Bonjour, Je n'arrive pas à me débarasser d'un virus qui me bloque gestionnaire de tâches, mode sans echec. etc. Voila ce que me dit Malwarebyte Elément(s) de données du Registre infecté(s): HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Mais cela revient àchaque redémarrage.Que dois-je faire?

Gestionnaire de tâches desactivé par virus

Réponse 21 / 59

Frederique
18 févr. 2009 à 14:33

Firefox me telecharge tous les fichiers dans c:temp sans melaisser le choix du répertoire pour chaque télechargement, ce qui explique que le fichier session.exe se soit retrouvé là.

le site virustotal.com ne fonctionne pas

J'ai dû effacer et retélécharger Combofix car une erreur apparaissait au lancement.

Voilà le rapport

ComboFix 09-02-17.02 - eric 2009-02-18 13:55:55.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.3082.18.1022.453 [GMT 1:00]
Running from: c:\documents and settings\eric\Escritorio\ComboFix.exe
Command switches used :: c:\documents and settings\eric\Escritorio\CFscript.txt
* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\temp\session.exe
c:\windows\cadkasdeinst01e.exe

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_ABP470N5
-------\Legacy_FBAPI
-------\Service_abp470n5
-------\Service_FBAPI
-------\Service_Plziu9ip

((((((((((((((((((((((((( Files Created from 2009-01-18 to 2009-02-18 )))))))))))))))))))))))))))))))
.

2009-02-18 10:11 . 2009-02-18 10:11 3,613,328 --a------ c:\temp\XoftSpySE_Setup_RW.exe
2009-02-17 21:39 . 2009-02-17 21:39 2,997,511 -ra------ c:\temp\ComboFix.exe
2009-02-17 21:32 . 2009-02-17 21:57 <DIR> d-------- C:\ToolBar SD
2009-02-17 21:32 . 2009-02-17 21:32 420,841 --a------ c:\temp\ToolBarSD.exe
2009-02-17 21:23 . 2009-02-17 21:23 3,249,032 --a------ c:\temp\ccsetup216.exe
2009-02-17 20:40 . 2009-02-17 20:41 <DIR> d-------- C:\Rooter$
2009-02-17 20:38 . 2009-02-17 20:38 349,972 --a------ c:\temp\Rooter(2).exe
2009-02-17 20:37 . 2009-02-17 20:37 341,780 --a------ c:\temp\Rooter.exe
2009-02-17 20:35 . 2009-02-17 20:35 <DIR> d-------- C:\rsit
2009-02-17 20:35 . 2009-02-17 20:35 <DIR> d-------- c:\archivos de programa\trend micro
2009-02-17 19:16 . 2009-02-17 19:16 <DIR> d-------- c:\temp\backups
2009-02-17 19:14 . 2009-02-17 19:24 320,512 --a------ c:\temp\HijackThis.exe
2009-02-17 19:13 . 2009-02-17 19:13 212,849 --a------ c:\temp\hijackthis(3).zip
2009-02-17 18:41 . 2009-02-17 18:41 <DIR> d-------- c:\documents and settings\eric\Datos de programa\Malwarebytes
2009-02-17 18:41 . 2009-02-17 18:41 <DIR> d-------- c:\documents and settings\All Users\Datos de programa\Malwarebytes
2009-02-17 18:41 . 2009-02-17 18:41 <DIR> d-------- c:\archivos de programa\Malwarebytes' Anti-Malware
2009-02-17 18:41 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-17 18:41 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-02-17 18:40 . 2009-02-17 18:40 2,876,720 --a------ c:\temp\malwarebytes-anti-malware_malwarebytes_anti-malware_1.34_francais_215092.exe
2009-02-10 11:27 . 2009-02-16 09:51 <DIR> d-------- c:\archivos de programa\iLinc
2009-02-10 11:03 . 2009-02-18 08:05 <DIR> d-------- c:\documents and settings\eric\Datos de programa\skypePM
2009-02-10 11:03 . 2009-02-10 11:03 56 --ah----- c:\windows\system32\ezsidmv.dat
2009-02-10 11:01 . 2009-02-18 13:44 <DIR> d-------- c:\documents and settings\eric\Datos de programa\Skype
2009-02-10 11:01 . 2009-02-10 11:01 <DIR> dr------- c:\archivos de programa\Skype
2009-02-10 11:01 . 2009-02-10 11:01 <DIR> d-------- c:\archivos de programa\Archivos comunes\Skype
2009-02-10 11:00 . 2009-02-10 11:01 <DIR> d-------- c:\documents and settings\All Users\Datos de programa\Skype
2009-02-10 10:59 . 2009-02-10 11:00 23,516,968 --a------ c:\temp\SkypeSetupFull.exe
2009-02-08 01:52 . 2009-02-08 02:26 <DIR> d-------- C:\download
2009-02-08 01:08 . 2009-02-08 01:09 <DIR> d-------- c:\temp\rapget141
2009-02-07 22:48 . 2009-02-07 23:05 <DIR> d-------- c:\temp\rapiddownload
2009-02-07 22:48 . 2009-02-07 22:48 8,966 --a------ c:\temp\rapiddownload.zip
2009-02-03 23:05 . 2004-08-03 23:10 78,464 --a------ c:\windows\system32\drivers\usbvideo.sys
2009-02-03 23:05 . 2004-08-03 23:10 78,464 --a--c--- c:\windows\system32\dllcache\usbvideo.sys
2009-02-03 23:05 . 2004-08-19 15:43 20,992 --a------ c:\windows\system32\dshowext.ax
2009-02-03 23:05 . 2004-08-19 15:43 20,992 --a--c--- c:\windows\system32\dllcache\dshowext.ax
2009-01-20 22:31 . 2009-01-20 22:31 <DIR> d-------- c:\archivos de programa\OpenVPN
2009-01-20 15:39 . 2009-01-20 15:45 <DIR> d-------- c:\temp\reservilletas
2009-01-18 18:12 . 2006-07-15 17:20 401,510 --a------ c:\windows\system32\xpcom_core.dll
2009-01-18 18:11 . 2009-01-18 18:11 186,206 --a------ c:\temp\xpcom_core.zip
2009-01-18 17:54 . 2009-02-11 23:13 <DIR> d-------- c:\documents and settings\eric\Datos de programa\FileZilla
2009-01-18 17:54 . 2009-01-18 17:54 <DIR> d-------- c:\archivos de programa\FileZilla FTP Client
2009-01-18 17:14 . 2009-01-18 17:14 <DIR> d----c--- c:\documents and settings\All Users\Datos de programa\{92E7A367-8E12-4830-AA70-29C32E331A81}
2009-01-18 17:10 . 2009-01-18 17:10 <DIR> d--h----- c:\windows\system32\GroupPolicy
2009-01-18 17:05 . 2009-01-18 17:05 1,747,696 --a------ c:\temp\registrybooster.exe
2009-01-18 16:48 . 2009-01-18 16:48 <DIR> d-------- c:\archivos de programa\Archivos comunes\Wise Installation Wizard
2009-01-18 01:19 . 2009-02-13 12:01 54,156 --ah----- c:\windows\QTFont.qfn
2009-01-18 01:19 . 2009-01-18 01:19 1,409 --a------ c:\windows\QTFont.for

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-17 20:23 --------- d-----w c:\archivos de programa\CCleaner
2009-02-07 23:41 --------- d-----w c:\archivos de programa\Ludi
2009-01-18 16:50 --------- d-----w c:\archivos de programa\Navilog1
2009-01-18 16:46 --------- d-----w c:\archivos de programa\FileZilla
2009-01-18 15:49 --------- d-----w c:\archivos de programa\Lavasoft
2009-01-18 15:47 --------- d-----w c:\documents and settings\All Users\Datos de programa\Lavasoft
2009-01-16 11:04 --------- d-----w c:\documents and settings\eric\Datos de programa\Artweaver
2009-01-16 11:04 --------- d-----w c:\archivos de programa\Artweaver 0.5
2009-01-11 16:01 --------- d-----w c:\archivos de programa\MP3 Player Utilities 4.15
2009-01-11 15:59 --------- d-----w c:\archivos de programa\K-Lite Codec Pack
2009-01-10 18:09 --------- d-----w c:\archivos de programa\WiredRed
2009-01-08 09:37 --------- d-----w c:\documents and settings\eric\Datos de programa\VSee
2008-12-19 18:02 --------- d-----w c:\documents and settings\eric\Datos de programa\Azureus
2008-12-19 13:23 --------- d-----w c:\archivos de programa\Easymeeting
2008-12-18 16:19 --------- d-----w c:\documents and settings\All Users\Datos de programa\VSee
2008-12-18 16:19 --------- d-----w c:\archivos de programa\VSee
2008-12-18 12:07 --------- d-----w c:\archivos de programa\PhotoFiltre
2008-12-08 18:39 36,016 ----a-w c:\documents and settings\eric\Datos de programa\GDIPFONTCACHEV1.DAT
2006-08-03 11:43 278,528 ----a-w c:\archivos de programa\Archivos comunes\FDEUnInstaller.exe
2003-04-22 18:24 2,736,128 ------w c:\archivos de programa\aiodrv.msi
2003-04-22 18:20 2,605,056 ------w c:\archivos de programa\aiosw.msi
2003-04-22 18:01 241 ----a-w c:\archivos de programa\readme.html
2003-04-22 18:01 16,606 ----a-w c:\archivos de programa\hpomdl01.dat
2003-04-09 17:19 2,848 ----a-w c:\archivos de programa\hpound08.inf
2003-04-09 17:19 14,157 ----a-w c:\archivos de programa\hpousc08.inf
2003-04-09 17:00 4,715 ----a-w c:\archivos de programa\hpoglu08.inf
2003-04-09 17:00 2,889 ----a-w c:\archivos de programa\hpousb08.inf
2003-03-21 12:45 250,544 ----a-w c:\archivos de programa\Archivos comunes\keyhelp.ocx
2003-03-20 15:20 24,728 ----a-w c:\archivos de programa\HPZipr12.cat
2003-03-20 15:20 24,285 ----a-w c:\archivos de programa\hposcu08.cat
2003-03-20 15:20 22,523 ----a-w c:\archivos de programa\HPZius12.cat
2003-03-20 15:20 22,082 ----a-w c:\archivos de programa\hpzist12.cat
2003-03-20 15:20 22,082 ----a-w c:\archivos de programa\HPZid412.cat
2003-03-20 15:20 21,641 ----a-w c:\archivos de programa\HPOunp08.cat
2003-03-20 15:20 205,503 ----a-w c:\archivos de programa\hpoprn08.cat
2003-03-09 20:30 63,562 ----a-w c:\archivos de programa\hposcu08.inf
2003-03-09 20:30 51,266 ----a-w c:\archivos de programa\hpoprn08.inf
2003-03-09 20:30 33,952 ----a-w c:\archivos de programa\hpzid412.inf
2003-03-09 20:30 3,898 ----a-w c:\archivos de programa\hpounp08.inf
2003-03-09 20:30 3,667 ----a-w c:\archivos de programa\hpzist12.inf
2003-03-09 20:30 274,432 ----a-w c:\archivos de programa\hpzglu07.exe
2003-03-09 20:30 237,568 ----a-w c:\archivos de programa\hpzc3212.dll
2003-03-09 20:30 23,186 ----a-w c:\archivos de programa\hpzcin06.ex_
2003-03-09 20:30 184,320 ----a-w c:\archivos de programa\hpzscr07.dll
2003-03-09 20:30 16,352 ----a-w c:\archivos de programa\HPZUCI12.DLL
2003-03-09 20:30 14,285 ----a-w c:\archivos de programa\hpzius12.inf
2003-03-09 20:30 10,325 ----a-w c:\archivos de programa\hpzipr12.inf
2002-09-09 17:48 458,752 ----a-w c:\archivos de programa\tls704d.dll
2002-09-09 17:48 22,608 ----a-w c:\archivos de programa\usbprint.sys
2002-09-09 17:48 12,288 ----a-w c:\archivos de programa\usbmon.dll
2002-09-09 17:47 70,656 ----a-w c:\archivos de programa\msvcirt.dll
2002-09-09 17:47 55,155 ----a-w c:\archivos de programa\hpzusb00.sy_
2002-09-09 17:47 5,705 ----a-w c:\archivos de programa\hpzuci02.dl_
2002-09-09 17:47 254,005 ----a-w c:\archivos de programa\msvcrt.dll
2002-09-09 17:47 25,639 ----a-w c:\archivos de programa\hpzpom04.dl_
2002-09-09 17:47 212,992 ----a-w c:\archivos de programa\hpzpnp07.dll
2002-09-09 17:46 52,552 ----a-w c:\archivos de programa\hpziou01.dl_
2002-09-09 17:46 49,212 ----a-w c:\archivos de programa\hpzjvp01.dll
2002-09-09 17:46 46,017 ----a-w c:\archivos de programa\hpzion00.sy_
2002-09-09 17:46 417,849 ----a-w c:\archivos de programa\hpzjpp01.dll
2002-09-09 17:46 28,722 ----a-w c:\archivos de programa\hpzjlog.dll
2002-09-09 17:46 249,913 ----a-w c:\archivos de programa\hpzjut01.dll
2002-09-06 09:54 995,383 ----a-w c:\archivos de programa\MFC42.DLL
2008-11-18 09:00 27,976 ----a-w c:\archivos de programa\mozilla firefox\plugins\atgpcdec.dll
2008-11-18 09:00 126,360 ----a-w c:\archivos de programa\mozilla firefox\plugins\atgpcext.dll
2008-11-17 22:07 46,408 ----a-w c:\archivos de programa\mozilla firefox\plugins\atmccli.dll
2008-11-17 22:08 98,712 ----a-w c:\archivos de programa\mozilla firefox\plugins\ieatgpc.dll
.

((((((((((((((((((((((((((((( SnapShot@2009-02-17_22.58.39.56 )))))))))))))))))))))))))))))))))))))))))
.
+ 2005-10-20 19:02:28 163,328 ----a-w c:\windows\ERDNT\subs\ERDNT.EXE
+ 2009-02-18 13:05:39 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_724.dat
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Power2GoExpress"="NA" [X]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-20 15360]
"MsnMsgr"="c:\archivos de programa\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5752176]
"Pando"="c:\archivos de programa\Pando Networks\Pando\Pando.exe" [2008-02-09 6128968]
"Picasa Media Detector"="c:\archivos de programa\Picasa2\PicasaMediaDetector.exe" [2008-08-21 513600]
"PTIM.exe"="c:\archivos de programa\WebEx\Productivity Tools\PTIM.exe" [2008-08-03 279880]
"ptmsgfrm.exe"="c:\archivos de programa\WebEx\Productivity Tools\ptmsgfrm.exe" [2008-08-03 116040]
"PTOneClick"="c:\archivos de programa\WebEx\Productivity Tools\ptoneclk.exe" [2008-08-03 247112]
"Skype"="c:\archivos de programa\Skype\Phone\Skype.exe" [2009-02-04 23975720]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"!AVG Anti-Spyware"="c:\archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 6805040]
"TkBellExe"="c:\archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" [2007-02-20 259512]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-12-08 7340032]
"HP Software Update"="c:\archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" [2006-02-19 126976]
"Adobe Reader Speed Launcher"="c:\archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 104304]
"SignIn"="c:\archivos de programa\Microsoft Online Services\Sign In\SignIn.exe" [2008-11-06 1669992]
"QuickTime Task"="c:\archivos de programa\QuickTime\qttask.exe" [2006-08-15 360448]
"ConferenceOnCall"="c:\archivos de programa\Easymeeting\ConferenceOnCall\AgentCond.exe" [2008-12-04 3131128]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-20 15360]

c:\documents and settings\eric\Men£ Inicio\Programas\Inicio\
Outil de d‚tection de support de Cyber-shot Viewer.lnk - c:\archivos de programa\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe [2006-09-14 233472]

c:\documents and settings\All Users\Men£ Inicio\Programas\Inicio\
BTTray.lnk - c:\archivos de programa\WIDCOMM\Bluetooth Software\BTTray.exe [2005-09-19 655421]
e-Carte Bleue Banque Populaire.lnk - c:\archivos de programa\e-Carte Bleue Banque Populaire\ecbl-nxbp.exe [2008-11-12 348160]
HP Digital Imaging Monitor.lnk - c:\archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe [2006-02-19 358104]
hpoddt01.exe.lnk - c:\archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2008-12-09 106496]
Inicio r pido de HP Photosmart Premier.lnk - c:\archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpqthb08.exe [2006-02-10 155648]
Microsoft Office.lnk - c:\archivos de programa\Microsoft Office\Office10\OSA.EXE [2001-02-13 161184]
Service Manager.lnk - c:\archivos de programa\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe [2002-12-17 143940]
WinZip Quick Pick.lnk - c:\archivos de programa\WinZip\WZQKPICK.EXE [2006-10-21 196608]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableRegistryTools"= 1 (0x1)
"DisableTaskMgr"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.clmp3enc"= c:\archiv~1\CYBERL~1\Power2Go\CLMP3Enc.ACM
"VIDC.YULS"= yuls.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
"UacDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"FirewallOverride"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"UacDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Archivos de programa\\Autodesk\\backburner\\monitor.exe"=
"c:\\Archivos de programa\\Autodesk\\backburner\\manager.exe"=
"c:\\Archivos de programa\\Autodesk\\backburner\\server.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Truckbus\\simulation.exe"=
"c:\\Archivos de programa\\MSN Messenger\\msnmsgr.exe"= c:\\Archivos de programa\\MSN Messenger\\MsnMsgr.Exe
"c:\\Archivos de programa\\MSN Messenger\\livecall.exe"=
"c:\\Archivos de programa\\Java\\jre1.5.0_10\\bin\\javaw.exe"=
"c:\\Archivos de programa\\Microsoft Platform Builder\\6.00\\cepb\\wcetk\\cetest.exe"=
"c:\\Archivos de programa\\Archivos comunes\\Microsoft Shared\\Windows CE Tools\\Platman\\bin\\cemgr.exe"=
"c:\\Archivos de programa\\Pando Networks\\Pando\\pando.exe"=
"c:\\simex\\bin\\Release\\simex.exe"=
"c:\\Archivos de programa\\TightVNC\\WinVNC.exe"=
"c:\\FPD\\visio.exe"=
"c:\\PVSW\\Bin\\w3dbsmgr.exe"=
"c:\\Archivos de programa\\Hewlett-Packard\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Archivos de programa\\Hewlett-Packard\\Digital Imaging\\bin\\hpqste08.exe"= c:\\Archivos de programa\\Hewlett-Packard\\Digital Imaging\\Bin\\hpqSTE08.exe
"c:\\Archivos de programa\\Hewlett-Packard\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Archivos de programa\\Hewlett-Packard\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Archivos de programa\\Hewlett-Packard\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Archivos de programa\\Hewlett-Packard\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Archivos de programa\\Hewlett-Packard\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Archivos de programa\\Hewlett-Packard\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Archivos de programa\\Hewlett-Packard\\Digital Imaging\\bin\\hpfccopy.exe"=
"c:\\Archivos de programa\\Hewlett-Packard\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Archivos de programa\\Hewlett-Packard\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Archivos de programa\\Hewlett-Packard\\Digital Imaging\\Unload\\HpqDIA.exe"=
"c:\\Archivos de programa\\Hewlett-Packard\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Archivos de programa\\Hewlett-Packard\\Digital Imaging\\bin\\hpqnrs08.exe"=
"c:\\Archivos de programa\\EBP\\Compta13.0\\compta.exe"=
"c:\\Archivos de programa\\Java\\jre1.6.0_07\\bin\\javaw.exe"=
"c:\\Archivos de programa\\Vuze\\Azureus.exe"=
"c:\\Archivos de programa\\Microsoft Office\\Live Meeting 8\\Console\\PWConsole.exe"=
"c:\\temp\\visio_client.exe"=
"c:\\FPD\\test espagnol word\\visio_client.exe"=
"c:\\Archivos de programa\\VSee\\vsee.exe"=
"c:\\FPD\\visio15ene.exe"=
"c:\\Documents and Settings\\eric\\Configuración local\\Datos de programa\\Pando\\Pando Files\\Upgrade25156\\PandoSetup-2.0.3.1\\PandoPushInst.exe"=
"c:\\Documents and Settings\\eric\\Configuración local\\Datos de programa\\Pando\\Pando Files\\Upgrade25156\\PandoSetup-2.0.3.1\\PandoSetup.exe"=
"c:\\Archivos de programa\\Archivos comunes\\Real\\Update_OB\\realsched.exe"=
"c:\\Archivos de programa\\Mozilla Firefox\\firefox.exe"=
"c:\\Archivos de programa\\Microsoft Office\\Office10\\WINWORD.EXE"=
"c:\\Archivos de programa\\Adobe\\Reader 9.0\\Reader\\Reader_sl.exe"=
"c:\\Archivos de programa\\Grisoft\\AVG Anti-Spyware 7.5\\avgas.exe"=
"c:\\Archivos de programa\\QuickTime\\qttask.exe"=
"c:\\Archivos de programa\\Microsoft SQL Server\\80\\Tools\\Binn\\sqlmangr.exe"=
"c:\\Archivos de programa\\Hewlett-Packard\\HP Software Update\\HPWuSchd2.exe"=
"c:\\Archivos de programa\\e-Carte Bleue Banque Populaire\\ecbl-nxbp.exe"=
"c:\\Archivos de programa\\Picasa2\\PicasaMediaDetector.exe"=
"c:\\Archivos de programa\\WinZip\\WZQKPICK.EXE"=
"c:\\Archivos de programa\\Hewlett-Packard\\Digital Imaging\\bin\\hpotdd01.exe"=
"c:\\Archivos de programa\\WebEx\\Productivity Tools\\PTIM.exe"=
"c:\\Archivos de programa\\WebEx\\Productivity Tools\\ptoneclk.exe"=
"c:\\Documents and Settings\\eric\\Escritorio\\Copia de visio.exe"=
"c:\\Archivos de programa\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Archivos de programa\\Malwarebytes' Anti-Malware\\mbam.exe"=
"c:\\Archivos de programa\\Skype\\Phone\\Skype.exe"=

R0 BsStor;B.H.A Storage Helper Driver;c:\windows\system32\drivers\BsStor.sys [2006-07-27 10112]
R0 RITCPT;RITCPT;c:\windows\system32\drivers\RITCPT.SYS [2006-07-29 43512]
R0 VVBackd5;VVBackd5;c:\windows\system32\drivers\VVBackd5.sys [2006-07-29 183159]
R1 LUMDriver;LUMDriver;c:\windows\system32\drivers\LUMDriver.sys [2006-10-13 14912]
R2 BsUDF;B.H.A UDF Filesystem;c:\windows\system32\drivers\BsUDF.sys [2006-07-27 165248]
R2 DOSMEMIO;MEMIO;c:\windows\system32\MEMIO.SYS [2006-07-27 4300]
R2 EBP Pervasive.SQL;EBP Pervasive.SQL;c:\pvsw\Bin\WGE_SRV.exe [2006-12-07 32768]
R2 Red5;Red5;c:\archivos de programa\Red5\wrapper\wrapper.exe [2008-12-17 135168]
R2 SNM WLAN Service;SNM WLAN Service;c:\archivos de programa\Samsung\Samsung Network Manager\SNMWLANService.exe [2005-05-28 36864]
R2 SRS_PostInstaller;SRS PostInstaller Service;c:\archivos de programa\SRS Labs\WOWXT and TSXT Driver\SRS_PostInstaller.exe [2005-11-28 31744]
R3 tap0901;TAP-Win32 Adapter V9;c:\windows\system32\drivers\tap0901.sys [2008-09-23 25216]
R3 wowfilter;WOW XT Filter Driver;c:\windows\system32\drivers\WOWFilter.sys [2005-11-28 19456]
S3 ADDMEM;ADDMEM;\??\c:\windows\TEMP\__Samsung_Update\ADDMEM.SYS --> c:\windows\TEMP\__Samsung_Update\ADDMEM.SYS [?]
S3 lxci_device;lxci_device;c:\windows\system32\lxcicoms.exe -service --> c:\windows\system32\lxcicoms.exe -service [?]
S3 MCUSBPIC32MXSK;Microchip MPLAB PIC32MX Starter Kit Driver (MP32MXSK.SYS);c:\windows\system32\drivers\mp32mxsk.sys [2007-06-06 61440]
S3 SIS163u;SiS163 usb Wireless LAN Adapter Driver;c:\windows\system32\drivers\sis163u.sys [2005-06-20 215040]
S3 SUEPD;SUE NDIS Protocol Driver;c:\windows\system32\drivers\SUE_PD.sys [2006-07-29 19840]

--- Other Services/Drivers In Memory ---

*NewlyCreated* - ABP470N5

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{01da72e3-6b8b-11db-8143-0014a48c36c2}]
\Shell\AutoRun\command - E:\InstallTomTomHOME.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9d40e4d3-dd7f-11dd-8223-0014a48c36c2}]
\shELl\AuToplaY\COMmaNd - E:\cqxr.pif
\shELl\AutoRun\command - E:\cqxr.pif
\shELl\exPlORe\CommaNd - E:\cqxr.pif
\shELl\OPeN\cOmMaND - E:\cqxr.pif

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cd71c7b1-7b57-11db-8149-00130201744a}]
\Shell\AutoRun\command - E:\setupSNK.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fa9f81e6-bb47-11dd-820c-0014a48c36c2}]
\Shell\AuToPlAY\commAnd - E:\krmkx.exe
\Shell\AutoRun\command - E:\krmkx.exe
\Shell\expLore\command - E:\krmkx.exe
\Shell\Open\commAnd - E:\krmkx.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fb60ad0a-1e96-11db-80e0-00130201744a}]
\sheLl\AUtoPlay\commAnd - E:\glhp.cmd
\sheLl\AutoRun\command - E:\glhp.cmd
\sheLl\exploRE\COMmand - E:\glhp.cmd
\sheLl\OpeN\ComManD - E:\glhp.cmd
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://home.neuf.fr/
uSearchMigratedDefaultURL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
uDefault_Search_URL = hxxp://www.google.com/ie
mWindow Title =
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Add to AMV Converter... - c:\archivos de programa\MP3 Player Utilities 4.15\AMVConverter\grab.html
IE: E&xport to Microsoft Excel - c:\archiv~1\MICROS~3\Office10\EXCEL.EXE/3000
IE: Enviar a &Bluetooth - c:\archivos de programa\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: MediaManager tool grab multimedia file - c:\archivos de programa\MP3 Player Utilities 4.15\MediaManager\grab.html
TCP: {7495B750-4B25-4530-827C-9BB6C34DE190} = 80.58.61.250,80.58.61.254
TCP: {82BB2197-4CAA-40EC-814B-373E5425B154} = 80.58.0.33,80.58.32.97
DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} - hxxp://downloads.ewido.net/ewidoOnlineScan.cab
DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} - hxxp://activex.camfrogweb.com/advanced/2.0.2.3/cfweb_activex.camfrogweb.com-advanced-2.0.2.3_instmodule.exe
DPF: {B91AEDBE-93DF-4017-8BB3-F1C300C0EC51} - hxxp://av3m.telefonica.net/public/AntivirusOneClickInstall/setup.exe
FF - ProfilePath - c:\documents and settings\eric\Datos de programa\Mozilla\Firefox\Profiles\mlul18kw.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Ask
FF - prefs.js: browser.startup.homepage - hxxp://google.fr/
FF - prefs.js: keyword.URL - hxxp://toolbar.ask.com/toolbarv/askRedirect?o=10615&gct=&gc=1&q=
FF - component: c:\archivos de programa\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
FF - component: c:\archivos de programa\WebEx\Productivity Tools\components\OCFF.dll
FF - plugin: c:\archivos de programa\Mozilla Firefox\plugins\npatgpc.dll
FF - plugin: c:\archivos de programa\Mozilla Firefox\plugins\NPCltInstall.dll
FF - plugin: c:\archivos de programa\Mozilla Firefox\plugins\npmozax.dll
FF - plugin: c:\archivos de programa\Picasa2\npPicasa2.dll

---- FIREFOX POLICIES ----
# Mozilla User Preferences

/* Do not edit this file.
*
* If you make changes to this file while the application is running,
* the changes will be overwritten when the application exits.
*
* To make a manual change to preferences, you can visit the URL about:config
* For more information, see hxxp://www.mozilla.org/unix/customizing.html#prefs
*/
FF - user.js: capability.policy.policynames - allowclipboard
FF - user.js: capability.policy.allowclipboard.sites - hxxp://web.orange.es
FF - user.js: capability.policy.allowclipboard.Clipboard.cutcopy - allAccess
FF - user.js: capability.policy.allowclipboard.Clipboard.paste - allAccessc:\archivos de programa\Mozilla Firefox\defaults\profile\user.js - user_pref("capability.policy.policynames", "allowclipboard");
c:\archivos de programa\Mozilla Firefox\defaults\profile\user.js - user_pref("capability.policy.allowclipboard.sites", "https://www.mozilla.org/en-US/");
c:\archivos de programa\Mozilla Firefox\defaults\profile\user.js - user_pref("capability.policy.allowclipboard.Clipboard.cutcopy", "allAccess");
c:\archivos de programa\Mozilla Firefox\defaults\profile\user.js - user_pref("capability.policy.allowclipboard.Clipboard.paste", "allAccess");.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-18 14:06:21
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_USERS\S-1-5-21-839522115-1897051121-2147179587-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{7E6CDFEB-2FE6-0BD6-B1BD-6A83FB799281}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"hajmieoicfigccmf"=hex:61,61,00,00
"hajmieoinfplbeip"=hex:61,61,00,00
"lallkeabihgbhjllfkfipdbf"=hex:66,61,69,6f,6d,6a,68,61,62,6a,66,62,00,f6
"iadlaiigkmeknabjlk"=hex:62,61,6f,6f,00,6a

[HKEY_LOCAL_MACHINE\System\ControlSet001\Hardware Profiles\[u]0/u001\System\CurrentControlSet\SERVICES\mirror\Wb»MK*€'**D *Œ]
"Attach.ToDesktop"=dword:00000000
.
------------------------ Other Running Processes ------------------------
.
c:\archivos de programa\Lavasoft\Ad-Aware\aawservice.exe
c:\archivos de programa\WebEx\Productivity Tools\ptSrv.exe
c:\archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
c:\archivos de programa\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\archivos de programa\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
c:\pvsw\Bin\w3dbsmgr.exe
c:\windows\system32\nvsvc32.exe
c:\archivos de programa\WIDCOMM\Bluetooth Software\BTStackServer.exe
c:\archivos de programa\CyberLink\Shared Files\RichVideo.exe
c:\archivos de programa\Java\jre1.5.0_10\bin\java.exe
c:\archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpqnrs08.exe
c:\windows\system32\msiexec.exe
c:\archivos de programa\Skype\Plugin Manager\skypePM.exe
.
**************************************************************************
.
Completion time: 2009-02-18 14:15:29 - machine was rebooted [eric]
ComboFix-quarantined-files.txt 2009-02-18 13:15:26
ComboFix2.txt 2009-02-17 22:01:31

Pre-Run: 5.246.775.296 bytes libres
Post-Run: 5,115,781,120 bytes libres

390 --- E O F --- 2009-02-17 08:53:26

Je vais maintenant lancer kasperky.

Réponse 22 / 59

Frederique
18 févr. 2009 à 14:38

Ah d'abord le rapport Hijackthis:
Logfile of random's system information tool 1.05 (written by random/random)
Run by eric at 2009-02-18 14:36:08
Microsoft Windows XP Professional Service Pack 2
System drive C: has 5 GB (7%) free of 69 GB
Total RAM: 1022 MB (40% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:36:12, on 18/02/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\Easymeeting\ConferenceOnCall\AgentCond.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\Archivos de programa\Picasa2\PicasaMediaDetector.exe
C:\Archivos de programa\WebEx\Productivity Tools\ptoneclk.exe
C:\Archivos de programa\Skype\Phone\Skype.exe
C:\Archivos de programa\WebEx\Productivity Tools\ptSrv.exe
C:\Archivos de programa\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Archivos de programa\e-Carte Bleue Banque Populaire\ecbl-nxbp.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Archivos de programa\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\PVSW\Bin\WGE_SRV.exe
C:\Archivos de programa\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Archivos de programa\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
C:\Archivos de programa\WinZip\WZQKPICK.EXE
C:\PVSW\BIN\W3dbsmgr.EXE
C:\Archivos de programa\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\ARCHIV~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Archivos de programa\Red5\wrapper\wrapper.exe
C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe
C:\Archivos de programa\Java\jre1.5.0_10\bin\java.exe
C:\Archivos de programa\samsung\Samsung Network Manager\SNMWLANService.exe
C:\Archivos de programa\SRS Labs\WOWXT and TSXT Driver\SRS_PostInstaller.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpqnrs08.exe
C:\Archivos de programa\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Documents and Settings\eric\Escritorio\RSIT.exe
C:\Archivos de programa\trend micro\eric.exe
C:\WINDOWS\system32\HPZinw12.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.neuf.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Archivos de programa\EoRezo\EoAdv\EoRezoBHO.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SignIn] "C:\Archivos de programa\Microsoft Online Services\Sign In\SignIn.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ConferenceOnCall] C:\Archivos de programa\Easymeeting\ConferenceOnCall\AgentCond.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Power2GoExpress] NA
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Pando] "C:\Archivos de programa\Pando Networks\Pando\Pando.exe" /Minimized
O4 - HKCU\..\Run: [Picasa Media Detector] C:\Archivos de programa\Picasa2\PicasaMediaDetector.exe
O4 - HKCU\..\Run: [PTIM.exe] C:\Archivos de programa\WebEx\Productivity Tools\PTIM.exe
O4 - HKCU\..\Run: [ptmsgfrm.exe] C:\Archivos de programa\WebEx\Productivity Tools\ptmsgfrm.exe
O4 - HKCU\..\Run: [PTOneClick] C:\Archivos de programa\WebEx\Productivity Tools\ptoneclk.exe
O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Outil de détection de support de Cyber-shot Viewer.lnk = C:\Archivos de programa\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: e-Carte Bleue Banque Populaire.lnk = C:\Archivos de programa\e-Carte Bleue Banque Populaire\ecbl-nxbp.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Inicio rápido de HP Photosmart Premier.lnk = C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Service Manager.lnk = C:\Archivos de programa\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Add to AMV Converter... - C:\Archivos de programa\MP3 Player Utilities 4.15\AMVConverter\grab.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Enviar a &Bluetooth - C:\Archivos de programa\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Archivos de programa\MP3 Player Utilities 4.15\MediaManager\grab.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra button: Commencer une réunion One-Click WebEx - {80947ADC-151D-490B-87F1-7C8CE1B46220} - C:\Archivos de programa\WebEx\Productivity Tools\ptonecli.dll (HKCU)
O9 - Extra 'Tools' menuitem: Commencer une réunion One-Click WebEx - {80947ADC-151D-490B-87F1-7C8CE1B46220} - C:\Archivos de programa\WebEx\Productivity Tools\ptonecli.dll (HKCU)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} (CamfrogWEB Advanced Unicode Control) - http://activex.camfrogweb.com/...
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-ES/a-UNO1/GAME_UNO1.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O16 - DPF: {B91AEDBE-93DF-4017-8BB3-F1C300C0EC51} (InstallShield Setup Player 2K2) - http://av3m.telefonica.net/public/AntivirusOneClickInstall/setup.exe
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://a532.g.akamai.net/...
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7495B750-4B25-4530-827C-9BB6C34DE190}: NameServer = 80.58.61.250,80.58.61.254
O17 - HKLM\System\CCS\Services\Tcpip\..\{82BB2197-4CAA-40EC-814B-373E5425B154}: NameServer = 80.58.0.33,80.58.32.97
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Archivos de programa\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: EBP Pervasive.SQL - Unknown owner - C:\PVSW\Bin\WGE_SRV.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP Port Resolver - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBPRO.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: lxci_device - - C:\WINDOWS\system32\lxcicoms.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Red5 - Unknown owner - C:\Archivos de programa\Red5\wrapper\wrapper.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Samsung Update Plus - Unknown owner - C:\Archivos de programa\Samsung\Samsung Update Plus\SLUBackgroundService.exe
O23 - Service: SNM WLAN Service - Unknown owner - C:\Archivos de programa\samsung\Samsung Network Manager\SNMWLANService.exe
O23 - Service: SRS PostInstaller Service (SRS_PostInstaller) - SRS Labs, Inc. - C:\Archivos de programa\SRS Labs\WOWXT and TSXT Driver\SRS_PostInstaller.exe

Réponse 23 / 59

Frederique
18 févr. 2009 à 15:22

Le site de kaspersky ne fonctionne pas non plus

Réponse 24 / 59

Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
18 févr. 2009 à 16:51

re,

explique à quel moment ça coince.

Réponse 25 / 59

Frederique
18 févr. 2009 à 16:58

Le problème c'est queje n'accède pas aux sites web, ni celui de virustotal , ni celui de kaspersky, les liens ne fonctionnent pas, du moins chez moi.....

Réponse 26 / 59

Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
18 févr. 2009 à 17:43

Re,

déconnecte toi d'internet et ferme toutes tes applications.

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)

connecte le support amovible (clé USB ou DD externe) que tu connectes en E (ne l'ouvre pas)
:
double-clique sur combofix.exe et suis les instructions

en particulier installe la Console de récupération.

à la fin, il va produire un rapport C:\ComboFix.txt

réactive ton parefeu, ton antivirus, la garde de ton antispyware

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

Réponse 27 / 59

Frederique
18 févr. 2009 à 18:18

Voilà

ComboFix 09-02-17.02 - eric 2009-02-18 17:55:32.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.3082.18.1022.483 [GMT 1:00]
Running from: c:\documents and settings\eric\Escritorio\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
/wow section - STAGE 35
El sistema no puede hallar la ruta especificada.
El sistema no puede hallar la ruta especificada.
Acceso denegado.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

E:\autorun.inf
E:\cqxr.pif
E:\sqjr.pif
E:\tel.xls.exe
F:\autorun.inf
F:\glhp.cmd
F:\tel.xls.exe

.
((((((((((((((((((((((((( Files Created from 2009-01-18 to 2009-02-18 )))))))))))))))))))))))))))))))
.

2009-02-18 10:11 . 2009-02-18 10:11 3,613,328 --a------ c:\temp\XoftSpySE_Setup_RW.exe
2009-02-17 21:32 . 2009-02-17 21:57 <DIR> d-------- C:\ToolBar SD
2009-02-17 21:32 . 2009-02-17 21:32 420,841 --a------ c:\temp\ToolBarSD.exe
2009-02-17 21:23 . 2009-02-17 21:23 3,249,032 --a------ c:\temp\ccsetup216.exe
2009-02-17 20:40 . 2009-02-17 20:41 <DIR> d-------- C:\Rooter$
2009-02-17 20:38 . 2009-02-17 20:38 349,972 --a------ c:\temp\Rooter(2).exe
2009-02-17 20:37 . 2009-02-17 20:37 341,780 --a------ c:\temp\Rooter.exe
2009-02-17 20:35 . 2009-02-17 20:35 <DIR> d-------- C:\rsit
2009-02-17 20:35 . 2009-02-18 14:36 <DIR> d-------- c:\archivos de programa\trend micro
2009-02-17 19:16 . 2009-02-17 19:16 <DIR> d-------- c:\temp\backups
2009-02-17 19:14 . 2009-02-17 19:24 320,512 --a------ c:\temp\HijackThis.exe
2009-02-17 19:13 . 2009-02-17 19:13 212,849 --a------ c:\temp\hijackthis(3).zip
2009-02-17 18:41 . 2009-02-17 18:41 <DIR> d-------- c:\documents and settings\eric\Datos de programa\Malwarebytes
2009-02-17 18:41 . 2009-02-17 18:41 <DIR> d-------- c:\documents and settings\All Users\Datos de programa\Malwarebytes
2009-02-17 18:41 . 2009-02-17 18:41 <DIR> d-------- c:\archivos de programa\Malwarebytes' Anti-Malware
2009-02-17 18:41 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-17 18:41 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-02-17 18:40 . 2009-02-17 18:40 2,876,720 --a------ c:\temp\malwarebytes-anti-malware_malwarebytes_anti-malware_1.34_francais_215092.exe
2009-02-10 11:27 . 2009-02-16 09:51 <DIR> d-------- c:\archivos de programa\iLinc
2009-02-10 11:03 . 2009-02-18 14:07 <DIR> d-------- c:\documents and settings\eric\Datos de programa\skypePM
2009-02-10 11:03 . 2009-02-10 11:03 56 --ah----- c:\windows\system32\ezsidmv.dat
2009-02-10 11:01 . 2009-02-18 17:31 <DIR> d-------- c:\documents and settings\eric\Datos de programa\Skype
2009-02-10 11:01 . 2009-02-10 11:01 <DIR> dr------- c:\archivos de programa\Skype
2009-02-10 11:01 . 2009-02-10 11:01 <DIR> d-------- c:\archivos de programa\Archivos comunes\Skype
2009-02-10 11:00 . 2009-02-10 11:01 <DIR> d-------- c:\documents and settings\All Users\Datos de programa\Skype
2009-02-10 10:59 . 2009-02-10 11:00 23,516,968 --a------ c:\temp\SkypeSetupFull.exe
2009-02-08 01:52 . 2009-02-08 02:26 <DIR> d-------- C:\download
2009-02-08 01:08 . 2009-02-08 01:09 <DIR> d-------- c:\temp\rapget141
2009-02-07 22:48 . 2009-02-07 23:05 <DIR> d-------- c:\temp\rapiddownload
2009-02-07 22:48 . 2009-02-07 22:48 8,966 --a------ c:\temp\rapiddownload.zip
2009-02-03 23:05 . 2004-08-03 23:10 78,464 --a------ c:\windows\system32\drivers\usbvideo.sys
2009-02-03 23:05 . 2004-08-03 23:10 78,464 --a--c--- c:\windows\system32\dllcache\usbvideo.sys
2009-02-03 23:05 . 2004-08-19 15:43 20,992 --a------ c:\windows\system32\dshowext.ax
2009-02-03 23:05 . 2004-08-19 15:43 20,992 --a--c--- c:\windows\system32\dllcache\dshowext.ax
2009-01-20 22:31 . 2009-01-20 22:31 <DIR> d-------- c:\archivos de programa\OpenVPN
2009-01-20 15:39 . 2009-01-20 15:45 <DIR> d-------- c:\temp\reservilletas
2009-01-18 18:12 . 2006-07-15 17:20 401,510 --a------ c:\windows\system32\xpcom_core.dll
2009-01-18 18:11 . 2009-01-18 18:11 186,206 --a------ c:\temp\xpcom_core.zip
2009-01-18 17:54 . 2009-02-11 23:13 <DIR> d-------- c:\documents and settings\eric\Datos de programa\FileZilla
2009-01-18 17:54 . 2009-01-18 17:54 <DIR> d-------- c:\archivos de programa\FileZilla FTP Client
2009-01-18 17:14 . 2009-01-18 17:14 <DIR> d----c--- c:\documents and settings\All Users\Datos de programa\{92E7A367-8E12-4830-AA70-29C32E331A81}
2009-01-18 17:10 . 2009-01-18 17:10 <DIR> d--h----- c:\windows\system32\GroupPolicy
2009-01-18 17:05 . 2009-01-18 17:05 1,747,696 --a------ c:\temp\registrybooster.exe
2009-01-18 16:48 . 2009-01-18 16:48 <DIR> d-------- c:\archivos de programa\Archivos comunes\Wise Installation Wizard
2009-01-18 01:19 . 2009-02-13 12:01 54,156 --ah----- c:\windows\QTFont.qfn
2009-01-18 01:19 . 2009-01-18 01:19 1,409 --a------ c:\windows\QTFont.for

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-17 20:23 --------- d-----w c:\archivos de programa\CCleaner
2009-02-07 23:41 --------- d-----w c:\archivos de programa\Ludi
2009-01-18 16:50 --------- d-----w c:\archivos de programa\Navilog1
2009-01-18 16:46 --------- d-----w c:\archivos de programa\FileZilla
2009-01-18 15:49 --------- d-----w c:\archivos de programa\Lavasoft
2009-01-18 15:47 --------- d-----w c:\documents and settings\All Users\Datos de programa\Lavasoft
2009-01-16 11:04 --------- d-----w c:\documents and settings\eric\Datos de programa\Artweaver
2009-01-16 11:04 --------- d-----w c:\archivos de programa\Artweaver 0.5
2009-01-11 16:01 --------- d-----w c:\archivos de programa\MP3 Player Utilities 4.15
2009-01-11 15:59 --------- d-----w c:\archivos de programa\K-Lite Codec Pack
2009-01-10 18:09 --------- d-----w c:\archivos de programa\WiredRed
2009-01-08 09:37 --------- d-----w c:\documents and settings\eric\Datos de programa\VSee
2008-12-19 18:02 --------- d-----w c:\documents and settings\eric\Datos de programa\Azureus
2008-12-19 13:23 --------- d-----w c:\archivos de programa\Easymeeting
2008-12-18 16:19 --------- d-----w c:\documents and settings\All Users\Datos de programa\VSee
2008-12-18 16:19 --------- d-----w c:\archivos de programa\VSee
2008-12-18 12:07 --------- d-----w c:\archivos de programa\PhotoFiltre
2008-12-08 18:39 36,016 ----a-w c:\documents and settings\eric\Datos de programa\GDIPFONTCACHEV1.DAT
2006-08-03 11:43 278,528 ----a-w c:\archivos de programa\Archivos comunes\FDEUnInstaller.exe
2003-04-22 18:24 2,736,128 ------w c:\archivos de programa\aiodrv.msi
2003-04-22 18:20 2,605,056 ------w c:\archivos de programa\aiosw.msi
2003-04-22 18:01 241 ----a-w c:\archivos de programa\readme.html
2003-04-22 18:01 16,606 ----a-w c:\archivos de programa\hpomdl01.dat
2003-04-09 17:19 2,848 ----a-w c:\archivos de programa\hpound08.inf
2003-04-09 17:19 14,157 ----a-w c:\archivos de programa\hpousc08.inf
2003-04-09 17:00 4,715 ----a-w c:\archivos de programa\hpoglu08.inf
2003-04-09 17:00 2,889 ----a-w c:\archivos de programa\hpousb08.inf
2003-03-21 12:45 250,544 ----a-w c:\archivos de programa\Archivos comunes\keyhelp.ocx
2003-03-20 15:20 24,728 ----a-w c:\archivos de programa\HPZipr12.cat
2003-03-20 15:20 24,285 ----a-w c:\archivos de programa\hposcu08.cat
2003-03-20 15:20 22,523 ----a-w c:\archivos de programa\HPZius12.cat
2003-03-20 15:20 22,082 ----a-w c:\archivos de programa\hpzist12.cat
2003-03-20 15:20 22,082 ----a-w c:\archivos de programa\HPZid412.cat
2003-03-20 15:20 21,641 ----a-w c:\archivos de programa\HPOunp08.cat
2003-03-20 15:20 205,503 ----a-w c:\archivos de programa\hpoprn08.cat
2003-03-09 20:30 63,562 ----a-w c:\archivos de programa\hposcu08.inf
2003-03-09 20:30 51,266 ----a-w c:\archivos de programa\hpoprn08.inf
2003-03-09 20:30 33,952 ----a-w c:\archivos de programa\hpzid412.inf
2003-03-09 20:30 3,898 ----a-w c:\archivos de programa\hpounp08.inf
2003-03-09 20:30 3,667 ----a-w c:\archivos de programa\hpzist12.inf
2003-03-09 20:30 274,432 ----a-w c:\archivos de programa\hpzglu07.exe
2003-03-09 20:30 237,568 ----a-w c:\archivos de programa\hpzc3212.dll
2003-03-09 20:30 23,186 ----a-w c:\archivos de programa\hpzcin06.ex_
2003-03-09 20:30 184,320 ----a-w c:\archivos de programa\hpzscr07.dll
2003-03-09 20:30 16,352 ----a-w c:\archivos de programa\HPZUCI12.DLL
2003-03-09 20:30 14,285 ----a-w c:\archivos de programa\hpzius12.inf
2003-03-09 20:30 10,325 ----a-w c:\archivos de programa\hpzipr12.inf
2002-09-09 17:48 458,752 ----a-w c:\archivos de programa\tls704d.dll
2002-09-09 17:48 22,608 ----a-w c:\archivos de programa\usbprint.sys
2002-09-09 17:48 12,288 ----a-w c:\archivos de programa\usbmon.dll
2002-09-09 17:47 70,656 ----a-w c:\archivos de programa\msvcirt.dll
2002-09-09 17:47 55,155 ----a-w c:\archivos de programa\hpzusb00.sy_
2002-09-09 17:47 5,705 ----a-w c:\archivos de programa\hpzuci02.dl_
2002-09-09 17:47 254,005 ----a-w c:\archivos de programa\msvcrt.dll
2002-09-09 17:47 25,639 ----a-w c:\archivos de programa\hpzpom04.dl_
2002-09-09 17:47 212,992 ----a-w c:\archivos de programa\hpzpnp07.dll
2002-09-09 17:46 52,552 ----a-w c:\archivos de programa\hpziou01.dl_
2002-09-09 17:46 49,212 ----a-w c:\archivos de programa\hpzjvp01.dll
2002-09-09 17:46 46,017 ----a-w c:\archivos de programa\hpzion00.sy_
2002-09-09 17:46 417,849 ----a-w c:\archivos de programa\hpzjpp01.dll
2002-09-09 17:46 28,722 ----a-w c:\archivos de programa\hpzjlog.dll
2002-09-09 17:46 249,913 ----a-w c:\archivos de programa\hpzjut01.dll
2002-09-06 09:54 995,383 ----a-w c:\archivos de programa\MFC42.DLL
2008-11-18 09:00 27,976 ----a-w c:\archivos de programa\mozilla firefox\plugins\atgpcdec.dll
2008-11-18 09:00 126,360 ----a-w c:\archivos de programa\mozilla firefox\plugins\atgpcext.dll
2008-11-17 22:07 46,408 ----a-w c:\archivos de programa\mozilla firefox\plugins\atmccli.dll
2008-11-17 22:08 98,712 ----a-w c:\archivos de programa\mozilla firefox\plugins\ieatgpc.dll
.

((((((((((((((((((((((((((((( SnapShot@2009-02-17_22.58.39.56 )))))))))))))))))))))))))))))))))))))))))
.
+ 2005-10-20 19:02:28 163,328 ----a-w c:\windows\ERDNT\subs\ERDNT.EXE
+ 2009-02-18 17:04:09 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_934.dat
+ 2009-02-18 17:03:27 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_d8.dat
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Power2GoExpress"="NA" [X]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-20 15360]
"MsnMsgr"="c:\archivos de programa\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5752176]
"Pando"="c:\archivos de programa\Pando Networks\Pando\Pando.exe" [2008-02-09 6128968]
"Picasa Media Detector"="c:\archivos de programa\Picasa2\PicasaMediaDetector.exe" [2008-08-21 513600]
"PTIM.exe"="c:\archivos de programa\WebEx\Productivity Tools\PTIM.exe" [2008-08-03 279880]
"ptmsgfrm.exe"="c:\archivos de programa\WebEx\Productivity Tools\ptmsgfrm.exe" [2008-08-03 116040]
"PTOneClick"="c:\archivos de programa\WebEx\Productivity Tools\ptoneclk.exe" [2008-08-03 247112]
"Skype"="c:\archivos de programa\Skype\Phone\Skype.exe" [2009-02-04 23975720]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"!AVG Anti-Spyware"="c:\archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 6805040]
"TkBellExe"="c:\archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" [2007-02-20 259512]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-12-08 7340032]
"HP Software Update"="c:\archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" [2006-02-19 126976]
"Adobe Reader Speed Launcher"="c:\archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 104304]
"SignIn"="c:\archivos de programa\Microsoft Online Services\Sign In\SignIn.exe" [2008-11-06 1669992]
"QuickTime Task"="c:\archivos de programa\QuickTime\qttask.exe" [2006-08-15 360448]
"ConferenceOnCall"="c:\archivos de programa\Easymeeting\ConferenceOnCall\AgentCond.exe" [2008-12-04 3131128]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-20 15360]

c:\documents and settings\eric\Men£ Inicio\Programas\Inicio\
Outil de d‚tection de support de Cyber-shot Viewer.lnk - c:\archivos de programa\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe [2006-09-14 233472]

c:\documents and settings\All Users\Men£ Inicio\Programas\Inicio\
BTTray.lnk - c:\archivos de programa\WIDCOMM\Bluetooth Software\BTTray.exe [2005-09-19 655421]
e-Carte Bleue Banque Populaire.lnk - c:\archivos de programa\e-Carte Bleue Banque Populaire\ecbl-nxbp.exe [2008-11-12 348160]
HP Digital Imaging Monitor.lnk - c:\archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe [2006-02-19 358104]
hpoddt01.exe.lnk - c:\archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2008-12-09 106496]
Inicio r pido de HP Photosmart Premier.lnk - c:\archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpqthb08.exe [2006-02-10 155648]
Microsoft Office.lnk - c:\archivos de programa\Microsoft Office\Office10\OSA.EXE [2001-02-13 161184]
Service Manager.lnk - c:\archivos de programa\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe [2002-12-17 143940]
WinZip Quick Pick.lnk - c:\archivos de programa\WinZip\WZQKPICK.EXE [2006-10-21 196608]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableRegistryTools"= 1 (0x1)
"DisableTaskMgr"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.clmp3enc"= c:\archiv~1\CYBERL~1\Power2Go\CLMP3Enc.ACM
"VIDC.YULS"= yuls.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
"UacDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"FirewallOverride"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"UacDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Archivos de programa\\Autodesk\\backburner\\monitor.exe"=
"c:\\Archivos de programa\\Autodesk\\backburner\\manager.exe"=
"c:\\Archivos de programa\\Autodesk\\backburner\\server.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Truckbus\\simulation.exe"=
"c:\\Archivos de programa\\MSN Messenger\\msnmsgr.exe"= c:\\Archivos de programa\\MSN Messenger\\MsnMsgr.Exe
"c:\\Archivos de programa\\MSN Messenger\\livecall.exe"=
"c:\\Archivos de programa\\Java\\jre1.5.0_10\\bin\\javaw.exe"=
"c:\\Archivos de programa\\Microsoft Platform Builder\\6.00\\cepb\\wcetk\\cetest.exe"=
"c:\\Archivos de programa\\Archivos comunes\\Microsoft Shared\\Windows CE Tools\\Platman\\bin\\cemgr.exe"=
"c:\\Archivos de programa\\Pando Networks\\Pando\\pando.exe"=
"c:\\simex\\bin\\Release\\simex.exe"=
"c:\\Archivos de programa\\TightVNC\\WinVNC.exe"=
"c:\\FPD\\visio.exe"=
"c:\\PVSW\\Bin\\w3dbsmgr.exe"=
"c:\\Archivos de programa\\Hewlett-Packard\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Archivos de programa\\Hewlett-Packard\\Digital Imaging\\bin\\hpqste08.exe"= c:\\Archivos de programa\\Hewlett-Packard\\Digital Imaging\\Bin\\hpqSTE08.exe
"c:\\Archivos de programa\\Hewlett-Packard\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Archivos de programa\\Hewlett-Packard\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Archivos de programa\\Hewlett-Packard\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Archivos de programa\\Hewlett-Packard\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Archivos de programa\\Hewlett-Packard\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Archivos de programa\\Hewlett-Packard\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Archivos de programa\\Hewlett-Packard\\Digital Imaging\\bin\\hpfccopy.exe"=
"c:\\Archivos de programa\\Hewlett-Packard\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Archivos de programa\\Hewlett-Packard\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Archivos de programa\\Hewlett-Packard\\Digital Imaging\\Unload\\HpqDIA.exe"=
"c:\\Archivos de programa\\Hewlett-Packard\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Archivos de programa\\Hewlett-Packard\\Digital Imaging\\bin\\hpqnrs08.exe"=
"c:\\Archivos de programa\\EBP\\Compta13.0\\compta.exe"=
"c:\\Archivos de programa\\Java\\jre1.6.0_07\\bin\\javaw.exe"=
"c:\\Archivos de programa\\Vuze\\Azureus.exe"=
"c:\\Archivos de programa\\Microsoft Office\\Live Meeting 8\\Console\\PWConsole.exe"=
"c:\\temp\\visio_client.exe"=
"c:\\FPD\\test espagnol word\\visio_client.exe"=
"c:\\Archivos de programa\\VSee\\vsee.exe"=
"c:\\FPD\\visio15ene.exe"=
"c:\\Documents and Settings\\eric\\Configuración local\\Datos de programa\\Pando\\Pando Files\\Upgrade25156\\PandoSetup-2.0.3.1\\PandoPushInst.exe"=
"c:\\Documents and Settings\\eric\\Configuración local\\Datos de programa\\Pando\\Pando Files\\Upgrade25156\\PandoSetup-2.0.3.1\\PandoSetup.exe"=
"c:\\Archivos de programa\\Archivos comunes\\Real\\Update_OB\\realsched.exe"=
"c:\\Archivos de programa\\Mozilla Firefox\\firefox.exe"=
"c:\\Archivos de programa\\Microsoft Office\\Office10\\WINWORD.EXE"=
"c:\\Archivos de programa\\Adobe\\Reader 9.0\\Reader\\Reader_sl.exe"=
"c:\\Archivos de programa\\Grisoft\\AVG Anti-Spyware 7.5\\avgas.exe"=
"c:\\Archivos de programa\\QuickTime\\qttask.exe"=
"c:\\Archivos de programa\\Microsoft SQL Server\\80\\Tools\\Binn\\sqlmangr.exe"=
"c:\\Archivos de programa\\Hewlett-Packard\\HP Software Update\\HPWuSchd2.exe"=
"c:\\Archivos de programa\\e-Carte Bleue Banque Populaire\\ecbl-nxbp.exe"=
"c:\\Archivos de programa\\Picasa2\\PicasaMediaDetector.exe"=
"c:\\Archivos de programa\\WinZip\\WZQKPICK.EXE"=
"c:\\Archivos de programa\\Hewlett-Packard\\Digital Imaging\\bin\\hpotdd01.exe"=
"c:\\Archivos de programa\\WebEx\\Productivity Tools\\PTIM.exe"=
"c:\\Archivos de programa\\WebEx\\Productivity Tools\\ptoneclk.exe"=
"c:\\Documents and Settings\\eric\\Escritorio\\Copia de visio.exe"=
"c:\\Archivos de programa\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Archivos de programa\\Malwarebytes' Anti-Malware\\mbam.exe"=
"c:\\Archivos de programa\\Skype\\Phone\\Skype.exe"=

R0 BsStor;B.H.A Storage Helper Driver;c:\windows\system32\drivers\BsStor.sys [2006-07-27 10112]
R0 RITCPT;RITCPT;c:\windows\system32\drivers\RITCPT.SYS [2006-07-29 43512]
R0 VVBackd5;VVBackd5;c:\windows\system32\drivers\VVBackd5.sys [2006-07-29 183159]
R1 LUMDriver;LUMDriver;c:\windows\system32\drivers\LUMDriver.sys [2006-10-13 14912]
R2 BsUDF;B.H.A UDF Filesystem;c:\windows\system32\drivers\BsUDF.sys [2006-07-27 165248]
R2 DOSMEMIO;MEMIO;c:\windows\system32\MEMIO.SYS [2006-07-27 4300]
R2 EBP Pervasive.SQL;EBP Pervasive.SQL;c:\pvsw\Bin\WGE_SRV.exe [2006-12-07 32768]
R2 Red5;Red5;c:\archivos de programa\Red5\wrapper\wrapper.exe [2008-12-17 135168]
R2 SNM WLAN Service;SNM WLAN Service;c:\archivos de programa\Samsung\Samsung Network Manager\SNMWLANService.exe [2005-05-28 36864]
R2 SRS_PostInstaller;SRS PostInstaller Service;c:\archivos de programa\SRS Labs\WOWXT and TSXT Driver\SRS_PostInstaller.exe [2005-11-28 31744]
R3 abp470n5;abp470n5;\??\c:\windows\system32\drivers\gomnnv.sys --> c:\windows\system32\drivers\gomnnv.sys [?]
R3 tap0901;TAP-Win32 Adapter V9;c:\windows\system32\drivers\tap0901.sys [2008-09-23 25216]
R3 wowfilter;WOW XT Filter Driver;c:\windows\system32\drivers\WOWFilter.sys [2005-11-28 19456]
S3 ADDMEM;ADDMEM;\??\c:\windows\TEMP\__Samsung_Update\ADDMEM.SYS --> c:\windows\TEMP\__Samsung_Update\ADDMEM.SYS [?]
S3 lxci_device;lxci_device;c:\windows\system32\lxcicoms.exe -service --> c:\windows\system32\lxcicoms.exe -service [?]
S3 MCUSBPIC32MXSK;Microchip MPLAB PIC32MX Starter Kit Driver (MP32MXSK.SYS);c:\windows\system32\drivers\mp32mxsk.sys [2007-06-06 61440]
S3 SIS163u;SiS163 usb Wireless LAN Adapter Driver;c:\windows\system32\drivers\sis163u.sys [2005-06-20 215040]
S3 SUEPD;SUE NDIS Protocol Driver;c:\windows\system32\drivers\SUE_PD.sys [2006-07-29 19840]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{01da72e3-6b8b-11db-8143-0014a48c36c2}]
\Shell\AutoRun\command - E:\InstallTomTomHOME.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{25680908-fdde-11dd-8238-0014a48c36c2}]
\SHelL\AuTOplAy\cOmmanD - E:\sqjr.pif
\SHelL\AutoRun\command - E:\sqjr.pif
\SHelL\explorE\COmMAnD - E:\sqjr.pif
\SHelL\opEN\COmMand - E:\sqjr.pif

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cd71c7b1-7b57-11db-8149-00130201744a}]
\Shell\AutoRun\command - E:\setupSNK.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fa9f81e6-bb47-11dd-820c-0014a48c36c2}]
\Shell\AuToPlAY\commAnd - E:\krmkx.exe
\Shell\AutoRun\command - E:\krmkx.exe
\Shell\expLore\command - E:\krmkx.exe
\Shell\Open\commAnd - E:\krmkx.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fb60ad0a-1e96-11db-80e0-00130201744a}]
\sheLl\AUtoPlay\commAnd - E:\glhp.cmd
\sheLl\AutoRun\command - E:\glhp.cmd
\sheLl\exploRE\COMmand - E:\glhp.cmd
\sheLl\OpeN\ComManD - E:\glhp.cmd
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://home.neuf.fr/
uSearchMigratedDefaultURL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
uDefault_Search_URL = hxxp://www.google.com/ie
mWindow Title =
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Add to AMV Converter... - c:\archivos de programa\MP3 Player Utilities 4.15\AMVConverter\grab.html
IE: E&xport to Microsoft Excel - c:\archiv~1\MICROS~3\Office10\EXCEL.EXE/3000
IE: Enviar a &Bluetooth - c:\archivos de programa\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: MediaManager tool grab multimedia file - c:\archivos de programa\MP3 Player Utilities 4.15\MediaManager\grab.html
TCP: {7495B750-4B25-4530-827C-9BB6C34DE190} = 80.58.61.250,80.58.61.254
TCP: {82BB2197-4CAA-40EC-814B-373E5425B154} = 80.58.0.33,80.58.32.97
DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} - hxxp://downloads.ewido.net/ewidoOnlineScan.cab
DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} - hxxp://activex.camfrogweb.com/advanced/2.0.2.3/cfweb_activex.camfrogweb.com-advanced-2.0.2.3_instmodule.exe
DPF: {B91AEDBE-93DF-4017-8BB3-F1C300C0EC51} - hxxp://av3m.telefonica.net/public/AntivirusOneClickInstall/setup.exe
FF - ProfilePath - c:\documents and settings\eric\Datos de programa\Mozilla\Firefox\Profiles\mlul18kw.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Ask
FF - prefs.js: browser.startup.homepage - hxxp://google.fr/
FF - prefs.js: keyword.URL - hxxp://toolbar.ask.com/toolbarv/askRedirect?o=10615&gct=&gc=1&q=
FF - component: c:\archivos de programa\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
FF - component: c:\archivos de programa\WebEx\Productivity Tools\components\OCFF.dll
FF - plugin: c:\archivos de programa\Mozilla Firefox\plugins\npatgpc.dll
FF - plugin: c:\archivos de programa\Mozilla Firefox\plugins\NPCltInstall.dll
FF - plugin: c:\archivos de programa\Mozilla Firefox\plugins\npmozax.dll
FF - plugin: c:\archivos de programa\Picasa2\npPicasa2.dll

---- FIREFOX POLICIES ----
# Mozilla User Preferences

/* Do not edit this file.
*
* If you make changes to this file while the application is running,
* the changes will be overwritten when the application exits.
*
* To make a manual change to preferences, you can visit the URL about:config
* For more information, see hxxp://www.mozilla.org/unix/customizing.html#prefs
*/
FF - user.js: capability.policy.policynames - allowclipboard
FF - user.js: capability.policy.allowclipboard.sites - hxxp://web.orange.es
FF - user.js: capability.policy.allowclipboard.Clipboard.cutcopy - allAccess
FF - user.js: capability.policy.allowclipboard.Clipboard.paste - allAccessc:\archivos de programa\Mozilla Firefox\defaults\profile\user.js - user_pref("capability.policy.policynames", "allowclipboard");
c:\archivos de programa\Mozilla Firefox\defaults\profile\user.js - user_pref("capability.policy.allowclipboard.sites", "https://www.mozilla.org/en-US/");
c:\archivos de programa\Mozilla Firefox\defaults\profile\user.js - user_pref("capability.policy.allowclipboard.Clipboard.cutcopy", "allAccess");
c:\archivos de programa\Mozilla Firefox\defaults\profile\user.js - user_pref("capability.policy.allowclipboard.Clipboard.paste", "allAccess");.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-18 18:04:02
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_USERS\S-1-5-21-839522115-1897051121-2147179587-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{7E6CDFEB-2FE6-0BD6-B1BD-6A83FB799281}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"hajmieoicfigccmf"=hex:61,61,00,00
"hajmieoinfplbeip"=hex:61,61,00,00
"lallkeabihgbhjllfkfipdbf"=hex:66,61,69,6f,6d,6a,68,61,62,6a,66,62,00,f6
"iadlaiigkmeknabjlk"=hex:62,61,6f,6f,00,6a

[HKEY_LOCAL_MACHINE\System\ControlSet001\Hardware Profiles\[u]0/u001\System\CurrentControlSet\SERVICES\mirror\Wb»MK*€'**D *Œ]
"Attach.ToDesktop"=dword:00000000
.
------------------------ Other Running Processes ------------------------
.
c:\archivos de programa\Lavasoft\Ad-Aware\aawservice.exe
c:\archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
c:\archivos de programa\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\archivos de programa\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
c:\pvsw\Bin\w3dbsmgr.exe
c:\windows\system32\nvsvc32.exe
c:\archivos de programa\CyberLink\Shared Files\RichVideo.exe
c:\archivos de programa\Java\jre1.5.0_10\bin\java.exe
c:\archivos de programa\WebEx\Productivity Tools\ptSrv.exe
c:\archivos de programa\WIDCOMM\Bluetooth Software\BTStackServer.exe
c:\archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpqnrs08.exe
c:\windows\system32\winmine.exe
c:\archivos de programa\Skype\Plugin Manager\skypePM.exe
.
**************************************************************************
.
Completion time: 2009-02-18 18:14:51 - machine was rebooted
ComboFix-quarantined-files.txt 2009-02-18 17:14:48
ComboFix2.txt 2009-02-18 13:15:30
ComboFix3.txt 2009-02-17 22:01:31

Pre-Run: 5.130.260.480 bytes libres
Post-Run: 5,119,746,048 bytes libres

393 --- E O F --- 2009-02-17 08:53:26

Réponse 28 / 59

Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
18 févr. 2009 à 18:57

Re,

toujours impossible d'exécuter Kaspersky on line ?

Réponse 29 / 59

Frederique
18 févr. 2009 à 19:04

non pas moyen. Le site ne fonctionne pas. C'est chez moi ou c'est genéral?

Réponse 30 / 59

Frederique
18 févr. 2009 à 21:22

Que dois-je faire maintenant?

Réponse 31 / 59

Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
18 févr. 2009 à 21:50

Re,

c'est une conséquence de ton infection.

Il faut que je réfléchiss.

Réponse 32 / 59

Frederique
18 févr. 2009 à 22:10

ok pas de problème. Merci pour tout

Réponse 33 / 59

Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
18 févr. 2009 à 23:35

Re,

d'abord, tu es sûr qu'aucun autre support amovible n'a été connecté ?

Copie ou imprime les instructions avant

Déconnecte toi d'internet et ferme toutes tes applications.

Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

Rootkit::
E:\sqjr.pif
F:\sqjr.pif
E:\krmkx.exe
F:\krmkx.exe
E:\glhp.cmd
F:\glhp.cmd
E:\cqxr.pif
F:\cqxr.pif

Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{25680908-fdde-11dd-8238-0014a48c36c2}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fa9f81e6-bb47-11dd-820c-0014a48c36c2}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fb60ad0a-1e96-11db-80e0-00130201744a}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9d40e4d3-dd7f-11dd-8223-0014a48c36c2}]

Enregistre ce fichier sous le nom CFscript

Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe

Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Réactive ton parefeu, ton antivirus, la garde de ton antispyware

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.

Réponse 34 / 59

Frederique
21 févr. 2009 à 16:51

Je suis désolée, je n'ai pas purealiser lamanip avant aujourd'hui,un programme de visioconference devant tourner en continu sur ma machine,je ne pouvais rebooter.

Donc voici le résultat

---- FIREFOX POLICIES ----
# Mozilla User Preferences

/* Do not edit this file.
*
* If you make changes to this file while the application is running,
* the changes will be overwritten when the application exits.
*
* To make a manual change to preferences, you can visit the URL about:config
* For more information, see hxxp://www.mozilla.org/unix/customizing.html#prefs
*/
FF - user.js: capability.policy.policynames - allowclipboard
FF - user.js: capability.policy.allowclipboard.sites - hxxp://web.orange.es
FF - user.js: capability.policy.allowclipboard.Clipboard.cutcopy - allAccess
FF - user.js: capability.policy.allowclipboard.Clipboard.paste - allAccessc:\archivos de programa\Mozilla Firefox\defaults\profile\user.js - user_pref("capability.policy.policynames", "allowclipboard");
c:\archivos de programa\Mozilla Firefox\defaults\profile\user.js - user_pref("capability.policy.allowclipboard.sites", "https://www.mozilla.org/en-US/");
c:\archivos de programa\Mozilla Firefox\defaults\profile\user.js - user_pref("capability.policy.allowclipboard.Clipboard.cutcopy", "allAccess");
c:\archivos de programa\Mozilla Firefox\defaults\profile\user.js - user_pref("capability.policy.allowclipboard.Clipboard.paste", "allAccess");.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-21 16:32:38
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_USERS\S-1-5-21-839522115-1897051121-2147179587-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{7E6CDFEB-2FE6-0BD6-B1BD-6A83FB799281}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"hajmieoicfigccmf"=hex:61,61,00,00
"hajmieoinfplbeip"=hex:61,61,00,00
"lallkeabihgbhjllfkfipdbf"=hex:66,61,69,6f,6d,6a,68,61,62,6a,66,62,00,f6
"iadlaiigkmeknabjlk"=hex:62,61,6f,6f,00,6a

[HKEY_LOCAL_MACHINE\System\ControlSet001\Hardware Profiles\[u]0/u001\System\CurrentControlSet\SERVICES\mirror\Wb»MK*€'**D *Œ]
"Attach.ToDesktop"=dword:00000000
.
------------------------ Other Running Processes ------------------------
.
c:\archivos de programa\Lavasoft\Ad-Aware\aawservice.exe
c:\archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
c:\archivos de programa\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\archivos de programa\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
c:\pvsw\Bin\w3dbsmgr.exe
c:\windows\system32\nvsvc32.exe
c:\archivos de programa\CyberLink\Shared Files\RichVideo.exe
c:\archivos de programa\Java\jre1.5.0_10\bin\java.exe
c:\archivos de programa\WebEx\Productivity Tools\ptSrv.exe
c:\documents and settings\eric\Configuración local\Datos de programa\Pando\Pando Files\Upgrade25156\PandoSetup-2.0.3.1\PandoSetup.exe
c:\archivos de programa\WIDCOMM\Bluetooth Software\BTStackServer.exe
c:\archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpqnrs08.exe
c:\archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpqste08.exe
c:\archivos de programa\Skype\Plugin Manager\skypePM.exe
.
**************************************************************************
.
Completion time: 2009-02-21 16:45:27 - machine was rebooted
ComboFix-quarantined-files.txt 2009-02-21 15:45:24
ComboFix2.txt 2009-02-18 17:14:52
ComboFix3.txt 2009-02-18 13:15:30
ComboFix4.txt 2009-02-17 22:01:31

Pre-Run: 4.591.976.448 bytes libres
Post-Run: 4,342,648,832 bytes libres

373 --- E O F --- 2009-02-17 08:53:26

Réponse 35 / 59

Frederique
21 févr. 2009 à 16:54

Oups j'ai oublié la moitié du rapport, le voici en entier:

ComboFix 09-02-19.01 - eric 2009-02-21 16:17:01.4 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.3082.18.1022.483 [GMT 1:00]
Running from: c:\documents and settings\eric\Escritorio\ComboFix.exe
Command switches used :: c:\documents and settings\eric\Escritorio\CFscript.txt
* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

E:\cqxr.pif
E:\sqjr.pif
F:\glhp.cmd

.
((((((((((((((((((((((((( Files Created from 2009-01-21 to 2009-02-21 )))))))))))))))))))))))))))))))
.

2009-02-19 13:58 . 2009-02-19 13:58 <DIR> d-------- c:\windows\system32\IOSUBSYS
2009-02-19 09:41 . 2009-02-19 09:41 <DIR> d-------- c:\temp\Factura_Vodafone_2009_02
2009-02-19 09:40 . 2009-02-19 09:40 28,927 --a------ c:\temp\Factura_Vodafone_CI0322644064_2009_2.zip
2009-02-18 10:11 . 2009-02-18 10:11 3,613,328 --a------ c:\temp\XoftSpySE_Setup_RW.exe
2009-02-17 21:32 . 2009-02-17 21:57 <DIR> d-------- C:\ToolBar SD
2009-02-17 21:32 . 2009-02-17 21:32 420,841 --a------ c:\temp\ToolBarSD.exe
2009-02-17 21:23 . 2009-02-17 21:23 3,249,032 --a------ c:\temp\ccsetup216.exe
2009-02-17 20:40 . 2009-02-17 20:41 <DIR> d-------- C:\Rooter$
2009-02-17 20:38 . 2009-02-17 20:38 349,972 --a------ c:\temp\Rooter(2).exe
2009-02-17 20:37 . 2009-02-17 20:37 341,780 --a------ c:\temp\Rooter.exe
2009-02-17 20:35 . 2009-02-17 20:35 <DIR> d-------- C:\rsit
2009-02-17 20:35 . 2009-02-18 14:36 <DIR> d-------- c:\archivos de programa\trend micro
2009-02-17 19:16 . 2009-02-17 19:16 <DIR> d-------- c:\temp\backups
2009-02-17 19:14 . 2009-02-17 19:24 320,512 --a------ c:\temp\HijackThis.exe
2009-02-17 19:13 . 2009-02-17 19:13 212,849 --a------ c:\temp\hijackthis(3).zip
2009-02-17 18:41 . 2009-02-17 18:41 <DIR> d-------- c:\documents and settings\eric\Datos de programa\Malwarebytes
2009-02-17 18:41 . 2009-02-17 18:41 <DIR> d-------- c:\documents and settings\All Users\Datos de programa\Malwarebytes
2009-02-17 18:41 . 2009-02-17 18:41 <DIR> d-------- c:\archivos de programa\Malwarebytes' Anti-Malware
2009-02-17 18:41 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-17 18:41 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-02-17 18:40 . 2009-02-17 18:40 2,876,720 --a------ c:\temp\malwarebytes-anti-malware_malwarebytes_anti-malware_1.34_francais_215092.exe
2009-02-10 11:27 . 2009-02-16 09:51 <DIR> d-------- c:\archivos de programa\iLinc
2009-02-10 11:03 . 2009-02-21 16:06 <DIR> d-------- c:\documents and settings\eric\Datos de programa\skypePM
2009-02-10 11:03 . 2009-02-10 11:03 56 --ah----- c:\windows\system32\ezsidmv.dat
2009-02-10 11:01 . 2009-02-21 16:13 <DIR> d-------- c:\documents and settings\eric\Datos de programa\Skype
2009-02-10 11:01 . 2009-02-10 11:01 <DIR> dr------- c:\archivos de programa\Skype
2009-02-10 11:01 . 2009-02-10 11:01 <DIR> d-------- c:\archivos de programa\Archivos comunes\Skype
2009-02-10 11:00 . 2009-02-10 11:01 <DIR> d-------- c:\documents and settings\All Users\Datos de programa\Skype
2009-02-10 10:59 . 2009-02-10 11:00 23,516,968 --a------ c:\temp\SkypeSetupFull.exe
2009-02-08 01:52 . 2009-02-08 02:26 <DIR> d-------- C:\download
2009-02-08 01:08 . 2009-02-08 01:09 <DIR> d-------- c:\temp\rapget141
2009-02-07 22:48 . 2009-02-07 23:05 <DIR> d-------- c:\temp\rapiddownload
2009-02-07 22:48 . 2009-02-07 22:48 8,966 --a------ c:\temp\rapiddownload.zip
2009-02-03 23:05 . 2004-08-03 23:10 78,464 --a------ c:\windows\system32\drivers\usbvideo.sys
2009-02-03 23:05 . 2004-08-03 23:10 78,464 --a--c--- c:\windows\system32\dllcache\usbvideo.sys
2009-02-03 23:05 . 2004-08-19 15:43 20,992 --a------ c:\windows\system32\dshowext.ax
2009-02-03 23:05 . 2004-08-19 15:43 20,992 --a--c--- c:\windows\system32\dllcache\dshowext.ax

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-21 14:41 --------- d-----w c:\documents and settings\eric\Datos de programa\FileZilla
2009-02-19 12:57 --------- d-----w c:\archivos de programa\Google
2009-02-17 20:23 --------- d-----w c:\archivos de programa\CCleaner
2009-02-07 23:41 --------- d-----w c:\archivos de programa\Ludi
2009-01-20 21:31 --------- d-----w c:\archivos de programa\OpenVPN
2009-01-18 16:54 --------- d-----w c:\archivos de programa\FileZilla FTP Client
2009-01-18 16:50 --------- d-----w c:\archivos de programa\Navilog1
2009-01-18 16:46 --------- d-----w c:\archivos de programa\FileZilla
2009-01-18 16:14 --------- dc----w c:\documents and settings\All Users\Datos de programa\{92E7A367-8E12-4830-AA70-29C32E331A81}
2009-01-18 15:49 --------- d-----w c:\archivos de programa\Lavasoft
2009-01-18 15:48 --------- d-----w c:\archivos de programa\Archivos comunes\Wise Installation Wizard
2009-01-18 15:47 --------- d-----w c:\documents and settings\All Users\Datos de programa\Lavasoft
2009-01-16 11:04 --------- d-----w c:\documents and settings\eric\Datos de programa\Artweaver
2009-01-16 11:04 --------- d-----w c:\archivos de programa\Artweaver 0.5
2009-01-11 16:01 --------- d-----w c:\archivos de programa\MP3 Player Utilities 4.15
2009-01-11 15:59 --------- d-----w c:\archivos de programa\K-Lite Codec Pack
2009-01-10 18:09 --------- d-----w c:\archivos de programa\WiredRed
2009-01-08 09:37 --------- d-----w c:\documents and settings\eric\Datos de programa\VSee
2008-12-08 18:39 36,016 ----a-w c:\documents and settings\eric\Datos de programa\GDIPFONTCACHEV1.DAT
2006-08-03 11:43 278,528 ----a-w c:\archivos de programa\Archivos comunes\FDEUnInstaller.exe
2003-04-22 18:24 2,736,128 ------w c:\archivos de programa\aiodrv.msi
2003-04-22 18:20 2,605,056 ------w c:\archivos de programa\aiosw.msi
2003-04-22 18:01 241 ----a-w c:\archivos de programa\readme.html
2003-04-22 18:01 16,606 ----a-w c:\archivos de programa\hpomdl01.dat
2003-04-09 17:19 2,848 ----a-w c:\archivos de programa\hpound08.inf
2003-04-09 17:19 14,157 ----a-w c:\archivos de programa\hpousc08.inf
2003-04-09 17:00 4,715 ----a-w c:\archivos de programa\hpoglu08.inf
2003-04-09 17:00 2,889 ----a-w c:\archivos de programa\hpousb08.inf
2003-03-21 12:45 250,544 ----a-w c:\archivos de programa\Archivos comunes\keyhelp.ocx
2003-03-20 15:20 24,728 ----a-w c:\archivos de programa\HPZipr12.cat
2003-03-20 15:20 24,285 ----a-w c:\archivos de programa\hposcu08.cat
2003-03-20 15:20 22,523 ----a-w c:\archivos de programa\HPZius12.cat
2003-03-20 15:20 22,082 ----a-w c:\archivos de programa\hpzist12.cat
2003-03-20 15:20 22,082 ----a-w c:\archivos de programa\HPZid412.cat
2003-03-20 15:20 21,641 ----a-w c:\archivos de programa\HPOunp08.cat
2003-03-20 15:20 205,503 ----a-w c:\archivos de programa\hpoprn08.cat
2003-03-09 20:30 63,562 ----a-w c:\archivos de programa\hposcu08.inf
2003-03-09 20:30 51,266 ----a-w c:\archivos de programa\hpoprn08.inf
2003-03-09 20:30 33,952 ----a-w c:\archivos de programa\hpzid412.inf
2003-03-09 20:30 3,898 ----a-w c:\archivos de programa\hpounp08.inf
2003-03-09 20:30 3,667 ----a-w c:\archivos de programa\hpzist12.inf
2003-03-09 20:30 274,432 ----a-w c:\archivos de programa\hpzglu07.exe
2003-03-09 20:30 237,568 ----a-w c:\archivos de programa\hpzc3212.dll
2003-03-09 20:30 23,186 ----a-w c:\archivos de programa\hpzcin06.ex_
2003-03-09 20:30 184,320 ----a-w c:\archivos de programa\hpzscr07.dll
2003-03-09 20:30 16,352 ----a-w c:\archivos de programa\HPZUCI12.DLL
2003-03-09 20:30 14,285 ----a-w c:\archivos de programa\hpzius12.inf
2003-03-09 20:30 10,325 ----a-w c:\archivos de programa\hpzipr12.inf
2002-09-09 17:48 458,752 ----a-w c:\archivos de programa\tls704d.dll
2002-09-09 17:48 22,608 ----a-w c:\archivos de programa\usbprint.sys
2002-09-09 17:48 12,288 ----a-w c:\archivos de programa\usbmon.dll
2002-09-09 17:47 70,656 ----a-w c:\archivos de programa\msvcirt.dll
2002-09-09 17:47 55,155 ----a-w c:\archivos de programa\hpzusb00.sy_
2002-09-09 17:47 5,705 ----a-w c:\archivos de programa\hpzuci02.dl_
2002-09-09 17:47 254,005 ----a-w c:\archivos de programa\msvcrt.dll
2002-09-09 17:47 25,639 ----a-w c:\archivos de programa\hpzpom04.dl_
2002-09-09 17:47 212,992 ----a-w c:\archivos de programa\hpzpnp07.dll
2002-09-09 17:46 52,552 ----a-w c:\archivos de programa\hpziou01.dl_
2002-09-09 17:46 49,212 ----a-w c:\archivos de programa\hpzjvp01.dll
2002-09-09 17:46 46,017 ----a-w c:\archivos de programa\hpzion00.sy_
2002-09-09 17:46 417,849 ----a-w c:\archivos de programa\hpzjpp01.dll
2002-09-09 17:46 28,722 ----a-w c:\archivos de programa\hpzjlog.dll
2002-09-09 17:46 249,913 ----a-w c:\archivos de programa\hpzjut01.dll
2002-09-06 09:54 995,383 ----a-w c:\archivos de programa\MFC42.DLL
2008-11-18 09:00 27,976 ----a-w c:\archivos de programa\mozilla firefox\plugins\atgpcdec.dll
2008-11-18 09:00 126,360 ----a-w c:\archivos de programa\mozilla firefox\plugins\atgpcext.dll
2008-11-17 22:07 46,408 ----a-w c:\archivos de programa\mozilla firefox\plugins\atmccli.dll
2008-11-17 22:08 98,712 ----a-w c:\archivos de programa\mozilla firefox\plugins\ieatgpc.dll
.

((((((((((((((((((((((((((((( SnapShot@2009-02-17_22.58.39.56 )))))))))))))))))))))))))))))))))))))))))
.
+ 2005-10-20 19:02:28 163,328 ----a-w c:\windows\ERDNT\subs\ERDNT.EXE
- 2007-03-27 07:55:31 36,624 ------w c:\windows\system32\drivers\PxHelp20.sys
+ 2008-07-31 22:17:04 43,872 ----a-w c:\windows\system32\drivers\pxhelp20.sys
+ 2009-01-05 22:33:03 3,751,995 ----a-w c:\windows\system32\GPhotos.scr
+ 2009-02-21 15:31:54 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_414.dat
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Power2GoExpress"="NA" [X]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-20 15360]
"MsnMsgr"="c:\archivos de programa\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5752176]
"Pando"="c:\archivos de programa\Pando Networks\Pando\Pando.exe" [2008-02-09 6128968]
"PTIM.exe"="c:\archivos de programa\WebEx\Productivity Tools\PTIM.exe" [2008-08-03 279880]
"ptmsgfrm.exe"="c:\archivos de programa\WebEx\Productivity Tools\ptmsgfrm.exe" [2008-08-03 116040]
"PTOneClick"="c:\archivos de programa\WebEx\Productivity Tools\ptoneclk.exe" [2008-08-03 247112]
"Skype"="c:\archivos de programa\Skype\Phone\Skype.exe" [2009-02-04 23975720]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"!AVG Anti-Spyware"="c:\archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 6805040]
"TkBellExe"="c:\archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" [2007-02-20 259512]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-12-08 7340032]
"HP Software Update"="c:\archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" [2006-02-19 126976]
"Adobe Reader Speed Launcher"="c:\archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 104304]
"SignIn"="c:\archivos de programa\Microsoft Online Services\Sign In\SignIn.exe" [2008-11-06 1669992]
"QuickTime Task"="c:\archivos de programa\QuickTime\qttask.exe" [2006-08-15 360448]
"ConferenceOnCall"="c:\archivos de programa\Easymeeting\ConferenceOnCall\AgentCond.exe" [2008-12-04 3131128]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-20 15360]

c:\documents and settings\eric\Men£ Inicio\Programas\Inicio\
Outil de d‚tection de support de Cyber-shot Viewer.lnk - c:\archivos de programa\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe [2006-09-14 233472]

c:\documents and settings\All Users\Men£ Inicio\Programas\Inicio\
BTTray.lnk - c:\archivos de programa\WIDCOMM\Bluetooth Software\BTTray.exe [2005-09-19 655421]
e-Carte Bleue Banque Populaire.lnk - c:\archivos de programa\e-Carte Bleue Banque Populaire\ecbl-nxbp.exe [2008-11-12 348160]
HP Digital Imaging Monitor.lnk - c:\archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe [2006-02-19 358104]
hpoddt01.exe.lnk - c:\archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2008-12-09 106496]
Inicio r pido de HP Photosmart Premier.lnk - c:\archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpqthb08.exe [2006-02-10 155648]
Microsoft Office.lnk - c:\archivos de programa\Microsoft Office\Office10\OSA.EXE [2001-02-13 161184]
Service Manager.lnk - c:\archivos de programa\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe [2002-12-17 143940]
WinZip Quick Pick.lnk - c:\archivos de programa\WinZip\WZQKPICK.EXE [2006-10-21 196608]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableRegistryTools"= 1 (0x1)
"DisableTaskMgr"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.clmp3enc"= c:\archiv~1\CYBERL~1\Power2Go\CLMP3Enc.ACM
"VIDC.YULS"= yuls.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
"UacDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"FirewallOverride"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"UacDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Archivos de programa\\Autodesk\\backburner\\monitor.exe"=
"c:\\Archivos de programa\\Autodesk\\backburner\\manager.exe"=
"c:\\Archivos de programa\\Autodesk\\backburner\\server.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Truckbus\\simulation.exe"=
"c:\\Archivos de programa\\MSN Messenger\\msnmsgr.exe"= c:\\Archivos de programa\\MSN Messenger\\MsnMsgr.Exe
"c:\\Archivos de programa\\MSN Messenger\\livecall.exe"=
"c:\\Archivos de programa\\Java\\jre1.5.0_10\\bin\\javaw.exe"=
"c:\\Archivos de programa\\Microsoft Platform Builder\\6.00\\cepb\\wcetk\\cetest.exe"=
"c:\\Archivos de programa\\Archivos comunes\\Microsoft Shared\\Windows CE Tools\\Platman\\bin\\cemgr.exe"=
"c:\\Archivos de programa\\Pando Networks\\Pando\\pando.exe"=
"c:\\simex\\bin\\Release\\simex.exe"=
"c:\\Archivos de programa\\TightVNC\\WinVNC.exe"=
"c:\\FPD\\visio.exe"=
"c:\\PVSW\\Bin\\w3dbsmgr.exe"=
"c:\\Archivos de programa\\Hewlett-Packard\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Archivos de programa\\Hewlett-Packard\\Digital Imaging\\bin\\hpqste08.exe"= c:\\Archivos de programa\\Hewlett-Packard\\Digital Imaging\\Bin\\hpqSTE08.exe
"c:\\Archivos de programa\\Hewlett-Packard\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Archivos de programa\\Hewlett-Packard\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Archivos de programa\\Hewlett-Packard\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Archivos de programa\\Hewlett-Packard\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Archivos de programa\\Hewlett-Packard\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Archivos de programa\\Hewlett-Packard\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Archivos de programa\\Hewlett-Packard\\Digital Imaging\\bin\\hpfccopy.exe"=
"c:\\Archivos de programa\\Hewlett-Packard\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Archivos de programa\\Hewlett-Packard\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Archivos de programa\\Hewlett-Packard\\Digital Imaging\\Unload\\HpqDIA.exe"=
"c:\\Archivos de programa\\Hewlett-Packard\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Archivos de programa\\Hewlett-Packard\\Digital Imaging\\bin\\hpqnrs08.exe"=
"c:\\Archivos de programa\\EBP\\Compta13.0\\compta.exe"=
"c:\\Archivos de programa\\Java\\jre1.6.0_07\\bin\\javaw.exe"=
"c:\\Archivos de programa\\Vuze\\Azureus.exe"=
"c:\\Archivos de programa\\Microsoft Office\\Live Meeting 8\\Console\\PWConsole.exe"=
"c:\\temp\\visio_client.exe"=
"c:\\FPD\\test espagnol word\\visio_client.exe"=
"c:\\Archivos de programa\\VSee\\vsee.exe"=
"c:\\FPD\\visio15ene.exe"=
"c:\\Documents and Settings\\eric\\Configuración local\\Datos de programa\\Pando\\Pando Files\\Upgrade25156\\PandoSetup-2.0.3.1\\PandoPushInst.exe"=
"c:\\Documents and Settings\\eric\\Configuración local\\Datos de programa\\Pando\\Pando Files\\Upgrade25156\\PandoSetup-2.0.3.1\\PandoSetup.exe"=
"c:\\Archivos de programa\\Archivos comunes\\Real\\Update_OB\\realsched.exe"=
"c:\\Archivos de programa\\Mozilla Firefox\\firefox.exe"=
"c:\\Archivos de programa\\Microsoft Office\\Office10\\WINWORD.EXE"=
"c:\\Archivos de programa\\Adobe\\Reader 9.0\\Reader\\Reader_sl.exe"=
"c:\\Archivos de programa\\Grisoft\\AVG Anti-Spyware 7.5\\avgas.exe"=
"c:\\Archivos de programa\\QuickTime\\qttask.exe"=
"c:\\Archivos de programa\\Microsoft SQL Server\\80\\Tools\\Binn\\sqlmangr.exe"=
"c:\\Archivos de programa\\Hewlett-Packard\\HP Software Update\\HPWuSchd2.exe"=
"c:\\Archivos de programa\\e-Carte Bleue Banque Populaire\\ecbl-nxbp.exe"=
"c:\\Archivos de programa\\WinZip\\WZQKPICK.EXE"=
"c:\\Archivos de programa\\Hewlett-Packard\\Digital Imaging\\bin\\hpotdd01.exe"=
"c:\\Archivos de programa\\WebEx\\Productivity Tools\\PTIM.exe"=
"c:\\Archivos de programa\\WebEx\\Productivity Tools\\ptoneclk.exe"=
"c:\\Documents and Settings\\eric\\Escritorio\\Copia de visio.exe"=
"c:\\Archivos de programa\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Archivos de programa\\Malwarebytes' Anti-Malware\\mbam.exe"=
"c:\\WINDOWS\\system32\\wuauclt.exe"=
"c:\\Archivos de programa\\Skype\\Phone\\Skype.exe"=

R0 BsStor;B.H.A Storage Helper Driver;c:\windows\system32\drivers\BsStor.sys [2006-07-27 10112]
R0 RITCPT;RITCPT;c:\windows\system32\drivers\RITCPT.SYS [2006-07-29 43512]
R0 VVBackd5;VVBackd5;c:\windows\system32\drivers\VVBackd5.sys [2006-07-29 183159]
R1 LUMDriver;LUMDriver;c:\windows\system32\drivers\LUMDriver.sys [2006-10-13 14912]
R2 BsUDF;B.H.A UDF Filesystem;c:\windows\system32\drivers\BsUDF.sys [2006-07-27 165248]
R2 DOSMEMIO;MEMIO;c:\windows\system32\MEMIO.SYS [2006-07-27 4300]
R2 EBP Pervasive.SQL;EBP Pervasive.SQL;c:\pvsw\Bin\WGE_SRV.exe [2006-12-07 32768]
R2 Red5;Red5;c:\archivos de programa\Red5\wrapper\wrapper.exe [2008-12-17 135168]
R2 SNM WLAN Service;SNM WLAN Service;c:\archivos de programa\Samsung\Samsung Network Manager\SNMWLANService.exe [2005-05-28 36864]
R2 SRS_PostInstaller;SRS PostInstaller Service;c:\archivos de programa\SRS Labs\WOWXT and TSXT Driver\SRS_PostInstaller.exe [2005-11-28 31744]
R3 abp470n5;abp470n5;\??\c:\windows\system32\drivers\gomnnv.sys --> c:\windows\system32\drivers\gomnnv.sys [?]
R3 tap0901;TAP-Win32 Adapter V9;c:\windows\system32\drivers\tap0901.sys [2008-09-23 25216]
R3 wowfilter;WOW XT Filter Driver;c:\windows\system32\drivers\WOWFilter.sys [2005-11-28 19456]
S3 ADDMEM;ADDMEM;\??\c:\windows\TEMP\__Samsung_Update\ADDMEM.SYS --> c:\windows\TEMP\__Samsung_Update\ADDMEM.SYS [?]
S3 lxci_device;lxci_device;c:\windows\system32\lxcicoms.exe -service --> c:\windows\system32\lxcicoms.exe -service [?]
S3 MCUSBPIC32MXSK;Microchip MPLAB PIC32MX Starter Kit Driver (MP32MXSK.SYS);c:\windows\system32\drivers\mp32mxsk.sys [2007-06-06 61440]
S3 SIS163u;SiS163 usb Wireless LAN Adapter Driver;c:\windows\system32\drivers\sis163u.sys [2005-06-20 215040]
S3 SUEPD;SUE NDIS Protocol Driver;c:\windows\system32\drivers\SUE_PD.sys [2006-07-29 19840]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{01da72e3-6b8b-11db-8143-0014a48c36c2}]
\Shell\AutoRun\command - E:\InstallTomTomHOME.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{57a77716-9c31-11dd-8202-00130201744a}]
\ShEll\auTOplAY\COmMand - F:\ikyejn.exe
\ShEll\AutoRun\command - F:\ikyejn.exe
\ShEll\ExploRE\cOMMANd - F:\ikyejn.exe
\ShEll\open\ComManD - F:\ikyejn.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cd71c7b1-7b57-11db-8149-00130201744a}]
\Shell\AutoRun\command - E:\setupSNK.exe
.
- - - - ORPHANS REMOVED - - - -

HKCU-Run-Picasa Media Detector - c:\archivos de programa\Picasa2\PicasaMediaDetector.exe

.
------- Supplementary Scan -------
.
uStart Page = hxxp://home.neuf.fr/
uSearchMigratedDefaultURL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
uDefault_Search_URL = hxxp://www.google.com/ie
mWindow Title =
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Add to AMV Converter... - c:\archivos de programa\MP3 Player Utilities 4.15\AMVConverter\grab.html
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&xport to Microsoft Excel - c:\archiv~1\MICROS~3\Office10\EXCEL.EXE/3000
IE: Enviar a &Bluetooth - c:\archivos de programa\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: MediaManager tool grab multimedia file - c:\archivos de programa\MP3 Player Utilities 4.15\MediaManager\grab.html
TCP: {7495B750-4B25-4530-827C-9BB6C34DE190} = 80.58.61.250,80.58.61.254
TCP: {82BB2197-4CAA-40EC-814B-373E5425B154} = 80.58.0.33,80.58.32.97
DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} - hxxp://downloads.ewido.net/ewidoOnlineScan.cab
DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} - hxxp://activex.camfrogweb.com/advanced/2.0.2.3/cfweb_activex.camfrogweb.com-advanced-2.0.2.3_instmodule.exe
DPF: {B91AEDBE-93DF-4017-8BB3-F1C300C0EC51} - hxxp://av3m.telefonica.net/public/AntivirusOneClickInstall/setup.exe
FF - ProfilePath - c:\documents and settings\eric\Datos de programa\Mozilla\Firefox\Profiles\mlul18kw.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Ask
FF - prefs.js: browser.startup.homepage - hxxp://google.fr/
FF - prefs.js: keyword.URL - hxxp://toolbar.ask.com/toolbarv/askRedirect?o=10615&gct=&gc=1&q=
FF - component: c:\archivos de programa\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
FF - component: c:\archivos de programa\WebEx\Productivity Tools\components\OCFF.dll
FF - plugin: c:\archivos de programa\Google\Picasa3\npPicasa2.dll
FF - plugin: c:\archivos de programa\Google\Picasa3\npPicasa3.dll
FF - plugin: c:\archivos de programa\Mozilla Firefox\plugins\npatgpc.dll
FF - plugin: c:\archivos de programa\Mozilla Firefox\plugins\NPCltInstall.dll
FF - plugin: c:\archivos de programa\Mozilla Firefox\plugins\npmozax.dll

---- FIREFOX POLICIES ----
# Mozilla User Preferences

/* Do not edit this file.
*
* If you make changes to this file while the application is running,
* the changes will be overwritten when the application exits.
*
* To make a manual change to preferences, you can visit the URL about:config
* For more information, see hxxp://www.mozilla.org/unix/customizing.html#prefs
*/
FF - user.js: capability.policy.policynames - allowclipboard
FF - user.js: capability.policy.allowclipboard.sites - hxxp://web.orange.es
FF - user.js: capability.policy.allowclipboard.Clipboard.cutcopy - allAccess
FF - user.js: capability.policy.allowclipboard.Clipboard.paste - allAccessc:\archivos de programa\Mozilla Firefox\defaults\profile\user.js - user_pref("capability.policy.policynames", "allowclipboard");
c:\archivos de programa\Mozilla Firefox\defaults\profile\user.js - user_pref("capability.policy.allowclipboard.sites", "https://www.mozilla.org/en-US/");
c:\archivos de programa\Mozilla Firefox\defaults\profile\user.js - user_pref("capability.policy.allowclipboard.Clipboard.cutcopy", "allAccess");
c:\archivos de programa\Mozilla Firefox\defaults\profile\user.js - user_pref("capability.policy.allowclipboard.Clipboard.paste", "allAccess");.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-21 16:32:38
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_USERS\S-1-5-21-839522115-1897051121-2147179587-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{7E6CDFEB-2FE6-0BD6-B1BD-6A83FB799281}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"hajmieoicfigccmf"=hex:61,61,00,00
"hajmieoinfplbeip"=hex:61,61,00,00
"lallkeabihgbhjllfkfipdbf"=hex:66,61,69,6f,6d,6a,68,61,62,6a,66,62,00,f6
"iadlaiigkmeknabjlk"=hex:62,61,6f,6f,00,6a

[HKEY_LOCAL_MACHINE\System\ControlSet001\Hardware Profiles\[u]0/u001\System\CurrentControlSet\SERVICES\mirror\Wb»MK*€'**D *Œ]
"Attach.ToDesktop"=dword:00000000
.
------------------------ Other Running Processes ------------------------
.
c:\archivos de programa\Lavasoft\Ad-Aware\aawservice.exe
c:\archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
c:\archivos de programa\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\archivos de programa\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
c:\pvsw\Bin\w3dbsmgr.exe
c:\windows\system32\nvsvc32.exe
c:\archivos de programa\CyberLink\Shared Files\RichVideo.exe
c:\archivos de programa\Java\jre1.5.0_10\bin\java.exe
c:\archivos de programa\WebEx\Productivity Tools\ptSrv.exe
c:\documents and settings\eric\Configuración local\Datos de programa\Pando\Pando Files\Upgrade25156\PandoSetup-2.0.3.1\PandoSetup.exe
c:\archivos de programa\WIDCOMM\Bluetooth Software\BTStackServer.exe
c:\archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpqnrs08.exe
c:\archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpqste08.exe
c:\archivos de programa\Skype\Plugin Manager\skypePM.exe
.
**************************************************************************
.
Completion time: 2009-02-21 16:45:27 - machine was rebooted
ComboFix-quarantined-files.txt 2009-02-21 15:45:24
ComboFix2.txt 2009-02-18 17:14:52
ComboFix3.txt 2009-02-18 13:15:30
ComboFix4.txt 2009-02-17 22:01:31

Pre-Run: 4.591.976.448 bytes libres
Post-Run: 4,342,648,832 bytes libres

373 --- E O F --- 2009-02-17 08:53:26

Réponse 36 / 59

Frederique
21 févr. 2009 à 17:01

Je viens de repasser Malware byte et les virus sont toujours là
Malwarebytes' Anti-Malware 1.34
Version de la base de données: 1770
Windows 5.1.2600 Service Pack 2

21/02/2009 16:59:35
mbam-log-2009-02-21 (16-59-29).txt

Type de recherche: Examen rapide
Eléments examinés: 74567
Temps écoulé: 6 minute(s), 38 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 8

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> No action taken.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\NetworkService\Cookies\MM2048.DAT (Trojan.Agent) -> No action taken.
C:\Documents and Settings\NetworkService\Cookies\MM256.DAT (Trojan.Agent) -> No action taken.
C:\Documents and Settings\NetworkService\Cookies\bumo.reg (Fake.Dropped.Malware) -> No action taken.
C:\Documents and Settings\NetworkService\Cookies\jababug.inf (Fake.Dropped.Malware) -> No action taken.
C:\Documents and Settings\NetworkService\Cookies\uwux.exe (Fake.Dropped.Malware) -> No action taken.
C:\Documents and Settings\NetworkService\Cookies\jiceji._sy (Fake.Dropped.Malware) -> No action taken.
C:\Documents and Settings\NetworkService\Cookies\esycire._dl (Fake.Dropped.Malware) -> No action taken.
C:\Documents and Settings\NetworkService\Cookies\syssp.exe (Fake.Dropped.Malware) -> No action taken.

On avance???

Réponse 37 / 59

Frederique
22 févr. 2009 à 17:49

Quelqu'un a une idée de ce que je dois faire?

Réponse 38 / 59

Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
24 févr. 2009 à 17:37

Bonjour,

oui, moi.

mais il me faut du temps.

Supprime déjà ce que MBAM a trouvé.

Réponse 39 / 59

Frederique
25 févr. 2009 à 08:56

ok, j'ai supprimé avec malware bytes et aussi avec trojan remover mais rien à faire. Ça revient systématiquement.

Et depuis quelques jours j'ai un nouveau problème qui n'a peut-être aucun rapport, lorsaque j'ouvre un dossier contenant des images, que ce soit directement ou par le biais d'autres applications,par exemple pour rechercher des documents à uploader, à joindre à unmail ou autres, y'a plantage de l'application, ou fermeture automatique du dossier contenant si j'ai ouvert sans passer par une application. C'est pénible.

Je le dis au cas où ce serait lié et ça apporterait une piste.

Merci encore Lyonnais pour le temps que tu m'accordes.

Réponse 40 / 59

Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
25 févr. 2009 à 11:29

Bonjour,

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : c:\windows\system32\drivers\RITCPT.SYS

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant

Copie ou imprime les instructions avant

Déconnecte toi d'internet et ferme toutes tes applications.

Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

Rootkit::
F:\ikyejn.exe
c:\windows\system32\drivers\gomnnv.sys

driver::
abp470n5

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{57a77716-9c31-11dd-8202-00130201744a}]

Regnull::
[HKEY_USERS\S-1-5-21-839522115-1897051121-2147179587-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{7E6CDFEB-2FE6-0BD6-B1BD-6A83FB799281}*]
[HKEY_LOCAL_MACHINE\System\ControlSet001\Hardware Profiles\0001\System\CurrentControlSet\SERVICES\mirror\Wb»MK*€'**D *Œ]

Enregistre ce fichier sous le nom CFscript

Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe

Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Réactive ton parefeu, ton antivirus, la garde de ton antispyware

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.

Gestionnaire de tâches desactivé par virus

59 réponses

Discussions similaires

Newsletters