Besoin d'aide pour supprimer virus
Benko
-
Benko -
Benko -
Bonjour,
Je reprends l'ordi de mon frère et je n'arrive pas à me débarasser du (ou des) virus (malwares, vers etc...).
Au niveau conséquence; le pc est passé de la date du jour à la meme date mais en 2007, pop up de pubs partout, internet explorer ne démarre plus (mon frère utilise firefox mais pour les scans en ligne on me demandait de me mettre sous IE ce qui s'avérait impossible), avast voit un certain nombre de vers qui après leur suppression ne donne aucun résultat sur l'ordi; il précise également qu'il voit qu'il y a un virus selon sa méthode heuristique mais ne peut donner le nom du virus (ce qui m'aide pas à trouver moi meme la solution via les forums).
J'ai passé un coup de ccleaner.
je vous laisse mon hijackthis;
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:47:37, on 23/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\WLTRAY.exe
C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
H:\bin\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\rs32net.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\DNA\btdna.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
H:\DAEMON Tools Lite\daemon.exe
C:\WINDOWS\System32\rs32net.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\DOCUME~1\Benko\LOCALS~1\Temp\csrssc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\WinZip\WZQKPICK.EXE
H:\bin\jqs.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Documents and Settings\Benko\Mes documents\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\DOCUME~1\Benko\LOCALS~1\Temp\RtkBtMnt.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
H:\bin\jqsnotify.exe
C:\Documents and Settings\Benko\Bureau\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [BroadcomWireless] C:\Program Files\Broadcom\Wireless\Utility\WlanUtil.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [EOUApp] "C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Easy PDF Creator] C:\Program Files\Easy PDF Creator\EasyPDFCreator.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "H:\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [rs32net] C:\WINDOWS\System32\rs32net.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [34182b08] rundll32.exe "C:\WINDOWS\system32\jiijkebe.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Program Files\DNA\btdna.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Documents and Settings\Benko\Mes documents\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [DAEMON Tools Lite] "H:\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [rs32net] C:\WINDOWS\System32\rs32net.exe
O4 - HKCU\..\Run: [Jnskdfmf9eldfd] C:\DOCUME~1\Benko\LOCALS~1\Temp\csrssc.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: BitTorrent Acceleration Patch.lnk = H:\BitTorrent Acceleration Patch\BitTorrent Acceleration Patch.exe
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - AppInit_DLLs: wzhhpw.dll gyvbmb.dll
O22 - SharedTaskScheduler: mcb7uehuj3n8weuhejsw - {C5BF49A2-94F3-42BD-F434-3604812C897D} - C:\WINDOWS\system32\jkse73hedfdgf.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - H:\bin\jqs.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Documents and Settings\Benko\Mes documents\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE
Je reprends l'ordi de mon frère et je n'arrive pas à me débarasser du (ou des) virus (malwares, vers etc...).
Au niveau conséquence; le pc est passé de la date du jour à la meme date mais en 2007, pop up de pubs partout, internet explorer ne démarre plus (mon frère utilise firefox mais pour les scans en ligne on me demandait de me mettre sous IE ce qui s'avérait impossible), avast voit un certain nombre de vers qui après leur suppression ne donne aucun résultat sur l'ordi; il précise également qu'il voit qu'il y a un virus selon sa méthode heuristique mais ne peut donner le nom du virus (ce qui m'aide pas à trouver moi meme la solution via les forums).
J'ai passé un coup de ccleaner.
je vous laisse mon hijackthis;
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:47:37, on 23/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\WLTRAY.exe
C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
H:\bin\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\rs32net.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\DNA\btdna.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
H:\DAEMON Tools Lite\daemon.exe
C:\WINDOWS\System32\rs32net.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\DOCUME~1\Benko\LOCALS~1\Temp\csrssc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\WinZip\WZQKPICK.EXE
H:\bin\jqs.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Documents and Settings\Benko\Mes documents\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\DOCUME~1\Benko\LOCALS~1\Temp\RtkBtMnt.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
H:\bin\jqsnotify.exe
C:\Documents and Settings\Benko\Bureau\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [BroadcomWireless] C:\Program Files\Broadcom\Wireless\Utility\WlanUtil.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [EOUApp] "C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Easy PDF Creator] C:\Program Files\Easy PDF Creator\EasyPDFCreator.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "H:\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [rs32net] C:\WINDOWS\System32\rs32net.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [34182b08] rundll32.exe "C:\WINDOWS\system32\jiijkebe.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Program Files\DNA\btdna.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Documents and Settings\Benko\Mes documents\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [DAEMON Tools Lite] "H:\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [rs32net] C:\WINDOWS\System32\rs32net.exe
O4 - HKCU\..\Run: [Jnskdfmf9eldfd] C:\DOCUME~1\Benko\LOCALS~1\Temp\csrssc.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: BitTorrent Acceleration Patch.lnk = H:\BitTorrent Acceleration Patch\BitTorrent Acceleration Patch.exe
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - AppInit_DLLs: wzhhpw.dll gyvbmb.dll
O22 - SharedTaskScheduler: mcb7uehuj3n8weuhejsw - {C5BF49A2-94F3-42BD-F434-3604812C897D} - C:\WINDOWS\system32\jkse73hedfdgf.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - H:\bin\jqs.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Documents and Settings\Benko\Mes documents\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE
A voir également:
- Besoin d'aide pour supprimer virus
- Supprimer rond bleu whatsapp - Guide
- Supprimer page word - Guide
- Comment supprimer fausse alerte virus mcafee - Accueil - Piratage
- Supprimer pub youtube - Accueil - Streaming
- Fichier impossible à supprimer - Guide
9 réponses
Salut,
infection vundo :
Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
-> Double clique sur combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
Avant d'utiliser ComboFix :
-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.
-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.
Une fois fait, sur ton bureau double-clic sur Combofix.exe.
- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.
- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)
-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
infection vundo :
Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
-> Double clique sur combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
Avant d'utiliser ComboFix :
-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.
-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.
Une fois fait, sur ton bureau double-clic sur Combofix.exe.
- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.
- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)
-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
Merci de la rapidité de ta réponse,
J'ai suivi ta procédure,
A l'exécution de combofix et après avoir suspendu la protection d'avast et vérifier que mes antyspyware / malwares n'étaient pas actif, une "ERREUR DATE" survient dans une fenetre windows, on me demande de vérifier mes paramètres, je ne peux seulement cliquer sur OK, ce qui ferme combofix.
Que dois je faire?
J'ai suivi ta procédure,
A l'exécution de combofix et après avoir suspendu la protection d'avast et vérifier que mes antyspyware / malwares n'étaient pas actif, une "ERREUR DATE" survient dans une fenetre windows, on me demande de vérifier mes paramètres, je ne peux seulement cliquer sur OK, ce qui ferme combofix.
Que dois je faire?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
J'ai remis la date exact et relancé combofix
tout s'est passé comme tu l'avais décrit;
peut etre une chose à noter; combofix m'a signalé que je n'avais plus de console de restauration windows et m'a invité fortement a la remettre en place en suivant ses indications (ce que j'ai fait).
Au redémarrage de windows je peux voir qu'IE est réapparu et que lorsque je viens de me connecter pour envoyer ce post internet est aussi rapide quà la normale; voila le rapport de combofix;
ComboFix 08-12-23.01 - Benko 2008-12-24 0:32:40.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1022.447 [GMT 1:00]
Lancé depuis: c:\documents and settings\Benko\Bureau\ComboFix.exe
* Un nouveau point de restauration a été créé
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\Benko\Application Data\gadcom
c:\documents and settings\Benko\Application Data\gadcom\gadcom.exe
c:\windows\system32\cbXPHwtQ.dll
c:\windows\system32\drivers\870c9e9c.sys
c:\windows\system32\ebekjiij.ini
c:\windows\system32\gbluilfl.dll
c:\windows\system32\geBSkLFu.dll
c:\windows\system32\gyvbmb.dll
c:\windows\system32\jiijkebe.dll
c:\windows\system32\jkse73hedfdgf.dll
c:\windows\system32\knWwvyxx.ini
c:\windows\system32\knWwvyxx.ini2
c:\windows\system32\kuwehvni.dll
c:\windows\system32\lfliulbg.ini
c:\windows\system32\obxlbf.dll
c:\windows\system32\owwadajo.dll
c:\windows\system32\pdfmont.dll
c:\windows\system32\rs32net.exe
c:\windows\system32\TDSSosvd.dat
c:\windows\system32\TDSStkdu.log
c:\windows\system32\wzhhpw.dll
c:\windows\system32\xxyvwWnk.dll
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_ISODRIVE
-------\Legacy_TDSSSERV.SYS
-------\Service_870c9e9c
-------\Service_ISODrive
-------\Service_TDSSserv.sys
((((((((((((((((((((((((((((( Fichiers créés du 2008-11-23 au 2008-12-23 ))))))))))))))))))))))))))))))))))))
.
2008-12-23 11:49 . 2007-12-23 12:49 2,707 --a------ c:\windows\system32\TDSSlxwp.dll
2008-12-23 11:49 . 2008-12-23 11:55 2 --a------ C:\873999271
2008-12-23 11:28 . 2008-12-23 11:30 <REP> d-------- c:\documents and settings\Benko\Application Data\Sports Interactive
2008-12-23 11:28 . 2008-12-23 11:51 <REP> d-------- c:\documents and settings\All Users\Application Data\Sports Interactive
2008-12-23 11:27 . 2008-03-05 15:56 3,786,760 --a------ c:\windows\system32\d3dx9_37.dll
2008-12-23 11:02 . 2008-12-23 11:02 <REP> d-------- c:\program files\Sports Interactive
2008-12-23 10:02 . 2008-12-23 10:02 <REP> d-------- c:\documents and settings\Benko\Application Data\DAEMON Tools Pro
2008-12-23 10:02 . 2008-12-23 10:02 <REP> d-------- c:\documents and settings\Benko\Application Data\DAEMON Tools
2008-12-23 10:01 . 2008-12-23 10:04 <REP> d-------- c:\documents and settings\Benko\Application Data\DAEMON Tools Lite
2008-12-23 10:01 . 2008-12-23 10:01 <REP> d-------- c:\documents and settings\All Users\Application Data\DAEMON Tools Lite
2008-12-23 09:24 . 2008-12-23 09:24 <REP> d-------- c:\program files\Fichiers communs\EZB Systems
2008-12-23 08:50 . 2008-12-23 08:50 717,296 --a------ c:\windows\system32\drivers\sptd.sys
2008-12-23 00:18 . 2008-12-23 00:18 <REP> d-------- c:\program files\BitTorrent Acceleration Patch
2008-12-23 00:02 . 2008-12-23 08:34 <REP> d-------- c:\documents and settings\Benko\Application Data\InfraRecorder
2008-12-22 15:03 . 2008-12-22 15:03 268 --ah----- C:\sqmdata02.sqm
2008-12-22 15:03 . 2008-12-22 15:03 244 --ah----- C:\sqmnoopt02.sqm
2008-12-22 10:50 . 2008-12-22 10:50 268 --ah----- C:\sqmdata01.sqm
2008-12-22 10:50 . 2008-12-22 10:50 244 --ah----- C:\sqmnoopt01.sqm
2008-12-21 23:55 . 2008-12-21 23:55 268 --ah----- C:\sqmdata00.sqm
2008-12-21 23:55 . 2008-12-21 23:55 244 --ah----- C:\sqmnoopt00.sqm
2008-12-16 06:35 . 2008-12-16 06:35 <REP> dr-h----- c:\documents and settings\Benko\Application Data\SecuROM
2008-12-16 06:35 . 2008-12-16 06:35 107,888 --a------ c:\windows\system32\CmdLineExt.dll
2008-12-16 06:32 . 2008-12-16 06:34 <REP> d--h----- c:\program files\Zero G Registry
2008-12-16 06:32 . 2008-12-16 06:32 <REP> d--h----- c:\documents and settings\Benko\InstallAnywhere
2008-12-14 21:40 . 2008-12-14 21:40 <REP> d-------- c:\documents and settings\Benko\Application Data\OpenOffice.org
2008-12-14 21:12 . 2008-12-14 21:12 <REP> d-------- c:\documents and settings\Benko\Application Data\Apple Computer
2008-12-14 21:12 . 2008-04-17 13:12 107,368 --a------ c:\windows\system32\GEARAspi.dll
2008-12-14 21:12 . 2008-04-17 13:12 15,464 --a------ c:\windows\system32\drivers\GEARAspiWDM.sys
2008-12-14 21:11 . 2008-12-14 21:12 <REP> d-------- c:\program files\iTunes
2008-12-14 21:11 . 2008-12-14 21:11 <REP> d-------- c:\program files\iPod
2008-12-14 21:11 . 2008-12-14 21:11 <REP> d-------- c:\program files\Bonjour
2008-12-14 21:11 . 2008-12-14 21:12 <REP> d-------- c:\documents and settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-12-14 21:10 . 2008-12-14 21:11 <REP> d-------- c:\program files\QuickTime
2008-12-14 21:10 . 2008-12-14 21:10 <REP> d-------- c:\program files\Apple Software Update
2008-12-14 21:10 . 2008-12-14 21:11 <REP> d-------- c:\documents and settings\All Users\Application Data\Apple Computer
2008-12-14 21:09 . 2008-12-14 21:11 <REP> d-------- c:\program files\Fichiers communs\Apple
2008-12-14 21:09 . 2008-12-14 21:09 <REP> d-------- c:\documents and settings\All Users\Application Data\Apple
2008-12-10 12:31 . 2008-12-10 12:31 410,984 --a------ c:\windows\system32\deploytk.dll
2008-12-08 22:02 . 2008-12-08 22:02 <REP> d-------- c:\program files\JRE
2008-12-08 22:01 . 2008-12-08 22:02 <REP> d-------- c:\program files\OpenOffice.org 3
2008-12-08 22:01 . 2008-12-10 12:31 73,728 --a------ c:\windows\system32\javacpl.cpl
2008-12-08 22:00 . 2008-12-08 22:01 <REP> d-------- c:\program files\Java
2008-12-08 22:00 . 2008-12-08 22:00 <REP> d-------- c:\program files\Fichiers communs\Java
2008-12-08 21:15 . 2008-12-08 21:15 <REP> d-------- c:\documents and settings\Benko\Application Data\AdobeUM
2008-12-08 21:15 . 2008-12-08 21:15 <REP> d-------- c:\documents and settings\Benko\Application Data\AdobeAUM
2008-12-08 17:15 . 2008-12-08 17:17 1,397 -rah----- c:\windows\EPMBatch.ept
2008-12-08 12:40 . 2008-12-08 12:42 <REP> d-------- c:\windows\system32\NtmsData
2008-12-08 09:20 . 2008-12-08 09:20 <REP> d-------- c:\program files\EASEUS
2008-12-08 09:03 . 2008-12-08 09:03 114,048 --a------ c:\windows\system32\drivers\snapman.sys
2008-12-07 19:41 . 2008-12-07 19:41 <REP> d---s---- c:\documents and settings\Benko\UserData
2008-12-07 18:02 . 2008-12-07 18:02 <REP> d-------- c:\program files\Alwil Software
2008-12-07 14:01 . 2008-12-14 01:55 <REP> d-------- c:\documents and settings\Benko\Contacts
2008-12-07 14:00 . 2008-12-07 14:00 <REP> d-------- c:\program files\MSN Messenger
2008-12-06 07:59 . 2008-12-08 20:28 <REP> d-------- c:\program files\Fichiers communs\Adobe
2008-12-06 07:51 . 2008-12-06 07:51 <REP> d-------- c:\program files\Filehunter
2008-12-06 07:51 . 2007-08-01 08:29 7,101,440 --a------ c:\windows\system32\pdfkit.dll
2008-12-06 07:51 . 2007-09-11 21:50 143,360 --a------ c:\windows\system32\PDFSplitMerge.dll
2008-12-05 23:04 . 2008-12-13 21:16 <REP> d-------- c:\documents and settings\Benko\Application Data\dvdcss
2008-12-05 23:03 . 2008-12-05 23:03 <REP> d-------- c:\documents and settings\Benko\Application Data\vlc
2008-12-05 23:02 . 2008-12-05 23:02 <REP> d-------- c:\program files\VideoLAN
2008-12-05 22:04 . 2008-12-05 22:04 <REP> d-------- c:\program files\Microsoft.NET
2008-12-05 21:11 . 2008-12-05 21:11 0 --a------ c:\windows\nsreg.dat
2008-12-05 21:05 . 2008-12-08 17:31 <REP> d-------- c:\windows\SHELLNEW
2008-12-05 21:05 . 2003-06-18 17:31 17,920 --a------ c:\windows\system32\mdimon.dll
2008-12-05 21:05 . 2008-12-05 22:05 497 --a------ c:\windows\ODBC.INI
2008-12-05 21:04 . 2008-12-05 21:04 <REP> d-------- c:\program files\Microsoft Works
2008-12-05 21:02 . 2008-12-05 21:02 <REP> dr-h----- C:\MSOCache
2008-12-05 19:18 . 2008-12-24 00:37 <REP> d-------- c:\program files\DNA
2008-12-05 19:18 . 2008-12-05 19:18 <REP> d-------- c:\program files\BitTorrent
2008-12-05 19:18 . 2008-12-24 00:37 <REP> d-------- c:\documents and settings\Benko\Application Data\DNA
2008-12-05 19:18 . 2007-12-23 22:37 <REP> d-------- c:\documents and settings\Benko\Application Data\BitTorrent
2008-12-05 17:00 . 2008-12-05 17:00 <REP> d-------- c:\documents and settings\All Users\Application Data\nView_Profiles
2008-12-03 13:13 . 2008-12-03 13:13 <REP> d-------- c:\windows\system32\config\systemprofile\Application Data\Intel
2008-12-03 13:13 . 2008-12-03 13:13 <REP> d-------- c:\documents and settings\Benko\Application Data\Intel
2008-12-03 13:13 . 2008-12-03 13:13 21,275 --a------ c:\windows\system32\drivers\AegisP.sys
2008-12-03 13:12 . 2008-12-14 21:12 <REP> d----c--- c:\windows\system32\DRVSTORE
2008-12-03 13:12 . 2008-12-03 13:12 <REP> d-------- c:\documents and settings\All Users\Application Data\Intel
2008-12-03 13:05 . 2005-11-11 20:40 667,648 --a------ c:\windows\system32\BCMLogon.dll
2008-12-03 12:46 . 2008-12-03 12:46 <REP> d-------- c:\windows\system32\Lang
2008-12-03 12:46 . 2008-12-03 12:46 940,794 --a------ c:\windows\system32\LoopyMusic.wav
2008-12-03 12:46 . 2008-12-03 12:46 146,650 --a------ c:\windows\system32\BuzzingBee.wav
2008-12-03 12:44 . 2008-12-03 12:46 <REP> d-------- c:\windows\nview
2008-12-03 12:44 . 2006-06-12 16:11 208,896 --a------ c:\windows\system32\nvudisp.exe
2008-12-03 12:44 . 2008-12-24 00:37 51,048 --a------ c:\windows\system32\nvapps.xml
2008-12-03 12:44 . 2006-06-12 16:11 16,960 --a------ c:\windows\system32\nvdisp.nvu
2008-12-03 12:42 . 2008-12-03 13:12 <REP> d-------- c:\program files\Intel
2008-12-03 12:41 . 2008-12-03 12:41 <REP> d-------- c:\program files\Realtek
2008-12-03 12:37 . 2008-12-03 12:37 <REP> d-------- c:\documents and settings\All Users\Application Data\WinZip
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-23 23:37 1,893 ----a-w c:\windows\bcmwltrytmp.reg
2008-12-22 23:26 --------- d--h--w c:\program files\InstallShield Installation Information
2008-12-03 18:52 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-03 18:52 15,504 ----a-w c:\windows\system32\drivers\mbam.sys
2008-12-03 12:05 --------- d-----w c:\program files\Broadcom
2008-12-03 11:41 --------- d-----w c:\program files\Fichiers communs\InstallShield
2008-11-27 07:51 225,280 ----a-w c:\windows\system32\BootMan.exe
2008-11-26 14:58 472,064 ----a-w c:\windows\system32\NTFSFormat.dll
2008-11-26 14:55 65,536 ----a-w c:\windows\system32\FatCopy.dll
2008-11-26 14:54 17,920 ----a-w c:\windows\system32\SectorCopy.dll
2008-11-26 14:54 139,776 ----a-w c:\windows\system32\NTFSCopy.dll
2008-11-26 14:52 86,016 ----a-w c:\windows\system32\ResizeNTFS.dll
2008-11-26 14:51 93,184 ----a-w c:\windows\system32\Partition.dll
2008-11-26 14:51 61,952 ----a-w c:\windows\system32\FatResizeMove.dll
2008-11-26 14:51 45,568 ----a-w c:\windows\system32\FileSystemCheck.dll
2008-11-26 14:50 180,736 ----a-w c:\windows\system32\DeviceManager.dll
2008-11-26 14:49 86,528 ----a-w c:\windows\system32\NTFSLib.dll
2008-11-26 14:49 31,744 ----a-w c:\windows\system32\FatLib.dll
2008-11-26 14:49 22,016 ----a-w c:\windows\system32\FatFormat.dll
2008-11-26 14:48 68,096 ----a-w c:\windows\system32\Device.dll
2008-11-26 14:48 6,656 ----a-w c:\windows\system32\CallbackOperator.dll
2008-11-26 14:48 24,576 ----a-w c:\windows\system32\NTFSFileSystemAnalyser.dll
2008-11-26 14:48 21,504 ----a-w c:\windows\system32\Fixup.dll
2008-11-26 14:48 14,848 ----a-w c:\windows\system32\FileSystemAnalyser.dll
2008-11-26 14:48 10,752 ----a-w c:\windows\system32\DeviceAdapter.dll
2008-11-26 14:47 25,088 ----a-w c:\windows\system32\FATFileSystemAnalyser.dll
2008-11-25 16:18 86,408 ----a-w c:\windows\system32\setupempdrv03.exe
2008-11-25 16:18 8,704 ----a-w c:\windows\system32\epmntdrv.sys
2008-11-25 16:18 3,072 ----a-w c:\windows\system32\EuGdiDrv.sys
2008-11-25 16:18 14,848 ----a-w c:\windows\system32\EuEpmGdi.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"BitTorrent DNA"="c:\program files\DNA\btdna.exe" [2008-12-16 342848]
"MsnMsgr"="c:\program files\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352]
"AlcoholAutomount"="c:\documents and settings\Benko\Mes documents\Alcohol 120\axcmd.exe" [2008-11-23 203720]
"DAEMON Tools Lite"="h:\daemon tools lite\daemon.exe" [2008-12-10 216520]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UserFaultCheck"="c:\windows\system32\dumprep 0 -u" [X]
"AzMixerSel"="c:\program files\Realtek\InstallShield\AzMixerSel.exe" [2006-08-16 53248]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-06-12 7577600]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-06-12 86016]
"Broadcom Wireless Manager UI"="c:\windows\system32\WLTRAY.exe" [2005-11-11 1236992]
"IntelZeroConfig"="c:\program files\Intel\Wireless\bin\ZCfgSvc.exe" [2006-04-14 667718]
"IntelWireless"="c:\program files\Intel\Wireless\Bin\ifrmewrk.exe" [2006-04-14 602182]
"EOUApp"="c:\program files\Intel\Wireless\Bin\EOUWiz.exe" [2006-04-14 569413]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-11-26 81000]
"SunJavaUpdateSched"="h:\bin\jusched.exe" [2008-12-10 136600]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-11-04 413696]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-11-20 290088]
"RTHDCPL"="RTHDCPL.EXE" [2006-08-16 c:\windows\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-08-16 c:\windows\SkyTel.exe]
"nwiz"="nwiz.exe" [2006-06-12 c:\windows\system32\nwiz.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]
c:\documents and settings\Benko\Menu D‚marrer\Programmes\D‚marrage\
BitTorrent Acceleration Patch.lnk - h:\bittorrent acceleration patch\BitTorrent Acceleration Patch.exe [2008-12-08 407552]
OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2008-09-12 384000]
c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2008-12-08 110592]
WinZip Quick Pick.lnk - c:\program files\WinZip\WZQKPICK.EXE [2008-10-08 394856]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=wzhhpw.dll gyvbmb.dll obxlbf.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati2fmxx.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati3scxx.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati7enxx.sys]
@="Driver"
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\DNA\\btdna.exe"=
"c:\\Program Files\\BitTorrent\\bittorrent.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"c:\\Program Files\\MSN Messenger\\livecall.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"h:\\fm.exe"=
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-12-07 111184]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2008-12-07 20560]
S0 ati2fmxx;ati2fmxx;c:\windows\system32\Drivers\ati2fmxx.sys []
S0 ati3scxx;ati3scxx;c:\windows\system32\Drivers\ati3scxx.sys []
S0 ati7enxx;ati7enxx;c:\windows\system32\Drivers\ati7enxx.sys []
S3 epmntdrv;epmntdrv;\??\c:\windows\system32\epmntdrv.sys [2008-12-08 8704]
S3 EuGdiDrv;EuGdiDrv;\??\c:\windows\system32\EuGdiDrv.sys [2008-12-08 3072]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{26cb3e9b-d0c7-11dd-947d-0018de2669e4}]
\Shell\AutoRun\command - F:\autorun.exe
.
Contenu du dossier 'Tâches planifiées'
2008-12-15 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
2007-12-23 c:\windows\Tasks\xyktojsl.job
- c:\windows\system32\rundll32.exe [2004-08-04 01:55]
.
- - - - ORPHELINS SUPPRIMES - - - -
BHO-{9ce2b19e-c9f1-495a-a575-0a9cbb0ada0d} - c:\windows\system32\xxyvwWnk.dll
HKCU-Run-rs32net - c:\windows\System32\rs32net.exe
HKLM-Run-BroadcomWireless - c:\program files\Broadcom\Wireless\Utility\WlanUtil.exe
HKLM-Run-Easy PDF Creator - c:\program files\Easy PDF Creator\EasyPDFCreator.exe
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath -
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-24 00:37:16
Windows 5.1.2600 Service Pack 2 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(700)
c:\windows\System32\BCMLogon.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Intel\Wireless\Bin\EvtEng.exe
c:\program files\Intel\Wireless\Bin\S24EvMon.exe
c:\windows\system32\WLTRYSVC.EXE
c:\windows\system32\BCMWLTRY.EXE
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
h:\bin\jqs.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\program files\Intel\Wireless\Bin\RegSrvc.exe
c:\documents and settings\Benko\Mes documents\Alcohol 120\StarWind\StarWindServiceAE.exe
c:\windows\system32\dumprep.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
c:\program files\iPod\bin\iPodService.exe
c:\program files\OpenOffice.org 3\program\soffice.exe
c:\program files\OpenOffice.org 3\program\soffice.bin
c:\progra~1\Intel\Wireless\Bin\Dot1XCfg.exe
c:\docume~1\Benko\LOCALS~1\temp\RtkBtMnt.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\dwwin.exe
c:\windows\system32\wscntfy.exe
c:\program files\Alwil Software\Avast4\Setup\avast.setup
.
**************************************************************************
.
Heure de fin: 2008-12-24 0:39:04 - La machine a redémarré
ComboFix-quarantined-files.txt 2008-12-23 23:39:01
Avant-CF: 3 774 795 776 octets libres
Après-CF: 3,755,298,816 octets libres
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect
299
Que dois je faire maintenant?
tout s'est passé comme tu l'avais décrit;
peut etre une chose à noter; combofix m'a signalé que je n'avais plus de console de restauration windows et m'a invité fortement a la remettre en place en suivant ses indications (ce que j'ai fait).
Au redémarrage de windows je peux voir qu'IE est réapparu et que lorsque je viens de me connecter pour envoyer ce post internet est aussi rapide quà la normale; voila le rapport de combofix;
ComboFix 08-12-23.01 - Benko 2008-12-24 0:32:40.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1022.447 [GMT 1:00]
Lancé depuis: c:\documents and settings\Benko\Bureau\ComboFix.exe
* Un nouveau point de restauration a été créé
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\Benko\Application Data\gadcom
c:\documents and settings\Benko\Application Data\gadcom\gadcom.exe
c:\windows\system32\cbXPHwtQ.dll
c:\windows\system32\drivers\870c9e9c.sys
c:\windows\system32\ebekjiij.ini
c:\windows\system32\gbluilfl.dll
c:\windows\system32\geBSkLFu.dll
c:\windows\system32\gyvbmb.dll
c:\windows\system32\jiijkebe.dll
c:\windows\system32\jkse73hedfdgf.dll
c:\windows\system32\knWwvyxx.ini
c:\windows\system32\knWwvyxx.ini2
c:\windows\system32\kuwehvni.dll
c:\windows\system32\lfliulbg.ini
c:\windows\system32\obxlbf.dll
c:\windows\system32\owwadajo.dll
c:\windows\system32\pdfmont.dll
c:\windows\system32\rs32net.exe
c:\windows\system32\TDSSosvd.dat
c:\windows\system32\TDSStkdu.log
c:\windows\system32\wzhhpw.dll
c:\windows\system32\xxyvwWnk.dll
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_ISODRIVE
-------\Legacy_TDSSSERV.SYS
-------\Service_870c9e9c
-------\Service_ISODrive
-------\Service_TDSSserv.sys
((((((((((((((((((((((((((((( Fichiers créés du 2008-11-23 au 2008-12-23 ))))))))))))))))))))))))))))))))))))
.
2008-12-23 11:49 . 2007-12-23 12:49 2,707 --a------ c:\windows\system32\TDSSlxwp.dll
2008-12-23 11:49 . 2008-12-23 11:55 2 --a------ C:\873999271
2008-12-23 11:28 . 2008-12-23 11:30 <REP> d-------- c:\documents and settings\Benko\Application Data\Sports Interactive
2008-12-23 11:28 . 2008-12-23 11:51 <REP> d-------- c:\documents and settings\All Users\Application Data\Sports Interactive
2008-12-23 11:27 . 2008-03-05 15:56 3,786,760 --a------ c:\windows\system32\d3dx9_37.dll
2008-12-23 11:02 . 2008-12-23 11:02 <REP> d-------- c:\program files\Sports Interactive
2008-12-23 10:02 . 2008-12-23 10:02 <REP> d-------- c:\documents and settings\Benko\Application Data\DAEMON Tools Pro
2008-12-23 10:02 . 2008-12-23 10:02 <REP> d-------- c:\documents and settings\Benko\Application Data\DAEMON Tools
2008-12-23 10:01 . 2008-12-23 10:04 <REP> d-------- c:\documents and settings\Benko\Application Data\DAEMON Tools Lite
2008-12-23 10:01 . 2008-12-23 10:01 <REP> d-------- c:\documents and settings\All Users\Application Data\DAEMON Tools Lite
2008-12-23 09:24 . 2008-12-23 09:24 <REP> d-------- c:\program files\Fichiers communs\EZB Systems
2008-12-23 08:50 . 2008-12-23 08:50 717,296 --a------ c:\windows\system32\drivers\sptd.sys
2008-12-23 00:18 . 2008-12-23 00:18 <REP> d-------- c:\program files\BitTorrent Acceleration Patch
2008-12-23 00:02 . 2008-12-23 08:34 <REP> d-------- c:\documents and settings\Benko\Application Data\InfraRecorder
2008-12-22 15:03 . 2008-12-22 15:03 268 --ah----- C:\sqmdata02.sqm
2008-12-22 15:03 . 2008-12-22 15:03 244 --ah----- C:\sqmnoopt02.sqm
2008-12-22 10:50 . 2008-12-22 10:50 268 --ah----- C:\sqmdata01.sqm
2008-12-22 10:50 . 2008-12-22 10:50 244 --ah----- C:\sqmnoopt01.sqm
2008-12-21 23:55 . 2008-12-21 23:55 268 --ah----- C:\sqmdata00.sqm
2008-12-21 23:55 . 2008-12-21 23:55 244 --ah----- C:\sqmnoopt00.sqm
2008-12-16 06:35 . 2008-12-16 06:35 <REP> dr-h----- c:\documents and settings\Benko\Application Data\SecuROM
2008-12-16 06:35 . 2008-12-16 06:35 107,888 --a------ c:\windows\system32\CmdLineExt.dll
2008-12-16 06:32 . 2008-12-16 06:34 <REP> d--h----- c:\program files\Zero G Registry
2008-12-16 06:32 . 2008-12-16 06:32 <REP> d--h----- c:\documents and settings\Benko\InstallAnywhere
2008-12-14 21:40 . 2008-12-14 21:40 <REP> d-------- c:\documents and settings\Benko\Application Data\OpenOffice.org
2008-12-14 21:12 . 2008-12-14 21:12 <REP> d-------- c:\documents and settings\Benko\Application Data\Apple Computer
2008-12-14 21:12 . 2008-04-17 13:12 107,368 --a------ c:\windows\system32\GEARAspi.dll
2008-12-14 21:12 . 2008-04-17 13:12 15,464 --a------ c:\windows\system32\drivers\GEARAspiWDM.sys
2008-12-14 21:11 . 2008-12-14 21:12 <REP> d-------- c:\program files\iTunes
2008-12-14 21:11 . 2008-12-14 21:11 <REP> d-------- c:\program files\iPod
2008-12-14 21:11 . 2008-12-14 21:11 <REP> d-------- c:\program files\Bonjour
2008-12-14 21:11 . 2008-12-14 21:12 <REP> d-------- c:\documents and settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-12-14 21:10 . 2008-12-14 21:11 <REP> d-------- c:\program files\QuickTime
2008-12-14 21:10 . 2008-12-14 21:10 <REP> d-------- c:\program files\Apple Software Update
2008-12-14 21:10 . 2008-12-14 21:11 <REP> d-------- c:\documents and settings\All Users\Application Data\Apple Computer
2008-12-14 21:09 . 2008-12-14 21:11 <REP> d-------- c:\program files\Fichiers communs\Apple
2008-12-14 21:09 . 2008-12-14 21:09 <REP> d-------- c:\documents and settings\All Users\Application Data\Apple
2008-12-10 12:31 . 2008-12-10 12:31 410,984 --a------ c:\windows\system32\deploytk.dll
2008-12-08 22:02 . 2008-12-08 22:02 <REP> d-------- c:\program files\JRE
2008-12-08 22:01 . 2008-12-08 22:02 <REP> d-------- c:\program files\OpenOffice.org 3
2008-12-08 22:01 . 2008-12-10 12:31 73,728 --a------ c:\windows\system32\javacpl.cpl
2008-12-08 22:00 . 2008-12-08 22:01 <REP> d-------- c:\program files\Java
2008-12-08 22:00 . 2008-12-08 22:00 <REP> d-------- c:\program files\Fichiers communs\Java
2008-12-08 21:15 . 2008-12-08 21:15 <REP> d-------- c:\documents and settings\Benko\Application Data\AdobeUM
2008-12-08 21:15 . 2008-12-08 21:15 <REP> d-------- c:\documents and settings\Benko\Application Data\AdobeAUM
2008-12-08 17:15 . 2008-12-08 17:17 1,397 -rah----- c:\windows\EPMBatch.ept
2008-12-08 12:40 . 2008-12-08 12:42 <REP> d-------- c:\windows\system32\NtmsData
2008-12-08 09:20 . 2008-12-08 09:20 <REP> d-------- c:\program files\EASEUS
2008-12-08 09:03 . 2008-12-08 09:03 114,048 --a------ c:\windows\system32\drivers\snapman.sys
2008-12-07 19:41 . 2008-12-07 19:41 <REP> d---s---- c:\documents and settings\Benko\UserData
2008-12-07 18:02 . 2008-12-07 18:02 <REP> d-------- c:\program files\Alwil Software
2008-12-07 14:01 . 2008-12-14 01:55 <REP> d-------- c:\documents and settings\Benko\Contacts
2008-12-07 14:00 . 2008-12-07 14:00 <REP> d-------- c:\program files\MSN Messenger
2008-12-06 07:59 . 2008-12-08 20:28 <REP> d-------- c:\program files\Fichiers communs\Adobe
2008-12-06 07:51 . 2008-12-06 07:51 <REP> d-------- c:\program files\Filehunter
2008-12-06 07:51 . 2007-08-01 08:29 7,101,440 --a------ c:\windows\system32\pdfkit.dll
2008-12-06 07:51 . 2007-09-11 21:50 143,360 --a------ c:\windows\system32\PDFSplitMerge.dll
2008-12-05 23:04 . 2008-12-13 21:16 <REP> d-------- c:\documents and settings\Benko\Application Data\dvdcss
2008-12-05 23:03 . 2008-12-05 23:03 <REP> d-------- c:\documents and settings\Benko\Application Data\vlc
2008-12-05 23:02 . 2008-12-05 23:02 <REP> d-------- c:\program files\VideoLAN
2008-12-05 22:04 . 2008-12-05 22:04 <REP> d-------- c:\program files\Microsoft.NET
2008-12-05 21:11 . 2008-12-05 21:11 0 --a------ c:\windows\nsreg.dat
2008-12-05 21:05 . 2008-12-08 17:31 <REP> d-------- c:\windows\SHELLNEW
2008-12-05 21:05 . 2003-06-18 17:31 17,920 --a------ c:\windows\system32\mdimon.dll
2008-12-05 21:05 . 2008-12-05 22:05 497 --a------ c:\windows\ODBC.INI
2008-12-05 21:04 . 2008-12-05 21:04 <REP> d-------- c:\program files\Microsoft Works
2008-12-05 21:02 . 2008-12-05 21:02 <REP> dr-h----- C:\MSOCache
2008-12-05 19:18 . 2008-12-24 00:37 <REP> d-------- c:\program files\DNA
2008-12-05 19:18 . 2008-12-05 19:18 <REP> d-------- c:\program files\BitTorrent
2008-12-05 19:18 . 2008-12-24 00:37 <REP> d-------- c:\documents and settings\Benko\Application Data\DNA
2008-12-05 19:18 . 2007-12-23 22:37 <REP> d-------- c:\documents and settings\Benko\Application Data\BitTorrent
2008-12-05 17:00 . 2008-12-05 17:00 <REP> d-------- c:\documents and settings\All Users\Application Data\nView_Profiles
2008-12-03 13:13 . 2008-12-03 13:13 <REP> d-------- c:\windows\system32\config\systemprofile\Application Data\Intel
2008-12-03 13:13 . 2008-12-03 13:13 <REP> d-------- c:\documents and settings\Benko\Application Data\Intel
2008-12-03 13:13 . 2008-12-03 13:13 21,275 --a------ c:\windows\system32\drivers\AegisP.sys
2008-12-03 13:12 . 2008-12-14 21:12 <REP> d----c--- c:\windows\system32\DRVSTORE
2008-12-03 13:12 . 2008-12-03 13:12 <REP> d-------- c:\documents and settings\All Users\Application Data\Intel
2008-12-03 13:05 . 2005-11-11 20:40 667,648 --a------ c:\windows\system32\BCMLogon.dll
2008-12-03 12:46 . 2008-12-03 12:46 <REP> d-------- c:\windows\system32\Lang
2008-12-03 12:46 . 2008-12-03 12:46 940,794 --a------ c:\windows\system32\LoopyMusic.wav
2008-12-03 12:46 . 2008-12-03 12:46 146,650 --a------ c:\windows\system32\BuzzingBee.wav
2008-12-03 12:44 . 2008-12-03 12:46 <REP> d-------- c:\windows\nview
2008-12-03 12:44 . 2006-06-12 16:11 208,896 --a------ c:\windows\system32\nvudisp.exe
2008-12-03 12:44 . 2008-12-24 00:37 51,048 --a------ c:\windows\system32\nvapps.xml
2008-12-03 12:44 . 2006-06-12 16:11 16,960 --a------ c:\windows\system32\nvdisp.nvu
2008-12-03 12:42 . 2008-12-03 13:12 <REP> d-------- c:\program files\Intel
2008-12-03 12:41 . 2008-12-03 12:41 <REP> d-------- c:\program files\Realtek
2008-12-03 12:37 . 2008-12-03 12:37 <REP> d-------- c:\documents and settings\All Users\Application Data\WinZip
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-23 23:37 1,893 ----a-w c:\windows\bcmwltrytmp.reg
2008-12-22 23:26 --------- d--h--w c:\program files\InstallShield Installation Information
2008-12-03 18:52 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-03 18:52 15,504 ----a-w c:\windows\system32\drivers\mbam.sys
2008-12-03 12:05 --------- d-----w c:\program files\Broadcom
2008-12-03 11:41 --------- d-----w c:\program files\Fichiers communs\InstallShield
2008-11-27 07:51 225,280 ----a-w c:\windows\system32\BootMan.exe
2008-11-26 14:58 472,064 ----a-w c:\windows\system32\NTFSFormat.dll
2008-11-26 14:55 65,536 ----a-w c:\windows\system32\FatCopy.dll
2008-11-26 14:54 17,920 ----a-w c:\windows\system32\SectorCopy.dll
2008-11-26 14:54 139,776 ----a-w c:\windows\system32\NTFSCopy.dll
2008-11-26 14:52 86,016 ----a-w c:\windows\system32\ResizeNTFS.dll
2008-11-26 14:51 93,184 ----a-w c:\windows\system32\Partition.dll
2008-11-26 14:51 61,952 ----a-w c:\windows\system32\FatResizeMove.dll
2008-11-26 14:51 45,568 ----a-w c:\windows\system32\FileSystemCheck.dll
2008-11-26 14:50 180,736 ----a-w c:\windows\system32\DeviceManager.dll
2008-11-26 14:49 86,528 ----a-w c:\windows\system32\NTFSLib.dll
2008-11-26 14:49 31,744 ----a-w c:\windows\system32\FatLib.dll
2008-11-26 14:49 22,016 ----a-w c:\windows\system32\FatFormat.dll
2008-11-26 14:48 68,096 ----a-w c:\windows\system32\Device.dll
2008-11-26 14:48 6,656 ----a-w c:\windows\system32\CallbackOperator.dll
2008-11-26 14:48 24,576 ----a-w c:\windows\system32\NTFSFileSystemAnalyser.dll
2008-11-26 14:48 21,504 ----a-w c:\windows\system32\Fixup.dll
2008-11-26 14:48 14,848 ----a-w c:\windows\system32\FileSystemAnalyser.dll
2008-11-26 14:48 10,752 ----a-w c:\windows\system32\DeviceAdapter.dll
2008-11-26 14:47 25,088 ----a-w c:\windows\system32\FATFileSystemAnalyser.dll
2008-11-25 16:18 86,408 ----a-w c:\windows\system32\setupempdrv03.exe
2008-11-25 16:18 8,704 ----a-w c:\windows\system32\epmntdrv.sys
2008-11-25 16:18 3,072 ----a-w c:\windows\system32\EuGdiDrv.sys
2008-11-25 16:18 14,848 ----a-w c:\windows\system32\EuEpmGdi.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"BitTorrent DNA"="c:\program files\DNA\btdna.exe" [2008-12-16 342848]
"MsnMsgr"="c:\program files\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352]
"AlcoholAutomount"="c:\documents and settings\Benko\Mes documents\Alcohol 120\axcmd.exe" [2008-11-23 203720]
"DAEMON Tools Lite"="h:\daemon tools lite\daemon.exe" [2008-12-10 216520]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UserFaultCheck"="c:\windows\system32\dumprep 0 -u" [X]
"AzMixerSel"="c:\program files\Realtek\InstallShield\AzMixerSel.exe" [2006-08-16 53248]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-06-12 7577600]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-06-12 86016]
"Broadcom Wireless Manager UI"="c:\windows\system32\WLTRAY.exe" [2005-11-11 1236992]
"IntelZeroConfig"="c:\program files\Intel\Wireless\bin\ZCfgSvc.exe" [2006-04-14 667718]
"IntelWireless"="c:\program files\Intel\Wireless\Bin\ifrmewrk.exe" [2006-04-14 602182]
"EOUApp"="c:\program files\Intel\Wireless\Bin\EOUWiz.exe" [2006-04-14 569413]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-11-26 81000]
"SunJavaUpdateSched"="h:\bin\jusched.exe" [2008-12-10 136600]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-11-04 413696]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-11-20 290088]
"RTHDCPL"="RTHDCPL.EXE" [2006-08-16 c:\windows\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-08-16 c:\windows\SkyTel.exe]
"nwiz"="nwiz.exe" [2006-06-12 c:\windows\system32\nwiz.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]
c:\documents and settings\Benko\Menu D‚marrer\Programmes\D‚marrage\
BitTorrent Acceleration Patch.lnk - h:\bittorrent acceleration patch\BitTorrent Acceleration Patch.exe [2008-12-08 407552]
OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2008-09-12 384000]
c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2008-12-08 110592]
WinZip Quick Pick.lnk - c:\program files\WinZip\WZQKPICK.EXE [2008-10-08 394856]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=wzhhpw.dll gyvbmb.dll obxlbf.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati2fmxx.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati3scxx.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati7enxx.sys]
@="Driver"
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\DNA\\btdna.exe"=
"c:\\Program Files\\BitTorrent\\bittorrent.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"c:\\Program Files\\MSN Messenger\\livecall.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"h:\\fm.exe"=
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-12-07 111184]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2008-12-07 20560]
S0 ati2fmxx;ati2fmxx;c:\windows\system32\Drivers\ati2fmxx.sys []
S0 ati3scxx;ati3scxx;c:\windows\system32\Drivers\ati3scxx.sys []
S0 ati7enxx;ati7enxx;c:\windows\system32\Drivers\ati7enxx.sys []
S3 epmntdrv;epmntdrv;\??\c:\windows\system32\epmntdrv.sys [2008-12-08 8704]
S3 EuGdiDrv;EuGdiDrv;\??\c:\windows\system32\EuGdiDrv.sys [2008-12-08 3072]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{26cb3e9b-d0c7-11dd-947d-0018de2669e4}]
\Shell\AutoRun\command - F:\autorun.exe
.
Contenu du dossier 'Tâches planifiées'
2008-12-15 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
2007-12-23 c:\windows\Tasks\xyktojsl.job
- c:\windows\system32\rundll32.exe [2004-08-04 01:55]
.
- - - - ORPHELINS SUPPRIMES - - - -
BHO-{9ce2b19e-c9f1-495a-a575-0a9cbb0ada0d} - c:\windows\system32\xxyvwWnk.dll
HKCU-Run-rs32net - c:\windows\System32\rs32net.exe
HKLM-Run-BroadcomWireless - c:\program files\Broadcom\Wireless\Utility\WlanUtil.exe
HKLM-Run-Easy PDF Creator - c:\program files\Easy PDF Creator\EasyPDFCreator.exe
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath -
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-24 00:37:16
Windows 5.1.2600 Service Pack 2 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(700)
c:\windows\System32\BCMLogon.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Intel\Wireless\Bin\EvtEng.exe
c:\program files\Intel\Wireless\Bin\S24EvMon.exe
c:\windows\system32\WLTRYSVC.EXE
c:\windows\system32\BCMWLTRY.EXE
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
h:\bin\jqs.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\program files\Intel\Wireless\Bin\RegSrvc.exe
c:\documents and settings\Benko\Mes documents\Alcohol 120\StarWind\StarWindServiceAE.exe
c:\windows\system32\dumprep.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
c:\program files\iPod\bin\iPodService.exe
c:\program files\OpenOffice.org 3\program\soffice.exe
c:\program files\OpenOffice.org 3\program\soffice.bin
c:\progra~1\Intel\Wireless\Bin\Dot1XCfg.exe
c:\docume~1\Benko\LOCALS~1\temp\RtkBtMnt.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\dwwin.exe
c:\windows\system32\wscntfy.exe
c:\program files\Alwil Software\Avast4\Setup\avast.setup
.
**************************************************************************
.
Heure de fin: 2008-12-24 0:39:04 - La machine a redémarré
ComboFix-quarantined-files.txt 2008-12-23 23:39:01
Avant-CF: 3 774 795 776 octets libres
Après-CF: 3,755,298,816 octets libres
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect
299
Que dois je faire maintenant?
Copie le texte ci-dessous :
File::
c:\windows\system32\TDSSlxwp.dll
C:\sqmdata02.sqm
C:\sqmnoopt02.sqm
C:\sqmdata01.sqm
C:\sqmnoopt01.sqm
C:\sqmdata00.sqm
C:\sqmnoopt00.sqm
c:\windows\bcmwltrytmp.reg
c:\windows\Tasks\xyktojsl.job
Folder::
C:\873999271
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=""
Driver::
ati2fmxx
ati3scxx
ati7enxx
FileLook::
c:\docume~1\Benko\LOCALS~1\temp\RtkBtMnt.exe
Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt
Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ceci :
Cela va relancer Combofix,
Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Après redémarrage, poste le contenu du rapport Combofix.txt
File::
c:\windows\system32\TDSSlxwp.dll
C:\sqmdata02.sqm
C:\sqmnoopt02.sqm
C:\sqmdata01.sqm
C:\sqmnoopt01.sqm
C:\sqmdata00.sqm
C:\sqmnoopt00.sqm
c:\windows\bcmwltrytmp.reg
c:\windows\Tasks\xyktojsl.job
Folder::
C:\873999271
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=""
Driver::
ati2fmxx
ati3scxx
ati7enxx
FileLook::
c:\docume~1\Benko\LOCALS~1\temp\RtkBtMnt.exe
Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt
Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ceci :
Cela va relancer Combofix,
Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Après redémarrage, poste le contenu du rapport Combofix.txt
Voila le nouveau rapport de combofix;
ComboFix 08-12-23.01 - Benko 2008-12-24 0:57:03.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1022.581 [GMT 1:00]
Lancé depuis: c:\documents and settings\Benko\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Benko\Bureau\CFScript.txt
* Un nouveau point de restauration a été créé
FILE ::
C:\sqmdata00.sqm
C:\sqmdata01.sqm
C:\sqmdata02.sqm
C:\sqmnoopt00.sqm
C:\sqmnoopt01.sqm
C:\sqmnoopt02.sqm
c:\windows\bcmwltrytmp.reg
c:\windows\system32\TDSSlxwp.dll
c:\windows\Tasks\xyktojsl.job
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\873999271\
C:\sqmdata00.sqm
C:\sqmdata01.sqm
C:\sqmdata02.sqm
C:\sqmnoopt00.sqm
C:\sqmnoopt01.sqm
C:\sqmnoopt02.sqm
c:\windows\system32\TDSSlxwp.dll
c:\windows\Tasks\xyktojsl.job
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_ati2fmxx
-------\Service_ati2fmxx
-------\Service_ati3scxx
-------\Service_ati7enxx
((((((((((((((((((((((((((((( Fichiers créés du 2008-11-24 au 2008-12-24 ))))))))))))))))))))))))))))))))))))
.
2008-12-23 11:49 . 2008-12-23 11:55 2 --a------ C:\873999271
2008-12-23 11:28 . 2008-12-23 11:30 <REP> d-------- c:\documents and settings\Benko\Application Data\Sports Interactive
2008-12-23 11:28 . 2008-12-23 11:51 <REP> d-------- c:\documents and settings\All Users\Application Data\Sports Interactive
2008-12-23 11:27 . 2008-03-05 15:56 3,786,760 --a------ c:\windows\system32\d3dx9_37.dll
2008-12-23 11:02 . 2008-12-23 11:02 <REP> d-------- c:\program files\Sports Interactive
2008-12-23 10:02 . 2008-12-23 10:02 <REP> d-------- c:\documents and settings\Benko\Application Data\DAEMON Tools Pro
2008-12-23 10:02 . 2008-12-23 10:02 <REP> d-------- c:\documents and settings\Benko\Application Data\DAEMON Tools
2008-12-23 10:01 . 2008-12-23 10:04 <REP> d-------- c:\documents and settings\Benko\Application Data\DAEMON Tools Lite
2008-12-23 10:01 . 2008-12-23 10:01 <REP> d-------- c:\documents and settings\All Users\Application Data\DAEMON Tools Lite
2008-12-23 09:24 . 2008-12-23 09:24 <REP> d-------- c:\program files\Fichiers communs\EZB Systems
2008-12-23 08:50 . 2008-12-23 08:50 717,296 --a------ c:\windows\system32\drivers\sptd.sys
2008-12-23 00:18 . 2008-12-23 00:18 <REP> d-------- c:\program files\BitTorrent Acceleration Patch
2008-12-23 00:02 . 2008-12-23 08:34 <REP> d-------- c:\documents and settings\Benko\Application Data\InfraRecorder
2008-12-16 06:35 . 2008-12-16 06:35 <REP> dr-h----- c:\documents and settings\Benko\Application Data\SecuROM
2008-12-16 06:35 . 2008-12-16 06:35 107,888 --a------ c:\windows\system32\CmdLineExt.dll
2008-12-16 06:32 . 2008-12-16 06:34 <REP> d--h----- c:\program files\Zero G Registry
2008-12-16 06:32 . 2008-12-16 06:32 <REP> d--h----- c:\documents and settings\Benko\InstallAnywhere
2008-12-14 21:40 . 2008-12-14 21:40 <REP> d-------- c:\documents and settings\Benko\Application Data\OpenOffice.org
2008-12-14 21:12 . 2008-12-14 21:12 <REP> d-------- c:\documents and settings\Benko\Application Data\Apple Computer
2008-12-14 21:12 . 2008-04-17 13:12 107,368 --a------ c:\windows\system32\GEARAspi.dll
2008-12-14 21:12 . 2008-04-17 13:12 15,464 --a------ c:\windows\system32\drivers\GEARAspiWDM.sys
2008-12-14 21:11 . 2008-12-14 21:12 <REP> d-------- c:\program files\iTunes
2008-12-14 21:11 . 2008-12-14 21:11 <REP> d-------- c:\program files\iPod
2008-12-14 21:11 . 2008-12-14 21:11 <REP> d-------- c:\program files\Bonjour
2008-12-14 21:11 . 2008-12-14 21:12 <REP> d-------- c:\documents and settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-12-14 21:10 . 2008-12-14 21:11 <REP> d-------- c:\program files\QuickTime
2008-12-14 21:10 . 2008-12-14 21:10 <REP> d-------- c:\program files\Apple Software Update
2008-12-14 21:10 . 2008-12-14 21:11 <REP> d-------- c:\documents and settings\All Users\Application Data\Apple Computer
2008-12-14 21:09 . 2008-12-14 21:11 <REP> d-------- c:\program files\Fichiers communs\Apple
2008-12-14 21:09 . 2008-12-14 21:09 <REP> d-------- c:\documents and settings\All Users\Application Data\Apple
2008-12-10 12:31 . 2008-12-10 12:31 410,984 --a------ c:\windows\system32\deploytk.dll
2008-12-08 22:02 . 2008-12-08 22:02 <REP> d-------- c:\program files\JRE
2008-12-08 22:01 . 2008-12-08 22:02 <REP> d-------- c:\program files\OpenOffice.org 3
2008-12-08 22:01 . 2008-12-10 12:31 73,728 --a------ c:\windows\system32\javacpl.cpl
2008-12-08 22:00 . 2008-12-08 22:01 <REP> d-------- c:\program files\Java
2008-12-08 22:00 . 2008-12-08 22:00 <REP> d-------- c:\program files\Fichiers communs\Java
2008-12-08 21:15 . 2008-12-08 21:15 <REP> d-------- c:\documents and settings\Benko\Application Data\AdobeUM
2008-12-08 21:15 . 2008-12-08 21:15 <REP> d-------- c:\documents and settings\Benko\Application Data\AdobeAUM
2008-12-08 17:15 . 2008-12-08 17:17 1,397 -rah----- c:\windows\EPMBatch.ept
2008-12-08 12:40 . 2008-12-08 12:42 <REP> d-------- c:\windows\system32\NtmsData
2008-12-08 09:20 . 2008-12-08 09:20 <REP> d-------- c:\program files\EASEUS
2008-12-08 09:03 . 2008-12-08 09:03 114,048 --a------ c:\windows\system32\drivers\snapman.sys
2008-12-07 19:41 . 2008-12-07 19:41 <REP> d---s---- c:\documents and settings\Benko\UserData
2008-12-07 18:02 . 2008-12-07 18:02 <REP> d-------- c:\program files\Alwil Software
2008-12-07 14:01 . 2008-12-14 01:55 <REP> d-------- c:\documents and settings\Benko\Contacts
2008-12-07 14:00 . 2008-12-07 14:00 <REP> d-------- c:\program files\MSN Messenger
2008-12-06 07:59 . 2008-12-08 20:28 <REP> d-------- c:\program files\Fichiers communs\Adobe
2008-12-06 07:51 . 2008-12-06 07:51 <REP> d-------- c:\program files\Filehunter
2008-12-06 07:51 . 2007-08-01 08:29 7,101,440 --a------ c:\windows\system32\pdfkit.dll
2008-12-06 07:51 . 2007-09-11 21:50 143,360 --a------ c:\windows\system32\PDFSplitMerge.dll
2008-12-05 23:04 . 2008-12-13 21:16 <REP> d-------- c:\documents and settings\Benko\Application Data\dvdcss
2008-12-05 23:03 . 2008-12-05 23:03 <REP> d-------- c:\documents and settings\Benko\Application Data\vlc
2008-12-05 23:02 . 2008-12-05 23:02 <REP> d-------- c:\program files\VideoLAN
2008-12-05 22:04 . 2008-12-05 22:04 <REP> d-------- c:\program files\Microsoft.NET
2008-12-05 21:11 . 2008-12-05 21:11 0 --a------ c:\windows\nsreg.dat
2008-12-05 21:05 . 2008-12-08 17:31 <REP> d-------- c:\windows\SHELLNEW
2008-12-05 21:05 . 2003-06-18 17:31 17,920 --a------ c:\windows\system32\mdimon.dll
2008-12-05 21:05 . 2008-12-05 22:05 497 --a------ c:\windows\ODBC.INI
2008-12-05 21:04 . 2008-12-05 21:04 <REP> d-------- c:\program files\Microsoft Works
2008-12-05 21:02 . 2008-12-05 21:02 <REP> dr-h----- C:\MSOCache
2008-12-05 19:18 . 2008-12-24 01:01 <REP> d-------- c:\program files\DNA
2008-12-05 19:18 . 2008-12-05 19:18 <REP> d-------- c:\program files\BitTorrent
2008-12-05 19:18 . 2008-12-24 01:01 <REP> d-------- c:\documents and settings\Benko\Application Data\DNA
2008-12-05 19:18 . 2008-12-24 00:54 <REP> d-------- c:\documents and settings\Benko\Application Data\BitTorrent
2008-12-05 17:00 . 2008-12-05 17:00 <REP> d-------- c:\documents and settings\All Users\Application Data\nView_Profiles
2008-12-03 13:13 . 2008-12-03 13:13 <REP> d-------- c:\windows\system32\config\systemprofile\Application Data\Intel
2008-12-03 13:13 . 2008-12-03 13:13 <REP> d-------- c:\documents and settings\Benko\Application Data\Intel
2008-12-03 13:13 . 2008-12-03 13:13 21,275 --a------ c:\windows\system32\drivers\AegisP.sys
2008-12-03 13:12 . 2008-12-14 21:12 <REP> d----c--- c:\windows\system32\DRVSTORE
2008-12-03 13:12 . 2008-12-03 13:12 <REP> d-------- c:\documents and settings\All Users\Application Data\Intel
2008-12-03 13:05 . 2005-11-11 20:40 667,648 --a------ c:\windows\system32\BCMLogon.dll
2008-12-03 12:46 . 2008-12-03 12:46 <REP> d-------- c:\windows\system32\Lang
2008-12-03 12:46 . 2008-12-03 12:46 940,794 --a------ c:\windows\system32\LoopyMusic.wav
2008-12-03 12:46 . 2008-12-03 12:46 146,650 --a------ c:\windows\system32\BuzzingBee.wav
2008-12-03 12:44 . 2008-12-03 12:46 <REP> d-------- c:\windows\nview
2008-12-03 12:44 . 2006-06-12 16:11 208,896 --a------ c:\windows\system32\nvudisp.exe
2008-12-03 12:44 . 2008-12-24 01:01 51,048 --a------ c:\windows\system32\nvapps.xml
2008-12-03 12:44 . 2006-06-12 16:11 16,960 --a------ c:\windows\system32\nvdisp.nvu
2008-12-03 12:42 . 2008-12-03 13:12 <REP> d-------- c:\program files\Intel
2008-12-03 12:41 . 2008-12-03 12:41 <REP> d-------- c:\program files\Realtek
2008-12-03 12:37 . 2008-12-03 12:37 <REP> d-------- c:\documents and settings\All Users\Application Data\WinZip
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-22 23:26 --------- d--h--w c:\program files\InstallShield Installation Information
2008-12-03 18:52 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-03 18:52 15,504 ----a-w c:\windows\system32\drivers\mbam.sys
2008-12-03 12:05 --------- d-----w c:\program files\Broadcom
2008-12-03 11:41 --------- d-----w c:\program files\Fichiers communs\InstallShield
2008-11-27 07:51 225,280 ----a-w c:\windows\system32\BootMan.exe
2008-11-26 14:58 472,064 ----a-w c:\windows\system32\NTFSFormat.dll
2008-11-26 14:55 65,536 ----a-w c:\windows\system32\FatCopy.dll
2008-11-26 14:54 17,920 ----a-w c:\windows\system32\SectorCopy.dll
2008-11-26 14:54 139,776 ----a-w c:\windows\system32\NTFSCopy.dll
2008-11-26 14:52 86,016 ----a-w c:\windows\system32\ResizeNTFS.dll
2008-11-26 14:51 93,184 ----a-w c:\windows\system32\Partition.dll
2008-11-26 14:51 61,952 ----a-w c:\windows\system32\FatResizeMove.dll
2008-11-26 14:51 45,568 ----a-w c:\windows\system32\FileSystemCheck.dll
2008-11-26 14:50 180,736 ----a-w c:\windows\system32\DeviceManager.dll
2008-11-26 14:49 86,528 ----a-w c:\windows\system32\NTFSLib.dll
2008-11-26 14:49 31,744 ----a-w c:\windows\system32\FatLib.dll
2008-11-26 14:49 22,016 ----a-w c:\windows\system32\FatFormat.dll
2008-11-26 14:48 68,096 ----a-w c:\windows\system32\Device.dll
2008-11-26 14:48 6,656 ----a-w c:\windows\system32\CallbackOperator.dll
2008-11-26 14:48 24,576 ----a-w c:\windows\system32\NTFSFileSystemAnalyser.dll
2008-11-26 14:48 21,504 ----a-w c:\windows\system32\Fixup.dll
2008-11-26 14:48 14,848 ----a-w c:\windows\system32\FileSystemAnalyser.dll
2008-11-26 14:48 10,752 ----a-w c:\windows\system32\DeviceAdapter.dll
2008-11-26 14:47 25,088 ----a-w c:\windows\system32\FATFileSystemAnalyser.dll
2008-11-25 16:18 86,408 ----a-w c:\windows\system32\setupempdrv03.exe
2008-11-25 16:18 8,704 ----a-w c:\windows\system32\epmntdrv.sys
2008-11-25 16:18 3,072 ----a-w c:\windows\system32\EuGdiDrv.sys
2008-11-25 16:18 14,848 ----a-w c:\windows\system32\EuEpmGdi.dll
.
(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
---- c:\docume~1\Benko\LOCALS~1\temp\RtkBtMnt.exe ----
Company: Realtek Semiconductor Corp.
File Description: Realtek HD Audio Data Rerouter
File Version: 1.0.0.5
Product Name: Realtek HD Audio Data Rerouter
Copyright:
Original file name:
MD5: 7edaf6d5b928a4d81eb20d6f97c1225b
((((((((((((((((((((((((((((( snapshot@2008-12-24_ 0.38.36.70 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-12-24 00:01:08 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_284.dat
+ 2008-12-24 00:00:55 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_654.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"BitTorrent DNA"="c:\program files\DNA\btdna.exe" [2008-12-16 342848]
"MsnMsgr"="c:\program files\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352]
"AlcoholAutomount"="c:\documents and settings\Benko\Mes documents\Alcohol 120\axcmd.exe" [2008-11-23 203720]
"DAEMON Tools Lite"="h:\daemon tools lite\daemon.exe" [2008-12-10 216520]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AzMixerSel"="c:\program files\Realtek\InstallShield\AzMixerSel.exe" [2006-08-16 53248]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-06-12 7577600]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-06-12 86016]
"Broadcom Wireless Manager UI"="c:\windows\system32\WLTRAY.exe" [2005-11-11 1236992]
"IntelZeroConfig"="c:\program files\Intel\Wireless\bin\ZCfgSvc.exe" [2006-04-14 667718]
"IntelWireless"="c:\program files\Intel\Wireless\Bin\ifrmewrk.exe" [2006-04-14 602182]
"EOUApp"="c:\program files\Intel\Wireless\Bin\EOUWiz.exe" [2006-04-14 569413]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-11-26 81000]
"SunJavaUpdateSched"="h:\bin\jusched.exe" [2008-12-10 136600]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-11-04 413696]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-11-20 290088]
"RTHDCPL"="RTHDCPL.EXE" [2006-08-16 c:\windows\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-08-16 c:\windows\SkyTel.exe]
"nwiz"="nwiz.exe" [2006-06-12 c:\windows\system32\nwiz.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]
c:\documents and settings\Benko\Menu D‚marrer\Programmes\D‚marrage\
BitTorrent Acceleration Patch.lnk - h:\bittorrent acceleration patch\BitTorrent Acceleration Patch.exe [2008-12-08 407552]
OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2008-09-12 384000]
c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2008-12-08 110592]
WinZip Quick Pick.lnk - c:\program files\WinZip\WZQKPICK.EXE [2008-10-08 394856]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\DNA\\btdna.exe"=
"c:\\Program Files\\BitTorrent\\bittorrent.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"c:\\Program Files\\MSN Messenger\\livecall.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"h:\\fm.exe"=
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-12-07 111184]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2008-12-07 20560]
S3 epmntdrv;epmntdrv;\??\c:\windows\system32\epmntdrv.sys [2008-12-08 8704]
S3 EuGdiDrv;EuGdiDrv;\??\c:\windows\system32\EuGdiDrv.sys [2008-12-08 3072]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{26cb3e9b-d0c7-11dd-947d-0018de2669e4}]
\Shell\AutoRun\command - F:\autorun.exe
.
Contenu du dossier 'Tâches planifiées'
2008-12-15 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.
- - - - ORPHELINS SUPPRIMES - - - -
SafeBoot-ati2fmxx.sys
SafeBoot-ati3scxx.sys
SafeBoot-ati7enxx.sys
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Benko\Application Data\Mozilla\Firefox\Profiles\82v8dojn.default\
FF - plugin: h:\bin\new_plugin\npdeploytk.dll
FF - plugin: h:\bin\new_plugin\npjp2.dll
[color=red]ATTENTION: FIREFOX POLICES IS IN FORCE /color
FF - user.js: yahoo.homepage.dontask - true.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-24 01:01:03
Windows 5.1.2600 Service Pack 2 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(700)
c:\windows\System32\BCMLogon.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Intel\Wireless\Bin\EvtEng.exe
c:\program files\Intel\Wireless\Bin\S24EvMon.exe
c:\windows\system32\WLTRYSVC.EXE
c:\windows\system32\BCMWLTRY.EXE
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
h:\bin\jqs.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\program files\Intel\Wireless\Bin\RegSrvc.exe
c:\documents and settings\Benko\Mes documents\Alcohol 120\StarWind\StarWindServiceAE.exe
c:\windows\system32\rundll32.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
c:\program files\iPod\bin\iPodService.exe
c:\program files\OpenOffice.org 3\program\soffice.exe
c:\program files\OpenOffice.org 3\program\soffice.bin
c:\docume~1\Benko\LOCALS~1\temp\RtkBtMnt.exe
c:\progra~1\Intel\Wireless\Bin\Dot1XCfg.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2008-12-24 1:02:55 - La machine a redémarré
ComboFix-quarantined-files.txt 2008-12-24 00:02:52
ComboFix2.txt 2008-12-23 23:39:05
Avant-CF: 3 808 608 256 octets libres
Après-CF: 3,800,965,120 octets libres
283
ComboFix 08-12-23.01 - Benko 2008-12-24 0:57:03.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1022.581 [GMT 1:00]
Lancé depuis: c:\documents and settings\Benko\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Benko\Bureau\CFScript.txt
* Un nouveau point de restauration a été créé
FILE ::
C:\sqmdata00.sqm
C:\sqmdata01.sqm
C:\sqmdata02.sqm
C:\sqmnoopt00.sqm
C:\sqmnoopt01.sqm
C:\sqmnoopt02.sqm
c:\windows\bcmwltrytmp.reg
c:\windows\system32\TDSSlxwp.dll
c:\windows\Tasks\xyktojsl.job
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\873999271\
C:\sqmdata00.sqm
C:\sqmdata01.sqm
C:\sqmdata02.sqm
C:\sqmnoopt00.sqm
C:\sqmnoopt01.sqm
C:\sqmnoopt02.sqm
c:\windows\system32\TDSSlxwp.dll
c:\windows\Tasks\xyktojsl.job
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_ati2fmxx
-------\Service_ati2fmxx
-------\Service_ati3scxx
-------\Service_ati7enxx
((((((((((((((((((((((((((((( Fichiers créés du 2008-11-24 au 2008-12-24 ))))))))))))))))))))))))))))))))))))
.
2008-12-23 11:49 . 2008-12-23 11:55 2 --a------ C:\873999271
2008-12-23 11:28 . 2008-12-23 11:30 <REP> d-------- c:\documents and settings\Benko\Application Data\Sports Interactive
2008-12-23 11:28 . 2008-12-23 11:51 <REP> d-------- c:\documents and settings\All Users\Application Data\Sports Interactive
2008-12-23 11:27 . 2008-03-05 15:56 3,786,760 --a------ c:\windows\system32\d3dx9_37.dll
2008-12-23 11:02 . 2008-12-23 11:02 <REP> d-------- c:\program files\Sports Interactive
2008-12-23 10:02 . 2008-12-23 10:02 <REP> d-------- c:\documents and settings\Benko\Application Data\DAEMON Tools Pro
2008-12-23 10:02 . 2008-12-23 10:02 <REP> d-------- c:\documents and settings\Benko\Application Data\DAEMON Tools
2008-12-23 10:01 . 2008-12-23 10:04 <REP> d-------- c:\documents and settings\Benko\Application Data\DAEMON Tools Lite
2008-12-23 10:01 . 2008-12-23 10:01 <REP> d-------- c:\documents and settings\All Users\Application Data\DAEMON Tools Lite
2008-12-23 09:24 . 2008-12-23 09:24 <REP> d-------- c:\program files\Fichiers communs\EZB Systems
2008-12-23 08:50 . 2008-12-23 08:50 717,296 --a------ c:\windows\system32\drivers\sptd.sys
2008-12-23 00:18 . 2008-12-23 00:18 <REP> d-------- c:\program files\BitTorrent Acceleration Patch
2008-12-23 00:02 . 2008-12-23 08:34 <REP> d-------- c:\documents and settings\Benko\Application Data\InfraRecorder
2008-12-16 06:35 . 2008-12-16 06:35 <REP> dr-h----- c:\documents and settings\Benko\Application Data\SecuROM
2008-12-16 06:35 . 2008-12-16 06:35 107,888 --a------ c:\windows\system32\CmdLineExt.dll
2008-12-16 06:32 . 2008-12-16 06:34 <REP> d--h----- c:\program files\Zero G Registry
2008-12-16 06:32 . 2008-12-16 06:32 <REP> d--h----- c:\documents and settings\Benko\InstallAnywhere
2008-12-14 21:40 . 2008-12-14 21:40 <REP> d-------- c:\documents and settings\Benko\Application Data\OpenOffice.org
2008-12-14 21:12 . 2008-12-14 21:12 <REP> d-------- c:\documents and settings\Benko\Application Data\Apple Computer
2008-12-14 21:12 . 2008-04-17 13:12 107,368 --a------ c:\windows\system32\GEARAspi.dll
2008-12-14 21:12 . 2008-04-17 13:12 15,464 --a------ c:\windows\system32\drivers\GEARAspiWDM.sys
2008-12-14 21:11 . 2008-12-14 21:12 <REP> d-------- c:\program files\iTunes
2008-12-14 21:11 . 2008-12-14 21:11 <REP> d-------- c:\program files\iPod
2008-12-14 21:11 . 2008-12-14 21:11 <REP> d-------- c:\program files\Bonjour
2008-12-14 21:11 . 2008-12-14 21:12 <REP> d-------- c:\documents and settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-12-14 21:10 . 2008-12-14 21:11 <REP> d-------- c:\program files\QuickTime
2008-12-14 21:10 . 2008-12-14 21:10 <REP> d-------- c:\program files\Apple Software Update
2008-12-14 21:10 . 2008-12-14 21:11 <REP> d-------- c:\documents and settings\All Users\Application Data\Apple Computer
2008-12-14 21:09 . 2008-12-14 21:11 <REP> d-------- c:\program files\Fichiers communs\Apple
2008-12-14 21:09 . 2008-12-14 21:09 <REP> d-------- c:\documents and settings\All Users\Application Data\Apple
2008-12-10 12:31 . 2008-12-10 12:31 410,984 --a------ c:\windows\system32\deploytk.dll
2008-12-08 22:02 . 2008-12-08 22:02 <REP> d-------- c:\program files\JRE
2008-12-08 22:01 . 2008-12-08 22:02 <REP> d-------- c:\program files\OpenOffice.org 3
2008-12-08 22:01 . 2008-12-10 12:31 73,728 --a------ c:\windows\system32\javacpl.cpl
2008-12-08 22:00 . 2008-12-08 22:01 <REP> d-------- c:\program files\Java
2008-12-08 22:00 . 2008-12-08 22:00 <REP> d-------- c:\program files\Fichiers communs\Java
2008-12-08 21:15 . 2008-12-08 21:15 <REP> d-------- c:\documents and settings\Benko\Application Data\AdobeUM
2008-12-08 21:15 . 2008-12-08 21:15 <REP> d-------- c:\documents and settings\Benko\Application Data\AdobeAUM
2008-12-08 17:15 . 2008-12-08 17:17 1,397 -rah----- c:\windows\EPMBatch.ept
2008-12-08 12:40 . 2008-12-08 12:42 <REP> d-------- c:\windows\system32\NtmsData
2008-12-08 09:20 . 2008-12-08 09:20 <REP> d-------- c:\program files\EASEUS
2008-12-08 09:03 . 2008-12-08 09:03 114,048 --a------ c:\windows\system32\drivers\snapman.sys
2008-12-07 19:41 . 2008-12-07 19:41 <REP> d---s---- c:\documents and settings\Benko\UserData
2008-12-07 18:02 . 2008-12-07 18:02 <REP> d-------- c:\program files\Alwil Software
2008-12-07 14:01 . 2008-12-14 01:55 <REP> d-------- c:\documents and settings\Benko\Contacts
2008-12-07 14:00 . 2008-12-07 14:00 <REP> d-------- c:\program files\MSN Messenger
2008-12-06 07:59 . 2008-12-08 20:28 <REP> d-------- c:\program files\Fichiers communs\Adobe
2008-12-06 07:51 . 2008-12-06 07:51 <REP> d-------- c:\program files\Filehunter
2008-12-06 07:51 . 2007-08-01 08:29 7,101,440 --a------ c:\windows\system32\pdfkit.dll
2008-12-06 07:51 . 2007-09-11 21:50 143,360 --a------ c:\windows\system32\PDFSplitMerge.dll
2008-12-05 23:04 . 2008-12-13 21:16 <REP> d-------- c:\documents and settings\Benko\Application Data\dvdcss
2008-12-05 23:03 . 2008-12-05 23:03 <REP> d-------- c:\documents and settings\Benko\Application Data\vlc
2008-12-05 23:02 . 2008-12-05 23:02 <REP> d-------- c:\program files\VideoLAN
2008-12-05 22:04 . 2008-12-05 22:04 <REP> d-------- c:\program files\Microsoft.NET
2008-12-05 21:11 . 2008-12-05 21:11 0 --a------ c:\windows\nsreg.dat
2008-12-05 21:05 . 2008-12-08 17:31 <REP> d-------- c:\windows\SHELLNEW
2008-12-05 21:05 . 2003-06-18 17:31 17,920 --a------ c:\windows\system32\mdimon.dll
2008-12-05 21:05 . 2008-12-05 22:05 497 --a------ c:\windows\ODBC.INI
2008-12-05 21:04 . 2008-12-05 21:04 <REP> d-------- c:\program files\Microsoft Works
2008-12-05 21:02 . 2008-12-05 21:02 <REP> dr-h----- C:\MSOCache
2008-12-05 19:18 . 2008-12-24 01:01 <REP> d-------- c:\program files\DNA
2008-12-05 19:18 . 2008-12-05 19:18 <REP> d-------- c:\program files\BitTorrent
2008-12-05 19:18 . 2008-12-24 01:01 <REP> d-------- c:\documents and settings\Benko\Application Data\DNA
2008-12-05 19:18 . 2008-12-24 00:54 <REP> d-------- c:\documents and settings\Benko\Application Data\BitTorrent
2008-12-05 17:00 . 2008-12-05 17:00 <REP> d-------- c:\documents and settings\All Users\Application Data\nView_Profiles
2008-12-03 13:13 . 2008-12-03 13:13 <REP> d-------- c:\windows\system32\config\systemprofile\Application Data\Intel
2008-12-03 13:13 . 2008-12-03 13:13 <REP> d-------- c:\documents and settings\Benko\Application Data\Intel
2008-12-03 13:13 . 2008-12-03 13:13 21,275 --a------ c:\windows\system32\drivers\AegisP.sys
2008-12-03 13:12 . 2008-12-14 21:12 <REP> d----c--- c:\windows\system32\DRVSTORE
2008-12-03 13:12 . 2008-12-03 13:12 <REP> d-------- c:\documents and settings\All Users\Application Data\Intel
2008-12-03 13:05 . 2005-11-11 20:40 667,648 --a------ c:\windows\system32\BCMLogon.dll
2008-12-03 12:46 . 2008-12-03 12:46 <REP> d-------- c:\windows\system32\Lang
2008-12-03 12:46 . 2008-12-03 12:46 940,794 --a------ c:\windows\system32\LoopyMusic.wav
2008-12-03 12:46 . 2008-12-03 12:46 146,650 --a------ c:\windows\system32\BuzzingBee.wav
2008-12-03 12:44 . 2008-12-03 12:46 <REP> d-------- c:\windows\nview
2008-12-03 12:44 . 2006-06-12 16:11 208,896 --a------ c:\windows\system32\nvudisp.exe
2008-12-03 12:44 . 2008-12-24 01:01 51,048 --a------ c:\windows\system32\nvapps.xml
2008-12-03 12:44 . 2006-06-12 16:11 16,960 --a------ c:\windows\system32\nvdisp.nvu
2008-12-03 12:42 . 2008-12-03 13:12 <REP> d-------- c:\program files\Intel
2008-12-03 12:41 . 2008-12-03 12:41 <REP> d-------- c:\program files\Realtek
2008-12-03 12:37 . 2008-12-03 12:37 <REP> d-------- c:\documents and settings\All Users\Application Data\WinZip
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-22 23:26 --------- d--h--w c:\program files\InstallShield Installation Information
2008-12-03 18:52 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-03 18:52 15,504 ----a-w c:\windows\system32\drivers\mbam.sys
2008-12-03 12:05 --------- d-----w c:\program files\Broadcom
2008-12-03 11:41 --------- d-----w c:\program files\Fichiers communs\InstallShield
2008-11-27 07:51 225,280 ----a-w c:\windows\system32\BootMan.exe
2008-11-26 14:58 472,064 ----a-w c:\windows\system32\NTFSFormat.dll
2008-11-26 14:55 65,536 ----a-w c:\windows\system32\FatCopy.dll
2008-11-26 14:54 17,920 ----a-w c:\windows\system32\SectorCopy.dll
2008-11-26 14:54 139,776 ----a-w c:\windows\system32\NTFSCopy.dll
2008-11-26 14:52 86,016 ----a-w c:\windows\system32\ResizeNTFS.dll
2008-11-26 14:51 93,184 ----a-w c:\windows\system32\Partition.dll
2008-11-26 14:51 61,952 ----a-w c:\windows\system32\FatResizeMove.dll
2008-11-26 14:51 45,568 ----a-w c:\windows\system32\FileSystemCheck.dll
2008-11-26 14:50 180,736 ----a-w c:\windows\system32\DeviceManager.dll
2008-11-26 14:49 86,528 ----a-w c:\windows\system32\NTFSLib.dll
2008-11-26 14:49 31,744 ----a-w c:\windows\system32\FatLib.dll
2008-11-26 14:49 22,016 ----a-w c:\windows\system32\FatFormat.dll
2008-11-26 14:48 68,096 ----a-w c:\windows\system32\Device.dll
2008-11-26 14:48 6,656 ----a-w c:\windows\system32\CallbackOperator.dll
2008-11-26 14:48 24,576 ----a-w c:\windows\system32\NTFSFileSystemAnalyser.dll
2008-11-26 14:48 21,504 ----a-w c:\windows\system32\Fixup.dll
2008-11-26 14:48 14,848 ----a-w c:\windows\system32\FileSystemAnalyser.dll
2008-11-26 14:48 10,752 ----a-w c:\windows\system32\DeviceAdapter.dll
2008-11-26 14:47 25,088 ----a-w c:\windows\system32\FATFileSystemAnalyser.dll
2008-11-25 16:18 86,408 ----a-w c:\windows\system32\setupempdrv03.exe
2008-11-25 16:18 8,704 ----a-w c:\windows\system32\epmntdrv.sys
2008-11-25 16:18 3,072 ----a-w c:\windows\system32\EuGdiDrv.sys
2008-11-25 16:18 14,848 ----a-w c:\windows\system32\EuEpmGdi.dll
.
(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
---- c:\docume~1\Benko\LOCALS~1\temp\RtkBtMnt.exe ----
Company: Realtek Semiconductor Corp.
File Description: Realtek HD Audio Data Rerouter
File Version: 1.0.0.5
Product Name: Realtek HD Audio Data Rerouter
Copyright:
Original file name:
MD5: 7edaf6d5b928a4d81eb20d6f97c1225b
((((((((((((((((((((((((((((( snapshot@2008-12-24_ 0.38.36.70 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-12-24 00:01:08 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_284.dat
+ 2008-12-24 00:00:55 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_654.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"BitTorrent DNA"="c:\program files\DNA\btdna.exe" [2008-12-16 342848]
"MsnMsgr"="c:\program files\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352]
"AlcoholAutomount"="c:\documents and settings\Benko\Mes documents\Alcohol 120\axcmd.exe" [2008-11-23 203720]
"DAEMON Tools Lite"="h:\daemon tools lite\daemon.exe" [2008-12-10 216520]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AzMixerSel"="c:\program files\Realtek\InstallShield\AzMixerSel.exe" [2006-08-16 53248]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-06-12 7577600]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-06-12 86016]
"Broadcom Wireless Manager UI"="c:\windows\system32\WLTRAY.exe" [2005-11-11 1236992]
"IntelZeroConfig"="c:\program files\Intel\Wireless\bin\ZCfgSvc.exe" [2006-04-14 667718]
"IntelWireless"="c:\program files\Intel\Wireless\Bin\ifrmewrk.exe" [2006-04-14 602182]
"EOUApp"="c:\program files\Intel\Wireless\Bin\EOUWiz.exe" [2006-04-14 569413]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-11-26 81000]
"SunJavaUpdateSched"="h:\bin\jusched.exe" [2008-12-10 136600]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-11-04 413696]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-11-20 290088]
"RTHDCPL"="RTHDCPL.EXE" [2006-08-16 c:\windows\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-08-16 c:\windows\SkyTel.exe]
"nwiz"="nwiz.exe" [2006-06-12 c:\windows\system32\nwiz.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]
c:\documents and settings\Benko\Menu D‚marrer\Programmes\D‚marrage\
BitTorrent Acceleration Patch.lnk - h:\bittorrent acceleration patch\BitTorrent Acceleration Patch.exe [2008-12-08 407552]
OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2008-09-12 384000]
c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2008-12-08 110592]
WinZip Quick Pick.lnk - c:\program files\WinZip\WZQKPICK.EXE [2008-10-08 394856]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\DNA\\btdna.exe"=
"c:\\Program Files\\BitTorrent\\bittorrent.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"c:\\Program Files\\MSN Messenger\\livecall.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"h:\\fm.exe"=
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-12-07 111184]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2008-12-07 20560]
S3 epmntdrv;epmntdrv;\??\c:\windows\system32\epmntdrv.sys [2008-12-08 8704]
S3 EuGdiDrv;EuGdiDrv;\??\c:\windows\system32\EuGdiDrv.sys [2008-12-08 3072]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{26cb3e9b-d0c7-11dd-947d-0018de2669e4}]
\Shell\AutoRun\command - F:\autorun.exe
.
Contenu du dossier 'Tâches planifiées'
2008-12-15 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.
- - - - ORPHELINS SUPPRIMES - - - -
SafeBoot-ati2fmxx.sys
SafeBoot-ati3scxx.sys
SafeBoot-ati7enxx.sys
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Benko\Application Data\Mozilla\Firefox\Profiles\82v8dojn.default\
FF - plugin: h:\bin\new_plugin\npdeploytk.dll
FF - plugin: h:\bin\new_plugin\npjp2.dll
[color=red]ATTENTION: FIREFOX POLICES IS IN FORCE /color
FF - user.js: yahoo.homepage.dontask - true.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-24 01:01:03
Windows 5.1.2600 Service Pack 2 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(700)
c:\windows\System32\BCMLogon.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Intel\Wireless\Bin\EvtEng.exe
c:\program files\Intel\Wireless\Bin\S24EvMon.exe
c:\windows\system32\WLTRYSVC.EXE
c:\windows\system32\BCMWLTRY.EXE
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
h:\bin\jqs.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\program files\Intel\Wireless\Bin\RegSrvc.exe
c:\documents and settings\Benko\Mes documents\Alcohol 120\StarWind\StarWindServiceAE.exe
c:\windows\system32\rundll32.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
c:\program files\iPod\bin\iPodService.exe
c:\program files\OpenOffice.org 3\program\soffice.exe
c:\program files\OpenOffice.org 3\program\soffice.bin
c:\docume~1\Benko\LOCALS~1\temp\RtkBtMnt.exe
c:\progra~1\Intel\Wireless\Bin\Dot1XCfg.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2008-12-24 1:02:55 - La machine a redémarré
ComboFix-quarantined-files.txt 2008-12-24 00:02:52
ComboFix2.txt 2008-12-23 23:39:05
Avant-CF: 3 808 608 256 octets libres
Après-CF: 3,800,965,120 octets libres
283
Telecharge malwarebytes
Tu l´instale; le programme va se mettre automatiquement a jour.
Une fois a jour, le programme va se lancer; click sur l´onglet parametre, et coche la case : "Arreter internet explorer pendant la suppression".
Click maintenant sur l´onglet recherche et coche la case : "executer un examen complet".
Puis click sur "rechercher".
Laisse le scanner le pc...
Si des elements on ete trouvés > click sur supprimer la selection.
si il t´es demandé de redemarrer > click sur "yes".
A la fin un rapport va s´ouvrir; sauvegarde le de maniere a le retrouver en vu de le poster sur le forum.
Copie et colle le rapport stp.
PS : les rapport sont aussi rangé dans l onglet rapport/log
Tu l´instale; le programme va se mettre automatiquement a jour.
Une fois a jour, le programme va se lancer; click sur l´onglet parametre, et coche la case : "Arreter internet explorer pendant la suppression".
Click maintenant sur l´onglet recherche et coche la case : "executer un examen complet".
Puis click sur "rechercher".
Laisse le scanner le pc...
Si des elements on ete trouvés > click sur supprimer la selection.
si il t´es demandé de redemarrer > click sur "yes".
A la fin un rapport va s´ouvrir; sauvegarde le de maniere a le retrouver en vu de le poster sur le forum.
Copie et colle le rapport stp.
PS : les rapport sont aussi rangé dans l onglet rapport/log
Rebonjour,
J'ai fait le scan avec malware... cette nuit. Voila le résultat (18 fichiers infectés et je les ai supprimé ensuite).
Malwarebytes' Anti-Malware 1.31
Version de la base de données: 1538
Windows 5.1.2600 Service Pack 2
24/12/2008 09:55:29
mbam-log-2008-12-24 (09-55-29).txt
Type de recherche: Examen complet (C:\|E:\|H:\|)
Eléments examinés: 75294
Temps écoulé: 8 hour(s), 31 minute(s), 47 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 11
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Qoobox\Quarantine\C\Documents and Settings\Benko\Application Data\gadcom\gadcom.exe.vir (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\cbXPHwtQ.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\geBSkLFu.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\gyvbmb.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\jkse73hedfdgf.dll.vir (Trojan.Clicker) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\kuwehvni.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\obxlbf.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\owwadajo.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\wzhhpw.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ydkevenb.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\efcDuUmn.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
La suite?
J'ai fait le scan avec malware... cette nuit. Voila le résultat (18 fichiers infectés et je les ai supprimé ensuite).
Malwarebytes' Anti-Malware 1.31
Version de la base de données: 1538
Windows 5.1.2600 Service Pack 2
24/12/2008 09:55:29
mbam-log-2008-12-24 (09-55-29).txt
Type de recherche: Examen complet (C:\|E:\|H:\|)
Eléments examinés: 75294
Temps écoulé: 8 hour(s), 31 minute(s), 47 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 11
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Qoobox\Quarantine\C\Documents and Settings\Benko\Application Data\gadcom\gadcom.exe.vir (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\cbXPHwtQ.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\geBSkLFu.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\gyvbmb.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\jkse73hedfdgf.dll.vir (Trojan.Clicker) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\kuwehvni.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\obxlbf.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\owwadajo.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\wzhhpw.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ydkevenb.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\efcDuUmn.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
La suite?
