Demarage windows
hamza75
Messages postés
25
Statut
Membre
-
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité -
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité -
Bonjour,j'ai un problem au demarage de windows il m'aparé un message "hi.user_name dont you worry i m a friend have a nice day" je veut savoir c koi et comment le supprimé.merci d'avance
A voir également:
- Demarage windows
- Clé windows 8 - Guide
- Montage video gratuit windows - Guide
- Windows movie maker - Télécharger - Montage & Édition
- Windows ne démarre pas - Guide
- Restauration systeme windows 10 - Guide
8 réponses
Re,
tu copies le rapport dans ta réponse.
tu copies le rapport dans ta réponse.
hamza75
Messages postés
25
Statut
Membre
et apré keske je fai.j'attent une reponse oukoi??
Bonjour,
je doute que ce soit aussi amical que cela le prétend.
Télécharge ici :
http://images.malwareremoval.com/random/RSIT.exe
random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.
Double-clique sur RSIT.exe afin de lancer RSIT.
Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions).
Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.
Poste le contenu de log.txt (<<qui sera affiché)
.
NB : Les rapports sont sauvegardés dans le dossier C:\rsit
je doute que ce soit aussi amical que cela le prétend.
Télécharge ici :
http://images.malwareremoval.com/random/RSIT.exe
random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.
Double-clique sur RSIT.exe afin de lancer RSIT.
Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions).
Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.
Poste le contenu de log.txt (<<qui sera affiché)
.
NB : Les rapports sont sauvegardés dans le dossier C:\rsit
Re,
tu accèdes à ta session ou non ?
si oui, tu ouvres ta session et tu fais ce que je demande.
Si elle est ouverte, pas la peine de redémarrer.
tu accèdes à ta session ou non ?
si oui, tu ouvres ta session et tu fais ce que je demande.
Si elle est ouverte, pas la peine de redémarrer.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Re,
après tu attends que j'examine le rapport et que je te dise quoi faire.
après tu attends que j'examine le rapport et que je te dise quoi faire.
Logfile of random's system information tool 1.05 (written by random/random)
Run by Hammouda at 2009-03-12 20:15:48
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 18 GB (43%) free of 42 GB
Total RAM: 502 MB (12% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:16:20, on 12/03/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Documents and Settings\Hammouda\Application Data\eoRezo\SoftwareUpdate\SoftwareUpdateHP.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Matlab6.1\webserver\bin\win32\matlabserver.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Winamp\winamp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox 3.1 Beta 1\firefox.exe
C:\Documents and Settings\Hammouda\Bureau\RSIT.exe
C:\Program Files\trend micro\Hammouda.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2095689
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: (no name) - {8e7da7e7-9f7e-426e-b964-be9f1cbc9d79} - (no file)
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [SoftwareHelper] C:\Documents and Settings\Hammouda\Application Data\eoRezo\SoftwareUpdate\SoftwareUpdateHP.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NetAnalyse] C:\Program Files\NetAnalyse\NetAnalyse.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: NetAnalyse.lnk = C:\Program Files\NetAnalyse\NetAnalyse.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\Matlab6.1\webserver\bin\win32\matlabserver.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: UPnPService - Magix AG - C:\Program Files\Fichiers communs\MAGIX Shared\UPnPService\UPnPService.exe
Run by Hammouda at 2009-03-12 20:15:48
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 18 GB (43%) free of 42 GB
Total RAM: 502 MB (12% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:16:20, on 12/03/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Documents and Settings\Hammouda\Application Data\eoRezo\SoftwareUpdate\SoftwareUpdateHP.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Matlab6.1\webserver\bin\win32\matlabserver.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Winamp\winamp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox 3.1 Beta 1\firefox.exe
C:\Documents and Settings\Hammouda\Bureau\RSIT.exe
C:\Program Files\trend micro\Hammouda.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2095689
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: (no name) - {8e7da7e7-9f7e-426e-b964-be9f1cbc9d79} - (no file)
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [SoftwareHelper] C:\Documents and Settings\Hammouda\Application Data\eoRezo\SoftwareUpdate\SoftwareUpdateHP.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NetAnalyse] C:\Program Files\NetAnalyse\NetAnalyse.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: NetAnalyse.lnk = C:\Program Files\NetAnalyse\NetAnalyse.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\Matlab6.1\webserver\bin\win32\matlabserver.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: UPnPService - Magix AG - C:\Program Files\Fichiers communs\MAGIX Shared\UPnPService\UPnPService.exe
Bonjour,
On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
* Vérifie que tu as fermé/désactivé tous les programmes anti-virus, anti-malware ou anti-spyware afin qu'ils n'interfèrent pas avec le travail de ComboFix.
Envoie le contenu de C:\ComboFix.txt dans ta prochaine réponse afin que je l'examine.
On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
* Vérifie que tu as fermé/désactivé tous les programmes anti-virus, anti-malware ou anti-spyware afin qu'ils n'interfèrent pas avec le travail de ComboFix.
Envoie le contenu de C:\ComboFix.txt dans ta prochaine réponse afin que je l'examine.
ComboFix 09-03-13.02 - Hammouda 2009-03-14 13:36:41.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.502.248 [GMT 1:00]
Lancé depuis: c:\documents and settings\Hammouda\Bureau\ComboFix.exe
* Un nouveau point de restauration a été créé
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\msjava.dll
D:\install.exe
.
((((((((((((((((((((((((((((( Fichiers créés du 2009-02-14 au 2009-03-14 ))))))))))))))))))))))))))))))))))))
.
2009-03-12 20:15 . 2009-03-12 20:16 <REP> d-------- C:\rsit
2009-03-12 20:15 . 2009-03-12 20:16 <REP> d-------- c:\program files\trend micro
2009-03-08 20:44 . 2009-03-08 20:44 268 --ah----- C:\sqmdata17.sqm
2009-03-08 20:44 . 2009-03-08 20:44 244 --ah----- C:\sqmnoopt17.sqm
2009-03-08 15:19 . 2009-03-08 15:19 268 --ah----- C:\sqmdata16.sqm
2009-03-08 15:19 . 2009-03-08 15:19 244 --ah----- C:\sqmnoopt16.sqm
2009-03-08 00:19 . 2009-03-08 00:19 268 --ah----- C:\sqmdata15.sqm
2009-03-08 00:19 . 2009-03-08 00:19 244 --ah----- C:\sqmnoopt15.sqm
2009-03-05 20:47 . 2009-03-05 20:50 <REP> d-------- c:\windows\system32\NtmsData
2009-03-05 01:34 . 2009-03-05 01:34 <REP> d-------- c:\documents and settings\Hammouda\Application Data\Wireshark
2009-03-05 01:32 . 2009-03-12 14:53 <REP> d-------- c:\program files\WinPcap
2009-03-05 01:31 . 2009-03-05 01:32 <REP> d-------- c:\program files\Wireshark
2009-03-01 11:16 . 2009-03-01 11:18 158 --a------ c:\windows\matlab.ini
2009-03-01 11:09 . 2009-03-01 11:09 <REP> d-------- c:\documents and settings\Hammouda\Application Data\MathWorks
2009-03-01 11:06 . 1998-09-20 03:57 645,120 --a------ c:\windows\system32\config.gms
2009-03-01 11:06 . 2000-05-29 21:32 148,992 --a------ c:\windows\system32\mllink5.dll
2009-03-01 11:06 . 2009-03-01 11:06 19 --a------ c:\windows\exlink.ini
2009-03-01 11:04 . 2009-03-01 11:10 <REP> d-a------ C:\Matlab6.1
2009-03-01 10:50 . 2009-03-01 10:50 <REP> d-------- c:\program files\PHPNukeFR
2009-03-01 10:50 . 2009-03-01 10:50 <REP> d-------- c:\program files\Conduit
2009-02-21 21:01 . 2009-02-21 21:01 268 --ah----- C:\sqmdata14.sqm
2009-02-21 21:01 . 2009-02-21 21:01 244 --ah----- C:\sqmnoopt14.sqm
2009-02-21 19:02 . 2009-02-21 19:02 268 --ah----- C:\sqmdata13.sqm
2009-02-21 19:02 . 2009-02-21 19:02 244 --ah----- C:\sqmnoopt13.sqm
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-14 12:31 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-03-14 12:19 --------- d-----w c:\program files\Spybot - Search & Destroy
2009-03-14 12:19 --------- d-----w c:\program files\Mozilla Firefox 3.1 Beta 1
2009-03-14 00:55 --------- d-----w c:\documents and settings\Hammouda\Application Data\LimeWire
2009-03-09 22:28 --------- d-----w c:\documents and settings\Hammouda\Application Data\uTorrent
2009-03-02 18:52 --------- d-----w c:\documents and settings\Hammouda\Application Data\Skype
2009-02-27 20:23 --------- d-----w c:\documents and settings\Hammouda\Application Data\skypePM
2009-02-24 21:11 --------- d-----w c:\program files\EoRezo
2009-02-24 21:11 --------- d-----w c:\documents and settings\Hammouda\Application Data\EoRezo
2009-02-14 08:24 --------- d-----w c:\program files\Nokia
2009-02-14 08:21 --------- d-----w c:\program files\eMule
2009-02-14 08:21 --------- d-----w c:\program files\Easy-TV
2009-02-12 16:56 0 ---ha-w c:\windows\system32\drivers\MsftWdf_Kernel_01007_Coinstaller_Critical.Wdf
2009-02-12 16:56 0 ---ha-w c:\windows\system32\drivers\Msft_Kernel_ccdcmb_01007.Wdf
2009-02-12 16:14 --------- d-----w c:\documents and settings\All Users\Application Data\Nokia
2009-02-12 16:09 --------- d-----w c:\program files\Fichiers communs\Nokia
2009-02-12 16:08 --------- d-----w c:\program files\MSXML 6.0
2009-02-12 16:07 --------- d-----w c:\documents and settings\All Users\Application Data\Installations
2009-02-12 14:00 --------- d-----w c:\documents and settings\Hammouda\Application Data\Apple Computer
2009-02-09 14:17 1,846,400 ----a-w c:\windows\system32\win32k.sys
2009-02-08 21:40 --------- d-----w c:\program files\djDecks
2009-02-08 10:15 --------- d-----w c:\program files\MAGIX
2009-01-25 14:15 --------- d-----w c:\program files\iTunes
2009-01-25 14:15 --------- d-----w c:\documents and settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2009-01-25 14:14 --------- d-----w c:\program files\QuickTime
2009-01-25 14:14 --------- d-----w c:\program files\iPod
2009-01-25 14:14 --------- d-----w c:\program files\Bonjour
2009-01-25 14:14 --------- d-----w c:\documents and settings\All Users\Application Data\Apple Computer
2009-01-25 14:13 --------- d-----w c:\program files\Fichiers communs\Apple
2009-01-25 14:13 --------- d-----w c:\program files\Apple Software Update
2009-01-25 14:13 --------- d-----w c:\documents and settings\All Users\Application Data\Apple
2009-01-24 15:21 --------- d-----w c:\documents and settings\Hammouda\Application Data\Winamp
2009-01-20 13:09 --------- d-----w c:\program files\Yaldex Software
2008-12-14 13:33 73,216 ----a-w c:\windows\ST6UNST.EXE
2008-12-14 13:33 249,856 ------w c:\windows\Setup1.exe
2008-04-27 23:25 337,417 --sha-w c:\windows\system32\SpiderH.vbs
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]
"MsnMsgr"="c:\program files\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2004-08-04 1667584]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2008-11-18 21633320]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2005-04-05 94208]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-11-10 136600]
"SoftwareHelper"="c:\documents and settings\Hammouda\Application Data\eoRezo\SoftwareUpdate\SoftwareUpdateHP.exe" [2008-12-09 368224]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2008-12-05 185872]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.iac2"= c:\progra~1\ACEMEG~1\SystemS\Intel\iac25_32.ax
"msacm.sl_anet"= c:\progra~1\ACEMEG~1\SystemS\sl_anet.acm
"vidc.yv12"= c:\progra~1\ACEMEG~1\SystemS\ATI\atiyuv12.DLL
"vidc.divx"= c:\progra~1\ACEMEG~1\SystemS\DivX\DivX520.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EoEngine]
--a------ 2009-02-23 14:19 472872 c:\program files\EoRezo\EoEngine.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]
--a------ 2005-04-05 14:19 77824 c:\windows\system32\hkcmd.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2008-09-08 23:02 289576 c:\program files\iTunes\iTunesHelper.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Persistence]
--a------ 2005-04-05 14:23 114688 c:\windows\system32\igfxpers.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-09-06 15:09 413696 c:\program files\QuickTime\QTTask.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoftwareHelper]
--a------ 2008-12-09 10:13 368224 c:\documents and settings\Hammouda\Application Data\EoRezo\SoftwareUpdate\SoftwareUpdateHP.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2008-12-05 22:19 185872 c:\program files\Fichiers communs\Real\Update_OB\realsched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2008-08-04 00:02 36352 c:\program files\Winamp\winampa.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"c:\\Program Files\\MSN Messenger\\livecall.exe"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\WINDOWS\\system32\\ftp.exe"=
"c:\\Program Files\\Mozilla Firefox 3.1 Beta 1\\firefox.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Fichiers communs\\Nokia\\Service Layer\\A\\nsl_host_process.exe"=
"c:\\Program Files\\Nokia\\Nokia Software Updater\\nsu_ui_client.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\program files\MAGIX\Common\Database\bin\fbserver.exe [2008-10-31 1527900]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [2009-02-12 138112]
S3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers\nmwcdnsuc.sys [2009-02-12 8320]
S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [2007-11-06 34064]
S3 UPnPService;UPnPService;c:\program files\Fichiers communs\MAGIX Shared\UPnPService\UPnPService.exe [2008-11-03 544768]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]
\Shell\AutoRun\command - h1dwg20.exe
\Shell\explore\Command - h1dwg20.exe
\Shell\open\Command - h1dwg20.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{19a5171c-acd1-11dd-ba49-001676b7f3ec}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Wallpaper.vbs
\Shell\Explore\Command - Wscript \Wallpaper.vbs
\Shell\Open\Command - Wscript \Wallpaper.vbs
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{41a6681a-d1e4-11dd-bb15-001676b7f3ec}]
\Shell\AutoRun\command - wscript.exe .\.vbs
\Shell\open\command - wscript.exe .\.vbs
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{62f83415-f37f-11dd-9ff3-806d6172696f}]
\Shell\AutoRun\command - h1dwg20.exe
\Shell\explore\Command - h1dwg20.exe
\Shell\open\Command - h1dwg20.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6d4286e0-c5f5-11dd-baca-001676b7f3ec}]
\Shell\AutoRun\command - F:\LaunchU3.exe -a
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ae7d2c8e-ba16-11dd-ba91-001676b7f3ec}]
\Shell\AutoRun\command - zPharaoh.exe
\Shell\explore\command - zPharaoh.exe
\Shell\open\command - zPharaoh.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b810c190-acef-11dd-ba4d-001676b7f3ec}]
\Shell\AutoRun\command - F:\ntde1ect.com
\Shell\explore\Command - F:\ntde1ect.com
\Shell\open\Command - F:\ntde1ect.com
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cacc5d5e-eae7-11dd-bba5-001676b7f3ec}]
\Shell\AutoRun\command - wscript.exe antinul.vbe
\Shell\open\Command - wscript.exe antinul.vbe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{dd069699-c709-11dd-bad1-001676b7f3ec}]
\Shell\AutoRun\command - F:\ReadMe.exe
.
Contenu du dossier 'Tâches planifiées'
2009-03-07 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.
- - - - ORPHELINS SUPPRIMES - - - -
Toolbar-{8e7da7e7-9f7e-426e-b964-be9f1cbc9d79} - (no file)
HKLM-Run-NetAnalyse - c:\program files\NetAnalyse\NetAnalyse.exe
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2095689
uInternet Settings,ProxyOverride = <local>;*.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Télécharger avec IDM
IE: Télécharger le contenu de video FLV avec IDM
IE: Télécharger tous les liens avec IDM
FF - ProfilePath - c:\documents and settings\Hammouda\Application Data\Mozilla\Firefox\Profiles\ns9lm9an.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - component: c:\program files\Mozilla Firefox 3.1 Beta 1\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
FF - component: c:\program files\Real\RealPlayer\browserrecord\components\nprpbrowserrecordplugin.dll
---- PARAMETRES FIREFOX ----
FF - user.js: yahoo.homepage.dontask - truec:\program files\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("media.enforce_same_site_origin", false);
c:\program files\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("media.ogg.enabled", true);
c:\program files\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("media.wave.enabled", true);
c:\program files\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("media.autoplay.enabled", true);
c:\program files\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
c:\program files\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
c:\program files\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("network.http.prompt-temp-redirect", true);
c:\program files\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
c:\program files\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
c:\program files\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
c:\program files\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
c:\program files\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
c:\program files\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
c:\program files\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
c:\program files\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-14 13:38:11
Windows 5.1.2600 Service Pack 2 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
Heure de fin: 2009-03-14 13:39:34
ComboFix-quarantined-files.txt 2009-03-14 12:39:32
Avant-CF: 18 486 644 736 octets libres
Après-CF: 19,145,076,736 octets libres
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=signature(5830583)disk(1)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
signature(5830583)disk(1)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect
227 --- E O F --- 2009-03-11 11:03:52
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.502.248 [GMT 1:00]
Lancé depuis: c:\documents and settings\Hammouda\Bureau\ComboFix.exe
* Un nouveau point de restauration a été créé
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\msjava.dll
D:\install.exe
.
((((((((((((((((((((((((((((( Fichiers créés du 2009-02-14 au 2009-03-14 ))))))))))))))))))))))))))))))))))))
.
2009-03-12 20:15 . 2009-03-12 20:16 <REP> d-------- C:\rsit
2009-03-12 20:15 . 2009-03-12 20:16 <REP> d-------- c:\program files\trend micro
2009-03-08 20:44 . 2009-03-08 20:44 268 --ah----- C:\sqmdata17.sqm
2009-03-08 20:44 . 2009-03-08 20:44 244 --ah----- C:\sqmnoopt17.sqm
2009-03-08 15:19 . 2009-03-08 15:19 268 --ah----- C:\sqmdata16.sqm
2009-03-08 15:19 . 2009-03-08 15:19 244 --ah----- C:\sqmnoopt16.sqm
2009-03-08 00:19 . 2009-03-08 00:19 268 --ah----- C:\sqmdata15.sqm
2009-03-08 00:19 . 2009-03-08 00:19 244 --ah----- C:\sqmnoopt15.sqm
2009-03-05 20:47 . 2009-03-05 20:50 <REP> d-------- c:\windows\system32\NtmsData
2009-03-05 01:34 . 2009-03-05 01:34 <REP> d-------- c:\documents and settings\Hammouda\Application Data\Wireshark
2009-03-05 01:32 . 2009-03-12 14:53 <REP> d-------- c:\program files\WinPcap
2009-03-05 01:31 . 2009-03-05 01:32 <REP> d-------- c:\program files\Wireshark
2009-03-01 11:16 . 2009-03-01 11:18 158 --a------ c:\windows\matlab.ini
2009-03-01 11:09 . 2009-03-01 11:09 <REP> d-------- c:\documents and settings\Hammouda\Application Data\MathWorks
2009-03-01 11:06 . 1998-09-20 03:57 645,120 --a------ c:\windows\system32\config.gms
2009-03-01 11:06 . 2000-05-29 21:32 148,992 --a------ c:\windows\system32\mllink5.dll
2009-03-01 11:06 . 2009-03-01 11:06 19 --a------ c:\windows\exlink.ini
2009-03-01 11:04 . 2009-03-01 11:10 <REP> d-a------ C:\Matlab6.1
2009-03-01 10:50 . 2009-03-01 10:50 <REP> d-------- c:\program files\PHPNukeFR
2009-03-01 10:50 . 2009-03-01 10:50 <REP> d-------- c:\program files\Conduit
2009-02-21 21:01 . 2009-02-21 21:01 268 --ah----- C:\sqmdata14.sqm
2009-02-21 21:01 . 2009-02-21 21:01 244 --ah----- C:\sqmnoopt14.sqm
2009-02-21 19:02 . 2009-02-21 19:02 268 --ah----- C:\sqmdata13.sqm
2009-02-21 19:02 . 2009-02-21 19:02 244 --ah----- C:\sqmnoopt13.sqm
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-14 12:31 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-03-14 12:19 --------- d-----w c:\program files\Spybot - Search & Destroy
2009-03-14 12:19 --------- d-----w c:\program files\Mozilla Firefox 3.1 Beta 1
2009-03-14 00:55 --------- d-----w c:\documents and settings\Hammouda\Application Data\LimeWire
2009-03-09 22:28 --------- d-----w c:\documents and settings\Hammouda\Application Data\uTorrent
2009-03-02 18:52 --------- d-----w c:\documents and settings\Hammouda\Application Data\Skype
2009-02-27 20:23 --------- d-----w c:\documents and settings\Hammouda\Application Data\skypePM
2009-02-24 21:11 --------- d-----w c:\program files\EoRezo
2009-02-24 21:11 --------- d-----w c:\documents and settings\Hammouda\Application Data\EoRezo
2009-02-14 08:24 --------- d-----w c:\program files\Nokia
2009-02-14 08:21 --------- d-----w c:\program files\eMule
2009-02-14 08:21 --------- d-----w c:\program files\Easy-TV
2009-02-12 16:56 0 ---ha-w c:\windows\system32\drivers\MsftWdf_Kernel_01007_Coinstaller_Critical.Wdf
2009-02-12 16:56 0 ---ha-w c:\windows\system32\drivers\Msft_Kernel_ccdcmb_01007.Wdf
2009-02-12 16:14 --------- d-----w c:\documents and settings\All Users\Application Data\Nokia
2009-02-12 16:09 --------- d-----w c:\program files\Fichiers communs\Nokia
2009-02-12 16:08 --------- d-----w c:\program files\MSXML 6.0
2009-02-12 16:07 --------- d-----w c:\documents and settings\All Users\Application Data\Installations
2009-02-12 14:00 --------- d-----w c:\documents and settings\Hammouda\Application Data\Apple Computer
2009-02-09 14:17 1,846,400 ----a-w c:\windows\system32\win32k.sys
2009-02-08 21:40 --------- d-----w c:\program files\djDecks
2009-02-08 10:15 --------- d-----w c:\program files\MAGIX
2009-01-25 14:15 --------- d-----w c:\program files\iTunes
2009-01-25 14:15 --------- d-----w c:\documents and settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2009-01-25 14:14 --------- d-----w c:\program files\QuickTime
2009-01-25 14:14 --------- d-----w c:\program files\iPod
2009-01-25 14:14 --------- d-----w c:\program files\Bonjour
2009-01-25 14:14 --------- d-----w c:\documents and settings\All Users\Application Data\Apple Computer
2009-01-25 14:13 --------- d-----w c:\program files\Fichiers communs\Apple
2009-01-25 14:13 --------- d-----w c:\program files\Apple Software Update
2009-01-25 14:13 --------- d-----w c:\documents and settings\All Users\Application Data\Apple
2009-01-24 15:21 --------- d-----w c:\documents and settings\Hammouda\Application Data\Winamp
2009-01-20 13:09 --------- d-----w c:\program files\Yaldex Software
2008-12-14 13:33 73,216 ----a-w c:\windows\ST6UNST.EXE
2008-12-14 13:33 249,856 ------w c:\windows\Setup1.exe
2008-04-27 23:25 337,417 --sha-w c:\windows\system32\SpiderH.vbs
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]
"MsnMsgr"="c:\program files\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2004-08-04 1667584]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2008-11-18 21633320]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2005-04-05 94208]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-11-10 136600]
"SoftwareHelper"="c:\documents and settings\Hammouda\Application Data\eoRezo\SoftwareUpdate\SoftwareUpdateHP.exe" [2008-12-09 368224]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2008-12-05 185872]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.iac2"= c:\progra~1\ACEMEG~1\SystemS\Intel\iac25_32.ax
"msacm.sl_anet"= c:\progra~1\ACEMEG~1\SystemS\sl_anet.acm
"vidc.yv12"= c:\progra~1\ACEMEG~1\SystemS\ATI\atiyuv12.DLL
"vidc.divx"= c:\progra~1\ACEMEG~1\SystemS\DivX\DivX520.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EoEngine]
--a------ 2009-02-23 14:19 472872 c:\program files\EoRezo\EoEngine.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]
--a------ 2005-04-05 14:19 77824 c:\windows\system32\hkcmd.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2008-09-08 23:02 289576 c:\program files\iTunes\iTunesHelper.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Persistence]
--a------ 2005-04-05 14:23 114688 c:\windows\system32\igfxpers.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-09-06 15:09 413696 c:\program files\QuickTime\QTTask.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoftwareHelper]
--a------ 2008-12-09 10:13 368224 c:\documents and settings\Hammouda\Application Data\EoRezo\SoftwareUpdate\SoftwareUpdateHP.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2008-12-05 22:19 185872 c:\program files\Fichiers communs\Real\Update_OB\realsched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2008-08-04 00:02 36352 c:\program files\Winamp\winampa.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"c:\\Program Files\\MSN Messenger\\livecall.exe"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\WINDOWS\\system32\\ftp.exe"=
"c:\\Program Files\\Mozilla Firefox 3.1 Beta 1\\firefox.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Fichiers communs\\Nokia\\Service Layer\\A\\nsl_host_process.exe"=
"c:\\Program Files\\Nokia\\Nokia Software Updater\\nsu_ui_client.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\program files\MAGIX\Common\Database\bin\fbserver.exe [2008-10-31 1527900]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [2009-02-12 138112]
S3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers\nmwcdnsuc.sys [2009-02-12 8320]
S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [2007-11-06 34064]
S3 UPnPService;UPnPService;c:\program files\Fichiers communs\MAGIX Shared\UPnPService\UPnPService.exe [2008-11-03 544768]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]
\Shell\AutoRun\command - h1dwg20.exe
\Shell\explore\Command - h1dwg20.exe
\Shell\open\Command - h1dwg20.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{19a5171c-acd1-11dd-ba49-001676b7f3ec}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Wallpaper.vbs
\Shell\Explore\Command - Wscript \Wallpaper.vbs
\Shell\Open\Command - Wscript \Wallpaper.vbs
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{41a6681a-d1e4-11dd-bb15-001676b7f3ec}]
\Shell\AutoRun\command - wscript.exe .\.vbs
\Shell\open\command - wscript.exe .\.vbs
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{62f83415-f37f-11dd-9ff3-806d6172696f}]
\Shell\AutoRun\command - h1dwg20.exe
\Shell\explore\Command - h1dwg20.exe
\Shell\open\Command - h1dwg20.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6d4286e0-c5f5-11dd-baca-001676b7f3ec}]
\Shell\AutoRun\command - F:\LaunchU3.exe -a
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ae7d2c8e-ba16-11dd-ba91-001676b7f3ec}]
\Shell\AutoRun\command - zPharaoh.exe
\Shell\explore\command - zPharaoh.exe
\Shell\open\command - zPharaoh.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b810c190-acef-11dd-ba4d-001676b7f3ec}]
\Shell\AutoRun\command - F:\ntde1ect.com
\Shell\explore\Command - F:\ntde1ect.com
\Shell\open\Command - F:\ntde1ect.com
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cacc5d5e-eae7-11dd-bba5-001676b7f3ec}]
\Shell\AutoRun\command - wscript.exe antinul.vbe
\Shell\open\Command - wscript.exe antinul.vbe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{dd069699-c709-11dd-bad1-001676b7f3ec}]
\Shell\AutoRun\command - F:\ReadMe.exe
.
Contenu du dossier 'Tâches planifiées'
2009-03-07 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.
- - - - ORPHELINS SUPPRIMES - - - -
Toolbar-{8e7da7e7-9f7e-426e-b964-be9f1cbc9d79} - (no file)
HKLM-Run-NetAnalyse - c:\program files\NetAnalyse\NetAnalyse.exe
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2095689
uInternet Settings,ProxyOverride = <local>;*.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Télécharger avec IDM
IE: Télécharger le contenu de video FLV avec IDM
IE: Télécharger tous les liens avec IDM
FF - ProfilePath - c:\documents and settings\Hammouda\Application Data\Mozilla\Firefox\Profiles\ns9lm9an.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - component: c:\program files\Mozilla Firefox 3.1 Beta 1\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
FF - component: c:\program files\Real\RealPlayer\browserrecord\components\nprpbrowserrecordplugin.dll
---- PARAMETRES FIREFOX ----
FF - user.js: yahoo.homepage.dontask - truec:\program files\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("media.enforce_same_site_origin", false);
c:\program files\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("media.ogg.enabled", true);
c:\program files\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("media.wave.enabled", true);
c:\program files\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("media.autoplay.enabled", true);
c:\program files\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
c:\program files\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
c:\program files\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("network.http.prompt-temp-redirect", true);
c:\program files\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
c:\program files\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
c:\program files\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
c:\program files\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
c:\program files\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
c:\program files\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
c:\program files\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
c:\program files\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-14 13:38:11
Windows 5.1.2600 Service Pack 2 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
Heure de fin: 2009-03-14 13:39:34
ComboFix-quarantined-files.txt 2009-03-14 12:39:32
Avant-CF: 18 486 644 736 octets libres
Après-CF: 19,145,076,736 octets libres
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=signature(5830583)disk(1)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
signature(5830583)disk(1)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect
227 --- E O F --- 2009-03-11 11:03:52
Re,
Copie ou imprime les instructions avant
Déconnecte toi d'internet et ferme toutes tes applications.
Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)
Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
File::
F:\ReadMe.exe
C:\WINDOWS\system32\wscript.exe
C:\WINDOWS\system32\antinul.vbe
F:\ntde1ect.com
C:\zPharaoh.exe
C:\h1dwg20.exe
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{19a5171c-acd1-11dd-ba49-001676b7f3ec}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{41a6681a-d1e4-11dd-bb15-001676b7f3ec}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{62f83415-f37f-11dd-9ff3-806d6172696f}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ae7d2c8e-ba16-11dd-ba91-001676b7f3ec}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b810c190-acef-11dd-ba4d-001676b7f3ec}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cacc5d5e-eae7-11dd-bba5-001676b7f3ec}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{dd069699-c709-11dd-bad1-001676b7f3ec}]
Enregistre ce fichier sous le nom CFscript
Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe
Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Réactive ton parefeu, ton antivirus, la garde de ton antispyware
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.
Copie ou imprime les instructions avant
Déconnecte toi d'internet et ferme toutes tes applications.
Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)
Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
File::
F:\ReadMe.exe
C:\WINDOWS\system32\wscript.exe
C:\WINDOWS\system32\antinul.vbe
F:\ntde1ect.com
C:\zPharaoh.exe
C:\h1dwg20.exe
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{19a5171c-acd1-11dd-ba49-001676b7f3ec}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{41a6681a-d1e4-11dd-bb15-001676b7f3ec}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{62f83415-f37f-11dd-9ff3-806d6172696f}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ae7d2c8e-ba16-11dd-ba91-001676b7f3ec}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b810c190-acef-11dd-ba4d-001676b7f3ec}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cacc5d5e-eae7-11dd-bba5-001676b7f3ec}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{dd069699-c709-11dd-bad1-001676b7f3ec}]
Enregistre ce fichier sous le nom CFscript
Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe
Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Réactive ton parefeu, ton antivirus, la garde de ton antispyware
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.
ComboFix 09-03-13.02 - Hammouda 2009-03-14 13:36:41.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.502.248 [GMT 1:00]
Lancé depuis: c:\documents and settings\Hammouda\Bureau\ComboFix.exe
* Un nouveau point de restauration a été créé
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\msjava.dll
D:\install.exe
.
((((((((((((((((((((((((((((( Fichiers créés du 2009-02-14 au 2009-03-14 ))))))))))))))))))))))))))))))))))))
.
2009-03-12 20:15 . 2009-03-12 20:16 <REP> d-------- C:\rsit
2009-03-12 20:15 . 2009-03-12 20:16 <REP> d-------- c:\program files\trend micro
2009-03-08 20:44 . 2009-03-08 20:44 268 --ah----- C:\sqmdata17.sqm
2009-03-08 20:44 . 2009-03-08 20:44 244 --ah----- C:\sqmnoopt17.sqm
2009-03-08 15:19 . 2009-03-08 15:19 268 --ah----- C:\sqmdata16.sqm
2009-03-08 15:19 . 2009-03-08 15:19 244 --ah----- C:\sqmnoopt16.sqm
2009-03-08 00:19 . 2009-03-08 00:19 268 --ah----- C:\sqmdata15.sqm
2009-03-08 00:19 . 2009-03-08 00:19 244 --ah----- C:\sqmnoopt15.sqm
2009-03-05 20:47 . 2009-03-05 20:50 <REP> d-------- c:\windows\system32\NtmsData
2009-03-05 01:34 . 2009-03-05 01:34 <REP> d-------- c:\documents and settings\Hammouda\Application Data\Wireshark
2009-03-05 01:32 . 2009-03-12 14:53 <REP> d-------- c:\program files\WinPcap
2009-03-05 01:31 . 2009-03-05 01:32 <REP> d-------- c:\program files\Wireshark
2009-03-01 11:16 . 2009-03-01 11:18 158 --a------ c:\windows\matlab.ini
2009-03-01 11:09 . 2009-03-01 11:09 <REP> d-------- c:\documents and settings\Hammouda\Application Data\MathWorks
2009-03-01 11:06 . 1998-09-20 03:57 645,120 --a------ c:\windows\system32\config.gms
2009-03-01 11:06 . 2000-05-29 21:32 148,992 --a------ c:\windows\system32\mllink5.dll
2009-03-01 11:06 . 2009-03-01 11:06 19 --a------ c:\windows\exlink.ini
2009-03-01 11:04 . 2009-03-01 11:10 <REP> d-a------ C:\Matlab6.1
2009-03-01 10:50 . 2009-03-01 10:50 <REP> d-------- c:\program files\PHPNukeFR
2009-03-01 10:50 . 2009-03-01 10:50 <REP> d-------- c:\program files\Conduit
2009-02-21 21:01 . 2009-02-21 21:01 268 --ah----- C:\sqmdata14.sqm
2009-02-21 21:01 . 2009-02-21 21:01 244 --ah----- C:\sqmnoopt14.sqm
2009-02-21 19:02 . 2009-02-21 19:02 268 --ah----- C:\sqmdata13.sqm
2009-02-21 19:02 . 2009-02-21 19:02 244 --ah----- C:\sqmnoopt13.sqm
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-14 12:31 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-03-14 12:19 --------- d-----w c:\program files\Spybot - Search & Destroy
2009-03-14 12:19 --------- d-----w c:\program files\Mozilla Firefox 3.1 Beta 1
2009-03-14 00:55 --------- d-----w c:\documents and settings\Hammouda\Application Data\LimeWire
2009-03-09 22:28 --------- d-----w c:\documents and settings\Hammouda\Application Data\uTorrent
2009-03-02 18:52 --------- d-----w c:\documents and settings\Hammouda\Application Data\Skype
2009-02-27 20:23 --------- d-----w c:\documents and settings\Hammouda\Application Data\skypePM
2009-02-24 21:11 --------- d-----w c:\program files\EoRezo
2009-02-24 21:11 --------- d-----w c:\documents and settings\Hammouda\Application Data\EoRezo
2009-02-14 08:24 --------- d-----w c:\program files\Nokia
2009-02-14 08:21 --------- d-----w c:\program files\eMule
2009-02-14 08:21 --------- d-----w c:\program files\Easy-TV
2009-02-12 16:56 0 ---ha-w c:\windows\system32\drivers\MsftWdf_Kernel_01007_Coinstaller_Critical.Wdf
2009-02-12 16:56 0 ---ha-w c:\windows\system32\drivers\Msft_Kernel_ccdcmb_01007.Wdf
2009-02-12 16:14 --------- d-----w c:\documents and settings\All Users\Application Data\Nokia
2009-02-12 16:09 --------- d-----w c:\program files\Fichiers communs\Nokia
2009-02-12 16:08 --------- d-----w c:\program files\MSXML 6.0
2009-02-12 16:07 --------- d-----w c:\documents and settings\All Users\Application Data\Installations
2009-02-12 14:00 --------- d-----w c:\documents and settings\Hammouda\Application Data\Apple Computer
2009-02-09 14:17 1,846,400 ----a-w c:\windows\system32\win32k.sys
2009-02-08 21:40 --------- d-----w c:\program files\djDecks
2009-02-08 10:15 --------- d-----w c:\program files\MAGIX
2009-01-25 14:15 --------- d-----w c:\program files\iTunes
2009-01-25 14:15 --------- d-----w c:\documents and settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2009-01-25 14:14 --------- d-----w c:\program files\QuickTime
2009-01-25 14:14 --------- d-----w c:\program files\iPod
2009-01-25 14:14 --------- d-----w c:\program files\Bonjour
2009-01-25 14:14 --------- d-----w c:\documents and settings\All Users\Application Data\Apple Computer
2009-01-25 14:13 --------- d-----w c:\program files\Fichiers communs\Apple
2009-01-25 14:13 --------- d-----w c:\program files\Apple Software Update
2009-01-25 14:13 --------- d-----w c:\documents and settings\All Users\Application Data\Apple
2009-01-24 15:21 --------- d-----w c:\documents and settings\Hammouda\Application Data\Winamp
2009-01-20 13:09 --------- d-----w c:\program files\Yaldex Software
2008-12-14 13:33 73,216 ----a-w c:\windows\ST6UNST.EXE
2008-12-14 13:33 249,856 ------w c:\windows\Setup1.exe
2008-04-27 23:25 337,417 --sha-w c:\windows\system32\SpiderH.vbs
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]
"MsnMsgr"="c:\program files\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2004-08-04 1667584]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2008-11-18 21633320]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2005-04-05 94208]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-11-10 136600]
"SoftwareHelper"="c:\documents and settings\Hammouda\Application Data\eoRezo\SoftwareUpdate\SoftwareUpdateHP.exe" [2008-12-09 368224]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2008-12-05 185872]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.iac2"= c:\progra~1\ACEMEG~1\SystemS\Intel\iac25_32.ax
"msacm.sl_anet"= c:\progra~1\ACEMEG~1\SystemS\sl_anet.acm
"vidc.yv12"= c:\progra~1\ACEMEG~1\SystemS\ATI\atiyuv12.DLL
"vidc.divx"= c:\progra~1\ACEMEG~1\SystemS\DivX\DivX520.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EoEngine]
--a------ 2009-02-23 14:19 472872 c:\program files\EoRezo\EoEngine.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]
--a------ 2005-04-05 14:19 77824 c:\windows\system32\hkcmd.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2008-09-08 23:02 289576 c:\program files\iTunes\iTunesHelper.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Persistence]
--a------ 2005-04-05 14:23 114688 c:\windows\system32\igfxpers.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-09-06 15:09 413696 c:\program files\QuickTime\QTTask.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoftwareHelper]
--a------ 2008-12-09 10:13 368224 c:\documents and settings\Hammouda\Application Data\EoRezo\SoftwareUpdate\SoftwareUpdateHP.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2008-12-05 22:19 185872 c:\program files\Fichiers communs\Real\Update_OB\realsched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2008-08-04 00:02 36352 c:\program files\Winamp\winampa.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"c:\\Program Files\\MSN Messenger\\livecall.exe"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\WINDOWS\\system32\\ftp.exe"=
"c:\\Program Files\\Mozilla Firefox 3.1 Beta 1\\firefox.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Fichiers communs\\Nokia\\Service Layer\\A\\nsl_host_process.exe"=
"c:\\Program Files\\Nokia\\Nokia Software Updater\\nsu_ui_client.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\program files\MAGIX\Common\Database\bin\fbserver.exe [2008-10-31 1527900]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [2009-02-12 138112]
S3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers\nmwcdnsuc.sys [2009-02-12 8320]
S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [2007-11-06 34064]
S3 UPnPService;UPnPService;c:\program files\Fichiers communs\MAGIX Shared\UPnPService\UPnPService.exe [2008-11-03 544768]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]
\Shell\AutoRun\command - h1dwg20.exe
\Shell\explore\Command - h1dwg20.exe
\Shell\open\Command - h1dwg20.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{19a5171c-acd1-11dd-ba49-001676b7f3ec}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Wallpaper.vbs
\Shell\Explore\Command - Wscript \Wallpaper.vbs
\Shell\Open\Command - Wscript \Wallpaper.vbs
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{41a6681a-d1e4-11dd-bb15-001676b7f3ec}]
\Shell\AutoRun\command - wscript.exe .\.vbs
\Shell\open\command - wscript.exe .\.vbs
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{62f83415-f37f-11dd-9ff3-806d6172696f}]
\Shell\AutoRun\command - h1dwg20.exe
\Shell\explore\Command - h1dwg20.exe
\Shell\open\Command - h1dwg20.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6d4286e0-c5f5-11dd-baca-001676b7f3ec}]
\Shell\AutoRun\command - F:\LaunchU3.exe -a
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ae7d2c8e-ba16-11dd-ba91-001676b7f3ec}]
\Shell\AutoRun\command - zPharaoh.exe
\Shell\explore\command - zPharaoh.exe
\Shell\open\command - zPharaoh.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b810c190-acef-11dd-ba4d-001676b7f3ec}]
\Shell\AutoRun\command - F:\ntde1ect.com
\Shell\explore\Command - F:\ntde1ect.com
\Shell\open\Command - F:\ntde1ect.com
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cacc5d5e-eae7-11dd-bba5-001676b7f3ec}]
\Shell\AutoRun\command - wscript.exe antinul.vbe
\Shell\open\Command - wscript.exe antinul.vbe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{dd069699-c709-11dd-bad1-001676b7f3ec}]
\Shell\AutoRun\command - F:\ReadMe.exe
.
Contenu du dossier 'Tâches planifiées'
2009-03-07 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.
- - - - ORPHELINS SUPPRIMES - - - -
Toolbar-{8e7da7e7-9f7e-426e-b964-be9f1cbc9d79} - (no file)
HKLM-Run-NetAnalyse - c:\program files\NetAnalyse\NetAnalyse.exe
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2095689
uInternet Settings,ProxyOverride = <local>;*.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Télécharger avec IDM
IE: Télécharger le contenu de video FLV avec IDM
IE: Télécharger tous les liens avec IDM
FF - ProfilePath - c:\documents and settings\Hammouda\Application Data\Mozilla\Firefox\Profiles\ns9lm9an.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - component: c:\program files\Mozilla Firefox 3.1 Beta 1\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
FF - component: c:\program files\Real\RealPlayer\browserrecord\components\nprpbrowserrecordplugin.dll
---- PARAMETRES FIREFOX ----
FF - user.js: yahoo.homepage.dontask - truec:\program files\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("media.enforce_same_site_origin", false);
c:\program files\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("media.ogg.enabled", true);
c:\program files\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("media.wave.enabled", true);
c:\program files\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("media.autoplay.enabled", true);
c:\program files\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
c:\program files\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
c:\program files\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("network.http.prompt-temp-redirect", true);
c:\program files\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
c:\program files\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
c:\program files\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
c:\program files\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
c:\program files\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
c:\program files\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
c:\program files\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
c:\program files\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-14 13:38:11
Windows 5.1.2600 Service Pack 2 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
Heure de fin: 2009-03-14 13:39:34
ComboFix-quarantined-files.txt 2009-03-14 12:39:32
Avant-CF: 18 486 644 736 octets libres
Après-CF: 19,145,076,736 octets libres
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=signature(5830583)disk(1)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
signature(5830583)disk(1)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect
227 --- E O F --- 2009-03-11 11:03:52
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.502.248 [GMT 1:00]
Lancé depuis: c:\documents and settings\Hammouda\Bureau\ComboFix.exe
* Un nouveau point de restauration a été créé
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\msjava.dll
D:\install.exe
.
((((((((((((((((((((((((((((( Fichiers créés du 2009-02-14 au 2009-03-14 ))))))))))))))))))))))))))))))))))))
.
2009-03-12 20:15 . 2009-03-12 20:16 <REP> d-------- C:\rsit
2009-03-12 20:15 . 2009-03-12 20:16 <REP> d-------- c:\program files\trend micro
2009-03-08 20:44 . 2009-03-08 20:44 268 --ah----- C:\sqmdata17.sqm
2009-03-08 20:44 . 2009-03-08 20:44 244 --ah----- C:\sqmnoopt17.sqm
2009-03-08 15:19 . 2009-03-08 15:19 268 --ah----- C:\sqmdata16.sqm
2009-03-08 15:19 . 2009-03-08 15:19 244 --ah----- C:\sqmnoopt16.sqm
2009-03-08 00:19 . 2009-03-08 00:19 268 --ah----- C:\sqmdata15.sqm
2009-03-08 00:19 . 2009-03-08 00:19 244 --ah----- C:\sqmnoopt15.sqm
2009-03-05 20:47 . 2009-03-05 20:50 <REP> d-------- c:\windows\system32\NtmsData
2009-03-05 01:34 . 2009-03-05 01:34 <REP> d-------- c:\documents and settings\Hammouda\Application Data\Wireshark
2009-03-05 01:32 . 2009-03-12 14:53 <REP> d-------- c:\program files\WinPcap
2009-03-05 01:31 . 2009-03-05 01:32 <REP> d-------- c:\program files\Wireshark
2009-03-01 11:16 . 2009-03-01 11:18 158 --a------ c:\windows\matlab.ini
2009-03-01 11:09 . 2009-03-01 11:09 <REP> d-------- c:\documents and settings\Hammouda\Application Data\MathWorks
2009-03-01 11:06 . 1998-09-20 03:57 645,120 --a------ c:\windows\system32\config.gms
2009-03-01 11:06 . 2000-05-29 21:32 148,992 --a------ c:\windows\system32\mllink5.dll
2009-03-01 11:06 . 2009-03-01 11:06 19 --a------ c:\windows\exlink.ini
2009-03-01 11:04 . 2009-03-01 11:10 <REP> d-a------ C:\Matlab6.1
2009-03-01 10:50 . 2009-03-01 10:50 <REP> d-------- c:\program files\PHPNukeFR
2009-03-01 10:50 . 2009-03-01 10:50 <REP> d-------- c:\program files\Conduit
2009-02-21 21:01 . 2009-02-21 21:01 268 --ah----- C:\sqmdata14.sqm
2009-02-21 21:01 . 2009-02-21 21:01 244 --ah----- C:\sqmnoopt14.sqm
2009-02-21 19:02 . 2009-02-21 19:02 268 --ah----- C:\sqmdata13.sqm
2009-02-21 19:02 . 2009-02-21 19:02 244 --ah----- C:\sqmnoopt13.sqm
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-14 12:31 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-03-14 12:19 --------- d-----w c:\program files\Spybot - Search & Destroy
2009-03-14 12:19 --------- d-----w c:\program files\Mozilla Firefox 3.1 Beta 1
2009-03-14 00:55 --------- d-----w c:\documents and settings\Hammouda\Application Data\LimeWire
2009-03-09 22:28 --------- d-----w c:\documents and settings\Hammouda\Application Data\uTorrent
2009-03-02 18:52 --------- d-----w c:\documents and settings\Hammouda\Application Data\Skype
2009-02-27 20:23 --------- d-----w c:\documents and settings\Hammouda\Application Data\skypePM
2009-02-24 21:11 --------- d-----w c:\program files\EoRezo
2009-02-24 21:11 --------- d-----w c:\documents and settings\Hammouda\Application Data\EoRezo
2009-02-14 08:24 --------- d-----w c:\program files\Nokia
2009-02-14 08:21 --------- d-----w c:\program files\eMule
2009-02-14 08:21 --------- d-----w c:\program files\Easy-TV
2009-02-12 16:56 0 ---ha-w c:\windows\system32\drivers\MsftWdf_Kernel_01007_Coinstaller_Critical.Wdf
2009-02-12 16:56 0 ---ha-w c:\windows\system32\drivers\Msft_Kernel_ccdcmb_01007.Wdf
2009-02-12 16:14 --------- d-----w c:\documents and settings\All Users\Application Data\Nokia
2009-02-12 16:09 --------- d-----w c:\program files\Fichiers communs\Nokia
2009-02-12 16:08 --------- d-----w c:\program files\MSXML 6.0
2009-02-12 16:07 --------- d-----w c:\documents and settings\All Users\Application Data\Installations
2009-02-12 14:00 --------- d-----w c:\documents and settings\Hammouda\Application Data\Apple Computer
2009-02-09 14:17 1,846,400 ----a-w c:\windows\system32\win32k.sys
2009-02-08 21:40 --------- d-----w c:\program files\djDecks
2009-02-08 10:15 --------- d-----w c:\program files\MAGIX
2009-01-25 14:15 --------- d-----w c:\program files\iTunes
2009-01-25 14:15 --------- d-----w c:\documents and settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2009-01-25 14:14 --------- d-----w c:\program files\QuickTime
2009-01-25 14:14 --------- d-----w c:\program files\iPod
2009-01-25 14:14 --------- d-----w c:\program files\Bonjour
2009-01-25 14:14 --------- d-----w c:\documents and settings\All Users\Application Data\Apple Computer
2009-01-25 14:13 --------- d-----w c:\program files\Fichiers communs\Apple
2009-01-25 14:13 --------- d-----w c:\program files\Apple Software Update
2009-01-25 14:13 --------- d-----w c:\documents and settings\All Users\Application Data\Apple
2009-01-24 15:21 --------- d-----w c:\documents and settings\Hammouda\Application Data\Winamp
2009-01-20 13:09 --------- d-----w c:\program files\Yaldex Software
2008-12-14 13:33 73,216 ----a-w c:\windows\ST6UNST.EXE
2008-12-14 13:33 249,856 ------w c:\windows\Setup1.exe
2008-04-27 23:25 337,417 --sha-w c:\windows\system32\SpiderH.vbs
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]
"MsnMsgr"="c:\program files\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2004-08-04 1667584]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2008-11-18 21633320]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2005-04-05 94208]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-11-10 136600]
"SoftwareHelper"="c:\documents and settings\Hammouda\Application Data\eoRezo\SoftwareUpdate\SoftwareUpdateHP.exe" [2008-12-09 368224]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2008-12-05 185872]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.iac2"= c:\progra~1\ACEMEG~1\SystemS\Intel\iac25_32.ax
"msacm.sl_anet"= c:\progra~1\ACEMEG~1\SystemS\sl_anet.acm
"vidc.yv12"= c:\progra~1\ACEMEG~1\SystemS\ATI\atiyuv12.DLL
"vidc.divx"= c:\progra~1\ACEMEG~1\SystemS\DivX\DivX520.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EoEngine]
--a------ 2009-02-23 14:19 472872 c:\program files\EoRezo\EoEngine.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]
--a------ 2005-04-05 14:19 77824 c:\windows\system32\hkcmd.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2008-09-08 23:02 289576 c:\program files\iTunes\iTunesHelper.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Persistence]
--a------ 2005-04-05 14:23 114688 c:\windows\system32\igfxpers.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-09-06 15:09 413696 c:\program files\QuickTime\QTTask.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoftwareHelper]
--a------ 2008-12-09 10:13 368224 c:\documents and settings\Hammouda\Application Data\EoRezo\SoftwareUpdate\SoftwareUpdateHP.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2008-12-05 22:19 185872 c:\program files\Fichiers communs\Real\Update_OB\realsched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2008-08-04 00:02 36352 c:\program files\Winamp\winampa.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"c:\\Program Files\\MSN Messenger\\livecall.exe"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\WINDOWS\\system32\\ftp.exe"=
"c:\\Program Files\\Mozilla Firefox 3.1 Beta 1\\firefox.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Fichiers communs\\Nokia\\Service Layer\\A\\nsl_host_process.exe"=
"c:\\Program Files\\Nokia\\Nokia Software Updater\\nsu_ui_client.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\program files\MAGIX\Common\Database\bin\fbserver.exe [2008-10-31 1527900]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [2009-02-12 138112]
S3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers\nmwcdnsuc.sys [2009-02-12 8320]
S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [2007-11-06 34064]
S3 UPnPService;UPnPService;c:\program files\Fichiers communs\MAGIX Shared\UPnPService\UPnPService.exe [2008-11-03 544768]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]
\Shell\AutoRun\command - h1dwg20.exe
\Shell\explore\Command - h1dwg20.exe
\Shell\open\Command - h1dwg20.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{19a5171c-acd1-11dd-ba49-001676b7f3ec}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Wallpaper.vbs
\Shell\Explore\Command - Wscript \Wallpaper.vbs
\Shell\Open\Command - Wscript \Wallpaper.vbs
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{41a6681a-d1e4-11dd-bb15-001676b7f3ec}]
\Shell\AutoRun\command - wscript.exe .\.vbs
\Shell\open\command - wscript.exe .\.vbs
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{62f83415-f37f-11dd-9ff3-806d6172696f}]
\Shell\AutoRun\command - h1dwg20.exe
\Shell\explore\Command - h1dwg20.exe
\Shell\open\Command - h1dwg20.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6d4286e0-c5f5-11dd-baca-001676b7f3ec}]
\Shell\AutoRun\command - F:\LaunchU3.exe -a
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ae7d2c8e-ba16-11dd-ba91-001676b7f3ec}]
\Shell\AutoRun\command - zPharaoh.exe
\Shell\explore\command - zPharaoh.exe
\Shell\open\command - zPharaoh.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b810c190-acef-11dd-ba4d-001676b7f3ec}]
\Shell\AutoRun\command - F:\ntde1ect.com
\Shell\explore\Command - F:\ntde1ect.com
\Shell\open\Command - F:\ntde1ect.com
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cacc5d5e-eae7-11dd-bba5-001676b7f3ec}]
\Shell\AutoRun\command - wscript.exe antinul.vbe
\Shell\open\Command - wscript.exe antinul.vbe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{dd069699-c709-11dd-bad1-001676b7f3ec}]
\Shell\AutoRun\command - F:\ReadMe.exe
.
Contenu du dossier 'Tâches planifiées'
2009-03-07 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.
- - - - ORPHELINS SUPPRIMES - - - -
Toolbar-{8e7da7e7-9f7e-426e-b964-be9f1cbc9d79} - (no file)
HKLM-Run-NetAnalyse - c:\program files\NetAnalyse\NetAnalyse.exe
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2095689
uInternet Settings,ProxyOverride = <local>;*.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Télécharger avec IDM
IE: Télécharger le contenu de video FLV avec IDM
IE: Télécharger tous les liens avec IDM
FF - ProfilePath - c:\documents and settings\Hammouda\Application Data\Mozilla\Firefox\Profiles\ns9lm9an.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - component: c:\program files\Mozilla Firefox 3.1 Beta 1\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
FF - component: c:\program files\Real\RealPlayer\browserrecord\components\nprpbrowserrecordplugin.dll
---- PARAMETRES FIREFOX ----
FF - user.js: yahoo.homepage.dontask - truec:\program files\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("media.enforce_same_site_origin", false);
c:\program files\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("media.ogg.enabled", true);
c:\program files\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("media.wave.enabled", true);
c:\program files\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("media.autoplay.enabled", true);
c:\program files\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
c:\program files\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
c:\program files\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("network.http.prompt-temp-redirect", true);
c:\program files\Mozilla Firefox 3.1 Beta 1\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
c:\program files\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
c:\program files\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
c:\program files\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
c:\program files\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
c:\program files\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
c:\program files\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
c:\program files\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-14 13:38:11
Windows 5.1.2600 Service Pack 2 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
Heure de fin: 2009-03-14 13:39:34
ComboFix-quarantined-files.txt 2009-03-14 12:39:32
Avant-CF: 18 486 644 736 octets libres
Après-CF: 19,145,076,736 octets libres
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=signature(5830583)disk(1)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
signature(5830583)disk(1)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect
227 --- E O F --- 2009-03-11 11:03:52
Re,
tu n'as pas fait rigoureusement ce que j'ai demandé.
Je te redonne (en plus j'ai oublié la consigne de connecter tes supports amovibles).
==============
Copie ou imprime les instructions avant
Déconnecte toi d'internet et ferme toutes tes applications.
Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)
Crée un nouveau document texte en faisant comme ça : clic droit de la souris sur le Bureau, clique sur Nouveau puis Document Texte, et copie dedans les lignes suivantes :
File::
F:\ReadMe.exe
C:\WINDOWS\system32\wscript.exe
C:\WINDOWS\system32\antinul.vbe
F:\ntde1ect.com
C:\zPharaoh.exe
C:\h1dwg20.exe
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{19a5171c-acd1-11dd-ba49-001676b7f3ec}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{41a6681a-d1e4-11dd-bb15-001676b7f3ec}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{62f83415-f37f-11dd-9ff3-806d6172696f}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ae7d2c8e-ba16-11dd-ba91-001676b7f3ec}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b810c190-acef-11dd-ba4d-001676b7f3ec}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cacc5d5e-eae7-11dd-bba5-001676b7f3ec}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{dd069699-c709-11dd-bad1-001676b7f3ec}]
Enregistre ce fichier sous le nom CFscript
Connecte tes supports amovibles (clés USB, Disque dur externe) sans les ouvrir.
Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe :
Fais comme ça :
Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Réactive ton parefeu, ton antivirus, la garde de ton antispyware
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.
tu n'as pas fait rigoureusement ce que j'ai demandé.
Je te redonne (en plus j'ai oublié la consigne de connecter tes supports amovibles).
==============
Copie ou imprime les instructions avant
Déconnecte toi d'internet et ferme toutes tes applications.
Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)
Crée un nouveau document texte en faisant comme ça : clic droit de la souris sur le Bureau, clique sur Nouveau puis Document Texte, et copie dedans les lignes suivantes :
File::
F:\ReadMe.exe
C:\WINDOWS\system32\wscript.exe
C:\WINDOWS\system32\antinul.vbe
F:\ntde1ect.com
C:\zPharaoh.exe
C:\h1dwg20.exe
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{19a5171c-acd1-11dd-ba49-001676b7f3ec}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{41a6681a-d1e4-11dd-bb15-001676b7f3ec}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{62f83415-f37f-11dd-9ff3-806d6172696f}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ae7d2c8e-ba16-11dd-ba91-001676b7f3ec}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b810c190-acef-11dd-ba4d-001676b7f3ec}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cacc5d5e-eae7-11dd-bba5-001676b7f3ec}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{dd069699-c709-11dd-bad1-001676b7f3ec}]
Enregistre ce fichier sous le nom CFscript
Connecte tes supports amovibles (clés USB, Disque dur externe) sans les ouvrir.
Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe :
Fais comme ça :
Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Réactive ton parefeu, ton antivirus, la garde de ton antispyware
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.
