: outgoing, Port: 50790, Process: csrss.exe)
16:16:06 Storyboarder IP-BLOCK 193.105.135.219 (Type: outgoing, Port: 51246, Process: csrss.exe)
c'est une ip ukrainienne je crois.
GAC_32\Desktop.ini ya pas un rapport avec .Net.Framework par hasard...?
Windows update me propose 4 mises à jours (importantes) pour windows 7 pour processeur 64bits, je fais ou pas?
merci encore et bon apres midi.
http://www.virustotal.com/file-scan/report.html?id=ec3b...
smabvahh.sys je ne l'ai pas, par contre, fait étrange, je n'arrive pas a acceder au dossier
c:\Windows\SysNative\drivers par l'explorer ou la commande ms dos... par contre quand je colle l'adresse dans la fenetre "parcourir" de virus total, j'ai bien le dossier... enfin bref, aucun smabyahh.sys
sinon j'ai installé le service pack 1 de windows 7 64bits, depuis firefox ne se fait plus rediriger, mais MSE continue de detecter smadow et Malware bytes antimalware bloque toujours une sortie par csrss.exe
15:44:03 Storyboarder IP-BLOCK 193.105.135.219 (Type: outgoing, Port: 49922, Process: csrss.exe)
16:00:05 Storyboarder IP-BLOCK 193.105.135.219 (Type: outgoing, Port: 50790, Process: csrss.exe)
16:16:06 Storyboarder IP-BLOCK 193.105.135.219 (Type: outgoing, Port: 51246, Process: csrss.exe)
c'est une ip ukrainienne je crois.
GAC_32\Desktop.ini ya pas un rapport avec .Net.Framework par hasard...?
Windows update me propose 4 mises à jours (importantes) pour windows 7 pour processeur 64bits, je fais ou pas?
merci encore et bon apres midi.
Re,
Bon alors je vais te mettre l'averto maintenant (normalement je le met au début), mais qu'on soit d'accord avant que tu ne fasses trop de choses :
Préambule à toute désinfection :
La désinfection demande l'utilisation d'outils et de procédures plus ou moins complexes, sensibles et potentiellement dangereux.
Nous nous efforçons donc de traduire cela le plus clairement possible, néanmoins, il convient de respecter quelques conseils pour son bon déroulement :
Le PC infecté doit être utilisé le moins possible, mis à part pour les procédures et communiquer sur le forum.
Lis toujours l'intégralité des procédures avant de les entamer, ou sauvegarde-les (impression/ fichier texte).
(En effet certaines circonstances pourraient t'empêcher de poursuivre la lecture, redémarrage de pc par exemple)
Réalise entièrement, précisément et dans l'ordre donné, les procédures demandées, sans cela tu risques de créer plus de problèmes que tu n'en résoudrais. Ne tente rien par toi-même sans nous en faire part avant !
N'hésite pas à poser toute question avant d'entamer les procédures, et rapporte immédiatement les problèmes rencontrés lors de celles-ci.
Donc évite de faire des manipulations que je n'aurais pas demandé pour le moment ...
Ensuite :
(Oups, si j'ai téléchargé ça pour regler mon probleme tout seul c'est sur:
http://www.cleanpcguide.com/remove [...] adow-gena/
Oui, pctool crée de faux blog de sécurité pour refourguer ses outils, pour ça que j'aime pas ...
à suppirmer via ajout-suppr des programmes :
- Spyware Doctor 8.0 (c'est l'éditeur pctool)
Pour le reste, regarde dans ton menu "Démarrer" si tu vois "PC Tool Securty", si oui, dans le dossier tu dois avoir un "uninstall", lance-le.
Sinon on s'en occupera plus tard.
Pour le reste, ne fais aucune mise à jour ou autre, qu'on regarde d'abord le souci.
A suivre :
Télécharge Gmer sur ton bureau. (Clique sur "Download EXE")
/!\ Ferme tous tes programmes et déconnecte toi d'internet.
/!\ Désactive tes logiciels de sécurité (antivirus, antispyware, etc). /!\
Double clique sur xxxxx.exe (nom aléatoire de Gmer) pour le lancer.
(Utilisateur de Vista/Windows 7 : effectue un clic droit sur gmer.exe et sélectionne "Exécuter en tant qu'administrateur".)
Gmer peut te demander de lancer un scan, accepte. Dans le cas contraire, tu dois être sur l'onglet Rootkit/Malware
Sur la droite, vérifie que toutes les cases à cocher sont cochées sauf Show All.
Clique sur le bouton Scan.
Laisse Gmer travailler et ne touche plus à ton ordinateur. Le scan peut être long.
A la fin du scan, un rapport s'ouvrira : enregistre le sur le bureau sous le nom "gmer.txt" puis copie/colle son contenu dans ta réponse.
Si ce n'est pas le cas, clique sur le bouton "Copy" en dessous de "scan", ouvre alors un fichier bloc-note et colle (Ctrl + v), puis copie ce rapport dans ta réponse.
Quitte Gmer et réactive tes logiciels de sécurité.
Attention à ne rien tenter par toi même !!
![[:_tom_:7]]( "[:_tom_:7]")
Bon alors je vais te mettre l'averto maintenant (normalement je le met au début), mais qu'on soit d'accord avant que tu ne fasses trop de choses :
Préambule à toute désinfection :
La désinfection demande l'utilisation d'outils et de procédures plus ou moins complexes, sensibles et potentiellement dangereux.
Nous nous efforçons donc de traduire cela le plus clairement possible, néanmoins, il convient de respecter quelques conseils pour son bon déroulement :
(En effet certaines circonstances pourraient t'empêcher de poursuivre la lecture, redémarrage de pc par exemple)
Donc évite de faire des manipulations que je n'aurais pas demandé pour le moment ...
Ensuite :
Citation :
Edit:(Oups, si j'ai téléchargé ça pour regler mon probleme tout seul c'est sur:
http://www.cleanpcguide.com/remove [...] adow-gena/
Oui, pctool crée de faux blog de sécurité pour refourguer ses outils, pour ça que j'aime pas ...
à suppirmer via ajout-suppr des programmes :
- Spyware Doctor 8.0 (c'est l'éditeur pctool)
Pour le reste, regarde dans ton menu "Démarrer" si tu vois "PC Tool Securty", si oui, dans le dossier tu dois avoir un "uninstall", lance-le.
Sinon on s'en occupera plus tard.
Pour le reste, ne fais aucune mise à jour ou autre, qu'on regarde d'abord le souci.
A suivre :
Télécharge Gmer sur ton bureau. (Clique sur "Download EXE")
/!\ Ferme tous tes programmes et déconnecte toi d'internet.
/!\ Désactive tes logiciels de sécurité (antivirus, antispyware, etc). /!\
(Utilisateur de Vista/Windows 7 : effectue un clic droit sur gmer.exe et sélectionne "Exécuter en tant qu'administrateur".)
Attention à ne rien tenter par toi même !!
reçu, dsl pour pc tool, je l'ai trouvé AVANT de poster ici. je comprends, et je n'installe plus de mise à jour. (je n'ai pas trouvé Spyware Doctor 8.0 ni de dossier dans "Démarrer"... tant pis.
sinon ci-dessous le rapport (assez maigre) de Gmer:
GMER 1.0.15.15641 - http://www.gmer.net
Rootkit scan 2011-07-24 01:18:54
Windows 6.1.7601 Service Pack 1
Running: tnwlun1t.exe
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\70f39584df6c
Reg HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\70f39584df6c (not active ControlSet)
---- EOF - GMER 1.0.15 ----
En espérant que cela t'aide.
merci encore pour ta patience et bonne nuit.
sinon ci-dessous le rapport (assez maigre) de Gmer:
GMER 1.0.15.15641 - http://www.gmer.net
Rootkit scan 2011-07-24 01:18:54
Windows 6.1.7601 Service Pack 1
Running: tnwlun1t.exe
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\70f39584df6c
Reg HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\70f39584df6c (not active ControlSet)
---- EOF - GMER 1.0.15 ----
En espérant que cela t'aide.
merci encore pour ta patience et bonne nuit.
Re,
Supprime ta copie actuelle de TDSSKiller, puis refais ceci, mais cette fois-ci poste-moi le rapport, même s'il n'y a rien :
Télécharge TDSSKiller de Kaspersky sur ton bureau.
Décompresse-le en faisant clic-droit dessus -> extraire tout... (clique sur "suivant", "suivant" et "Terminer".)
Double clique sur "TDSSKiller.exe" pour lancer l'outil.
(Utilisateur de Vista/Windows 7 : effectue un clic droit sur TDSSKiller.exe et sélectionne "Exécuter en tant qu'administrateur".)
Clique alors sur le bouton "Start Scan".
Laisse le scan s'effectuer.
Dans la fenêtre de résultat :
Si TDSS.tdl2 est détecté l'option delete sera cochée par défaut.
Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
Pour la partie "Suspicious object" laisse sur "Skip"
Si TDSS.tdl4 (mbr) est détecté assure toi que Cure est bien coché.
Clique enfin sur "Continue"
Il te sera surement demandé de redémarrer ton pc, fait-le en cliquant sur "Reboot now"
Au redémarrage va chercher le rapport de suppression, il se trouve ici :
C:\ TDSSKiller.x.x.x.x_date_heure_log.txt
Poste son contenu dans ta prochaine réponse.
Ensuite :
Relance OTL :
Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
Coche en haut la case devant "Tous les utilisateurs"
Coche "Avec liste blanche" sous "Registre: approfondi"
Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt. Copie/colle ici l'ensemble des rapports.
PS : Les rapports sont aussi enregistrés sur le bureau
Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.
Supprime ta copie actuelle de TDSSKiller, puis refais ceci, mais cette fois-ci poste-moi le rapport, même s'il n'y a rien :
Télécharge TDSSKiller de Kaspersky sur ton bureau.
(Utilisateur de Vista/Windows 7 : effectue un clic droit sur TDSSKiller.exe et sélectionne "Exécuter en tant qu'administrateur".)
C:\ TDSSKiller.x.x.x.x_date_heure_log.txt
Poste son contenu dans ta prochaine réponse.
Ensuite :
Relance OTL :
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
netsvcs
msconfig
drivers32
activex
/md5start
snuvcdsm.exe
smabvahh.sys
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
CREATERESTOREPOINT
msconfig
drivers32
activex
/md5start
snuvcdsm.exe
smabvahh.sys
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
CREATERESTOREPOINT
PS : Les rapports sont aussi enregistrés sur le bureau
Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.
Re,
j'ai retelechargé TDSSKiller, dans la fenetre de résultat il n'y a rien du tout.
j'ai trouvé le rapport sur le bouton report:
TDSSkiller
http://www.cijoint.fr/cjlink.php?file=cj201107/cijcUbu8...
je m'occupe de OTL
j'ai retelechargé TDSSKiller, dans la fenetre de résultat il n'y a rien du tout.
j'ai trouvé le rapport sur le bouton report:
TDSSkiller
http://www.cijoint.fr/cjlink.php?file=cj201107/cijcUbu8...
je m'occupe de OTL
Re,
les nouveaux rapport d'OTL:
OTL.txt:
http://www.cijoint.fr/cjlink.php?file=cj201107/cijaHtlT...
Extras.txt:
http://www.cijoint.fr/cjlink.php?file=cj201107/cijSU1uF...
merci.
les nouveaux rapport d'OTL:
OTL.txt:
http://www.cijoint.fr/cjlink.php?file=cj201107/cijaHtlT...
Extras.txt:
http://www.cijoint.fr/cjlink.php?file=cj201107/cijSU1uF...
merci.
Re,
C'est bizarre tout çà ...
Tu as toujours les détection de MSE et les redirection ou depuis que tu as mis à jour c'est bon ?
On va supprimer quelques trucs pour voir quand même :
Relance OTL.exe
Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
Copie/colle ce qui suit dans le cadre Personnalisation en bas à gauche.
Puis clique sur le bouton Correction en haut à gauche
Si le pc demande à redémarrer accepte.
Poste le rapport de suppression.
Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne.
C'est bizarre tout çà ...
Tu as toujours les détection de MSE et les redirection ou depuis que tu as mis à jour c'est bon ?
On va supprimer quelques trucs pour voir quand même :
Relance OTL.exe
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
:OTL
DRV:64bit: - [2011/07/24 02:58:32 | 000,047,952 | ---- | M] (Microsoft Corporation) [Kernel | System | Stopped] -- C:\Windows\SysNative\drivers\tmuontrb.sys -- (tmuontrb)
DRV:64bit: - [2011/07/24 00:44:14 | 000,047,952 | ---- | M] (Microsoft Corporation) [Kernel | System | Stopped] -- C:\Windows\SysNative\drivers\lwigbsyc.sys -- (lwigbsyc)
O4:64bit: - HKLM..\Run: [SNUVCDSM] C:\Windows\snuvcdsm.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0
[2011/07/24 02:58:32 | 000,047,952 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\tmuontrb.sys
[2011/07/24 00:44:11 | 000,047,952 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\lwigbsyc.sys
[2011/07/22 18:27:09 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\PC Tools Security
[2011/07/22 18:27:09 | 000,000,000 | ---D | C] -- C:\Users\Storyboarder\AppData\Roaming\PC Tools
[2011/07/22 18:27:09 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\PC Tools
[2011/07/22 18:25:18 | 000,000,000 | ---D | C] -- C:\ProgramData\PC Tools
[2011/07/22 15:21:45 | 000,047,952 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\rlqevvef.sys
[1 C:\Users\Storyboarder\Documents\*.tmp files -> C:\Users\Storyboarder\Documents\*.tmp -> ]
[2011/07/24 00:44:14 | 000,047,952 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\lwigbsyc.sys
@Alternate Data Stream - 149 bytes -> C:\ProgramData\TEMP:DFC5A2B2
:Commands
[emptytemp]
[emptyflash]
DRV:64bit: - [2011/07/24 02:58:32 | 000,047,952 | ---- | M] (Microsoft Corporation) [Kernel | System | Stopped] -- C:\Windows\SysNative\drivers\tmuontrb.sys -- (tmuontrb)
DRV:64bit: - [2011/07/24 00:44:14 | 000,047,952 | ---- | M] (Microsoft Corporation) [Kernel | System | Stopped] -- C:\Windows\SysNative\drivers\lwigbsyc.sys -- (lwigbsyc)
O4:64bit: - HKLM..\Run: [SNUVCDSM] C:\Windows\snuvcdsm.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0
[2011/07/24 02:58:32 | 000,047,952 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\tmuontrb.sys
[2011/07/24 00:44:11 | 000,047,952 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\lwigbsyc.sys
[2011/07/22 18:27:09 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\PC Tools Security
[2011/07/22 18:27:09 | 000,000,000 | ---D | C] -- C:\Users\Storyboarder\AppData\Roaming\PC Tools
[2011/07/22 18:27:09 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\PC Tools
[2011/07/22 18:25:18 | 000,000,000 | ---D | C] -- C:\ProgramData\PC Tools
[2011/07/22 15:21:45 | 000,047,952 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\rlqevvef.sys
[1 C:\Users\Storyboarder\Documents\*.tmp files -> C:\Users\Storyboarder\Documents\*.tmp -> ]
[2011/07/24 00:44:14 | 000,047,952 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\lwigbsyc.sys
@Alternate Data Stream - 149 bytes -> C:\ProgramData\TEMP:DFC5A2B2
:Commands
[emptytemp]
[emptyflash]
Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne.
le rapport de suppression
http://www.cijoint.fr/cjlink.php?file=cj201107/cije6Rpb...
les redirections ont l'air d'etre parties. (mais uniquement depuis que OTL a supprimé ce que tu lui as demandé. par contre MSE continuer de vouloir deleter Windows\GAC_32\Desktop.ini
je vais le laisser redemarrer, on va voir.
http://www.cijoint.fr/cjlink.php?file=cj201107/cije6Rpb...
les redirections ont l'air d'etre parties. (mais uniquement depuis que OTL a supprimé ce que tu lui as demandé. par contre MSE continuer de vouloir deleter Windows\GAC_32\Desktop.ini
je vais le laisser redemarrer, on va voir.
Bonjour,
Bon on va tenter un truc, mais je voudrais si ce n'est déjà fait que tu sauvegardes tes documents important, l'infection est dangereuse, et un plantage est possible.
Ensuite :
Télécharge Kaspersky Virus Removal Tool sur ton bureau.
Va sur cette page puis choisi "French" dans le menu déroulant et clique sur "Download"
Redémarre en Mode Sans Echec :
- Au démarrage, après le chargement du bios, appuie successivement sur la touche F8 (ou F5) de ton clavier jusqu'à l'apparition d'un menu sur fond noir. Une fois arrivé à ce stade, sélectionne à l'aide du clavier Mode sans Echec.
-- Dans ce mode, tu n'as pas accès à Internet, et tu te retrouves avec une configuration visuelle différente (pas de fond d'écran, icônes très grosses). Ne sois donc pas étonné.
--- C'est pour ces différentes raisons que je t'invite à imprimer, noter, ou enregistrer dans un document texte les informations suivantes afin de ne pas être perdu.
---- ! Ne fais pas démarrer ton ordinateur en mode sans échec via MSConfig ! Pourquoi ? Certaines infections cassent les clefs du mode sans échec, ce qui ferait crasher ton ordinateur.
Aide : Comment faire démarrer son ordinateur en mode sans échec.
Ferme toutes tes fenêtres, puis double clique sur Le fichier Kaspersky pour le lancer.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
L'installation se fait automatiquement.
Coche "J'accepte le contrat de licence" puis "Démarrer l'application"
Clique alors sur "Lancer l'analyse"
Laisse faire l'analyse, elle peut être longue.
Une fois l'analyse fini s'il a détecté des menaces, il demandera peut-être à redémarrer, accepte
Sinon, ou une fois redémarré, va sur l'onglet "Rapport" (en haut à droite, l'image d'une document)
Clique sur "Rapport sur l'analyse automatique" à gauche, sélectionne le rapport dans la fenêtre de droite, puis clique au dessus sur "Exporter"
Enregistre sur ton bureau en le nommant comme tu le souhaites, puis copie-colle le contenu du fichier texte dans ta prochaine réponse
Bon on va tenter un truc, mais je voudrais si ce n'est déjà fait que tu sauvegardes tes documents important, l'infection est dangereuse, et un plantage est possible.
Ensuite :
Télécharge Kaspersky Virus Removal Tool sur ton bureau.
Redémarre en Mode Sans Echec :
- Au démarrage, après le chargement du bios, appuie successivement sur la touche F8 (ou F5) de ton clavier jusqu'à l'apparition d'un menu sur fond noir. Une fois arrivé à ce stade, sélectionne à l'aide du clavier Mode sans Echec.
-- Dans ce mode, tu n'as pas accès à Internet, et tu te retrouves avec une configuration visuelle différente (pas de fond d'écran, icônes très grosses). Ne sois donc pas étonné.
--- C'est pour ces différentes raisons que je t'invite à imprimer, noter, ou enregistrer dans un document texte les informations suivantes afin de ne pas être perdu.
---- ! Ne fais pas démarrer ton ordinateur en mode sans échec via MSConfig ! Pourquoi ? Certaines infections cassent les clefs du mode sans échec, ce qui ferait crasher ton ordinateur.
Aide : Comment faire démarrer son ordinateur en mode sans échec.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
Arg:
impossible de lancer karpersky removal tool en tant qu'administrateur, donc je l'ai lancé normalement, pendant l'analyse il a trouve un cheval de troie.
L'ordi ne demarre plus !!
Ca coince au démarrage de windows, même en mode sans echec... j'ai tenté "une réparation du démarrage" qui était indiquée recommandée... il est en train de mouliner pour se faire du bouche à bouche à lui même... j'espère qu'il va pas me restaurer trop loin dans le passé...
impossible de lancer karpersky removal tool en tant qu'administrateur, donc je l'ai lancé normalement, pendant l'analyse il a trouve un cheval de troie.
L'ordi ne demarre plus !!
Ca coince au démarrage de windows, même en mode sans echec... j'ai tenté "une réparation du démarrage" qui était indiquée recommandée... il est en train de mouliner pour se faire du bouche à bouche à lui même... j'espère qu'il va pas me restaurer trop loin dans le passé...
Re,
C'est exactement pour cela que je t'avais bien demandé de sauvegarder avant, l'infection touche des points sensible du système et la désinfection fait souvent planter ...
Ou en es-tu avec la réparation du démarrage ?
Si tu dois la faire, ne choisi pas la restauration système qu'il propose, reste sur une réparation du démarrage.
C'est exactement pour cela que je t'avais bien demandé de sauvegarder avant, l'infection touche des points sensible du système et la désinfection fait souvent planter ...
Ou en es-tu avec la réparation du démarrage ?
Si tu dois la faire, ne choisi pas la restauration système qu'il propose, reste sur une réparation du démarrage.
Re,
On va faire autrement :
Télécharge OTLPEnet sur le bureau d'un pc fonctionnel (Taille > 120 Mo)
Double-Clique sur OTLPENet.exe et assures-toi d'avoir insérer un CD-R vierge dans ton graveur CD/DVD.
Une fenêtre va s'ouvrir pour te demander si tu souhaites graver Le CD, clique sur le bouton Oui.
Patiente le temps de la décompression et de la gravure du CD.
Passe sur le PC bloqué/infecté
Modifie l'ordre de Boot pour démarrer sur le CD
Redémarre ton PC en utilisant le LiveCD venant d'être créé.
Ton système doit montrer un bureau REATOGO-X-PE
Note : En fonction de ton type de connexion Internet (Ethernet), tu dois être en mesure d'accéder au Net, si c'est le cas tu peux accéder à ce sujet plus facilement, sinon, tu devras copier les résultats sur un support (clé usb) pour les transférer sur un PC connecté.
Double-clique sur l'icône OTLPE
Dans la première boite de dialogue (nommée "RunScanner") clique sur Yes
Dans la seconde, assures-toi que la case "Automatically Load All Remaining Users" soit cochée et clique le nom de la session de l'utilisateur du PC
L'outil OTL doit se lancer maintenant.
Copie-colle ceci sous "Custom Scan/Fix"
Presse Run Scan pour démarrer le scan.
Une fois terminé, le rapport est sauvegardé sur ton disque dur C:\OTL.txt
Poste la contenu du rapport OTL.txt dans ta prochaine réponse.
Note : Si tu dois repasser en mode normal, ferme l'environnement comme un windows normal, puis enlève le CD et redémarre normalement.
Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.
On va faire autrement :
Télécharge OTLPEnet sur le bureau d'un pc fonctionnel (Taille > 120 Mo)
Note : En fonction de ton type de connexion Internet (Ethernet), tu dois être en mesure d'accéder au Net, si c'est le cas tu peux accéder à ce sujet plus facilement, sinon, tu devras copier les résultats sur un support (clé usb) pour les transférer sur un PC connecté.
netsvcs
msconfig
drivers32
/md5start
consrv.dll
explorer.exe
lsass.exe
lsm.exe
userinit.exe
winlogon.exe
wininit.exe
csrss.exe
smss.exe
svchost.exe
services.exe
spoolsv.exe
alg.exe
ctfmon.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
midimap.dll
sptd.sys
spsys.sys
iaStor.sys
nvstor.sys
atapi.sys
i8042prt.sys
cdrom.sys
disk.sys
ndis.sys
tcpip.sys
mountmgr.sys
aec.sys
cdaudio.sys
rasacd.sys
redbook.sys
ipsec.sys
mrxsmb10.sys
mrxsmb20.sys
termdd.sys
mrxsmb.sys
win32k.sys
storport.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
usbscan.sys
usbprint.sys
sfloppy.sys
changer.sys
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
msconfig
drivers32
/md5start
consrv.dll
explorer.exe
lsass.exe
lsm.exe
userinit.exe
winlogon.exe
wininit.exe
csrss.exe
smss.exe
svchost.exe
services.exe
spoolsv.exe
alg.exe
ctfmon.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
midimap.dll
sptd.sys
spsys.sys
iaStor.sys
nvstor.sys
atapi.sys
i8042prt.sys
cdrom.sys
disk.sys
ndis.sys
tcpip.sys
mountmgr.sys
aec.sys
cdaudio.sys
rasacd.sys
redbook.sys
ipsec.sys
mrxsmb10.sys
mrxsmb20.sys
termdd.sys
mrxsmb.sys
win32k.sys
storport.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
usbscan.sys
usbprint.sys
sfloppy.sys
changer.sys
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
Note : Si tu dois repasser en mode normal, ferme l'environnement comme un windows normal, puis enlève le CD et redémarre normalement.
Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.
Re,
Oui, je te donne le tuto :
http://forum.malekal.com/petousb-eeepc-t24701.html
Tu télécharge le fichier eeepc.zip :
http://www.eeepc.fr/wp-content/uploads/2008/01/eeepcfr....
Tu télécharges le fichier OTLPEstd.exe :
http://oldtimer.geekstogo.com/OTLPEStd.exe
Ensuite tu suis le tuto.
Puis tu démarres sur la clé USB. (s'il ne démarra pas automatiquement, ce qu'il devrait faire si c’est un netbook, il faut changer l'ordre de boot dans le Bios)
Et tu reprends ma procédure à partir d'ici :
Passe sur le PC bloqué/infecté
S'il le faut, modifie l'ordre de Boot pour démarrer sur la clé USB
Redémarre ton PC en utilisant la clé USB venant d'être créé.
Ton système doit montrer un bureau REATOGO-X-PE
Note : En fonction de ton type de connexion Internet (Ethernet), tu dois être en mesure d'accéder au Net, si c'est le cas tu peux accéder à ce sujet plus facilement, sinon, tu devras copier les résultats sur un support (clé usb) pour les transférer sur un PC connecté.
Double-clique sur l'icône OTLPE
Dans la première boite de dialogue (nommée "RunScanner") clique sur Yes
Dans la seconde, assures-toi que la case "Automatically Load All Remaining Users" soit cochée et clique le nom de la session de l'utilisateur du PC
L'outil OTL doit se lancer maintenant.
Copie-colle ceci sous "Custom Scan/Fix"
Presse Run Scan pour démarrer le scan.
Une fois terminé, le rapport est sauvegardé sur ton disque dur C:\OTL.txt
Poste la contenu du rapport OTL.txt dans ta prochaine réponse.
Note : Si tu dois repasser en mode normal, ferme l'environnement comme un windows normal, puis enlève le CD et redémarre normalement.
Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.
Oui, je te donne le tuto :
http://forum.malekal.com/petousb-eeepc-t24701.html
Tu télécharge le fichier eeepc.zip :
http://www.eeepc.fr/wp-content/uploads/2008/01/eeepcfr....
Tu télécharges le fichier OTLPEstd.exe :
http://oldtimer.geekstogo.com/OTLPEStd.exe
Ensuite tu suis le tuto.
Puis tu démarres sur la clé USB. (s'il ne démarra pas automatiquement, ce qu'il devrait faire si c’est un netbook, il faut changer l'ordre de boot dans le Bios)
Et tu reprends ma procédure à partir d'ici :
Note : En fonction de ton type de connexion Internet (Ethernet), tu dois être en mesure d'accéder au Net, si c'est le cas tu peux accéder à ce sujet plus facilement, sinon, tu devras copier les résultats sur un support (clé usb) pour les transférer sur un PC connecté.
netsvcs
msconfig
drivers32
/md5start
explorer.exe
lsass.exe
lsm.exe
userinit.exe
winlogon.exe
wininit.exe
csrss.exe
smss.exe
svchost.exe
services.exe
spoolsv.exe
alg.exe
ctfmon.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
midimap.dll
sptd.sys
spsys.sys
iaStor.sys
nvstor.sys
atapi.sys
i8042prt.sys
cdrom.sys
disk.sys
ndis.sys
tcpip.sys
mountmgr.sys
aec.sys
cdaudio.sys
rasacd.sys
redbook.sys
ipsec.sys
mrxsmb10.sys
mrxsmb20.sys
termdd.sys
mrxsmb.sys
win32k.sys
storport.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
usbscan.sys
usbprint.sys
sfloppy.sys
changer.sys
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
msconfig
drivers32
/md5start
explorer.exe
lsass.exe
lsm.exe
userinit.exe
winlogon.exe
wininit.exe
csrss.exe
smss.exe
svchost.exe
services.exe
spoolsv.exe
alg.exe
ctfmon.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
midimap.dll
sptd.sys
spsys.sys
iaStor.sys
nvstor.sys
atapi.sys
i8042prt.sys
cdrom.sys
disk.sys
ndis.sys
tcpip.sys
mountmgr.sys
aec.sys
cdaudio.sys
rasacd.sys
redbook.sys
ipsec.sys
mrxsmb10.sys
mrxsmb20.sys
termdd.sys
mrxsmb.sys
win32k.sys
storport.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
usbscan.sys
usbprint.sys
sfloppy.sys
changer.sys
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
Note : Si tu dois repasser en mode normal, ferme l'environnement comme un windows normal, puis enlève le CD et redémarre normalement.
Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.
ok. J'ai fait une clée bootable mais le BIOS version HP a l'air de déconner, j'ai bien autorisé les Boot sur USB device, fait passer usb floppy usb drive usb cdrom avant le disque dur netbook... mais rien n'y fait.
au démarrage l'ordinateur me dit (avant le démarrage de windows): "retirer la clé, presser une touche pour continuer".
au démarrage l'ordinateur me dit (avant le démarrage de windows): "retirer la clé, presser une touche pour continuer".
même chose avec une autre clé...
Le message exact est "retirez le disque
pressez une touche pour rédemarrer"
Est ce que j'ai mal fait ma clé bootable?
(sinon pour info, les redirections de recherches s'étaient calmées mais elles sont revenues...)
Microsoft préconise Msert.exe pour venir à bout de Smadow...
http://www.microsoft.com/security/scanner/fr-fr/default...
Ca a un intérêt ou pas?
Merci et bonne soirée
Le message exact est "retirez le disque
pressez une touche pour rédemarrer"
Est ce que j'ai mal fait ma clé bootable?
(sinon pour info, les redirections de recherches s'étaient calmées mais elles sont revenues...)
Microsoft préconise Msert.exe pour venir à bout de Smadow...
http://www.microsoft.com/security/scanner/fr-fr/default...
Ca a un intérêt ou pas?
Merci et bonne soirée
Re,
Comment tu fais ta clé bootable ? tu met bien les options à cocher comme dans le tuto ?
Tu indique bien ensuite le chemin du dossier OTLPE que tu as décompressé sur le bureau ?
Bon tant pis, on va en passer par un autre outil.
Télécharge DrWeb CureIt :
Double-clique sur "Launch.exe" pour le lancer.
(Utilisateur de Vista/Windows 7, fais un clic-droit sur le fichier : "Exécuter en tant qu'administrateur")
Accepte l'avertissement pour le mode "Protection renforcée" et le fenêtre suivante avec "Ok"
(Choisi "Annuler" si une fenêtre demandant d'obtenir plus de renseignements apparait)
Choisi "Commencer le scan" et valide l'avertissement avec "Ok"
(Tu ne pourras plus rien faire sur le PC jusqu'à la fin du scan)
Si un fichier infecté est détecté, choisi l'option "Oui pour tout" (s'il te propose de désinfecter ou mettre en quarantaine)
A la fin du scan rapide, si des fichiers ont été détecté, choisi alors "analyse complète" et lance-là avec le bouton à droite |>
Si un fichier infecté est détecté, choisi l'option "Oui pour tout" (s'il te propose de désinfecter ou mettre en quarantaine)
Lorsque ce second scan est fini, choisi : Fichier -> enregistrer le rapport
Sauvegarde-le sur ton bureau, et copie-colle son contenu dans ta prochaine réponse.
Ferme le programme.
Note : si rien n'est détecté lors du scan rapide, indique-le nous.
Si des fichiers ont été détecté, une fenêtre d'avertissement apparaitra en fermant le programme, choisi "annuler"
Pour l'outil Microsoft, je ne sais pas, jamais utiliser, on verra ensuite si besoin.
Comment tu fais ta clé bootable ? tu met bien les options à cocher comme dans le tuto ?
Tu indique bien ensuite le chemin du dossier OTLPE que tu as décompressé sur le bureau ?
Bon tant pis, on va en passer par un autre outil.
Télécharge DrWeb CureIt :
(Utilisateur de Vista/Windows 7, fais un clic-droit sur le fichier : "Exécuter en tant qu'administrateur")
(Choisi "Annuler" si une fenêtre demandant d'obtenir plus de renseignements apparait)
(Tu ne pourras plus rien faire sur le PC jusqu'à la fin du scan)
Note : si rien n'est détecté lors du scan rapide, indique-le nous.
Si des fichiers ont été détecté, une fenêtre d'avertissement apparaitra en fermant le programme, choisi "annuler"
Pour l'outil Microsoft, je ne sais pas, jamais utiliser, on verra ensuite si besoin.
Re,
Ok, on va regarder un peu si c'est ok :
Télécharge OTL (de Old Timer) sur ton bureau.
Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
Coche en haut la case devant "Tous les utilisateurs"
Coche "Avec liste blanche" sous "Registre: approfondi"
Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt. Copie/colle ici l'ensemble des rapports.
PS : Les rapports sont aussi enregistrés sur le bureau
Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.
Ok, on va regarder un peu si c'est ok :
Télécharge OTL (de Old Timer) sur ton bureau.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
netsvcs
msconfig
drivers32
activex
/md5start
consrv.dll
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system64\*.dll /lockedfiles
%systemroot%\syswow64\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\system64\drivers\*.sys /lockedfiles
%systemroot%\syswow64\drivers\*.sys /lockedfiles
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
CREATERESTOREPOINT
msconfig
drivers32
activex
/md5start
consrv.dll
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system64\*.dll /lockedfiles
%systemroot%\syswow64\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\system64\drivers\*.sys /lockedfiles
%systemroot%\syswow64\drivers\*.sys /lockedfiles
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
CREATERESTOREPOINT
PS : Les rapports sont aussi enregistrés sur le bureau
Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.
re,
OTL.txt:
http://www.cijoint.fr/cjlink.php?file=cj201108/cij4Ask2...
et Extras.txt:
http://www.cijoint.fr/cjlink.php?file=cj201108/cijC0nYl...
bonne soirée
OTL.txt:
http://www.cijoint.fr/cjlink.php?file=cj201108/cij4Ask2...
et Extras.txt:
http://www.cijoint.fr/cjlink.php?file=cj201108/cijC0nYl...
bonne soirée
Re,
Encore du ménage à faire ...
1)
Affiche les fichiers et dossiers cachés :
http://www.inforumatique.fr/forum/afficher-les-fichiers...
Va sur ce site :
http://www.virustotal.com/fr/
Clique sur "Parcourir" puis recherche ce fichier (si présent) :
C:\Windows\system64\kernel32.dll
Une fois sélectionné, clique sur "Send File", l'envoi va commencer.
S'il te dit que ce fichier a déjà été analysé, redemande une analyse (bouton "Reanalysis"), et/ou laisse faire l'analyse jusqu'à avoir "terminée" en haut, après "current statut"
Copie alors l'adresse dans la barre d'adresse de ton navigateur, puis donne-la moi dans ta prochaine réponse.
(Note : si tu ne peux envoyer le fichier ou si l'envoi reste à 0bits, copie d'abord le fichier sur ton bureau puis retente avec cette copie)
Relance OTL.exe
Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
Copie/colle ce qui suit dans le cadre Personnalisation en bas à gauche.
Puis clique sur le bouton Correction en haut à gauche
Si le pc demande à redémarrer accepte.
Poste le rapport de suppression.
Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne.
Encore du ménage à faire ...
1)
Affiche les fichiers et dossiers cachés :
http://www.inforumatique.fr/forum/afficher-les-fichiers...
Va sur ce site :
http://www.virustotal.com/fr/
Clique sur "Parcourir" puis recherche ce fichier (si présent) :
C:\Windows\system64\kernel32.dll
Une fois sélectionné, clique sur "Send File", l'envoi va commencer.
S'il te dit que ce fichier a déjà été analysé, redemande une analyse (bouton "Reanalysis"), et/ou laisse faire l'analyse jusqu'à avoir "terminée" en haut, après "current statut"
Copie alors l'adresse dans la barre d'adresse de ton navigateur, puis donne-la moi dans ta prochaine réponse.
(Note : si tu ne peux envoyer le fichier ou si l'envoi reste à 0bits, copie d'abord le fichier sur ton bureau puis retente avec cette copie)
Relance OTL.exe
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
:OTL
[2011/07/22 15:21:45 | 000,047,952 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\rlqevvef.sys
[2011/07/24 02:58:32 | 000,047,952 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\tmuontrb.sys
[2011/07/24 00:44:14 | 000,047,952 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\lwigbsyc.sys
O4:64bit: - HKLM..\Run: [SNUVCDSM] C:\Windows\snuvcdsm.exe ()
:Files
C:\Windows\system64\consrv.dll
C:\Windows\SysNative\consrv.dll
:Commands
[emptytemp]
[emptyflash]
[2011/07/22 15:21:45 | 000,047,952 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\rlqevvef.sys
[2011/07/24 02:58:32 | 000,047,952 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\tmuontrb.sys
[2011/07/24 00:44:14 | 000,047,952 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\lwigbsyc.sys
O4:64bit: - HKLM..\Run: [SNUVCDSM] C:\Windows\snuvcdsm.exe ()
:Files
C:\Windows\system64\consrv.dll
C:\Windows\SysNative\consrv.dll
:Commands
[emptytemp]
[emptyflash]
Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne.
Mphf,
Comme déjà dis avant, sauvegarde tes données les plus importante puis :
Télécharge ComboFix (de sUBs) sur ton bureau (! pas ailleurs!).
/!\ Ferme tous tes programmes et déconnecte toi d'internet.
/!\ Désactive tes logiciels de sécurité (antivirus, antispyware, etc). /!\
Double clique sur Combofix.exe pour le lancer.
(Utilisateur de Vista/Windows 7 : effectue un clic droit sur combofix.exe et sélectionne "Exécuter en tant qu'administrateur".)
Note : si une erreur s'affiche, arrête l'exécution et vient nous le dire
Valide les conditions d'utilisations
L'outil va se lancer, ne touche plus à rien pendant ce temps là !!!
S'il est demandé d'installer la console de récupération, accepte.
Pendant l'analyse ton bureau peut disparaitre et réaparraitre, c'est normal.
Lorsque l'analyse est terminée, un rapport apparaitra, copie-colle son contenu dans ta prochaine réponse.
Note : s'il n'apparait pas, il se trouve ici C:\Combofix.txt
Comme déjà dis avant, sauvegarde tes données les plus importante puis :
Télécharge ComboFix (de sUBs) sur ton bureau (! pas ailleurs!).
/!\ Ferme tous tes programmes et déconnecte toi d'internet.
/!\ Désactive tes logiciels de sécurité (antivirus, antispyware, etc). /!\
(Utilisateur de Vista/Windows 7 : effectue un clic droit sur combofix.exe et sélectionne "Exécuter en tant qu'administrateur".)
Note : si une erreur s'affiche, arrête l'exécution et vient nous le dire
Note : s'il n'apparait pas, il se trouve ici C:\Combofix.txt
ComboFix 11-08-06.02 - Storyboarder 08/08/2011 0:02.1.4 - x64
Microsoft Windows 7 Professionnel 6.1.7601.1.1252.33.1036.18.3890.2300 [GMT 2:00]
Lancé depuis: c:\users\Storyboarder\Desktop\ComboFix.exe
AV: Microsoft Security Essentials *Enabled/Updated* {108DAC43-C256-20B7-BB05-914135DA5160}
SP: Microsoft Security Essentials *Enabled/Updated* {ABEC4DA7-E46C-2F39-81B5-AA334E5D1BDD}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\system32\consrv.dll
c:\windows\System64
c:\windows\SysWow64\UNWISE.EXE
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-07-07 au 2011-08-07 ))))))))))))))))))))))))))))))))))))
.
.
2011-08-07 22:07 . 2011-08-07 22:07 -------- d-----w- c:\users\Default\AppData\Local\temp
2011-08-06 22:19 . 2011-07-12 19:53 8578896 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{951ECC8A-A042-454F-8E21-9908F26EE4C2}\mpengine.dll
2011-08-05 20:20 . 2011-08-05 20:20 512 ----a-w- C:\PhysicalMBR.bin
2011-08-02 22:37 . 2011-08-02 22:37 -------- d-----w- c:\users\Storyboarder\DoctorWeb
2011-07-31 16:51 . 2011-07-31 16:51 -------- d-----w- C:\_smadow
2011-07-31 16:21 . 2011-07-31 16:26 -------- d-----w- C:\eeepcfr
2011-07-31 01:15 . 2011-07-12 19:53 8578896 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Updates\mpengine.dll
2011-07-26 17:38 . 2011-07-26 17:38 17720 ----a-w- c:\windows\system32\drivers\CPQBttn.sys
2011-07-26 12:12 . 2011-07-26 12:12 -------- d-----w- c:\windows\system32\%LocalAppData%
2011-07-25 22:10 . 2011-07-25 22:10 -------- d-----w- c:\programdata\Kaspersky Lab
2011-07-25 00:34 . 2011-07-25 00:34 -------- d-----w- C:\_OTL
2011-07-24 00:58 . 2011-07-24 00:58 47952 ----a-w- c:\windows\system32\drivers\tmuontrb.sys
2011-07-23 22:44 . 2011-07-23 22:44 47952 ----a-w- c:\windows\system32\drivers\lwigbsyc.sys
2011-07-23 11:53 . 2011-07-31 10:18 -------- d-----w- c:\windows\system32\SPReview
2011-07-23 11:51 . 2011-07-23 11:51 -------- d-----w- c:\windows\system32\EventProviders
2011-07-23 00:38 . 2011-07-08 07:37 89048 ----a-w- c:\program files (x86)\Mozilla Firefox\libEGL.dll
2011-07-23 00:38 . 2011-07-08 07:37 781272 ----a-w- c:\program files (x86)\Mozilla Firefox\mozsqlite3.dll
2011-07-23 00:38 . 2011-07-08 07:37 465880 ----a-w- c:\program files (x86)\Mozilla Firefox\libGLESv2.dll
2011-07-23 00:38 . 2011-07-08 07:37 1850328 ----a-w- c:\program files (x86)\Mozilla Firefox\mozjs.dll
2011-07-23 00:38 . 2011-07-08 07:37 15832 ----a-w- c:\program files (x86)\Mozilla Firefox\mozalloc.dll
2011-07-23 00:38 . 2011-07-08 07:37 142296 ----a-w- c:\program files (x86)\Mozilla Firefox\components\browsercomps.dll
2011-07-23 00:38 . 2010-01-01 08:00 2106216 ----a-w- c:\program files (x86)\Mozilla Firefox\D3DCompiler_43.dll
2011-07-23 00:38 . 2010-01-01 08:00 1998168 ----a-w- c:\program files (x86)\Mozilla Firefox\d3dx9_43.dll
2011-07-22 20:17 . 2011-07-06 17:52 41272 ----a-w- c:\windows\SysWow64\drivers\mbamswissarmy.sys
2011-07-22 20:17 . 2011-07-22 20:17 -------- d-----w- c:\program files (x86)\Malwarebytes' Anti-Malware
2011-07-22 13:21 . 2011-07-22 13:21 47952 ----a-w- c:\windows\system32\drivers\rlqevvef.sys
2011-07-22 13:16 . 2011-07-22 13:16 -------- d-----w- c:\users\Storyboarder\AppData\Roaming\Malwarebytes
2011-07-22 13:16 . 2011-07-22 13:16 -------- d-----w- c:\programdata\Malwarebytes
2011-07-22 13:16 . 2011-07-06 17:52 25912 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-07-20 19:54 . 2011-07-20 19:56 -------- d-----w- c:\users\Storyboarder\AppData\Roaming\vlc
2011-07-20 19:50 . 2011-07-20 19:50 -------- d-----w- c:\program files (x86)\VideoLAN
2011-07-20 19:24 . 2011-07-20 19:57 -------- d-----w- c:\users\Storyboarder\AppData\Local\Pdplayer
2011-07-20 19:24 . 2011-07-20 19:24 -------- d-----w- c:\users\Storyboarder\AppData\Roaming\Pdplayer
2011-07-20 17:53 . 2010-10-29 22:42 108032 ----a-w- c:\windows\SysWow64\ff_vfw.dll
2011-07-20 17:53 . 2011-07-20 17:53 -------- d-----w- c:\program files (x86)\ffdshow
2011-07-19 17:06 . 2011-08-01 00:34 -------- d-----w- C:\videos
2011-07-19 17:06 . 2011-07-20 20:17 -------- d-----w- C:\photos
2011-07-19 16:57 . 2011-07-19 16:57 -------- d-----w- c:\windows\VMUVC
2011-07-18 17:11 . 2011-07-18 17:12 -------- d-----w- c:\users\Storyboarder\AppData\Roaming\PhotoScape
2011-07-18 17:06 . 2011-07-18 17:06 -------- d-----w- c:\program files (x86)\PhotoScape
2011-07-18 15:40 . 2011-07-18 15:40 -------- d-----w- c:\program files\Kolor
2011-07-18 15:19 . 2011-07-18 15:42 -------- d-----w- c:\users\Storyboarder\AppData\Local\Kolor
2011-07-18 15:16 . 2011-07-18 15:16 -------- d-----w- c:\program files\Autopano Pro 2.5
2011-07-18 13:32 . 2011-02-19 12:05 1139200 ----a-w- c:\windows\system32\FntCache.dll
2011-07-18 13:32 . 2011-02-19 12:04 1544192 ----a-w- c:\windows\system32\DWrite.dll
2011-07-18 13:32 . 2011-02-19 12:04 902656 ----a-w- c:\windows\system32\d2d1.dll
2011-07-18 13:32 . 2011-02-19 06:30 1076736 ----a-w- c:\windows\SysWow64\DWrite.dll
2011-07-18 13:32 . 2011-02-19 06:30 739840 ----a-w- c:\windows\SysWow64\d2d1.dll
2011-07-16 14:34 . 2011-07-16 14:34 -------- d-----w- c:\users\Storyboarder\AppData\Local\2DBoy
2011-07-16 14:34 . 2011-07-16 14:34 -------- d-----w- c:\programdata\2DBoy
2011-07-15 02:25 . 2011-07-22 19:31 -------- d-----w- c:\users\Storyboarder\scenes
2011-07-15 02:25 . 2011-07-15 02:25 -------- d-----w- c:\users\Storyboarder\AppData\Local\Next Limit
2011-07-15 02:18 . 2011-07-15 02:18 -------- d-----w- c:\program files\Next Limit
2011-07-14 18:15 . 2011-07-18 15:54 -------- d-----w- c:\users\Storyboarder\AppData\Local\Adobe
2011-07-14 17:55 . 2011-07-18 15:54 -------- d-----w- c:\program files (x86)\Common Files\Adobe
2011-07-13 21:44 . 2011-07-13 21:45 -------- d-----w- c:\program files (x86)\WorldOfGoo
2011-07-11 19:22 . 2011-07-20 19:23 -------- d-----w- c:\program files (x86)\Pdplayer
2011-07-09 18:45 . 2011-07-31 18:47 -------- d-----w- C:\_PierreM_Others
2011-07-09 18:43 . 2011-07-11 15:58 -------- d-----w- c:\program files (x86)\FileZillaPortable
2011-07-09 16:28 . 2011-07-09 16:34 -------- d-----w- c:\users\Storyboarder\AppData\Roaming\TeamViewer
2011-07-09 16:22 . 2011-07-09 16:22 -------- d-----w- c:\program files (x86)\TeamViewer
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-07-23 12:03 . 2009-07-14 02:36 152576 ----a-w- c:\windows\SysWow64\msclmd.dll
2011-07-23 12:03 . 2009-07-14 02:36 175616 ----a-w- c:\windows\system32\msclmd.dll
2011-07-12 19:53 . 2011-02-04 11:37 8578896 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2011-06-03 05:57 . 2011-07-13 21:21 44032 ----a-w- c:\windows\apppatch\acwow64.dll
2011-05-24 11:42 . 2011-07-03 22:18 404480 ----a-w- c:\windows\system32\umpnpmgr.dll
2011-05-24 10:40 . 2011-07-03 22:18 44544 ----a-w- c:\windows\SysWow64\devrtl.dll
2011-05-24 10:40 . 2011-07-03 22:18 64512 ----a-w- c:\windows\SysWow64\devobj.dll
2011-05-24 10:39 . 2011-07-03 22:18 145920 ----a-w- c:\windows\SysWow64\cfgmgr32.dll
2011-05-24 10:37 . 2011-07-03 22:18 252928 ----a-w- c:\windows\SysWow64\drvinst.exe
2011-05-12 10:15 . 2011-05-12 10:15 86528 ----a-w- c:\windows\SysWow64\iesysprep.dll
2011-05-12 10:15 . 2011-05-12 10:15 76800 ----a-w- c:\windows\SysWow64\SetIEInstalledDate.exe
2011-05-12 10:15 . 2011-05-12 10:15 74752 ----a-w- c:\windows\SysWow64\RegisterIEPKEYs.exe
2011-05-12 10:15 . 2011-05-12 10:15 74752 ----a-w- c:\windows\SysWow64\iesetup.dll
2011-05-12 10:15 . 2011-05-12 10:15 63488 ----a-w- c:\windows\SysWow64\tdc.ocx
2011-05-12 10:15 . 2011-05-12 10:15 48640 ----a-w- c:\windows\SysWow64\mshtmler.dll
2011-05-12 10:15 . 2011-05-12 10:15 420864 ----a-w- c:\windows\SysWow64\vbscript.dll
2011-05-12 10:15 . 2011-05-12 10:15 367104 ----a-w- c:\windows\SysWow64\html.iec
2011-05-12 10:15 . 2011-05-12 10:15 35840 ----a-w- c:\windows\SysWow64\imgutil.dll
2011-05-12 10:15 . 2011-05-12 10:15 23552 ----a-w- c:\windows\SysWow64\licmgr10.dll
2011-05-12 10:15 . 2011-05-12 10:15 161792 ----a-w- c:\windows\SysWow64\msls31.dll
2011-05-12 10:15 . 2011-05-12 10:15 152064 ----a-w- c:\windows\SysWow64\wextract.exe
2011-05-12 10:15 . 2011-05-12 10:15 150528 ----a-w- c:\windows\SysWow64\iexpress.exe
2011-05-12 10:15 . 2011-05-12 10:15 142848 ----a-w- c:\windows\SysWow64\ieUnatt.exe
2011-05-12 10:15 . 2011-05-12 10:15 1427456 ----a-w- c:\windows\SysWow64\inetcpl.cpl
2011-05-12 10:15 . 2011-05-12 10:15 11776 ----a-w- c:\windows\SysWow64\mshta.exe
2011-05-12 10:15 . 2011-05-12 10:15 1126912 ----a-w- c:\windows\SysWow64\wininet.dll
2011-05-12 10:15 . 2011-05-12 10:15 110592 ----a-w- c:\windows\SysWow64\IEAdvpack.dll
2011-05-12 10:15 . 2011-05-12 10:15 101888 ----a-w- c:\windows\SysWow64\admparse.dll
2011-05-12 10:15 . 2011-05-12 10:15 91648 ----a-w- c:\windows\system32\SetIEInstalledDate.exe
2011-05-12 10:15 . 2011-05-12 10:15 89088 ----a-w- c:\windows\system32\RegisterIEPKEYs.exe
2011-05-12 10:15 . 2011-05-12 10:15 85504 ----a-w- c:\windows\system32\iesetup.dll
2011-05-12 10:15 . 2011-05-12 10:15 76800 ----a-w- c:\windows\system32\tdc.ocx
2011-05-12 10:15 . 2011-05-12 10:15 603648 ----a-w- c:\windows\system32\vbscript.dll
2011-05-12 10:15 . 2011-05-12 10:15 49664 ----a-w- c:\windows\system32\imgutil.dll
2011-05-12 10:15 . 2011-05-12 10:15 48640 ----a-w- c:\windows\system32\mshtmler.dll
2011-05-12 10:15 . 2011-05-12 10:15 448512 ----a-w- c:\windows\system32\html.iec
2011-05-12 10:15 . 2011-05-12 10:15 30720 ----a-w- c:\windows\system32\licmgr10.dll
2011-05-12 10:15 . 2011-05-12 10:15 222208 ----a-w- c:\windows\system32\msls31.dll
2011-05-12 10:15 . 2011-05-12 10:15 173056 ----a-w- c:\windows\system32\ieUnatt.exe
2011-05-12 10:15 . 2011-05-12 10:15 165888 ----a-w- c:\windows\system32\iexpress.exe
2011-05-12 10:15 . 2011-05-12 10:15 160256 ----a-w- c:\windows\system32\wextract.exe
2011-05-12 10:15 . 2011-05-12 10:15 1492992 ----a-w- c:\windows\system32\inetcpl.cpl
2011-05-12 10:15 . 2011-05-12 10:15 1389056 ----a-w- c:\windows\system32\wininet.dll
2011-05-12 10:15 . 2011-05-12 10:15 135168 ----a-w- c:\windows\system32\IEAdvpack.dll
2011-05-12 10:15 . 2011-05-12 10:15 12288 ----a-w- c:\windows\system32\mshta.exe
2011-05-12 10:15 . 2011-05-12 10:15 114176 ----a-w- c:\windows\system32\admparse.dll
2011-05-12 10:15 . 2011-05-12 10:15 111616 ----a-w- c:\windows\system32\iesysprep.dll
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SuperCopier2.exe"="c:\program files (x86)\SuperCopier2\SuperCopier2.exe" [2009-08-16 955392]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2010-11-20 1475584]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"PDF Complete"="c:\program files (x86)\PDF Complete\pdfsty.exe" [2010-03-06 563736]
"IMSS"="c:\program files (x86)\Intel\Intel(R) Management Engine Components\IMSS\PIconStartup.exe" [2010-03-03 111640]
"TkBellExe"="c:\program files (x86)\Real\RealPlayer\update\realsched.exe" [2011-02-15 273544]
"QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" [2010-11-29 421888]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-06-06 937920]
"VMonitorVMUVC"="c:\program files (x86)\Vimicro Corporation\VMUVC\VMonitor.exe" [2008-03-26 135168]
"Malwarebytes' Anti-Malware"="c:\program files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-07-06 449584]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\DeviceNP]
2010-03-24 10:22 75320 ----a-w- c:\windows\System32\DeviceNP.dll
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
R1 lcwoirqm;lcwoirqm;c:\windows\system32\drivers\lcwoirqm.sys [x]
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R2 HP Power Assistant Service;HP Power Assistant Service;c:\program files\Hewlett-Packard\HP Power Assistant\HPPA_Service.exe [2010-05-07 103992]
R2 HP Wireless Assistant Service;HP Wireless Assistant Service;c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWA_Service.exe [2010-04-23 103992]
R2 vcsFPService;Validity VCS Fingerprint Service;c:\windows\system32\vcsFPService.exe [2010-02-18 2045232]
R3 DAMDrv;DAMDrv;c:\windows\system32\DRIVERS\DAMDrv64.sys [x]
R3 driverhardwarev2x64;driverhardwarev2x64;c:\program files\ma-config.com\Drivers\driverhardwarev2x64.sys [2010-08-30 15872]
R3 FLCDLOCK;Verrouillage des périphériques / Audition HP ProtectTools;c:\windows\SysWOW64\flcdlock.exe [2010-03-24 362040]
R3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\x64\maconfservice.exe [2011-01-24 420864]
R3 MpNWMon;Microsoft Malware Protection Network Driver;c:\windows\system32\DRIVERS\MpNWMon.sys [x]
R3 NETw5s64;Pilote de carte de la série Intel(R) Wireless WiFi Link 5000 pour Windows 7 64 bits ;c:\windows\system32\DRIVERS\NETw5s64.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
R3 VMUVC;Vimicro Camera Service VMUVC;c:\windows\system32\Drivers\VMUVC.sys [x]
R3 vvftUVC;Vimicro Camera Filter Service VMUVC;c:\windows\system32\drivers\vvftUVC.sys [x]
R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [x]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [x]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe [2011-06-06 64952]
S2 AESTFilters;Andrea ST Filters Service;c:\windows\System32\DriverStore\FileRepository\stwrt64.inf_amd64_neutral_b20011ea53a6b83e\AESTSr64.exe [2009-03-03 89600]
S2 aksdf;aksdf;c:\windows\system32\DRIVERS\aksdf.sys [x]
S2 hasplms;HASP License Manager;c:\windows\system32\hasplms.exe [x]
S2 HP ProtectTools Service;HP ProtectTools Service;c:\program files (x86)\Hewlett-Packard\2009 Password Filter for HP ProtectTools\PTChangeFilterService.exe [2010-03-16 36864]
S2 hpsrv;HP Service;c:\windows\system32\Hpservice.exe [x]
S2 MBAMService;MBAMService;c:\program files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe [2011-07-06 366640]
S2 pdfcDispatcher;PDF Document Manager;c:\program files (x86)\PDF Complete\pdfsvc.exe [2010-03-06 635416]
S2 TeamViewer6;TeamViewer 6;c:\program files (x86)\TeamViewer\Version6\TeamViewer_Service.exe [2011-06-01 2337144]
S2 UNS;Intel(R) Management & Security Application User Notification Service;c:\program files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [2010-03-03 2320920]
S3 e1kexpress;Intel(R) PRO/1000 PCI Express Network Connection Driver K;c:\windows\system32\DRIVERS\e1k62x64.sys [x]
S3 HECIx64;Intel(R) Management Engine Interface;c:\windows\system32\DRIVERS\HECIx64.sys [x]
S3 Impcd;Impcd;c:\windows\system32\DRIVERS\Impcd.sys [x]
S3 IntcDAud;Son Intel(R) pour écrans;c:\windows\system32\DRIVERS\IntcDAud.sys [x]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [x]
S3 NETwNs64;___ Pilote de carte de la série Intel(R) Wireless WiFi Link 5000 pour Windows 7 64 bits ;c:\windows\system32\DRIVERS\NETwNs64.sys [x]
S3 NisDrv;Microsoft Network Inspection System;c:\windows\system32\DRIVERS\NisDrvWFP.sys [x]
S3 NisSrv;Inspection réseau Microsoft;c:\program files\Microsoft Security Client\Antimalware\NisSrv.exe [2011-04-27 288272]
S3 RICOH SmartCard Reader;RICOH SmartCard Reader;c:\windows\system32\DRIVERS\rismcx64.sys [x]
S3 wisdpen;Wacom Penabled MiniDriver;c:\windows\system32\DRIVERS\wisdpen.sys [x]
.
.
.
--------- x86-64 -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"combofix"="c:\combofix\CF29782.cfxxe" [X]
"IAAnotif"="c:\program files (x86)\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2010-04-05 186904]
"HPPowerAssistant"="c:\program files\Hewlett-Packard\HP Power Assistant\HPPA_Main.exe" [2010-05-07 1690168]
"HPWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\DelayedAppStarter.exe" [2010-04-23 8192]
"SNUVCDSM"="c:\windows\snuvcdsm.exe" [2009-09-17 27184]
"SysTrayApp"="c:\program files\IDT\WDM\sttray64.exe" [2010-03-17 487424]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2011-01-07 167960]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2011-01-07 391704]
"Persistence"="c:\windows\system32\igfxpers.exe" [2011-01-07 418328]
"Broadcom Wireless Manager UI"="c:\program files\Broadcom\Broadcom 802.11\WLTRAY.exe" [2011-02-02 5394944]
"MSC"="c:\program files\Microsoft Security Client\msseces.exe" [2011-06-15 1436736]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x0
.
------- Examen supplémentaire -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://www.google.fr/
mLocal Page = c:\windows\SysWOW64\blank.htm
IE: E&xporter vers Microsoft Excel - c:\progra~2\MICROS~1\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 212.27.40.241 212.27.40.240
FF - ProfilePath - c:\users\Storyboarder\AppData\Roaming\Mozilla\Firefox\Profiles\fki7e61s.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr
FF - prefs.js: network.proxy.type - 0
.
- - - - ORPHELINS SUPPRIMES - - - -
.
HKLM-Run-SynTPEnh - c:\program files (x86)\Synaptics\SynTP\SynTPEnh.exe
AddRemove-HASP HL Device Driver - c:\windows\System32\UNWISE.EXE
.
.
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\services\pdfcDispatcher]
"ImagePath"="c:\program files (x86)\PDF Complete\pdfsvc.exe /startedbyscm:66B66708-40E2BE4D-pdfcService"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Autres processus actifs ------------------------
.
c:\program files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
c:\program files (x86)\Intel\Intel Matrix Storage Manager\IAANTMon.exe
c:\program files (x86)\Hewlett-Packard\Shared\hpqwmiex.exe
c:\program files (x86)\TeamViewer\Version6\TeamViewer.exe
c:\program files (x86)\Common Files\Microsoft Shared\Ink\TabTip32.exe
c:\program files (x86)\Hewlett-Packard\HP ProtectTools Security Manager\Bin\DPAgent.exe
.
**************************************************************************
.
Heure de fin: 2011-08-08 00:12:55 - La machine a redémarré
ComboFix-quarantined-files.txt 2011-08-07 22:12
.
Avant-CF: 83 333 685 248 octets libres
Après-CF: 82 920 513 536 octets libres
.
- - End Of File - - 8EBBCF52FDFC7B3C8FD36D23A638AAB7
Microsoft Windows 7 Professionnel 6.1.7601.1.1252.33.1036.18.3890.2300 [GMT 2:00]
Lancé depuis: c:\users\Storyboarder\Desktop\ComboFix.exe
AV: Microsoft Security Essentials *Enabled/Updated* {108DAC43-C256-20B7-BB05-914135DA5160}
SP: Microsoft Security Essentials *Enabled/Updated* {ABEC4DA7-E46C-2F39-81B5-AA334E5D1BDD}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\system32\consrv.dll
c:\windows\System64
c:\windows\SysWow64\UNWISE.EXE
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-07-07 au 2011-08-07 ))))))))))))))))))))))))))))))))))))
.
.
2011-08-07 22:07 . 2011-08-07 22:07 -------- d-----w- c:\users\Default\AppData\Local\temp
2011-08-06 22:19 . 2011-07-12 19:53 8578896 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{951ECC8A-A042-454F-8E21-9908F26EE4C2}\mpengine.dll
2011-08-05 20:20 . 2011-08-05 20:20 512 ----a-w- C:\PhysicalMBR.bin
2011-08-02 22:37 . 2011-08-02 22:37 -------- d-----w- c:\users\Storyboarder\DoctorWeb
2011-07-31 16:51 . 2011-07-31 16:51 -------- d-----w- C:\_smadow
2011-07-31 16:21 . 2011-07-31 16:26 -------- d-----w- C:\eeepcfr
2011-07-31 01:15 . 2011-07-12 19:53 8578896 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Updates\mpengine.dll
2011-07-26 17:38 . 2011-07-26 17:38 17720 ----a-w- c:\windows\system32\drivers\CPQBttn.sys
2011-07-26 12:12 . 2011-07-26 12:12 -------- d-----w- c:\windows\system32\%LocalAppData%
2011-07-25 22:10 . 2011-07-25 22:10 -------- d-----w- c:\programdata\Kaspersky Lab
2011-07-25 00:34 . 2011-07-25 00:34 -------- d-----w- C:\_OTL
2011-07-24 00:58 . 2011-07-24 00:58 47952 ----a-w- c:\windows\system32\drivers\tmuontrb.sys
2011-07-23 22:44 . 2011-07-23 22:44 47952 ----a-w- c:\windows\system32\drivers\lwigbsyc.sys
2011-07-23 11:53 . 2011-07-31 10:18 -------- d-----w- c:\windows\system32\SPReview
2011-07-23 11:51 . 2011-07-23 11:51 -------- d-----w- c:\windows\system32\EventProviders
2011-07-23 00:38 . 2011-07-08 07:37 89048 ----a-w- c:\program files (x86)\Mozilla Firefox\libEGL.dll
2011-07-23 00:38 . 2011-07-08 07:37 781272 ----a-w- c:\program files (x86)\Mozilla Firefox\mozsqlite3.dll
2011-07-23 00:38 . 2011-07-08 07:37 465880 ----a-w- c:\program files (x86)\Mozilla Firefox\libGLESv2.dll
2011-07-23 00:38 . 2011-07-08 07:37 1850328 ----a-w- c:\program files (x86)\Mozilla Firefox\mozjs.dll
2011-07-23 00:38 . 2011-07-08 07:37 15832 ----a-w- c:\program files (x86)\Mozilla Firefox\mozalloc.dll
2011-07-23 00:38 . 2011-07-08 07:37 142296 ----a-w- c:\program files (x86)\Mozilla Firefox\components\browsercomps.dll
2011-07-23 00:38 . 2010-01-01 08:00 2106216 ----a-w- c:\program files (x86)\Mozilla Firefox\D3DCompiler_43.dll
2011-07-23 00:38 . 2010-01-01 08:00 1998168 ----a-w- c:\program files (x86)\Mozilla Firefox\d3dx9_43.dll
2011-07-22 20:17 . 2011-07-06 17:52 41272 ----a-w- c:\windows\SysWow64\drivers\mbamswissarmy.sys
2011-07-22 20:17 . 2011-07-22 20:17 -------- d-----w- c:\program files (x86)\Malwarebytes' Anti-Malware
2011-07-22 13:21 . 2011-07-22 13:21 47952 ----a-w- c:\windows\system32\drivers\rlqevvef.sys
2011-07-22 13:16 . 2011-07-22 13:16 -------- d-----w- c:\users\Storyboarder\AppData\Roaming\Malwarebytes
2011-07-22 13:16 . 2011-07-22 13:16 -------- d-----w- c:\programdata\Malwarebytes
2011-07-22 13:16 . 2011-07-06 17:52 25912 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-07-20 19:54 . 2011-07-20 19:56 -------- d-----w- c:\users\Storyboarder\AppData\Roaming\vlc
2011-07-20 19:50 . 2011-07-20 19:50 -------- d-----w- c:\program files (x86)\VideoLAN
2011-07-20 19:24 . 2011-07-20 19:57 -------- d-----w- c:\users\Storyboarder\AppData\Local\Pdplayer
2011-07-20 19:24 . 2011-07-20 19:24 -------- d-----w- c:\users\Storyboarder\AppData\Roaming\Pdplayer
2011-07-20 17:53 . 2010-10-29 22:42 108032 ----a-w- c:\windows\SysWow64\ff_vfw.dll
2011-07-20 17:53 . 2011-07-20 17:53 -------- d-----w- c:\program files (x86)\ffdshow
2011-07-19 17:06 . 2011-08-01 00:34 -------- d-----w- C:\videos
2011-07-19 17:06 . 2011-07-20 20:17 -------- d-----w- C:\photos
2011-07-19 16:57 . 2011-07-19 16:57 -------- d-----w- c:\windows\VMUVC
2011-07-18 17:11 . 2011-07-18 17:12 -------- d-----w- c:\users\Storyboarder\AppData\Roaming\PhotoScape
2011-07-18 17:06 . 2011-07-18 17:06 -------- d-----w- c:\program files (x86)\PhotoScape
2011-07-18 15:40 . 2011-07-18 15:40 -------- d-----w- c:\program files\Kolor
2011-07-18 15:19 . 2011-07-18 15:42 -------- d-----w- c:\users\Storyboarder\AppData\Local\Kolor
2011-07-18 15:16 . 2011-07-18 15:16 -------- d-----w- c:\program files\Autopano Pro 2.5
2011-07-18 13:32 . 2011-02-19 12:05 1139200 ----a-w- c:\windows\system32\FntCache.dll
2011-07-18 13:32 . 2011-02-19 12:04 1544192 ----a-w- c:\windows\system32\DWrite.dll
2011-07-18 13:32 . 2011-02-19 12:04 902656 ----a-w- c:\windows\system32\d2d1.dll
2011-07-18 13:32 . 2011-02-19 06:30 1076736 ----a-w- c:\windows\SysWow64\DWrite.dll
2011-07-18 13:32 . 2011-02-19 06:30 739840 ----a-w- c:\windows\SysWow64\d2d1.dll
2011-07-16 14:34 . 2011-07-16 14:34 -------- d-----w- c:\users\Storyboarder\AppData\Local\2DBoy
2011-07-16 14:34 . 2011-07-16 14:34 -------- d-----w- c:\programdata\2DBoy
2011-07-15 02:25 . 2011-07-22 19:31 -------- d-----w- c:\users\Storyboarder\scenes
2011-07-15 02:25 . 2011-07-15 02:25 -------- d-----w- c:\users\Storyboarder\AppData\Local\Next Limit
2011-07-15 02:18 . 2011-07-15 02:18 -------- d-----w- c:\program files\Next Limit
2011-07-14 18:15 . 2011-07-18 15:54 -------- d-----w- c:\users\Storyboarder\AppData\Local\Adobe
2011-07-14 17:55 . 2011-07-18 15:54 -------- d-----w- c:\program files (x86)\Common Files\Adobe
2011-07-13 21:44 . 2011-07-13 21:45 -------- d-----w- c:\program files (x86)\WorldOfGoo
2011-07-11 19:22 . 2011-07-20 19:23 -------- d-----w- c:\program files (x86)\Pdplayer
2011-07-09 18:45 . 2011-07-31 18:47 -------- d-----w- C:\_PierreM_Others
2011-07-09 18:43 . 2011-07-11 15:58 -------- d-----w- c:\program files (x86)\FileZillaPortable
2011-07-09 16:28 . 2011-07-09 16:34 -------- d-----w- c:\users\Storyboarder\AppData\Roaming\TeamViewer
2011-07-09 16:22 . 2011-07-09 16:22 -------- d-----w- c:\program files (x86)\TeamViewer
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-07-23 12:03 . 2009-07-14 02:36 152576 ----a-w- c:\windows\SysWow64\msclmd.dll
2011-07-23 12:03 . 2009-07-14 02:36 175616 ----a-w- c:\windows\system32\msclmd.dll
2011-07-12 19:53 . 2011-02-04 11:37 8578896 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2011-06-03 05:57 . 2011-07-13 21:21 44032 ----a-w- c:\windows\apppatch\acwow64.dll
2011-05-24 11:42 . 2011-07-03 22:18 404480 ----a-w- c:\windows\system32\umpnpmgr.dll
2011-05-24 10:40 . 2011-07-03 22:18 44544 ----a-w- c:\windows\SysWow64\devrtl.dll
2011-05-24 10:40 . 2011-07-03 22:18 64512 ----a-w- c:\windows\SysWow64\devobj.dll
2011-05-24 10:39 . 2011-07-03 22:18 145920 ----a-w- c:\windows\SysWow64\cfgmgr32.dll
2011-05-24 10:37 . 2011-07-03 22:18 252928 ----a-w- c:\windows\SysWow64\drvinst.exe
2011-05-12 10:15 . 2011-05-12 10:15 86528 ----a-w- c:\windows\SysWow64\iesysprep.dll
2011-05-12 10:15 . 2011-05-12 10:15 76800 ----a-w- c:\windows\SysWow64\SetIEInstalledDate.exe
2011-05-12 10:15 . 2011-05-12 10:15 74752 ----a-w- c:\windows\SysWow64\RegisterIEPKEYs.exe
2011-05-12 10:15 . 2011-05-12 10:15 74752 ----a-w- c:\windows\SysWow64\iesetup.dll
2011-05-12 10:15 . 2011-05-12 10:15 63488 ----a-w- c:\windows\SysWow64\tdc.ocx
2011-05-12 10:15 . 2011-05-12 10:15 48640 ----a-w- c:\windows\SysWow64\mshtmler.dll
2011-05-12 10:15 . 2011-05-12 10:15 420864 ----a-w- c:\windows\SysWow64\vbscript.dll
2011-05-12 10:15 . 2011-05-12 10:15 367104 ----a-w- c:\windows\SysWow64\html.iec
2011-05-12 10:15 . 2011-05-12 10:15 35840 ----a-w- c:\windows\SysWow64\imgutil.dll
2011-05-12 10:15 . 2011-05-12 10:15 23552 ----a-w- c:\windows\SysWow64\licmgr10.dll
2011-05-12 10:15 . 2011-05-12 10:15 161792 ----a-w- c:\windows\SysWow64\msls31.dll
2011-05-12 10:15 . 2011-05-12 10:15 152064 ----a-w- c:\windows\SysWow64\wextract.exe
2011-05-12 10:15 . 2011-05-12 10:15 150528 ----a-w- c:\windows\SysWow64\iexpress.exe
2011-05-12 10:15 . 2011-05-12 10:15 142848 ----a-w- c:\windows\SysWow64\ieUnatt.exe
2011-05-12 10:15 . 2011-05-12 10:15 1427456 ----a-w- c:\windows\SysWow64\inetcpl.cpl
2011-05-12 10:15 . 2011-05-12 10:15 11776 ----a-w- c:\windows\SysWow64\mshta.exe
2011-05-12 10:15 . 2011-05-12 10:15 1126912 ----a-w- c:\windows\SysWow64\wininet.dll
2011-05-12 10:15 . 2011-05-12 10:15 110592 ----a-w- c:\windows\SysWow64\IEAdvpack.dll
2011-05-12 10:15 . 2011-05-12 10:15 101888 ----a-w- c:\windows\SysWow64\admparse.dll
2011-05-12 10:15 . 2011-05-12 10:15 91648 ----a-w- c:\windows\system32\SetIEInstalledDate.exe
2011-05-12 10:15 . 2011-05-12 10:15 89088 ----a-w- c:\windows\system32\RegisterIEPKEYs.exe
2011-05-12 10:15 . 2011-05-12 10:15 85504 ----a-w- c:\windows\system32\iesetup.dll
2011-05-12 10:15 . 2011-05-12 10:15 76800 ----a-w- c:\windows\system32\tdc.ocx
2011-05-12 10:15 . 2011-05-12 10:15 603648 ----a-w- c:\windows\system32\vbscript.dll
2011-05-12 10:15 . 2011-05-12 10:15 49664 ----a-w- c:\windows\system32\imgutil.dll
2011-05-12 10:15 . 2011-05-12 10:15 48640 ----a-w- c:\windows\system32\mshtmler.dll
2011-05-12 10:15 . 2011-05-12 10:15 448512 ----a-w- c:\windows\system32\html.iec
2011-05-12 10:15 . 2011-05-12 10:15 30720 ----a-w- c:\windows\system32\licmgr10.dll
2011-05-12 10:15 . 2011-05-12 10:15 222208 ----a-w- c:\windows\system32\msls31.dll
2011-05-12 10:15 . 2011-05-12 10:15 173056 ----a-w- c:\windows\system32\ieUnatt.exe
2011-05-12 10:15 . 2011-05-12 10:15 165888 ----a-w- c:\windows\system32\iexpress.exe
2011-05-12 10:15 . 2011-05-12 10:15 160256 ----a-w- c:\windows\system32\wextract.exe
2011-05-12 10:15 . 2011-05-12 10:15 1492992 ----a-w- c:\windows\system32\inetcpl.cpl
2011-05-12 10:15 . 2011-05-12 10:15 1389056 ----a-w- c:\windows\system32\wininet.dll
2011-05-12 10:15 . 2011-05-12 10:15 135168 ----a-w- c:\windows\system32\IEAdvpack.dll
2011-05-12 10:15 . 2011-05-12 10:15 12288 ----a-w- c:\windows\system32\mshta.exe
2011-05-12 10:15 . 2011-05-12 10:15 114176 ----a-w- c:\windows\system32\admparse.dll
2011-05-12 10:15 . 2011-05-12 10:15 111616 ----a-w- c:\windows\system32\iesysprep.dll
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SuperCopier2.exe"="c:\program files (x86)\SuperCopier2\SuperCopier2.exe" [2009-08-16 955392]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2010-11-20 1475584]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"PDF Complete"="c:\program files (x86)\PDF Complete\pdfsty.exe" [2010-03-06 563736]
"IMSS"="c:\program files (x86)\Intel\Intel(R) Management Engine Components\IMSS\PIconStartup.exe" [2010-03-03 111640]
"TkBellExe"="c:\program files (x86)\Real\RealPlayer\update\realsched.exe" [2011-02-15 273544]
"QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" [2010-11-29 421888]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-06-06 937920]
"VMonitorVMUVC"="c:\program files (x86)\Vimicro Corporation\VMUVC\VMonitor.exe" [2008-03-26 135168]
"Malwarebytes' Anti-Malware"="c:\program files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-07-06 449584]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\DeviceNP]
2010-03-24 10:22 75320 ----a-w- c:\windows\System32\DeviceNP.dll
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
R1 lcwoirqm;lcwoirqm;c:\windows\system32\drivers\lcwoirqm.sys [x]
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R2 HP Power Assistant Service;HP Power Assistant Service;c:\program files\Hewlett-Packard\HP Power Assistant\HPPA_Service.exe [2010-05-07 103992]
R2 HP Wireless Assistant Service;HP Wireless Assistant Service;c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWA_Service.exe [2010-04-23 103992]
R2 vcsFPService;Validity VCS Fingerprint Service;c:\windows\system32\vcsFPService.exe [2010-02-18 2045232]
R3 DAMDrv;DAMDrv;c:\windows\system32\DRIVERS\DAMDrv64.sys [x]
R3 driverhardwarev2x64;driverhardwarev2x64;c:\program files\ma-config.com\Drivers\driverhardwarev2x64.sys [2010-08-30 15872]
R3 FLCDLOCK;Verrouillage des périphériques / Audition HP ProtectTools;c:\windows\SysWOW64\flcdlock.exe [2010-03-24 362040]
R3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\x64\maconfservice.exe [2011-01-24 420864]
R3 MpNWMon;Microsoft Malware Protection Network Driver;c:\windows\system32\DRIVERS\MpNWMon.sys [x]
R3 NETw5s64;Pilote de carte de la série Intel(R) Wireless WiFi Link 5000 pour Windows 7 64 bits ;c:\windows\system32\DRIVERS\NETw5s64.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
R3 VMUVC;Vimicro Camera Service VMUVC;c:\windows\system32\Drivers\VMUVC.sys [x]
R3 vvftUVC;Vimicro Camera Filter Service VMUVC;c:\windows\system32\drivers\vvftUVC.sys [x]
R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [x]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [x]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe [2011-06-06 64952]
S2 AESTFilters;Andrea ST Filters Service;c:\windows\System32\DriverStore\FileRepository\stwrt64.inf_amd64_neutral_b20011ea53a6b83e\AESTSr64.exe [2009-03-03 89600]
S2 aksdf;aksdf;c:\windows\system32\DRIVERS\aksdf.sys [x]
S2 hasplms;HASP License Manager;c:\windows\system32\hasplms.exe [x]
S2 HP ProtectTools Service;HP ProtectTools Service;c:\program files (x86)\Hewlett-Packard\2009 Password Filter for HP ProtectTools\PTChangeFilterService.exe [2010-03-16 36864]
S2 hpsrv;HP Service;c:\windows\system32\Hpservice.exe [x]
S2 MBAMService;MBAMService;c:\program files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe [2011-07-06 366640]
S2 pdfcDispatcher;PDF Document Manager;c:\program files (x86)\PDF Complete\pdfsvc.exe [2010-03-06 635416]
S2 TeamViewer6;TeamViewer 6;c:\program files (x86)\TeamViewer\Version6\TeamViewer_Service.exe [2011-06-01 2337144]
S2 UNS;Intel(R) Management & Security Application User Notification Service;c:\program files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [2010-03-03 2320920]
S3 e1kexpress;Intel(R) PRO/1000 PCI Express Network Connection Driver K;c:\windows\system32\DRIVERS\e1k62x64.sys [x]
S3 HECIx64;Intel(R) Management Engine Interface;c:\windows\system32\DRIVERS\HECIx64.sys [x]
S3 Impcd;Impcd;c:\windows\system32\DRIVERS\Impcd.sys [x]
S3 IntcDAud;Son Intel(R) pour écrans;c:\windows\system32\DRIVERS\IntcDAud.sys [x]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [x]
S3 NETwNs64;___ Pilote de carte de la série Intel(R) Wireless WiFi Link 5000 pour Windows 7 64 bits ;c:\windows\system32\DRIVERS\NETwNs64.sys [x]
S3 NisDrv;Microsoft Network Inspection System;c:\windows\system32\DRIVERS\NisDrvWFP.sys [x]
S3 NisSrv;Inspection réseau Microsoft;c:\program files\Microsoft Security Client\Antimalware\NisSrv.exe [2011-04-27 288272]
S3 RICOH SmartCard Reader;RICOH SmartCard Reader;c:\windows\system32\DRIVERS\rismcx64.sys [x]
S3 wisdpen;Wacom Penabled MiniDriver;c:\windows\system32\DRIVERS\wisdpen.sys [x]
.
.
.
--------- x86-64 -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"combofix"="c:\combofix\CF29782.cfxxe" [X]
"IAAnotif"="c:\program files (x86)\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2010-04-05 186904]
"HPPowerAssistant"="c:\program files\Hewlett-Packard\HP Power Assistant\HPPA_Main.exe" [2010-05-07 1690168]
"HPWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\DelayedAppStarter.exe" [2010-04-23 8192]
"SNUVCDSM"="c:\windows\snuvcdsm.exe" [2009-09-17 27184]
"SysTrayApp"="c:\program files\IDT\WDM\sttray64.exe" [2010-03-17 487424]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2011-01-07 167960]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2011-01-07 391704]
"Persistence"="c:\windows\system32\igfxpers.exe" [2011-01-07 418328]
"Broadcom Wireless Manager UI"="c:\program files\Broadcom\Broadcom 802.11\WLTRAY.exe" [2011-02-02 5394944]
"MSC"="c:\program files\Microsoft Security Client\msseces.exe" [2011-06-15 1436736]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x0
.
------- Examen supplémentaire -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://www.google.fr/
mLocal Page = c:\windows\SysWOW64\blank.htm
IE: E&xporter vers Microsoft Excel - c:\progra~2\MICROS~1\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 212.27.40.241 212.27.40.240
FF - ProfilePath - c:\users\Storyboarder\AppData\Roaming\Mozilla\Firefox\Profiles\fki7e61s.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr
FF - prefs.js: network.proxy.type - 0
.
- - - - ORPHELINS SUPPRIMES - - - -
.
HKLM-Run-SynTPEnh - c:\program files (x86)\Synaptics\SynTP\SynTPEnh.exe
AddRemove-HASP HL Device Driver - c:\windows\System32\UNWISE.EXE
.
.
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\services\pdfcDispatcher]
"ImagePath"="c:\program files (x86)\PDF Complete\pdfsvc.exe /startedbyscm:66B66708-40E2BE4D-pdfcService"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Autres processus actifs ------------------------
.
c:\program files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
c:\program files (x86)\Intel\Intel Matrix Storage Manager\IAANTMon.exe
c:\program files (x86)\Hewlett-Packard\Shared\hpqwmiex.exe
c:\program files (x86)\TeamViewer\Version6\TeamViewer.exe
c:\program files (x86)\Common Files\Microsoft Shared\Ink\TabTip32.exe
c:\program files (x86)\Hewlett-Packard\HP ProtectTools Security Manager\Bin\DPAgent.exe
.
**************************************************************************
.
Heure de fin: 2011-08-08 00:12:55 - La machine a redémarré
ComboFix-quarantined-files.txt 2011-08-07 22:12
.
Avant-CF: 83 333 685 248 octets libres
Après-CF: 82 920 513 536 octets libres
.
- - End Of File - - 8EBBCF52FDFC7B3C8FD36D23A638AAB7
Re,
Ouvre un fichier Bloc-note vierge (Démarrer -> Tous les programmes -> accessoire -> Bloc-note)
Copie-colle EXACTEMENT ceci dedans :
Clique ensuite sur "Fichier" -> "Enregistrer sous..."
Choisi ton bureau comme destination et nomme le fichier "CFScript"
Clique sur le bouton "Enregistrer"
Ferme le Bloc-note.
Fait maintenant glisser le fichier sur ton bureau sur l'icone de Combofix comme ceci (maintenir le clic-gauche de la souris et faire glisser)
![]()
Combofix va se relancer, suis les instructions.
Ne touche à rien pendant le temps du scan !!!
Lorsque l'analyse est terminée, un rapport apparaitra, copie-colle son contenu dans ta prochaine réponse.
Note : s'il n'apparait pas, il se trouve ici C:\Combofix.txt
Driver::
lcwoirqm
File::
c:\windows\system32\drivers\tmuontrb.sys
c:\windows\system32\drivers\lwigbsyc.sys
c:\windows\system32\drivers\rlqevvef.sys
c:\windows\system32\drivers\lcwoirqm.sys
lcwoirqm
File::
c:\windows\system32\drivers\tmuontrb.sys
c:\windows\system32\drivers\lwigbsyc.sys
c:\windows\system32\drivers\rlqevvef.sys
c:\windows\system32\drivers\lcwoirqm.sys
Note : s'il n'apparait pas, il se trouve ici C:\Combofix.txt
ComboFix 11-08-06.02 - Storyboarder 08/08/2011 14:10:14.2.4 - x64
Microsoft Windows 7 Professionnel 6.1.7601.1.1252.33.1036.18.3890.2384 [GMT 2:00]
Lancé depuis: c:\users\Storyboarder\Desktop\ComboFix.exe
Commutateurs utilisés :: c:\users\Storyboarder\Desktop\CFScript.txt
AV: Microsoft Security Essentials *Enabled/Updated* {108DAC43-C256-20B7-BB05-914135DA5160}
SP: Microsoft Security Essentials *Enabled/Updated* {ABEC4DA7-E46C-2F39-81B5-AA334E5D1BDD}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
FILE ::
"c:\windows\system32\drivers\lcwoirqm.sys"
"c:\windows\system32\drivers\lwigbsyc.sys"
"c:\windows\system32\drivers\rlqevvef.sys"
"c:\windows\system32\drivers\tmuontrb.sys"
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\system32\drivers\lwigbsyc.sys
c:\windows\system32\drivers\rlqevvef.sys
c:\windows\system32\drivers\tmuontrb.sys
.
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Service_lcwoirqm
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-07-08 au 2011-08-08 ))))))))))))))))))))))))))))))))))))
.
.
2011-08-08 12:15 . 2011-08-08 12:15 -------- d-----w- c:\users\Default\AppData\Local\temp
2011-08-06 22:19 . 2011-07-12 19:53 8578896 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{951ECC8A-A042-454F-8E21-9908F26EE4C2}\mpengine.dll
2011-08-05 20:20 . 2011-08-05 20:20 512 ----a-w- C:\PhysicalMBR.bin
2011-08-02 22:37 . 2011-08-02 22:37 -------- d-----w- c:\users\Storyboarder\DoctorWeb
2011-07-31 16:51 . 2011-07-31 16:51 -------- d-----w- C:\_smadow
2011-07-31 16:21 . 2011-07-31 16:26 -------- d-----w- C:\eeepcfr
2011-07-31 01:15 . 2011-07-12 19:53 8578896 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Updates\mpengine.dll
2011-07-26 17:38 . 2011-07-26 17:38 17720 ----a-w- c:\windows\system32\drivers\CPQBttn.sys
2011-07-26 12:12 . 2011-07-26 12:12 -------- d-----w- c:\windows\system32\%LocalAppData%
2011-07-25 22:10 . 2011-07-25 22:10 -------- d-----w- c:\programdata\Kaspersky Lab
2011-07-25 00:34 . 2011-07-25 00:34 -------- d-----w- C:\_OTL
2011-07-23 11:53 . 2011-07-31 10:18 -------- d-----w- c:\windows\system32\SPReview
2011-07-23 11:51 . 2011-07-23 11:51 -------- d-----w- c:\windows\system32\EventProviders
2011-07-23 00:38 . 2011-07-08 07:37 89048 ----a-w- c:\program files (x86)\Mozilla Firefox\libEGL.dll
2011-07-23 00:38 . 2011-07-08 07:37 781272 ----a-w- c:\program files (x86)\Mozilla Firefox\mozsqlite3.dll
2011-07-23 00:38 . 2011-07-08 07:37 465880 ----a-w- c:\program files (x86)\Mozilla Firefox\libGLESv2.dll
2011-07-23 00:38 . 2011-07-08 07:37 1850328 ----a-w- c:\program files (x86)\Mozilla Firefox\mozjs.dll
2011-07-23 00:38 . 2011-07-08 07:37 15832 ----a-w- c:\program files (x86)\Mozilla Firefox\mozalloc.dll
2011-07-23 00:38 . 2011-07-08 07:37 142296 ----a-w- c:\program files (x86)\Mozilla Firefox\components\browsercomps.dll
2011-07-23 00:38 . 2010-01-01 08:00 2106216 ----a-w- c:\program files (x86)\Mozilla Firefox\D3DCompiler_43.dll
2011-07-23 00:38 . 2010-01-01 08:00 1998168 ----a-w- c:\program files (x86)\Mozilla Firefox\d3dx9_43.dll
2011-07-22 20:17 . 2011-07-06 17:52 41272 ----a-w- c:\windows\SysWow64\drivers\mbamswissarmy.sys
2011-07-22 20:17 . 2011-07-22 20:17 -------- d-----w- c:\program files (x86)\Malwarebytes' Anti-Malware
2011-07-22 13:16 . 2011-07-22 13:16 -------- d-----w- c:\users\Storyboarder\AppData\Roaming\Malwarebytes
2011-07-22 13:16 . 2011-07-22 13:16 -------- d-----w- c:\programdata\Malwarebytes
2011-07-22 13:16 . 2011-07-06 17:52 25912 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-07-20 19:54 . 2011-07-20 19:56 -------- d-----w- c:\users\Storyboarder\AppData\Roaming\vlc
2011-07-20 19:50 . 2011-07-20 19:50 -------- d-----w- c:\program files (x86)\VideoLAN
2011-07-20 19:24 . 2011-07-20 19:57 -------- d-----w- c:\users\Storyboarder\AppData\Local\Pdplayer
2011-07-20 19:24 . 2011-07-20 19:24 -------- d-----w- c:\users\Storyboarder\AppData\Roaming\Pdplayer
2011-07-20 17:53 . 2010-10-29 22:42 108032 ----a-w- c:\windows\SysWow64\ff_vfw.dll
2011-07-20 17:53 . 2011-07-20 17:53 -------- d-----w- c:\program files (x86)\ffdshow
2011-07-19 17:06 . 2011-08-01 00:34 -------- d-----w- C:\videos
2011-07-19 17:06 . 2011-07-20 20:17 -------- d-----w- C:\photos
2011-07-19 16:57 . 2011-07-19 16:57 -------- d-----w- c:\windows\VMUVC
2011-07-18 17:11 . 2011-07-18 17:12 -------- d-----w- c:\users\Storyboarder\AppData\Roaming\PhotoScape
2011-07-18 17:06 . 2011-07-18 17:06 -------- d-----w- c:\program files (x86)\PhotoScape
2011-07-18 15:40 . 2011-07-18 15:40 -------- d-----w- c:\program files\Kolor
2011-07-18 15:19 . 2011-07-18 15:42 -------- d-----w- c:\users\Storyboarder\AppData\Local\Kolor
2011-07-18 15:16 . 2011-07-18 15:16 -------- d-----w- c:\program files\Autopano Pro 2.5
2011-07-18 13:32 . 2011-02-19 12:05 1139200 ----a-w- c:\windows\system32\FntCache.dll
2011-07-18 13:32 . 2011-02-19 12:04 1544192 ----a-w- c:\windows\system32\DWrite.dll
2011-07-18 13:32 . 2011-02-19 12:04 902656 ----a-w- c:\windows\system32\d2d1.dll
2011-07-18 13:32 . 2011-02-19 06:30 1076736 ----a-w- c:\windows\SysWow64\DWrite.dll
2011-07-18 13:32 . 2011-02-19 06:30 739840 ----a-w- c:\windows\SysWow64\d2d1.dll
2011-07-16 14:34 . 2011-07-16 14:34 -------- d-----w- c:\users\Storyboarder\AppData\Local\2DBoy
2011-07-16 14:34 . 2011-07-16 14:34 -------- d-----w- c:\programdata\2DBoy
2011-07-15 02:25 . 2011-07-22 19:31 -------- d-----w- c:\users\Storyboarder\scenes
2011-07-15 02:25 . 2011-07-15 02:25 -------- d-----w- c:\users\Storyboarder\AppData\Local\Next Limit
2011-07-15 02:18 . 2011-07-15 02:18 -------- d-----w- c:\program files\Next Limit
2011-07-14 18:15 . 2011-07-18 15:54 -------- d-----w- c:\users\Storyboarder\AppData\Local\Adobe
2011-07-14 17:55 . 2011-07-18 15:54 -------- d-----w- c:\program files (x86)\Common Files\Adobe
2011-07-13 21:44 . 2011-07-13 21:45 -------- d-----w- c:\program files (x86)\WorldOfGoo
2011-07-11 19:22 . 2011-07-20 19:23 -------- d-----w- c:\program files (x86)\Pdplayer
2011-07-09 18:45 . 2011-07-31 18:47 -------- d-----w- C:\_PierreM_Others
2011-07-09 18:43 . 2011-07-11 15:58 -------- d-----w- c:\program files (x86)\FileZillaPortable
2011-07-09 16:28 . 2011-07-09 16:34 -------- d-----w- c:\users\Storyboarder\AppData\Roaming\TeamViewer
2011-07-09 16:22 . 2011-07-09 16:22 -------- d-----w- c:\program files (x86)\TeamViewer
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-07-23 12:03 . 2009-07-14 02:36 152576 ----a-w- c:\windows\SysWow64\msclmd.dll
2011-07-23 12:03 . 2009-07-14 02:36 175616 ----a-w- c:\windows\system32\msclmd.dll
2011-07-12 19:53 . 2011-02-04 11:37 8578896 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2011-06-03 05:57 . 2011-07-13 21:21 44032 ----a-w- c:\windows\apppatch\acwow64.dll
2011-05-24 11:42 . 2011-07-03 22:18 404480 ----a-w- c:\windows\system32\umpnpmgr.dll
2011-05-24 10:40 . 2011-07-03 22:18 44544 ----a-w- c:\windows\SysWow64\devrtl.dll
2011-05-24 10:40 . 2011-07-03 22:18 64512 ----a-w- c:\windows\SysWow64\devobj.dll
2011-05-24 10:39 . 2011-07-03 22:18 145920 ----a-w- c:\windows\SysWow64\cfgmgr32.dll
2011-05-24 10:37 . 2011-07-03 22:18 252928 ----a-w- c:\windows\SysWow64\drvinst.exe
2011-05-12 10:15 . 2011-05-12 10:15 86528 ----a-w- c:\windows\SysWow64\iesysprep.dll
2011-05-12 10:15 . 2011-05-12 10:15 76800 ----a-w- c:\windows\SysWow64\SetIEInstalledDate.exe
2011-05-12 10:15 . 2011-05-12 10:15 74752 ----a-w- c:\windows\SysWow64\RegisterIEPKEYs.exe
2011-05-12 10:15 . 2011-05-12 10:15 74752 ----a-w- c:\windows\SysWow64\iesetup.dll
2011-05-12 10:15 . 2011-05-12 10:15 63488 ----a-w- c:\windows\SysWow64\tdc.ocx
2011-05-12 10:15 . 2011-05-12 10:15 48640 ----a-w- c:\windows\SysWow64\mshtmler.dll
2011-05-12 10:15 . 2011-05-12 10:15 420864 ----a-w- c:\windows\SysWow64\vbscript.dll
2011-05-12 10:15 . 2011-05-12 10:15 367104 ----a-w- c:\windows\SysWow64\html.iec
2011-05-12 10:15 . 2011-05-12 10:15 35840 ----a-w- c:\windows\SysWow64\imgutil.dll
2011-05-12 10:15 . 2011-05-12 10:15 23552 ----a-w- c:\windows\SysWow64\licmgr10.dll
2011-05-12 10:15 . 2011-05-12 10:15 161792 ----a-w- c:\windows\SysWow64\msls31.dll
2011-05-12 10:15 . 2011-05-12 10:15 152064 ----a-w- c:\windows\SysWow64\wextract.exe
2011-05-12 10:15 . 2011-05-12 10:15 150528 ----a-w- c:\windows\SysWow64\iexpress.exe
2011-05-12 10:15 . 2011-05-12 10:15 142848 ----a-w- c:\windows\SysWow64\ieUnatt.exe
2011-05-12 10:15 . 2011-05-12 10:15 1427456 ----a-w- c:\windows\SysWow64\inetcpl.cpl
2011-05-12 10:15 . 2011-05-12 10:15 11776 ----a-w- c:\windows\SysWow64\mshta.exe
2011-05-12 10:15 . 2011-05-12 10:15 1126912 ----a-w- c:\windows\SysWow64\wininet.dll
2011-05-12 10:15 . 2011-05-12 10:15 110592 ----a-w- c:\windows\SysWow64\IEAdvpack.dll
2011-05-12 10:15 . 2011-05-12 10:15 101888 ----a-w- c:\windows\SysWow64\admparse.dll
2011-05-12 10:15 . 2011-05-12 10:15 91648 ----a-w- c:\windows\system32\SetIEInstalledDate.exe
2011-05-12 10:15 . 2011-05-12 10:15 89088 ----a-w- c:\windows\system32\RegisterIEPKEYs.exe
2011-05-12 10:15 . 2011-05-12 10:15 85504 ----a-w- c:\windows\system32\iesetup.dll
2011-05-12 10:15 . 2011-05-12 10:15 76800 ----a-w- c:\windows\system32\tdc.ocx
2011-05-12 10:15 . 2011-05-12 10:15 603648 ----a-w- c:\windows\system32\vbscript.dll
2011-05-12 10:15 . 2011-05-12 10:15 49664 ----a-w- c:\windows\system32\imgutil.dll
2011-05-12 10:15 . 2011-05-12 10:15 48640 ----a-w- c:\windows\system32\mshtmler.dll
2011-05-12 10:15 . 2011-05-12 10:15 448512 ----a-w- c:\windows\system32\html.iec
2011-05-12 10:15 . 2011-05-12 10:15 30720 ----a-w- c:\windows\system32\licmgr10.dll
2011-05-12 10:15 . 2011-05-12 10:15 222208 ----a-w- c:\windows\system32\msls31.dll
2011-05-12 10:15 . 2011-05-12 10:15 173056 ----a-w- c:\windows\system32\ieUnatt.exe
2011-05-12 10:15 . 2011-05-12 10:15 165888 ----a-w- c:\windows\system32\iexpress.exe
2011-05-12 10:15 . 2011-05-12 10:15 160256 ----a-w- c:\windows\system32\wextract.exe
2011-05-12 10:15 . 2011-05-12 10:15 1492992 ----a-w- c:\windows\system32\inetcpl.cpl
2011-05-12 10:15 . 2011-05-12 10:15 1389056 ----a-w- c:\windows\system32\wininet.dll
2011-05-12 10:15 . 2011-05-12 10:15 135168 ----a-w- c:\windows\system32\IEAdvpack.dll
2011-05-12 10:15 . 2011-05-12 10:15 12288 ----a-w- c:\windows\system32\mshta.exe
2011-05-12 10:15 . 2011-05-12 10:15 114176 ----a-w- c:\windows\system32\admparse.dll
2011-05-12 10:15 . 2011-05-12 10:15 111616 ----a-w- c:\windows\system32\iesysprep.dll
.
.
((((((((((((((((((((((((((((( SnapShot@2011-08-07_22.09.01 )))))))))))))))))))))))))))))))))))))))))
.
- 2009-07-14 04:54 . 2011-08-07 22:08 16384 c:\windows\SysWOW64\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2009-07-14 04:54 . 2011-08-08 12:16 16384 c:\windows\SysWOW64\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2009-07-14 04:54 . 2011-08-08 12:16 32768 c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2009-07-14 04:54 . 2011-08-07 22:08 32768 c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2009-07-14 04:54 . 2011-08-07 22:08 16384 c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2009-07-14 04:54 . 2011-08-08 12:16 16384 c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2011-01-31 11:53 . 2011-08-08 12:04 46528 c:\windows\system32\wdi\ShutdownPerformanceDiagnostics_SystemData.bin
- 2009-07-14 05:10 . 2011-08-07 20:49 35344 c:\windows\system32\wdi\BootPerformanceDiagnostics_SystemData.bin
+ 2009-07-14 05:10 . 2011-08-08 12:04 35344 c:\windows\system32\wdi\BootPerformanceDiagnostics_SystemData.bin
+ 2011-01-31 11:53 . 2011-08-08 12:04 11852 c:\windows\system32\wdi\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-840422833-28000144-3944128184-1000_UserData.bin
- 2011-08-07 22:08 . 2011-08-07 22:08 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
+ 2011-08-08 12:16 . 2011-08-08 12:16 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
+ 2011-08-08 12:16 . 2011-08-08 12:16 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
- 2011-08-07 22:08 . 2011-08-07 22:08 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
- 2009-07-14 05:01 . 2011-08-07 22:07 488888 c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-System.dat
+ 2009-07-14 05:01 . 2011-08-08 12:15 488888 c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-System.dat
+ 2011-01-31 13:03 . 2011-08-08 12:15 3146416 c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache3.0.0.0.dat
- 2011-01-31 13:03 . 2011-08-07 22:07 3146416 c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache3.0.0.0.dat
- 2011-07-12 19:42 . 2011-08-07 22:07 6806996 c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-S-1-5-21-840422833-28000144-3944128184-1000-12288.dat
+ 2011-07-12 19:42 . 2011-08-08 12:15 6806996 c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-S-1-5-21-840422833-28000144-3944128184-1000-12288.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SuperCopier2.exe"="c:\program files (x86)\SuperCopier2\SuperCopier2.exe" [2009-08-16 955392]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2010-11-20 1475584]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"PDF Complete"="c:\program files (x86)\PDF Complete\pdfsty.exe" [2010-03-06 563736]
"IMSS"="c:\program files (x86)\Intel\Intel(R) Management Engine Components\IMSS\PIconStartup.exe" [2010-03-03 111640]
"TkBellExe"="c:\program files (x86)\Real\RealPlayer\update\realsched.exe" [2011-02-15 273544]
"QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" [2010-11-29 421888]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-06-06 937920]
"VMonitorVMUVC"="c:\program files (x86)\Vimicro Corporation\VMUVC\VMonitor.exe" [2008-03-26 135168]
"Malwarebytes' Anti-Malware"="c:\program files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-07-06 449584]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\DeviceNP]
2010-03-24 10:22 75320 ----a-w- c:\windows\System32\DeviceNP.dll
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R2 HP Power Assistant Service;HP Power Assistant Service;c:\program files\Hewlett-Packard\HP Power Assistant\HPPA_Service.exe [2010-05-07 103992]
R2 HP Wireless Assistant Service;HP Wireless Assistant Service;c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWA_Service.exe [2010-04-23 103992]
R2 vcsFPService;Validity VCS Fingerprint Service;c:\windows\system32\vcsFPService.exe [2010-02-18 2045232]
R3 DAMDrv;DAMDrv;c:\windows\system32\DRIVERS\DAMDrv64.sys [x]
R3 driverhardwarev2x64;driverhardwarev2x64;c:\program files\ma-config.com\Drivers\driverhardwarev2x64.sys [2010-08-30 15872]
R3 FLCDLOCK;Verrouillage des périphériques / Audition HP ProtectTools;c:\windows\SysWOW64\flcdlock.exe [2010-03-24 362040]
R3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\x64\maconfservice.exe [2011-01-24 420864]
R3 MpNWMon;Microsoft Malware Protection Network Driver;c:\windows\system32\DRIVERS\MpNWMon.sys [x]
R3 NETw5s64;Pilote de carte de la série Intel(R) Wireless WiFi Link 5000 pour Windows 7 64 bits ;c:\windows\system32\DRIVERS\NETw5s64.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
R3 VMUVC;Vimicro Camera Service VMUVC;c:\windows\system32\Drivers\VMUVC.sys [x]
R3 vvftUVC;Vimicro Camera Filter Service VMUVC;c:\windows\system32\drivers\vvftUVC.sys [x]
R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [x]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [x]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe [2011-06-06 64952]
S2 AESTFilters;Andrea ST Filters Service;c:\windows\System32\DriverStore\FileRepository\stwrt64.inf_amd64_neutral_b20011ea53a6b83e\AESTSr64.exe [2009-03-03 89600]
S2 aksdf;aksdf;c:\windows\system32\DRIVERS\aksdf.sys [x]
S2 hasplms;HASP License Manager;c:\windows\system32\hasplms.exe [x]
S2 HP ProtectTools Service;HP ProtectTools Service;c:\program files (x86)\Hewlett-Packard\2009 Password Filter for HP ProtectTools\PTChangeFilterService.exe [2010-03-16 36864]
S2 hpsrv;HP Service;c:\windows\system32\Hpservice.exe [x]
S2 MBAMService;MBAMService;c:\program files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe [2011-07-06 366640]
S2 pdfcDispatcher;PDF Document Manager;c:\program files (x86)\PDF Complete\pdfsvc.exe [2010-03-06 635416]
S2 TeamViewer6;TeamViewer 6;c:\program files (x86)\TeamViewer\Version6\TeamViewer_Service.exe [2011-06-01 2337144]
S2 UNS;Intel(R) Management & Security Application User Notification Service;c:\program files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [2010-03-03 2320920]
S3 e1kexpress;Intel(R) PRO/1000 PCI Express Network Connection Driver K;c:\windows\system32\DRIVERS\e1k62x64.sys [x]
S3 HECIx64;Intel(R) Management Engine Interface;c:\windows\system32\DRIVERS\HECIx64.sys [x]
S3 Impcd;Impcd;c:\windows\system32\DRIVERS\Impcd.sys [x]
S3 IntcDAud;Son Intel(R) pour écrans;c:\windows\system32\DRIVERS\IntcDAud.sys [x]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [x]
S3 NETwNs64;___ Pilote de carte de la série Intel(R) Wireless WiFi Link 5000 pour Windows 7 64 bits ;c:\windows\system32\DRIVERS\NETwNs64.sys [x]
S3 NisDrv;Microsoft Network Inspection System;c:\windows\system32\DRIVERS\NisDrvWFP.sys [x]
S3 NisSrv;Inspection réseau Microsoft;c:\program files\Microsoft Security Client\Antimalware\NisSrv.exe [2011-04-27 288272]
S3 RICOH SmartCard Reader;RICOH SmartCard Reader;c:\windows\system32\DRIVERS\rismcx64.sys [x]
S3 wisdpen;Wacom Penabled MiniDriver;c:\windows\system32\DRIVERS\wisdpen.sys [x]
.
.
.
--------- x86-64 -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"combofix"="c:\combofix\CF31798.cfxxe" [X]
"IAAnotif"="c:\program files (x86)\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2010-04-05 186904]
"SynTPEnh"="c:\program files (x86)\Synaptics\SynTP\SynTPEnh.exe" [BU]
"HPPowerAssistant"="c:\program files\Hewlett-Packard\HP Power Assistant\HPPA_Main.exe" [2010-05-07 1690168]
"HPWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\DelayedAppStarter.exe" [2010-04-23 8192]
"SNUVCDSM"="c:\windows\snuvcdsm.exe" [2009-09-17 27184]
"SysTrayApp"="c:\program files\IDT\WDM\sttray64.exe" [2010-03-17 487424]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2011-01-07 167960]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2011-01-07 391704]
"Persistence"="c:\windows\system32\igfxpers.exe" [2011-01-07 418328]
"Broadcom Wireless Manager UI"="c:\program files\Broadcom\Broadcom 802.11\WLTRAY.exe" [2011-02-02 5394944]
"MSC"="c:\program files\Microsoft Security Client\msseces.exe" [2011-06-15 1436736]
.
------- Examen supplémentaire -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://www.google.fr/
mLocal Page = c:\windows\SysWOW64\blank.htm
IE: E&xporter vers Microsoft Excel - c:\progra~2\MICROS~1\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\users\Storyboarder\AppData\Roaming\Mozilla\Firefox\Profiles\fki7e61s.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr
FF - prefs.js: network.proxy.type - 0
.
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\services\pdfcDispatcher]
"ImagePath"="c:\program files (x86)\PDF Complete\pdfsvc.exe /startedbyscm:66B66708-40E2BE4D-pdfcService"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Autres processus actifs ------------------------
.
c:\program files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
c:\program files (x86)\Common Files\Microsoft Shared\Ink\TabTip32.exe
c:\program files (x86)\TeamViewer\Version6\TeamViewer.exe
c:\program files (x86)\Intel\Intel Matrix Storage Manager\IAANTMon.exe
c:\program files (x86)\Hewlett-Packard\Shared\hpqwmiex.exe
.
**************************************************************************
.
Heure de fin: 2011-08-08 14:21:01 - La machine a redémarré
ComboFix-quarantined-files.txt 2011-08-08 12:21
ComboFix2.txt 2011-08-07 22:12
.
Avant-CF: 82 920 726 528 octets libres
Après-CF: 82 840 313 856 octets libres
.
- - End Of File - - 2C1B8BBE6ACA24A76C48DDC1FFB20C5D
Microsoft Windows 7 Professionnel 6.1.7601.1.1252.33.1036.18.3890.2384 [GMT 2:00]
Lancé depuis: c:\users\Storyboarder\Desktop\ComboFix.exe
Commutateurs utilisés :: c:\users\Storyboarder\Desktop\CFScript.txt
AV: Microsoft Security Essentials *Enabled/Updated* {108DAC43-C256-20B7-BB05-914135DA5160}
SP: Microsoft Security Essentials *Enabled/Updated* {ABEC4DA7-E46C-2F39-81B5-AA334E5D1BDD}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
FILE ::
"c:\windows\system32\drivers\lcwoirqm.sys"
"c:\windows\system32\drivers\lwigbsyc.sys"
"c:\windows\system32\drivers\rlqevvef.sys"
"c:\windows\system32\drivers\tmuontrb.sys"
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\system32\drivers\lwigbsyc.sys
c:\windows\system32\drivers\rlqevvef.sys
c:\windows\system32\drivers\tmuontrb.sys
.
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Service_lcwoirqm
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-07-08 au 2011-08-08 ))))))))))))))))))))))))))))))))))))
.
.
2011-08-08 12:15 . 2011-08-08 12:15 -------- d-----w- c:\users\Default\AppData\Local\temp
2011-08-06 22:19 . 2011-07-12 19:53 8578896 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{951ECC8A-A042-454F-8E21-9908F26EE4C2}\mpengine.dll
2011-08-05 20:20 . 2011-08-05 20:20 512 ----a-w- C:\PhysicalMBR.bin
2011-08-02 22:37 . 2011-08-02 22:37 -------- d-----w- c:\users\Storyboarder\DoctorWeb
2011-07-31 16:51 . 2011-07-31 16:51 -------- d-----w- C:\_smadow
2011-07-31 16:21 . 2011-07-31 16:26 -------- d-----w- C:\eeepcfr
2011-07-31 01:15 . 2011-07-12 19:53 8578896 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Updates\mpengine.dll
2011-07-26 17:38 . 2011-07-26 17:38 17720 ----a-w- c:\windows\system32\drivers\CPQBttn.sys
2011-07-26 12:12 . 2011-07-26 12:12 -------- d-----w- c:\windows\system32\%LocalAppData%
2011-07-25 22:10 . 2011-07-25 22:10 -------- d-----w- c:\programdata\Kaspersky Lab
2011-07-25 00:34 . 2011-07-25 00:34 -------- d-----w- C:\_OTL
2011-07-23 11:53 . 2011-07-31 10:18 -------- d-----w- c:\windows\system32\SPReview
2011-07-23 11:51 . 2011-07-23 11:51 -------- d-----w- c:\windows\system32\EventProviders
2011-07-23 00:38 . 2011-07-08 07:37 89048 ----a-w- c:\program files (x86)\Mozilla Firefox\libEGL.dll
2011-07-23 00:38 . 2011-07-08 07:37 781272 ----a-w- c:\program files (x86)\Mozilla Firefox\mozsqlite3.dll
2011-07-23 00:38 . 2011-07-08 07:37 465880 ----a-w- c:\program files (x86)\Mozilla Firefox\libGLESv2.dll
2011-07-23 00:38 . 2011-07-08 07:37 1850328 ----a-w- c:\program files (x86)\Mozilla Firefox\mozjs.dll
2011-07-23 00:38 . 2011-07-08 07:37 15832 ----a-w- c:\program files (x86)\Mozilla Firefox\mozalloc.dll
2011-07-23 00:38 . 2011-07-08 07:37 142296 ----a-w- c:\program files (x86)\Mozilla Firefox\components\browsercomps.dll
2011-07-23 00:38 . 2010-01-01 08:00 2106216 ----a-w- c:\program files (x86)\Mozilla Firefox\D3DCompiler_43.dll
2011-07-23 00:38 . 2010-01-01 08:00 1998168 ----a-w- c:\program files (x86)\Mozilla Firefox\d3dx9_43.dll
2011-07-22 20:17 . 2011-07-06 17:52 41272 ----a-w- c:\windows\SysWow64\drivers\mbamswissarmy.sys
2011-07-22 20:17 . 2011-07-22 20:17 -------- d-----w- c:\program files (x86)\Malwarebytes' Anti-Malware
2011-07-22 13:16 . 2011-07-22 13:16 -------- d-----w- c:\users\Storyboarder\AppData\Roaming\Malwarebytes
2011-07-22 13:16 . 2011-07-22 13:16 -------- d-----w- c:\programdata\Malwarebytes
2011-07-22 13:16 . 2011-07-06 17:52 25912 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-07-20 19:54 . 2011-07-20 19:56 -------- d-----w- c:\users\Storyboarder\AppData\Roaming\vlc
2011-07-20 19:50 . 2011-07-20 19:50 -------- d-----w- c:\program files (x86)\VideoLAN
2011-07-20 19:24 . 2011-07-20 19:57 -------- d-----w- c:\users\Storyboarder\AppData\Local\Pdplayer
2011-07-20 19:24 . 2011-07-20 19:24 -------- d-----w- c:\users\Storyboarder\AppData\Roaming\Pdplayer
2011-07-20 17:53 . 2010-10-29 22:42 108032 ----a-w- c:\windows\SysWow64\ff_vfw.dll
2011-07-20 17:53 . 2011-07-20 17:53 -------- d-----w- c:\program files (x86)\ffdshow
2011-07-19 17:06 . 2011-08-01 00:34 -------- d-----w- C:\videos
2011-07-19 17:06 . 2011-07-20 20:17 -------- d-----w- C:\photos
2011-07-19 16:57 . 2011-07-19 16:57 -------- d-----w- c:\windows\VMUVC
2011-07-18 17:11 . 2011-07-18 17:12 -------- d-----w- c:\users\Storyboarder\AppData\Roaming\PhotoScape
2011-07-18 17:06 . 2011-07-18 17:06 -------- d-----w- c:\program files (x86)\PhotoScape
2011-07-18 15:40 . 2011-07-18 15:40 -------- d-----w- c:\program files\Kolor
2011-07-18 15:19 . 2011-07-18 15:42 -------- d-----w- c:\users\Storyboarder\AppData\Local\Kolor
2011-07-18 15:16 . 2011-07-18 15:16 -------- d-----w- c:\program files\Autopano Pro 2.5
2011-07-18 13:32 . 2011-02-19 12:05 1139200 ----a-w- c:\windows\system32\FntCache.dll
2011-07-18 13:32 . 2011-02-19 12:04 1544192 ----a-w- c:\windows\system32\DWrite.dll
2011-07-18 13:32 . 2011-02-19 12:04 902656 ----a-w- c:\windows\system32\d2d1.dll
2011-07-18 13:32 . 2011-02-19 06:30 1076736 ----a-w- c:\windows\SysWow64\DWrite.dll
2011-07-18 13:32 . 2011-02-19 06:30 739840 ----a-w- c:\windows\SysWow64\d2d1.dll
2011-07-16 14:34 . 2011-07-16 14:34 -------- d-----w- c:\users\Storyboarder\AppData\Local\2DBoy
2011-07-16 14:34 . 2011-07-16 14:34 -------- d-----w- c:\programdata\2DBoy
2011-07-15 02:25 . 2011-07-22 19:31 -------- d-----w- c:\users\Storyboarder\scenes
2011-07-15 02:25 . 2011-07-15 02:25 -------- d-----w- c:\users\Storyboarder\AppData\Local\Next Limit
2011-07-15 02:18 . 2011-07-15 02:18 -------- d-----w- c:\program files\Next Limit
2011-07-14 18:15 . 2011-07-18 15:54 -------- d-----w- c:\users\Storyboarder\AppData\Local\Adobe
2011-07-14 17:55 . 2011-07-18 15:54 -------- d-----w- c:\program files (x86)\Common Files\Adobe
2011-07-13 21:44 . 2011-07-13 21:45 -------- d-----w- c:\program files (x86)\WorldOfGoo
2011-07-11 19:22 . 2011-07-20 19:23 -------- d-----w- c:\program files (x86)\Pdplayer
2011-07-09 18:45 . 2011-07-31 18:47 -------- d-----w- C:\_PierreM_Others
2011-07-09 18:43 . 2011-07-11 15:58 -------- d-----w- c:\program files (x86)\FileZillaPortable
2011-07-09 16:28 . 2011-07-09 16:34 -------- d-----w- c:\users\Storyboarder\AppData\Roaming\TeamViewer
2011-07-09 16:22 . 2011-07-09 16:22 -------- d-----w- c:\program files (x86)\TeamViewer
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-07-23 12:03 . 2009-07-14 02:36 152576 ----a-w- c:\windows\SysWow64\msclmd.dll
2011-07-23 12:03 . 2009-07-14 02:36 175616 ----a-w- c:\windows\system32\msclmd.dll
2011-07-12 19:53 . 2011-02-04 11:37 8578896 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2011-06-03 05:57 . 2011-07-13 21:21 44032 ----a-w- c:\windows\apppatch\acwow64.dll
2011-05-24 11:42 . 2011-07-03 22:18 404480 ----a-w- c:\windows\system32\umpnpmgr.dll
2011-05-24 10:40 . 2011-07-03 22:18 44544 ----a-w- c:\windows\SysWow64\devrtl.dll
2011-05-24 10:40 . 2011-07-03 22:18 64512 ----a-w- c:\windows\SysWow64\devobj.dll
2011-05-24 10:39 . 2011-07-03 22:18 145920 ----a-w- c:\windows\SysWow64\cfgmgr32.dll
2011-05-24 10:37 . 2011-07-03 22:18 252928 ----a-w- c:\windows\SysWow64\drvinst.exe
2011-05-12 10:15 . 2011-05-12 10:15 86528 ----a-w- c:\windows\SysWow64\iesysprep.dll
2011-05-12 10:15 . 2011-05-12 10:15 76800 ----a-w- c:\windows\SysWow64\SetIEInstalledDate.exe
2011-05-12 10:15 . 2011-05-12 10:15 74752 ----a-w- c:\windows\SysWow64\RegisterIEPKEYs.exe
2011-05-12 10:15 . 2011-05-12 10:15 74752 ----a-w- c:\windows\SysWow64\iesetup.dll
2011-05-12 10:15 . 2011-05-12 10:15 63488 ----a-w- c:\windows\SysWow64\tdc.ocx
2011-05-12 10:15 . 2011-05-12 10:15 48640 ----a-w- c:\windows\SysWow64\mshtmler.dll
2011-05-12 10:15 . 2011-05-12 10:15 420864 ----a-w- c:\windows\SysWow64\vbscript.dll
2011-05-12 10:15 . 2011-05-12 10:15 367104 ----a-w- c:\windows\SysWow64\html.iec
2011-05-12 10:15 . 2011-05-12 10:15 35840 ----a-w- c:\windows\SysWow64\imgutil.dll
2011-05-12 10:15 . 2011-05-12 10:15 23552 ----a-w- c:\windows\SysWow64\licmgr10.dll
2011-05-12 10:15 . 2011-05-12 10:15 161792 ----a-w- c:\windows\SysWow64\msls31.dll
2011-05-12 10:15 . 2011-05-12 10:15 152064 ----a-w- c:\windows\SysWow64\wextract.exe
2011-05-12 10:15 . 2011-05-12 10:15 150528 ----a-w- c:\windows\SysWow64\iexpress.exe
2011-05-12 10:15 . 2011-05-12 10:15 142848 ----a-w- c:\windows\SysWow64\ieUnatt.exe
2011-05-12 10:15 . 2011-05-12 10:15 1427456 ----a-w- c:\windows\SysWow64\inetcpl.cpl
2011-05-12 10:15 . 2011-05-12 10:15 11776 ----a-w- c:\windows\SysWow64\mshta.exe
2011-05-12 10:15 . 2011-05-12 10:15 1126912 ----a-w- c:\windows\SysWow64\wininet.dll
2011-05-12 10:15 . 2011-05-12 10:15 110592 ----a-w- c:\windows\SysWow64\IEAdvpack.dll
2011-05-12 10:15 . 2011-05-12 10:15 101888 ----a-w- c:\windows\SysWow64\admparse.dll
2011-05-12 10:15 . 2011-05-12 10:15 91648 ----a-w- c:\windows\system32\SetIEInstalledDate.exe
2011-05-12 10:15 . 2011-05-12 10:15 89088 ----a-w- c:\windows\system32\RegisterIEPKEYs.exe
2011-05-12 10:15 . 2011-05-12 10:15 85504 ----a-w- c:\windows\system32\iesetup.dll
2011-05-12 10:15 . 2011-05-12 10:15 76800 ----a-w- c:\windows\system32\tdc.ocx
2011-05-12 10:15 . 2011-05-12 10:15 603648 ----a-w- c:\windows\system32\vbscript.dll
2011-05-12 10:15 . 2011-05-12 10:15 49664 ----a-w- c:\windows\system32\imgutil.dll
2011-05-12 10:15 . 2011-05-12 10:15 48640 ----a-w- c:\windows\system32\mshtmler.dll
2011-05-12 10:15 . 2011-05-12 10:15 448512 ----a-w- c:\windows\system32\html.iec
2011-05-12 10:15 . 2011-05-12 10:15 30720 ----a-w- c:\windows\system32\licmgr10.dll
2011-05-12 10:15 . 2011-05-12 10:15 222208 ----a-w- c:\windows\system32\msls31.dll
2011-05-12 10:15 . 2011-05-12 10:15 173056 ----a-w- c:\windows\system32\ieUnatt.exe
2011-05-12 10:15 . 2011-05-12 10:15 165888 ----a-w- c:\windows\system32\iexpress.exe
2011-05-12 10:15 . 2011-05-12 10:15 160256 ----a-w- c:\windows\system32\wextract.exe
2011-05-12 10:15 . 2011-05-12 10:15 1492992 ----a-w- c:\windows\system32\inetcpl.cpl
2011-05-12 10:15 . 2011-05-12 10:15 1389056 ----a-w- c:\windows\system32\wininet.dll
2011-05-12 10:15 . 2011-05-12 10:15 135168 ----a-w- c:\windows\system32\IEAdvpack.dll
2011-05-12 10:15 . 2011-05-12 10:15 12288 ----a-w- c:\windows\system32\mshta.exe
2011-05-12 10:15 . 2011-05-12 10:15 114176 ----a-w- c:\windows\system32\admparse.dll
2011-05-12 10:15 . 2011-05-12 10:15 111616 ----a-w- c:\windows\system32\iesysprep.dll
.
.
((((((((((((((((((((((((((((( SnapShot@2011-08-07_22.09.01 )))))))))))))))))))))))))))))))))))))))))
.
- 2009-07-14 04:54 . 2011-08-07 22:08 16384 c:\windows\SysWOW64\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2009-07-14 04:54 . 2011-08-08 12:16 16384 c:\windows\SysWOW64\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2009-07-14 04:54 . 2011-08-08 12:16 32768 c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2009-07-14 04:54 . 2011-08-07 22:08 32768 c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2009-07-14 04:54 . 2011-08-07 22:08 16384 c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2009-07-14 04:54 . 2011-08-08 12:16 16384 c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2011-01-31 11:53 . 2011-08-08 12:04 46528 c:\windows\system32\wdi\ShutdownPerformanceDiagnostics_SystemData.bin
- 2009-07-14 05:10 . 2011-08-07 20:49 35344 c:\windows\system32\wdi\BootPerformanceDiagnostics_SystemData.bin
+ 2009-07-14 05:10 . 2011-08-08 12:04 35344 c:\windows\system32\wdi\BootPerformanceDiagnostics_SystemData.bin
+ 2011-01-31 11:53 . 2011-08-08 12:04 11852 c:\windows\system32\wdi\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-840422833-28000144-3944128184-1000_UserData.bin
- 2011-08-07 22:08 . 2011-08-07 22:08 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
+ 2011-08-08 12:16 . 2011-08-08 12:16 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
+ 2011-08-08 12:16 . 2011-08-08 12:16 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
- 2011-08-07 22:08 . 2011-08-07 22:08 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
- 2009-07-14 05:01 . 2011-08-07 22:07 488888 c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-System.dat
+ 2009-07-14 05:01 . 2011-08-08 12:15 488888 c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-System.dat
+ 2011-01-31 13:03 . 2011-08-08 12:15 3146416 c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache3.0.0.0.dat
- 2011-01-31 13:03 . 2011-08-07 22:07 3146416 c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache3.0.0.0.dat
- 2011-07-12 19:42 . 2011-08-07 22:07 6806996 c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-S-1-5-21-840422833-28000144-3944128184-1000-12288.dat
+ 2011-07-12 19:42 . 2011-08-08 12:15 6806996 c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-S-1-5-21-840422833-28000144-3944128184-1000-12288.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SuperCopier2.exe"="c:\program files (x86)\SuperCopier2\SuperCopier2.exe" [2009-08-16 955392]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2010-11-20 1475584]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"PDF Complete"="c:\program files (x86)\PDF Complete\pdfsty.exe" [2010-03-06 563736]
"IMSS"="c:\program files (x86)\Intel\Intel(R) Management Engine Components\IMSS\PIconStartup.exe" [2010-03-03 111640]
"TkBellExe"="c:\program files (x86)\Real\RealPlayer\update\realsched.exe" [2011-02-15 273544]
"QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" [2010-11-29 421888]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-06-06 937920]
"VMonitorVMUVC"="c:\program files (x86)\Vimicro Corporation\VMUVC\VMonitor.exe" [2008-03-26 135168]
"Malwarebytes' Anti-Malware"="c:\program files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-07-06 449584]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\DeviceNP]
2010-03-24 10:22 75320 ----a-w- c:\windows\System32\DeviceNP.dll
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R2 HP Power Assistant Service;HP Power Assistant Service;c:\program files\Hewlett-Packard\HP Power Assistant\HPPA_Service.exe [2010-05-07 103992]
R2 HP Wireless Assistant Service;HP Wireless Assistant Service;c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWA_Service.exe [2010-04-23 103992]
R2 vcsFPService;Validity VCS Fingerprint Service;c:\windows\system32\vcsFPService.exe [2010-02-18 2045232]
R3 DAMDrv;DAMDrv;c:\windows\system32\DRIVERS\DAMDrv64.sys [x]
R3 driverhardwarev2x64;driverhardwarev2x64;c:\program files\ma-config.com\Drivers\driverhardwarev2x64.sys [2010-08-30 15872]
R3 FLCDLOCK;Verrouillage des périphériques / Audition HP ProtectTools;c:\windows\SysWOW64\flcdlock.exe [2010-03-24 362040]
R3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\x64\maconfservice.exe [2011-01-24 420864]
R3 MpNWMon;Microsoft Malware Protection Network Driver;c:\windows\system32\DRIVERS\MpNWMon.sys [x]
R3 NETw5s64;Pilote de carte de la série Intel(R) Wireless WiFi Link 5000 pour Windows 7 64 bits ;c:\windows\system32\DRIVERS\NETw5s64.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
R3 VMUVC;Vimicro Camera Service VMUVC;c:\windows\system32\Drivers\VMUVC.sys [x]
R3 vvftUVC;Vimicro Camera Filter Service VMUVC;c:\windows\system32\drivers\vvftUVC.sys [x]
R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [x]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [x]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe [2011-06-06 64952]
S2 AESTFilters;Andrea ST Filters Service;c:\windows\System32\DriverStore\FileRepository\stwrt64.inf_amd64_neutral_b20011ea53a6b83e\AESTSr64.exe [2009-03-03 89600]
S2 aksdf;aksdf;c:\windows\system32\DRIVERS\aksdf.sys [x]
S2 hasplms;HASP License Manager;c:\windows\system32\hasplms.exe [x]
S2 HP ProtectTools Service;HP ProtectTools Service;c:\program files (x86)\Hewlett-Packard\2009 Password Filter for HP ProtectTools\PTChangeFilterService.exe [2010-03-16 36864]
S2 hpsrv;HP Service;c:\windows\system32\Hpservice.exe [x]
S2 MBAMService;MBAMService;c:\program files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe [2011-07-06 366640]
S2 pdfcDispatcher;PDF Document Manager;c:\program files (x86)\PDF Complete\pdfsvc.exe [2010-03-06 635416]
S2 TeamViewer6;TeamViewer 6;c:\program files (x86)\TeamViewer\Version6\TeamViewer_Service.exe [2011-06-01 2337144]
S2 UNS;Intel(R) Management & Security Application User Notification Service;c:\program files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [2010-03-03 2320920]
S3 e1kexpress;Intel(R) PRO/1000 PCI Express Network Connection Driver K;c:\windows\system32\DRIVERS\e1k62x64.sys [x]
S3 HECIx64;Intel(R) Management Engine Interface;c:\windows\system32\DRIVERS\HECIx64.sys [x]
S3 Impcd;Impcd;c:\windows\system32\DRIVERS\Impcd.sys [x]
S3 IntcDAud;Son Intel(R) pour écrans;c:\windows\system32\DRIVERS\IntcDAud.sys [x]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [x]
S3 NETwNs64;___ Pilote de carte de la série Intel(R) Wireless WiFi Link 5000 pour Windows 7 64 bits ;c:\windows\system32\DRIVERS\NETwNs64.sys [x]
S3 NisDrv;Microsoft Network Inspection System;c:\windows\system32\DRIVERS\NisDrvWFP.sys [x]
S3 NisSrv;Inspection réseau Microsoft;c:\program files\Microsoft Security Client\Antimalware\NisSrv.exe [2011-04-27 288272]
S3 RICOH SmartCard Reader;RICOH SmartCard Reader;c:\windows\system32\DRIVERS\rismcx64.sys [x]
S3 wisdpen;Wacom Penabled MiniDriver;c:\windows\system32\DRIVERS\wisdpen.sys [x]
.
.
.
--------- x86-64 -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"combofix"="c:\combofix\CF31798.cfxxe" [X]
"IAAnotif"="c:\program files (x86)\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2010-04-05 186904]
"SynTPEnh"="c:\program files (x86)\Synaptics\SynTP\SynTPEnh.exe" [BU]
"HPPowerAssistant"="c:\program files\Hewlett-Packard\HP Power Assistant\HPPA_Main.exe" [2010-05-07 1690168]
"HPWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\DelayedAppStarter.exe" [2010-04-23 8192]
"SNUVCDSM"="c:\windows\snuvcdsm.exe" [2009-09-17 27184]
"SysTrayApp"="c:\program files\IDT\WDM\sttray64.exe" [2010-03-17 487424]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2011-01-07 167960]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2011-01-07 391704]
"Persistence"="c:\windows\system32\igfxpers.exe" [2011-01-07 418328]
"Broadcom Wireless Manager UI"="c:\program files\Broadcom\Broadcom 802.11\WLTRAY.exe" [2011-02-02 5394944]
"MSC"="c:\program files\Microsoft Security Client\msseces.exe" [2011-06-15 1436736]
.
------- Examen supplémentaire -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://www.google.fr/
mLocal Page = c:\windows\SysWOW64\blank.htm
IE: E&xporter vers Microsoft Excel - c:\progra~2\MICROS~1\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\users\Storyboarder\AppData\Roaming\Mozilla\Firefox\Profiles\fki7e61s.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr
FF - prefs.js: network.proxy.type - 0
.
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\services\pdfcDispatcher]
"ImagePath"="c:\program files (x86)\PDF Complete\pdfsvc.exe /startedbyscm:66B66708-40E2BE4D-pdfcService"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10l.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Autres processus actifs ------------------------
.
c:\program files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
c:\program files (x86)\Common Files\Microsoft Shared\Ink\TabTip32.exe
c:\program files (x86)\TeamViewer\Version6\TeamViewer.exe
c:\program files (x86)\Intel\Intel Matrix Storage Manager\IAANTMon.exe
c:\program files (x86)\Hewlett-Packard\Shared\hpqwmiex.exe
.
**************************************************************************
.
Heure de fin: 2011-08-08 14:21:01 - La machine a redémarré
ComboFix-quarantined-files.txt 2011-08-08 12:21
ComboFix2.txt 2011-08-07 22:12
.
Avant-CF: 82 920 726 528 octets libres
Après-CF: 82 840 313 856 octets libres
.
- - End Of File - - 2C1B8BBE6ACA24A76C48DDC1FFB20C5D
Re,
Mouais il m'aura fais courir celui-là![:o]( ":o")
Allez, ménage :
1) Relance OTL.exe
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
Clique sur "Purge d'outils"
Valide l'avertissement par "ok" et laisse le pc redémarrer.
Si ce n'est pas fait, supprime ces outils :
- DrWeb CureIt
- Kaspersky Virus Removal Tool
Tu peux conserver Malwarebyte's pour des scans occasionnel, en pensant à le mettre à jour avant.
2) Purge de la restauration système :
Elle contient des restes de l'infection, suis ce tuto pour la purger :
Vista/7 :
http://www.inforumatique.fr/forum/post82670.html#p82670
Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :
Attention lors de l'installation de logiciel :
Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
Utiliser un navigateur alternatif pour surfer de manière plus sécurisée :
Firefox offre une meilleure sécurité par rapport à Internet Explorer, surtout si on le complète de quelques plugins très intéressant : Noscript et WOT par exemple.
Maintenir ses logiciels et son système à jour :
De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.
Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
A lire !
Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton![]()
"éditer" dans ton tout premier message.
-> Ajoute ensuite "résolu" à coté de ton titre et valide.
Tu peux aussi, si tu le souhaites, valider une "meilleure réponse", ton sujet sera alors automatiquement marqué comme "résolu"
A bientôt sur les forums Tom's Guide
Mouais il m'aura fais courir celui-là
Allez, ménage :
1) Relance OTL.exe
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
Si ce n'est pas fait, supprime ces outils :
- DrWeb CureIt
- Kaspersky Virus Removal Tool
Tu peux conserver Malwarebyte's pour des scans occasionnel, en pensant à le mettre à jour avant.
2) Purge de la restauration système :
Elle contient des restes de l'infection, suis ce tuto pour la purger :
Vista/7 :
http://www.inforumatique.fr/forum/post82670.html#p82670
Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :
Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
Firefox offre une meilleure sécurité par rapport à Internet Explorer, surtout si on le complète de quelques plugins très intéressant : Noscript et WOT par exemple.
De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.
Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
A lire !
Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton
"éditer" dans ton tout premier message.-> Ajoute ensuite "résolu" à coté de ton titre et valide.
Tu peux aussi, si tu le souhaites, valider une "meilleure réponse", ton sujet sera alors automatiquement marqué comme "résolu"
A bientôt sur les forums Tom's Guide
Lassé par la pub ? Créez un compte
- Contenus similaires :
- ForumSupprimer backdoor win32 smadow
- ForumBackdoor smadow
- ForumBackdoor win32 rbot.oe
- ForumBackdoor win32
- ForumBackdoor win32 r bot.r
- ForumBackdoor win32 ircbot.gen
- ForumBackdoor win32 rbot - infected
- ForumBackdoor win32 ircbot.gen sous vista
- ForumBackdoor win32 ircbot.dl
- ForumBackdoor win32 sdbot.gen a
- Voir plus
