Virus .exe ?!

Salut,

- Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.

- Double-clique sur RSIT.exe afin de lancer le programme.

- Clique sur Continue à l'écran Disclaimer.

- Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

- Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches).

Note : Les rapports sont sauvegardés dans le dossier C:\rsit.

Merci pour m'avoir répondu si rapidement mais le programme que tu m'as envoyé plante à 3 barres vertes (environ 3-5% je suppose) du chargement.
Au bout de 10 minutes je l'ai fermé (fallait pas ? :o), désolé :/

---> Télécharge Malwarebytes' Anti-Malware (MBAM) sur ton Bureau.
---> Double-clique sur le fichier téléchargé pour lancer le processus d'installation.
---> Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour : si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, accepte.
---> Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.
---> Sélectionne Exécuter un examen rapide.
---> Clique sur Rechercher. L'analyse démarre.

A la fin de l'analyse, un message s'affiche :

L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.

---> Clique sur OK pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
---> Ferme tes navigateurs.
Si des malwares ont été détectés, clique sur Afficher les résultats.
---> Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.
---> MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.

Désolé mais je suis vraiment un cas à problème (on fait la paire avec mon vieux pc)
http://img142.imageshack.us/img142/8019/malwaeaq6.jpg Voilà ce qui s'affiche
Vu que mon PC est un mélange de chinois avec du français, il y a parfois des soucis comme ça...
En appuyant sur le bouton avec <<"..."ent nuisible n'a "..."? d...>>, c'est comme faire précédent et je me retrouve à nouveau dans la page avec le choix recherche complète ou rapide

Sinon le bouton quitter n'aide pas et les onglets ne fonctionnent pas O_O' (il reste le texte marqué en rouge sur la bannière mais je pense pas qu'il y ait un rapport)

Bonsoir :)

En accord avec Destrio,

> Télécharge DiagHelp.zip (de Malekal_morte) sur ton bureau : http://www.malekal.com/download/DiagHelp.zip
- Ne double-clic pas dessus !! Fais un clic droit sur le fichier et extraire tout
- Un nouveau dossier DiagHelp va être créé.
- Ouvre le et double-clic sur go.cmd (le .cmd peut ne pas apparaître)
- Une fenêtre va s'ouvrir, choisis l'option 1
- L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande.
- A la fin de l'analyse, il te sera redemandé de redémarrer l'ordinateur... Une fois l'ordinateur redémarré le rapport va apparaître sur le bloc-note.. Ce dernier se trouve aussi ici C:\resultat.txt
- Copie/colle le contenu du rapport obtenu et poste le sur le forum
Tuto si besoin est : http://www.malekal.com/DiagHelp/DiagHelp.php

Merci.

A+

Ah merci aussi pour l'aide DllD ^^'
Euh bah alors voilà le résultat : (je n'ai pas du redémarrer le pc par contre :x)

DiagHelp version v1.4 - http://www.malekal.com
excute le 2009-01-27 ? 2:13:14.48

System information for \\TIANDE:
Uptime: 0 days 0 hours 57 minutes 35 seconds
Kernel version: Microsoft Windows XP, Uniprocessor Free
Product type: Professional
Product version: 5.1
Service pack: 2
Kernel build number: 2600
Registered organization:
Registered owner: chenyu
Install date: 2007-09-24, 20:31
Activation status: Error reading status
IE version: 6.0000
System root: C:\WINDOWS
Processors: 1
Processor speed: 1.5 GHz
Processor type: Intel(R) Pentium(R) M processor
Physical memory: 504 MB
Video driver: Mobile Intel(R) 915GM/GMS,910GML Express Chipset Family
Volume Type Format Label Size Free Free
C: Fixed NTFS 19.53 GB 9.02 GB 46.2%
D: CD-ROM CDFS TheFrozenThrone 524.17 MB 0.0%
E: Fixed NTFS 4.43 GB 4.17 GB 94.1%
F: Fixed NTFS 4.43 GB 4.40 GB 99.4%
G: Fixed NTFS 4.43 GB 1.06 GB 24.0%
H: Fixed NTFS 4.44 GB 1.28 GB 28.8%
I: Removable 0.0%
J: Removable 0.0%
K: Removable FAT32 UDISK 3.73 GB 3.73 GB 100.0%

C:\WINDOWS\prefetch\WINRAR.EXE-39C6DAD9.pf -->2009-01-27 02:12:09
C:\WINDOWS\prefetch\TELNET.EXE-24182D40.pf -->2009-01-27 02:07:10
C:\WINDOWS\prefetch\NOTEPAD.EXE-336351A9.pf -->2009-01-27 02:07:07
C:\WINDOWS\prefetch\MSPAINT.EXE-11CBB631.pf -->2009-01-27 01:55:22
C:\WINDOWS\prefetch\WORDPAD.EXE-24533991.pf -->2009-01-27 01:51:48
C:\WINDOWS\prefetch\VERCLSID.EXE-3667BD89.pf -->2009-01-27 01:42:36
C:\WINDOWS\prefetch\REGSVR32.EXE-25EEFE2F.pf -->2009-01-27 01:42:32
C:\WINDOWS\prefetch\WUAUCLT.EXE-399A8E72.pf -->2009-01-27 01:36:25
C:\WINDOWS\prefetch\RUNDLL32.EXE-34B3EEC1.pf -->2009-01-27 01:36:24
C:\WINDOWS\prefetch\JAVA.EXE-0C263507.pf -->2009-01-27 01:26:15

C:\WINDOWS\System32\drivers\mbamswissarmy.sys -->2009-01-14 16:11:32
C:\WINDOWS\System32\drivers\mbam.sys -->2009-01-14 16:11:28
C:\WINDOWS\System32\drivers\srv.sys -->2008-12-11 12:57:21
C:\WINDOWS\System32\drivers\mrxsmb.sys -->2008-10-24 12:10:42
C:\WINDOWS\System32\drivers\wacmoumonitor.sys -->2008-10-06 10:53:24
C:\WINDOWS\System32\drivers\PnkBstrK.sys -->2008-08-24 19:58:11
C:\WINDOWS\System32\drivers\wacomvhid.sys -->2008-08-18 14:45:00

C:\WINDOWS\System32\CF3878.exe -->2009-01-27 00:43:10
C:\WINDOWS\System32\CF30615.exe -->2009-01-27 00:12:21
C:\WINDOWS\System32\CF30546.exe -->2009-01-27 00:12:01
C:\WINDOWS\System32\CF30478.exe -->2009-01-27 00:11:40
C:\WINDOWS\System32\CF30347.exe -->2009-01-27 00:10:59
C:\WINDOWS\System32\CF30344.exe -->2009-01-27 00:10:59
C:\WINDOWS\System32\wpa.dbl -->2009-01-26 17:43:08
C:\WINDOWS\System32\HsInfo.dat -->2009-01-19 17:10:32
C:\WINDOWS\System32\MRT.exe -->2009-01-10 02:35:28
C:\WINDOWS\System32\tablet.dat -->2009-01-03 11:41:09
C:\WINDOWS\System32\FNTCACHE.DAT -->2008-12-29 12:09:14
C:\WINDOWS\System32\javaws.exe -->2008-12-19 09:58:03
C:\WINDOWS\System32\javaw.exe -->2008-12-19 09:58:03
C:\WINDOWS\System32\javacpl.cpl -->2008-12-19 09:58:03
C:\WINDOWS\System32\java.exe -->2008-12-19 09:58:03
C:\WINDOWS\System32\deploytk.dll -->2008-12-19 09:58:03
C:\WINDOWS\System32\TZLog.log -->2008-12-13 13:08:26
C:\WINDOWS\System32\mshtml.dll -->2008-12-12 18:33:22
C:\WINDOWS\System32\Pen_Tablet.exe -->2008-12-11 10:11:30
C:\WINDOWS\System32\Pen_Tablet.dll -->2008-12-11 09:59:14
C:\WINDOWS\System32\PenTablet.cpl -->2008-12-11 09:57:46
C:\WINDOWS\System32\Wintab32.dll -->2008-12-11 09:50:38
C:\WINDOWS\System32\PenTablet.znc -->2008-11-11 10:45:54
C:\WINDOWS\System32\prfh0804.dat -->2008-10-26 13:13:51
C:\WINDOWS\System32\prfc0804.dat -->2008-10-26 13:13:51

C:\WINDOWS\WindowsUpdate.log -->2009-01-27 01:36:36
C:\WINDOWS\wiaservc.log -->2009-01-27 01:17:17
C:\WINDOWS\wiadebug.log -->2009-01-27 01:17:16
C:\WINDOWS\0.log -->2009-01-27 01:16:56
C:\WINDOWS\bootstat.dat -->2009-01-27 01:16:53
C:\WINDOWS\SchedLgU.Txt -->2009-01-27 01:15:08
C:\WINDOWS\setupapi.log -->2009-01-26 20:10:20
C:\WINDOWS\MEMORY.DMP -->2009-01-26 19:56:52
C:\WINDOWS\Rfw.ini -->2009-01-26 18:52:16
C:\WINDOWS\system.ini -->2009-01-26 18:01:32
C:\WINDOWS\GEARInstall.log -->2009-01-26 01:13:56
C:\WINDOWS\QTFont.qfn -->2009-01-25 15:56:03
C:\WINDOWS\QTFont.for -->2009-01-25 15:56:03
C:\WINDOWS\wmsetup.log -->2009-01-22 20:04:33
C:\WINDOWS\svcpack.log -->2009-01-18 12:51:34

Volume in drive C has no label.
Volume Serial Number is F0AC-FC1C

Directory of C:\WINDOWS

2009-01-15 15:46 <DIR> $hf_mig$
2007-10-03 12:48 <DIR> $MSI31Uninstall_KB893803v2$
2008-12-13 13:08 <DIR> $NtUninstallKB952069_WM9$
2008-12-13 13:06 <DIR> $NtUninstallKB954600$
2008-11-14 15:44 <DIR> $NtUninstallKB955069$
2008-12-13 13:08 <DIR> $NtUninstallKB955839$
2008-12-13 13:06 <DIR> $NtUninstallKB956802$
2008-11-14 15:44 <DIR> $NtUninstallKB957097$
2008-12-13 13:08 <DIR> $NtUninstallKB958215$
2009-01-15 15:46 <DIR> $NtUninstallKB958687$
2008-12-19 09:54 <DIR> $NtUninstallKB960714$
2007-03-22 23:17 20 assist.dat
2007-05-21 16:22 41 dsez7025.dat
2009-01-26 20:10 <DIR> inf
2009-01-27 00:52 <DIR> Installer
2006-07-03 00:25 <DIR> PIF
2009-01-25 15:56 54,156 QTFont.qfn
2004-06-06 07:14 48,680 winnt.bmp
2004-06-06 07:14 48,680 winnt256.bmp
6 File(s) 152,326 bytes
14 Dir(s) 9,687,683,072 bytes free
Volume in drive C has no label.
Volume Serial Number is F0AC-FC1C

Directory of C:\WINDOWS\system32

2005-02-22 17:55 81,920 aac_parser.ax
2006-09-12 12:46 227,328 ac3DX.ax
2006-01-13 00:23 123,904 AVCDX.ax
2006-08-16 15:53 175,104 CoreAAC.ax
2005-01-18 00:26 179,200 DiracSplitter.ax
2009-01-27 01:23 <DIR> dllcache
2008-05-08 21:13 56 ezsidmv.dat
2006-05-03 11:06 163,328 flvDX.dll
2009-01-19 17:10 96 HsInfo.dat
2006-03-10 22:48 169,472 MatroskaDX.ax
2007-02-21 12:47 31,232 msfDX.dll
2005-11-25 21:46 161,792 RealMediaDX.ax
2003-11-21 00:00 54,784 RLAPEDec.ax
2004-04-27 00:00 37,888 RLMPCDec.ax
2005-02-13 00:00 186,880 RLOgg.ax
2005-02-13 00:00 51,712 RLSpeexDec.ax
2005-02-13 00:00 67,584 RLTheoraDec.ax
2005-02-06 00:00 92,672 RLVorbisDec.ax
2007-12-17 14:43 27,648 Smab0.dll
2008-09-03 18:30 5,632 Thumbs.db
26 File(s) 1,842,953 bytes
1 Dir(s) 9,687,683,072 bytes free
winlogon.exe
Verified: Signed
svchost.exe
Verified: Signed
ws2_32.dll
Verified: Signed
user32.dll
Verified: Signed
tcpip.sys
Verified: Signed
ndis.sys
Verified: Signed
null.sys
Verified: Signed
userinit.exe
kernel32.dll

ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
explorer.exe pid: 1352
Command line: C:\WINDOWS\Explorer.EXE

Base Size Version Path
0x5d170000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\comctl32.dll
0x00ba0000 0xd000 4.00.0000.0950 C:\WINDOWS\system32\HANWANGP.IME
0x76fa0000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL
0x77020000 0x9a000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll
0x10000000 0x19000 18.00.0000.0019 C:\WINDOWS\system32\RavExt.dll
0x76af0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL
0x7c9c0000 0x2be000 3.01.4000.4039 C:\WINDOWS\system32\msi.dll
0x01d20000 0x2c000 C:\Program Files\WinRAR\rarext.dll
0x78130000 0x9b000 8.00.50727.0762 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\MSVCR80.dll
0x01e20000 0x10000 9.00.0000.0332 C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
0x02c50000 0x29000 C:\Program Files\Satsuki Decoder Pack\Filtres\mmfinfo.dll
0x02cf0000 0xb000 C:\Program Files\Satsuki Decoder Pack\Filtres\mkunicode.dll
0x02d10000 0x5b000 9.00.0000.0332 C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll
0x02d70000 0x4c000 9.00.0000.0000 C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.FRA
0x73540000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll
0x02ea0000 0x17000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
0x014b0000 0x12000 1.01.0000.0000 C:\Program Files\Malwarebytes' Anti-Malware\mbamext.dll
0x01410000 0x11000 9.00.0000.0332 C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
0x7c420000 0x87000 8.00.50727.0762 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\MSVCP80.dll
0x02b40000 0x33000 6.14.0010.4764 C:\WINDOWS\system32\igfxpph.dll
0x02b80000 0x1a000 6.14.0010.4764 C:\WINDOWS\system32\hccutils.DLL

ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
winlogon.exe pid: 1116
Command line: winlogon.exe

Base Size Version Path
0x01000000 0x7c000 \??\C:\WINDOWS\system32\winlogon.exe
0x5d170000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\COMCTL32.dll
0x73540000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll
0x20000000 0x17000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
0x00ac0000 0xd000 4.00.0000.0950 C:\WINDOWS\system32\HANWANGP.IME
0x10000000 0x1e000 9.00.0001.0000 C:\Program Files\Intel\Wireless\Bin\LgNotify.dll
0x77020000 0x9a000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll
0x76fa0000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL

Contenu de Downloaded Program Files
Volume in drive C has no label.
Volume Serial Number is F0AC-FC1C

Directory of C:\WINDOWS\Downloaded Program Files

2008-09-06 17:15 <DIR> .
2008-09-06 17:15 <DIR> ..
2007-03-01 14:21 <DIR> 3721
2007-03-01 18:23 2,462 assis.ico
2007-04-04 21:42 161,792 Cbfhjx.dll
2006-11-11 23:12 1,768 Cns02.dat
2007-01-30 19:30 61,315 CnsHint.cab
2006-12-20 18:07 135,168 cnshint.dll
2007-01-24 18:59 45,056 cnsio.dll
2007-03-01 14:30 137 CnsMin.ini
2006-10-11 14:32 79,441 CnsMinAL.cab
2007-03-01 14:21 10,073 CnsMinCg.ini
2007-01-30 19:30 11,021 CnsMinDT.cab
2006-12-21 17:55 24,576 CnsMinDT.dll
2007-03-01 14:21 888 CnsMinEx.ini
2007-02-28 19:53 25,273 CnsMinIO.cab
2007-01-24 19:00 36,864 CnsMinIO.dll
2007-01-30 19:30 15,574 CnsPlus.cab
2006-12-20 18:07 49,152 cnsplus.dll
2007-03-01 14:21 110 CnsUp.ini
2007-09-24 20:25 65 desktop.ini
2007-04-04 22:07 119,296 Hnbmy.dll
2007-02-09 21:06 36,864 keepmain.dll
2007-02-28 19:53 105,232 keepmainM.cab
2007-02-22 22:41 304,544 MessengerStatsPAClient.dll
2007-02-28 13:21 131,472 msgrchkr.dll
2007-03-01 18:23 6,526 sms.ico
2007-03-01 18:23 1,886 taobao.ico
2005-12-23 01:10 <DIR> Update
2007-03-01 18:23 5,734 widget.ico
2005-09-09 17:45 1,516 wvc1dmo.inf
2007-03-01 18:23 5,734 yahoomsg.ico
2006-10-11 14:30 191 yascnsup.ini
2007-03-01 18:23 5,734 ymail.ico
2007-02-19 10:26 159,128 ZIntro.ocx
31 File(s) 1,544,592 bytes

Directory of C:\WINDOWS\Downloaded Program Files\3721

2007-03-01 14:21 <DIR> .
2007-03-01 14:21 <DIR> ..
2007-02-16 13:06 927 ListInfo.dat
1 File(s) 927 bytes

Directory of C:\WINDOWS\Downloaded Program Files\Update

2005-12-23 01:10 <DIR> .
2005-12-23 01:10 <DIR> ..
0 File(s) 0 bytes

Total Files Listed:
32 File(s) 1,545,519 bytes
8 Dir(s) 9,687,351,296 bytes free

Recherche de rootkit! (Merci S!Ri)

Recherche d'infections connues
Possible [b]infection chinoise : AdPlug/b, l'utilisation de combofix est recommand?

Export des clefs sensibles..

Liste des fichiers en exception sur le pare-feu XP SP2

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE"="C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE:*:Enabled:Internet Explorer"
"C:\\Documents and Settings\\YU\\Application Data\\Macromedia\\Flash Player\\www.macromedia.com\\bin\\DofusUpdater\\DofusUpdater.exe"="C:\\Documents and Settings\\YU\\Application Data\\Macromedia\\Flash Player\\www.macromedia.com\\bin\\DofusUpdater\\DofusUpdater.exe:*:Disabled:Installation de Dofus"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe:*:Enabled:ActiveSync Connection Manager"
"C:\\Program Files\\Microsoft ActiveSync\\WcesMgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\WcesMgr.exe:*:Enabled:ActiveSync Application"
"C:\\WINDOWS\\PCHEALTH\\HELPCTR\\Binaries\\HelpCtr.exe"="C:\\WINDOWS\\PCHEALTH\\HELPCTR\\Binaries\\HelpCtr.exe:*:Enabled:???? - Windows Messenger ???"
"C:\\Program Files\\Valve\\Steam\\SteamApps\\tiande\\counter-strike source\\hl2.exe"="C:\\Program Files\\Valve\\Steam\\SteamApps\\tiande\\counter-strike source\\hl2.exe:*:Disabled:hl2"
"C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"C:\\Program Files\\mIRC\\mirc.exe"="C:\\Program Files\\mIRC\\mirc.exe:*:Enabled:mIRC"
"C:\\Program Files\\Warcraft III\\Warcraft III.exe"="C:\\Program Files\\Warcraft III\\Warcraft III.exe:*:Enabled:Warcraft III"
"C:\\Program Files\\Warcraft III\\War3.exe"="C:\\Program Files\\Warcraft III\\War3.exe:*:Disabled:Warcraft III"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\MsnMsgr.Exe:*:Enabled:ipsec"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\Program Files\\Dofus-Arena beta 2\\DofusArena.exe"="C:\\Program Files\\Dofus-Arena beta 2\\DofusArena.exe:*:Disabled:Dofus Arena Client"
"C:\\WINDOWS\\system32\\java.exe"="C:\\WINDOWS\\system32\\java.exe:*:Disabled:Java(TM) Platform SE binary"
"C:\\Program Files\\iMesh Applications\\iMesh\\iMesh.exe"="C:\\Program Files\\iMesh Applications\\iMesh\\iMesh.exe:*:Disabled:iMesh"
"C:\\Program Files\\Valve\\Steam\\Steam.exe"="C:\\Program Files\\Valve\\Steam\\Steam.exe:*:Enabled:Steam"
"C:\\Program Files\\Ankama Games\\DofusBetaHardcore\\DofusBetaHardcore.exe"="C:\\Program Files\\Ankama Games\\DofusBetaHardcore\\DofusBetaHardcore.exe:*:Enabled:Dofus Client"
"C:\\Program Files\\Winamp Remote\\bin\\Orb.exe"="C:\\Program Files\\Winamp Remote\\bin\\Orb.exe:*:Enabled:Orb"
"C:\\Program Files\\Winamp Remote\\bin\\OrbTray.exe"="C:\\Program Files\\Winamp Remote\\bin\\OrbTray.exe:*:Enabled:OrbTray"
"C:\\Program Files\\Winamp Remote\\bin\\OrbStreamerClient.exe"="C:\\Program Files\\Winamp Remote\\bin\\OrbStreamerClient.exe:*:Enabled:Orb Stream Client"
"C:\\Program Files\\Azureus\\Azureus.exe"="C:\\Program Files\\Azureus\\Azureus.exe:*:Enabled:Azureus"
"C:\\Program Files\\Mozilla Firefox\\firefox.exe"="C:\\Program Files\\Mozilla Firefox\\firefox.exe:*:Enabled:ipsec"
"C:\\Program Files\\uTorrent\\uTorrent.exe"="C:\\Program Files\\uTorrent\\uTorrent.exe:*:Enabled:礣orrent"
"C:\\Program Files\\DNA\\btdna.exe"="C:\\Program Files\\DNA\\btdna.exe:*:Enabled:DNA"
"C:\\Program Files\\softnyx\\GunboundWC\\GunBound.gme"="C:\\Program Files\\softnyx\\GunboundWC\\GunBound.gme:*:Enabled:GunBound"
"C:\\Documents and Settings\\All Users.WINDOWS\\Application Data\\NexonUS\\NGM\\NGM.exe"="C:\\Documents and Settings\\All Users.WINDOWS\\Application Data\\NexonUS\\NGM\\NGM.exe:*:Enabled:Nexon Game Manager"
"C:\\Program Files\\Free Download Manager\\fdm.exe"="C:\\Program Files\\Free Download Manager\\fdm.exe:*:Enabled:Free Download Manager"
"C:\\Program Files\\Metin2_France\\metin2.bin"="C:\\Program Files\\Metin2_France\\metin2.bin:*:Enabled:metin2"
"C:\\Program Files\\ma-config.com\\maconfservice.exe"="C:\\Program Files\\ma-config.com\\maconfservice.exe:LocalSubNet:Enabled:maconfservice"
"C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"K:\\sq.com"="K:\\sq.com:*:Enabled:ipsec"
"C:\\Program Files\\Intel\\Wireless\\Bin\\ZcfgSvc.exe"="C:\\Program Files\\Intel\\Wireless\\Bin\\ZcfgSvc.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\TEMP\\winghnbur.exe"="C:\\WINDOWS\\TEMP\\winghnbur.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\TEMP\\winxvqux.exe"="C:\\WINDOWS\\TEMP\\winxvqux.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\ALCMTR.EXE"="C:\\WINDOWS\\ALCMTR.EXE:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\HDAShCut.exe"="C:\\WINDOWS\\system32\\HDAShCut.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\WTablet\\Pen_TabletUser.exe"="C:\\WINDOWS\\system32\\WTablet\\Pen_TabletUser.exe:*:Enabled:ipsec"
"C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winhkkdpv.exe"="C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winhkkdpv.exe:*:Enabled:ipsec"
"C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winnahnf.exe"="C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winnahnf.exe:*:Enabled:ipsec"
"C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winmnemrp.exe"="C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winmnemrp.exe:*:Enabled:ipsec"
"C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winlyjmrp.exe"="C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winlyjmrp.exe:*:Enabled:ipsec"
"C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winnrea.exe"="C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winnrea.exe:*:Enabled:ipsec"
"C:\\Program Files\\Rising\\Rfw\\RfwMain.exe"="C:\\Program Files\\Rising\\Rfw\\RfwMain.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\TEMP\\winbfgpvp.exe"="C:\\WINDOWS\\TEMP\\winbfgpvp.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\TEMP\\winkhnl.exe"="C:\\WINDOWS\\TEMP\\winkhnl.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\TEMP\\winkqoik.exe"="C:\\WINDOWS\\TEMP\\winkqoik.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\TEMP\\winxoimlg.exe"="C:\\WINDOWS\\TEMP\\winxoimlg.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\TEMP\\winmydlt.exe"="C:\\WINDOWS\\TEMP\\winmydlt.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\TEMP\\wininyo.exe"="C:\\WINDOWS\\TEMP\\wininyo.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\TEMP\\winlyby.exe"="C:\\WINDOWS\\TEMP\\winlyby.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\TEMP\\winkmtsg.exe"="C:\\WINDOWS\\TEMP\\winkmtsg.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\ckvo.exe"="C:\\WINDOWS\\system32\\ckvo.exe:*:Enabled:ipsec"
"C:\\Program Files\\iTunes\\iTunesHelper.exe"="C:\\Program Files\\iTunes\\iTunesHelper.exe:*:Enabled:ipsec"
"C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\windmft.exe"="C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\windmft.exe:*:Enabled:ipsec"
"C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\windted.exe"="C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\windted.exe:*:Enabled:ipsec"
"C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winwmlqep.exe"="C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winwmlqep.exe:*:Enabled:ipsec"
"C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winhpyg.exe"="C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winhpyg.exe:*:Enabled:ipsec"
"C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winkmbpj.exe"="C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winkmbpj.exe:*:Enabled:ipsec"
"C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winltplmp.exe"="C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winltplmp.exe:*:Enabled:ipsec"
"C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\wingkug.exe"="C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\wingkug.exe:*:Enabled:ipsec"
"C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\windnrga.exe"="C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\windnrga.exe:*:Enabled:ipsec"
"C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winlwvd.exe"="C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winlwvd.exe:*:Enabled:ipsec"
"C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winkngnlg.exe"="C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winkngnlg.exe:*:Enabled:ipsec"
"C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winwwesc.exe"="C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winwwesc.exe:*:Enabled:ipsec"
"C:\\Documents and Settings\\YU\\Local Settings\\Temp\\windmft.exe"="C:\\Documents and Settings\\YU\\Local Settings\\Temp\\windmft.exe:*:Enabled:ipsec"
"C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winnavxp.exe"="C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winnavxp.exe:*:Enabled:ipsec"
"C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winkolut.exe"="C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winkolut.exe:*:Enabled:ipsec"
"C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winrdhij.exe"="C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winrdhij.exe:*:Enabled:ipsec"
"C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winhpnkr.exe"="C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winhpnkr.exe:*:Enabled:ipsec"
"C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winbtjef.exe"="C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winbtjef.exe:*:Enabled:ipsec"
"C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winjkoy.exe"="C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winjkoy.exe:*:Enabled:ipsec"
"C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\wintocmi.exe"="C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\wintocmi.exe:*:Enabled:ipsec"
"C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winhhggyh.exe"="C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winhhggyh.exe:*:Enabled:ipsec"
"C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\wingplk.exe"="C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\wingplk.exe:*:Enabled:ipsec"
"C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winehxvw.exe"="C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winehxvw.exe:*:Enabled:ipsec"
"C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winhpjosc.exe"="C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winhpjosc.exe:*:Enabled:ipsec"
"C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winfrmbs.exe"="C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winfrmbs.exe:*:Enabled:ipsec"
"C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winycpx.exe"="C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winycpx.exe:*:Enabled:ipsec"
"C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winxgxih.exe"="C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winxgxih.exe:*:Enabled:ipsec"
"C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winjijsut.exe"="C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winjijsut.exe:*:Enabled:ipsec"
"C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winxfod.exe"="C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winxfod.exe:*:Enabled:ipsec"
"C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winfyjfg.exe"="C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winfyjfg.exe:*:Enabled:ipsec"
"C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winojmo.exe"="C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winojmo.exe:*:Enabled:ipsec"
"C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winecwuwl.exe"="C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winecwuwl.exe:*:Enabled:ipsec"
"C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winexrr.exe"="C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winexrr.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\wuauclt.exe"="C:\\WINDOWS\\system32\\wuauclt.exe:*:Enabled:ipsec"
"C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\wineuowfc.exe"="C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\wineuowfc.exe:*:Enabled:ipsec"
"C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winbempdw.exe"="C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winbempdw.exe:*:Enabled:ipsec"
"C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winjpbje.exe"="C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winjpbje.exe:*:Enabled:ipsec"
"C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winudfnk.exe"="C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winudfnk.exe:*:Enabled:ipsec"
"C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winbqfo.exe"="C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winbqfo.exe:*:Enabled:ipsec"
"C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winsusik.exe"="C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winsusik.exe:*:Enabled:ipsec"
"C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\windhccxg.exe"="C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\windhccxg.exe:*:Enabled:ipsec"
"C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winarkdnu.exe"="C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winarkdnu.exe:*:Enabled:ipsec"
"C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winttvxf.exe"="C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winttvxf.exe:*:Enabled:ipsec"
"C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winowdae.exe"="C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winowdae.exe:*:Enabled:ipsec"
"C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winvxdl.exe"="C:\\DOCUME~1\\YU\\LOCALS~1\\Temp\\winvxdl.exe:*:Enabled:ipsec"

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

Export de la clef SharedTaskScheduler

[SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui ?????"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="????????"

exports des policies
REGEDIT4

[system]
"dontdisplaylastusername"=dword:00000001
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
"EnableLUA"=dword:00000000

Export des clefs sensibles..
Rechercher adresses sensibles dans le fichier HOSTS...

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Process list by traversal of KiWaitListHead

4 - System
140 - PnkBstrA.exe
552 - SOUNDMAN.EXE
792 - Pen_TabletUser.
796 - Pen_Tablet.exe
968 - ZCfgSvc.exe
1084 - csrss.exe
1116 - winlogon.exe
1160 - services.exe
1180 - lsass.exe
1256 - ATKOSD.exe
1324 - svchost.exe
1352 - explorer.exe
1372 - igfxpers.exe
1408 - 1XConfig.exe
1424 - svchost.exe
1480 - svchost.exe
1524 - EvtEng.exe
1628 - S24EvMon.exe
1680 - svchost.exe
1728 - cmd.exe
1804 - svchost.exe
1824 - RavMonD.exe
1948 - jqs.exe
1980 - conime.exe
2100 - firefox.exe
2168 - wuauclt.exe
2628 - HControl.exe
2672 - winjpbje.exe
2716 - jusched.exe
2904 - hkcmd.exe
2948 - iTunesHelper.ex
3516 - ctfmon.exe
3696 - iPodService.exe
3936 - winbqfo.exe
4056 - wineuowfc.exe
4076 - svchost.exe

Total number of processes = 37
NOTE: Under WinXP, this will not show all processes.

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Driver/Module list by traversal of PsLoadedModuleList

804D8000 - \WINDOWS\system32\ntoskrnl.exe
806ED000 - \WINDOWS\system32\hal.dll
F8A42000 - \WINDOWS\system32\KDCOM.DLL
F8952000 - \WINDOWS\system32\BOOTVID.dll
F8956000 - ojplqra.sys
F84F3000 - ACPI.sys
F8A44000 - \WINDOWS\system32\DRIVERS\WMILIB.SYS
F84E2000 - pci.sys
F8542000 - isapnp.sys
F8552000 - ohci1394.sys
F8562000 - \WINDOWS\system32\DRIVERS\1394BUS.SYS
F895A000 - compbatt.sys
F895E000 - \WINDOWS\system32\DRIVERS\BATTC.SYS
F8B0A000 - pciide.sys
F87C2000 - \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
F84C5000 - pcmcia.sys
F8572000 - MountMgr.sys
F84A6000 - ftdisk.sys
F8A48000 - dmload.sys
F8480000 - dmio.sys
F8962000 - ACPIEC.sys
F8B0B000 - \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS
F87CA000 - PartMgr.sys
F87D2000 - pavboot.sys
F8582000 - VolSnap.sys
F8468000 - atapi.sys
F8592000 - disk.sys
F85A2000 - \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
F8448000 - fltMgr.sys
F8436000 - sr.sys
F8424000 - CnsMinKP.sys
F85B2000 - PxHelp20.sys
F840D000 - KSecDD.sys
F8A4A000 - PenClass.sys
F8380000 - Ntfs.sys
F8353000 - NDIS.sys
F87DA000 - risdpntk.sys
F85C2000 - R592.sys
F8338000 - Mup.sys
F8322000 - kdlfkf.sys
F8762000 - \SystemRoot\system32\DRIVERS\intelppm.sys
F6CC3000 - \SystemRoot\system32\DRIVERS\igxpmp32.sys
F6CAF000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
F6C8A000 - \SystemRoot\system32\DRIVERS\HDAudBus.sys
F8882000 - \SystemRoot\system32\DRIVERS\usbuhci.sys
F6C67000 - \SystemRoot\system32\DRIVERS\USBPORT.SYS
F888A000 - \SystemRoot\system32\DRIVERS\usbehci.sys
F6C20000 - \SystemRoot\system32\DRIVERS\yk51x86.sys
F8772000 - \SystemRoot\system32\DRIVERS\nic1394.sys
F690D000 - \SystemRoot\system32\DRIVERS\w29n51.sys
F8782000 - \SystemRoot\system32\DRIVERS\i8042prt.sys
F8892000 - \SystemRoot\system32\DRIVERS\kbdclass.sys
F889A000 - \SystemRoot\system32\DRIVERS\mouclass.sys
F8792000 - \SystemRoot\system32\DRIVERS\smcirda.sys
F8A32000 - \SystemRoot\system32\DRIVERS\irenum.sys
F87A2000 - \SystemRoot\system32\DRIVERS\imapi.sys
F87B2000 - \SystemRoot\system32\DRIVERS\cdrom.sys
F8602000 - \SystemRoot\system32\DRIVERS\redbook.sys
F68EA000 - \SystemRoot\system32\DRIVERS\ks.sys
F8A3E000 - \SystemRoot\system32\DRIVERS\CmBatt.sys
F8A5C000 - \SystemRoot\system32\DRIVERS\ATKACPI.sys
F82FE000 - \SystemRoot\system32\DRIVERS\fsvga.sys
F8A5E000 - \SystemRoot\system32\DRIVERS\wacomvhid.sys
F8612000 - \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
F88A2000 - \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
F8A60000 - \SystemRoot\system32\DRIVERS\WacomVKHid.sys
F68AD000 - \SystemRoot\system32\DRIVERS\iwca.sys
F8C65000 - \SystemRoot\system32\DRIVERS\audstub.sys
F88AA000 - \SystemRoot\system32\DRIVERS\rasirda.sys
F88B2000 - \SystemRoot\system32\DRIVERS\TDI.SYS
F8622000 - \SystemRoot\system32\DRIVERS\rasl2tp.sys
F82F2000 - \SystemRoot\system32\DRIVERS\ndistapi.sys
F6896000 - \SystemRoot\system32\DRIVERS\ndiswan.sys
F8632000 - \SystemRoot\system32\DRIVERS\raspppoe.sys
F8642000 - \SystemRoot\system32\DRIVERS\raspptp.sys
F6885000 - \SystemRoot\system32\DRIVERS\psched.sys
F8652000 - \SystemRoot\system32\DRIVERS\msgpc.sys
F88BA000 - \SystemRoot\system32\DRIVERS\ptilink.sys
F88C2000 - \SystemRoot\system32\DRIVERS\raspti.sys
F6854000 - \SystemRoot\system32\DRIVERS\rdpdr.sys
F8662000 - \SystemRoot\system32\DRIVERS\termdd.sys
F8A62000 - \SystemRoot\system32\DRIVERS\swenum.sys
F67D3000 - \SystemRoot\system32\DRIVERS\update.sys
F79D7000 - \SystemRoot\system32\DRIVERS\mssmbios.sys
F79D3000 - \SystemRoot\system32\DRIVERS\mouhid.sys
F88CA000 - \SystemRoot\system32\DRIVERS\wacommousefilter.sys
F79CF000 - \SystemRoot\system32\DRIVERS\kbdhid.sys
F72BC000 - \SystemRoot\System32\Drivers\NDProxy.SYS
AA76F000 - \SystemRoot\system32\drivers\HdAudio.sys
AA74B000 - \SystemRoot\system32\drivers\portcls.sys
F72AC000 - \SystemRoot\system32\drivers\drmk.sys
F729C000 - \SystemRoot\system32\DRIVERS\usbhub.sys
F8A66000 - \SystemRoot\system32\DRIVERS\USBD.SYS
F8A68000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS
F8B0F000 - \SystemRoot\System32\Drivers\Null.SYS
F8A6A000 - \SystemRoot\System32\Drivers\Beep.SYS
F88EA000 - \SystemRoot\System32\drivers\vga.sys
F8A6C000 - \SystemRoot\System32\Drivers\mnmdd.SYS
F8A6E000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys
F88F2000 - \SystemRoot\System32\Drivers\Msfs.SYS
F88FA000 - \SystemRoot\System32\Drivers\Npfs.SYS
F8A0A000 - \SystemRoot\system32\DRIVERS\rasacd.sys
AA678000 - \SystemRoot\system32\DRIVERS\ipsec.sys
AA620000 - \SystemRoot\system32\DRIVERS\tcpip.sys
AA5F8000 - \SystemRoot\system32\DRIVERS\netbt.sys
AA5D6000 - \SystemRoot\System32\drivers\afd.sys
F726C000 - \SystemRoot\system32\DRIVERS\netbios.sys
AA5AB000 - \SystemRoot\system32\DRIVERS\rdbss.sys
AA53C000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys
F725C000 - \SystemRoot\System32\Drivers\Fips.SYS
AA51B000 - \SystemRoot\system32\DRIVERS\ipnat.sys
F724C000 - \SystemRoot\system32\DRIVERS\wanarp.sys
F723C000 - \SystemRoot\system32\DRIVERS\arp1394.sys
F890A000 - \SystemRoot\system32\DRIVERS\USBSTOR.SYS
F8A70000 - \SystemRoot\System32\DRIVERS\plff.sys
F6850000 - \SystemRoot\system32\DRIVERS\hidusb.sys
F8682000 - \SystemRoot\System32\Drivers\Cdfs.SYS
AA4D0000 - \SystemRoot\System32\Drivers\Fastfat.SYS
AA4B8000 - \SystemRoot\System32\Drivers\dump_atapi.sys
F8A72000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS
BF800000 - \SystemRoot\System32\win32k.sys
F683C000 - \SystemRoot\System32\drivers\Dxapi.sys
F8912000 - \SystemRoot\System32\watchdog.sys
BF000000 - \SystemRoot\System32\drivers\dxg.sys
F8B18000 - \SystemRoot\System32\drivers\dxgthk.sys
BF024000 - \SystemRoot\System32\igxpgd32.dll
BF012000 - \SystemRoot\System32\igxprd32.dll
BF04E000 - \SystemRoot\System32\igxpdv32.DLL
BF1CC000 - \SystemRoot\System32\igxpdx32.DLL
AA3B4000 - \SystemRoot\system32\DRIVERS\AegisP.sys
AA312000 - \SystemRoot\system32\DRIVERS\irda.sys
AA3A8000 - \SystemRoot\system32\DRIVERS\s24trans.sys
AA370000 - \SystemRoot\system32\DRIVERS\ndisuio.sys
AA334000 - \SystemRoot\System32\DRIVERS\BaseTDI.SYS
A9F3D000 - \SystemRoot\system32\drivers\wdmaud.sys
AA2A2000 - \SystemRoot\system32\drivers\sysaudio.sys
A9C29000 - \SystemRoot\system32\DRIVERS\mrxdav.sys
A9E27000 - \SystemRoot\system32\DRIVERS\mdmxsdk.sys
A9BAF000 - \SystemRoot\system32\DRIVERS\srv.sys
A95A6000 - \SystemRoot\System32\Drivers\HTTP.sys
A9857000 - \SystemRoot\system32\DRIVERS\ipfltdrv.sys
F8AD4000 - \??\C:\WINDOWS\system32\drivers\fkpqqk.sys
A91A6000 - \SystemRoot\system32\drivers\kmixer.sys
F8AC6000 - \??\C:\DOCUME~1\YU\LOCALS~1\Temp\mbr.sys
F8B39000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

Total number of drivers = 145

Liste des programmes installes

Adobe Flash Player ActiveX
Adobe Flash Player Plugin
Adobe Shockwave Player 11
Applian FLV Player
ATK0100 ACPI UTILITY
AVIConverter 5.1.6
HijackThis 2.0.2
Intel(R) Graphics Media Accelerator Driver
Intel(R) PROSet/Wireless Software
iPod for Windows 2006-06-28
iTunes
Malwarebytes' Anti-Malware
Manga Studio Debut 3.0
Marvell Miniport Driver
mIRC
Mozilla Firefox (3.0.5)
Panda ActiveScan 2.0
QuickTime
Satsuki Decoder Pack 4000
Windows Installer 3.1 (KB893803)
Windows Media Player (KB952069) 安全
Windows XP 安全更新 (KB954
Windows XP 安全更新 (KB955
Windows XP 安全更新 (KB956
Windows XP 安全更新 (KB957
Windows XP 安全更新 (KB958
Windows XP 安全更新 (KB958
Windows XP 安全更新 (KB960
Windows XP 更新 (KB95583
数?

Volume in drive C has no label.
Volume Serial Number is F0AC-FC1C

Directory of C:\Program Files

2009-01-27 01:53 <DIR> .
2009-01-27 01:53 <DIR> ..
2008-10-31 19:45 <DIR> Adobe
2008-12-21 18:40 <DIR> AirSnare
2007-08-19 14:17 <DIR> Assistant
2008-11-08 18:10 <DIR> AVIConverter
2008-06-29 22:47 <DIR> AviSynth 2.5
2004-07-09 08:13 703,080 BDA.cab
2004-07-19 21:58 1,156,363 BDANT.cab
2004-07-19 21:53 976,020 BDAXP.cab
2008-11-19 14:14 <DIR> Common Files
2009-01-03 10:11 <DIR> Corel
2004-07-09 08:13 15,493,481 DirectX.cab
2007-10-28 20:48 <DIR> DivX
2008-09-06 23:34 <DIR> DNA
2004-07-09 13:17 13,265,040 dxnt.cab
2009-01-03 09:44 <DIR> e frontier
2008-07-01 12:45 <DIR> eRightSoft
2009-01-26 18:26 <DIR> Free Download Manager
2008-12-17 20:12 <DIR> GIMP-2.0
2005-11-04 17:19 <DIR> Intel
2008-08-23 18:08 <DIR> Internet Download Manager
2008-12-13 13:08 <DIR> Internet Explorer
2009-01-25 15:52 <DIR> iPod
2009-01-26 01:13 <DIR> iTunes
2008-12-19 09:57 <DIR> Java
2008-10-29 20:00 <DIR> ma-config.com
2009-01-27 01:42 <DIR> Malwarebytes' Anti-Malware
2004-07-22 09:51 3,432,656 ManagedDX.CAB
2008-08-30 18:04 <DIR> Marvell
2008-08-14 14:24 <DIR> Messenger
2008-07-02 20:00 <DIR> Microsoft ActiveSync
2005-01-12 16:29 <DIR> microsoft frontpage
2008-01-09 19:44 <DIR> Microsoft Office
2009-01-09 23:23 <DIR> mIRC
2008-11-19 14:43 <DIR> Movie Maker
2009-01-27 01:21 <DIR> Mozilla Firefox
2005-01-12 16:25 <DIR> MSN Gaming Zone
2007-10-01 20:48 <DIR> MSN Messenger
2008-11-14 15:43 <DIR> MSXML 4.0
2005-11-03 16:36 <DIR> NetMeeting
2005-11-03 16:37 <DIR> Online Services
2007-10-05 15:24 <DIR> Outlook Express
2009-01-26 19:58 <DIR> Panda Security
2009-01-26 01:15 <DIR> QuickTime
2006-05-11 00:58 <DIR> Real
2008-08-30 18:02 <DIR> Realtek
2009-01-26 20:00 <DIR> Rising
2009-01-12 23:06 <DIR> Satsuki Decoder Pack
2005-11-03 18:30 <DIR> Synaptics
2009-01-03 11:42 <DIR> Tablet
2009-01-03 11:41 <DIR> Tablette
2009-01-27 01:36 <DIR> UsbFix
2008-08-15 13:15 <DIR> uTorrent
2007-05-15 18:54 <DIR> VideoLAN
2009-01-26 21:11 <DIR> Warcraft III
2008-07-01 07:37 <DIR> Windows Media Player
2005-11-03 16:33 <DIR> Windows NT
2008-12-21 18:38 <DIR> WinPcap
2006-12-10 23:41 <DIR> WinRAR
2005-01-12 16:29 <DIR> xerox
2007-10-29 17:40 <DIR> XP
2008-11-09 18:12 <DIR> Yahoo!
6 File(s) 35,026,640 bytes
57 Dir(s) 9,671,806,976 bytes free
Volume in drive C has no label.
Volume Serial Number is F0AC-FC1C

Directory of C:\Program Files\common files

2008-11-19 14:14 <DIR> .
2008-11-19 14:14 <DIR> ..
2008-10-31 19:47 <DIR> Adobe
2006-08-13 19:47 <DIR> Adobe Systems Shared
2007-10-02 18:59 <DIR> i4j_jres
2008-07-30 01:59 <DIR> INCA Shared
2006-07-13 19:46 <DIR> InstallShield
2007-10-28 17:14 <DIR> Java
2008-01-09 19:44 <DIR> Microsoft Shared
2005-11-03 16:36 <DIR> MSSoap
2005-01-13 09:23 <DIR> ODBC
2008-11-19 14:14 <DIR> Real
2005-11-03 16:36 <DIR> Services
2005-11-04 00:10 <DIR> snpstd3
2005-01-13 09:23 <DIR> SpeechEngines
2006-06-16 18:41 <DIR> SWF Studio
2006-01-22 02:54 <DIR> Synacast
2008-01-09 19:44 <DIR> System
0 File(s) 0 bytes
18 Dir(s) 9,671,806,976 bytes free

Attention : C:\autorun.inf existe

c:\Documents and Settings\Administrator\Local Settings\Temp\setup\capp.exe
c:\Documents and Settings\Administrator\Local Settings\Temp\setup\IdnMail.exe
c:\Documents and Settings\Administrator\Local Settings\Temp\setup\insact.exe
c:\Documents and Settings\Administrator\Local Settings\Temp\setup\setup.exe
c:\Documents and Settings\All Users.WINDOWS\Application Data\NexonUS\NGM\NGM.exe
c:\Documents and Settings\YU\Application Data\Azureus\plugins\azemp\azmplay.exe
c:\Documents and Settings\YU\Application Data\Mozilla\Firefox\Profiles\kep2vbhm.default\extensions\{bb628310-0ab7-11db-9cd8-0800200c9a66}\maconfsetup.exe
c:\Documents and Settings\YU\Application Data\U3\00001680D77344BB\cleanup.exe
c:\Documents and Settings\YU\Application Data\U3\00001680D77344BB\Launchpad Removal.exe
c:\Documents and Settings\YU\Application Data\U3\00001680D77344BB\LaunchPad.exe
c:\Documents and Settings\YU\Application Data\U3\00001680D77344BB\U3AccessGrant.exe
c:\Documents and Settings\YU\Application Data\U3\temp\Launchpad Removal.exe
c:\Documents and Settings\YU\Local Settings\Temp\winbqfo.exe
c:\Documents and Settings\YU\Local Settings\Temp\wineuowfc.exe
c:\Documents and Settings\YU\Local Settings\Temp\winjpbje.exe
c:\Documents and Settings\YU\??\mbam-setup(2).exe
c:\Documents and Settings\YU\??\RSIT.exe
c:\Documents and Settings\YU\??\UsbFix.exe
c:\Documents and Settings\YU\??\DiagHelp\catchme.exe
c:\Documents and Settings\YU\??\DiagHelp\diff.exe
c:\Documents and Settings\YU\??\DiagHelp\dumphive.exe
c:\Documents and Settings\YU\??\DiagHelp\FilesInfoCmd.exe
c:\Documents and Settings\YU\??\DiagHelp\find2.exe
c:\Documents and Settings\YU\??\DiagHelp\Fport.exe
c:\Documents and Settings\YU\??\DiagHelp\grep.exe
c:\Documents and Settings\YU\??\DiagHelp\gzip.exe
c:\Documents and Settings\YU\??\DiagHelp\KProcCheck.exe
c:\Documents and Settings\YU\??\DiagHelp\LFiles.exe
c:\Documents and Settings\YU\??\DiagHelp\LISTDLLS.exe
c:\Documents and Settings\YU\??\DiagHelp\mbr.exe
c:\Documents and Settings\YU\??\DiagHelp\md5sums.exe
c:\Documents and Settings\YU\??\DiagHelp\Psinfo.exe
c:\Documents and Settings\YU\??\DiagHelp\pslist.exe
c:\Documents and Settings\YU\??\DiagHelp\sigcheck.exe
c:\Documents and Settings\YU\??\DiagHelp\streams.exe
c:\Documents and Settings\YU\??\DiagHelp\swreg.exe
c:\Documents and Settings\YU\??\DiagHelp\tar.exe
c:\Documents and Settings\YU\??\?????\activescan2_fr.exe
c:\Documents and Settings\YU\??\?????\AntiBagle-FR.exe
c:\Documents and Settings\YU\??\?????\ComboFix.exe
c:\Documents and Settings\YU\??\?????\ELIBAGLA.%D8C%D8BB%D8%D8I.EXE
c:\Documents and Settings\YU\??\?????\HiJackThis.exe
c:\Documents and Settings\YU\??\?????\RHosts.exe
c:\Documents and Settings\YU\??\?????\VundoFix.exe
c:\Documents and Settings\All Users.WINDOWS\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll
c:\Documents and Settings\All Users.WINDOWS\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll
c:\Documents and Settings\All Users.WINDOWS\Application Data\NexonUS\NGM\NGMDll.dll
c:\Documents and Settings\All Users.WINDOWS\Application Data\NexonUS\NGM\NGMResource.dll
c:\Documents and Settings\All Users.WINDOWS\Application Data\NexonUS\NGM\npNxGameUS.dll
c:\Documents and Settings\All Users.WINDOWS\Application Data\NexonUS\NGM\nxgameus.dll
c:\Documents and Settings\All Users.WINDOWS\Application Data\NexonUS\NGM\unicows.dll
c:\Documents and Settings\All Users.WINDOWS\Application Data\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
c:\Documents and Settings\All Users.WINDOWS\Application Data\Zylom\ZylomGamesPlayer\zylomgamesplayer.dll
c:\Documents and Settings\All Users.WINDOWS\Application Data\Zylom\ZylomGamesPlayer\Zylom\MyZylomExtension\MyZylomExtension.dll
c:\Documents and Settings\All Users.WINDOWS\Application Data\Zylom\ZylomGamesPlayer\Zylom\peggle\fr-FR\bass.dll
c:\Documents and Settings\All Users.WINDOWS\Application Data\Zylom\ZylomGamesPlayer\Zylom\peggle\fr-FR\j2k-codec.dll
c:\Documents and Settings\All Users.WINDOWS\Application Data\Zylom\ZylomGamesPlayer\Zylom\peggle\fr-FR\peggle.dll
c:\Documents and Settings\All Users.WINDOWS\Application Data\Zylom\ZylomGamesPlayer\Zylom\PopcapExtension\PopcapExtension.dll
c:\Documents and Settings\YU\Application Data\Azureus\plugins\azemp\libInfoGetter.dll
c:\Documents and Settings\YU\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll
c:\Documents and Settings\YU\Application Data\Microsoft\IdentityCRL\Production\ppcrlconfig.dll
c:\Documents and Settings\YU\Application Data\Mozilla\Firefox\Profiles\kep2vbhm.default\extensions\{bb628310-0ab7-11db-9cd8-0800200c9a66}\plugins\nphardwaredetection.dll
c:\Documents and Settings\YU\Application Data\Sun\Java\jre1.6.0_11\lzma.dll
c:\Documents and Settings\YU\Application Data\U3\00001680D77344BB\LPSecurityExtension.dll
c:\Documents and Settings\YU\Application Data\U3\00001680D77344BB\SanDiskFormatExtension.dll
c:\Documents and Settings\YU\Application Data\U3\00001680D77344BB\u3dapi10.dll

****** Fin du rapport DiagHelp
Veuillez svp envoyer le fichier C:\upload_moi_TIANDE.tar.gz a l'adresse http://upload.malekal.com

"Possible [b]infection chinoise : AdPlug/b, l'utilisation de combofix est recommand?"
---> Ça confirme ce qu'on pensait, Ludo ;)

/!\ Désactive tes protections résidentes (Antivirus, etc...) /!\

--> Télécharge ComboFix (de sUBs) sur ton Bureau.
--> Double-clique sur ComboFix.exe (le .exe n'est pas forcément visible) afin de le lancer.
--> Il va te demander d'installer la console de récupération : accepte.
--> Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

Pour t'aider : Un guide et un tutoriel sur l'utilisation de ComboFix

Ouf j'ai cru que ça allait bugger x]

(Je dois partir, on continuera demain enfin si possible ^^')

ComboFix 09-01-21.04 - YU 2009-01-27 2:49:11.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.936.1.2052.18.503.104 [GMT 1:00]
执行位置: c:\documents and settings\YU\桌面\新建文件夹\ComboFix.exe
AV: 瑞星杀毒软件 *On-access scanning disabled* (Outdated)
FW: 瑞星个人防火墙 *enabled*
* 成功创造新还原点
.

((((((((((((((((((((((((((((((((((((((( 被删除的档案 )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\YU\Favorites\链接
C:\InfoSat.txt
c:\windows\Downloaded Program Files.\Cns02.dat
c:\windows\Downloaded Program Files.\CnsHint.cab
c:\windows\Downloaded Program Files.\cnshint.dll
c:\windows\Downloaded Program Files.\cnsio.dll
c:\windows\Downloaded Program Files.\CnsMin.ini
c:\windows\Downloaded Program Files.\CnsMinAL.cab
c:\windows\Downloaded Program Files.\CnsMinCg.ini
c:\windows\Downloaded Program Files.\CnsMinDT.cab
c:\windows\Downloaded Program Files.\CnsMinDT.dll
c:\windows\Downloaded Program Files.\CnsMinEx.ini
c:\windows\Downloaded Program Files.\CnsMinIO.cab
c:\windows\Downloaded Program Files.\CnsMinIO.dll
c:\windows\Downloaded Program Files.\CnsPlus.cab
c:\windows\Downloaded Program Files.\cnsplus.dll
c:\windows\Downloaded Program Files.\CnsUp.ini
c:\windows\Downloaded Program Files\3721
c:\windows\Downloaded Program Files\3721\ListInfo.dat
c:\windows\Downloaded Program Files\CnsMin.ini
c:\windows\Downloaded Program Files\CnsMinAL.cab
c:\windows\Downloaded Program Files\CnsMinCg.ini
c:\windows\Downloaded Program Files\CnsMinDT.cab
c:\windows\Downloaded Program Files\CnsMinDT.dll
c:\windows\Downloaded Program Files\CnsMinEx.ini
c:\windows\Downloaded Program Files\CnsMinIO.cab
c:\windows\Downloaded Program Files\CnsMinIO.dll
c:\windows\Downloaded Program Files\keepmain.dll
c:\windows\Downloaded Program Files\keepmainm.cab
c:\windows\Downloaded Program Files\sms.ico
c:\windows\Downloaded Program Files\taobao.ico
c:\windows\Downloaded Program Files\Update
c:\windows\Downloaded Program Files\yahoomsg.ico
c:\windows\Downloaded Program Files\ymail.ico
c:\windows\system32\_000005_.tmp.dll
c:\windows\system32\cdn.dll
c:\windows\system32\cdnns.dll
c:\windows\system32\cns.dat
c:\windows\system32\cns.dll
c:\windows\system32\cns.exe
c:\windows\system32\drivers\cdnprot.sys
c:\windows\system32\drivers\cdntran.sys
c:\windows\system32\drivers\CnsMinKP.sys
c:\windows\system32\drivers\npf.sys
c:\windows\system32\packet.dll
c:\windows\system32\pthreadVC.dll
c:\windows\system32\Scrax.dll
c:\windows\system32\wanpacket.dll
c:\windows\system32\wpcap.dll
K:\uvsqfgwd.cmd

.
((((((((((((((((((((((((((((((((((((((( 驱动/服务 )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_CNSMINKP
-------\Legacy_NPF
-------\Service_CnsMinKP
-------\Service_NPF
-------\Service_poof

((((((((((((((((((((((((( 2008-12-27 至 2009-01-27 的新的档案 )))))))))))))))))))))))))))))))
.

2009-01-27 02:14 . 2009-01-27 02:14 14,933,561 --a------ C:\upload_moi_TIANDE.tar.gz
2009-01-27 01:42 . 2009-01-27 01:42 <DIR> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-01-27 01:42 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-27 01:42 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-01-27 01:14 . 2009-01-27 01:36 <DIR> d-------- c:\program files\UsbFix
2009-01-27 00:59 . 2009-01-27 00:59 <DIR> d-------- C:\rsit
2009-01-26 20:10 . 2008-06-19 17:24 28,544 --a------ c:\windows\system32\drivers\pavboot.sys
2009-01-26 18:25 . 2009-01-26 19:58 <DIR> d-------- c:\program files\Panda Security
2009-01-26 01:14 . 2009-01-26 01:15 <DIR> d-------- c:\program files\QuickTime
2009-01-26 01:13 . 2009-01-26 01:13 <DIR> d-------- c:\program files\iTunes
2009-01-25 15:52 . 2009-01-25 15:52 <DIR> d-------- c:\program files\iPod
2009-01-25 15:52 . 2004-12-18 20:32 38,229 --------- c:\windows\system32\drivers\StMp3Rec.sys
2009-01-18 18:13 . 2009-01-18 18:13 <DIR> d-------- C:\WTablet
2009-01-12 23:05 . 2009-01-12 23:06 <DIR> d-------- c:\program files\Satsuki Decoder Pack
2009-01-11 21:49 . 2009-01-19 17:10 96 --ah----- c:\windows\system32\HsInfo.dat
2009-01-03 18:14 . 2009-01-25 12:51 <DIR> d-------- c:\documents and settings\LocalService.NT AUTHORITY.000\Application Data\WTablet
2009-01-03 11:43 . 2009-01-27 02:54 <DIR> d-------- c:\documents and settings\YU\Application Data\WTablet
2009-01-03 11:43 . 2004-08-04 00:44 14,592 --a------ c:\windows\system32\drivers\kbdhid.sys
2009-01-03 11:43 . 2004-08-04 00:44 14,592 --a--c--- c:\windows\system32\dllcache\kbdhid.sys
2009-01-03 11:42 . 2008-08-18 14:45 13,352 --a------ c:\windows\system32\drivers\wacomvhid.sys
2009-01-03 11:42 . 2007-02-15 15:11 11,440 --a------ c:\windows\system32\drivers\WacomVKHid.sys
2009-01-03 11:42 . 2007-02-16 10:12 11,312 --a------ c:\windows\system32\drivers\wacommousefilter.sys
2009-01-03 11:41 . 2008-12-11 10:11 2,749,736 --a------ c:\windows\system32\Pen_Tablet.exe
2009-01-03 11:41 . 2008-12-11 09:59 186,152 --a------ c:\windows\system32\Pen_Tablet.dll
2009-01-03 11:41 . 2008-10-06 10:53 15,656 --a------ c:\windows\system32\drivers\wacmoumonitor.sys
2009-01-03 11:40 . 2005-06-17 21:00 749,568 --a------ c:\windows\system32\Tablet.exe
2009-01-03 10:17 . 2009-01-03 10:17 <DIR> d-------- c:\documents and settings\YU\Application Data\Corel
2009-01-03 10:11 . 2009-01-03 10:11 <DIR> d-------- c:\program files\Corel
2009-01-03 09:55 . 2009-01-03 09:55 <DIR> d-------- c:\documents and settings\YU\Application Data\e frontier
2009-01-03 09:44 . 2009-01-03 09:44 <DIR> d-------- c:\program files\e frontier
2009-01-03 09:16 . 2009-01-03 11:41 <DIR> d-------- c:\windows\system32\WTablet
2009-01-03 09:16 . 2009-01-03 11:41 <DIR> d-------- c:\program files\Tablette
2009-01-03 09:16 . 2009-01-03 11:42 <DIR> d-------- c:\program files\Tablet
2009-01-03 09:16 . 2008-12-11 09:57 4,222,760 --a------ c:\windows\system32\PenTablet.cpl
2009-01-03 09:16 . 2008-11-11 10:45 1,421,964 --a------ c:\windows\system32\PenTablet.znc
2009-01-03 09:16 . 2008-12-11 09:50 172,840 --a------ c:\windows\system32\Wintab32.dll
2009-01-03 09:16 . 2009-01-03 11:41 12,915 --a------ c:\windows\system32\tablet.dat
2009-01-03 09:16 . 2001-04-09 21:45 8,138 --------- c:\windows\system32\drivers\PenClass.sys

.
(((((((((((((((((((((((((((((((((((((((( 在三个月内被修改的档案 ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-26 20:11 --------- d-----w c:\program files\Warcraft III
2009-01-26 19:00 --------- d-----w c:\program files\Rising
2009-01-26 17:56 --------- d--h--w c:\program files\InstallShield Installation Information
2009-01-26 17:26 --------- d-----w c:\program files\Free Download Manager
2009-01-26 00:34 --------- d-----w c:\documents and settings\YU\Application Data\uTorrent
2009-01-25 14:54 --------- d-----w c:\docume~1\ALLUSE~1.WIN\APPLIC~1\Apple Computer
2009-01-09 23:01 --------- d-----w c:\documents and settings\YU\Application Data\mIRC
2009-01-09 22:23 --------- d-----w c:\program files\mIRC
2008-12-21 17:40 --------- d-----w c:\program files\AirSnare
2008-12-21 17:38 --------- d-----w c:\program files\WinPcap
2008-12-21 15:39 --------- d-----w c:\documents and settings\YU\Application Data\gtk-2.0
2008-12-19 08:57 --------- d-----w c:\program files\Java
2008-12-17 19:12 --------- d-----w c:\program files\GIMP-2.0
2008-12-11 11:57 333,184 ----a-w c:\windows\system32\drivers\srv.sys
2008-11-29 15:32 --------- d-----w c:\docume~1\ALLUSE~1.WIN\APPLIC~1\Zylom
2008-11-21 19:11 2,829 ----a-w c:\windows\War3Unin.pif
2008-11-21 19:11 139,264 ----a-w c:\windows\War3Unin.exe
2004-07-22 08:51 3,432,656 ----a-w c:\program files\ManagedDX.CAB
2004-07-19 20:58 1,156,363 ----a-w c:\program files\BDANT.cab
2004-07-19 20:53 976,020 ----a-w c:\program files\BDAXP.cab
2004-07-09 12:17 13,265,040 ----a-w c:\program files\dxnt.cab
2004-07-09 07:13 703,080 ----a-w c:\program files\BDA.cab
2004-07-09 07:13 15,493,481 ----a-w c:\program files\DirectX.cab
2006-05-03 10:06 163,328 --sh--r c:\windows\system32\flvDX.dll
2007-02-21 11:47 31,232 --sh--r c:\windows\system32\msfDX.dll
2007-12-17 13:43 27,648 --sh--w c:\windows\system32\Smab0.dll
.

((((((((((((((((((((((((((((((((((((( 重要登入点 ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*注意* 空白与合法缺省登录将不会被显示
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="c:\program files\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5735792]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-03 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-03 455168]
"HControl"="c:\windows\ATK0100\HControl.exe" [2005-08-29 102400]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-12-19 136600]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-01-13 163840]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-01-13 135168]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 96112]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2006-06-14 339968]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-01-26 344064]
"SoundMan"="SOUNDMAN.EXE" [2005-01-26 c:\windows\SOUNDMAN.EXE]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 c:\windows\system32\HdAShCut.exe]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{32CD708B-60A7-4C00-9377-D73EAA495F0F}"= "c:\windows\system32\RavExt.dll" [2006-05-25 98304]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless]
2004-10-15 11:27 110592 c:\program files\Intel\Wireless\Bin\LgNotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"MSACM.CEGSM"= mobilev.acm
"vidc.i420"= i420vfw.dll

[HKLM\~\startupfolder\C:^Documents and Settings^All Users.WINDOWS^「开始」菜单^程序^启动^Windows Update.lnk]
path=c:\documents and settings\All Users.WINDOWS\「开始」菜单\程序\启动\Windows Update.lnk
backup=c:\windows\pss\Windows Update.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\WINDOWS\\PCHEALTH\\HELPCTR\\Binaries\\HelpCtr.exe"=
"c:\\Program Files\\mIRC\\mirc.exe"=
"c:\\Program Files\\Warcraft III\\Warcraft III.exe"=
"c:\\Program Files\\Warcraft III\\War3.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"= c:\\Program Files\\MSN Messenger\\MsnMsgr.Exe
"c:\\Program Files\\MSN Messenger\\livecall.exe"=
"c:\\WINDOWS\\system32\\java.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\DNA\\btdna.exe"=
"c:\\Documents and Settings\\All Users.WINDOWS\\Application Data\\NexonUS\\NGM\\NGM.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Intel\\Wireless\\Bin\\ZcfgSvc.exe"=
"c:\\WINDOWS\\ALCMTR.EXE"=
"c:\\WINDOWS\\system32\\HDAShCut.exe"=
"c:\\WINDOWS\\system32\\WTablet\\Pen_TabletUser.exe"=
"c:\\Program Files\\iTunes\\iTunesHelper.exe"=
"c:\\WINDOWS\\system32\\wuauclt.exe"=
"c:\\WINDOWS\\system32\\hkcmd.exe"=
"c:\\WINDOWS\\SOUNDMAN.EXE"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
"4875:TCP"= 4875:TCP:ppLive
"4343:UDP"= 4343:UDP:ppLive

R0 kdlfkf;kdlfkf;\SystemRoot\\SystemRoot\System32\drivers\kdlfkf.sys --> \SystemRoot\\SystemRoot\System32\drivers\kdlfkf.sys [?]
R0 ojplqra;ojplqra;c:\windows\system32\drivers\ojplqra.sys [2006-12-21 13936]
R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2009-01-26 28544]
R0 PLFF;USB Flash Disk Driver;c:\windows\system32\drivers\plff.sys [2006-01-06 7424]
R0 R592;R592;c:\windows\system32\drivers\R592.sys [2005-11-04 57088]
R0 risdpntk;risdpntk;c:\windows\system32\drivers\risdpntk.sys [2005-11-04 27264]
R3 aic32p;aic32p;\??\c:\windows\system32\drivers\fkpqqk.sys --> c:\windows\system32\drivers\fkpqqk.sys [?]
R4 BaseTDI;Rising TDI Base Driver;c:\windows\system32\drivers\basetdi.sys [2005-11-04 13364]
R4 RsCCenter;Rising Process Communication Center;c:\program files\Rising\Rav\CCenter.exe [2005-11-04 110592]
R4 RsRavMon;RsRavMon Service;c:\program files\Rising\Rav\RavMonD.exe [2005-11-04 233472]
R4 TabletServicePen;TabletServicePen;c:\windows\system32\Pen_Tablet.exe [2009-01-03 2749736]
S1 ADProt;ADProt;c:\windows\system32\drivers\ADProt.SYS [2006-12-21 50688]
S3 camvid20;Philips ToUcam Camera; Video;c:\windows\system32\drivers\camdrv21.sys [2007-04-16 223232]
S3 FLMCKUSB;AuthenTec TruePrint USB Driver (AES3400, AES3500, AES4000);c:\windows\system32\drivers\FLMckUSB.sys [2006-01-06 80724]
S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [2008-10-27 257192]
S3 RfwProxySrv;Rising Proxy Service;c:\program files\rising\rfw\rfwproxy.exe --> c:\program files\rising\rfw\rfwproxy.exe [?]
S3 wacmoumonitor;Wacom Mode Helper;c:\windows\system32\drivers\wacmoumonitor.sys [2009-01-03 15656]
S4 ExpScaner;ExpScaner;\??\c:\program files\Rising\Rav\ExpScan.sys --> c:\program files\Rising\Rav\ExpScan.sys [?]
S4 HookCont;HookCont;\??\c:\program files\Rising\Rav\HOOKCONT.sys --> c:\program files\Rising\Rav\HOOKCONT.sys [?]
S4 HookReg;HookReg;\??\c:\program files\Rising\Rav\HookReg.sys --> c:\program files\Rising\Rav\HookReg.sys [?]
S4 HookSys;HookSys;\??\c:\program files\Rising\Rav\HookSys.sys --> c:\program files\Rising\Rav\HookSys.sys [?]
S4 HookUrl;HookUrl;\??\c:\program files\Rising\Rfw\HookUrl.sys --> c:\program files\Rising\Rfw\HookUrl.sys [?]
S4 MEMSCAN;MEMSCAN;\??\c:\program files\Rising\Rav\MEMSCAN.sys --> c:\program files\Rising\Rav\MEMSCAN.sys [?]
S4 mProcRs;mProcRs;\??\c:\program files\rising\rfw\mProcRs.sys --> c:\program files\rising\rfw\mProcRs.sys [?]
S4 RfwService;Rising Personal Firewall Service;c:\program files\Rising\Rfw\rfwsrv.exe --> c:\program files\Rising\Rfw\rfwsrv.exe [?]
S4 RsFwDrv;RsFwDrv;\??\c:\program files\Rising\Rfw\RsFwDrv.sys --> c:\program files\Rising\Rfw\RsFwDrv.sys [?]
.
‘计划任务’ 文件夹 里的内容

2008-10-31 c:\windows\Tasks\{6C7C27A7-312E-4193-94A5-16D26498527F}_CHENYU_YU.job
- c:\windows\system32\mobsync.exe [2004-08-04 01:52]

2009-01-23 c:\windows\Tasks\{F07D5B4C-8AF6-4EDC-A9DB-5CE7932E32A7}_CHENYU_YU.job
- c:\windows\system32\mobsync.exe [2004-08-04 01:52]

2009-01-23 c:\windows\Tasks\{FD91195E-63DE-4AC4-BBA2-3392C33E9B57}_CHENYU_YU.job
- c:\windows\system32\mobsync.exe [2004-08-04 01:52]
.
.
------- 而外的扫描 -------
.
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: 上传到QQ网络硬盘 -
IE: 添加到QQ自定义面板 -
IE: 添加到QQ表情 -
IE: 用QQ彩信发送该图片 -
Handler: ic32pp - {BBCA9F81-8F4F-11D2-90FF-0080C83D3571} - c:\windows\wc98pp.dll
FF - ProfilePath - c:\documents and settings\YU\Application Data\Mozilla\Firefox\Profiles\kep2vbhm.default\
FF - plugin: c:\documents and settings\All Users.WINDOWS\Application Data\NexonUS\NGM\npNxGameUS.dll
FF - plugin: c:\documents and settings\All Users.WINDOWS\Application Data\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF - plugin: c:\documents and settings\YU\Application Data\Mozilla\Firefox\Profiles\kep2vbhm.default\extensions\{bb628310-0ab7-11db-9cd8-0800200c9a66}\plugins\nphardwaredetection.dll
FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npzylomgamesplayer.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-27 02:54:28
Windows 5.1.2600 Service Pack 2 NTFS

扫描被隐藏的进程 。。。

扫描被隐藏的启动组 。。。

扫描被隐藏的文件 。。。

c:\documents and settings\YU\ 7077888 bytes
c:\documents and settings\YU\c:\documents and settings\YU\c:\documents and settings\YU\ 2804 bytes
c:\documents and settings\YU\c:\documents and settings\YU\c:\documents and settings\YU\ 15793 bytes
c:\documents and settings\YU\c:\documents and settings\YU\c:\documents and settings\YU\c:\documents and settings\YU\c:\documents and settings\YU\c:\documents and settings\YU\c:\documents and settings\YU\ 1024 bytes
c:\documents and settings\YU\ 278 bytes
c:\documents and settings\YU\c:\documents and settings\YU\c:\documents and settings\YU\c:\documents and settings\YU\c:\documents and settings\YU\c:\documents and settings\YU\c:\documents and settings\YU\c:\documents and settings\YU\

扫描完成
被隐藏的档案: 23

**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_USERS\.Default\AppEvents\Schemes\Apps\Conf\ g篘*慂Q\.Current]
@="c:\\Program Files\\NetMeeting\\Blip.wav"

[HKEY_USERS\LocalService\AppEvents\Schemes\Apps\Conf\ g篘*慂Q\.Current]
@="c:\\Program Files\\NetMeeting\\Blip.wav"

[HKEY_USERS\S-1-5-20\AppEvents\Schemes\Apps\Conf\ g篘*慂Q\.Current]
@="c:\\Program Files\\NetMeeting\\Blip.wav"

[HKEY_USERS\S-1-5-21-117609710-1085031214-839522115-1003\AppEvents\Schemes\Apps\Conf\ g篘*慂Q\.Current]
@="c:\\Program Files\\NetMeeting\\Blip.wav"

[HKEY_USERS\S-1-5-21-117609710-1085031214-839522115-1003\Software\DownloadManager\FoldersTree\Compress*]
"ID"=dword:00000007
"mask"="zip rar r0* r1* arj gz sit sitx sea ace bz2"
"path"="c:\\Documents and Settings\\YU\\My Documents\\Downloads\\Compressed"
"rememberLastPath"=dword:00000000

[HKEY_USERS\S-1-5-21-117609710-1085031214-839522115-1003\Software\Microsoft\Internet Explorer\MenuExt\鹠燫0RQ*Q*陙歔INb?g]
@=""
"contexts"=dword:0000007f

[HKEY_USERS\S-1-5-21-117609710-1085031214-839522115-1003\Software\Microsoft\Internet Explorer\MenuExt\鹠燫0RQ*Q*h埮`]
@=""
"contexts"=dword:00000002

[HKEY_USERS\S-1-5-21-117609710-1085031214-839522115-1003\Software\Microsoft\Internet Explorer\MenuExt\(uQ*Q*i_酧裇愬孇VGr]
@=""
"contexts"=dword:00000002

[HKEY_LOCAL_MACHINE\software\Classes\B*D*A*T*u*n*e*r*.*膥鯪\CLSID]
@="{809B6661-94C4-49E6-B6EC-3F0F862215AA}"

[HKEY_LOCAL_MACHINE\software\Classes\B*D*A*T*u*n*e*r*.*膥鯪\CurVer]
@="BDATuner.组件.1"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\SUPER *]
"DisplayName"="SUPER ?Version 2008.bld.30 (Mar 22, 2008)"
"UninstallString"="c:\\PROGRA~1\\ERIGHT~1\\SUPER\\Setup.exe /remove /q0"
"InstallDate"="2008-07-01 13:45:01"
"InstallLocation"="c:\\Program Files\\eRightSoft\\SUPER"
"InstallSource"="c:\\Documents and Settings\\YU\\桌面"
"DisplayIcon"="c:\\Program Files\\eRightSoft\\SUPER\\SUPER.exe"
"DisplayVersion"="Version 2008.bld.30 (Mar 22, 2008)"
"VersionMajor"=dword:00000000
"VersionMinor"=dword:00000000
"Publisher"="eRightSoft"
"HelpLink"="https://www.erightsoft.com/home.html"
"URLInfoAbout"="https://www.erightsoft.com/home.html"
"URLUpdateInfo"="https://www.erightsoft.com/home.html"
"Contact"="support@eRightSoft.com"
.
--------------------- 运行进程下的动态链接库 ---------------------

- - - - - - - > 'winlogon.exe'(1120)
c:\windows\system32\HANWANGP.IME
c:\program files\Intel\Wireless\Bin\LgNotify.dll
.
------------------------ 其他运行进程 ------------------------
.
c:\program files\Intel\Wireless\Bin\EvtEng.exe
c:\program files\Intel\Wireless\Bin\S24EvMon.exe
c:\program files\Intel\Wireless\Bin\ZCfgSvc.exe
c:\progra~1\Intel\Wireless\Bin\1XConfig.exe
c:\windows\system32\conime.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Intel\Wireless\Bin\OProtSvc.exe
c:\windows\system32\PnkBstrA.exe
c:\program files\Intel\Wireless\Bin\RegSrvc.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\WTablet\Pen_TabletUser.exe
c:\program files\iPod\bin\iPodService.exe
c:\windows\ATK0100\ATKOSD.exe
c:\program files\Mozilla Firefox\firefox.exe
.
**************************************************************************
.
完成时间: 2009-01-27 3:03:10 - 电脑已重新启动 [YU]
ComboFix-quarantined-files.txt 2009-01-27 02:03:07

Pre-Run: 9,682,063,360 可用字节
Post-Run: 9,583,521,792 可用字节

WindowsXP-KB310994-SP2-Pro-BootDisk-CHS.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=OptIn /fastdetect
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /noexecute=OptIn /fastdetect

345 --- E O F --- 2009-01-15 14:46:58

Retente un scan avec MBAM.

(Rebonjour)
Toujours le même problème avec MBAM, je peux pas afficher les résultats :x
Désolé...

Edit : Ah et je rapporte quelques autres petites choses que j'ai remarqué qui ont changé :
- Firefox n'est plus mon navigateur par défaut, et quand j'essaye de le remettre comme navigateur par défaut, un message "NSIS Error" (The Installer you are trying to use is corrupted or incomplete. This could be the result of a damaged disk, a failed download or a virus ......)
- Lorsque je tente de jouer à Warcraft III en Battle.net, il s'affiche un message comme quoi le jeu n'est pas valide ou quelque chose de ce genre, et qu'il faudrait réinstaller manuellement un patch (c'est une version officiel bien entendu)

Ah et autre chose, avant (hier) j'avais encore un Antivirus Rising, je l'ai volontairement supprimé en pensant qu'il était la cause du virus (le nombre d'icône le représentant se multipliait dans la barre d'icônes à côté de l'heure, quand je repassais la souris dessus ils disparaissaient)

J'ai aussi essayé Panda Scan (version en ligne) mais on dirait que quelque chose bloque le scan, une étape de "Mise à jour du programme" qui laisse le chargement à 0%

C'est à peu près tout ce qui s'est produit ^^'

Bonsoir,

Peux-tu réessayer de nous fournir un rapport RSIT comme indiqué ici : http://www.commentcamarche.net/forum/affich 10717314 virus exe?#1 ?

Si ça marche pas on fait autrement. ;)

+

J'ai réessayé pour RSIT.exe et ça marche ! (enfin quelque chose qui fonctionne lol)

Logfile of random's system information tool 1.05 (written by random/random)
Run by YU at 2009-01-27 19:21:32
Microsoft Windows XP Professional Service Pack 2
System drive C: has 9 GB (45%) free of 20 GB
Total RAM: 503 MB (34% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:22:09, on 27/01/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Rising\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Rising\Rav\Ravmond.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ATK0100\HControl.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Intel\Wireless\Bin\OProtSvc.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Pen_Tablet.exe
C:\WINDOWS\system32\WTablet\Pen_TabletUser.exe
C:\WINDOWS\system32\Pen_Tablet.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOCUME~1\YU\LOCALS~1\Temp\winswwrk.exe
C:\DOCUME~1\YU\LOCALS~1\Temp\winjgrof.exe
C:\DOCUME~1\YU\LOCALS~1\Temp\winvduys.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\conime.exe
C:\Documents and Settings\YU\桌面\RSIT.exe
C:\Program Files\trend micro\YU.exe

R3 - URLSearchHook: Yahoo! μ?o?ì? - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: OwnershipProtocol - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\OProtSvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Rising Proxy Service (RfwProxySrv) - Unknown owner - c:\program files\rising\rfw\rfwproxy.exe (file missing)
O23 - Service: Rising Personal Firewall Service (RfwService) - Unknown owner - C:\Program Files\Rising\Rfw\rfwsrv.exe (file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe
O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\Ravmond.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: TabletServicePen - Wacom Technology, Corp. - C:\WINDOWS\system32\Pen_Tablet.exe
O23 - Service: User Profile Hive Cleanup (UPHClean) - Unknown owner - C:\Program Files\UPHClean\uphclean.exe (file missing)

Ok, très bien.
Je te prépare une manip.

Juste une question : ta version de Windows est chinoise ou tu parles chinois, ou autre chose... ? Ou bien ça n'a rien à voir et c'est juste l'infection CnsMin qui fait ça ?

Ma Version est bien chinoise mais je ne sais pas vraiment le lire alors il m'embête assez souvent (sa existe pas les packs pour changer la langue de Windows, si ? x]). C'était celui de mon père à la base d'où la langue...
D'ailleurs je me demandais s'il était possible de retirer les transformations automatique qui transforment les é, è, ... en !, ? ou caractère chinois, les programmes/jeux multi-langue sont aussi mis en chinois comme langue par défaut et j'ai des difficultés à le changer (mais bon c'est une autre affaire).

Re,
désolé j'étais au téléphone et là je vais pas tarder à aller manger.

Peux tu faire ceci ? (on dirait du Sality)

> Rends toi sur le site Virus Total : https://www.virustotal.com/gui/ et fais analyser le/les fichier(s) suivant(s) : (Clique sur <parcourir> puis copie/colle la/les ligne(s) dans le cadre "Nom du Fichier", ensuite valide par <Ouvrir>. Clique alors sur <Envoyer un fichier>)

C:\WINDOWS\system32\drivers\fkpqqk.sys

et poste le/les résultat(s) par copier/coller (ou le/les lien(s) http, c'est plus rapide et préférable).
N.B. : Les fichiers doivent être analysés un par un. Ouvrir plusieurs fenêtres sur Virus Total peut bloquer les envois.
Si Virus total te dit que le fichier a déjà été analysé alors demande une nouvelle analyse.

Je reviens après avec la suite.

Le Site ne veux pas s'afficher... (c'est une malédiction chez moi)
J'ai trouvé https://virustotal-uploader.fr.softonic.com/ Virus Total Uploader, c'est à peu près pareil non ? (Enfin je n'en ai aucune idée)

Ok,
je suis de retour.

Alors,
> Télécharge ATF Cleaner par Atribune sur ton bureau.
- Démarre ATF-Cleaner et coche les valeurs suivantes :

Windows Temp
Current User Temp
All Users Temp
Cookies
Temporary Internet Files
Prefetch
Java Cache
Recycle Bin

- Clique sur <Empty Selected> et au message "Done Cleaning" sur <Ok>

NB : Si tu utilises Firefox ou Opera :
- Clique sur Firefox ou Opera en haut puis choisis <Select All>.
- Clique sur le bouton <Empty Selected> (NB : Si tu veux conserver tes mots de passe sauvegardés alors clique sur <No> à l'invite).
- Clique sur <Main> pour revenir à menu principal
- Clique sur <Exit>, du menu prinicipal, pour quitter ATFcleaner.
NB : Si le prefetch est nettoyé le redémarrage du PC sera plus lent.

Ensuite,
> Lance Hijackthis :
- Puis sélectionne <Do a system scan only>
- Coche les cases des lignes suivantes :

R3 - URLSearchHook: Yahoo! ??o?ì? - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) 

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"     
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime     
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k 
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe     

Ensuite,
- Ferme toutes les autres fenêtres et applications (même internet).
- Clic sur <Fixe checked>

Puis,
> Télecharge et installe A-Squared : http://www.commentcamarche.net/telecharger/telecharger 224 a squared
- Lance le programme et fait les mises à jour.
- Clique sur scanner l'ordinateur (à gauche) puis choisi <scan détail> puis clique sur <Scan> (en bas à droite). Le scan débute et peut être long.
- A la fin du scan coche toutes les cases et choisis <Supprimer les fichiers choisis>
- Ensuite clique sur <Générer un rapport> puis poste le stp.
Tuto : https://kerio.probb.fr/t223-tuto-pour-a-squared-free
PS : Il se peut que le rapport soit trop long pour le forum. Utilise alors ce service pour me l'envoyer http://www.cijoint.fr/ (poste le lien).

Pour finir,
>Télécharge et installe Ccleaner (logiciel à conserver et à utiliser régulièrement) : https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/ , si besoin est tu trouveras des Tutoriaux ici, ici et là.
(N'installe pas la Yahoo Toolbar)
> Démarre en mode sans échec : (image). Si problème : tuto ici
>Lance Ccleaner,,
- Choisi l’onglet "Options" puis clique sur "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures" (tout doit être supprimé).
- Dans l'onglet "Nettoyeur" clique sur "Analyse".
- Une fois l'analyse terminée, clique sur "Lancer le Nettoyage".
- Dans l'onglet "registre" => Recherches des erreurs => Réparer les erreurs sélectionnées => enregistre une sauvegarde => corriger toutes erreurs sélectionnées => ok => fermer.
N.B : Si Ccleaner te propose d'enregistrer une sauvegarde, reponds oui et enregistre sous 'Bureau'
Recommence jusqu’à ce qu’il ne trouve plus rien (cela varie en général entre 1 et 4 fois).

Autre chose,
ton Rising Personal Firewall..hummm.. tu en es satisfait ? Il est à jour ?

Bon courage,
ces logiciels sont a conserver.

A+

Merci beaucoup pour ta réponse
Mais il y a toujours un (des XD) problèmes :
- ATF Cleaner, de la même manière que Ccleaner, se ferme directement après l'avoir ouvert
- Je n'arrive pas à démarrer en mode sans échec...
J'ai bien suivi le tutoriel mais il y a déjà un soucis de départ :
Mon PC comporte deux systèmes d'exploitation (enfin y'a un choix au démarrage oO) identique, l'un d'eux à un problème comme quoi il manquerait un fichier hal.dll (je n'ai plus le CD pour le remettre à neuf)
Le second système fonctionne bien (d'ailleurs j'ai laissé tomber le précédent) mais lorsque je teste le démarrage sans échec, une liste apparaît (concerne les drivers) suivi d'un écran bleu (pendant une fraction de seconde) avant de complètement redémarrer le pc

(Y'a aussi depuis hier probablement une troisième option "system recovered" quelque chose comme ça)

En ce qui concerne Rising, je n'en ai aucune idée :x Je ne l'ai jamais vraiment utilisé, je le laisse de côté, c'est à peine si j'avais un firewall !! (Il était dessus quand on me l'a passé...)

(A croire que la meilleure solution disponible c'est le formatage...)

Bonjour
J'ai scanné mon pc avec A-Squared (j'ai dû passer l'étape avec ATF Cleaner vu qu'il ne peux pas fonctionner)
Voici donc le rapport généré : http://www.cijoint.fr/cjlink.php?file=cj200901/cijap3UZxI.txt

Mais malgré que j'aie effacé les virus détecté, le problème qui m'embête persiste toujours...
(Et aussi, j'ai perdu une bonne partie de mes fichiers .exe pour lancer des programmes, je vais devoir les télécharger à nouveau ?)

Salut Tiande,

Ton PC a :
- deux OS dont un qui est HS,
- plusieurs infections dont une Sality comme je pensais ici : http://www.commentcamarche.net/forum/affich 10717314 virus exe?#15
- la version de Windows est chinoise.
- Plus d'accès au MSE.
- ect...
Bref, beaucoup de choses qui me font te proposer le formatage.

Ton PC est encore récupérable mais l'infection Sality s'en prend aux .exe donc lance un minimum d'applications avant son éradication.

Que comptes-tu faire ? As-tu un OS à installer (un CD Windows ou autre sous la main) ? Veux-tu qu'on continue la désinfection ? Je suis partant. Jusqu'à présent on a fait l'inventaire des crasses présents sur ton PC en en supprimant une partie. Là on peut rentrer dans le lard.

C'est toi qui choisis... Dis moi....

PS : Oui, quoi qu'il en soit, tu vas devoir réinstaller les programmes supprimés car infectés par Sality.

A+