Rootkit tenace
Fermé
bibi_fricotin
Messages postés
197
Date d'inscription
mardi 9 novembre 2004
Statut
Membre
Dernière intervention
3 juillet 2014
-
26 déc. 2008 à 09:00
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 - 29 déc. 2008 à 22:40
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 - 29 déc. 2008 à 22:40
A voir également:
- Rootkit tenace
- Anti rootkit - Télécharger - Antivirus & Antimalwares
- Rootkit hunter - Télécharger - Antivirus & Antimalwares
- Rootkit buster - Télécharger - Antivirus & Antimalwares
- Rootkit gen ✓ - Forum Virus / Sécurité
- Avg anti rootkit - Télécharger - Antivirus & Antimalwares
30 réponses
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
464
26 déc. 2008 à 09:48
26 déc. 2008 à 09:48
Salut,
On va s'en occuper .... ^^
commence par ceci :
1- Télécharge et installe le logiciel HijackThis :
ici HijackThis
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html
-->Clique sur le setup pour lancer l'installe : laisse toi guider et ne modifie pas les paramètres d'installation .
A la fin de l'installe , le prg se lance automatiquement : ferme le en cliquant sur la croix rouge .
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .
( ne lance pas ce prg pour l'instant et fais la suite ... )
2- Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau.
-> http://images.malwareremoval.com/random/RSIT.exe
! Déconnecte toi et ferme toutes tes applications en cours !
Double-clique sur " RSIT.exe " pour le lancer .
-> Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " .
* Devant l'option "List files/folders created ..." , tu choisis : 2 months
* clique ensuite sur " Continue " pour lancer l'analyse ...
-> laisse faire le scan et ne touche pas au PC ...
Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note).
Poste le contenu de " log.txt " (c'est celui qui apparait à l'écran), ainsi que de " info.txt " (que tu verras dans la barre des tâches), pour analyse et attends la suite ...
Important : poste un rapport, puis l'autre dans la réponse suivante ...
Si tu essaies de poster les deux en même temps, cela risque d'être trop long pour le forum ...
Et si "log.txt" seul, ne passe pas non plus , fais le en 2 fois ... merci ...
( Note : les rapports seront en outre sauvegardés dans ce dossier -> C:\rsit )
On va s'en occuper .... ^^
commence par ceci :
1- Télécharge et installe le logiciel HijackThis :
ici HijackThis
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html
-->Clique sur le setup pour lancer l'installe : laisse toi guider et ne modifie pas les paramètres d'installation .
A la fin de l'installe , le prg se lance automatiquement : ferme le en cliquant sur la croix rouge .
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .
( ne lance pas ce prg pour l'instant et fais la suite ... )
2- Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau.
-> http://images.malwareremoval.com/random/RSIT.exe
! Déconnecte toi et ferme toutes tes applications en cours !
Double-clique sur " RSIT.exe " pour le lancer .
-> Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " .
* Devant l'option "List files/folders created ..." , tu choisis : 2 months
* clique ensuite sur " Continue " pour lancer l'analyse ...
-> laisse faire le scan et ne touche pas au PC ...
Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note).
Poste le contenu de " log.txt " (c'est celui qui apparait à l'écran), ainsi que de " info.txt " (que tu verras dans la barre des tâches), pour analyse et attends la suite ...
Important : poste un rapport, puis l'autre dans la réponse suivante ...
Si tu essaies de poster les deux en même temps, cela risque d'être trop long pour le forum ...
Et si "log.txt" seul, ne passe pas non plus , fais le en 2 fois ... merci ...
( Note : les rapports seront en outre sauvegardés dans ce dossier -> C:\rsit )
bibi_fricotin
Messages postés
197
Date d'inscription
mardi 9 novembre 2004
Statut
Membre
Dernière intervention
3 juillet 2014
23
26 déc. 2008 à 21:04
26 déc. 2008 à 21:04
merci pour ta réponse : ci après la 1ère partie de log.txt :
Logfile of random's system information tool 1.05 (written by random/random)
Run by Administrateur at 2008-12-26 20:59:50
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 2 GB (31%) free of 7 GB
Total RAM: 511 MB (57% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:00:25, on 26/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wuauclt.exe
K:\RSIT.exe
D:\Program Files\Trend Micro\HijackThis\Administrateur.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8100
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: (no name) - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - (no file)
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\Office10\EXCEL.EXE/3000
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - d:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - d:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: {6414512b-b978-451d-a0d8-fcfdf33e833c} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {74d05d43-3236-11d4-bdcd-00c04f9a3b61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
Logfile of random's system information tool 1.05 (written by random/random)
Run by Administrateur at 2008-12-26 20:59:50
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 2 GB (31%) free of 7 GB
Total RAM: 511 MB (57% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:00:25, on 26/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wuauclt.exe
K:\RSIT.exe
D:\Program Files\Trend Micro\HijackThis\Administrateur.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8100
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: (no name) - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - (no file)
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\Office10\EXCEL.EXE/3000
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - d:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - d:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: {6414512b-b978-451d-a0d8-fcfdf33e833c} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {74d05d43-3236-11d4-bdcd-00c04f9a3b61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
bibi_fricotin
Messages postés
197
Date d'inscription
mardi 9 novembre 2004
Statut
Membre
Dernière intervention
3 juillet 2014
23
26 déc. 2008 à 21:05
26 déc. 2008 à 21:05
2ième moitié de log.txt :
======List of files/folders created in the last 2 months======
2008-12-26 20:59:20 ----A---- C:\log ss echec.txt
2008-12-26 20:59:20 ----A---- C:\info ss echec.txt
2008-12-26 20:51:53 ----D---- C:\rsit
2008-12-26 05:14:19 ----A---- C:\WINDOWS\system32\wuapi.dll.mui
2008-12-26 05:13:33 ----D---- C:\WINDOWS\LastGood
2008-12-26 05:06:06 ----D---- C:\WINDOWS\report
2008-12-26 05:05:19 ----D---- C:\WINDOWS\AU_Backup
2008-12-26 05:05:19 ----A---- C:\WINDOWS\tsc.ini
2008-12-26 05:05:18 ----A---- C:\WINDOWS\vsapi32.dll
2008-12-26 05:05:18 ----A---- C:\WINDOWS\tsc.exe
2008-12-26 05:05:18 ----A---- C:\WINDOWS\hcextoutput.dll
2008-12-26 05:05:18 ----A---- C:\WINDOWS\BPMNT.dll
2008-12-26 05:03:42 ----A---- C:\WINDOWS\GetServer.ini
2008-12-26 05:03:41 ----D---- C:\WINDOWS\AU_Temp
2008-12-26 05:03:41 ----D---- C:\WINDOWS\AU_Log
2008-12-26 05:03:37 ----A---- C:\xscan.txt
2008-12-26 05:03:33 ----A---- C:\WINDOWS\TMUPDATE.DLL
2008-12-26 05:03:32 ----A---- C:\WINDOWS\UNZIP.DLL
2008-12-26 05:03:31 ----A---- C:\WINDOWS\PATCH.EXE
2008-12-25 23:10:15 ----A---- C:\spyware terminator.txt
2008-12-25 23:02:22 ----D---- C:\Documents and Settings\Administrateur\Application Data\Spyware Terminator
2008-12-25 23:02:07 ----D---- C:\Documents and Settings\All Users\Application Data\Spyware Terminator
2008-12-25 20:35:12 ----A---- C:\RootkitReveal.txt
2008-12-24 15:53:43 ----D---- C:\f-vmonde
2008-12-24 00:53:18 ----D---- C:\Documents and Settings\Administrateur\Application Data\Malwarebytes
2008-12-24 00:52:56 ----D---- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-12-24 00:52:55 ----D---- C:\Program Files\Malwarebytes' Anti-Malware
2008-12-23 21:19:42 ----D---- C:\Program Files\Microsoft IntelliPoint
2008-12-22 22:12:22 ----D---- C:\Documents and Settings\All Users\Application Data\{148D8B8A-8F96-4822-81EC-D510B626B7D5}
2008-12-22 21:28:03 ----A---- C:\WINDOWS\system32\XceedZip.dll
2008-12-22 20:32:12 ----SH---- C:\WINDOWS\system32\sjktoncf.ini
2008-12-22 20:31:29 ----A---- C:\WINDOWS\system32\a76dec3b-.txt
2008-12-19 23:31:05 ----D---- C:\Documents and Settings\All Users\Application Data\PC Drivers HeadQuarters
2008-12-19 23:29:07 ----A---- C:\Report everest.txt
2008-12-18 02:40:34 ----A---- C:\DMACHECK.EXE
2008-12-17 22:08:30 ----A---- C:\WINDOWS\system32\IDEproperty.dll
2008-12-16 21:46:29 ----A---- C:\WINDOWS\system32\ativvaxx.dll
2008-12-16 21:46:25 ----A---- C:\WINDOWS\system32\ati3duag.dll
2008-12-16 21:12:22 ----D---- C:\Program Files\Fichiers communs\3DO Shared
2008-12-16 21:12:22 ----D---- C:\Program Files\3DO
2008-12-06 10:10:28 ----D---- C:\Documents and Settings\Administrateur\Application Data\vlc
2008-11-28 22:06:40 ----D---- C:\OpenCandy
2008-11-23 20:13:28 ----A---- C:\WINDOWS\system32\javaws.exe
2008-11-23 20:13:28 ----A---- C:\WINDOWS\system32\javaw.exe
2008-11-23 20:13:28 ----A---- C:\WINDOWS\system32\java.exe
2008-11-23 20:13:28 ----A---- C:\WINDOWS\system32\deploytk.dll
2008-11-23 20:12:46 ----D---- C:\Program Files\Java
2008-11-23 10:42:53 ----D---- C:\Documents and Settings\Administrateur\Application Data\dvdcss
2008-11-22 16:58:32 ----D---- C:\Program Files\SFR
2008-11-19 21:15:09 ----D---- C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-11-11 21:52:41 ----A---- C:\WINDOWS\system32\Audio3D.dll
2008-11-11 21:52:40 ----N---- C:\WINDOWS\system32\FirstReboot.exe
2008-11-11 21:45:04 ----N---- C:\WINDOWS\system32\DeleteCPL.exe
2008-11-11 21:26:11 ----N---- C:\WINDOWS\system32\EndInstall.exe
2008-11-11 20:09:42 ----A---- C:\WINDOWS\NeroDigital.ini
2008-11-09 13:09:55 ----D---- C:\Program Files\TechCity Solutions
2008-11-02 19:29:11 ----D---- C:\Program Files\RegCleaner
2008-11-01 21:07:11 ----D---- C:\Documents and Settings\Administrateur\Application Data\Ahead
2008-11-01 21:03:46 ----D---- C:\Program Files\Fichiers communs\Ahead
2008-11-01 18:55:46 ----D---- C:\Program Files\AskTBar
======List of files/folders modified in the last 2 months======
2008-12-26 20:58:16 ----RSHDC---- C:\WINDOWS\system32\dllcache
2008-12-26 20:58:16 ----D---- C:\WINDOWS
2008-12-26 20:58:04 ----D---- C:\WINDOWS\system32
2008-12-26 20:58:03 ----D---- C:\WINDOWS\system32\CatRoot2
2008-12-26 20:57:50 ----D---- C:\WINDOWS\Registration
2008-12-26 20:55:54 ----ASH---- C:\boot.ini
2008-12-26 20:55:54 ----A---- C:\WINDOWS\win.ini
2008-12-26 20:55:54 ----A---- C:\WINDOWS\system.ini
2008-12-26 20:39:29 ----D---- C:\WINDOWS\system32\drivers
2008-12-26 05:19:47 ----D---- C:\Program Files\Mozilla Firefox
2008-12-26 05:14:34 ----D---- C:\WINDOWS\SoftwareDistribution
2008-12-26 05:14:33 ----D---- C:\WINDOWS\Temp
2008-12-26 05:14:28 ----HD---- C:\WINDOWS\inf
2008-12-26 05:14:28 ----D---- C:\WINDOWS\Help
2008-12-26 05:13:35 ----SD---- C:\WINDOWS\Downloaded Program Files
2008-12-26 05:06:06 ----D---- C:\WINDOWS\Debug
2008-12-26 05:05:03 ----D---- C:\WINDOWS\CAVTemp
2008-12-26 04:38:09 ----D---- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-12-26 04:38:06 ----D---- C:\WINDOWS\system32\LogFiles
2008-12-26 04:38:06 ----D---- C:\WINDOWS\Prefetch
2008-12-25 23:21:15 ----SHD---- C:\System Volume Information
2008-12-25 23:21:15 ----D---- C:\WINDOWS\system32\Restore
2008-12-25 22:06:17 ----SHD---- C:\WINDOWS\Installer
2008-12-25 22:04:38 ----D---- C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-12-25 21:10:25 ----D---- C:\WINDOWS\Internet Logs
2008-12-25 20:29:44 ----D---- C:\WINDOWS\system32\ZoneLabs
2008-12-25 20:11:30 ----RD---- C:\Program Files
2008-12-23 21:20:39 ----DC---- C:\WINDOWS\system32\DRVSTORE
2008-12-23 21:20:30 ----D---- C:\WINDOWS\system32\ReinstallBackups
2008-12-20 00:11:37 ----A---- C:\WINDOWS\system32\svchost.exe
2008-12-20 00:02:15 ----SD---- C:\WINDOWS\Tasks
2008-12-19 23:31:56 ----HD---- C:\Program Files\InstallShield Installation Information
2008-12-19 23:31:53 ----RSD---- C:\WINDOWS\assembly
2008-12-19 22:53:29 ----D---- C:\WINDOWS\system32\config
2008-12-18 21:59:15 ----D---- C:\Documents and Settings\Administrateur\Application Data\Skype
2008-12-18 21:32:37 ----D---- C:\Documents and Settings\Administrateur\Application Data\skypePM
2008-12-17 22:36:10 ----D---- C:\WINDOWS\system32\CatRoot
2008-12-16 21:53:00 ----D---- C:\Documents and Settings\Administrateur\Application Data\ATI
2008-12-16 21:46:15 ----A---- C:\WINDOWS\Wininit.ini
2008-12-16 21:12:22 ----D---- C:\Program Files\Fichiers communs
2008-11-19 19:28:11 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2008-11-18 21:00:26 ----D---- C:\Documents and Settings\Administrateur\Application Data\Canon
2008-11-11 21:57:26 ----D---- C:\WINDOWS\system
2008-11-11 21:56:28 ----D---- C:\WINDOWS\cwcdata
2008-11-11 21:56:09 ----D---- C:\WINDOWS\Driver Cache
2008-11-06 19:30:35 ----A---- C:\WINDOWS\ODBC.INI
2008-11-02 18:58:11 ----D---- C:\Documents and Settings\Administrateur\Application Data\Real
2008-11-02 18:54:24 ----D---- C:\Documents and Settings\All Users\Application Data\Apple Computer
======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
R1 AmdK7;Pilote de processeur AMD K7; C:\WINDOWS\System32\DRIVERS\amdk7.sys [2004-08-19 41600]
R1 kbdhid;Pilote HID de clavier; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2004-08-19 14848]
R1 VETFDDNT;VET Floppy Boot Sector Monitor; C:\WINDOWS\system32\drivers\VETFDDNT.sys [2008-02-24 114856]
R1 VET-FILT;VET File System Filter; C:\WINDOWS\system32\drivers\VET-FILT.sys [2005-05-13 21605]
R1 VETMONNT;VET File and Macro Monitor; C:\WINDOWS\system32\drivers\VETMONNT.sys [2008-02-24 896472]
R1 VET-REC;VET File System Recognizer; C:\WINDOWS\system32\drivers\VET-REC.sys [2005-05-13 15668]
R1 vsdatant;vsdatant; C:\WINDOWS\System32\vsdatant.sys [2006-03-16 372824]
R1 WS2IFSL;Environnement de prise en charge de Fournisseur de services non-IFS Windows Sockets 2.0; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2001-08-28 12032]
R2 fssfltr;FssFltr; C:\WINDOWS\system32\DRIVERS\fssfltr.sys [2007-10-17 43816]
R2 ROB_A;Pinnacle WDM PCTV Audio Capture; C:\WINDOWS\system32\DRIVERS\rob_a.sys [2003-02-10 17664]
R2 ROB_V;Pinnacle WDM PCTV Video Capture; C:\WINDOWS\system32\drivers\rob_v.sys [2003-04-11 125568]
R3 ati2mtaa;ati2mtaa; C:\WINDOWS\system32\DRIVERS\ati2mtaa.sys [2004-08-19 327168]
R3 hercspud;Hercules (R) WDM Audio Driver; C:\WINDOWS\system32\drivers\hercspud.sys [2003-01-10 135936]
R3 hercwdm;Hercules (R) WDM Interface Driver; C:\WINDOWS\system32\drivers\hercwdm.sys [2003-01-10 466688]
R3 HidUsb;Pilote de classe HID Microsoft; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2001-08-17 9600]
R3 mouhid;Pilote HID de souris; C:\WINDOWS\System32\DRIVERS\mouhid.sys [2001-08-23 12288]
R3 ms_mpu401;Pilote UART MIDI MPU-401 Microsoft; C:\WINDOWS\system32\drivers\msmpu401.sys [2001-08-17 2944]
R3 pctvvbi;PCTVVBI; C:\WINDOWS\system32\DRIVERS\pctvvbi.sys [2002-11-11 6400]
R3 Pfc;Padus ASPI Shell; C:\WINDOWS\system32\drivers\pfc.sys [2002-06-17 14604]
R3 Point32;Microsoft IntelliPoint Filter Driver; C:\WINDOWS\system32\DRIVERS\point32.sys [2008-06-10 31048]
R3 usbccgp;Pilote parent générique USB Microsoft; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2004-08-03 31616]
R3 usbehci;Pilote miniport de contrôleur d'hôte amélioré Microsoft USB 2.0; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2004-08-03 26624]
R3 usbhub;Concentrateur USB2; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2004-08-03 57600]
R3 usbohci;Pilote miniport de contrôleur hôte ouvert USB Microsoft; C:\WINDOWS\System32\DRIVERS\usbohci.sys [2004-08-03 17024]
R3 USBSTOR;Pilote de stockage de masse USB; C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]
S1 de093aba;de093aba; C:\WINDOWS\System32\drivers\de093aba.sys []
S1 tdssserv.sys.REN;tdssserv.sys.REN; C:\WINDOWS\system32\drivers\TDSSpqlt.sys []
S3 CCDECODE;Décodeur sous-titre fermé; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2004-08-03 17024]
S3 cmuda;C-Media WDM Audio Interface; C:\WINDOWS\system32\drivers\cmuda.sys []
S3 CrystalSysInfo;CrystalSysInfo; \??\D:\Program Files\MediaCoder\SysInfo.sys []
S3 driverhardwarev2;driverhardwarev2; \??\C:\Program Files\ma-config.com\Drivers\driverhardwarev2.sys []
S3 DSDrv4;DSDrv4; \??\D:\PROGRA~1\K!TV\Plugins\S_Bt8x8\DSDrv4.sys []
S3 MSTEE;Convertisseur en T/site-à-site de répartition Microsoft; C:\WINDOWS\system32\drivers\MSTEE.sys [2004-08-03 5504]
S3 NABTSFEC;Codec NABTS/FEC VBI; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2004-08-03 85376]
S3 NdisIP;Connection TV/vidéo Microsoft; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2004-08-03 10880]
S3 rtl8139;Pilote NT de carte Realtek PCI Fast Ethernet à base RTL8139(A/B/C); C:\WINDOWS\system32\DRIVERS\RTL8139.SYS [2004-08-03 20992]
S3 Ser2pl;Prolific Serial port driver; C:\WINDOWS\system32\DRIVERS\ser2pl.sys [2004-06-28 42752]
S3 SISNIC;Pilote de carte Fast Ethernet PCI SiS; C:\WINDOWS\System32\DRIVERS\sisnic.sys [2004-08-03 32768]
S3 SISNICXP;SiS PCI Fast Ethernet Adapter Driver for NDIS51; C:\WINDOWS\system32\DRIVERS\sisnicxp.sys [2006-02-14 32768]
S3 SLIP;Détrameur décalage BDA; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2004-08-03 11136]
S3 streamip;BDA IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2004-08-03 15360]
S3 USB_RNDIS_51;Broadcom USB Remote NDIS Device Driver; C:\WINDOWS\system32\DRIVERS\usb8023.sys [2004-08-03 12672]
S3 usbscan;Pilote de scanneur USB; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 15104]
S3 WSTCODEC;Codec Teletext standard; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2004-08-03 19328]
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []
======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
S4 a2free;a-squared Free Service; d:\Program Files\a-squared Free\a2service.exe [2008-12-23 419448]
S4 aawservice;Lavasoft Ad-Aware Service; D:\Program Files\Lavasoft\Ad-Aware\aawservice.exe [2008-12-25 611664]
S4 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2005-09-23 29896]
S4 CAISafe;CA ISafe; C:\WINDOWS\system32\ZoneLabs\isafe.exe [2005-06-23 188416]
S4 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2005-09-23 66240]
S4 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe [2006-10-20 36864]
S4 fsssvc;Windows Live OneCare Contrôle parental; C:\Program Files\Windows Live\Contrôle parental\fsssvc.exe [2007-10-17 523816]
S4 IDriverT;InstallDriver Table Manager; C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe [2005-04-03 69632]
S4 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2006-10-30 741376]
S4 JavaQuickStarterService;Java Quick Starter; C:\Program Files\Java\jre6\bin\jqs.exe [2008-11-23 152984]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2006-10-30 122880]
S4 sp_rssrv;Spyware Terminator Realtime Shield Service; d:\Program Files\Spyware Terminator\sp_rsser.exe [2008-12-25 540672]
S4 usnjsvc;Service Messenger Sharing Folders USN Journal Reader; C:\Program Files\Windows Live\Messenger\usnsvc.exe [2007-10-18 98328]
S4 UxTuneUp;Extension de conception TuneUp; C:\WINDOWS\System32\svchost.exe [2008-12-20 14336]
S4 vsmon;TrueVector Internet Monitor; C:\WINDOWS\system32\ZoneLabs\vsmon.exe [2006-03-16 1693464]
S4 WLSetupSvc;Windows Live Setup Service; C:\Program Files\Windows Live\installer\WLSetupSvc.exe [2007-10-25 266240]
S4 WMPNetworkSvc;Service Partage réseau du Lecteur Windows Media; C:\Program Files\Windows Media Player\WMPNetwk.exe [2006-11-03 918016]
S4 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-12-20 14336]
-----------------EOF-----------------
======List of files/folders created in the last 2 months======
2008-12-26 20:59:20 ----A---- C:\log ss echec.txt
2008-12-26 20:59:20 ----A---- C:\info ss echec.txt
2008-12-26 20:51:53 ----D---- C:\rsit
2008-12-26 05:14:19 ----A---- C:\WINDOWS\system32\wuapi.dll.mui
2008-12-26 05:13:33 ----D---- C:\WINDOWS\LastGood
2008-12-26 05:06:06 ----D---- C:\WINDOWS\report
2008-12-26 05:05:19 ----D---- C:\WINDOWS\AU_Backup
2008-12-26 05:05:19 ----A---- C:\WINDOWS\tsc.ini
2008-12-26 05:05:18 ----A---- C:\WINDOWS\vsapi32.dll
2008-12-26 05:05:18 ----A---- C:\WINDOWS\tsc.exe
2008-12-26 05:05:18 ----A---- C:\WINDOWS\hcextoutput.dll
2008-12-26 05:05:18 ----A---- C:\WINDOWS\BPMNT.dll
2008-12-26 05:03:42 ----A---- C:\WINDOWS\GetServer.ini
2008-12-26 05:03:41 ----D---- C:\WINDOWS\AU_Temp
2008-12-26 05:03:41 ----D---- C:\WINDOWS\AU_Log
2008-12-26 05:03:37 ----A---- C:\xscan.txt
2008-12-26 05:03:33 ----A---- C:\WINDOWS\TMUPDATE.DLL
2008-12-26 05:03:32 ----A---- C:\WINDOWS\UNZIP.DLL
2008-12-26 05:03:31 ----A---- C:\WINDOWS\PATCH.EXE
2008-12-25 23:10:15 ----A---- C:\spyware terminator.txt
2008-12-25 23:02:22 ----D---- C:\Documents and Settings\Administrateur\Application Data\Spyware Terminator
2008-12-25 23:02:07 ----D---- C:\Documents and Settings\All Users\Application Data\Spyware Terminator
2008-12-25 20:35:12 ----A---- C:\RootkitReveal.txt
2008-12-24 15:53:43 ----D---- C:\f-vmonde
2008-12-24 00:53:18 ----D---- C:\Documents and Settings\Administrateur\Application Data\Malwarebytes
2008-12-24 00:52:56 ----D---- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-12-24 00:52:55 ----D---- C:\Program Files\Malwarebytes' Anti-Malware
2008-12-23 21:19:42 ----D---- C:\Program Files\Microsoft IntelliPoint
2008-12-22 22:12:22 ----D---- C:\Documents and Settings\All Users\Application Data\{148D8B8A-8F96-4822-81EC-D510B626B7D5}
2008-12-22 21:28:03 ----A---- C:\WINDOWS\system32\XceedZip.dll
2008-12-22 20:32:12 ----SH---- C:\WINDOWS\system32\sjktoncf.ini
2008-12-22 20:31:29 ----A---- C:\WINDOWS\system32\a76dec3b-.txt
2008-12-19 23:31:05 ----D---- C:\Documents and Settings\All Users\Application Data\PC Drivers HeadQuarters
2008-12-19 23:29:07 ----A---- C:\Report everest.txt
2008-12-18 02:40:34 ----A---- C:\DMACHECK.EXE
2008-12-17 22:08:30 ----A---- C:\WINDOWS\system32\IDEproperty.dll
2008-12-16 21:46:29 ----A---- C:\WINDOWS\system32\ativvaxx.dll
2008-12-16 21:46:25 ----A---- C:\WINDOWS\system32\ati3duag.dll
2008-12-16 21:12:22 ----D---- C:\Program Files\Fichiers communs\3DO Shared
2008-12-16 21:12:22 ----D---- C:\Program Files\3DO
2008-12-06 10:10:28 ----D---- C:\Documents and Settings\Administrateur\Application Data\vlc
2008-11-28 22:06:40 ----D---- C:\OpenCandy
2008-11-23 20:13:28 ----A---- C:\WINDOWS\system32\javaws.exe
2008-11-23 20:13:28 ----A---- C:\WINDOWS\system32\javaw.exe
2008-11-23 20:13:28 ----A---- C:\WINDOWS\system32\java.exe
2008-11-23 20:13:28 ----A---- C:\WINDOWS\system32\deploytk.dll
2008-11-23 20:12:46 ----D---- C:\Program Files\Java
2008-11-23 10:42:53 ----D---- C:\Documents and Settings\Administrateur\Application Data\dvdcss
2008-11-22 16:58:32 ----D---- C:\Program Files\SFR
2008-11-19 21:15:09 ----D---- C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-11-11 21:52:41 ----A---- C:\WINDOWS\system32\Audio3D.dll
2008-11-11 21:52:40 ----N---- C:\WINDOWS\system32\FirstReboot.exe
2008-11-11 21:45:04 ----N---- C:\WINDOWS\system32\DeleteCPL.exe
2008-11-11 21:26:11 ----N---- C:\WINDOWS\system32\EndInstall.exe
2008-11-11 20:09:42 ----A---- C:\WINDOWS\NeroDigital.ini
2008-11-09 13:09:55 ----D---- C:\Program Files\TechCity Solutions
2008-11-02 19:29:11 ----D---- C:\Program Files\RegCleaner
2008-11-01 21:07:11 ----D---- C:\Documents and Settings\Administrateur\Application Data\Ahead
2008-11-01 21:03:46 ----D---- C:\Program Files\Fichiers communs\Ahead
2008-11-01 18:55:46 ----D---- C:\Program Files\AskTBar
======List of files/folders modified in the last 2 months======
2008-12-26 20:58:16 ----RSHDC---- C:\WINDOWS\system32\dllcache
2008-12-26 20:58:16 ----D---- C:\WINDOWS
2008-12-26 20:58:04 ----D---- C:\WINDOWS\system32
2008-12-26 20:58:03 ----D---- C:\WINDOWS\system32\CatRoot2
2008-12-26 20:57:50 ----D---- C:\WINDOWS\Registration
2008-12-26 20:55:54 ----ASH---- C:\boot.ini
2008-12-26 20:55:54 ----A---- C:\WINDOWS\win.ini
2008-12-26 20:55:54 ----A---- C:\WINDOWS\system.ini
2008-12-26 20:39:29 ----D---- C:\WINDOWS\system32\drivers
2008-12-26 05:19:47 ----D---- C:\Program Files\Mozilla Firefox
2008-12-26 05:14:34 ----D---- C:\WINDOWS\SoftwareDistribution
2008-12-26 05:14:33 ----D---- C:\WINDOWS\Temp
2008-12-26 05:14:28 ----HD---- C:\WINDOWS\inf
2008-12-26 05:14:28 ----D---- C:\WINDOWS\Help
2008-12-26 05:13:35 ----SD---- C:\WINDOWS\Downloaded Program Files
2008-12-26 05:06:06 ----D---- C:\WINDOWS\Debug
2008-12-26 05:05:03 ----D---- C:\WINDOWS\CAVTemp
2008-12-26 04:38:09 ----D---- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-12-26 04:38:06 ----D---- C:\WINDOWS\system32\LogFiles
2008-12-26 04:38:06 ----D---- C:\WINDOWS\Prefetch
2008-12-25 23:21:15 ----SHD---- C:\System Volume Information
2008-12-25 23:21:15 ----D---- C:\WINDOWS\system32\Restore
2008-12-25 22:06:17 ----SHD---- C:\WINDOWS\Installer
2008-12-25 22:04:38 ----D---- C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-12-25 21:10:25 ----D---- C:\WINDOWS\Internet Logs
2008-12-25 20:29:44 ----D---- C:\WINDOWS\system32\ZoneLabs
2008-12-25 20:11:30 ----RD---- C:\Program Files
2008-12-23 21:20:39 ----DC---- C:\WINDOWS\system32\DRVSTORE
2008-12-23 21:20:30 ----D---- C:\WINDOWS\system32\ReinstallBackups
2008-12-20 00:11:37 ----A---- C:\WINDOWS\system32\svchost.exe
2008-12-20 00:02:15 ----SD---- C:\WINDOWS\Tasks
2008-12-19 23:31:56 ----HD---- C:\Program Files\InstallShield Installation Information
2008-12-19 23:31:53 ----RSD---- C:\WINDOWS\assembly
2008-12-19 22:53:29 ----D---- C:\WINDOWS\system32\config
2008-12-18 21:59:15 ----D---- C:\Documents and Settings\Administrateur\Application Data\Skype
2008-12-18 21:32:37 ----D---- C:\Documents and Settings\Administrateur\Application Data\skypePM
2008-12-17 22:36:10 ----D---- C:\WINDOWS\system32\CatRoot
2008-12-16 21:53:00 ----D---- C:\Documents and Settings\Administrateur\Application Data\ATI
2008-12-16 21:46:15 ----A---- C:\WINDOWS\Wininit.ini
2008-12-16 21:12:22 ----D---- C:\Program Files\Fichiers communs
2008-11-19 19:28:11 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2008-11-18 21:00:26 ----D---- C:\Documents and Settings\Administrateur\Application Data\Canon
2008-11-11 21:57:26 ----D---- C:\WINDOWS\system
2008-11-11 21:56:28 ----D---- C:\WINDOWS\cwcdata
2008-11-11 21:56:09 ----D---- C:\WINDOWS\Driver Cache
2008-11-06 19:30:35 ----A---- C:\WINDOWS\ODBC.INI
2008-11-02 18:58:11 ----D---- C:\Documents and Settings\Administrateur\Application Data\Real
2008-11-02 18:54:24 ----D---- C:\Documents and Settings\All Users\Application Data\Apple Computer
======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
R1 AmdK7;Pilote de processeur AMD K7; C:\WINDOWS\System32\DRIVERS\amdk7.sys [2004-08-19 41600]
R1 kbdhid;Pilote HID de clavier; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2004-08-19 14848]
R1 VETFDDNT;VET Floppy Boot Sector Monitor; C:\WINDOWS\system32\drivers\VETFDDNT.sys [2008-02-24 114856]
R1 VET-FILT;VET File System Filter; C:\WINDOWS\system32\drivers\VET-FILT.sys [2005-05-13 21605]
R1 VETMONNT;VET File and Macro Monitor; C:\WINDOWS\system32\drivers\VETMONNT.sys [2008-02-24 896472]
R1 VET-REC;VET File System Recognizer; C:\WINDOWS\system32\drivers\VET-REC.sys [2005-05-13 15668]
R1 vsdatant;vsdatant; C:\WINDOWS\System32\vsdatant.sys [2006-03-16 372824]
R1 WS2IFSL;Environnement de prise en charge de Fournisseur de services non-IFS Windows Sockets 2.0; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2001-08-28 12032]
R2 fssfltr;FssFltr; C:\WINDOWS\system32\DRIVERS\fssfltr.sys [2007-10-17 43816]
R2 ROB_A;Pinnacle WDM PCTV Audio Capture; C:\WINDOWS\system32\DRIVERS\rob_a.sys [2003-02-10 17664]
R2 ROB_V;Pinnacle WDM PCTV Video Capture; C:\WINDOWS\system32\drivers\rob_v.sys [2003-04-11 125568]
R3 ati2mtaa;ati2mtaa; C:\WINDOWS\system32\DRIVERS\ati2mtaa.sys [2004-08-19 327168]
R3 hercspud;Hercules (R) WDM Audio Driver; C:\WINDOWS\system32\drivers\hercspud.sys [2003-01-10 135936]
R3 hercwdm;Hercules (R) WDM Interface Driver; C:\WINDOWS\system32\drivers\hercwdm.sys [2003-01-10 466688]
R3 HidUsb;Pilote de classe HID Microsoft; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2001-08-17 9600]
R3 mouhid;Pilote HID de souris; C:\WINDOWS\System32\DRIVERS\mouhid.sys [2001-08-23 12288]
R3 ms_mpu401;Pilote UART MIDI MPU-401 Microsoft; C:\WINDOWS\system32\drivers\msmpu401.sys [2001-08-17 2944]
R3 pctvvbi;PCTVVBI; C:\WINDOWS\system32\DRIVERS\pctvvbi.sys [2002-11-11 6400]
R3 Pfc;Padus ASPI Shell; C:\WINDOWS\system32\drivers\pfc.sys [2002-06-17 14604]
R3 Point32;Microsoft IntelliPoint Filter Driver; C:\WINDOWS\system32\DRIVERS\point32.sys [2008-06-10 31048]
R3 usbccgp;Pilote parent générique USB Microsoft; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2004-08-03 31616]
R3 usbehci;Pilote miniport de contrôleur d'hôte amélioré Microsoft USB 2.0; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2004-08-03 26624]
R3 usbhub;Concentrateur USB2; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2004-08-03 57600]
R3 usbohci;Pilote miniport de contrôleur hôte ouvert USB Microsoft; C:\WINDOWS\System32\DRIVERS\usbohci.sys [2004-08-03 17024]
R3 USBSTOR;Pilote de stockage de masse USB; C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]
S1 de093aba;de093aba; C:\WINDOWS\System32\drivers\de093aba.sys []
S1 tdssserv.sys.REN;tdssserv.sys.REN; C:\WINDOWS\system32\drivers\TDSSpqlt.sys []
S3 CCDECODE;Décodeur sous-titre fermé; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2004-08-03 17024]
S3 cmuda;C-Media WDM Audio Interface; C:\WINDOWS\system32\drivers\cmuda.sys []
S3 CrystalSysInfo;CrystalSysInfo; \??\D:\Program Files\MediaCoder\SysInfo.sys []
S3 driverhardwarev2;driverhardwarev2; \??\C:\Program Files\ma-config.com\Drivers\driverhardwarev2.sys []
S3 DSDrv4;DSDrv4; \??\D:\PROGRA~1\K!TV\Plugins\S_Bt8x8\DSDrv4.sys []
S3 MSTEE;Convertisseur en T/site-à-site de répartition Microsoft; C:\WINDOWS\system32\drivers\MSTEE.sys [2004-08-03 5504]
S3 NABTSFEC;Codec NABTS/FEC VBI; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2004-08-03 85376]
S3 NdisIP;Connection TV/vidéo Microsoft; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2004-08-03 10880]
S3 rtl8139;Pilote NT de carte Realtek PCI Fast Ethernet à base RTL8139(A/B/C); C:\WINDOWS\system32\DRIVERS\RTL8139.SYS [2004-08-03 20992]
S3 Ser2pl;Prolific Serial port driver; C:\WINDOWS\system32\DRIVERS\ser2pl.sys [2004-06-28 42752]
S3 SISNIC;Pilote de carte Fast Ethernet PCI SiS; C:\WINDOWS\System32\DRIVERS\sisnic.sys [2004-08-03 32768]
S3 SISNICXP;SiS PCI Fast Ethernet Adapter Driver for NDIS51; C:\WINDOWS\system32\DRIVERS\sisnicxp.sys [2006-02-14 32768]
S3 SLIP;Détrameur décalage BDA; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2004-08-03 11136]
S3 streamip;BDA IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2004-08-03 15360]
S3 USB_RNDIS_51;Broadcom USB Remote NDIS Device Driver; C:\WINDOWS\system32\DRIVERS\usb8023.sys [2004-08-03 12672]
S3 usbscan;Pilote de scanneur USB; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 15104]
S3 WSTCODEC;Codec Teletext standard; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2004-08-03 19328]
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []
======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
S4 a2free;a-squared Free Service; d:\Program Files\a-squared Free\a2service.exe [2008-12-23 419448]
S4 aawservice;Lavasoft Ad-Aware Service; D:\Program Files\Lavasoft\Ad-Aware\aawservice.exe [2008-12-25 611664]
S4 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2005-09-23 29896]
S4 CAISafe;CA ISafe; C:\WINDOWS\system32\ZoneLabs\isafe.exe [2005-06-23 188416]
S4 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2005-09-23 66240]
S4 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe [2006-10-20 36864]
S4 fsssvc;Windows Live OneCare Contrôle parental; C:\Program Files\Windows Live\Contrôle parental\fsssvc.exe [2007-10-17 523816]
S4 IDriverT;InstallDriver Table Manager; C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe [2005-04-03 69632]
S4 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2006-10-30 741376]
S4 JavaQuickStarterService;Java Quick Starter; C:\Program Files\Java\jre6\bin\jqs.exe [2008-11-23 152984]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2006-10-30 122880]
S4 sp_rssrv;Spyware Terminator Realtime Shield Service; d:\Program Files\Spyware Terminator\sp_rsser.exe [2008-12-25 540672]
S4 usnjsvc;Service Messenger Sharing Folders USN Journal Reader; C:\Program Files\Windows Live\Messenger\usnsvc.exe [2007-10-18 98328]
S4 UxTuneUp;Extension de conception TuneUp; C:\WINDOWS\System32\svchost.exe [2008-12-20 14336]
S4 vsmon;TrueVector Internet Monitor; C:\WINDOWS\system32\ZoneLabs\vsmon.exe [2006-03-16 1693464]
S4 WLSetupSvc;Windows Live Setup Service; C:\Program Files\Windows Live\installer\WLSetupSvc.exe [2007-10-25 266240]
S4 WMPNetworkSvc;Service Partage réseau du Lecteur Windows Media; C:\Program Files\Windows Media Player\WMPNetwk.exe [2006-11-03 918016]
S4 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-12-20 14336]
-----------------EOF-----------------
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
464
26 déc. 2008 à 21:35
26 déc. 2008 à 21:35
Bien ,
important , toujours installer et lancer les outils demandé depuis le disque dur maitre ( C ) ou depuis le bureau suivant comme indiquer sur la manipe !!!!
( et non depuis une unité externe ou un disque esclave ! )
Donc plusieurs infections .... Commences par ceci :
1-Important :
Désactive le "tea timer" de Spybot S&D en t'aidant de ce tuto animé (merci Balltrap ;) ) :
http://perso.orange.fr/rginformatique/section%20virus/demo%20spybot.htm
( sur la 1er image , clique sur "tea timer" pour lancer l'animation ).
En effet , il risque de géner dans le bon déroulement des outils de désinfections et dans la répartion du registre ...
Tu le réactiveras une fois qu'on aura finis de désinfecter ( et pas avant ! ) .
/!\ Mais attention :
à ce moment là, le " TeaTimer " de Spybot proposera, par le biais de plusieurs pop-up, d'accepter ou non des modifications de registre ( survenuent lors de la désinfection )
-> il faudra alors les accepter toutes sans exeptions !
Puis part la suite , il faudra rester vigilant lorsque le "TeaTimer" donnera des alertes : accepter une modification uniquement si on en connait la provenance .
2- Télécharge ToolBar S&D ( de Eric_71/Team IDN ) sur ton bureau :
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2
( Tuto : https://sites.google.com/site/toolbarsd/aideenimages )
!! Déconnecte toi et ferme toutes tes applications en cours le temps de la manipe !!
* Double-clique sur ToolBar SD.exe pour lancer l'outil et laisse toi guider ...
--> Tapes directement sur 2 ( option " nettoyage " ) puis tape sur [Entrée].
Le nettoyage commence .
! ne touche à rien lors de la suppression !
Un rapport sera généré à la fin du processus : poste son contenu dans ta prochaine réponse
accompagné d'un nouveau rapport RSIT pour analyse ...
( le rapport est en outre sauvegardé ici -> C:\TB.txt )
important , toujours installer et lancer les outils demandé depuis le disque dur maitre ( C ) ou depuis le bureau suivant comme indiquer sur la manipe !!!!
( et non depuis une unité externe ou un disque esclave ! )
Donc plusieurs infections .... Commences par ceci :
1-Important :
Désactive le "tea timer" de Spybot S&D en t'aidant de ce tuto animé (merci Balltrap ;) ) :
http://perso.orange.fr/rginformatique/section%20virus/demo%20spybot.htm
( sur la 1er image , clique sur "tea timer" pour lancer l'animation ).
En effet , il risque de géner dans le bon déroulement des outils de désinfections et dans la répartion du registre ...
Tu le réactiveras une fois qu'on aura finis de désinfecter ( et pas avant ! ) .
/!\ Mais attention :
à ce moment là, le " TeaTimer " de Spybot proposera, par le biais de plusieurs pop-up, d'accepter ou non des modifications de registre ( survenuent lors de la désinfection )
-> il faudra alors les accepter toutes sans exeptions !
Puis part la suite , il faudra rester vigilant lorsque le "TeaTimer" donnera des alertes : accepter une modification uniquement si on en connait la provenance .
2- Télécharge ToolBar S&D ( de Eric_71/Team IDN ) sur ton bureau :
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2
( Tuto : https://sites.google.com/site/toolbarsd/aideenimages )
!! Déconnecte toi et ferme toutes tes applications en cours le temps de la manipe !!
* Double-clique sur ToolBar SD.exe pour lancer l'outil et laisse toi guider ...
--> Tapes directement sur 2 ( option " nettoyage " ) puis tape sur [Entrée].
Le nettoyage commence .
! ne touche à rien lors de la suppression !
Un rapport sera généré à la fin du processus : poste son contenu dans ta prochaine réponse
accompagné d'un nouveau rapport RSIT pour analyse ...
( le rapport est en outre sauvegardé ici -> C:\TB.txt )
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
bibi_fricotin
Messages postés
197
Date d'inscription
mardi 9 novembre 2004
Statut
Membre
Dernière intervention
3 juillet 2014
23
26 déc. 2008 à 22:17
26 déc. 2008 à 22:17
merci
en exécutant Toolbarsd, il m'a indiqué que Windows Scrip Host était désactivé : faut-il l'activer (comment) ou non ?
en exécutant Toolbarsd, il m'a indiqué que Windows Scrip Host était désactivé : faut-il l'activer (comment) ou non ?
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
464
26 déc. 2008 à 22:30
26 déc. 2008 à 22:30
non ... passe l'outil et poste les rapports demandés ....
bibi_fricotin
Messages postés
197
Date d'inscription
mardi 9 novembre 2004
Statut
Membre
Dernière intervention
3 juillet 2014
23
26 déc. 2008 à 22:41
26 déc. 2008 à 22:41
voici le rapport de ToolbarSd (au fait Tea Timer n'était pas actif):
-----------\\ ToolBar S&D 1.2.8 XP/Vista
"C:\ToolBar SD" ( MAJ : 21-12-2008|20:47 )
Option : [2] ( 26/12/2008|22:36 )
-----------\\ SUPPRESSION
Supprime! - C:\Program Files\AskTBar\bar
Supprime! - C:\Program Files\AskTBar
-----------\\ Recherche de Fichiers / Dossiers ...
-----------\\ [..\Internet Explorer\Main]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
"Search Page"="https://www.google.com/?gws_rd=ssl"
"Search Bar"="https://www.google.com/?gws_rd=ssl"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="https://www.google.com/?gws_rd=ssl"
"Default_Search_URL"="https://www.google.com/?gws_rd=ssl"
"Search Page"="https://www.google.com/?gws_rd=ssl"
"Start Page"="https://www.msn.com/fr-fr/"
--------------------\\ Recherche d'autres infections
--------------------\\ ROOTKIT !!
Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\legacy_tdssserv.sys]
Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\legacy_tdssserv.sys]
Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\legacy_tdssserv.sys]
Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\tdssserv.sys]
Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\tdssserv.sys]
Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tdssserv.sys]
--------------------\\ Suspect ..
C:\WINDOWS\system32\TDSSorvd.dat
1 - "C:\ToolBar SD\TB_1.txt" - 26/12/2008|22:37 - Option : [2]
-----------\\ Fin du rapport a 22:37:55.86
-----------\\ ToolBar S&D 1.2.8 XP/Vista
"C:\ToolBar SD" ( MAJ : 21-12-2008|20:47 )
Option : [2] ( 26/12/2008|22:36 )
-----------\\ SUPPRESSION
Supprime! - C:\Program Files\AskTBar\bar
Supprime! - C:\Program Files\AskTBar
-----------\\ Recherche de Fichiers / Dossiers ...
-----------\\ [..\Internet Explorer\Main]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
"Search Page"="https://www.google.com/?gws_rd=ssl"
"Search Bar"="https://www.google.com/?gws_rd=ssl"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="https://www.google.com/?gws_rd=ssl"
"Default_Search_URL"="https://www.google.com/?gws_rd=ssl"
"Search Page"="https://www.google.com/?gws_rd=ssl"
"Start Page"="https://www.msn.com/fr-fr/"
--------------------\\ Recherche d'autres infections
--------------------\\ ROOTKIT !!
Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\legacy_tdssserv.sys]
Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\legacy_tdssserv.sys]
Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\legacy_tdssserv.sys]
Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\tdssserv.sys]
Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\tdssserv.sys]
Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tdssserv.sys]
--------------------\\ Suspect ..
C:\WINDOWS\system32\TDSSorvd.dat
1 - "C:\ToolBar SD\TB_1.txt" - 26/12/2008|22:37 - Option : [2]
-----------\\ Fin du rapport a 22:37:55.86
bibi_fricotin
Messages postés
197
Date d'inscription
mardi 9 novembre 2004
Statut
Membre
Dernière intervention
3 juillet 2014
23
26 déc. 2008 à 22:42
26 déc. 2008 à 22:42
le nouveau log.txt (1ère moitié) :
Logfile of random's system information tool 1.05 (written by random/random)
Run by Administrateur at 2008-12-26 22:38:39
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 2 GB (30%) free of 7 GB
Total RAM: 511 MB (59% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:39:03, on 26/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\RSIT.exe
D:\Program Files\Trend Micro\HijackThis\Administrateur.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8100
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\Office10\EXCEL.EXE/3000
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - d:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - d:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: {6414512b-b978-451d-a0d8-fcfdf33e833c} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {74d05d43-3236-11d4-bdcd-00c04f9a3b61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
Logfile of random's system information tool 1.05 (written by random/random)
Run by Administrateur at 2008-12-26 22:38:39
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 2 GB (30%) free of 7 GB
Total RAM: 511 MB (59% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:39:03, on 26/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\RSIT.exe
D:\Program Files\Trend Micro\HijackThis\Administrateur.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8100
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\Office10\EXCEL.EXE/3000
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - d:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - d:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: {6414512b-b978-451d-a0d8-fcfdf33e833c} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {74d05d43-3236-11d4-bdcd-00c04f9a3b61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
bibi_fricotin
Messages postés
197
Date d'inscription
mardi 9 novembre 2004
Statut
Membre
Dernière intervention
3 juillet 2014
23
26 déc. 2008 à 22:43
26 déc. 2008 à 22:43
2ième moitié du nouveau log.txt :
======List of files/folders created in the last 2 months======
2008-12-26 22:36:38 ----A---- C:\TB.txt
2008-12-26 22:12:40 ----D---- C:\ToolBar SD
2008-12-26 22:08:47 ----A---- C:\RSIT.exe
2008-12-26 20:59:20 ----A---- C:\log ss echec.txt
2008-12-26 20:59:20 ----A---- C:\info ss echec.txt
2008-12-26 20:51:53 ----D---- C:\rsit
2008-12-26 05:14:19 ----A---- C:\WINDOWS\system32\wuapi.dll.mui
2008-12-26 05:13:33 ----D---- C:\WINDOWS\LastGood
2008-12-26 05:06:06 ----D---- C:\WINDOWS\report
2008-12-26 05:05:19 ----D---- C:\WINDOWS\AU_Backup
2008-12-26 05:05:19 ----A---- C:\WINDOWS\tsc.ini
2008-12-26 05:05:18 ----A---- C:\WINDOWS\vsapi32.dll
2008-12-26 05:05:18 ----A---- C:\WINDOWS\tsc.exe
2008-12-26 05:05:18 ----A---- C:\WINDOWS\hcextoutput.dll
2008-12-26 05:05:18 ----A---- C:\WINDOWS\BPMNT.dll
2008-12-26 05:03:42 ----A---- C:\WINDOWS\GetServer.ini
2008-12-26 05:03:41 ----D---- C:\WINDOWS\AU_Temp
2008-12-26 05:03:41 ----D---- C:\WINDOWS\AU_Log
2008-12-26 05:03:37 ----A---- C:\xscan.txt
2008-12-26 05:03:33 ----A---- C:\WINDOWS\TMUPDATE.DLL
2008-12-26 05:03:32 ----A---- C:\WINDOWS\UNZIP.DLL
2008-12-26 05:03:31 ----A---- C:\WINDOWS\PATCH.EXE
2008-12-25 23:10:15 ----A---- C:\spyware terminator.txt
2008-12-25 23:02:22 ----D---- C:\Documents and Settings\Administrateur\Application Data\Spyware Terminator
2008-12-25 23:02:07 ----D---- C:\Documents and Settings\All Users\Application Data\Spyware Terminator
2008-12-25 20:35:12 ----A---- C:\RootkitReveal.txt
2008-12-24 15:53:43 ----D---- C:\f-vmonde
2008-12-24 00:53:18 ----D---- C:\Documents and Settings\Administrateur\Application Data\Malwarebytes
2008-12-24 00:52:56 ----D---- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-12-24 00:52:55 ----D---- C:\Program Files\Malwarebytes' Anti-Malware
2008-12-23 21:19:42 ----D---- C:\Program Files\Microsoft IntelliPoint
2008-12-22 22:12:22 ----D---- C:\Documents and Settings\All Users\Application Data\{148D8B8A-8F96-4822-81EC-D510B626B7D5}
2008-12-22 21:28:03 ----A---- C:\WINDOWS\system32\XceedZip.dll
2008-12-22 20:32:12 ----SH---- C:\WINDOWS\system32\sjktoncf.ini
2008-12-22 20:31:29 ----A---- C:\WINDOWS\system32\a76dec3b-.txt
2008-12-19 23:31:05 ----D---- C:\Documents and Settings\All Users\Application Data\PC Drivers HeadQuarters
2008-12-19 23:29:07 ----A---- C:\Report everest.txt
2008-12-18 02:40:34 ----A---- C:\DMACHECK.EXE
2008-12-17 22:08:30 ----A---- C:\WINDOWS\system32\IDEproperty.dll
2008-12-16 21:46:29 ----A---- C:\WINDOWS\system32\ativvaxx.dll
2008-12-16 21:46:25 ----A---- C:\WINDOWS\system32\ati3duag.dll
2008-12-16 21:12:22 ----D---- C:\Program Files\Fichiers communs\3DO Shared
2008-12-16 21:12:22 ----D---- C:\Program Files\3DO
2008-12-06 10:10:28 ----D---- C:\Documents and Settings\Administrateur\Application Data\vlc
2008-11-28 22:06:40 ----D---- C:\OpenCandy
2008-11-23 20:13:28 ----A---- C:\WINDOWS\system32\javaws.exe
2008-11-23 20:13:28 ----A---- C:\WINDOWS\system32\javaw.exe
2008-11-23 20:13:28 ----A---- C:\WINDOWS\system32\java.exe
2008-11-23 20:13:28 ----A---- C:\WINDOWS\system32\deploytk.dll
2008-11-23 20:12:46 ----D---- C:\Program Files\Java
2008-11-23 10:42:53 ----D---- C:\Documents and Settings\Administrateur\Application Data\dvdcss
2008-11-22 16:58:32 ----D---- C:\Program Files\SFR
2008-11-19 21:15:09 ----D---- C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-11-11 21:52:41 ----A---- C:\WINDOWS\system32\Audio3D.dll
2008-11-11 21:52:40 ----N---- C:\WINDOWS\system32\FirstReboot.exe
2008-11-11 21:45:04 ----N---- C:\WINDOWS\system32\DeleteCPL.exe
2008-11-11 21:26:11 ----N---- C:\WINDOWS\system32\EndInstall.exe
2008-11-11 20:09:42 ----A---- C:\WINDOWS\NeroDigital.ini
2008-11-09 13:09:55 ----D---- C:\Program Files\TechCity Solutions
2008-11-02 19:29:11 ----D---- C:\Program Files\RegCleaner
2008-11-01 21:07:11 ----D---- C:\Documents and Settings\Administrateur\Application Data\Ahead
2008-11-01 21:03:46 ----D---- C:\Program Files\Fichiers communs\Ahead
======List of files/folders modified in the last 2 months======
2008-12-26 22:37:08 ----RD---- C:\Program Files
2008-12-26 22:15:45 ----D---- C:\Program Files\Mozilla Firefox
2008-12-26 22:07:18 ----D---- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-12-26 20:58:55 ----D---- C:\WINDOWS\CAVTemp
2008-12-26 20:58:16 ----RSHDC---- C:\WINDOWS\system32\dllcache
2008-12-26 20:58:16 ----D---- C:\WINDOWS
2008-12-26 20:58:04 ----D---- C:\WINDOWS\system32
2008-12-26 20:58:03 ----D---- C:\WINDOWS\system32\CatRoot2
2008-12-26 20:57:50 ----D---- C:\WINDOWS\Registration
2008-12-26 20:55:54 ----ASH---- C:\boot.ini
2008-12-26 20:55:54 ----A---- C:\WINDOWS\win.ini
2008-12-26 20:55:54 ----A---- C:\WINDOWS\system.ini
2008-12-26 20:39:29 ----D---- C:\WINDOWS\system32\drivers
2008-12-26 05:14:34 ----D---- C:\WINDOWS\SoftwareDistribution
2008-12-26 05:14:33 ----D---- C:\WINDOWS\Temp
2008-12-26 05:14:28 ----HD---- C:\WINDOWS\inf
2008-12-26 05:14:28 ----D---- C:\WINDOWS\Help
2008-12-26 05:13:35 ----SD---- C:\WINDOWS\Downloaded Program Files
2008-12-26 05:06:06 ----D---- C:\WINDOWS\Debug
2008-12-26 04:38:06 ----D---- C:\WINDOWS\system32\LogFiles
2008-12-26 04:38:06 ----D---- C:\WINDOWS\Prefetch
2008-12-25 23:21:15 ----SHD---- C:\System Volume Information
2008-12-25 23:21:15 ----D---- C:\WINDOWS\system32\Restore
2008-12-25 22:06:17 ----SHD---- C:\WINDOWS\Installer
2008-12-25 22:04:38 ----D---- C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-12-25 21:10:25 ----D---- C:\WINDOWS\Internet Logs
2008-12-25 20:29:44 ----D---- C:\WINDOWS\system32\ZoneLabs
2008-12-23 21:20:39 ----DC---- C:\WINDOWS\system32\DRVSTORE
2008-12-23 21:20:30 ----D---- C:\WINDOWS\system32\ReinstallBackups
2008-12-20 00:11:37 ----A---- C:\WINDOWS\system32\svchost.exe
2008-12-20 00:02:15 ----SD---- C:\WINDOWS\Tasks
2008-12-19 23:31:56 ----HD---- C:\Program Files\InstallShield Installation Information
2008-12-19 23:31:53 ----RSD---- C:\WINDOWS\assembly
2008-12-19 22:53:29 ----D---- C:\WINDOWS\system32\config
2008-12-18 21:59:15 ----D---- C:\Documents and Settings\Administrateur\Application Data\Skype
2008-12-18 21:32:37 ----D---- C:\Documents and Settings\Administrateur\Application Data\skypePM
2008-12-17 22:36:10 ----D---- C:\WINDOWS\system32\CatRoot
2008-12-16 21:53:00 ----D---- C:\Documents and Settings\Administrateur\Application Data\ATI
2008-12-16 21:46:15 ----A---- C:\WINDOWS\Wininit.ini
2008-12-16 21:12:22 ----D---- C:\Program Files\Fichiers communs
2008-11-19 19:28:11 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2008-11-18 21:00:26 ----D---- C:\Documents and Settings\Administrateur\Application Data\Canon
2008-11-11 21:57:26 ----D---- C:\WINDOWS\system
2008-11-11 21:56:28 ----D---- C:\WINDOWS\cwcdata
2008-11-11 21:56:09 ----D---- C:\WINDOWS\Driver Cache
2008-11-06 19:30:35 ----A---- C:\WINDOWS\ODBC.INI
2008-11-02 18:58:11 ----D---- C:\Documents and Settings\Administrateur\Application Data\Real
2008-11-02 18:54:24 ----D---- C:\Documents and Settings\All Users\Application Data\Apple Computer
======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
R1 AmdK7;Pilote de processeur AMD K7; C:\WINDOWS\System32\DRIVERS\amdk7.sys [2004-08-19 41600]
R1 kbdhid;Pilote HID de clavier; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2004-08-19 14848]
R1 VETFDDNT;VET Floppy Boot Sector Monitor; C:\WINDOWS\system32\drivers\VETFDDNT.sys [2008-02-24 114856]
R1 VET-FILT;VET File System Filter; C:\WINDOWS\system32\drivers\VET-FILT.sys [2005-05-13 21605]
R1 VETMONNT;VET File and Macro Monitor; C:\WINDOWS\system32\drivers\VETMONNT.sys [2008-02-24 896472]
R1 VET-REC;VET File System Recognizer; C:\WINDOWS\system32\drivers\VET-REC.sys [2005-05-13 15668]
R1 vsdatant;vsdatant; C:\WINDOWS\System32\vsdatant.sys [2006-03-16 372824]
R1 WS2IFSL;Environnement de prise en charge de Fournisseur de services non-IFS Windows Sockets 2.0; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2001-08-28 12032]
R2 fssfltr;FssFltr; C:\WINDOWS\system32\DRIVERS\fssfltr.sys [2007-10-17 43816]
R2 ROB_A;Pinnacle WDM PCTV Audio Capture; C:\WINDOWS\system32\DRIVERS\rob_a.sys [2003-02-10 17664]
R2 ROB_V;Pinnacle WDM PCTV Video Capture; C:\WINDOWS\system32\drivers\rob_v.sys [2003-04-11 125568]
R3 ati2mtaa;ati2mtaa; C:\WINDOWS\system32\DRIVERS\ati2mtaa.sys [2004-08-19 327168]
R3 hercspud;Hercules (R) WDM Audio Driver; C:\WINDOWS\system32\drivers\hercspud.sys [2003-01-10 135936]
R3 hercwdm;Hercules (R) WDM Interface Driver; C:\WINDOWS\system32\drivers\hercwdm.sys [2003-01-10 466688]
R3 HidUsb;Pilote de classe HID Microsoft; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2001-08-17 9600]
R3 mouhid;Pilote HID de souris; C:\WINDOWS\System32\DRIVERS\mouhid.sys [2001-08-23 12288]
R3 ms_mpu401;Pilote UART MIDI MPU-401 Microsoft; C:\WINDOWS\system32\drivers\msmpu401.sys [2001-08-17 2944]
R3 pctvvbi;PCTVVBI; C:\WINDOWS\system32\DRIVERS\pctvvbi.sys [2002-11-11 6400]
R3 Pfc;Padus ASPI Shell; C:\WINDOWS\system32\drivers\pfc.sys [2002-06-17 14604]
R3 Point32;Microsoft IntelliPoint Filter Driver; C:\WINDOWS\system32\DRIVERS\point32.sys [2008-06-10 31048]
R3 usbccgp;Pilote parent générique USB Microsoft; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2004-08-03 31616]
R3 usbehci;Pilote miniport de contrôleur d'hôte amélioré Microsoft USB 2.0; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2004-08-03 26624]
R3 usbhub;Concentrateur USB2; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2004-08-03 57600]
R3 usbohci;Pilote miniport de contrôleur hôte ouvert USB Microsoft; C:\WINDOWS\System32\DRIVERS\usbohci.sys [2004-08-03 17024]
S1 de093aba;de093aba; C:\WINDOWS\System32\drivers\de093aba.sys []
S1 tdssserv.sys.REN;tdssserv.sys.REN; C:\WINDOWS\system32\drivers\TDSSpqlt.sys []
S3 CCDECODE;Décodeur sous-titre fermé; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2004-08-03 17024]
S3 cmuda;C-Media WDM Audio Interface; C:\WINDOWS\system32\drivers\cmuda.sys []
S3 CrystalSysInfo;CrystalSysInfo; \??\D:\Program Files\MediaCoder\SysInfo.sys []
S3 driverhardwarev2;driverhardwarev2; \??\C:\Program Files\ma-config.com\Drivers\driverhardwarev2.sys []
S3 DSDrv4;DSDrv4; \??\D:\PROGRA~1\K!TV\Plugins\S_Bt8x8\DSDrv4.sys []
S3 MSTEE;Convertisseur en T/site-à-site de répartition Microsoft; C:\WINDOWS\system32\drivers\MSTEE.sys [2004-08-03 5504]
S3 NABTSFEC;Codec NABTS/FEC VBI; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2004-08-03 85376]
S3 NdisIP;Connection TV/vidéo Microsoft; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2004-08-03 10880]
S3 rtl8139;Pilote NT de carte Realtek PCI Fast Ethernet à base RTL8139(A/B/C); C:\WINDOWS\system32\DRIVERS\RTL8139.SYS [2004-08-03 20992]
S3 Ser2pl;Prolific Serial port driver; C:\WINDOWS\system32\DRIVERS\ser2pl.sys [2004-06-28 42752]
S3 SISNIC;Pilote de carte Fast Ethernet PCI SiS; C:\WINDOWS\System32\DRIVERS\sisnic.sys [2004-08-03 32768]
S3 SISNICXP;SiS PCI Fast Ethernet Adapter Driver for NDIS51; C:\WINDOWS\system32\DRIVERS\sisnicxp.sys [2006-02-14 32768]
S3 SLIP;Détrameur décalage BDA; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2004-08-03 11136]
S3 streamip;BDA IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2004-08-03 15360]
S3 USB_RNDIS_51;Broadcom USB Remote NDIS Device Driver; C:\WINDOWS\system32\DRIVERS\usb8023.sys [2004-08-03 12672]
S3 usbscan;Pilote de scanneur USB; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 15104]
S3 USBSTOR;Pilote de stockage de masse USB; C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]
S3 WSTCODEC;Codec Teletext standard; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2004-08-03 19328]
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []
======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
S4 a2free;a-squared Free Service; d:\Program Files\a-squared Free\a2service.exe [2008-12-23 419448]
S4 aawservice;Lavasoft Ad-Aware Service; D:\Program Files\Lavasoft\Ad-Aware\aawservice.exe [2008-12-25 611664]
S4 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2005-09-23 29896]
S4 CAISafe;CA ISafe; C:\WINDOWS\system32\ZoneLabs\isafe.exe [2005-06-23 188416]
S4 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2005-09-23 66240]
S4 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe [2006-10-20 36864]
S4 fsssvc;Windows Live OneCare Contrôle parental; C:\Program Files\Windows Live\Contrôle parental\fsssvc.exe [2007-10-17 523816]
S4 IDriverT;InstallDriver Table Manager; C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe [2005-04-03 69632]
S4 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2006-10-30 741376]
S4 JavaQuickStarterService;Java Quick Starter; C:\Program Files\Java\jre6\bin\jqs.exe [2008-11-23 152984]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2006-10-30 122880]
S4 sp_rssrv;Spyware Terminator Realtime Shield Service; d:\Program Files\Spyware Terminator\sp_rsser.exe [2008-12-25 540672]
S4 usnjsvc;Service Messenger Sharing Folders USN Journal Reader; C:\Program Files\Windows Live\Messenger\usnsvc.exe [2007-10-18 98328]
S4 UxTuneUp;Extension de conception TuneUp; C:\WINDOWS\System32\svchost.exe [2008-12-20 14336]
S4 vsmon;TrueVector Internet Monitor; C:\WINDOWS\system32\ZoneLabs\vsmon.exe [2006-03-16 1693464]
S4 WLSetupSvc;Windows Live Setup Service; C:\Program Files\Windows Live\installer\WLSetupSvc.exe [2007-10-25 266240]
S4 WMPNetworkSvc;Service Partage réseau du Lecteur Windows Media; C:\Program Files\Windows Media Player\WMPNetwk.exe [2006-11-03 918016]
S4 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-12-20 14336]
-----------------EOF-----------------
======List of files/folders created in the last 2 months======
2008-12-26 22:36:38 ----A---- C:\TB.txt
2008-12-26 22:12:40 ----D---- C:\ToolBar SD
2008-12-26 22:08:47 ----A---- C:\RSIT.exe
2008-12-26 20:59:20 ----A---- C:\log ss echec.txt
2008-12-26 20:59:20 ----A---- C:\info ss echec.txt
2008-12-26 20:51:53 ----D---- C:\rsit
2008-12-26 05:14:19 ----A---- C:\WINDOWS\system32\wuapi.dll.mui
2008-12-26 05:13:33 ----D---- C:\WINDOWS\LastGood
2008-12-26 05:06:06 ----D---- C:\WINDOWS\report
2008-12-26 05:05:19 ----D---- C:\WINDOWS\AU_Backup
2008-12-26 05:05:19 ----A---- C:\WINDOWS\tsc.ini
2008-12-26 05:05:18 ----A---- C:\WINDOWS\vsapi32.dll
2008-12-26 05:05:18 ----A---- C:\WINDOWS\tsc.exe
2008-12-26 05:05:18 ----A---- C:\WINDOWS\hcextoutput.dll
2008-12-26 05:05:18 ----A---- C:\WINDOWS\BPMNT.dll
2008-12-26 05:03:42 ----A---- C:\WINDOWS\GetServer.ini
2008-12-26 05:03:41 ----D---- C:\WINDOWS\AU_Temp
2008-12-26 05:03:41 ----D---- C:\WINDOWS\AU_Log
2008-12-26 05:03:37 ----A---- C:\xscan.txt
2008-12-26 05:03:33 ----A---- C:\WINDOWS\TMUPDATE.DLL
2008-12-26 05:03:32 ----A---- C:\WINDOWS\UNZIP.DLL
2008-12-26 05:03:31 ----A---- C:\WINDOWS\PATCH.EXE
2008-12-25 23:10:15 ----A---- C:\spyware terminator.txt
2008-12-25 23:02:22 ----D---- C:\Documents and Settings\Administrateur\Application Data\Spyware Terminator
2008-12-25 23:02:07 ----D---- C:\Documents and Settings\All Users\Application Data\Spyware Terminator
2008-12-25 20:35:12 ----A---- C:\RootkitReveal.txt
2008-12-24 15:53:43 ----D---- C:\f-vmonde
2008-12-24 00:53:18 ----D---- C:\Documents and Settings\Administrateur\Application Data\Malwarebytes
2008-12-24 00:52:56 ----D---- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-12-24 00:52:55 ----D---- C:\Program Files\Malwarebytes' Anti-Malware
2008-12-23 21:19:42 ----D---- C:\Program Files\Microsoft IntelliPoint
2008-12-22 22:12:22 ----D---- C:\Documents and Settings\All Users\Application Data\{148D8B8A-8F96-4822-81EC-D510B626B7D5}
2008-12-22 21:28:03 ----A---- C:\WINDOWS\system32\XceedZip.dll
2008-12-22 20:32:12 ----SH---- C:\WINDOWS\system32\sjktoncf.ini
2008-12-22 20:31:29 ----A---- C:\WINDOWS\system32\a76dec3b-.txt
2008-12-19 23:31:05 ----D---- C:\Documents and Settings\All Users\Application Data\PC Drivers HeadQuarters
2008-12-19 23:29:07 ----A---- C:\Report everest.txt
2008-12-18 02:40:34 ----A---- C:\DMACHECK.EXE
2008-12-17 22:08:30 ----A---- C:\WINDOWS\system32\IDEproperty.dll
2008-12-16 21:46:29 ----A---- C:\WINDOWS\system32\ativvaxx.dll
2008-12-16 21:46:25 ----A---- C:\WINDOWS\system32\ati3duag.dll
2008-12-16 21:12:22 ----D---- C:\Program Files\Fichiers communs\3DO Shared
2008-12-16 21:12:22 ----D---- C:\Program Files\3DO
2008-12-06 10:10:28 ----D---- C:\Documents and Settings\Administrateur\Application Data\vlc
2008-11-28 22:06:40 ----D---- C:\OpenCandy
2008-11-23 20:13:28 ----A---- C:\WINDOWS\system32\javaws.exe
2008-11-23 20:13:28 ----A---- C:\WINDOWS\system32\javaw.exe
2008-11-23 20:13:28 ----A---- C:\WINDOWS\system32\java.exe
2008-11-23 20:13:28 ----A---- C:\WINDOWS\system32\deploytk.dll
2008-11-23 20:12:46 ----D---- C:\Program Files\Java
2008-11-23 10:42:53 ----D---- C:\Documents and Settings\Administrateur\Application Data\dvdcss
2008-11-22 16:58:32 ----D---- C:\Program Files\SFR
2008-11-19 21:15:09 ----D---- C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-11-11 21:52:41 ----A---- C:\WINDOWS\system32\Audio3D.dll
2008-11-11 21:52:40 ----N---- C:\WINDOWS\system32\FirstReboot.exe
2008-11-11 21:45:04 ----N---- C:\WINDOWS\system32\DeleteCPL.exe
2008-11-11 21:26:11 ----N---- C:\WINDOWS\system32\EndInstall.exe
2008-11-11 20:09:42 ----A---- C:\WINDOWS\NeroDigital.ini
2008-11-09 13:09:55 ----D---- C:\Program Files\TechCity Solutions
2008-11-02 19:29:11 ----D---- C:\Program Files\RegCleaner
2008-11-01 21:07:11 ----D---- C:\Documents and Settings\Administrateur\Application Data\Ahead
2008-11-01 21:03:46 ----D---- C:\Program Files\Fichiers communs\Ahead
======List of files/folders modified in the last 2 months======
2008-12-26 22:37:08 ----RD---- C:\Program Files
2008-12-26 22:15:45 ----D---- C:\Program Files\Mozilla Firefox
2008-12-26 22:07:18 ----D---- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-12-26 20:58:55 ----D---- C:\WINDOWS\CAVTemp
2008-12-26 20:58:16 ----RSHDC---- C:\WINDOWS\system32\dllcache
2008-12-26 20:58:16 ----D---- C:\WINDOWS
2008-12-26 20:58:04 ----D---- C:\WINDOWS\system32
2008-12-26 20:58:03 ----D---- C:\WINDOWS\system32\CatRoot2
2008-12-26 20:57:50 ----D---- C:\WINDOWS\Registration
2008-12-26 20:55:54 ----ASH---- C:\boot.ini
2008-12-26 20:55:54 ----A---- C:\WINDOWS\win.ini
2008-12-26 20:55:54 ----A---- C:\WINDOWS\system.ini
2008-12-26 20:39:29 ----D---- C:\WINDOWS\system32\drivers
2008-12-26 05:14:34 ----D---- C:\WINDOWS\SoftwareDistribution
2008-12-26 05:14:33 ----D---- C:\WINDOWS\Temp
2008-12-26 05:14:28 ----HD---- C:\WINDOWS\inf
2008-12-26 05:14:28 ----D---- C:\WINDOWS\Help
2008-12-26 05:13:35 ----SD---- C:\WINDOWS\Downloaded Program Files
2008-12-26 05:06:06 ----D---- C:\WINDOWS\Debug
2008-12-26 04:38:06 ----D---- C:\WINDOWS\system32\LogFiles
2008-12-26 04:38:06 ----D---- C:\WINDOWS\Prefetch
2008-12-25 23:21:15 ----SHD---- C:\System Volume Information
2008-12-25 23:21:15 ----D---- C:\WINDOWS\system32\Restore
2008-12-25 22:06:17 ----SHD---- C:\WINDOWS\Installer
2008-12-25 22:04:38 ----D---- C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-12-25 21:10:25 ----D---- C:\WINDOWS\Internet Logs
2008-12-25 20:29:44 ----D---- C:\WINDOWS\system32\ZoneLabs
2008-12-23 21:20:39 ----DC---- C:\WINDOWS\system32\DRVSTORE
2008-12-23 21:20:30 ----D---- C:\WINDOWS\system32\ReinstallBackups
2008-12-20 00:11:37 ----A---- C:\WINDOWS\system32\svchost.exe
2008-12-20 00:02:15 ----SD---- C:\WINDOWS\Tasks
2008-12-19 23:31:56 ----HD---- C:\Program Files\InstallShield Installation Information
2008-12-19 23:31:53 ----RSD---- C:\WINDOWS\assembly
2008-12-19 22:53:29 ----D---- C:\WINDOWS\system32\config
2008-12-18 21:59:15 ----D---- C:\Documents and Settings\Administrateur\Application Data\Skype
2008-12-18 21:32:37 ----D---- C:\Documents and Settings\Administrateur\Application Data\skypePM
2008-12-17 22:36:10 ----D---- C:\WINDOWS\system32\CatRoot
2008-12-16 21:53:00 ----D---- C:\Documents and Settings\Administrateur\Application Data\ATI
2008-12-16 21:46:15 ----A---- C:\WINDOWS\Wininit.ini
2008-12-16 21:12:22 ----D---- C:\Program Files\Fichiers communs
2008-11-19 19:28:11 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2008-11-18 21:00:26 ----D---- C:\Documents and Settings\Administrateur\Application Data\Canon
2008-11-11 21:57:26 ----D---- C:\WINDOWS\system
2008-11-11 21:56:28 ----D---- C:\WINDOWS\cwcdata
2008-11-11 21:56:09 ----D---- C:\WINDOWS\Driver Cache
2008-11-06 19:30:35 ----A---- C:\WINDOWS\ODBC.INI
2008-11-02 18:58:11 ----D---- C:\Documents and Settings\Administrateur\Application Data\Real
2008-11-02 18:54:24 ----D---- C:\Documents and Settings\All Users\Application Data\Apple Computer
======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
R1 AmdK7;Pilote de processeur AMD K7; C:\WINDOWS\System32\DRIVERS\amdk7.sys [2004-08-19 41600]
R1 kbdhid;Pilote HID de clavier; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2004-08-19 14848]
R1 VETFDDNT;VET Floppy Boot Sector Monitor; C:\WINDOWS\system32\drivers\VETFDDNT.sys [2008-02-24 114856]
R1 VET-FILT;VET File System Filter; C:\WINDOWS\system32\drivers\VET-FILT.sys [2005-05-13 21605]
R1 VETMONNT;VET File and Macro Monitor; C:\WINDOWS\system32\drivers\VETMONNT.sys [2008-02-24 896472]
R1 VET-REC;VET File System Recognizer; C:\WINDOWS\system32\drivers\VET-REC.sys [2005-05-13 15668]
R1 vsdatant;vsdatant; C:\WINDOWS\System32\vsdatant.sys [2006-03-16 372824]
R1 WS2IFSL;Environnement de prise en charge de Fournisseur de services non-IFS Windows Sockets 2.0; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2001-08-28 12032]
R2 fssfltr;FssFltr; C:\WINDOWS\system32\DRIVERS\fssfltr.sys [2007-10-17 43816]
R2 ROB_A;Pinnacle WDM PCTV Audio Capture; C:\WINDOWS\system32\DRIVERS\rob_a.sys [2003-02-10 17664]
R2 ROB_V;Pinnacle WDM PCTV Video Capture; C:\WINDOWS\system32\drivers\rob_v.sys [2003-04-11 125568]
R3 ati2mtaa;ati2mtaa; C:\WINDOWS\system32\DRIVERS\ati2mtaa.sys [2004-08-19 327168]
R3 hercspud;Hercules (R) WDM Audio Driver; C:\WINDOWS\system32\drivers\hercspud.sys [2003-01-10 135936]
R3 hercwdm;Hercules (R) WDM Interface Driver; C:\WINDOWS\system32\drivers\hercwdm.sys [2003-01-10 466688]
R3 HidUsb;Pilote de classe HID Microsoft; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2001-08-17 9600]
R3 mouhid;Pilote HID de souris; C:\WINDOWS\System32\DRIVERS\mouhid.sys [2001-08-23 12288]
R3 ms_mpu401;Pilote UART MIDI MPU-401 Microsoft; C:\WINDOWS\system32\drivers\msmpu401.sys [2001-08-17 2944]
R3 pctvvbi;PCTVVBI; C:\WINDOWS\system32\DRIVERS\pctvvbi.sys [2002-11-11 6400]
R3 Pfc;Padus ASPI Shell; C:\WINDOWS\system32\drivers\pfc.sys [2002-06-17 14604]
R3 Point32;Microsoft IntelliPoint Filter Driver; C:\WINDOWS\system32\DRIVERS\point32.sys [2008-06-10 31048]
R3 usbccgp;Pilote parent générique USB Microsoft; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2004-08-03 31616]
R3 usbehci;Pilote miniport de contrôleur d'hôte amélioré Microsoft USB 2.0; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2004-08-03 26624]
R3 usbhub;Concentrateur USB2; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2004-08-03 57600]
R3 usbohci;Pilote miniport de contrôleur hôte ouvert USB Microsoft; C:\WINDOWS\System32\DRIVERS\usbohci.sys [2004-08-03 17024]
S1 de093aba;de093aba; C:\WINDOWS\System32\drivers\de093aba.sys []
S1 tdssserv.sys.REN;tdssserv.sys.REN; C:\WINDOWS\system32\drivers\TDSSpqlt.sys []
S3 CCDECODE;Décodeur sous-titre fermé; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2004-08-03 17024]
S3 cmuda;C-Media WDM Audio Interface; C:\WINDOWS\system32\drivers\cmuda.sys []
S3 CrystalSysInfo;CrystalSysInfo; \??\D:\Program Files\MediaCoder\SysInfo.sys []
S3 driverhardwarev2;driverhardwarev2; \??\C:\Program Files\ma-config.com\Drivers\driverhardwarev2.sys []
S3 DSDrv4;DSDrv4; \??\D:\PROGRA~1\K!TV\Plugins\S_Bt8x8\DSDrv4.sys []
S3 MSTEE;Convertisseur en T/site-à-site de répartition Microsoft; C:\WINDOWS\system32\drivers\MSTEE.sys [2004-08-03 5504]
S3 NABTSFEC;Codec NABTS/FEC VBI; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2004-08-03 85376]
S3 NdisIP;Connection TV/vidéo Microsoft; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2004-08-03 10880]
S3 rtl8139;Pilote NT de carte Realtek PCI Fast Ethernet à base RTL8139(A/B/C); C:\WINDOWS\system32\DRIVERS\RTL8139.SYS [2004-08-03 20992]
S3 Ser2pl;Prolific Serial port driver; C:\WINDOWS\system32\DRIVERS\ser2pl.sys [2004-06-28 42752]
S3 SISNIC;Pilote de carte Fast Ethernet PCI SiS; C:\WINDOWS\System32\DRIVERS\sisnic.sys [2004-08-03 32768]
S3 SISNICXP;SiS PCI Fast Ethernet Adapter Driver for NDIS51; C:\WINDOWS\system32\DRIVERS\sisnicxp.sys [2006-02-14 32768]
S3 SLIP;Détrameur décalage BDA; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2004-08-03 11136]
S3 streamip;BDA IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2004-08-03 15360]
S3 USB_RNDIS_51;Broadcom USB Remote NDIS Device Driver; C:\WINDOWS\system32\DRIVERS\usb8023.sys [2004-08-03 12672]
S3 usbscan;Pilote de scanneur USB; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 15104]
S3 USBSTOR;Pilote de stockage de masse USB; C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]
S3 WSTCODEC;Codec Teletext standard; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2004-08-03 19328]
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []
======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
S4 a2free;a-squared Free Service; d:\Program Files\a-squared Free\a2service.exe [2008-12-23 419448]
S4 aawservice;Lavasoft Ad-Aware Service; D:\Program Files\Lavasoft\Ad-Aware\aawservice.exe [2008-12-25 611664]
S4 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2005-09-23 29896]
S4 CAISafe;CA ISafe; C:\WINDOWS\system32\ZoneLabs\isafe.exe [2005-06-23 188416]
S4 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2005-09-23 66240]
S4 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe [2006-10-20 36864]
S4 fsssvc;Windows Live OneCare Contrôle parental; C:\Program Files\Windows Live\Contrôle parental\fsssvc.exe [2007-10-17 523816]
S4 IDriverT;InstallDriver Table Manager; C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe [2005-04-03 69632]
S4 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2006-10-30 741376]
S4 JavaQuickStarterService;Java Quick Starter; C:\Program Files\Java\jre6\bin\jqs.exe [2008-11-23 152984]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2006-10-30 122880]
S4 sp_rssrv;Spyware Terminator Realtime Shield Service; d:\Program Files\Spyware Terminator\sp_rsser.exe [2008-12-25 540672]
S4 usnjsvc;Service Messenger Sharing Folders USN Journal Reader; C:\Program Files\Windows Live\Messenger\usnsvc.exe [2007-10-18 98328]
S4 UxTuneUp;Extension de conception TuneUp; C:\WINDOWS\System32\svchost.exe [2008-12-20 14336]
S4 vsmon;TrueVector Internet Monitor; C:\WINDOWS\system32\ZoneLabs\vsmon.exe [2006-03-16 1693464]
S4 WLSetupSvc;Windows Live Setup Service; C:\Program Files\Windows Live\installer\WLSetupSvc.exe [2007-10-25 266240]
S4 WMPNetworkSvc;Service Partage réseau du Lecteur Windows Media; C:\Program Files\Windows Media Player\WMPNetwk.exe [2006-11-03 918016]
S4 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-12-20 14336]
-----------------EOF-----------------
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
464
26 déc. 2008 à 22:47
26 déc. 2008 à 22:47
Bien ...
supprime ton hijackthis , il n'est pas installer comme il faut ( il manque du coup des donnée importante dans le rapport RSIT ) .
ensuite reprends ainsi :
1- Télécharge et installe le logiciel HijackThis :
ici HijackThis
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html
> Clique sur le setup pour lancer l'installe : laisse toi guider et ne modifie pas les paramètres d'installation .
A la fin de l'installe , le prg ce lance automatiquement : ferme le en cliquant sur la croix rouge .
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .
2- Télécharger haxfix sur le bureau :
http://users.telenet.be/marcvn/tools/haxfix.exe
! Se déconnecter d'internet et fermer toutes applications en cours !
A- Installation :
* Double clique sur haxfix.exe pour installer l'outil .
(Ne pas modifier les paramètre d'installe ! C:\program Files\haxfix)
* Coche "Create a desktop icon" .
* Clique "Next" .
* Quand l'installation est terminée, s'assurer que "Launch HaxFix" est coché .
* Puis clique "Finish" .
B- Utilisation :
Après l'installe , Une "fenêtre DOS" à fond rouge s'ouvre avec les options suivantes:
1. Make logfile (créer un rapport)
2. Run auto fix (lancer la réparation en mode automatique)
3. Run manual fix (lancer la réparation en mode manuel)
E. Exit Haxfix (quitter Haxfix)
* Selectionne l'option " Make logfile " : tape 1 puis tape [Entrée] .
> Haxfix va analyser le système . Ne rien faire et laisser travailler l'outil ...
Quand il a fini, un rapport s'ouvrira: haxlog.txt
(le rapport sera en outre sauvegardé ici > C:\haxlog.txt)
Colle ce rapport dans ta prochiane réponse pour analyse ...
supprime ton hijackthis , il n'est pas installer comme il faut ( il manque du coup des donnée importante dans le rapport RSIT ) .
ensuite reprends ainsi :
1- Télécharge et installe le logiciel HijackThis :
ici HijackThis
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html
> Clique sur le setup pour lancer l'installe : laisse toi guider et ne modifie pas les paramètres d'installation .
A la fin de l'installe , le prg ce lance automatiquement : ferme le en cliquant sur la croix rouge .
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .
2- Télécharger haxfix sur le bureau :
http://users.telenet.be/marcvn/tools/haxfix.exe
! Se déconnecter d'internet et fermer toutes applications en cours !
A- Installation :
* Double clique sur haxfix.exe pour installer l'outil .
(Ne pas modifier les paramètre d'installe ! C:\program Files\haxfix)
* Coche "Create a desktop icon" .
* Clique "Next" .
* Quand l'installation est terminée, s'assurer que "Launch HaxFix" est coché .
* Puis clique "Finish" .
B- Utilisation :
Après l'installe , Une "fenêtre DOS" à fond rouge s'ouvre avec les options suivantes:
1. Make logfile (créer un rapport)
2. Run auto fix (lancer la réparation en mode automatique)
3. Run manual fix (lancer la réparation en mode manuel)
E. Exit Haxfix (quitter Haxfix)
* Selectionne l'option " Make logfile " : tape 1 puis tape [Entrée] .
> Haxfix va analyser le système . Ne rien faire et laisser travailler l'outil ...
Quand il a fini, un rapport s'ouvrira: haxlog.txt
(le rapport sera en outre sauvegardé ici > C:\haxlog.txt)
Colle ce rapport dans ta prochiane réponse pour analyse ...
bibi_fricotin
Messages postés
197
Date d'inscription
mardi 9 novembre 2004
Statut
Membre
Dernière intervention
3 juillet 2014
23
27 déc. 2008 à 08:40
27 déc. 2008 à 08:40
Bonjour SKE69,
J'ai donc fait ce que tu m'as dit.
Voilà le rapport de Haxfix (pour info cette version de Haxfix est une appli DOS) :
HAXFIX logfile - by Marckie
version 5.049
27/12/2008 8:31:41.22
running from C:\HaxFix
--- Checking for Haxdoor ---
checking for a3d files
a3d files not found
checking for matching notify keys
matching notify keys found
AtiE
checking for matching services
no matching services found
checking for matching safeboot services
no matching safeboot services found
--- Checking for Goldun - Spybanker ---
checking for SSODL keys
no ssodl keys found
checking for notify keys
no notify keys found
checking for services
no services found
checking for browser helper objects
no known browser helper objects found
checking for appinit files
no files found
checking for possible infected files
please submit these file here: https://www.bleepingcomputer.com/submit-malware.php?channel=11
no files found
checking iexplore.exe
iexplore.exe is not infected
--- Checking for other Goldun, Spybanker and Haxdoor files ---
no other Haxdoor or Goldun files found
--- Catchme logfile - thank you Gmer ---
catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-27 08:32:30
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tdssserv.sys\Enum.REN]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tdssserv.sys\Enum.REN.REN]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tdssserv.sys\modules]
"TDSSserv"="\systemroot\system32\drivers\TDSSpqlt.sys"
"TDSSl"="\systemroot\system32\TDSSoiqh.dll"
"tdssservers"="\systemroot\system32\TDSSorvd.dat"
"tdssmain"="\systemroot\system32\TDSSbrsr.dll"
"tdsslog"="\systemroot\system32\TDSSriqp.dll"
"tdssadw"="\systemroot\system32\TDSSxfum.dll"
"tdssinit"="\systemroot\system32\TDSSlxwp.dll"
"tdssurls"="\systemroot\system32\TDSSnmxh.log"
"tdsspanels"="\systemroot\system32\TDSSsihc.dll"
"tdsserrors"="\systemroot\system32\TDSSrhym.log"
"TDSSproc"="\systemroot\system32\TDSStkdu.log"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tdssserv.sys\modules.REN]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tdssserv.sys\modules.REN.REN]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\tdssserv.sys\Enum.REN]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\tdssserv.sys\Enum.REN.REN]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\tdssserv.sys\modules]
"TDSSserv"="\systemroot\system32\drivers\TDSSpqlt.sys"
"TDSSl"="\systemroot\system32\TDSSoiqh.dll"
"tdssservers"="\systemroot\system32\TDSSorvd.dat"
"tdssmain"="\systemroot\system32\TDSSbrsr.dll"
"tdsslog"="\systemroot\system32\TDSSriqp.dll"
"tdssadw"="\systemroot\system32\TDSSxfum.dll"
"tdssinit"="\systemroot\system32\TDSSlxwp.dll"
"tdssurls"="\systemroot\system32\TDSSnmxh.log"
"tdsspanels"="\systemroot\system32\TDSSsihc.dll"
"tdsserrors"="\systemroot\system32\TDSSrhym.log"
"TDSSproc"="\systemroot\system32\TDSStkdu.log"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\tdssserv.sys\modules.REN]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\tdssserv.sys\modules.REN.REN]
scanning hidden registry entries ...
source file error: C:\Documents and Settings\Administrateur\ntuser.dat
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
--- Analysing Catchme logfile ---
no matching regkeys found
Finished!
J'ai donc fait ce que tu m'as dit.
Voilà le rapport de Haxfix (pour info cette version de Haxfix est une appli DOS) :
HAXFIX logfile - by Marckie
version 5.049
27/12/2008 8:31:41.22
running from C:\HaxFix
--- Checking for Haxdoor ---
checking for a3d files
a3d files not found
checking for matching notify keys
matching notify keys found
AtiE
checking for matching services
no matching services found
checking for matching safeboot services
no matching safeboot services found
--- Checking for Goldun - Spybanker ---
checking for SSODL keys
no ssodl keys found
checking for notify keys
no notify keys found
checking for services
no services found
checking for browser helper objects
no known browser helper objects found
checking for appinit files
no files found
checking for possible infected files
please submit these file here: https://www.bleepingcomputer.com/submit-malware.php?channel=11
no files found
checking iexplore.exe
iexplore.exe is not infected
--- Checking for other Goldun, Spybanker and Haxdoor files ---
no other Haxdoor or Goldun files found
--- Catchme logfile - thank you Gmer ---
catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-27 08:32:30
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tdssserv.sys\Enum.REN]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tdssserv.sys\Enum.REN.REN]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tdssserv.sys\modules]
"TDSSserv"="\systemroot\system32\drivers\TDSSpqlt.sys"
"TDSSl"="\systemroot\system32\TDSSoiqh.dll"
"tdssservers"="\systemroot\system32\TDSSorvd.dat"
"tdssmain"="\systemroot\system32\TDSSbrsr.dll"
"tdsslog"="\systemroot\system32\TDSSriqp.dll"
"tdssadw"="\systemroot\system32\TDSSxfum.dll"
"tdssinit"="\systemroot\system32\TDSSlxwp.dll"
"tdssurls"="\systemroot\system32\TDSSnmxh.log"
"tdsspanels"="\systemroot\system32\TDSSsihc.dll"
"tdsserrors"="\systemroot\system32\TDSSrhym.log"
"TDSSproc"="\systemroot\system32\TDSStkdu.log"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tdssserv.sys\modules.REN]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tdssserv.sys\modules.REN.REN]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\tdssserv.sys\Enum.REN]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\tdssserv.sys\Enum.REN.REN]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\tdssserv.sys\modules]
"TDSSserv"="\systemroot\system32\drivers\TDSSpqlt.sys"
"TDSSl"="\systemroot\system32\TDSSoiqh.dll"
"tdssservers"="\systemroot\system32\TDSSorvd.dat"
"tdssmain"="\systemroot\system32\TDSSbrsr.dll"
"tdsslog"="\systemroot\system32\TDSSriqp.dll"
"tdssadw"="\systemroot\system32\TDSSxfum.dll"
"tdssinit"="\systemroot\system32\TDSSlxwp.dll"
"tdssurls"="\systemroot\system32\TDSSnmxh.log"
"tdsspanels"="\systemroot\system32\TDSSsihc.dll"
"tdsserrors"="\systemroot\system32\TDSSrhym.log"
"TDSSproc"="\systemroot\system32\TDSStkdu.log"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\tdssserv.sys\modules.REN]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\tdssserv.sys\modules.REN.REN]
scanning hidden registry entries ...
source file error: C:\Documents and Settings\Administrateur\ntuser.dat
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
--- Analysing Catchme logfile ---
no matching regkeys found
Finished!
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
464
27 déc. 2008 à 09:29
27 déc. 2008 à 09:29
Salut,
très bien ... les choses sont très claire .... ^^
je te fais passer une manipe spéciale en Message Privé ( la petite enveloppe en haut de la page à droite ;) ) ...
très bien ... les choses sont très claire .... ^^
je te fais passer une manipe spéciale en Message Privé ( la petite enveloppe en haut de la page à droite ;) ) ...
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
464
27 déc. 2008 à 18:30
27 déc. 2008 à 18:30
Salut,
tu vas refaire Malwarebytes ainsi :
1- Télécharge MalwareByte's :
ici http://www.commentcamarche.net/telecharger/telecharger 34055379 malwarebytes anti malware
ou ici : http://www.malwarebytes.org/mbam.php
* mets Malwarebytes à jour si possible .
* Potasse le tuto pour te familiariser avec le prg :
https://forum.pcastuces.com/sujet.asp?f=31&s=3
( cela dis, il est très simple d'utilisation ).
! Déconnecte toi et ferme toutes applications en cours !
* Lance Malwarebyte's .
Fais un examen dit "Rapide" .
--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "résultat" .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .
Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !
Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date) pour analyse ...
========================
2- Télécharge ComboFix (par sUBs) sur ton Bureau (et pas ailleurs !):
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
--------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
!! Déconnecte toi,ferme tes applications en cours ( ainsi que ton navigateur ) et DESACTIVE TOUTES TES DEFENSES (anti-virus, guarde anti spy-ware, pare-feu) le temps de la manipe :
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!
--->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Note : pour XP, bien installer la Console de Récupération de Windows comme il est indiqué dans le tuto ci-dessus ...
---------------------------------------------------------------------------------------------------------------------------------
Ensuite :
double-clique sur l'icône "combofix.exe" pour lancer l'outil .
Appuie sur la touche Y (Yes) pour démarrer le scan .
Notes importantes :
-> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
-> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes ...
-> si un message d'erreur windows apparait à un momment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )
Le rapport sera crée ici : C:\Combofix.txt
Réactive bien tes défenses .
Poste le rapport Combofix pour analyse et attends la suite ...
tu vas refaire Malwarebytes ainsi :
1- Télécharge MalwareByte's :
ici http://www.commentcamarche.net/telecharger/telecharger 34055379 malwarebytes anti malware
ou ici : http://www.malwarebytes.org/mbam.php
* mets Malwarebytes à jour si possible .
* Potasse le tuto pour te familiariser avec le prg :
https://forum.pcastuces.com/sujet.asp?f=31&s=3
( cela dis, il est très simple d'utilisation ).
! Déconnecte toi et ferme toutes applications en cours !
* Lance Malwarebyte's .
Fais un examen dit "Rapide" .
--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "résultat" .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .
Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !
Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date) pour analyse ...
========================
2- Télécharge ComboFix (par sUBs) sur ton Bureau (et pas ailleurs !):
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
--------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
!! Déconnecte toi,ferme tes applications en cours ( ainsi que ton navigateur ) et DESACTIVE TOUTES TES DEFENSES (anti-virus, guarde anti spy-ware, pare-feu) le temps de la manipe :
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!
--->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Note : pour XP, bien installer la Console de Récupération de Windows comme il est indiqué dans le tuto ci-dessus ...
---------------------------------------------------------------------------------------------------------------------------------
Ensuite :
double-clique sur l'icône "combofix.exe" pour lancer l'outil .
Appuie sur la touche Y (Yes) pour démarrer le scan .
Notes importantes :
-> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
-> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes ...
-> si un message d'erreur windows apparait à un momment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )
Le rapport sera crée ici : C:\Combofix.txt
Réactive bien tes défenses .
Poste le rapport Combofix pour analyse et attends la suite ...
bibi_fricotin
Messages postés
197
Date d'inscription
mardi 9 novembre 2004
Statut
Membre
Dernière intervention
3 juillet 2014
23
27 déc. 2008 à 22:55
27 déc. 2008 à 22:55
Malwarebytes en mode sans échec ne donne aucun élément détecté mais toujours les mêmes en mode normal, même après redémarrage. Chose surprenante, je n'ai plus de son !
Est-on obligé d'installer la console de récupération (mon imprimante étant HS je ne peux pas imprimé le mode d'emploi) ?
Encore merci de ton aide.
Le rapport :
Malwarebytes' Anti-Malware 1.31
Version de la base de données: 1550
Windows 5.1.2600 Service Pack 2
27/12/2008 22:14:02
mbam-log-2008-12-27 (22-13-49).txt
Type de recherche: Examen rapide
Eléments examinés: 48608
Temps écoulé: 13 minute(s), 19 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ati7fjxx (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ati7fjxx (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ati7fjxx (Rootkit.Agent) -> No action taken.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\WINDOWS\system32\Drivers\ati7fjxx.sys (Rootkit.Agent) -> No action taken.
Est-on obligé d'installer la console de récupération (mon imprimante étant HS je ne peux pas imprimé le mode d'emploi) ?
Encore merci de ton aide.
Le rapport :
Malwarebytes' Anti-Malware 1.31
Version de la base de données: 1550
Windows 5.1.2600 Service Pack 2
27/12/2008 22:14:02
mbam-log-2008-12-27 (22-13-49).txt
Type de recherche: Examen rapide
Eléments examinés: 48608
Temps écoulé: 13 minute(s), 19 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ati7fjxx (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ati7fjxx (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ati7fjxx (Rootkit.Agent) -> No action taken.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\WINDOWS\system32\Drivers\ati7fjxx.sys (Rootkit.Agent) -> No action taken.
bibi_fricotin
Messages postés
197
Date d'inscription
mardi 9 novembre 2004
Statut
Membre
Dernière intervention
3 juillet 2014
23
27 déc. 2008 à 23:16
27 déc. 2008 à 23:16
bon le log de Combofix (ouf xp tourne toujours ...)
ComboFix 08-12-26.03 - Administrateur 2008-12-27 23:02:38.1 - NTFSx86
Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe
[COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR]
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\sjktoncf.ini
c:\windows\system32\TDSSorvd.dat
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_tdssserv.sys
-------\Service_tdssserv.sys
((((((((((((((((((((((((((((( Fichiers créés du 2008-11-27 au 2008-12-27 ))))))))))))))))))))))))))))))))))))
.
2008-12-27 08:30 . 2008-12-27 08:34 <REP> d-------- C:\HaxFix
2008-12-27 08:30 . 2008-12-26 23:18 487,438 --a------ C:\HaxFix.exe
2008-12-27 08:28 . 2008-12-27 08:28 <REP> d-------- c:\program files\Trend Micro
2008-12-26 22:12 . 2008-12-26 22:37 <REP> d-------- C:\ToolBar SD
2008-12-26 22:08 . 2008-12-26 10:06 781,851 --a------ C:\RSIT.exe
2008-12-26 20:51 . 2008-12-26 21:00 <REP> d-------- C:\rsit
2008-12-26 05:14 . 2008-10-16 14:08 27,672 --a------ c:\windows\system32\wuapi.dll.mui
2008-12-26 05:06 . 2008-12-26 05:06 <REP> d-------- c:\windows\report
2008-12-26 05:05 . 2008-12-26 05:05 <REP> d-------- c:\windows\AU_Backup
2008-12-26 05:05 . 2008-12-26 05:05 21,602,413 --a------ c:\windows\VPTNFILE.733
2008-12-26 05:05 . 2008-12-26 05:05 21,602,413 --a------ c:\windows\LPT$VPN.733
2008-12-26 05:05 . 2008-12-26 05:05 1,974,930 --a------ c:\windows\tsc.ptn
2008-12-26 05:05 . 2008-12-26 05:05 1,213,784 --a------ c:\windows\vsapi32.dll
2008-12-26 05:05 . 2008-12-26 05:05 345,157 --a------ c:\windows\tsc.exe
2008-12-26 05:05 . 2008-12-26 05:05 91,744 --a------ c:\windows\BPMNT.dll
2008-12-26 05:05 . 2008-12-26 05:05 71,749 --a------ c:\windows\hcextoutput.dll
2008-12-26 05:05 . 2008-12-26 05:15 823 --a------ c:\windows\tsc.ini
2008-12-26 05:03 . 2008-12-26 05:05 <REP> d-------- c:\windows\AU_Temp
2008-12-26 05:03 . 2008-12-26 05:03 <REP> d-------- c:\windows\AU_Log
2008-12-26 05:03 . 2008-12-26 05:03 507,904 --a------ c:\windows\TMUPDATE.DLL
2008-12-26 05:03 . 2008-12-26 05:03 286,720 --a------ c:\windows\PATCH.EXE
2008-12-26 05:03 . 2008-12-26 05:03 69,689 --a------ c:\windows\UNZIP.DLL
2008-12-26 05:03 . 2008-12-26 05:03 170 --a------ c:\windows\GetServer.ini
2008-12-25 23:02 . 2008-12-25 23:11 <REP> d-------- c:\documents and settings\All Users\Application Data\Spyware Terminator
2008-12-25 23:02 . 2008-12-25 23:03 <REP> d-------- c:\documents and settings\Administrateur\Application Data\Spyware Terminator
2008-12-25 23:02 . 2008-12-25 23:02 142,592 --a------ c:\windows\system32\drivers\sp_rsdrv2.sys
2008-12-25 21:05 . 2008-12-25 21:05 93,971,542 --a------ C:\sauve2.reg
2008-12-25 19:47 . 2008-12-25 19:47 <REP> d-------- c:\windows\system32\drivers\old
2008-12-24 15:53 . 2008-12-24 15:53 <REP> d-------- C:\f-vmonde
2008-12-24 00:53 . 2008-12-24 00:53 <REP> d-------- c:\documents and settings\Administrateur\Application Data\Malwarebytes
2008-12-24 00:53 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-12-24 00:52 . 2008-12-24 01:14 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2008-12-24 00:52 . 2008-12-24 00:52 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2008-12-24 00:52 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-23 21:20 . 2008-06-10 13:04 31,048 --a------ c:\windows\system32\drivers\point32.sys
2008-12-23 21:19 . 2008-12-23 21:20 <REP> d-------- c:\program files\Microsoft IntelliPoint
2008-12-22 22:12 . 2008-12-22 22:12 <REP> d-------- c:\documents and settings\All Users\Application Data\{148D8B8A-8F96-4822-81EC-D510B626B7D5}
2008-12-22 21:28 . 2004-06-14 14:56 427,864 --a------ c:\windows\system32\XceedZip.dll
2008-12-22 20:54 . 2007-09-02 20:56 1,686,016 --a------ c:\windows\system32\clinetsuitex6.ocx
2008-12-20 00:01 . 32,768 c:\windows\system32\drivers\ati7fjxx.sys
2008-12-20 00:01 . 2008-12-20 00:11 2 --a------ C:\-1404163862
2008-12-19 23:31 . 2008-12-19 23:31 <REP> d-------- c:\documents and settings\All Users\Application Data\PC Drivers HeadQuarters
2008-12-18 02:40 . 1996-11-21 13:36 36,112 --a------ C:\DMACHECK.EXE
2008-12-17 22:08 . 2002-08-20 14:58 139,264 --a------ c:\windows\system32\IDEproperty.dll
2008-12-17 22:08 . 2002-10-17 15:14 49,024 --a------ c:\windows\system32\drivers\sisidex.sys
2008-12-17 22:08 . 2002-08-20 17:19 9,472 --a------ c:\windows\system32\drivers\sisperf.sys
2008-12-16 23:07 . 2008-12-20 00:23 498,268 --a------ c:\windows\system32\perfh040.dat
2008-12-16 23:07 . 2008-12-20 00:23 80,606 --a------ c:\windows\system32\perfc040.dat
2008-12-16 23:01 . 2008-12-16 23:01 91,550,514 --a------ C:\sauve.reg
2008-12-16 21:46 . 2004-08-19 16:09 1,888,992 --a--c--- c:\windows\system32\dllcache\ati3duag.dll
2008-12-16 21:46 . 2004-08-19 16:09 1,888,992 --a------ c:\windows\system32\ati3duag.dll
2008-12-16 21:46 . 2004-08-19 16:09 516,768 --a--c--- c:\windows\system32\dllcache\ativvaxx.dll
2008-12-16 21:46 . 2004-08-19 16:09 516,768 --a------ c:\windows\system32\ativvaxx.dll
2008-12-16 21:12 . 2008-12-16 21:12 <REP> d-------- c:\program files\Fichiers communs\3DO Shared
2008-12-16 21:12 . 2008-12-16 21:12 <REP> d-------- c:\program files\3DO
2008-12-06 10:10 . 2008-12-06 10:13 <REP> d-------- c:\documents and settings\Administrateur\Application Data\vlc
2008-11-28 22:06 . 2008-11-28 22:06 <REP> d-------- C:\OpenCandy
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-26 21:07 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2008-12-25 21:04 --------- d-----w c:\program files\Fichiers communs\Wise Installation Wizard
2008-12-25 20:09 31,707,385 ----a-w c:\windows\Internet Logs\vsmon_on_demand_2008_12_25_20_21_02_full.dmp.zip
2008-12-19 23:11 14,336 ----a-w c:\windows\system32\svchost.exe
2008-12-19 22:31 --------- d--h--w c:\program files\InstallShield Installation Information
2008-12-19 20:38 --------- d-----w c:\program files\Fichiers communs\Ahead
2008-12-18 20:59 --------- d-----w c:\documents and settings\Administrateur\Application Data\Skype
2008-12-18 20:32 --------- d-----w c:\documents and settings\Administrateur\Application Data\skypePM
2008-12-16 20:53 --------- d-----w c:\documents and settings\Administrateur\Application Data\ATI
2008-12-14 18:38 --------- d-----w c:\documents and settings\Administrateur\Application Data\dvdcss
2008-12-14 06:23 33,729,830 ----a-w c:\windows\Internet Logs\vsmon_on_demand_2008_12_13_23_27_50_full.dmp.zip
2008-12-05 20:30 60,475 ----a-w c:\windows\Internet Logs\Explorer_2nd_2008_12_04_22_49_55_small.dmp.zip
2008-11-30 17:08 --------- d-----w c:\documents and settings\Administrateur\Application Data\Ahead
2008-11-25 19:29 29,696 ----a-w c:\windows\Internet Logs\xDB2.tmp
2008-11-24 21:57 1,135,104 ----a-w c:\windows\Internet Logs\xDB1.tmp
2008-11-23 19:12 410,976 ----a-w c:\windows\system32\deploytk.dll
2008-11-23 19:12 --------- d-----w c:\program files\Java
2008-11-22 15:58 --------- d-----w c:\program files\SFR
2008-11-21 20:48 --------- d-----w c:\program files\TechCity Solutions
2008-11-19 20:16 --------- d-----w c:\documents and settings\All Users\Application Data\Lavasoft
2008-11-18 20:00 --------- d-----w c:\documents and settings\Administrateur\Application Data\Canon
2008-11-02 18:29 --------- d-----w c:\program files\RegCleaner
2008-11-02 17:54 --------- d-----w c:\documents and settings\All Users\Application Data\Apple Computer
2008-10-23 20:25 22,776 ----a-w c:\documents and settings\Administrateur\Application Data\GDIPFONTCACHEV1.DAT
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:12 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-02-25 20:47 32 ----a-w c:\documents and settings\All Users\Application Data\ezsid.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.PIM1"= PCLEPIM1.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati7fjxx.sys]
@="Driver"
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Pinnacle Scheduler.lnk]
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\System Guards
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\xsjfn83jkemfofght
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2004-08-19 16:09 15360 c:\windows\system32\ctfmon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HGTXPEI]
--------- 2002-06-11 13:34 24576 c:\windows\system32\FirstReboot.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IntelliPoint]
--a------ 2008-06-10 12:56 1406024 c:\program files\Microsoft IntelliPoint\ipoint.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundFusion]
--a------ 2002-12-20 15:46 453120 c:\windows\system32\hercplgs.cpl
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"CAISafe"=3 (0x3)
"ATI Smart"=2 (0x2)
"Ati HotKey Poller"=2 (0x2)
"sgSchedulerService"=2 (0x2)
"WMPNetworkSvc"=3 (0x3)
"idsvc"=3 (0x3)
"Autodesk Licensing Service"=3 (0x3)
"vsmon"=3 (0x3)
"IDriverT"=3 (0x3)
"fsssvc"=2 (0x2)
"usnjsvc"=3 (0x3)
"WLSetupSvc"=3 (0x3)
"InCDsrv"=2 (0x2)
"a2free"=2 (0x2)
"aawservice"=2 (0x2)
"JavaQuickStarterService"=2 (0x2)
"xmlprov"=3 (0x3)
"WudfSvc"=3 (0x3)
"Wmi"=3 (0x3)
"VSS"=3 (0x3)
"SysmonLog"=3 (0x3)
"SwPrv"=3 (0x3)
"Spooler"=3 (0x3)
"RasAuto"=3 (0x3)
"NtmsSvc"=3 (0x3)
"HTTPFilter"=3 (0x3)
"helpsvc"=3 (0x3)
"FontCache3.0.0.0"=3 (0x3)
"dmserver"=3 (0x3)
"dmadmin"=3 (0x3)
"clr_optimization_v2.0.50727_32"=3 (0x3)
"BITS"=3 (0x3)
"aspnet_state"=3 (0x3)
"AppMgmt"=3 (0x3)
"ALG"=3 (0x3)
"ICF"=2 (0x2)
"sp_rssrv"=2 (0x2)
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\Program Files\\VoipBuster.com\\VoipBuster\\VoipBuster.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
R0 ati7fjxx;ati7fjxx;c:\windows\system32\Drivers\ati7fjxx.sys []
R2 fssfltr;FssFltr;c:\windows\system32\DRIVERS\fssfltr.sys [2008-07-16 43816]
R3 hercspud;Hercules (R) WDM Audio Driver;c:\windows\system32\drivers\hercspud.sys [2008-11-11 135936]
R3 hercwdm;Hercules (R) WDM Interface Driver;c:\windows\system32\drivers\hercwdm.sys [2008-11-11 466688]
R3 pctvvbi;PCTVVBI;c:\windows\system32\DRIVERS\pctvvbi.sys [2008-04-03 6400]
S1 de093aba;de093aba;c:\windows\system32\drivers\de093aba.sys []
S3 CrystalSysInfo;CrystalSysInfo;\??\d:\program files\MediaCoder\SysInfo.sys [2007-09-25 15152]
S3 USB_RNDIS_51;Broadcom USB Remote NDIS Device Driver;c:\windows\system32\DRIVERS\usb8023.sys [2001-08-28 12672]
S4 fsssvc;Windows Live OneCare Contrôle parental;"c:\program files\Windows Live\Contrôle parental\fsssvc.exe" [2007-10-17 523816]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f7b0b011-c6f0-11dd-b616-ef361c08ea8f}]
\Shell\AutoRun\command - K:\Setup.exe
.
Contenu du dossier 'Tâches planifiées'
2008-12-19 c:\windows\Tasks\fpfbttqk.job
- c:\windows\system32\rundll32.exe [2004-08-19 16:10]
2008-03-07 c:\windows\Tasks\Maintenance en 1 clic.job
- c:\program files\TuneUp Utilities 2007\SystemOptimizer.exe [2007-01-17 14:47]
.
- - - - ORPHELINS SUPPRIMES - - - -
Notify-AtiExtEvent - (no file)
Notify-WgaLogon - (no file)
MSConfigStartUp-ac4e2845 - c:\windows\system32\fcnotkjs.dll
MSConfigStartUp-rs32net - c:\windows\System32\rs32net.exe
.
------- Examen supplémentaire -------
.
uStart Page = about:blank
mWindow Title =
uInternet Settings,ProxyServer = 127.0.0.1:8100
IE: E&xporter vers Microsoft Excel - c:\progra~1\Microsoft Office\Office10\EXCEL.EXE/3000
LSP: c:\windows\system32\imslsp.dll
LSP: c:\windows\system32\ZoneLabs\vetredir.dll
FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\z57vc18z.essai\
FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npdrmv2.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npdsplay.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npwmsdrm.dll
FF - plugin: d:\program files\adslTV\npvlc.dll
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-27 23:07:43
Windows 5.1.2600 Service Pack 2 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'explorer.exe'(1668)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\dllhost.exe
c:\windows\PCHEALTH\HELPCTR\Binaries\helpsvc.exe
.
**************************************************************************
.
Heure de fin: 2008-12-27 23:12:38 - La machine a redémarré
ComboFix-quarantined-files.txt 2008-12-27 22:12:13
Avant-CF: 2 169 184 256 octets libres
Après-CF: 2,014,601,216 octets libres
249 --- E O F --- 2008-03-14 20:19:49
ComboFix 08-12-26.03 - Administrateur 2008-12-27 23:02:38.1 - NTFSx86
Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe
[COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR]
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\sjktoncf.ini
c:\windows\system32\TDSSorvd.dat
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_tdssserv.sys
-------\Service_tdssserv.sys
((((((((((((((((((((((((((((( Fichiers créés du 2008-11-27 au 2008-12-27 ))))))))))))))))))))))))))))))))))))
.
2008-12-27 08:30 . 2008-12-27 08:34 <REP> d-------- C:\HaxFix
2008-12-27 08:30 . 2008-12-26 23:18 487,438 --a------ C:\HaxFix.exe
2008-12-27 08:28 . 2008-12-27 08:28 <REP> d-------- c:\program files\Trend Micro
2008-12-26 22:12 . 2008-12-26 22:37 <REP> d-------- C:\ToolBar SD
2008-12-26 22:08 . 2008-12-26 10:06 781,851 --a------ C:\RSIT.exe
2008-12-26 20:51 . 2008-12-26 21:00 <REP> d-------- C:\rsit
2008-12-26 05:14 . 2008-10-16 14:08 27,672 --a------ c:\windows\system32\wuapi.dll.mui
2008-12-26 05:06 . 2008-12-26 05:06 <REP> d-------- c:\windows\report
2008-12-26 05:05 . 2008-12-26 05:05 <REP> d-------- c:\windows\AU_Backup
2008-12-26 05:05 . 2008-12-26 05:05 21,602,413 --a------ c:\windows\VPTNFILE.733
2008-12-26 05:05 . 2008-12-26 05:05 21,602,413 --a------ c:\windows\LPT$VPN.733
2008-12-26 05:05 . 2008-12-26 05:05 1,974,930 --a------ c:\windows\tsc.ptn
2008-12-26 05:05 . 2008-12-26 05:05 1,213,784 --a------ c:\windows\vsapi32.dll
2008-12-26 05:05 . 2008-12-26 05:05 345,157 --a------ c:\windows\tsc.exe
2008-12-26 05:05 . 2008-12-26 05:05 91,744 --a------ c:\windows\BPMNT.dll
2008-12-26 05:05 . 2008-12-26 05:05 71,749 --a------ c:\windows\hcextoutput.dll
2008-12-26 05:05 . 2008-12-26 05:15 823 --a------ c:\windows\tsc.ini
2008-12-26 05:03 . 2008-12-26 05:05 <REP> d-------- c:\windows\AU_Temp
2008-12-26 05:03 . 2008-12-26 05:03 <REP> d-------- c:\windows\AU_Log
2008-12-26 05:03 . 2008-12-26 05:03 507,904 --a------ c:\windows\TMUPDATE.DLL
2008-12-26 05:03 . 2008-12-26 05:03 286,720 --a------ c:\windows\PATCH.EXE
2008-12-26 05:03 . 2008-12-26 05:03 69,689 --a------ c:\windows\UNZIP.DLL
2008-12-26 05:03 . 2008-12-26 05:03 170 --a------ c:\windows\GetServer.ini
2008-12-25 23:02 . 2008-12-25 23:11 <REP> d-------- c:\documents and settings\All Users\Application Data\Spyware Terminator
2008-12-25 23:02 . 2008-12-25 23:03 <REP> d-------- c:\documents and settings\Administrateur\Application Data\Spyware Terminator
2008-12-25 23:02 . 2008-12-25 23:02 142,592 --a------ c:\windows\system32\drivers\sp_rsdrv2.sys
2008-12-25 21:05 . 2008-12-25 21:05 93,971,542 --a------ C:\sauve2.reg
2008-12-25 19:47 . 2008-12-25 19:47 <REP> d-------- c:\windows\system32\drivers\old
2008-12-24 15:53 . 2008-12-24 15:53 <REP> d-------- C:\f-vmonde
2008-12-24 00:53 . 2008-12-24 00:53 <REP> d-------- c:\documents and settings\Administrateur\Application Data\Malwarebytes
2008-12-24 00:53 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-12-24 00:52 . 2008-12-24 01:14 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2008-12-24 00:52 . 2008-12-24 00:52 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2008-12-24 00:52 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-23 21:20 . 2008-06-10 13:04 31,048 --a------ c:\windows\system32\drivers\point32.sys
2008-12-23 21:19 . 2008-12-23 21:20 <REP> d-------- c:\program files\Microsoft IntelliPoint
2008-12-22 22:12 . 2008-12-22 22:12 <REP> d-------- c:\documents and settings\All Users\Application Data\{148D8B8A-8F96-4822-81EC-D510B626B7D5}
2008-12-22 21:28 . 2004-06-14 14:56 427,864 --a------ c:\windows\system32\XceedZip.dll
2008-12-22 20:54 . 2007-09-02 20:56 1,686,016 --a------ c:\windows\system32\clinetsuitex6.ocx
2008-12-20 00:01 . 32,768 c:\windows\system32\drivers\ati7fjxx.sys
2008-12-20 00:01 . 2008-12-20 00:11 2 --a------ C:\-1404163862
2008-12-19 23:31 . 2008-12-19 23:31 <REP> d-------- c:\documents and settings\All Users\Application Data\PC Drivers HeadQuarters
2008-12-18 02:40 . 1996-11-21 13:36 36,112 --a------ C:\DMACHECK.EXE
2008-12-17 22:08 . 2002-08-20 14:58 139,264 --a------ c:\windows\system32\IDEproperty.dll
2008-12-17 22:08 . 2002-10-17 15:14 49,024 --a------ c:\windows\system32\drivers\sisidex.sys
2008-12-17 22:08 . 2002-08-20 17:19 9,472 --a------ c:\windows\system32\drivers\sisperf.sys
2008-12-16 23:07 . 2008-12-20 00:23 498,268 --a------ c:\windows\system32\perfh040.dat
2008-12-16 23:07 . 2008-12-20 00:23 80,606 --a------ c:\windows\system32\perfc040.dat
2008-12-16 23:01 . 2008-12-16 23:01 91,550,514 --a------ C:\sauve.reg
2008-12-16 21:46 . 2004-08-19 16:09 1,888,992 --a--c--- c:\windows\system32\dllcache\ati3duag.dll
2008-12-16 21:46 . 2004-08-19 16:09 1,888,992 --a------ c:\windows\system32\ati3duag.dll
2008-12-16 21:46 . 2004-08-19 16:09 516,768 --a--c--- c:\windows\system32\dllcache\ativvaxx.dll
2008-12-16 21:46 . 2004-08-19 16:09 516,768 --a------ c:\windows\system32\ativvaxx.dll
2008-12-16 21:12 . 2008-12-16 21:12 <REP> d-------- c:\program files\Fichiers communs\3DO Shared
2008-12-16 21:12 . 2008-12-16 21:12 <REP> d-------- c:\program files\3DO
2008-12-06 10:10 . 2008-12-06 10:13 <REP> d-------- c:\documents and settings\Administrateur\Application Data\vlc
2008-11-28 22:06 . 2008-11-28 22:06 <REP> d-------- C:\OpenCandy
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-26 21:07 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2008-12-25 21:04 --------- d-----w c:\program files\Fichiers communs\Wise Installation Wizard
2008-12-25 20:09 31,707,385 ----a-w c:\windows\Internet Logs\vsmon_on_demand_2008_12_25_20_21_02_full.dmp.zip
2008-12-19 23:11 14,336 ----a-w c:\windows\system32\svchost.exe
2008-12-19 22:31 --------- d--h--w c:\program files\InstallShield Installation Information
2008-12-19 20:38 --------- d-----w c:\program files\Fichiers communs\Ahead
2008-12-18 20:59 --------- d-----w c:\documents and settings\Administrateur\Application Data\Skype
2008-12-18 20:32 --------- d-----w c:\documents and settings\Administrateur\Application Data\skypePM
2008-12-16 20:53 --------- d-----w c:\documents and settings\Administrateur\Application Data\ATI
2008-12-14 18:38 --------- d-----w c:\documents and settings\Administrateur\Application Data\dvdcss
2008-12-14 06:23 33,729,830 ----a-w c:\windows\Internet Logs\vsmon_on_demand_2008_12_13_23_27_50_full.dmp.zip
2008-12-05 20:30 60,475 ----a-w c:\windows\Internet Logs\Explorer_2nd_2008_12_04_22_49_55_small.dmp.zip
2008-11-30 17:08 --------- d-----w c:\documents and settings\Administrateur\Application Data\Ahead
2008-11-25 19:29 29,696 ----a-w c:\windows\Internet Logs\xDB2.tmp
2008-11-24 21:57 1,135,104 ----a-w c:\windows\Internet Logs\xDB1.tmp
2008-11-23 19:12 410,976 ----a-w c:\windows\system32\deploytk.dll
2008-11-23 19:12 --------- d-----w c:\program files\Java
2008-11-22 15:58 --------- d-----w c:\program files\SFR
2008-11-21 20:48 --------- d-----w c:\program files\TechCity Solutions
2008-11-19 20:16 --------- d-----w c:\documents and settings\All Users\Application Data\Lavasoft
2008-11-18 20:00 --------- d-----w c:\documents and settings\Administrateur\Application Data\Canon
2008-11-02 18:29 --------- d-----w c:\program files\RegCleaner
2008-11-02 17:54 --------- d-----w c:\documents and settings\All Users\Application Data\Apple Computer
2008-10-23 20:25 22,776 ----a-w c:\documents and settings\Administrateur\Application Data\GDIPFONTCACHEV1.DAT
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:12 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-02-25 20:47 32 ----a-w c:\documents and settings\All Users\Application Data\ezsid.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.PIM1"= PCLEPIM1.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati7fjxx.sys]
@="Driver"
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Pinnacle Scheduler.lnk]
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\System Guards
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\xsjfn83jkemfofght
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2004-08-19 16:09 15360 c:\windows\system32\ctfmon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HGTXPEI]
--------- 2002-06-11 13:34 24576 c:\windows\system32\FirstReboot.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IntelliPoint]
--a------ 2008-06-10 12:56 1406024 c:\program files\Microsoft IntelliPoint\ipoint.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundFusion]
--a------ 2002-12-20 15:46 453120 c:\windows\system32\hercplgs.cpl
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"CAISafe"=3 (0x3)
"ATI Smart"=2 (0x2)
"Ati HotKey Poller"=2 (0x2)
"sgSchedulerService"=2 (0x2)
"WMPNetworkSvc"=3 (0x3)
"idsvc"=3 (0x3)
"Autodesk Licensing Service"=3 (0x3)
"vsmon"=3 (0x3)
"IDriverT"=3 (0x3)
"fsssvc"=2 (0x2)
"usnjsvc"=3 (0x3)
"WLSetupSvc"=3 (0x3)
"InCDsrv"=2 (0x2)
"a2free"=2 (0x2)
"aawservice"=2 (0x2)
"JavaQuickStarterService"=2 (0x2)
"xmlprov"=3 (0x3)
"WudfSvc"=3 (0x3)
"Wmi"=3 (0x3)
"VSS"=3 (0x3)
"SysmonLog"=3 (0x3)
"SwPrv"=3 (0x3)
"Spooler"=3 (0x3)
"RasAuto"=3 (0x3)
"NtmsSvc"=3 (0x3)
"HTTPFilter"=3 (0x3)
"helpsvc"=3 (0x3)
"FontCache3.0.0.0"=3 (0x3)
"dmserver"=3 (0x3)
"dmadmin"=3 (0x3)
"clr_optimization_v2.0.50727_32"=3 (0x3)
"BITS"=3 (0x3)
"aspnet_state"=3 (0x3)
"AppMgmt"=3 (0x3)
"ALG"=3 (0x3)
"ICF"=2 (0x2)
"sp_rssrv"=2 (0x2)
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\Program Files\\VoipBuster.com\\VoipBuster\\VoipBuster.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
R0 ati7fjxx;ati7fjxx;c:\windows\system32\Drivers\ati7fjxx.sys []
R2 fssfltr;FssFltr;c:\windows\system32\DRIVERS\fssfltr.sys [2008-07-16 43816]
R3 hercspud;Hercules (R) WDM Audio Driver;c:\windows\system32\drivers\hercspud.sys [2008-11-11 135936]
R3 hercwdm;Hercules (R) WDM Interface Driver;c:\windows\system32\drivers\hercwdm.sys [2008-11-11 466688]
R3 pctvvbi;PCTVVBI;c:\windows\system32\DRIVERS\pctvvbi.sys [2008-04-03 6400]
S1 de093aba;de093aba;c:\windows\system32\drivers\de093aba.sys []
S3 CrystalSysInfo;CrystalSysInfo;\??\d:\program files\MediaCoder\SysInfo.sys [2007-09-25 15152]
S3 USB_RNDIS_51;Broadcom USB Remote NDIS Device Driver;c:\windows\system32\DRIVERS\usb8023.sys [2001-08-28 12672]
S4 fsssvc;Windows Live OneCare Contrôle parental;"c:\program files\Windows Live\Contrôle parental\fsssvc.exe" [2007-10-17 523816]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f7b0b011-c6f0-11dd-b616-ef361c08ea8f}]
\Shell\AutoRun\command - K:\Setup.exe
.
Contenu du dossier 'Tâches planifiées'
2008-12-19 c:\windows\Tasks\fpfbttqk.job
- c:\windows\system32\rundll32.exe [2004-08-19 16:10]
2008-03-07 c:\windows\Tasks\Maintenance en 1 clic.job
- c:\program files\TuneUp Utilities 2007\SystemOptimizer.exe [2007-01-17 14:47]
.
- - - - ORPHELINS SUPPRIMES - - - -
Notify-AtiExtEvent - (no file)
Notify-WgaLogon - (no file)
MSConfigStartUp-ac4e2845 - c:\windows\system32\fcnotkjs.dll
MSConfigStartUp-rs32net - c:\windows\System32\rs32net.exe
.
------- Examen supplémentaire -------
.
uStart Page = about:blank
mWindow Title =
uInternet Settings,ProxyServer = 127.0.0.1:8100
IE: E&xporter vers Microsoft Excel - c:\progra~1\Microsoft Office\Office10\EXCEL.EXE/3000
LSP: c:\windows\system32\imslsp.dll
LSP: c:\windows\system32\ZoneLabs\vetredir.dll
FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\z57vc18z.essai\
FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npdrmv2.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npdsplay.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npwmsdrm.dll
FF - plugin: d:\program files\adslTV\npvlc.dll
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-27 23:07:43
Windows 5.1.2600 Service Pack 2 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'explorer.exe'(1668)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\dllhost.exe
c:\windows\PCHEALTH\HELPCTR\Binaries\helpsvc.exe
.
**************************************************************************
.
Heure de fin: 2008-12-27 23:12:38 - La machine a redémarré
ComboFix-quarantined-files.txt 2008-12-27 22:12:13
Avant-CF: 2 169 184 256 octets libres
Après-CF: 2,014,601,216 octets libres
249 --- E O F --- 2008-03-14 20:19:49
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
464
28 déc. 2008 à 00:44
28 déc. 2008 à 00:44
Oki ...
coriace ... la suite :
1-Créer un doc texte sur ton bureau :
pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .
Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f7b0b011-c6f0-11dd-b616-ef361c08ea8f}]
File::
c:\windows\system32\drivers\ati7fjxx.sys
Folder::
C:\-1404163862
Driver::
ati7fjxx
de093aba
Puis va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valide ...
2-Nettoyage :
!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!
--->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .
(Regarde ici : http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript.gif )
Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tape 1 puis valide.
Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)
!! Ne touches à rien tant que le scan n'est pas terminé !!
Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
Une fois le scan achevé, un rapport va s'afficher : poste le accompagné d' un nouveau rapport RSIT pour analyse ...
( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )
coriace ... la suite :
1-Créer un doc texte sur ton bureau :
pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .
Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f7b0b011-c6f0-11dd-b616-ef361c08ea8f}]
File::
c:\windows\system32\drivers\ati7fjxx.sys
Folder::
C:\-1404163862
Driver::
ati7fjxx
de093aba
Puis va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valide ...
2-Nettoyage :
!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!
--->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .
(Regarde ici : http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript.gif )
Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tape 1 puis valide.
Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)
!! Ne touches à rien tant que le scan n'est pas terminé !!
Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
Une fois le scan achevé, un rapport va s'afficher : poste le accompagné d' un nouveau rapport RSIT pour analyse ...
( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )
py_lou
Messages postés
14
Date d'inscription
vendredi 12 décembre 2008
Statut
Membre
Dernière intervention
16 mars 2009
1
28 déc. 2008 à 00:46
28 déc. 2008 à 00:46
salut
telecharge hijackthis sur https://www.01net.com/telecharger/
lance une analyse et envoie nous le rapport que l'on analysera plus tard ^^
telecharge hijackthis sur https://www.01net.com/telecharger/
lance une analyse et envoie nous le rapport que l'on analysera plus tard ^^
brupala
Messages postés
106115
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
28 mars 2023
13 804
28 déc. 2008 à 00:55
28 déc. 2008 à 00:55
un teupard : pilou, c'est loupi: http://www.commentcamarche.net/forum/affich 10100607 rootkit tenace?entiere#1
bibi_fricotin
Messages postés
197
Date d'inscription
mardi 9 novembre 2004
Statut
Membre
Dernière intervention
3 juillet 2014
23
28 déc. 2008 à 12:01
28 déc. 2008 à 12:01
Bonjour SKE69,
donc, j'ai fait les différentes manips dans l'ordre.
Pour le log de Combofix, j'ai du le recommencer car j'avais oublié de l'enregistrer (quoiqu'apparemment il se trouve dans un Combofix :
ComboFix 08-12-26.03 - Administrateur 2008-12-28 11:48:48.3 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.511.275 [GMT 1:00]
Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe
AV: ZoneAlarm Security Suite Antivirus *On-access scanning disabled* (Outdated)
FW: ZoneAlarm Security Suite Firewall *disabled*
[COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR]
.
((((((((((((((((((((((((((((( Fichiers créés du 2008-11-28 au 2008-12-28 ))))))))))))))))))))))))))))))))))))
.
2008-12-27 08:30 . 2008-12-27 08:34 <REP> d-------- C:\HaxFix
2008-12-27 08:30 . 2008-12-26 23:18 487,438 --a------ C:\HaxFix.exe
2008-12-27 08:28 . 2008-12-27 08:28 <REP> d-------- c:\program files\Trend Micro
2008-12-26 22:12 . 2008-12-26 22:37 <REP> d-------- C:\ToolBar SD
2008-12-26 22:08 . 2008-12-26 10:06 781,851 --a------ C:\RSIT.exe
2008-12-26 20:51 . 2008-12-28 11:45 <REP> d-------- C:\rsit
2008-12-26 05:14 . 2008-10-16 14:08 27,672 --a------ c:\windows\system32\wuapi.dll.mui
2008-12-26 05:06 . 2008-12-26 05:06 <REP> d-------- c:\windows\report
2008-12-26 05:05 . 2008-12-26 05:05 <REP> d-------- c:\windows\AU_Backup
2008-12-26 05:05 . 2008-12-26 05:05 21,602,413 --a------ c:\windows\VPTNFILE.733
2008-12-26 05:05 . 2008-12-26 05:05 21,602,413 --a------ c:\windows\LPT$VPN.733
2008-12-26 05:05 . 2008-12-26 05:05 1,974,930 --a------ c:\windows\tsc.ptn
2008-12-26 05:05 . 2008-12-26 05:05 1,213,784 --a------ c:\windows\vsapi32.dll
2008-12-26 05:05 . 2008-12-26 05:05 345,157 --a------ c:\windows\tsc.exe
2008-12-26 05:05 . 2008-12-26 05:05 91,744 --a------ c:\windows\BPMNT.dll
2008-12-26 05:05 . 2008-12-26 05:05 71,749 --a------ c:\windows\hcextoutput.dll
2008-12-26 05:05 . 2008-12-26 05:15 823 --a------ c:\windows\tsc.ini
2008-12-26 05:03 . 2008-12-26 05:05 <REP> d-------- c:\windows\AU_Temp
2008-12-26 05:03 . 2008-12-26 05:03 <REP> d-------- c:\windows\AU_Log
2008-12-26 05:03 . 2008-12-26 05:03 507,904 --a------ c:\windows\TMUPDATE.DLL
2008-12-26 05:03 . 2008-12-26 05:03 286,720 --a------ c:\windows\PATCH.EXE
2008-12-26 05:03 . 2008-12-26 05:03 69,689 --a------ c:\windows\UNZIP.DLL
2008-12-26 05:03 . 2008-12-26 05:03 170 --a------ c:\windows\GetServer.ini
2008-12-25 23:02 . 2008-12-25 23:11 <REP> d-------- c:\documents and settings\All Users\Application Data\Spyware Terminator
2008-12-25 23:02 . 2008-12-25 23:03 <REP> d-------- c:\documents and settings\Administrateur\Application Data\Spyware Terminator
2008-12-25 23:02 . 2008-12-25 23:02 142,592 --a------ c:\windows\system32\drivers\sp_rsdrv2.sys
2008-12-25 21:05 . 2008-12-25 21:05 93,971,542 --a------ C:\sauve2.reg
2008-12-25 19:47 . 2008-12-25 19:47 <REP> d-------- c:\windows\system32\drivers\old
2008-12-24 15:53 . 2008-12-24 15:53 <REP> d-------- C:\f-vmonde
2008-12-24 00:53 . 2008-12-24 00:53 <REP> d-------- c:\documents and settings\Administrateur\Application Data\Malwarebytes
2008-12-24 00:53 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-12-24 00:52 . 2008-12-24 01:14 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2008-12-24 00:52 . 2008-12-24 00:52 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2008-12-24 00:52 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-23 21:20 . 2008-06-10 13:04 31,048 --a------ c:\windows\system32\drivers\point32.sys
2008-12-23 21:19 . 2008-12-23 21:20 <REP> d-------- c:\program files\Microsoft IntelliPoint
2008-12-22 22:12 . 2008-12-22 22:12 <REP> d-------- c:\documents and settings\All Users\Application Data\{148D8B8A-8F96-4822-81EC-D510B626B7D5}
2008-12-22 21:28 . 2004-06-14 14:56 427,864 --a------ c:\windows\system32\XceedZip.dll
2008-12-22 20:54 . 2007-09-02 20:56 1,686,016 --a------ c:\windows\system32\clinetsuitex6.ocx
2008-12-20 00:01 . 2008-12-20 00:11 2 --a------ C:\-1404163862
2008-12-19 23:31 . 2008-12-19 23:31 <REP> d-------- c:\documents and settings\All Users\Application Data\PC Drivers HeadQuarters
2008-12-18 02:40 . 1996-11-21 13:36 36,112 --a------ C:\DMACHECK.EXE
2008-12-17 22:08 . 2002-08-20 14:58 139,264 --a------ c:\windows\system32\IDEproperty.dll
2008-12-17 22:08 . 2002-10-17 15:14 49,024 --a------ c:\windows\system32\drivers\sisidex.sys
2008-12-17 22:08 . 2002-08-20 17:19 9,472 --a------ c:\windows\system32\drivers\sisperf.sys
2008-12-16 23:07 . 2008-12-20 00:23 498,268 --a------ c:\windows\system32\perfh040.dat
2008-12-16 23:07 . 2008-12-20 00:23 80,606 --a------ c:\windows\system32\perfc040.dat
2008-12-16 23:01 . 2008-12-16 23:01 91,550,514 --a------ C:\sauve.reg
2008-12-16 21:46 . 2004-08-19 16:09 1,888,992 --a--c--- c:\windows\system32\dllcache\ati3duag.dll
2008-12-16 21:46 . 2004-08-19 16:09 1,888,992 --a------ c:\windows\system32\ati3duag.dll
2008-12-16 21:46 . 2004-08-19 16:09 516,768 --a--c--- c:\windows\system32\dllcache\ativvaxx.dll
2008-12-16 21:46 . 2004-08-19 16:09 516,768 --a------ c:\windows\system32\ativvaxx.dll
2008-12-16 21:12 . 2008-12-16 21:12 <REP> d-------- c:\program files\Fichiers communs\3DO Shared
2008-12-16 21:12 . 2008-12-16 21:12 <REP> d-------- c:\program files\3DO
2008-12-06 10:10 . 2008-12-06 10:13 <REP> d-------- c:\documents and settings\Administrateur\Application Data\vlc
2008-11-28 22:06 . 2008-11-28 22:06 <REP> d-------- C:\OpenCandy
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-26 21:07 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2008-12-25 21:04 --------- d-----w c:\program files\Fichiers communs\Wise Installation Wizard
2008-12-25 20:09 31,707,385 ----a-w c:\windows\Internet Logs\vsmon_on_demand_2008_12_25_20_21_02_full.dmp.zip
2008-12-19 23:11 14,336 ----a-w c:\windows\system32\svchost.exe
2008-12-19 22:31 --------- d--h--w c:\program files\InstallShield Installation Information
2008-12-19 20:38 --------- d-----w c:\program files\Fichiers communs\Ahead
2008-12-18 20:59 --------- d-----w c:\documents and settings\Administrateur\Application Data\Skype
2008-12-18 20:32 --------- d-----w c:\documents and settings\Administrateur\Application Data\skypePM
2008-12-16 20:53 --------- d-----w c:\documents and settings\Administrateur\Application Data\ATI
2008-12-14 18:38 --------- d-----w c:\documents and settings\Administrateur\Application Data\dvdcss
2008-12-14 06:23 33,729,830 ----a-w c:\windows\Internet Logs\vsmon_on_demand_2008_12_13_23_27_50_full.dmp.zip
2008-12-05 20:30 60,475 ----a-w c:\windows\Internet Logs\Explorer_2nd_2008_12_04_22_49_55_small.dmp.zip
2008-11-30 17:08 --------- d-----w c:\documents and settings\Administrateur\Application Data\Ahead
2008-11-25 19:29 29,696 ----a-w c:\windows\Internet Logs\xDB2.tmp
2008-11-24 21:57 1,135,104 ----a-w c:\windows\Internet Logs\xDB1.tmp
2008-11-23 19:12 410,976 ----a-w c:\windows\system32\deploytk.dll
2008-11-23 19:12 --------- d-----w c:\program files\Java
2008-11-22 15:58 --------- d-----w c:\program files\SFR
2008-11-21 20:48 --------- d-----w c:\program files\TechCity Solutions
2008-11-19 20:16 --------- d-----w c:\documents and settings\All Users\Application Data\Lavasoft
2008-11-18 20:00 --------- d-----w c:\documents and settings\Administrateur\Application Data\Canon
2008-11-02 18:29 --------- d-----w c:\program files\RegCleaner
2008-11-02 17:54 --------- d-----w c:\documents and settings\All Users\Application Data\Apple Computer
2008-10-23 20:25 22,776 ----a-w c:\documents and settings\Administrateur\Application Data\GDIPFONTCACHEV1.DAT
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:12 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-02-25 20:47 32 ----a-w c:\documents and settings\All Users\Application Data\ezsid.dat
.
((((((((((((((((((((((((((((( snapshot@2008-12-27_23.10.09.98 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-12-27 21:54:09 4,212 ---h--w c:\windows\system32\zllictbl.dat
+ 2008-12-28 10:18:08 4,212 ---h--w c:\windows\system32\zllictbl.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.PIM1"= PCLEPIM1.dll
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Pinnacle Scheduler.lnk]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2004-08-19 16:09 15360 c:\windows\system32\ctfmon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HGTXPEI]
--------- 2002-06-11 13:34 24576 c:\windows\system32\FirstReboot.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IntelliPoint]
--a------ 2008-06-10 12:56 1406024 c:\program files\Microsoft IntelliPoint\ipoint.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundFusion]
--a------ 2002-12-20 15:46 453120 c:\windows\system32\hercplgs.cpl
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"CAISafe"=3 (0x3)
"ATI Smart"=2 (0x2)
"Ati HotKey Poller"=2 (0x2)
"sgSchedulerService"=2 (0x2)
"WMPNetworkSvc"=3 (0x3)
"idsvc"=3 (0x3)
"Autodesk Licensing Service"=3 (0x3)
"vsmon"=3 (0x3)
"IDriverT"=3 (0x3)
"fsssvc"=2 (0x2)
"usnjsvc"=3 (0x3)
"WLSetupSvc"=3 (0x3)
"InCDsrv"=2 (0x2)
"a2free"=2 (0x2)
"aawservice"=2 (0x2)
"JavaQuickStarterService"=2 (0x2)
"xmlprov"=3 (0x3)
"WudfSvc"=3 (0x3)
"Wmi"=3 (0x3)
"VSS"=3 (0x3)
"SysmonLog"=3 (0x3)
"SwPrv"=3 (0x3)
"Spooler"=3 (0x3)
"RasAuto"=3 (0x3)
"NtmsSvc"=3 (0x3)
"HTTPFilter"=3 (0x3)
"helpsvc"=3 (0x3)
"FontCache3.0.0.0"=3 (0x3)
"dmserver"=3 (0x3)
"dmadmin"=3 (0x3)
"clr_optimization_v2.0.50727_32"=3 (0x3)
"BITS"=3 (0x3)
"aspnet_state"=3 (0x3)
"AppMgmt"=3 (0x3)
"ALG"=3 (0x3)
"ICF"=2 (0x2)
"sp_rssrv"=2 (0x2)
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\Program Files\\VoipBuster.com\\VoipBuster\\VoipBuster.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
R2 fssfltr;FssFltr;c:\windows\system32\DRIVERS\fssfltr.sys [2008-07-16 43816]
R3 hercspud;Hercules (R) WDM Audio Driver;c:\windows\system32\drivers\hercspud.sys [2008-11-11 135936]
R3 hercwdm;Hercules (R) WDM Interface Driver;c:\windows\system32\drivers\hercwdm.sys [2008-11-11 466688]
R3 pctvvbi;PCTVVBI;c:\windows\system32\DRIVERS\pctvvbi.sys [2008-04-03 6400]
S3 CrystalSysInfo;CrystalSysInfo;\??\d:\program files\MediaCoder\SysInfo.sys [2007-09-25 15152]
S3 USB_RNDIS_51;Broadcom USB Remote NDIS Device Driver;c:\windows\system32\DRIVERS\usb8023.sys [2001-08-28 12672]
S4 fsssvc;Windows Live OneCare Contrôle parental;"c:\program files\Windows Live\Contrôle parental\fsssvc.exe" [2007-10-17 523816]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Contenu du dossier 'Tâches planifiées'
2008-12-19 c:\windows\Tasks\fpfbttqk.job
- c:\windows\system32\rundll32.exe [2004-08-19 16:10]
2008-03-07 c:\windows\Tasks\Maintenance en 1 clic.job
- c:\program files\TuneUp Utilities 2007\SystemOptimizer.exe [2007-01-17 14:47]
.
.
------- Examen supplémentaire -------
.
uStart Page = about:blank
mWindow Title =
uInternet Settings,ProxyServer = 127.0.0.1:8100
IE: E&xporter vers Microsoft Excel - c:\progra~1\Microsoft Office\Office10\EXCEL.EXE/3000
LSP: c:\windows\system32\imslsp.dll
LSP: c:\windows\system32\ZoneLabs\vetredir.dll
FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\z57vc18z.essai\
FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npdrmv2.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npdsplay.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npwmsdrm.dll
FF - plugin: d:\program files\adslTV\npvlc.dll
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-28 11:50:17
Windows 5.1.2600 Service Pack 2 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
Heure de fin: 2008-12-28 11:51:19
ComboFix-quarantined-files.txt 2008-12-28 10:51:17
ComboFix2.txt 2008-12-28 10:32:55
ComboFix3.txt 2008-12-27 22:12:48
Avant-CF: 2 007 908 352 octets libres
Après-CF: 1,997,037,568 octets libres
222 --- E O F --- 2008-03-14 20:19:49
donc, j'ai fait les différentes manips dans l'ordre.
Pour le log de Combofix, j'ai du le recommencer car j'avais oublié de l'enregistrer (quoiqu'apparemment il se trouve dans un Combofix :
ComboFix 08-12-26.03 - Administrateur 2008-12-28 11:48:48.3 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.511.275 [GMT 1:00]
Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe
AV: ZoneAlarm Security Suite Antivirus *On-access scanning disabled* (Outdated)
FW: ZoneAlarm Security Suite Firewall *disabled*
[COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR]
.
((((((((((((((((((((((((((((( Fichiers créés du 2008-11-28 au 2008-12-28 ))))))))))))))))))))))))))))))))))))
.
2008-12-27 08:30 . 2008-12-27 08:34 <REP> d-------- C:\HaxFix
2008-12-27 08:30 . 2008-12-26 23:18 487,438 --a------ C:\HaxFix.exe
2008-12-27 08:28 . 2008-12-27 08:28 <REP> d-------- c:\program files\Trend Micro
2008-12-26 22:12 . 2008-12-26 22:37 <REP> d-------- C:\ToolBar SD
2008-12-26 22:08 . 2008-12-26 10:06 781,851 --a------ C:\RSIT.exe
2008-12-26 20:51 . 2008-12-28 11:45 <REP> d-------- C:\rsit
2008-12-26 05:14 . 2008-10-16 14:08 27,672 --a------ c:\windows\system32\wuapi.dll.mui
2008-12-26 05:06 . 2008-12-26 05:06 <REP> d-------- c:\windows\report
2008-12-26 05:05 . 2008-12-26 05:05 <REP> d-------- c:\windows\AU_Backup
2008-12-26 05:05 . 2008-12-26 05:05 21,602,413 --a------ c:\windows\VPTNFILE.733
2008-12-26 05:05 . 2008-12-26 05:05 21,602,413 --a------ c:\windows\LPT$VPN.733
2008-12-26 05:05 . 2008-12-26 05:05 1,974,930 --a------ c:\windows\tsc.ptn
2008-12-26 05:05 . 2008-12-26 05:05 1,213,784 --a------ c:\windows\vsapi32.dll
2008-12-26 05:05 . 2008-12-26 05:05 345,157 --a------ c:\windows\tsc.exe
2008-12-26 05:05 . 2008-12-26 05:05 91,744 --a------ c:\windows\BPMNT.dll
2008-12-26 05:05 . 2008-12-26 05:05 71,749 --a------ c:\windows\hcextoutput.dll
2008-12-26 05:05 . 2008-12-26 05:15 823 --a------ c:\windows\tsc.ini
2008-12-26 05:03 . 2008-12-26 05:05 <REP> d-------- c:\windows\AU_Temp
2008-12-26 05:03 . 2008-12-26 05:03 <REP> d-------- c:\windows\AU_Log
2008-12-26 05:03 . 2008-12-26 05:03 507,904 --a------ c:\windows\TMUPDATE.DLL
2008-12-26 05:03 . 2008-12-26 05:03 286,720 --a------ c:\windows\PATCH.EXE
2008-12-26 05:03 . 2008-12-26 05:03 69,689 --a------ c:\windows\UNZIP.DLL
2008-12-26 05:03 . 2008-12-26 05:03 170 --a------ c:\windows\GetServer.ini
2008-12-25 23:02 . 2008-12-25 23:11 <REP> d-------- c:\documents and settings\All Users\Application Data\Spyware Terminator
2008-12-25 23:02 . 2008-12-25 23:03 <REP> d-------- c:\documents and settings\Administrateur\Application Data\Spyware Terminator
2008-12-25 23:02 . 2008-12-25 23:02 142,592 --a------ c:\windows\system32\drivers\sp_rsdrv2.sys
2008-12-25 21:05 . 2008-12-25 21:05 93,971,542 --a------ C:\sauve2.reg
2008-12-25 19:47 . 2008-12-25 19:47 <REP> d-------- c:\windows\system32\drivers\old
2008-12-24 15:53 . 2008-12-24 15:53 <REP> d-------- C:\f-vmonde
2008-12-24 00:53 . 2008-12-24 00:53 <REP> d-------- c:\documents and settings\Administrateur\Application Data\Malwarebytes
2008-12-24 00:53 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-12-24 00:52 . 2008-12-24 01:14 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2008-12-24 00:52 . 2008-12-24 00:52 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2008-12-24 00:52 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-23 21:20 . 2008-06-10 13:04 31,048 --a------ c:\windows\system32\drivers\point32.sys
2008-12-23 21:19 . 2008-12-23 21:20 <REP> d-------- c:\program files\Microsoft IntelliPoint
2008-12-22 22:12 . 2008-12-22 22:12 <REP> d-------- c:\documents and settings\All Users\Application Data\{148D8B8A-8F96-4822-81EC-D510B626B7D5}
2008-12-22 21:28 . 2004-06-14 14:56 427,864 --a------ c:\windows\system32\XceedZip.dll
2008-12-22 20:54 . 2007-09-02 20:56 1,686,016 --a------ c:\windows\system32\clinetsuitex6.ocx
2008-12-20 00:01 . 2008-12-20 00:11 2 --a------ C:\-1404163862
2008-12-19 23:31 . 2008-12-19 23:31 <REP> d-------- c:\documents and settings\All Users\Application Data\PC Drivers HeadQuarters
2008-12-18 02:40 . 1996-11-21 13:36 36,112 --a------ C:\DMACHECK.EXE
2008-12-17 22:08 . 2002-08-20 14:58 139,264 --a------ c:\windows\system32\IDEproperty.dll
2008-12-17 22:08 . 2002-10-17 15:14 49,024 --a------ c:\windows\system32\drivers\sisidex.sys
2008-12-17 22:08 . 2002-08-20 17:19 9,472 --a------ c:\windows\system32\drivers\sisperf.sys
2008-12-16 23:07 . 2008-12-20 00:23 498,268 --a------ c:\windows\system32\perfh040.dat
2008-12-16 23:07 . 2008-12-20 00:23 80,606 --a------ c:\windows\system32\perfc040.dat
2008-12-16 23:01 . 2008-12-16 23:01 91,550,514 --a------ C:\sauve.reg
2008-12-16 21:46 . 2004-08-19 16:09 1,888,992 --a--c--- c:\windows\system32\dllcache\ati3duag.dll
2008-12-16 21:46 . 2004-08-19 16:09 1,888,992 --a------ c:\windows\system32\ati3duag.dll
2008-12-16 21:46 . 2004-08-19 16:09 516,768 --a--c--- c:\windows\system32\dllcache\ativvaxx.dll
2008-12-16 21:46 . 2004-08-19 16:09 516,768 --a------ c:\windows\system32\ativvaxx.dll
2008-12-16 21:12 . 2008-12-16 21:12 <REP> d-------- c:\program files\Fichiers communs\3DO Shared
2008-12-16 21:12 . 2008-12-16 21:12 <REP> d-------- c:\program files\3DO
2008-12-06 10:10 . 2008-12-06 10:13 <REP> d-------- c:\documents and settings\Administrateur\Application Data\vlc
2008-11-28 22:06 . 2008-11-28 22:06 <REP> d-------- C:\OpenCandy
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-26 21:07 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2008-12-25 21:04 --------- d-----w c:\program files\Fichiers communs\Wise Installation Wizard
2008-12-25 20:09 31,707,385 ----a-w c:\windows\Internet Logs\vsmon_on_demand_2008_12_25_20_21_02_full.dmp.zip
2008-12-19 23:11 14,336 ----a-w c:\windows\system32\svchost.exe
2008-12-19 22:31 --------- d--h--w c:\program files\InstallShield Installation Information
2008-12-19 20:38 --------- d-----w c:\program files\Fichiers communs\Ahead
2008-12-18 20:59 --------- d-----w c:\documents and settings\Administrateur\Application Data\Skype
2008-12-18 20:32 --------- d-----w c:\documents and settings\Administrateur\Application Data\skypePM
2008-12-16 20:53 --------- d-----w c:\documents and settings\Administrateur\Application Data\ATI
2008-12-14 18:38 --------- d-----w c:\documents and settings\Administrateur\Application Data\dvdcss
2008-12-14 06:23 33,729,830 ----a-w c:\windows\Internet Logs\vsmon_on_demand_2008_12_13_23_27_50_full.dmp.zip
2008-12-05 20:30 60,475 ----a-w c:\windows\Internet Logs\Explorer_2nd_2008_12_04_22_49_55_small.dmp.zip
2008-11-30 17:08 --------- d-----w c:\documents and settings\Administrateur\Application Data\Ahead
2008-11-25 19:29 29,696 ----a-w c:\windows\Internet Logs\xDB2.tmp
2008-11-24 21:57 1,135,104 ----a-w c:\windows\Internet Logs\xDB1.tmp
2008-11-23 19:12 410,976 ----a-w c:\windows\system32\deploytk.dll
2008-11-23 19:12 --------- d-----w c:\program files\Java
2008-11-22 15:58 --------- d-----w c:\program files\SFR
2008-11-21 20:48 --------- d-----w c:\program files\TechCity Solutions
2008-11-19 20:16 --------- d-----w c:\documents and settings\All Users\Application Data\Lavasoft
2008-11-18 20:00 --------- d-----w c:\documents and settings\Administrateur\Application Data\Canon
2008-11-02 18:29 --------- d-----w c:\program files\RegCleaner
2008-11-02 17:54 --------- d-----w c:\documents and settings\All Users\Application Data\Apple Computer
2008-10-23 20:25 22,776 ----a-w c:\documents and settings\Administrateur\Application Data\GDIPFONTCACHEV1.DAT
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:12 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-02-25 20:47 32 ----a-w c:\documents and settings\All Users\Application Data\ezsid.dat
.
((((((((((((((((((((((((((((( snapshot@2008-12-27_23.10.09.98 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-12-27 21:54:09 4,212 ---h--w c:\windows\system32\zllictbl.dat
+ 2008-12-28 10:18:08 4,212 ---h--w c:\windows\system32\zllictbl.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.PIM1"= PCLEPIM1.dll
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Pinnacle Scheduler.lnk]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2004-08-19 16:09 15360 c:\windows\system32\ctfmon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HGTXPEI]
--------- 2002-06-11 13:34 24576 c:\windows\system32\FirstReboot.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IntelliPoint]
--a------ 2008-06-10 12:56 1406024 c:\program files\Microsoft IntelliPoint\ipoint.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundFusion]
--a------ 2002-12-20 15:46 453120 c:\windows\system32\hercplgs.cpl
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"CAISafe"=3 (0x3)
"ATI Smart"=2 (0x2)
"Ati HotKey Poller"=2 (0x2)
"sgSchedulerService"=2 (0x2)
"WMPNetworkSvc"=3 (0x3)
"idsvc"=3 (0x3)
"Autodesk Licensing Service"=3 (0x3)
"vsmon"=3 (0x3)
"IDriverT"=3 (0x3)
"fsssvc"=2 (0x2)
"usnjsvc"=3 (0x3)
"WLSetupSvc"=3 (0x3)
"InCDsrv"=2 (0x2)
"a2free"=2 (0x2)
"aawservice"=2 (0x2)
"JavaQuickStarterService"=2 (0x2)
"xmlprov"=3 (0x3)
"WudfSvc"=3 (0x3)
"Wmi"=3 (0x3)
"VSS"=3 (0x3)
"SysmonLog"=3 (0x3)
"SwPrv"=3 (0x3)
"Spooler"=3 (0x3)
"RasAuto"=3 (0x3)
"NtmsSvc"=3 (0x3)
"HTTPFilter"=3 (0x3)
"helpsvc"=3 (0x3)
"FontCache3.0.0.0"=3 (0x3)
"dmserver"=3 (0x3)
"dmadmin"=3 (0x3)
"clr_optimization_v2.0.50727_32"=3 (0x3)
"BITS"=3 (0x3)
"aspnet_state"=3 (0x3)
"AppMgmt"=3 (0x3)
"ALG"=3 (0x3)
"ICF"=2 (0x2)
"sp_rssrv"=2 (0x2)
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\Program Files\\VoipBuster.com\\VoipBuster\\VoipBuster.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
R2 fssfltr;FssFltr;c:\windows\system32\DRIVERS\fssfltr.sys [2008-07-16 43816]
R3 hercspud;Hercules (R) WDM Audio Driver;c:\windows\system32\drivers\hercspud.sys [2008-11-11 135936]
R3 hercwdm;Hercules (R) WDM Interface Driver;c:\windows\system32\drivers\hercwdm.sys [2008-11-11 466688]
R3 pctvvbi;PCTVVBI;c:\windows\system32\DRIVERS\pctvvbi.sys [2008-04-03 6400]
S3 CrystalSysInfo;CrystalSysInfo;\??\d:\program files\MediaCoder\SysInfo.sys [2007-09-25 15152]
S3 USB_RNDIS_51;Broadcom USB Remote NDIS Device Driver;c:\windows\system32\DRIVERS\usb8023.sys [2001-08-28 12672]
S4 fsssvc;Windows Live OneCare Contrôle parental;"c:\program files\Windows Live\Contrôle parental\fsssvc.exe" [2007-10-17 523816]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Contenu du dossier 'Tâches planifiées'
2008-12-19 c:\windows\Tasks\fpfbttqk.job
- c:\windows\system32\rundll32.exe [2004-08-19 16:10]
2008-03-07 c:\windows\Tasks\Maintenance en 1 clic.job
- c:\program files\TuneUp Utilities 2007\SystemOptimizer.exe [2007-01-17 14:47]
.
.
------- Examen supplémentaire -------
.
uStart Page = about:blank
mWindow Title =
uInternet Settings,ProxyServer = 127.0.0.1:8100
IE: E&xporter vers Microsoft Excel - c:\progra~1\Microsoft Office\Office10\EXCEL.EXE/3000
LSP: c:\windows\system32\imslsp.dll
LSP: c:\windows\system32\ZoneLabs\vetredir.dll
FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\z57vc18z.essai\
FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npdrmv2.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npdsplay.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npwmsdrm.dll
FF - plugin: d:\program files\adslTV\npvlc.dll
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-28 11:50:17
Windows 5.1.2600 Service Pack 2 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
Heure de fin: 2008-12-28 11:51:19
ComboFix-quarantined-files.txt 2008-12-28 10:51:17
ComboFix2.txt 2008-12-28 10:32:55
ComboFix3.txt 2008-12-27 22:12:48
Avant-CF: 2 007 908 352 octets libres
Après-CF: 1,997,037,568 octets libres
222 --- E O F --- 2008-03-14 20:19:49
bibi_fricotin
Messages postés
197
Date d'inscription
mardi 9 novembre 2004
Statut
Membre
Dernière intervention
3 juillet 2014
23
28 déc. 2008 à 12:03
28 déc. 2008 à 12:03
le log de RSIT :
Logfile of random's system information tool 1.05 (written by random/random)
Run by Administrateur at 2008-12-28 11:40:42
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 2 GB (27%) free of 7 GB
Total RAM: 511 MB (49% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:42:13, on 28/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\Administrateur\Bureau\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\Administrateur.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8100
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\Office10\EXCEL.EXE/3000
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - d:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - d:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: {6414512b-b978-451d-a0d8-fcfdf33e833c} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {74d05d43-3236-11d4-bdcd-00c04f9a3b61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
Logfile of random's system information tool 1.05 (written by random/random)
Run by Administrateur at 2008-12-28 11:40:42
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 2 GB (27%) free of 7 GB
Total RAM: 511 MB (49% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:42:13, on 28/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\Administrateur\Bureau\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\Administrateur.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8100
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\Office10\EXCEL.EXE/3000
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - d:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - d:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: {6414512b-b978-451d-a0d8-fcfdf33e833c} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {74d05d43-3236-11d4-bdcd-00c04f9a3b61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
464
28 déc. 2008 à 12:31
28 déc. 2008 à 12:31
Bon ....
1- Télécharge OTMoveIt3 (de Old_Timer) sur ton Bureau.
http://oldtimer.geekstogo.com/OTMoveIt3.exe
! Déconnecte toi et ferme toutes tes applications en cours !
Double clique sur "OTMoveIt3.exe" pour ouvrir le prg .
Puis copie ce qui se trouve en citation ci-dessous,
et colle le dans le cadre de gauche de OTMoveIt3 :
Paste Instructions for items to be moved.
(ne touche à rien d'autre !)
-> clique sur MoveIt! pour lancer la suppression.
-> laisse travailler l'outil ...
( Note : ton bureau va disparaitre puis réapparaitre, c'est normal .)
-> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " .
Ton PC va redémarrer de lui même ...
-->Poste le contenu du rapport qui se trouve dans le dossier "C:\_OTMoveIt\MovedFiles"
( " xxxx2008_xxxxxx.log " où les "x" correspondent au jour et à l'heure de l'utilisation ).
2- refais un scan RSIT , poste le nouveau log.txt et attends la suite ....
1- Télécharge OTMoveIt3 (de Old_Timer) sur ton Bureau.
http://oldtimer.geekstogo.com/OTMoveIt3.exe
! Déconnecte toi et ferme toutes tes applications en cours !
Double clique sur "OTMoveIt3.exe" pour ouvrir le prg .
Puis copie ce qui se trouve en citation ci-dessous,
:Processes explorer.exe :Services tdssserv.sys.REN :Reg :Files :Commands [emptytemp] [Reboot]
et colle le dans le cadre de gauche de OTMoveIt3 :
Paste Instructions for items to be moved.
(ne touche à rien d'autre !)
-> clique sur MoveIt! pour lancer la suppression.
-> laisse travailler l'outil ...
( Note : ton bureau va disparaitre puis réapparaitre, c'est normal .)
-> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " .
Ton PC va redémarrer de lui même ...
-->Poste le contenu du rapport qui se trouve dans le dossier "C:\_OTMoveIt\MovedFiles"
( " xxxx2008_xxxxxx.log " où les "x" correspondent au jour et à l'heure de l'utilisation ).
2- refais un scan RSIT , poste le nouveau log.txt et attends la suite ....
bibi_fricotin
Messages postés
197
Date d'inscription
mardi 9 novembre 2004
Statut
Membre
Dernière intervention
3 juillet 2014
23
28 déc. 2008 à 21:28
28 déc. 2008 à 21:28
bon ,j'ai suivi la procédure (encore merci) :
le log de OTMoveIt3 :
========== PROCESSES ==========
Process explorer.exe killed successfully.
========== SERVICES/DRIVERS ==========
Unable to stop service tdssserv.sys.REN .
========== REGISTRY ==========
========== FILES ==========
========== COMMANDS ==========
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
Java cache emptied.
FireFox cache emptied.
Temp folders emptied.
OTMoveIt3 by OldTimer - Version 1.0.7.2 log created on 12282008_211647
et le log de RSIT :
Logfile of random's system information tool 1.05 (written by random/random)
Run by Administrateur at 2008-12-28 21:19:27
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 2 GB (27%) free of 7 GB
Total RAM: 511 MB (61% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:20:19, on 28/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Administrateur\Bureau\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\Administrateur.exe
C:\WINDOWS\system32\wuauclt.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8100
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\Office10\EXCEL.EXE/3000
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - d:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - d:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: {6414512b-b978-451d-a0d8-fcfdf33e833c} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {74d05d43-3236-11d4-bdcd-00c04f9a3b61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
le log de OTMoveIt3 :
========== PROCESSES ==========
Process explorer.exe killed successfully.
========== SERVICES/DRIVERS ==========
Unable to stop service tdssserv.sys.REN .
========== REGISTRY ==========
========== FILES ==========
========== COMMANDS ==========
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
Java cache emptied.
FireFox cache emptied.
Temp folders emptied.
OTMoveIt3 by OldTimer - Version 1.0.7.2 log created on 12282008_211647
et le log de RSIT :
Logfile of random's system information tool 1.05 (written by random/random)
Run by Administrateur at 2008-12-28 21:19:27
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 2 GB (27%) free of 7 GB
Total RAM: 511 MB (61% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:20:19, on 28/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Administrateur\Bureau\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\Administrateur.exe
C:\WINDOWS\system32\wuauclt.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8100
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\Office10\EXCEL.EXE/3000
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - d:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - d:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: {6414512b-b978-451d-a0d8-fcfdf33e833c} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {74d05d43-3236-11d4-bdcd-00c04f9a3b61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
464
28 déc. 2008 à 22:26
28 déc. 2008 à 22:26
Cela n'a pas marché ... -_-
changement de tactique :
1-Créer un doc texte sur ton bureau :
pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .
Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :
File::
C:\WINDOWS\system32\a76dec3b-.txt
C:\-1404163862
Driver::
tdssserv.sys.REN
Puis va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valide ...
2-Nettoyage :
!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!
--->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .
(Regarde ici : http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript.gif )
Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tape 1 puis valide.
Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)
!! Ne touches à rien tant que le scan n'est pas terminé !!
Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
Une fois le scan achevé, un rapport va s'afficher : poste le accompagné d' un nouveau rapport RSIT pour analyse ...
( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )
changement de tactique :
1-Créer un doc texte sur ton bureau :
pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .
Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :
File::
C:\WINDOWS\system32\a76dec3b-.txt
C:\-1404163862
Driver::
tdssserv.sys.REN
Puis va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valide ...
2-Nettoyage :
!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!
--->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .
(Regarde ici : http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript.gif )
Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tape 1 puis valide.
Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)
!! Ne touches à rien tant que le scan n'est pas terminé !!
Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
Une fois le scan achevé, un rapport va s'afficher : poste le accompagné d' un nouveau rapport RSIT pour analyse ...
( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )
bibi_fricotin
Messages postés
197
Date d'inscription
mardi 9 novembre 2004
Statut
Membre
Dernière intervention
3 juillet 2014
23
28 déc. 2008 à 23:26
28 déc. 2008 à 23:26
le rapport de combofix :
Please help us improve HijackThis by reporting this error
Click 'Yes' to submit
Error Details:
An unexpected error has occurred at procedure: modRegistry_IniGetString(sFile=system.ini, sSection=boot, sValue=Shell)
Error #5 - Argument ou appel de procédure incorrect
Windows version: Windows NT 5.01.2600
MSIE version: 7.0.5730.13
HijackThis version: 2.0.2
et celui de RSIT :
Logfile of random's system information tool 1.05 (written by random/random)
Run by Administrateur at 2008-12-28 23:21:44
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 2 GB (27%) free of 7 GB
Total RAM: 511 MB (57% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:22:19, on 28/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\Administrateur\Bureau\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\Administrateur.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8100
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\Office10\EXCEL.EXE/3000
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - d:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - d:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: {6414512b-b978-451d-a0d8-fcfdf33e833c} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {74d05d43-3236-11d4-bdcd-00c04f9a3b61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
Please help us improve HijackThis by reporting this error
Click 'Yes' to submit
Error Details:
An unexpected error has occurred at procedure: modRegistry_IniGetString(sFile=system.ini, sSection=boot, sValue=Shell)
Error #5 - Argument ou appel de procédure incorrect
Windows version: Windows NT 5.01.2600
MSIE version: 7.0.5730.13
HijackThis version: 2.0.2
et celui de RSIT :
Logfile of random's system information tool 1.05 (written by random/random)
Run by Administrateur at 2008-12-28 23:21:44
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 2 GB (27%) free of 7 GB
Total RAM: 511 MB (57% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:22:19, on 28/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\Administrateur\Bureau\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\Administrateur.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8100
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\Office10\EXCEL.EXE/3000
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - d:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - d:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: {6414512b-b978-451d-a0d8-fcfdf33e833c} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {74d05d43-3236-11d4-bdcd-00c04f9a3b61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
464
29 déc. 2008 à 08:54
29 déc. 2008 à 08:54
Salut,
cette fois c'est la bonne .... ^^
Dis moi comment va le PC maintenant .... du mieux ?
Puis fais ceci :
1- un coup de CCleaner ( registre compris )
2- Télécharge GenProc (de Jean-Chretien1 et Narco4) sur ton bureau (et pas ailleur !) :
http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip
!!Déconnecte toi et ferme tes applications en cours !!
Dézippe (=extraire tout) le contenu de ce que tu viens de télécharger sur ton bureau .
Ouvre le dossier Genproc :
double-clique sur GenProc.bat et laisse faire ...
Une fois terminé, poste le contenu du rapport qui s'ouvre ...
Aide en images ici : http://www.alt-shift-return.org/Info/GenProc-HowTo.html
IMPORTANT : poste le rapport et ne fais rien d'autre pour l'instant ( souvant il faut ajouter des consignes à la manipe indiquée pour que cela fonctionne parfaitement ) .
cette fois c'est la bonne .... ^^
Dis moi comment va le PC maintenant .... du mieux ?
Puis fais ceci :
1- un coup de CCleaner ( registre compris )
2- Télécharge GenProc (de Jean-Chretien1 et Narco4) sur ton bureau (et pas ailleur !) :
http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip
!!Déconnecte toi et ferme tes applications en cours !!
Dézippe (=extraire tout) le contenu de ce que tu viens de télécharger sur ton bureau .
Ouvre le dossier Genproc :
double-clique sur GenProc.bat et laisse faire ...
Une fois terminé, poste le contenu du rapport qui s'ouvre ...
Aide en images ici : http://www.alt-shift-return.org/Info/GenProc-HowTo.html
IMPORTANT : poste le rapport et ne fais rien d'autre pour l'instant ( souvant il faut ajouter des consignes à la manipe indiquée pour que cela fonctionne parfaitement ) .
bibi_fricotin
Messages postés
197
Date d'inscription
mardi 9 novembre 2004
Statut
Membre
Dernière intervention
3 juillet 2014
23
29 déc. 2008 à 10:33
29 déc. 2008 à 10:33
Bonjour SKE69,
Pas tellement possible de te dire si le pc fonctionne + vite, car j'avais trouvé ce rootkit par hasard car mon disque dur principal (il y en a 2) était -est toujours- en mode PIO !
Voici le rapport de Genproc (il m'a mis un message car il ne trouvait le magnetophone) :
Rapport GenProc 2.316 [1] - 29/12/2008 - Windows XP
GenProc n'a détecté aucune infection caractéristique et suggère de suivre la procédure suivante :
Poste un rapport Nod32 https://www.eset.com/ (il faut utiliser Internet Explorer)
- coche toutes les cases à chaque fois, et lorsque c'est terminé, colle le rapport :
- C:\Program Files\EsetOnlineScanner\log.txt
__________________________________________________________________________________________________________
Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com
Pas tellement possible de te dire si le pc fonctionne + vite, car j'avais trouvé ce rootkit par hasard car mon disque dur principal (il y en a 2) était -est toujours- en mode PIO !
Voici le rapport de Genproc (il m'a mis un message car il ne trouvait le magnetophone) :
Rapport GenProc 2.316 [1] - 29/12/2008 - Windows XP
GenProc n'a détecté aucune infection caractéristique et suggère de suivre la procédure suivante :
Poste un rapport Nod32 https://www.eset.com/ (il faut utiliser Internet Explorer)
- coche toutes les cases à chaque fois, et lorsque c'est terminé, colle le rapport :
- C:\Program Files\EsetOnlineScanner\log.txt
__________________________________________________________________________________________________________
Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
464
29 déc. 2008 à 12:37
29 déc. 2008 à 12:37
oki ...
tout semble clean ...
fais ceci dans l'ordre :
1-Télécharge ToolsCleaner (de A.Rothstein) sur ton Bureau.
http://pc-system.fr/
Déconnecte toi et ferme bien toutes tes applications en cours .
Lances le .
*Clique sur Recherche et laisse le scan se terminer (cela peut être long).
*Clique sur Suppression pour finaliser.
*Clique sur "quitter" pour générer un rapport ( et pas sur la croix rouge !) :
--> Poste ce rapport : il se trouve à la racine de ton disque dur -> C:\TCleaner.txt .
Note : Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection .
Supprime tout les outils , dossiers ou rapports consernant la désinfection que Toolscleaner2 n'a pas supprimé .
( garde CCleaner et Malwarebytes : très utiles ! )
======================================
2- Refais un coup de CCleaner ( registre compris ) .
======================================
3- Retélécharge et réinstalle hijackthis ( car supprimé par Toolscleaner2 ) ,
Télécharge et installe le logiciel HijackThis :
ici ftp://ftp.commentcamarche.com/download/HJTInstall.exe
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html
-> Clique sur le setup pour lancer l'installe : laisse toi guider et ne modifie pas les paramètres d'installation .
A la fin de l'installe , le prg ce lance automatiquement : ferme le en cliquant sur la croix rouge .
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .
( ne fais pas de scan pour le moment )
======================================
4- Important :
Purge de la restauration système
*Désactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK
---> Redémarre ton PC ...
*Réactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK
--->Redémarre ton PC ...
( Note : tu peux aussi y accéder via panneau de configuration->" système "->" restauration système " ).
======================================
5- Fais ce scan en ligne pour vérifier :
( ne rien faire d'autre avec le PC durant le scan ! )
Fais un scan en ligne avec Kaspersky : https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
- Sous Démonstration en ligne, on t'explique la marche à suivre, et pour lancer le scan il faut sélectionner < Exécuter l'analyse en ligne >.
Le scan ne marche que sous Internet Explorer(et pas sous firefox ou autre...).
- On va te demander de télécharger un contôle active x, accepte .
- Dans le menu Choisissez la cible de l'analyse, sélectionne Poste de travail. Le scan va commencer.
- Sauvegarde le rapport qui sera généré, puis copie/colle le dans ta prochaine réponse pour analyse et attends la suite ...
--> tuto :
https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId291566
Note :
*Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte-toi sur le site de Kaspersky pour retenter le scan en ligne.
*S'il y a un problème, assure toi que les contrôles active x sont bien configurés dans les options internet comme décrit sur ce lien : http://www.inoculer.com/activex.php3
Rappel : le scan est à faire sous Internet Explorer !
tout semble clean ...
fais ceci dans l'ordre :
1-Télécharge ToolsCleaner (de A.Rothstein) sur ton Bureau.
http://pc-system.fr/
Déconnecte toi et ferme bien toutes tes applications en cours .
Lances le .
*Clique sur Recherche et laisse le scan se terminer (cela peut être long).
*Clique sur Suppression pour finaliser.
*Clique sur "quitter" pour générer un rapport ( et pas sur la croix rouge !) :
--> Poste ce rapport : il se trouve à la racine de ton disque dur -> C:\TCleaner.txt .
Note : Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection .
Supprime tout les outils , dossiers ou rapports consernant la désinfection que Toolscleaner2 n'a pas supprimé .
( garde CCleaner et Malwarebytes : très utiles ! )
======================================
2- Refais un coup de CCleaner ( registre compris ) .
======================================
3- Retélécharge et réinstalle hijackthis ( car supprimé par Toolscleaner2 ) ,
Télécharge et installe le logiciel HijackThis :
ici ftp://ftp.commentcamarche.com/download/HJTInstall.exe
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html
-> Clique sur le setup pour lancer l'installe : laisse toi guider et ne modifie pas les paramètres d'installation .
A la fin de l'installe , le prg ce lance automatiquement : ferme le en cliquant sur la croix rouge .
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .
( ne fais pas de scan pour le moment )
======================================
4- Important :
Purge de la restauration système
*Désactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK
---> Redémarre ton PC ...
*Réactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK
--->Redémarre ton PC ...
( Note : tu peux aussi y accéder via panneau de configuration->" système "->" restauration système " ).
======================================
5- Fais ce scan en ligne pour vérifier :
( ne rien faire d'autre avec le PC durant le scan ! )
Fais un scan en ligne avec Kaspersky : https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
- Sous Démonstration en ligne, on t'explique la marche à suivre, et pour lancer le scan il faut sélectionner < Exécuter l'analyse en ligne >.
Le scan ne marche que sous Internet Explorer(et pas sous firefox ou autre...).
- On va te demander de télécharger un contôle active x, accepte .
- Dans le menu Choisissez la cible de l'analyse, sélectionne Poste de travail. Le scan va commencer.
- Sauvegarde le rapport qui sera généré, puis copie/colle le dans ta prochaine réponse pour analyse et attends la suite ...
--> tuto :
https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId291566
Note :
*Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte-toi sur le site de Kaspersky pour retenter le scan en ligne.
*S'il y a un problème, assure toi que les contrôles active x sont bien configurés dans les options internet comme décrit sur ce lien : http://www.inoculer.com/activex.php3
Rappel : le scan est à faire sous Internet Explorer !
bibi_fricotin
Messages postés
197
Date d'inscription
mardi 9 novembre 2004
Statut
Membre
Dernière intervention
3 juillet 2014
23
29 déc. 2008 à 15:34
29 déc. 2008 à 15:34
IE ne fonctionne pas bien, d'ailleurs je ne l'utilise quasiment jamais.
Et je ne peux pas désactiver Zonealarm (sinon pas de connexion internet!).
As-tu une autre solution ?
Merci.
Et je ne peux pas désactiver Zonealarm (sinon pas de connexion internet!).
As-tu une autre solution ?
Merci.
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
464
29 déc. 2008 à 15:53
29 déc. 2008 à 15:53
utilise IE ... qui doit marcher normalement maintenant et tu peux désactivé ZA le temps du scan ....
bibi_fricotin
Messages postés
197
Date d'inscription
mardi 9 novembre 2004
Statut
Membre
Dernière intervention
3 juillet 2014
23
29 déc. 2008 à 22:30
29 déc. 2008 à 22:30
j'ai mis à jour IE et je me suis retruuvé avec un espion de chez Bill et un contrôle parental en plus!
J'ai enlevé tout ça.
IE ne fonctionne toujours pas correctement (les images ne s'affichent pas).
L'anti-virus de Zonealarm ne peut pas faire l'affaire ?
Encore merci de ton aide je dois m'absenter jusqu'à samedi.
Bonnes fêtes !!!
J'ai enlevé tout ça.
IE ne fonctionne toujours pas correctement (les images ne s'affichent pas).
L'anti-virus de Zonealarm ne peut pas faire l'affaire ?
Encore merci de ton aide je dois m'absenter jusqu'à samedi.
Bonnes fêtes !!!
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
464
29 déc. 2008 à 22:40
29 déc. 2008 à 22:40
re,
soyont claire, c'est un scan en ligne que je te demande de faire !!! Pas d'installer Kaspersky lol ! ...
Si tu as des prb d'affichage avec IE , c'est juste une histoire de réglage ...
L'anti-virus de Zonealarm ne peut pas faire l'affaire ?
-> je te signal que ( au vu des différent rapport ) tu n'as aucne défenses !!!! ( ni anti-virus , ni pare feu et ni Antispyware ) ... on verra cela ensemble par la suite ( le top du moment en gratuit biensûr )
j'attends donc le rapport de ce scan ^^... si ce dernier s'avère clean , on pourra finaliser ... ^^
Moi je te dis seulement à Lundi ! ... Passe de bonne fêtes ! ....
soyont claire, c'est un scan en ligne que je te demande de faire !!! Pas d'installer Kaspersky lol ! ...
Si tu as des prb d'affichage avec IE , c'est juste une histoire de réglage ...
L'anti-virus de Zonealarm ne peut pas faire l'affaire ?
-> je te signal que ( au vu des différent rapport ) tu n'as aucne défenses !!!! ( ni anti-virus , ni pare feu et ni Antispyware ) ... on verra cela ensemble par la suite ( le top du moment en gratuit biensûr )
j'attends donc le rapport de ce scan ^^... si ce dernier s'avère clean , on pourra finaliser ... ^^
Moi je te dis seulement à Lundi ! ... Passe de bonne fêtes ! ....