Aidez moi a desinfecter mon pc
Fermé
mdsow88
Messages postés
57
Date d'inscription
dimanche 14 septembre 2008
Statut
Membre
Dernière intervention
6 mars 2009
-
25 févr. 2009 à 20:07
mdsow88 Messages postés 57 Date d'inscription dimanche 14 septembre 2008 Statut Membre Dernière intervention 6 mars 2009 - 3 mars 2009 à 19:18
mdsow88 Messages postés 57 Date d'inscription dimanche 14 septembre 2008 Statut Membre Dernière intervention 6 mars 2009 - 3 mars 2009 à 19:18
A voir également:
- Aidez moi a desinfecter mon pc
- Test performance pc - Guide
- Mon pc rame que faire - Guide
- Reinitialiser pc - Guide
- Plus de son sur mon pc - Guide
- Mon pc s'allume mais ne démarre pas windows 10 - Guide
7 réponses
ep44
Messages postés
7393
Date d'inscription
samedi 10 novembre 2007
Statut
Contributeur
Dernière intervention
11 novembre 2010
3
25 févr. 2009 à 20:08
25 févr. 2009 à 20:08
Bonsoir
on va vérifier ça :)
Télécharge Random's System Information Tool (RSIT) par random/random et sauvegarde-le sur ton Bureau.
http://images.malwareremoval.com/random/RSIT.exe
* Double-clique sur RSIT.exe afin de lancer RSIT.
* Clique sur Continue à l'écran Disclaimer.
* Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
* Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.
--> Poste le contenu de log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).
Note : Les deux rapports sont également sauvegardés C:\rsit
on va vérifier ça :)
Télécharge Random's System Information Tool (RSIT) par random/random et sauvegarde-le sur ton Bureau.
http://images.malwareremoval.com/random/RSIT.exe
* Double-clique sur RSIT.exe afin de lancer RSIT.
* Clique sur Continue à l'écran Disclaimer.
* Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
* Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.
--> Poste le contenu de log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).
Note : Les deux rapports sont également sauvegardés C:\rsit
mdsow88
Messages postés
57
Date d'inscription
dimanche 14 septembre 2008
Statut
Membre
Dernière intervention
6 mars 2009
25 févr. 2009 à 20:16
25 févr. 2009 à 20:16
Rapport log.txt
Logfile of random's system information tool 1.05 (written by random/random)
Run by el-sow at 2009-02-25 19:11:49
Microsoft Windows XP Professionnel
System drive C: has 2 GB (27%) free of 6 GB
Total RAM: 127 MB (8% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:12:03, on 25/02/2009
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\WgaTray.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\DOCUME~1\el-sow\LOCALS~1\Temp\winhrijk.exe
C:\DOCUME~1\el-sow\LOCALS~1\Temp\winwtwgc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\dllhost.exe
C:\Documents and Settings\el-sow\Bureau\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\el-sow.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
Logfile of random's system information tool 1.05 (written by random/random)
Run by el-sow at 2009-02-25 19:11:49
Microsoft Windows XP Professionnel
System drive C: has 2 GB (27%) free of 6 GB
Total RAM: 127 MB (8% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:12:03, on 25/02/2009
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\WgaTray.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\DOCUME~1\el-sow\LOCALS~1\Temp\winhrijk.exe
C:\DOCUME~1\el-sow\LOCALS~1\Temp\winwtwgc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\dllhost.exe
C:\Documents and Settings\el-sow\Bureau\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\el-sow.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
ep44
Messages postés
7393
Date d'inscription
samedi 10 novembre 2007
Statut
Contributeur
Dernière intervention
11 novembre 2010
3
25 févr. 2009 à 20:52
25 févr. 2009 à 20:52
Télécharge combofix.exe (par sUBs) et sauvegarde le sur ton bureau.
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
* Déconnecte toi d'internet et ferme toutes tes applications.
* Désactive tes protections (antivirus, parefeu,antispyware) provisoirement et seulement le temps de l'utilisation de ComboFix,
* Double-clic sur combofix.exe, il est possible que ton parefeu te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sûre: accepte.
* /!\ Ne touche à rien tant que le scan n'est pas terminé.Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne /!\
* Attends que Combofix ait terminé, un rapport sera créé.
* réactive ton parefeu, ton antivirus, la garde de ton antispyware
* copie/colle le rapport, le rapport se trouve dans : C:\Combofix.txt
* Réactive tes protections en temps réel, Antivirus, Antispywares, avant de te reconnecter à internet.
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
* Déconnecte toi d'internet et ferme toutes tes applications.
* Désactive tes protections (antivirus, parefeu,antispyware) provisoirement et seulement le temps de l'utilisation de ComboFix,
* Double-clic sur combofix.exe, il est possible que ton parefeu te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sûre: accepte.
* /!\ Ne touche à rien tant que le scan n'est pas terminé.Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne /!\
* Attends que Combofix ait terminé, un rapport sera créé.
* réactive ton parefeu, ton antivirus, la garde de ton antispyware
* copie/colle le rapport, le rapport se trouve dans : C:\Combofix.txt
* Réactive tes protections en temps réel, Antivirus, Antispywares, avant de te reconnecter à internet.
mdsow88
Messages postés
57
Date d'inscription
dimanche 14 septembre 2008
Statut
Membre
Dernière intervention
6 mars 2009
26 févr. 2009 à 08:58
26 févr. 2009 à 08:58
ComboFix 09-02-24.02 - el-sow 2009-02-25 21:00:30.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.0.1252.1.1036.18.127.42 [GMT 0:00]
Lancé depuis: C:\Documents and Settings\el-sow\Bureau\ComboFix.exe
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
E:\autorun.inf
E:\ceb6eu98.bat
.
---- Exécution préalable -------
.
C:\autorun.inf
C:\ceb6eu98.bat
C:\WINDOWS\IE4 Error Log.txt
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\kav320.dll
C:\WINDOWS\system32\optyhww0.dll
C:\WINDOWS\system32\urretnd.exe
D:\Autorun.inf
D:\ceb6eu98.bat
E:\ceb6eu98.bat
E:\rbvwxi.pif
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_DAC970NT
-------\Legacy_IPRIP
-------\Service_dac970nt
-------\Service_Iprip
-------\Legacy_DAC970NT
-------\Legacy_IPRIP
-------\Service_dac970nt
-------\Service_Iprip
((((((((((((((((((((((((((((( Fichiers créés du 2009-01-25 au 2009-02-25 ))))))))))))))))))))))))))))))))))))
.
Microsoft Windows XP Professionnel 5.1.2600.0.1252.1.1036.18.127.42 [GMT 0:00]
Lancé depuis: C:\Documents and Settings\el-sow\Bureau\ComboFix.exe
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
E:\autorun.inf
E:\ceb6eu98.bat
.
---- Exécution préalable -------
.
C:\autorun.inf
C:\ceb6eu98.bat
C:\WINDOWS\IE4 Error Log.txt
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\kav320.dll
C:\WINDOWS\system32\optyhww0.dll
C:\WINDOWS\system32\urretnd.exe
D:\Autorun.inf
D:\ceb6eu98.bat
E:\ceb6eu98.bat
E:\rbvwxi.pif
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_DAC970NT
-------\Legacy_IPRIP
-------\Service_dac970nt
-------\Service_Iprip
-------\Legacy_DAC970NT
-------\Legacy_IPRIP
-------\Service_dac970nt
-------\Service_Iprip
((((((((((((((((((((((((((((( Fichiers créés du 2009-01-25 au 2009-02-25 ))))))))))))))))))))))))))))))))))))
.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
mdsow88
Messages postés
57
Date d'inscription
dimanche 14 septembre 2008
Statut
Membre
Dernière intervention
6 mars 2009
26 févr. 2009 à 11:53
26 févr. 2009 à 11:53
j'espere que vous m'avez pas oublié
ep44
Messages postés
7393
Date d'inscription
samedi 10 novembre 2007
Statut
Contributeur
Dernière intervention
11 novembre 2010
3
26 févr. 2009 à 19:44
26 févr. 2009 à 19:44
Bonjour,
Non je ne t'ai pas oublié.
Mais ton rapport n'est pas en entier, il me le faut en entier.
Regarde ici et tu le trouveras
C:Combofix.txt
Non je ne t'ai pas oublié.
Mais ton rapport n'est pas en entier, il me le faut en entier.
Regarde ici et tu le trouveras
C:Combofix.txt
mdsow88
Messages postés
57
Date d'inscription
dimanche 14 septembre 2008
Statut
Membre
Dernière intervention
6 mars 2009
3 mars 2009 à 19:18
3 mars 2009 à 19:18
Je suis vraiment désolé d'etre rester tout ce temps silencieux
Voici le rapport.
ComboFix 09-03-02.03 - el-sow 2009-03-03 17:41:30.5 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.0.1252.1.1036.18.127.29 [GMT 0:00]
Lancé depuis: E:\ComboFix.exe
.
[color=purple]Les fichiers ci-dessous ont été désactivés pendant l'exécution:[/color]
c:\program files\SuperCopier2\SC2Hook.dll
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
E:\autorun.inf
E:\dofdsb.cmd
E:\hmdwyv.cmd
E:\log.exe
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_DAC970NT
-------\Service_dac970nt
((((((((((((((((((((((((((((( Fichiers créés du 2009-02-03 au 2009-03-03 ))))))))))))))))))))))))))))))))))))
.
2009-03-02 13:19 . 2009-03-02 13:23 <REP> d----c--- c:\documents and settings\el-sow\Application Data\dvdcss
2009-02-28 15:12 . 2009-02-28 15:13 <REP> d----c--- c:\documents and settings\el-sow\Application Data\vlc
2009-02-28 15:04 . 2009-02-28 15:04 <REP> d----c--- c:\program files\VideoLAN
2009-02-28 14:54 . 2009-03-03 17:49 <REP> d----c--- c:\program files\SuperCopier2
2009-02-25 19:26 . 2009-02-25 19:25 104,459 -r-hsc--- C:\tvlx2fg.exe
2009-02-24 20:58 . 2009-02-24 20:58 142 --a--c--- c:\windows\system32\spupdsvc.inf
2009-02-24 13:08 . 2009-02-24 13:08 <REP> d----c--- c:\program files\Trend Micro
2009-02-22 17:46 . 2009-02-22 17:46 <REP> d----c--- c:\program files\Avira
2009-02-22 17:46 . 2009-02-22 17:46 <REP> d----c--- c:\documents and settings\All Users.WINDOWS\Application Data\Avira
2009-02-20 18:02 . 2009-02-25 13:54 <REP> d----c--- c:\windows\system32\NtmsData
2009-02-04 16:09 . 2009-02-24 14:13 <REP> d----c--- c:\program files\Code de la route
2009-02-04 13:46 . 2005-06-19 17:59 <REP> d--h-c--- c:\documents and settings\Invité\Voisinage réseau
2009-02-04 13:46 . 2005-06-19 17:59 <REP> d--h-c--- c:\documents and settings\Invité\Voisinage réseau
2009-02-04 13:46 . 2005-06-19 17:59 <REP> d--h-c--- c:\documents and settings\Invité\Voisinage d'impression
2009-02-04 13:46 . 2005-06-19 17:59 <REP> d--h-c--- c:\documents and settings\Invité\Voisinage d'impression
2009-02-04 13:46 . 2005-06-19 19:20 <REP> d--h-c--- c:\documents and settings\Invité\Modèles
2009-02-04 13:46 . 2005-06-19 19:20 <REP> d--h-c--- c:\documents and settings\Invité\Modèles
2009-02-04 13:46 . 2009-02-04 13:47 <REP> dr---c--- c:\documents and settings\Invité\Mes documents
2009-02-04 13:46 . 2009-02-04 13:47 <REP> dr---c--- c:\documents and settings\Invité\Mes documents
2009-02-04 13:46 . 2005-06-19 17:59 <REP> dr---c--- c:\documents and settings\Invité\Menu Démarrer
2009-02-04 13:46 . 2005-06-19 17:59 <REP> dr---c--- c:\documents and settings\Invité\Menu Démarrer
2009-02-04 13:46 . 2009-02-04 13:47 <REP> dr---c--- c:\documents and settings\Invité\Favoris
2009-02-04 13:46 . 2009-02-04 13:47 <REP> dr---c--- c:\documents and settings\Invité\Favoris
2009-02-04 13:46 . 2005-06-19 17:59 <REP> d----c--- c:\documents and settings\Invité\Bureau
2009-02-04 13:46 . 2005-06-19 17:59 <REP> d----c--- c:\documents and settings\Invité\Bureau
2009-02-04 13:46 . 2009-02-04 13:52 <REP> d----c--- c:\documents and settings\Invité
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-24 14:20 --------- dc----w c:\program files\Google
2009-02-24 14:18 --------- dc----w c:\program files\Fichiers communs\KAV Shared Files
2008-09-15 15:11 3,343 -c--a-w c:\program files\Nouveau Document texte.txt
2008-05-07 12:08 17,408 -csha-w c:\program files\Thumbs.db
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\System32\ctfmon.exe" [2001-10-15 13312]
"SuperCopier2.exe"="c:\program files\SuperCopier2\SuperCopier2.exe" [2006-07-07 1052672]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.divxa32"= msaud32_divx.acm
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
c:\windows\system32\dumprep 0 -k [X]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2001-10-15 21:29 13312 c:\windows\system32\ctfmon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"FirewallOverride"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"UacDisableNotify"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"FirewallOverride"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"UacDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Documents and Settings\\el-sow\\Bureau\\ComboFix.exe"=
"c:\\WINDOWS\\VFIND.exe"=
"c:\\Program Files\\Trend Micro\\HijackThis\\HijackThis.exe"=
"c:\\WINDOWS\\System32\\WgaTray.exe"=
S0 avgntmgr;avgntmgr;c:\windows\SYSTEM32\DRIVERS\avgntmgr.sys [2008-01-21 22336]
S0 tffsport;M-Systems DiskOnChip 2000;c:\windows\System32\DRIVERS\tffsport.sys [2001-08-17 77184]
S1 avgntdd;avgntdd;c:\windows\system32\DRIVERS\avgntdd.sys [2008-05-09 45376]
S3 neo20xx;neo20xx;c:\windows\system32\DRIVERS\neo20xx.sys [2001-08-17 39264]
S3 wdm_nm5;Pilote audio NeoMagic MagicMedia 256AV (WDM);c:\windows\system32\drivers\nm5a2wdm.sys [2001-08-17 126080]
--- Autres Services/Pilotes en mémoire ---
*Deregistered* - AFD
*Deregistered* - AudioSrv
*Deregistered* - audstub
*Deregistered* - AvgAsCln
*Deregistered* - avgntdd
*Deregistered* - avgntmgr
*Deregistered* - avipbb
*Deregistered* - Beep
*Deregistered* - Browser
*Deregistered* - Compbatt
*Deregistered* - CryptSvc
*Deregistered* - Dhcp
*Deregistered* - dmio
*Deregistered* - dmload
*Deregistered* - dmserver
*Deregistered* - Dnscache
*Deregistered* - ERSvc
*Deregistered* - EventSystem
*Deregistered* - Fastfat
*Deregistered* - Fips
*Deregistered* - Ftdisk
*Deregistered* - Gpc
*Deregistered* - helpsvc
*Deregistered* - IPSec
*Deregistered* - KSecDD
*Deregistered* - lanmanserver
*Deregistered* - lanmanworkstation
*Deregistered* - LmHosts
*Deregistered* - mchInjDrv
*Deregistered* - MDM
*Deregistered* - Messenger
*Deregistered* - mnmdd
*Deregistered* - MountMgr
*Deregistered* - MRxDAV
*Deregistered* - MRxSmb
*Deregistered* - Msfs
*Deregistered* - Mup
*Deregistered* - NDIS
*Deregistered* - NdisTapi
*Deregistered* - Ndisuio
*Deregistered* - NdisWan
*Deregistered* - NDProxy
*Deregistered* - NetBIOS
*Deregistered* - NetBT
*Deregistered* - Netman
*Deregistered* - Nla
*Deregistered* - Npfs
*Deregistered* - Ntfs
*Deregistered* - Null
*Deregistered* - PartMgr
*Deregistered* - ParVdm
*Deregistered* - PolicyAgent
*Deregistered* - PptpMiniport
*Deregistered* - ProtectedStorage
*Deregistered* - PSched
*Deregistered* - RasAcd
*Deregistered* - RasAuto
*Deregistered* - Rasl2tp
*Deregistered* - RasMan
*Deregistered* - RasPppoe
*Deregistered* - Raspti
*Deregistered* - Rdbss
*Deregistered* - RDPCDD
*Deregistered* - rdpdr
*Deregistered* - RemoteRegistry
*Deregistered* - RpcSs
*Deregistered* - SamSs
*Deregistered* - Schedule
*Deregistered* - seclogon
*Deregistered* - SENS
*Deregistered* - ShellHWDetection
*Deregistered* - SimpTcp
*Deregistered* - Spooler
*Deregistered* - sr
*Deregistered* - srservice
*Deregistered* - Srv
*Deregistered* - SSDPSRV
*Deregistered* - ssmdrv
*Deregistered* - swenum
*Deregistered* - TapiSrv
*Deregistered* - Tcpip
*Deregistered* - TermDD
*Deregistered* - TermService
*Deregistered* - tffsport
*Deregistered* - Themes
*Deregistered* - TrkWks
*Deregistered* - Update
*Deregistered* - uploadmgr
*Deregistered* - VgaSave
*Deregistered* - VolSnap
*Deregistered* - W32Time
*Deregistered* - Wanarp
*Deregistered* - WebClient
*Deregistered* - winmgmt
*Deregistered* - WmdmPmSp
*Deregistered* - wuauserv
*Deregistered* - WZCSVC
.
- - - - ORPHELINS SUPPRIMES - - - -
HKLM-Run-UnlockerAssistant - c:\program files\Unlocker\UnlockerAssistant.exe
.
------- Examen supplémentaire -------
.
uInternet Connection Wizard,ShellNext = iexplore
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-03 17:50:52
Windows 5.1.2600 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mchInjDrv]
"ImagePath"="\??\c:\docume~1\el-sow\LOCALS~1\Temp\mc21.tmp"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(528)
c:\windows\system32\ODBC32.dll
c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll
- - - - - - - > 'lsass.exe'(584)
c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll
c:\windows\System32\dssenh.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\tcpsvcs.exe
c:\windows\system32\WgaTray.exe
.
**************************************************************************
.
Heure de fin: 2009-03-03 18:01:47 - La machine a redémarré [el-sow]
ComboFix-quarantined-files.txt 2009-03-03 18:01:35
Avant-CF: 1 610 255 360 octets libres
Après-CF: 1,593,681,408 octets libres
232 --- E O F --- 2009-02-26 12:08:11
Voici le rapport.
ComboFix 09-03-02.03 - el-sow 2009-03-03 17:41:30.5 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.0.1252.1.1036.18.127.29 [GMT 0:00]
Lancé depuis: E:\ComboFix.exe
.
[color=purple]Les fichiers ci-dessous ont été désactivés pendant l'exécution:[/color]
c:\program files\SuperCopier2\SC2Hook.dll
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
E:\autorun.inf
E:\dofdsb.cmd
E:\hmdwyv.cmd
E:\log.exe
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_DAC970NT
-------\Service_dac970nt
((((((((((((((((((((((((((((( Fichiers créés du 2009-02-03 au 2009-03-03 ))))))))))))))))))))))))))))))))))))
.
2009-03-02 13:19 . 2009-03-02 13:23 <REP> d----c--- c:\documents and settings\el-sow\Application Data\dvdcss
2009-02-28 15:12 . 2009-02-28 15:13 <REP> d----c--- c:\documents and settings\el-sow\Application Data\vlc
2009-02-28 15:04 . 2009-02-28 15:04 <REP> d----c--- c:\program files\VideoLAN
2009-02-28 14:54 . 2009-03-03 17:49 <REP> d----c--- c:\program files\SuperCopier2
2009-02-25 19:26 . 2009-02-25 19:25 104,459 -r-hsc--- C:\tvlx2fg.exe
2009-02-24 20:58 . 2009-02-24 20:58 142 --a--c--- c:\windows\system32\spupdsvc.inf
2009-02-24 13:08 . 2009-02-24 13:08 <REP> d----c--- c:\program files\Trend Micro
2009-02-22 17:46 . 2009-02-22 17:46 <REP> d----c--- c:\program files\Avira
2009-02-22 17:46 . 2009-02-22 17:46 <REP> d----c--- c:\documents and settings\All Users.WINDOWS\Application Data\Avira
2009-02-20 18:02 . 2009-02-25 13:54 <REP> d----c--- c:\windows\system32\NtmsData
2009-02-04 16:09 . 2009-02-24 14:13 <REP> d----c--- c:\program files\Code de la route
2009-02-04 13:46 . 2005-06-19 17:59 <REP> d--h-c--- c:\documents and settings\Invité\Voisinage réseau
2009-02-04 13:46 . 2005-06-19 17:59 <REP> d--h-c--- c:\documents and settings\Invité\Voisinage réseau
2009-02-04 13:46 . 2005-06-19 17:59 <REP> d--h-c--- c:\documents and settings\Invité\Voisinage d'impression
2009-02-04 13:46 . 2005-06-19 17:59 <REP> d--h-c--- c:\documents and settings\Invité\Voisinage d'impression
2009-02-04 13:46 . 2005-06-19 19:20 <REP> d--h-c--- c:\documents and settings\Invité\Modèles
2009-02-04 13:46 . 2005-06-19 19:20 <REP> d--h-c--- c:\documents and settings\Invité\Modèles
2009-02-04 13:46 . 2009-02-04 13:47 <REP> dr---c--- c:\documents and settings\Invité\Mes documents
2009-02-04 13:46 . 2009-02-04 13:47 <REP> dr---c--- c:\documents and settings\Invité\Mes documents
2009-02-04 13:46 . 2005-06-19 17:59 <REP> dr---c--- c:\documents and settings\Invité\Menu Démarrer
2009-02-04 13:46 . 2005-06-19 17:59 <REP> dr---c--- c:\documents and settings\Invité\Menu Démarrer
2009-02-04 13:46 . 2009-02-04 13:47 <REP> dr---c--- c:\documents and settings\Invité\Favoris
2009-02-04 13:46 . 2009-02-04 13:47 <REP> dr---c--- c:\documents and settings\Invité\Favoris
2009-02-04 13:46 . 2005-06-19 17:59 <REP> d----c--- c:\documents and settings\Invité\Bureau
2009-02-04 13:46 . 2005-06-19 17:59 <REP> d----c--- c:\documents and settings\Invité\Bureau
2009-02-04 13:46 . 2009-02-04 13:52 <REP> d----c--- c:\documents and settings\Invité
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-24 14:20 --------- dc----w c:\program files\Google
2009-02-24 14:18 --------- dc----w c:\program files\Fichiers communs\KAV Shared Files
2008-09-15 15:11 3,343 -c--a-w c:\program files\Nouveau Document texte.txt
2008-05-07 12:08 17,408 -csha-w c:\program files\Thumbs.db
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\System32\ctfmon.exe" [2001-10-15 13312]
"SuperCopier2.exe"="c:\program files\SuperCopier2\SuperCopier2.exe" [2006-07-07 1052672]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.divxa32"= msaud32_divx.acm
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
c:\windows\system32\dumprep 0 -k [X]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2001-10-15 21:29 13312 c:\windows\system32\ctfmon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"FirewallOverride"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"UacDisableNotify"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"FirewallOverride"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"UacDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Documents and Settings\\el-sow\\Bureau\\ComboFix.exe"=
"c:\\WINDOWS\\VFIND.exe"=
"c:\\Program Files\\Trend Micro\\HijackThis\\HijackThis.exe"=
"c:\\WINDOWS\\System32\\WgaTray.exe"=
S0 avgntmgr;avgntmgr;c:\windows\SYSTEM32\DRIVERS\avgntmgr.sys [2008-01-21 22336]
S0 tffsport;M-Systems DiskOnChip 2000;c:\windows\System32\DRIVERS\tffsport.sys [2001-08-17 77184]
S1 avgntdd;avgntdd;c:\windows\system32\DRIVERS\avgntdd.sys [2008-05-09 45376]
S3 neo20xx;neo20xx;c:\windows\system32\DRIVERS\neo20xx.sys [2001-08-17 39264]
S3 wdm_nm5;Pilote audio NeoMagic MagicMedia 256AV (WDM);c:\windows\system32\drivers\nm5a2wdm.sys [2001-08-17 126080]
--- Autres Services/Pilotes en mémoire ---
*Deregistered* - AFD
*Deregistered* - AudioSrv
*Deregistered* - audstub
*Deregistered* - AvgAsCln
*Deregistered* - avgntdd
*Deregistered* - avgntmgr
*Deregistered* - avipbb
*Deregistered* - Beep
*Deregistered* - Browser
*Deregistered* - Compbatt
*Deregistered* - CryptSvc
*Deregistered* - Dhcp
*Deregistered* - dmio
*Deregistered* - dmload
*Deregistered* - dmserver
*Deregistered* - Dnscache
*Deregistered* - ERSvc
*Deregistered* - EventSystem
*Deregistered* - Fastfat
*Deregistered* - Fips
*Deregistered* - Ftdisk
*Deregistered* - Gpc
*Deregistered* - helpsvc
*Deregistered* - IPSec
*Deregistered* - KSecDD
*Deregistered* - lanmanserver
*Deregistered* - lanmanworkstation
*Deregistered* - LmHosts
*Deregistered* - mchInjDrv
*Deregistered* - MDM
*Deregistered* - Messenger
*Deregistered* - mnmdd
*Deregistered* - MountMgr
*Deregistered* - MRxDAV
*Deregistered* - MRxSmb
*Deregistered* - Msfs
*Deregistered* - Mup
*Deregistered* - NDIS
*Deregistered* - NdisTapi
*Deregistered* - Ndisuio
*Deregistered* - NdisWan
*Deregistered* - NDProxy
*Deregistered* - NetBIOS
*Deregistered* - NetBT
*Deregistered* - Netman
*Deregistered* - Nla
*Deregistered* - Npfs
*Deregistered* - Ntfs
*Deregistered* - Null
*Deregistered* - PartMgr
*Deregistered* - ParVdm
*Deregistered* - PolicyAgent
*Deregistered* - PptpMiniport
*Deregistered* - ProtectedStorage
*Deregistered* - PSched
*Deregistered* - RasAcd
*Deregistered* - RasAuto
*Deregistered* - Rasl2tp
*Deregistered* - RasMan
*Deregistered* - RasPppoe
*Deregistered* - Raspti
*Deregistered* - Rdbss
*Deregistered* - RDPCDD
*Deregistered* - rdpdr
*Deregistered* - RemoteRegistry
*Deregistered* - RpcSs
*Deregistered* - SamSs
*Deregistered* - Schedule
*Deregistered* - seclogon
*Deregistered* - SENS
*Deregistered* - ShellHWDetection
*Deregistered* - SimpTcp
*Deregistered* - Spooler
*Deregistered* - sr
*Deregistered* - srservice
*Deregistered* - Srv
*Deregistered* - SSDPSRV
*Deregistered* - ssmdrv
*Deregistered* - swenum
*Deregistered* - TapiSrv
*Deregistered* - Tcpip
*Deregistered* - TermDD
*Deregistered* - TermService
*Deregistered* - tffsport
*Deregistered* - Themes
*Deregistered* - TrkWks
*Deregistered* - Update
*Deregistered* - uploadmgr
*Deregistered* - VgaSave
*Deregistered* - VolSnap
*Deregistered* - W32Time
*Deregistered* - Wanarp
*Deregistered* - WebClient
*Deregistered* - winmgmt
*Deregistered* - WmdmPmSp
*Deregistered* - wuauserv
*Deregistered* - WZCSVC
.
- - - - ORPHELINS SUPPRIMES - - - -
HKLM-Run-UnlockerAssistant - c:\program files\Unlocker\UnlockerAssistant.exe
.
------- Examen supplémentaire -------
.
uInternet Connection Wizard,ShellNext = iexplore
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-03 17:50:52
Windows 5.1.2600 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mchInjDrv]
"ImagePath"="\??\c:\docume~1\el-sow\LOCALS~1\Temp\mc21.tmp"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(528)
c:\windows\system32\ODBC32.dll
c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll
- - - - - - - > 'lsass.exe'(584)
c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll
c:\windows\System32\dssenh.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\tcpsvcs.exe
c:\windows\system32\WgaTray.exe
.
**************************************************************************
.
Heure de fin: 2009-03-03 18:01:47 - La machine a redémarré [el-sow]
ComboFix-quarantined-files.txt 2009-03-03 18:01:35
Avant-CF: 1 610 255 360 octets libres
Après-CF: 1,593,681,408 octets libres
232 --- E O F --- 2009-02-26 12:08:11