Infection d'un virus nommé TR/Dldr.Bagle.LI.2
Larekan
-
sKe69 Messages postés 21955 Statut Contributeur sécurité -
sKe69 Messages postés 21955 Statut Contributeur sécurité -
Bjour !
alors wala, j'ai formaté mon ordinateur il y a 5 jours, et je viens de me rendre compte qu'Antivir gueule régulièrement (ces derniers temps un peu plus souvent, d'habitude c'était une fois par jour) à propos d'un virus nommé TR/Dldr.Bagle.LI.2
Ayant fait une petite recherche sur ce Bagle, ça à l'air d'être de la balle, comme virus...
Heureusement, j'ai pas encore rangé les CDs d'installations, donc si il faut que je recommence encore tout, pas de probs xD
Quelqu'un peut-il m'aider ?
A + !
alors wala, j'ai formaté mon ordinateur il y a 5 jours, et je viens de me rendre compte qu'Antivir gueule régulièrement (ces derniers temps un peu plus souvent, d'habitude c'était une fois par jour) à propos d'un virus nommé TR/Dldr.Bagle.LI.2
Ayant fait une petite recherche sur ce Bagle, ça à l'air d'être de la balle, comme virus...
Heureusement, j'ai pas encore rangé les CDs d'installations, donc si il faut que je recommence encore tout, pas de probs xD
Quelqu'un peut-il m'aider ?
A + !
A voir également:
- Infection d'un virus nommé TR/Dldr.Bagle.LI.2
- Supercopier 2 - Télécharger - Gestion de fichiers
- Virus mcafee - Accueil - Piratage
- 2 ecran pc - Guide
- Faux message virus iphone ✓ - Forum Virus
- Faire 2 colonnes sur word - Guide
69 réponses
"c pour faire avancer le "schimbilick" (si ça ecris ainsi) -;)"
...quoi, les informaticiens du site préparent un Super-Virus capable de contrer toutes les défenses ? xD
Remarquez, ça serait con qu'il existe des virus qui puissent muter comme dans la nature... Imaginez, un virus qui enregistre dans ses lignes toutes les solutions pour contrer les parefeu, les antivirus, les scans, et devenir invincible, comme une "super-bactérie" dans les hôpitaux... oO
...quoi, les informaticiens du site préparent un Super-Virus capable de contrer toutes les défenses ? xD
Remarquez, ça serait con qu'il existe des virus qui puissent muter comme dans la nature... Imaginez, un virus qui enregistre dans ses lignes toutes les solutions pour contrer les parefeu, les antivirus, les scans, et devenir invincible, comme une "super-bactérie" dans les hôpitaux... oO
Bon ....
je donne la suite .... ^^
1- refais un coup de CCleaner ( registre compris )
2- Télécharge ComboFix (par sUBs) sur ton Bureau (et pas ailleurs !):
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
--------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
!! Déconnecte toi,ferme tes applications en cours ( ainsi que ton navigateur ) et DESACTIVE TOUTES TES DEFENSES (anti-virus, guarde anti spy-ware, pare-feu) le temps de la manipe :
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!
--->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Note : pour XP, bien installer la Console de Récupération de Windows comme il est indiqué dans le tuto ci-dessus ...
---------------------------------------------------------------------------------------------------------------------------------
Ensuite :
double-clique sur l'icône "combofix.exe" pour lancer l'outil .
Appuie sur la touche Y (Yes) pour démarrer le scan .
Notes importantes :
-> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
-> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes ...
-> si un message d'erreur windows apparait à un momment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )
Le rapport sera crée ici : C:\Combofix.txt
Réactive bien tes défenses .
Poste le rapport Combofix pour analyse ...
je donne la suite .... ^^
1- refais un coup de CCleaner ( registre compris )
2- Télécharge ComboFix (par sUBs) sur ton Bureau (et pas ailleurs !):
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
--------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
!! Déconnecte toi,ferme tes applications en cours ( ainsi que ton navigateur ) et DESACTIVE TOUTES TES DEFENSES (anti-virus, guarde anti spy-ware, pare-feu) le temps de la manipe :
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!
--->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Note : pour XP, bien installer la Console de Récupération de Windows comme il est indiqué dans le tuto ci-dessus ...
---------------------------------------------------------------------------------------------------------------------------------
Ensuite :
double-clique sur l'icône "combofix.exe" pour lancer l'outil .
Appuie sur la touche Y (Yes) pour démarrer le scan .
Notes importantes :
-> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
-> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes ...
-> si un message d'erreur windows apparait à un momment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )
Le rapport sera crée ici : C:\Combofix.txt
Réactive bien tes défenses .
Poste le rapport Combofix pour analyse ...
...quoi, les informaticiens du site préparent un Super-Virus capable de contrer toutes les défenses ? xD
Remarquez, ça serait con qu'il existe des virus qui puissent muter comme dans la nature... Imaginez, un virus qui enregistre dans ses lignes toutes les solutions pour contrer les parefeu, les antivirus, les scans, et devenir invincible, comme une "super-bactérie" dans les hôpitaux... oO
>> xd , non ce qui m ineressait c était d avoir ce winsys2 en plusieures copies ...
désolé pour peut etre avoir derangé le topic mais je remercie Larekan pour avoir fait l effort de me communiquer ces fichiers mira
breff cadeau Bonnee a vous 2
et merci
Remarquez, ça serait con qu'il existe des virus qui puissent muter comme dans la nature... Imaginez, un virus qui enregistre dans ses lignes toutes les solutions pour contrer les parefeu, les antivirus, les scans, et devenir invincible, comme une "super-bactérie" dans les hôpitaux... oO
>> xd , non ce qui m ineressait c était d avoir ce winsys2 en plusieures copies ...
désolé pour peut etre avoir derangé le topic mais je remercie Larekan pour avoir fait l effort de me communiquer ces fichiers mira
breff cadeau Bonnee a vous 2
et merci
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
marrante l'installation de la console de récup' avec le cd, au début, vu que j'ai SP3, il a gueulé qu'il ne pouvait pas l'isntaller à partir du CD, il a cherché tout seul comme un grand sur internet... qu'il est intelligent, il aura un bon nonos \o/
errr... sKe ?
Je te fais juste part que si je désactive mes défenses, windows risque de ramener sa fraise avec les bulles en bas à droite de l'écran... Est-ce que ça pourrait nuire ?
Je te fais juste part que si je désactive mes défenses, windows risque de ramener sa fraise avec les bulles en bas à droite de l'écran... Est-ce que ça pourrait nuire ?
Hop ! voilà le log de ComboFix. Étonnamment il n'a pas redémarrer le pc. Strange.
ComboFix 09-01-05.05 - BrunoF 2009-01-06 22:19:50.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.2046.1594 [GMT 1:00]
Lancé depuis: c:\documents and settings\BrunoF\Bureau\ComboFix.exe
* Un nouveau point de restauration a été créé
.
((((((((((((((((((((((((((((( Fichiers créés du 2008-12-06 au 2009-01-06 ))))))))))))))))))))))))))))))))))))
.
2009-01-06 22:08 . 2008-08-07 01:24 8,925,760 --a------ C:\lol.mp3
2009-01-06 21:36 . 2009-01-06 21:36 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-01-06 21:36 . 2009-01-06 21:36 <REP> d-------- c:\documents and settings\BrunoF\Application Data\Malwarebytes
2009-01-06 21:36 . 2009-01-06 21:36 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-01-06 21:36 . 2009-01-04 18:38 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-06 21:36 . 2009-01-04 18:38 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-01-06 21:20 . 2009-01-06 21:20 <REP> d-------- c:\program files\7-Zip
2009-01-06 20:10 . 2009-01-06 20:10 <REP> d-------- C:\rsit
2009-01-06 20:07 . 2009-01-06 20:07 <REP> d-------- c:\program files\Trend Micro
2009-01-06 20:04 . 2009-01-06 20:04 <REP> d-------- c:\program files\CCleaner
2009-01-06 18:38 . 2009-01-06 18:38 <REP> d-------- C:\scans
2009-01-06 18:12 . 2009-01-06 20:02 <REP> d-------- c:\program files\FindyKill
2009-01-05 18:29 . 2009-01-05 18:29 <REP> d-------- C:\Nero v.9.0.9.4b Multilenguaje + Serials_DnGnMsTr
2009-01-04 18:13 . 2009-01-04 18:13 <REP> d-------- c:\documents and settings\BrunoF\Application Data\Pixmantec
2009-01-04 17:43 . 2008-04-14 03:33 159,232 --a------ c:\windows\system32\ptpusd.dll
2009-01-04 17:43 . 2008-04-13 19:45 15,104 --a------ c:\windows\system32\drivers\usbscan.sys
2009-01-04 17:43 . 2008-04-13 19:45 15,104 --a--c--- c:\windows\system32\dllcache\usbscan.sys
2009-01-04 17:43 . 2001-08-23 17:47 5,632 --a------ c:\windows\system32\ptpusb.dll
2009-01-03 23:59 . 2009-01-03 23:59 <REP> d-------- c:\documents and settings\BrunoF\Application Data\PCToolsFirewallPlus
2009-01-03 23:58 . 2008-12-11 08:38 159,600 --a------ c:\windows\system32\drivers\pctgntdi.sys
2009-01-03 23:58 . 2008-12-11 12:32 132,976 --a------ c:\windows\system32\drivers\PCTCore.sys
2009-01-03 23:58 . 2008-12-11 12:32 73,840 --a------ c:\windows\system32\drivers\PCTAppEvent.sys
2009-01-03 23:57 . 2009-01-03 23:59 <REP> d-------- c:\program files\PC Tools Firewall Plus
2009-01-03 23:57 . 2009-01-03 23:58 <REP> d-------- c:\program files\Fichiers communs\PC Tools
2009-01-03 23:57 . 2008-09-22 12:29 97,408 --a------ c:\windows\system32\drivers\pctfw.sys
2009-01-03 23:57 . 2008-12-11 17:01 95,640 --a------ c:\windows\system32\drivers\pctplfw.sys
2009-01-03 23:54 . 2009-01-03 23:54 <REP> d-------- c:\program files\Avira
2009-01-03 23:50 . 2009-01-04 18:22 97 --a------ c:\windows\system32\Chan1.dat
2009-01-03 23:48 . 2009-01-06 19:08 <REP> d-a------ c:\documents and settings\All Users\Application Data\TEMP
2009-01-03 23:48 . 2009-01-03 23:48 37,888 --a------ c:\windows\system32\rar.exe
2009-01-03 23:48 . 2009-01-03 23:48 0 --a------ c:\windows\system32\Installed.dat
2009-01-03 22:39 . 2008-04-14 03:33 221,184 --a------ c:\windows\system32\wmpns.dll
2009-01-03 22:32 . 2009-01-03 22:32 <REP> d-------- c:\windows\system32\fr-fr
2009-01-03 22:32 . 2009-01-03 22:32 <REP> d-------- c:\windows\system32\fr
2009-01-03 22:32 . 2009-01-03 22:32 <REP> d-------- c:\windows\system32\bits
2009-01-03 22:32 . 2009-01-03 22:32 <REP> d-------- c:\windows\l2schemas
2009-01-03 22:31 . 2009-01-03 22:32 <REP> d-------- c:\windows\ServicePackFiles
2009-01-03 22:27 . 2009-01-03 22:27 <REP> d-------- c:\windows\EHome
2009-01-03 19:02 . 2009-01-04 00:02 <REP> d-------- c:\documents and settings\BrunoF\Application Data\uTorrent
2009-01-03 17:45 . 2009-01-03 17:45 <REP> d-------- c:\documents and settings\BrunoF\Application Data\OpenOffice.org
2009-01-03 17:44 . 2008-02-21 18:01 3,273,836 --a------ C:\Manuel SB-800.pdf
2009-01-03 17:44 . 2008-10-07 21:07 3,252,348 --a------ C:\ca7bcb13747863840b2cb411eaeaa1bf.pdf
2009-01-03 17:44 . 2008-02-21 18:01 2,744,763 --a------ C:\SB-800_Fr-01_photo.pdf
2009-01-03 17:44 . 2008-03-16 20:55 2,294,311 --a------ C:\Manuel SB-600.pdf
2009-01-03 17:44 . 2009-01-01 22:52 621,235 --a------ C:\save2.jpg
2009-01-03 17:44 . 2009-01-01 22:53 453,655 --a------ C:\save4.jpg
2009-01-03 17:44 . 2009-01-01 22:53 438,938 --a------ C:\save5.jpg
2009-01-03 17:44 . 2009-01-01 22:52 431,346 --a------ C:\save3.jpg
2009-01-03 17:44 . 2009-01-01 22:51 372,473 --a------ C:\save1.jpg
2009-01-03 17:44 . 2008-12-31 00:05 248,747 --a------ C:\Willem_Claesz._Heda_005.jpg
2009-01-03 17:44 . 2008-03-05 21:17 1,032 --a------ C:\sinclaire.gif
2009-01-03 17:38 . 2009-01-03 17:38 <REP> d-------- c:\documents and settings\All Users\Application Data\FLEXnet
2009-01-03 17:31 . 2009-01-03 17:31 <REP> d-------- c:\program files\Fichiers communs\Macrovision Shared
2009-01-03 17:30 . 2009-01-03 17:41 <REP> d-------- c:\program files\Fichiers communs\Adobe
2009-01-03 17:00 . 2009-01-03 17:00 <REP> d-------- c:\windows\Sun
2009-01-03 16:51 . 2008-10-16 14:06 268,648 --a------ c:\windows\system32\mucltui.dll
2009-01-03 16:51 . 2008-10-16 14:06 208,744 --a------ c:\windows\system32\muweb.dll
2009-01-03 16:51 . 2008-10-16 14:06 27,496 --a------ c:\windows\system32\mucltui.dll.mui
2009-01-03 15:31 . 2009-01-03 19:27 <REP> d-------- C:\My shared folder
2009-01-03 15:29 . 2009-01-03 15:30 <REP> d-------- c:\program files\Songbird
2009-01-03 15:29 . 2009-01-03 15:29 <REP> d-------- c:\documents and settings\BrunoF\Application Data\Songbird2
2009-01-03 15:29 . 2009-01-03 15:29 <REP> d-------- c:\documents and settings\All Users\Application Data\SongbirdVLC
2009-01-03 13:56 . 2009-01-03 13:56 <REP> d-------- c:\documents and settings\BrunoF\Application Data\vlc
2009-01-03 13:55 . 2009-01-03 13:55 <REP> d-------- c:\program files\VideoLAN
2009-01-03 13:54 . 2009-01-03 13:54 <REP> d-------- c:\documents and settings\BrunoF\Application Data\Media Player Classic
2009-01-03 13:51 . 2008-07-16 22:35 9,728 --a------ c:\windows\system32\RtNicProp32.dll
2009-01-02 23:53 . 2009-01-02 23:53 <REP> d-------- c:\program files\OpenOffice.org 3
2009-01-02 23:53 . 2009-01-02 23:53 <REP> d-------- c:\program files\JRE
2009-01-02 23:53 . 2009-01-02 23:53 <REP> d-------- c:\program files\Fichiers communs\Java
2009-01-02 23:52 . 2009-01-02 23:52 <REP> d-------- c:\program files\Open Office
2009-01-02 23:50 . 2009-01-02 23:50 <REP> d-------- c:\program files\QuickTime
2009-01-02 23:50 . 2009-01-02 23:50 <REP> d-------- c:\program files\iTunes
2009-01-02 23:50 . 2009-01-02 23:50 <REP> d-------- c:\program files\iPod
2009-01-02 23:50 . 2009-01-02 23:50 <REP> d-------- c:\program files\Bonjour
2009-01-02 23:50 . 2009-01-02 23:50 <REP> d-------- c:\program files\Apple Software Update
2009-01-02 23:50 . 2009-01-04 17:43 <REP> d-------- c:\documents and settings\BrunoF\Application Data\Apple Computer
2009-01-02 23:50 . 2009-01-02 23:50 <REP> d-------- c:\documents and settings\All Users\Application Data\Apple Computer
2009-01-02 23:50 . 2009-01-02 23:50 <REP> d-------- c:\documents and settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2009-01-02 23:50 . 2008-04-17 13:12 107,368 --a------ c:\windows\system32\GEARAspi.dll
2009-01-02 23:50 . 2008-04-17 13:12 15,464 --a------ c:\windows\system32\drivers\GEARAspiWDM.sys
2009-01-02 23:49 . 2009-01-02 23:50 <REP> d-------- c:\program files\Fichiers communs\Apple
2009-01-02 23:49 . 2009-01-02 23:49 <REP> d-------- c:\documents and settings\All Users\Application Data\Apple
2009-01-02 23:49 . 2008-11-07 14:23 32,000 --a------ c:\windows\system32\drivers\usbaapl.sys
2009-01-02 23:47 . 2009-01-02 23:47 <REP> d-------- c:\program files\K-Lite Codec Pack
2009-01-02 23:47 . 2008-09-19 22:57 3,596,288 --a------ c:\windows\system32\qt-dx331.dll
2009-01-02 23:47 . 2008-09-24 19:41 839,680 --a------ c:\windows\system32\lameACM.acm
2009-01-02 23:47 . 2008-12-07 19:08 795,648 --a------ c:\windows\system32\xvidcore.dll
2009-01-02 23:47 . 2008-10-28 23:35 684,032 --a------ c:\windows\system32\divx.dll
2009-01-02 23:47 . 2004-01-25 17:18 217,088 --a------ c:\windows\system32\yv12vfw.dll
2009-01-02 23:47 . 2008-09-16 20:23 168,448 --a------ c:\windows\system32\unrar.dll
2009-01-02 23:47 . 2008-12-07 19:08 130,048 --a------ c:\windows\system32\xvidvfw.dll
2009-01-02 23:47 . 2007-09-21 01:52 118,784 --a------ c:\windows\system32\ac3acm.acm
2009-01-02 23:47 . 2008-09-25 09:03 81,920 --a------ c:\windows\system32\dpl100.dll
2009-01-02 23:47 . 2008-12-08 12:53 57,344 --a------ c:\windows\system32\ff_vfw.dll
2009-01-02 23:47 . 2007-07-10 17:10 547 --a------ c:\windows\system32\ff_vfw.dll.manifest
2009-01-02 23:47 . 2008-10-03 13:30 414 --a------ c:\windows\system32\lame_acm.xml
2009-01-02 23:38 . 2009-01-02 23:38 <REP> d-------- c:\program files\Fichiers communs\Logishrd
2009-01-02 23:38 . 2008-05-02 02:38 301,656 --a------ c:\windows\system32\BtCoreIf.dll
2009-01-02 23:35 . 2009-01-02 23:35 <REP> d-------- c:\program files\Fichiers communs\LogiShared
2009-01-02 23:35 . 2009-01-02 23:35 <REP> d-------- c:\documents and settings\BrunoF\Application Data\Logitech
2009-01-02 23:35 . 2009-01-02 23:35 <REP> d-------- c:\documents and settings\BrunoF\Application Data\Leadertech
2009-01-02 23:34 . 2008-02-29 03:13 79,120 --a------ c:\windows\system32\drivers\LMouKE.Sys
2009-01-02 23:34 . 2008-02-29 03:12 76,304 --a------ c:\windows\KHALMNPR.Exe
2009-01-02 23:34 . 2008-02-29 03:12 63,120 --a------ c:\windows\system32\drivers\L8042mou.Sys
2009-01-02 23:34 . 2008-02-29 03:12 20,240 --a------ c:\windows\system32\drivers\L8042Kbd.sys
2009-01-02 23:33 . 2009-01-02 23:33 <REP> d-------- c:\program files\Logitech
2009-01-02 23:33 . 2009-01-02 23:38 <REP> d-------- c:\program files\Fichiers communs\Logitech
2009-01-02 23:33 . 2009-01-02 23:33 <REP> d-------- c:\documents and settings\BrunoF\Application Data\InstallShield
2009-01-02 23:33 . 2009-01-02 23:33 <REP> d-------- c:\documents and settings\All Users\Application Data\Logitech
2009-01-02 23:33 . 2009-01-02 23:33 <REP> d-------- c:\documents and settings\All Users\Application Data\LogiShrd
2009-01-02 23:33 . 2008-05-02 02:39 170,512 --a------ c:\windows\system32\kemutb.dll
2009-01-02 23:33 . 2008-05-02 02:39 145,936 --a------ c:\windows\system32\KemUtil.dll
2009-01-02 23:33 . 2008-05-02 02:40 117,264 --a------ c:\windows\system32\KemWnd.dll
2009-01-02 23:33 . 2008-05-02 02:40 84,496 --a------ c:\windows\system32\KemXML.dll
2009-01-02 23:10 . 2009-01-02 23:10 <REP> d-------- c:\program files\ma-config.com
2009-01-02 23:10 . 2009-01-02 23:10 <REP> d-------- c:\documents and settings\All Users\Application Data\ma-config.com
2009-01-02 23:04 . 2009-01-02 23:04 <REP> d-------- c:\program files\Winamp
2009-01-02 23:04 . 2009-01-02 23:08 <REP> d-------- c:\documents and settings\BrunoF\Application Data\Winamp
2009-01-02 22:58 . 2009-01-02 23:01 <REP> d-------- c:\program files\WinAce
2009-01-02 22:40 . 2009-01-02 22:48 <REP> d-------- c:\documents and settings\BrunoF\Application Data\LimeWire
2009-01-02 22:37 . 2009-01-02 23:53 <REP> d-------- c:\program files\Java
2009-01-02 22:37 . 2009-01-02 22:37 410,984 --a------ c:\windows\system32\deploytk.dll
2009-01-02 22:37 . 2009-01-02 22:37 73,728 --a------ c:\windows\system32\javacpl.cpl
2009-01-02 22:12 . 2009-01-06 18:04 <REP> d-------- C:\installations
2009-01-02 22:12 . 2001-08-17 22:59 3,072 --a------ c:\windows\system32\drivers\audstub.sys
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-02 22:38 --------- d--h--w c:\program files\InstallShield Installation Information
2009-01-02 20:59 --------- d-----w c:\program files\Windows Live
2009-01-02 20:58 --------- dcsh--w c:\program files\Fichiers communs\WindowsLiveInstaller
2009-01-02 20:57 --------- d-----w c:\documents and settings\All Users\Application Data\WLInstaller
2009-01-02 20:32 --------- d-----w c:\program files\Realtek
2009-01-02 20:30 21,035 ----a-w c:\windows\system32\drivers\AegisP.sys
2009-01-02 20:30 --------- d-----w c:\program files\Fichiers communs\InstallShield
2009-01-02 20:30 --------- d-----w c:\program files\ASUS WiFi-AP Solo
2009-01-02 20:27 --------- d-----w c:\program files\Analog Devices
2009-01-02 20:24 --------- d-----w c:\program files\VIA
2009-01-02 20:19 --------- d-----w c:\program files\microsoft frontpage
2009-01-02 20:18 --------- d-----w c:\program files\Services en ligne
2008-10-23 12:36 286,720 ----a-w c:\windows\system32\gdi32.dll
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-16 01:01 670,208 ----a-w c:\windows\system32\wininet.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"JMB36X Configure"="c:\windows\system32\JMRaidTool.exe" [2006-08-14 352256]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-04-12 8429568]
"SW20"="c:\windows\system32\sw20.exe" [2006-12-15 208896]
"SW24"="c:\windows\system32\sw24.exe" [2006-12-15 69632]
"WinSys2"="c:\windows\system32\winsys2.exe" [2006-12-15 217088]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-04-12 81920]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-01-02 136600]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-11-04 413696]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-11-20 290088]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2006-12-18 868352]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"00PCTFW"="c:\program files\PC Tools Firewall Plus\FirewallGUI.exe" [2008-12-11 2652056]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2004-10-27 c:\windows\system32\HdAShCut.exe]
"nwiz"="nwiz.exe" [2007-04-12 c:\windows\system32\nwiz.exe]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 c:\windows\KHALMNPR.Exe]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 c:\windows\KHALMNPR.Exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\documents and settings\BrunoF\Menu D‚marrer\Programmes\D‚marrage\
OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2008-09-12 384000]
c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
ASUS WiFi-AP Solo.lnk - c:\program files\ASUS WiFi-AP Solo\RtWLan.exe [2009-01-02 987136]
Logitech SetPoint.lnk - c:\program files\Logitech\SetPoint\SetPoint.exe [2009-01-02 805392]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2008-05-02 02:42 72208 c:\program files\Fichiers communs\Logitech\Bluetooth\LBTWLgn.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\eMule\\emule.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"d:\\uTorrent\\uTorrent.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"63422:TCP"= 63422:TCP:eMule TCP
"32266:UDP"= 32266:UDP:eMule UDP
R0 xfilt;VIA SATA IDE Hot-plug Driver;c:\windows\system32\drivers\xfilt.sys [2009-01-02 11264]
R1 pctgntdi;pctgntdi;c:\windows\system32\drivers\pctgntdi.sys [2009-01-03 159600]
R3 pctplfw;pctplfw;c:\windows\system32\drivers\pctplfw.sys [2009-01-03 95640]
R3 RTLWUSB;Realtek RTL8187 Wireless 802.11g 54Mbps USB 2.0 Network Adapter;c:\windows\system32\drivers\RTL8187.sys [2009-01-02 176128]
R3 SjyPkt;SjyPkt;c:\windows\system32\drivers\SjyPkt.sys [2009-01-02 13532]
R4 PCTAppEvent;PCTAppEvent Driver;c:\windows\system32\drivers\PCTAppEvent.sys [2009-01-03 73840]
S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [2008-12-19 195752]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\e:\ntglm7x.sys --> e:\NTGLM7X.sys [?]
--- Other Services/Drivers In Memory ---
*NewlyCreated* - SJYPKT
.
Contenu du dossier 'Tâches planifiées'
2009-01-02 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = *.local
FF - ProfilePath - c:\documents and settings\BrunoF\Application Data\Mozilla\Firefox\Profiles\ih8ht66q.default\
FF - prefs.js: browser.startup.homepage - about:blank
FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-06 22:20:41
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(1224)
c:\program files\fichiers communs\logitech\bluetooth\LBTWlgn.dll
c:\program files\fichiers communs\logitech\bluetooth\LBTServ.dll
.
Heure de fin: 2009-01-06 22:21:21
ComboFix-quarantined-files.txt 2009-01-06 21:21:19
Avant-CF: 19'381'346'304 octets libres
Après-CF: 19,371,671,552 octets libres
249 --- E O F --- 2009-01-04 17:36:35
ComboFix 09-01-05.05 - BrunoF 2009-01-06 22:19:50.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.2046.1594 [GMT 1:00]
Lancé depuis: c:\documents and settings\BrunoF\Bureau\ComboFix.exe
* Un nouveau point de restauration a été créé
.
((((((((((((((((((((((((((((( Fichiers créés du 2008-12-06 au 2009-01-06 ))))))))))))))))))))))))))))))))))))
.
2009-01-06 22:08 . 2008-08-07 01:24 8,925,760 --a------ C:\lol.mp3
2009-01-06 21:36 . 2009-01-06 21:36 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-01-06 21:36 . 2009-01-06 21:36 <REP> d-------- c:\documents and settings\BrunoF\Application Data\Malwarebytes
2009-01-06 21:36 . 2009-01-06 21:36 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-01-06 21:36 . 2009-01-04 18:38 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-06 21:36 . 2009-01-04 18:38 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-01-06 21:20 . 2009-01-06 21:20 <REP> d-------- c:\program files\7-Zip
2009-01-06 20:10 . 2009-01-06 20:10 <REP> d-------- C:\rsit
2009-01-06 20:07 . 2009-01-06 20:07 <REP> d-------- c:\program files\Trend Micro
2009-01-06 20:04 . 2009-01-06 20:04 <REP> d-------- c:\program files\CCleaner
2009-01-06 18:38 . 2009-01-06 18:38 <REP> d-------- C:\scans
2009-01-06 18:12 . 2009-01-06 20:02 <REP> d-------- c:\program files\FindyKill
2009-01-05 18:29 . 2009-01-05 18:29 <REP> d-------- C:\Nero v.9.0.9.4b Multilenguaje + Serials_DnGnMsTr
2009-01-04 18:13 . 2009-01-04 18:13 <REP> d-------- c:\documents and settings\BrunoF\Application Data\Pixmantec
2009-01-04 17:43 . 2008-04-14 03:33 159,232 --a------ c:\windows\system32\ptpusd.dll
2009-01-04 17:43 . 2008-04-13 19:45 15,104 --a------ c:\windows\system32\drivers\usbscan.sys
2009-01-04 17:43 . 2008-04-13 19:45 15,104 --a--c--- c:\windows\system32\dllcache\usbscan.sys
2009-01-04 17:43 . 2001-08-23 17:47 5,632 --a------ c:\windows\system32\ptpusb.dll
2009-01-03 23:59 . 2009-01-03 23:59 <REP> d-------- c:\documents and settings\BrunoF\Application Data\PCToolsFirewallPlus
2009-01-03 23:58 . 2008-12-11 08:38 159,600 --a------ c:\windows\system32\drivers\pctgntdi.sys
2009-01-03 23:58 . 2008-12-11 12:32 132,976 --a------ c:\windows\system32\drivers\PCTCore.sys
2009-01-03 23:58 . 2008-12-11 12:32 73,840 --a------ c:\windows\system32\drivers\PCTAppEvent.sys
2009-01-03 23:57 . 2009-01-03 23:59 <REP> d-------- c:\program files\PC Tools Firewall Plus
2009-01-03 23:57 . 2009-01-03 23:58 <REP> d-------- c:\program files\Fichiers communs\PC Tools
2009-01-03 23:57 . 2008-09-22 12:29 97,408 --a------ c:\windows\system32\drivers\pctfw.sys
2009-01-03 23:57 . 2008-12-11 17:01 95,640 --a------ c:\windows\system32\drivers\pctplfw.sys
2009-01-03 23:54 . 2009-01-03 23:54 <REP> d-------- c:\program files\Avira
2009-01-03 23:50 . 2009-01-04 18:22 97 --a------ c:\windows\system32\Chan1.dat
2009-01-03 23:48 . 2009-01-06 19:08 <REP> d-a------ c:\documents and settings\All Users\Application Data\TEMP
2009-01-03 23:48 . 2009-01-03 23:48 37,888 --a------ c:\windows\system32\rar.exe
2009-01-03 23:48 . 2009-01-03 23:48 0 --a------ c:\windows\system32\Installed.dat
2009-01-03 22:39 . 2008-04-14 03:33 221,184 --a------ c:\windows\system32\wmpns.dll
2009-01-03 22:32 . 2009-01-03 22:32 <REP> d-------- c:\windows\system32\fr-fr
2009-01-03 22:32 . 2009-01-03 22:32 <REP> d-------- c:\windows\system32\fr
2009-01-03 22:32 . 2009-01-03 22:32 <REP> d-------- c:\windows\system32\bits
2009-01-03 22:32 . 2009-01-03 22:32 <REP> d-------- c:\windows\l2schemas
2009-01-03 22:31 . 2009-01-03 22:32 <REP> d-------- c:\windows\ServicePackFiles
2009-01-03 22:27 . 2009-01-03 22:27 <REP> d-------- c:\windows\EHome
2009-01-03 19:02 . 2009-01-04 00:02 <REP> d-------- c:\documents and settings\BrunoF\Application Data\uTorrent
2009-01-03 17:45 . 2009-01-03 17:45 <REP> d-------- c:\documents and settings\BrunoF\Application Data\OpenOffice.org
2009-01-03 17:44 . 2008-02-21 18:01 3,273,836 --a------ C:\Manuel SB-800.pdf
2009-01-03 17:44 . 2008-10-07 21:07 3,252,348 --a------ C:\ca7bcb13747863840b2cb411eaeaa1bf.pdf
2009-01-03 17:44 . 2008-02-21 18:01 2,744,763 --a------ C:\SB-800_Fr-01_photo.pdf
2009-01-03 17:44 . 2008-03-16 20:55 2,294,311 --a------ C:\Manuel SB-600.pdf
2009-01-03 17:44 . 2009-01-01 22:52 621,235 --a------ C:\save2.jpg
2009-01-03 17:44 . 2009-01-01 22:53 453,655 --a------ C:\save4.jpg
2009-01-03 17:44 . 2009-01-01 22:53 438,938 --a------ C:\save5.jpg
2009-01-03 17:44 . 2009-01-01 22:52 431,346 --a------ C:\save3.jpg
2009-01-03 17:44 . 2009-01-01 22:51 372,473 --a------ C:\save1.jpg
2009-01-03 17:44 . 2008-12-31 00:05 248,747 --a------ C:\Willem_Claesz._Heda_005.jpg
2009-01-03 17:44 . 2008-03-05 21:17 1,032 --a------ C:\sinclaire.gif
2009-01-03 17:38 . 2009-01-03 17:38 <REP> d-------- c:\documents and settings\All Users\Application Data\FLEXnet
2009-01-03 17:31 . 2009-01-03 17:31 <REP> d-------- c:\program files\Fichiers communs\Macrovision Shared
2009-01-03 17:30 . 2009-01-03 17:41 <REP> d-------- c:\program files\Fichiers communs\Adobe
2009-01-03 17:00 . 2009-01-03 17:00 <REP> d-------- c:\windows\Sun
2009-01-03 16:51 . 2008-10-16 14:06 268,648 --a------ c:\windows\system32\mucltui.dll
2009-01-03 16:51 . 2008-10-16 14:06 208,744 --a------ c:\windows\system32\muweb.dll
2009-01-03 16:51 . 2008-10-16 14:06 27,496 --a------ c:\windows\system32\mucltui.dll.mui
2009-01-03 15:31 . 2009-01-03 19:27 <REP> d-------- C:\My shared folder
2009-01-03 15:29 . 2009-01-03 15:30 <REP> d-------- c:\program files\Songbird
2009-01-03 15:29 . 2009-01-03 15:29 <REP> d-------- c:\documents and settings\BrunoF\Application Data\Songbird2
2009-01-03 15:29 . 2009-01-03 15:29 <REP> d-------- c:\documents and settings\All Users\Application Data\SongbirdVLC
2009-01-03 13:56 . 2009-01-03 13:56 <REP> d-------- c:\documents and settings\BrunoF\Application Data\vlc
2009-01-03 13:55 . 2009-01-03 13:55 <REP> d-------- c:\program files\VideoLAN
2009-01-03 13:54 . 2009-01-03 13:54 <REP> d-------- c:\documents and settings\BrunoF\Application Data\Media Player Classic
2009-01-03 13:51 . 2008-07-16 22:35 9,728 --a------ c:\windows\system32\RtNicProp32.dll
2009-01-02 23:53 . 2009-01-02 23:53 <REP> d-------- c:\program files\OpenOffice.org 3
2009-01-02 23:53 . 2009-01-02 23:53 <REP> d-------- c:\program files\JRE
2009-01-02 23:53 . 2009-01-02 23:53 <REP> d-------- c:\program files\Fichiers communs\Java
2009-01-02 23:52 . 2009-01-02 23:52 <REP> d-------- c:\program files\Open Office
2009-01-02 23:50 . 2009-01-02 23:50 <REP> d-------- c:\program files\QuickTime
2009-01-02 23:50 . 2009-01-02 23:50 <REP> d-------- c:\program files\iTunes
2009-01-02 23:50 . 2009-01-02 23:50 <REP> d-------- c:\program files\iPod
2009-01-02 23:50 . 2009-01-02 23:50 <REP> d-------- c:\program files\Bonjour
2009-01-02 23:50 . 2009-01-02 23:50 <REP> d-------- c:\program files\Apple Software Update
2009-01-02 23:50 . 2009-01-04 17:43 <REP> d-------- c:\documents and settings\BrunoF\Application Data\Apple Computer
2009-01-02 23:50 . 2009-01-02 23:50 <REP> d-------- c:\documents and settings\All Users\Application Data\Apple Computer
2009-01-02 23:50 . 2009-01-02 23:50 <REP> d-------- c:\documents and settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2009-01-02 23:50 . 2008-04-17 13:12 107,368 --a------ c:\windows\system32\GEARAspi.dll
2009-01-02 23:50 . 2008-04-17 13:12 15,464 --a------ c:\windows\system32\drivers\GEARAspiWDM.sys
2009-01-02 23:49 . 2009-01-02 23:50 <REP> d-------- c:\program files\Fichiers communs\Apple
2009-01-02 23:49 . 2009-01-02 23:49 <REP> d-------- c:\documents and settings\All Users\Application Data\Apple
2009-01-02 23:49 . 2008-11-07 14:23 32,000 --a------ c:\windows\system32\drivers\usbaapl.sys
2009-01-02 23:47 . 2009-01-02 23:47 <REP> d-------- c:\program files\K-Lite Codec Pack
2009-01-02 23:47 . 2008-09-19 22:57 3,596,288 --a------ c:\windows\system32\qt-dx331.dll
2009-01-02 23:47 . 2008-09-24 19:41 839,680 --a------ c:\windows\system32\lameACM.acm
2009-01-02 23:47 . 2008-12-07 19:08 795,648 --a------ c:\windows\system32\xvidcore.dll
2009-01-02 23:47 . 2008-10-28 23:35 684,032 --a------ c:\windows\system32\divx.dll
2009-01-02 23:47 . 2004-01-25 17:18 217,088 --a------ c:\windows\system32\yv12vfw.dll
2009-01-02 23:47 . 2008-09-16 20:23 168,448 --a------ c:\windows\system32\unrar.dll
2009-01-02 23:47 . 2008-12-07 19:08 130,048 --a------ c:\windows\system32\xvidvfw.dll
2009-01-02 23:47 . 2007-09-21 01:52 118,784 --a------ c:\windows\system32\ac3acm.acm
2009-01-02 23:47 . 2008-09-25 09:03 81,920 --a------ c:\windows\system32\dpl100.dll
2009-01-02 23:47 . 2008-12-08 12:53 57,344 --a------ c:\windows\system32\ff_vfw.dll
2009-01-02 23:47 . 2007-07-10 17:10 547 --a------ c:\windows\system32\ff_vfw.dll.manifest
2009-01-02 23:47 . 2008-10-03 13:30 414 --a------ c:\windows\system32\lame_acm.xml
2009-01-02 23:38 . 2009-01-02 23:38 <REP> d-------- c:\program files\Fichiers communs\Logishrd
2009-01-02 23:38 . 2008-05-02 02:38 301,656 --a------ c:\windows\system32\BtCoreIf.dll
2009-01-02 23:35 . 2009-01-02 23:35 <REP> d-------- c:\program files\Fichiers communs\LogiShared
2009-01-02 23:35 . 2009-01-02 23:35 <REP> d-------- c:\documents and settings\BrunoF\Application Data\Logitech
2009-01-02 23:35 . 2009-01-02 23:35 <REP> d-------- c:\documents and settings\BrunoF\Application Data\Leadertech
2009-01-02 23:34 . 2008-02-29 03:13 79,120 --a------ c:\windows\system32\drivers\LMouKE.Sys
2009-01-02 23:34 . 2008-02-29 03:12 76,304 --a------ c:\windows\KHALMNPR.Exe
2009-01-02 23:34 . 2008-02-29 03:12 63,120 --a------ c:\windows\system32\drivers\L8042mou.Sys
2009-01-02 23:34 . 2008-02-29 03:12 20,240 --a------ c:\windows\system32\drivers\L8042Kbd.sys
2009-01-02 23:33 . 2009-01-02 23:33 <REP> d-------- c:\program files\Logitech
2009-01-02 23:33 . 2009-01-02 23:38 <REP> d-------- c:\program files\Fichiers communs\Logitech
2009-01-02 23:33 . 2009-01-02 23:33 <REP> d-------- c:\documents and settings\BrunoF\Application Data\InstallShield
2009-01-02 23:33 . 2009-01-02 23:33 <REP> d-------- c:\documents and settings\All Users\Application Data\Logitech
2009-01-02 23:33 . 2009-01-02 23:33 <REP> d-------- c:\documents and settings\All Users\Application Data\LogiShrd
2009-01-02 23:33 . 2008-05-02 02:39 170,512 --a------ c:\windows\system32\kemutb.dll
2009-01-02 23:33 . 2008-05-02 02:39 145,936 --a------ c:\windows\system32\KemUtil.dll
2009-01-02 23:33 . 2008-05-02 02:40 117,264 --a------ c:\windows\system32\KemWnd.dll
2009-01-02 23:33 . 2008-05-02 02:40 84,496 --a------ c:\windows\system32\KemXML.dll
2009-01-02 23:10 . 2009-01-02 23:10 <REP> d-------- c:\program files\ma-config.com
2009-01-02 23:10 . 2009-01-02 23:10 <REP> d-------- c:\documents and settings\All Users\Application Data\ma-config.com
2009-01-02 23:04 . 2009-01-02 23:04 <REP> d-------- c:\program files\Winamp
2009-01-02 23:04 . 2009-01-02 23:08 <REP> d-------- c:\documents and settings\BrunoF\Application Data\Winamp
2009-01-02 22:58 . 2009-01-02 23:01 <REP> d-------- c:\program files\WinAce
2009-01-02 22:40 . 2009-01-02 22:48 <REP> d-------- c:\documents and settings\BrunoF\Application Data\LimeWire
2009-01-02 22:37 . 2009-01-02 23:53 <REP> d-------- c:\program files\Java
2009-01-02 22:37 . 2009-01-02 22:37 410,984 --a------ c:\windows\system32\deploytk.dll
2009-01-02 22:37 . 2009-01-02 22:37 73,728 --a------ c:\windows\system32\javacpl.cpl
2009-01-02 22:12 . 2009-01-06 18:04 <REP> d-------- C:\installations
2009-01-02 22:12 . 2001-08-17 22:59 3,072 --a------ c:\windows\system32\drivers\audstub.sys
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-02 22:38 --------- d--h--w c:\program files\InstallShield Installation Information
2009-01-02 20:59 --------- d-----w c:\program files\Windows Live
2009-01-02 20:58 --------- dcsh--w c:\program files\Fichiers communs\WindowsLiveInstaller
2009-01-02 20:57 --------- d-----w c:\documents and settings\All Users\Application Data\WLInstaller
2009-01-02 20:32 --------- d-----w c:\program files\Realtek
2009-01-02 20:30 21,035 ----a-w c:\windows\system32\drivers\AegisP.sys
2009-01-02 20:30 --------- d-----w c:\program files\Fichiers communs\InstallShield
2009-01-02 20:30 --------- d-----w c:\program files\ASUS WiFi-AP Solo
2009-01-02 20:27 --------- d-----w c:\program files\Analog Devices
2009-01-02 20:24 --------- d-----w c:\program files\VIA
2009-01-02 20:19 --------- d-----w c:\program files\microsoft frontpage
2009-01-02 20:18 --------- d-----w c:\program files\Services en ligne
2008-10-23 12:36 286,720 ----a-w c:\windows\system32\gdi32.dll
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-16 01:01 670,208 ----a-w c:\windows\system32\wininet.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"JMB36X Configure"="c:\windows\system32\JMRaidTool.exe" [2006-08-14 352256]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-04-12 8429568]
"SW20"="c:\windows\system32\sw20.exe" [2006-12-15 208896]
"SW24"="c:\windows\system32\sw24.exe" [2006-12-15 69632]
"WinSys2"="c:\windows\system32\winsys2.exe" [2006-12-15 217088]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-04-12 81920]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-01-02 136600]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-11-04 413696]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-11-20 290088]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2006-12-18 868352]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"00PCTFW"="c:\program files\PC Tools Firewall Plus\FirewallGUI.exe" [2008-12-11 2652056]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2004-10-27 c:\windows\system32\HdAShCut.exe]
"nwiz"="nwiz.exe" [2007-04-12 c:\windows\system32\nwiz.exe]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 c:\windows\KHALMNPR.Exe]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 c:\windows\KHALMNPR.Exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\documents and settings\BrunoF\Menu D‚marrer\Programmes\D‚marrage\
OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2008-09-12 384000]
c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
ASUS WiFi-AP Solo.lnk - c:\program files\ASUS WiFi-AP Solo\RtWLan.exe [2009-01-02 987136]
Logitech SetPoint.lnk - c:\program files\Logitech\SetPoint\SetPoint.exe [2009-01-02 805392]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2008-05-02 02:42 72208 c:\program files\Fichiers communs\Logitech\Bluetooth\LBTWLgn.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\eMule\\emule.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"d:\\uTorrent\\uTorrent.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"63422:TCP"= 63422:TCP:eMule TCP
"32266:UDP"= 32266:UDP:eMule UDP
R0 xfilt;VIA SATA IDE Hot-plug Driver;c:\windows\system32\drivers\xfilt.sys [2009-01-02 11264]
R1 pctgntdi;pctgntdi;c:\windows\system32\drivers\pctgntdi.sys [2009-01-03 159600]
R3 pctplfw;pctplfw;c:\windows\system32\drivers\pctplfw.sys [2009-01-03 95640]
R3 RTLWUSB;Realtek RTL8187 Wireless 802.11g 54Mbps USB 2.0 Network Adapter;c:\windows\system32\drivers\RTL8187.sys [2009-01-02 176128]
R3 SjyPkt;SjyPkt;c:\windows\system32\drivers\SjyPkt.sys [2009-01-02 13532]
R4 PCTAppEvent;PCTAppEvent Driver;c:\windows\system32\drivers\PCTAppEvent.sys [2009-01-03 73840]
S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [2008-12-19 195752]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\e:\ntglm7x.sys --> e:\NTGLM7X.sys [?]
--- Other Services/Drivers In Memory ---
*NewlyCreated* - SJYPKT
.
Contenu du dossier 'Tâches planifiées'
2009-01-02 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = *.local
FF - ProfilePath - c:\documents and settings\BrunoF\Application Data\Mozilla\Firefox\Profiles\ih8ht66q.default\
FF - prefs.js: browser.startup.homepage - about:blank
FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-06 22:20:41
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(1224)
c:\program files\fichiers communs\logitech\bluetooth\LBTWlgn.dll
c:\program files\fichiers communs\logitech\bluetooth\LBTServ.dll
.
Heure de fin: 2009-01-06 22:21:21
ComboFix-quarantined-files.txt 2009-01-06 21:21:19
Avant-CF: 19'381'346'304 octets libres
Après-CF: 19,371,671,552 octets libres
249 --- E O F --- 2009-01-04 17:36:35
C:\lol.mp3
>>bonne ecoute , je te laisse dans les mains de ske , il sera absent ce soir je crois
je te remercie pour ce que tu as fais
+++
>>bonne ecoute , je te laisse dans les mains de ske , il sera absent ce soir je crois
je te remercie pour ce que tu as fais
+++
rien pour Combo ... bizard tout cela ...
bref , voilà ce que tu vas faire pour le moment :
1- Télécharge OTMoveIt3 (de Old_Timer) sur ton Bureau.
http://oldtimer.geekstogo.com/OTMoveIt3.exe
! Déconnecte toi et ferme toutes tes applications en cours !
Double clique sur "OTMoveIt3.exe" pour ouvrir le prg .
Puis copie ce qui se trouve en citation ci-dessous,
et colle le dans le cadre de gauche de OTMoveIt3 :
Paste Instructions for items to be moved.
(ne touche à rien d'autre !)
-> clique sur MoveIt! pour lancer la suppression.
-> laisse travailler l'outil ...
( Note : ton bureau va disparaitre puis réapparaitre, c'est normal .)
-> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " .
Ton PC va redémarrer de lui même ...
-->Poste le contenu du rapport qui se trouve dans le dossier "C:\_OTMoveIt\MovedFiles"
( " xxxx2008_xxxxxx.log " où les "x" correspondent au jour et à l'heure de l'utilisation ).
2- refais un scan RSIT , poste le nouveau rapport log.txt obtenu et attends la suite ...
bref , voilà ce que tu vas faire pour le moment :
1- Télécharge OTMoveIt3 (de Old_Timer) sur ton Bureau.
http://oldtimer.geekstogo.com/OTMoveIt3.exe
! Déconnecte toi et ferme toutes tes applications en cours !
Double clique sur "OTMoveIt3.exe" pour ouvrir le prg .
Puis copie ce qui se trouve en citation ci-dessous,
:Processes explorer.exe :Services :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] "Windows Security Tool"=- :Files :Commands [purity] [emptytemp]
et colle le dans le cadre de gauche de OTMoveIt3 :
Paste Instructions for items to be moved.
(ne touche à rien d'autre !)
-> clique sur MoveIt! pour lancer la suppression.
-> laisse travailler l'outil ...
( Note : ton bureau va disparaitre puis réapparaitre, c'est normal .)
-> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " .
Ton PC va redémarrer de lui même ...
-->Poste le contenu du rapport qui se trouve dans le dossier "C:\_OTMoveIt\MovedFiles"
( " xxxx2008_xxxxxx.log " où les "x" correspondent au jour et à l'heure de l'utilisation ).
2- refais un scan RSIT , poste le nouveau rapport log.txt obtenu et attends la suite ...
yo, j'ai pas vu le temps passer, je suis encore sur mon ordi... :p
Bonne nuit ! :)
voilà le log de MoveIt :
========== PROCESSES ==========
Process explorer.exe killed successfully.
========== SERVICES/DRIVERS ==========
========== REGISTRY ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\\Windows Security Tool not found.
========== FILES ==========
========== COMMANDS ==========
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_52c.dat scheduled to be deleted on reboot.
Windows Temp folder emptied.
Java cache emptied.
FireFox cache emptied.
Temp folders emptied.
OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 01062009_230329
Files moved on Reboot...
File move failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be moved on reboot.
File C:\WINDOWS\temp\Perflib_Perfdata_52c.dat not found!
et voilà le log de RSIT :
Logfile of random's system information tool 1.05 (written by random/random)
Run by BrunoF at 2009-01-06 23:08:24
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 19 GB (53%) free of 35 GB
Total RAM: 2046 MB (80% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:08:24, on 06.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\PC Tools Firewall Plus\FWService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\winsys2.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe
C:\Program Files\ASUS WiFi-AP Solo\RtWLan.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\BrunoF\Bureau\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\BrunoF.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [00PCTFW] "C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe" -s
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: ASUS WiFi-AP Solo.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Fichiers communs\Logitech\Bluetooth\LBTServ.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Firewall Plus (PCToolsFirewallPlus) - PC Tools - C:\Program Files\PC Tools Firewall Plus\FWService.exe
Bonne nuit ! :)
voilà le log de MoveIt :
========== PROCESSES ==========
Process explorer.exe killed successfully.
========== SERVICES/DRIVERS ==========
========== REGISTRY ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\\Windows Security Tool not found.
========== FILES ==========
========== COMMANDS ==========
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_52c.dat scheduled to be deleted on reboot.
Windows Temp folder emptied.
Java cache emptied.
FireFox cache emptied.
Temp folders emptied.
OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 01062009_230329
Files moved on Reboot...
File move failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be moved on reboot.
File C:\WINDOWS\temp\Perflib_Perfdata_52c.dat not found!
et voilà le log de RSIT :
Logfile of random's system information tool 1.05 (written by random/random)
Run by BrunoF at 2009-01-06 23:08:24
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 19 GB (53%) free of 35 GB
Total RAM: 2046 MB (80% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:08:24, on 06.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\PC Tools Firewall Plus\FWService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\winsys2.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe
C:\Program Files\ASUS WiFi-AP Solo\RtWLan.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\BrunoF\Bureau\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\BrunoF.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [00PCTFW] "C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe" -s
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: ASUS WiFi-AP Solo.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Fichiers communs\Logitech\Bluetooth\LBTServ.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Firewall Plus (PCToolsFirewallPlus) - PC Tools - C:\Program Files\PC Tools Firewall Plus\FWService.exe
Bien ...
comment va le PC ... des soucis particuliers maintenant ?
fais ceci stp :
Télécharge GenProc (de Jean-Chretien1 et Narco4) sur ton bureau (et pas ailleur !) :
http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip
!!Déconnecte toi et ferme tes applications en cours !!
Dézippe (=extraire tout) le contenu de ce que tu viens de télécharger sur ton bureau .
Ouvre le dossier Genproc :
double-clique sur GenProc.bat et laisse faire ...
Une fois terminé, poste le contenu du rapport qui s'ouvre ...
Aide en images ici : http://www.alt-shift-return.org/Info/GenProc-HowTo.html
IMPORTANT : poste le rapport et ne fais rien d'autre pour l'instant ( souvant il faut ajouter des consignes à la manipe indiquée pour que cela fonctionne parfaitement ) .
comment va le PC ... des soucis particuliers maintenant ?
fais ceci stp :
Télécharge GenProc (de Jean-Chretien1 et Narco4) sur ton bureau (et pas ailleur !) :
http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip
!!Déconnecte toi et ferme tes applications en cours !!
Dézippe (=extraire tout) le contenu de ce que tu viens de télécharger sur ton bureau .
Ouvre le dossier Genproc :
double-clique sur GenProc.bat et laisse faire ...
Une fois terminé, poste le contenu du rapport qui s'ouvre ...
Aide en images ici : http://www.alt-shift-return.org/Info/GenProc-HowTo.html
IMPORTANT : poste le rapport et ne fais rien d'autre pour l'instant ( souvant il faut ajouter des consignes à la manipe indiquée pour que cela fonctionne parfaitement ) .
.. han, je kiffe le rapport xD
Rapport GenProc 2.323 [1] - 07.01.2009 - Windows XP
GenProc n'a détecté aucune infection caractéristique et suggère de suivre la procédure suivante :
Poste un rapport Nod32 https://www.eset.com/ (il faut utiliser Internet Explorer)
- coche toutes les cases à chaque fois, et lorsque c'est terminé, colle le rapport :
- C:\Program Files\EsetOnlineScanner\log.txt
__________________________________________________________________________________________________________
Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com
Mais vu que je ne veux pas suivre ce que me dit de faire le rapport, j'attends donc tes isntructions suivantes...
Rapport GenProc 2.323 [1] - 07.01.2009 - Windows XP
GenProc n'a détecté aucune infection caractéristique et suggère de suivre la procédure suivante :
Poste un rapport Nod32 https://www.eset.com/ (il faut utiliser Internet Explorer)
- coche toutes les cases à chaque fois, et lorsque c'est terminé, colle le rapport :
- C:\Program Files\EsetOnlineScanner\log.txt
__________________________________________________________________________________________________________
Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com
Mais vu que je ne veux pas suivre ce que me dit de faire le rapport, j'attends donc tes isntructions suivantes...
Salut,
rien du côté de genproc ...
la suite dans l'ordre :
1-Télécharge ToolsCleaner (de A.Rothstein) sur ton Bureau.
http://pc-system.fr/
Déconnecte toi et ferme bien toutes tes applications en cours .
Lances le .
*Clique sur Recherche et laisse le scan se terminer (cela peut être long).
*Clique sur Suppression pour finaliser.
*Clique sur "quitter" pour générer un rapport ( et pas sur la croix rouge !) :
--> Poste ce rapport : il se trouve à la racine de ton disque dur -> C:\TCleaner.txt .
Note : Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection .
Supprime tout les outils , dossiers ou rapports consernant la désinfection que Toolscleaner2 n'a pas supprimé .
( garde CCleaner et Malwarebytes : très utiles ! )
======================================
2- Refais un coup de CCleaner ( registre compris ) .
======================================
3- Retélécharge et réinstalle hijackthis ( car supprimé par Toolscleaner2 ) ,
Télécharge et installe le logiciel HijackThis :
ici ftp://ftp.commentcamarche.com/download/HJTInstall.exe
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html
-> Clique sur le setup pour lancer l'installe : laisse toi guider et ne modifie pas les paramètres d'installation .
A la fin de l'installe , le prg ce lance automatiquement : ferme le en cliquant sur la croix rouge .
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .
( ne fais pas de scan pour le moment )
======================================
4- Important :
Purge de la restauration système
*Désactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK
---> Redémarre ton PC ...
*Réactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK
--->Redémarre ton PC ...
( Note : tu peux aussi y accéder via panneau de configuration->" système "->" restauration système " ).
======================================
5- Fais ce scan en ligne pour vérifier :
( ne rien faire d'autre avec le PC durant le scan ! )
Fais un scan en ligne avec Kaspersky : https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
- Sous Démonstration en ligne, on t'explique la marche à suivre, et pour lancer le scan il faut sélectionner < Exécuter l'analyse en ligne >.
Le scan ne marche que sous Internet Explorer(et pas sous firefox ou autre...).
- On va te demander de télécharger un contôle active x, accepte .
- Dans le menu Choisissez la cible de l'analyse, sélectionne Poste de travail. Le scan va commencer.
- Sauvegarde le rapport qui sera généré, puis copie/colle le dans ta prochaine réponse pour analyse et attends la suite ...
--> tuto :
https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId291566
Note :
*Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte-toi sur le site de Kaspersky pour retenter le scan en ligne.
*S'il y a un problème, assure toi que les contrôles active x sont bien configurés dans les options internet comme décrit sur ce lien : http://www.inoculer.com/activex.php3
Rappel : le scan est à faire sous Internet Explorer !
rien du côté de genproc ...
la suite dans l'ordre :
1-Télécharge ToolsCleaner (de A.Rothstein) sur ton Bureau.
http://pc-system.fr/
Déconnecte toi et ferme bien toutes tes applications en cours .
Lances le .
*Clique sur Recherche et laisse le scan se terminer (cela peut être long).
*Clique sur Suppression pour finaliser.
*Clique sur "quitter" pour générer un rapport ( et pas sur la croix rouge !) :
--> Poste ce rapport : il se trouve à la racine de ton disque dur -> C:\TCleaner.txt .
Note : Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection .
Supprime tout les outils , dossiers ou rapports consernant la désinfection que Toolscleaner2 n'a pas supprimé .
( garde CCleaner et Malwarebytes : très utiles ! )
======================================
2- Refais un coup de CCleaner ( registre compris ) .
======================================
3- Retélécharge et réinstalle hijackthis ( car supprimé par Toolscleaner2 ) ,
Télécharge et installe le logiciel HijackThis :
ici ftp://ftp.commentcamarche.com/download/HJTInstall.exe
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html
-> Clique sur le setup pour lancer l'installe : laisse toi guider et ne modifie pas les paramètres d'installation .
A la fin de l'installe , le prg ce lance automatiquement : ferme le en cliquant sur la croix rouge .
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .
( ne fais pas de scan pour le moment )
======================================
4- Important :
Purge de la restauration système
*Désactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK
---> Redémarre ton PC ...
*Réactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK
--->Redémarre ton PC ...
( Note : tu peux aussi y accéder via panneau de configuration->" système "->" restauration système " ).
======================================
5- Fais ce scan en ligne pour vérifier :
( ne rien faire d'autre avec le PC durant le scan ! )
Fais un scan en ligne avec Kaspersky : https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
- Sous Démonstration en ligne, on t'explique la marche à suivre, et pour lancer le scan il faut sélectionner < Exécuter l'analyse en ligne >.
Le scan ne marche que sous Internet Explorer(et pas sous firefox ou autre...).
- On va te demander de télécharger un contôle active x, accepte .
- Dans le menu Choisissez la cible de l'analyse, sélectionne Poste de travail. Le scan va commencer.
- Sauvegarde le rapport qui sera généré, puis copie/colle le dans ta prochaine réponse pour analyse et attends la suite ...
--> tuto :
https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId291566
Note :
*Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte-toi sur le site de Kaspersky pour retenter le scan en ligne.
*S'il y a un problème, assure toi que les contrôles active x sont bien configurés dans les options internet comme décrit sur ce lien : http://www.inoculer.com/activex.php3
Rappel : le scan est à faire sous Internet Explorer !
là, c'est chaud...
Antivir, y a cinq minutes, a détecté un nouveau truc. Je me suis dit "bon, je vais faire un printscreen sur Paint et le poster sur le forum...
Je lance Paint, et tu sais quoi ?
Ecran bleu de la mort, l'ordi redémarre tout seul...
Arrivé sur Windows, un message de la part de PC Tools Firewall Plus :
Certains fichiers d'initialisation du pare-feu ont été modifiés par une source externe. Ces fichiers ont été restaurés afin de garantir la sécurité de l'ordinateur (mon cul...). Nous vous conseillons de lancer un logiciel anti logiciels espions afin de vous assurer que l'ordinateur n'est pas contaminé par des logiciels malveillants.
Ensuite, en bas de la fenêtre, il y a un choix entre OK et un truc illisible, comme si le texte était trop grand pour la case, voilà ce qui est lisible : "ficher les fichiers >"
J'ai cliqué sur OK...
Antivir, y a cinq minutes, a détecté un nouveau truc. Je me suis dit "bon, je vais faire un printscreen sur Paint et le poster sur le forum...
Je lance Paint, et tu sais quoi ?
Ecran bleu de la mort, l'ordi redémarre tout seul...
Arrivé sur Windows, un message de la part de PC Tools Firewall Plus :
Certains fichiers d'initialisation du pare-feu ont été modifiés par une source externe. Ces fichiers ont été restaurés afin de garantir la sécurité de l'ordinateur (mon cul...). Nous vous conseillons de lancer un logiciel anti logiciels espions afin de vous assurer que l'ordinateur n'est pas contaminé par des logiciels malveillants.
Ensuite, en bas de la fenêtre, il y a un choix entre OK et un truc illisible, comme si le texte était trop grand pour la case, voilà ce qui est lisible : "ficher les fichiers >"
J'ai cliqué sur OK...
???
t'en ou donc ... peux tu faire la manipe que je t'ai donnée .... ?
( possible qu'AntiVir est détecter ComboFix ou la restauration systeme qui est pourri .... c'était lors d'un scan ? )
t'en ou donc ... peux tu faire la manipe que je t'ai donnée .... ?
( possible qu'AntiVir est détecter ComboFix ou la restauration systeme qui est pourri .... c'était lors d'un scan ? )
nonon, c'était meme pas lors d'un scan !!
je sais plus le nom du truc qu'il a détecté, un truc genre "Tools Kill", sous le même format d'écriture de TR/Dldr.Bagle.LI.2, avec des /, des . et tout et tout...
je sais plus le nom du truc qu'il a détecté, un truc genre "Tools Kill", sous le même format d'écriture de TR/Dldr.Bagle.LI.2, avec des /, des . et tout et tout...
