HELP!! Malware ou virus PLAYME...
Résolu
rems23
Messages postés
48
Statut
Membre
-
rems23 Messages postés 48 Statut Membre -
rems23 Messages postés 48 Statut Membre -
Bonjour,
Je possede un samsung NC10 et j ai malheursement telecharger un fichier playme.exe comme une upgrade de WMP....
Depuis, quand je double clic sur une de mes deux partitions j ai une erreur du type "cannot retrieve RECYCLER....". Le seul moyen est explorer.....
Il m est aussi impossible de lancer Malwarebyte ou d instaler ad'aware ou spybot....
Lorsque j ouvre firefox et que je tape un texte contenant "virus" ou "...ware" il m ouvre des pubs....
J ai lance HIjackThis et supprimer quelques entrees
J ai aussi restorer le systeme mais rien y fait ca y est toujours....
La je fais un scan complet avec avast et vais installer et lancer Avira et Norton (la version trial).....
la je ne sais plus vraiment koi faire si ca ne marche pas sauf acheter un lecteur de cd externe et tout effacer-reinstaller...
Ah j oubliais j ai aussi un processus en marche assez suspect slutntrailer.exe et comme j ai pu le voir sur d autres sites dans mon dossier System32 j ai quelque fichers executables suspects aussii
Voila j espere que quelqu un pourra m aider a sauver des siouxes.....
rems
Je possede un samsung NC10 et j ai malheursement telecharger un fichier playme.exe comme une upgrade de WMP....
Depuis, quand je double clic sur une de mes deux partitions j ai une erreur du type "cannot retrieve RECYCLER....". Le seul moyen est explorer.....
Il m est aussi impossible de lancer Malwarebyte ou d instaler ad'aware ou spybot....
Lorsque j ouvre firefox et que je tape un texte contenant "virus" ou "...ware" il m ouvre des pubs....
J ai lance HIjackThis et supprimer quelques entrees
J ai aussi restorer le systeme mais rien y fait ca y est toujours....
La je fais un scan complet avec avast et vais installer et lancer Avira et Norton (la version trial).....
la je ne sais plus vraiment koi faire si ca ne marche pas sauf acheter un lecteur de cd externe et tout effacer-reinstaller...
Ah j oubliais j ai aussi un processus en marche assez suspect slutntrailer.exe et comme j ai pu le voir sur d autres sites dans mon dossier System32 j ai quelque fichers executables suspects aussii
Voila j espere que quelqu un pourra m aider a sauver des siouxes.....
rems
A voir également:
- HELP!! Malware ou virus PLAYME...
- Malwarebytes anti-malware - Télécharger - Antivirus & Antimalwares
- Virus mcafee - Accueil - Piratage
- Artemis virus - Forum Virus
- Virus informatique - Guide
- Win64 malware gen - Forum Virus
67 réponses
En attendant voila le premier rapport de Smitfraudfix
SmitFraudFix v2.398
Scan done at 0:51:55.68, 18/03/2009
Run from C:\Documents and Settings\REMI\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is
Fix run in normal mode
»»»»»»»»»»»»»»»»»»»»»»»» DNS Before Fix
Your computer may be victim of a DNS Hijack: 85.255.x.x detected !
Description: Generic Marvell Yukon 88E8040 PCI-E Fast Ethernet Controller - Packet Scheduler Miniport
DNS Server Search Order: 85.255.112.64
DNS Server Search Order: 85.255.112.225
HKLM\SYSTEM\CCS\Services\Tcpip\..\{37C47030-4DDD-4374-B1C8-3EFC5C1B506A}: NameServer=85.255.112.64,85.255.112.225
HKLM\SYSTEM\CCS\Services\Tcpip\..\{9C273864-0D7F-4DAC-AA35-83756CEEB1AB}: NameServer=85.255.112.64,85.255.112.225
HKLM\SYSTEM\CS1\Services\Tcpip\..\{37C47030-4DDD-4374-B1C8-3EFC5C1B506A}: NameServer=85.255.112.64,85.255.112.225
HKLM\SYSTEM\CS1\Services\Tcpip\..\{9C273864-0D7F-4DAC-AA35-83756CEEB1AB}: NameServer=85.255.112.64,85.255.112.225
HKLM\SYSTEM\CS3\Services\Tcpip\..\{37C47030-4DDD-4374-B1C8-3EFC5C1B506A}: NameServer=85.255.112.64,85.255.112.225
HKLM\SYSTEM\CS3\Services\Tcpip\..\{9C273864-0D7F-4DAC-AA35-83756CEEB1AB}: NameServer=85.255.112.64,85.255.112.225
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=85.255.112.64,85.255.112.225
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=85.255.112.64,85.255.112.225
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: NameServer=85.255.112.64,85.255.112.225
»»»»»»»»»»»»»»»»»»»»»»»» DNS After Fix
SmitFraudFix v2.398
Scan done at 0:51:55.68, 18/03/2009
Run from C:\Documents and Settings\REMI\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is
Fix run in normal mode
»»»»»»»»»»»»»»»»»»»»»»»» DNS Before Fix
Your computer may be victim of a DNS Hijack: 85.255.x.x detected !
Description: Generic Marvell Yukon 88E8040 PCI-E Fast Ethernet Controller - Packet Scheduler Miniport
DNS Server Search Order: 85.255.112.64
DNS Server Search Order: 85.255.112.225
HKLM\SYSTEM\CCS\Services\Tcpip\..\{37C47030-4DDD-4374-B1C8-3EFC5C1B506A}: NameServer=85.255.112.64,85.255.112.225
HKLM\SYSTEM\CCS\Services\Tcpip\..\{9C273864-0D7F-4DAC-AA35-83756CEEB1AB}: NameServer=85.255.112.64,85.255.112.225
HKLM\SYSTEM\CS1\Services\Tcpip\..\{37C47030-4DDD-4374-B1C8-3EFC5C1B506A}: NameServer=85.255.112.64,85.255.112.225
HKLM\SYSTEM\CS1\Services\Tcpip\..\{9C273864-0D7F-4DAC-AA35-83756CEEB1AB}: NameServer=85.255.112.64,85.255.112.225
HKLM\SYSTEM\CS3\Services\Tcpip\..\{37C47030-4DDD-4374-B1C8-3EFC5C1B506A}: NameServer=85.255.112.64,85.255.112.225
HKLM\SYSTEM\CS3\Services\Tcpip\..\{9C273864-0D7F-4DAC-AA35-83756CEEB1AB}: NameServer=85.255.112.64,85.255.112.225
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=85.255.112.64,85.255.112.225
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=85.255.112.64,85.255.112.225
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: NameServer=85.255.112.64,85.255.112.225
»»»»»»»»»»»»»»»»»»»»»»»» DNS After Fix
Ced_King
Messages postés
3519
Date d'inscription
Statut
Contributeur
Dernière intervention
572
Le rapport DNS n'est pas complet >> il manque la partie DNS After Fix >> j'en ai besoin!
Je viens de relancer OtMoveit mais il ne fonctionne toujours pas apparement, est ce que je fais l option 2 de SmitFraudfix en mode sans echec pour ensuite reessayer OTMoveit??
Oups desole.....la je viens de lancer l option 2 en mode sans echec.....Ca pose un gros souci si je refais l option 5 apres et que je te poste le rapport?
essaies comme ça
Desactives la garde de ton antivirus
- Fermes toutes les applications en cours etdouble clic sur OTMoveIT
- Assures toi que la case " Unregister Dll's and ocx's " soit bien cochée et copie ( ctrl+ C) ce qui est ci dessous " :
:processes
explorer.exe
:service
ASKUpgrade
ASKService
:reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2
\{ea107ea6-fa01-11dd-b1d9-001377d3f36b}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2
\{6c42a441-fce5-11dd-b1e1-001377d3f36b}]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C]
:commands
[purity]
[emptytemp]
Colle (Ctrl+V) le texte précédemment copié dans le cadre " Paste Instructions for Items to be Moved "
Clique maintenant sur le bouton MoveIt! puis ferme OTMoveIt3.
---> Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.
Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
---> Le nom du rapport correspond au moment de sa création : date_heure.log
/!\si ton bureau ne reapparait pas, presse Ctrl+Alt+Suppr pour ouvrir le Gestionnaire des tâches.
Onglet "Processus" > Fichier (menu) > Nouvelle tâche (Exécuter...) > tape explorer et clique sur OK.
Desactives la garde de ton antivirus
- Fermes toutes les applications en cours etdouble clic sur OTMoveIT
- Assures toi que la case " Unregister Dll's and ocx's " soit bien cochée et copie ( ctrl+ C) ce qui est ci dessous " :
:processes
explorer.exe
:service
ASKUpgrade
ASKService
:reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2
\{ea107ea6-fa01-11dd-b1d9-001377d3f36b}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2
\{6c42a441-fce5-11dd-b1e1-001377d3f36b}]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C]
:commands
[purity]
[emptytemp]
Colle (Ctrl+V) le texte précédemment copié dans le cadre " Paste Instructions for Items to be Moved "
Clique maintenant sur le bouton MoveIt! puis ferme OTMoveIt3.
---> Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.
Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
---> Le nom du rapport correspond au moment de sa création : date_heure.log
/!\si ton bureau ne reapparait pas, presse Ctrl+Alt+Suppr pour ouvrir le Gestionnaire des tâches.
Onglet "Processus" > Fichier (menu) > Nouvelle tâche (Exécuter...) > tape explorer et clique sur OK.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
ok je redemarre en mode normal et te poste les rapports complets cette fois ci pour l option en Mode sans echec et l option 5
ok voila le rapport de l option 2 en MsE
SmitFraudFix v2.398
Scan done at 1:00:37.75, 18/03/2009
Run from C:\Documents and Settings\REMI\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is
Fix run in safe mode
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Killing process
»»»»»»»»»»»»»»»»»»»»»»»» hosts
127.0.0.1 localhost
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix
S!Ri's WS2Fix: LSP not Found.
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
GenericRenosFix by S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files
Problem while deleting C:\autorun.inf
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» RK
»»»»»»»»»»»»»»»»»»»»»»»» DNS
»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
Registry Cleaning done.
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» End
SmitFraudFix v2.398
Scan done at 1:00:37.75, 18/03/2009
Run from C:\Documents and Settings\REMI\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is
Fix run in safe mode
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Killing process
»»»»»»»»»»»»»»»»»»»»»»»» hosts
127.0.0.1 localhost
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix
S!Ri's WS2Fix: LSP not Found.
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
GenericRenosFix by S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files
Problem while deleting C:\autorun.inf
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» RK
»»»»»»»»»»»»»»»»»»»»»»»» DNS
»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
Registry Cleaning done.
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» End
Celui de l option 5, mais j ai bien verifier et il n y a rien apres DNS Fix...
SmitFraudFix v2.398
Scan done at 1:08:15.87, 18/03/2009
Run from C:\Documents and Settings\REMI\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is
Fix run in normal mode
»»»»»»»»»»»»»»»»»»»»»»»» DNS Before Fix
»»»»»»»»»»»»»»»»»»»»»»»» DNS After Fix
SmitFraudFix v2.398
Scan done at 1:08:15.87, 18/03/2009
Run from C:\Documents and Settings\REMI\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is
Fix run in normal mode
»»»»»»»»»»»»»»»»»»»»»»»» DNS Before Fix
»»»»»»»»»»»»»»»»»»»»»»»» DNS After Fix
On va faire autrement.
- tu as bien fais la commande demander :Clique sur Démarrer puis Exécuter. Tapes combofix /u dans la zone de saisie puis OK.
- ( il y a un espace entre combofix et /u)
------------------
- Ensuite,- Telecharges Combofix et enregistres le sur ton bureau
http://download.bleepingcomputer.com/sUBs/ComboFix.exe -
/!\ Desactives ton antivirus et la garde de ton antispyware ( si tu en as un) /!\
- Deconnectes toi et fermes toutes les applications en cours
- Double clic sur Combofix.exe >> un message apparait > réponds " oui "
- ( Il est conseillé d'installer la console de recuperations)
- Selectionnes la langue et presse la touche 1 ( yes) pour lancer le scan
/!\ Ne touche ni à la souris, ni au clavier durant le scan, cela pourrait figer l'ordi /!\
- A la fin du scan, Combofix aura besoin de redemarrer pour finir la desinfection, laisses le faire
- Une fois terminé, un rapport s'affiche, poste son contenu que tu peux aussi trouver à c:\combofix.txt
_
- tu as bien fais la commande demander :Clique sur Démarrer puis Exécuter. Tapes combofix /u dans la zone de saisie puis OK.
- ( il y a un espace entre combofix et /u)
------------------
- Ensuite,- Telecharges Combofix et enregistres le sur ton bureau
http://download.bleepingcomputer.com/sUBs/ComboFix.exe -
/!\ Desactives ton antivirus et la garde de ton antispyware ( si tu en as un) /!\
- Deconnectes toi et fermes toutes les applications en cours
- Double clic sur Combofix.exe >> un message apparait > réponds " oui "
- ( Il est conseillé d'installer la console de recuperations)
- Selectionnes la langue et presse la touche 1 ( yes) pour lancer le scan
/!\ Ne touche ni à la souris, ni au clavier durant le scan, cela pourrait figer l'ordi /!\
- A la fin du scan, Combofix aura besoin de redemarrer pour finir la desinfection, laisses le faire
- Une fois terminé, un rapport s'affiche, poste son contenu que tu peux aussi trouver à c:\combofix.txt
_
ok je redemarre la et il m a dit de noter deux noms de fichiers, un .sys et un dll
Je te poste le rapport des que j ai redemarre
Je te poste le rapport des que j ai redemarre
Ok voila le rapport COMBO
ComboFix 09-03-15.01 - REMI 2009-03-18 1:29:52.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1033.18.1014.650 [GMT 0:00]
Running from: c:\documents and settings\REMI\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated)
AV: avast! antivirus 4.8.1335 [VPS 090317-0] *On-access scanning disabled* (Updated)
FW: Kerio Personal Firewall *enabled*
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\msetup
c:\windows\msetup\MSetup.exe
c:\windows\system32\drivers\gaopdxrixbufpwnpcpnwwbwvvkjwipmqaqxjua.sys
c:\windows\system32\drivers\gaopdxwgdlysirookjsmfwktsaobifkxhqttif.sys
c:\windows\system32\gaopdxcounter
c:\windows\system32\gaopdxefpwjspgvrhkviaotmkfvyecpekycppf.dll
c:\windows\system32\pthreadGC2.dll
c:\windows\system32\tmp.reg
d:\recycler\S-3-4-54-100026191-100018289-100000623-2272.com
d:\recycler\S-5-3-84-100032675-100032688-100006413-8937.com
d:\recycler\S-9-9-59-100005604-100001042-100029473-1274.com
f:\recycler\S-5-3-84-100032675-100032688-100006413-8937.com
g:\recycler\S-3-4-54-100026191-100018289-100000623-2272.com
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Service_gaopdxserv.sys
((((((((((((((((((((((((( Files Created from 2009-02-18 to 2009-03-18 )))))))))))))))))))))))))))))))
.
2009-03-18 00:39 . 2009-03-18 00:39 <DIR> d-------- C:\_OTMoveIt
2009-03-18 00:35 . 2009-03-18 00:35 <DIR> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-03-18 00:35 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-03-18 00:35 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-03-17 23:40 . 2009-03-18 00:15 <DIR> d-------- c:\program files\FindyKill
2009-03-17 23:31 . 2009-03-17 23:31 <DIR> d-------- c:\program files\CCleaner
2009-03-17 23:05 . 2009-03-17 23:05 <DIR> d-------- c:\program files\Avira
2009-03-17 23:05 . 2009-03-17 23:05 <DIR> d-------- c:\documents and settings\All Users\Application Data\Avira
2009-03-17 23:05 . 2009-02-13 11:31 55,640 --a------ c:\windows\system32\drivers\avgntflt.sys
2009-03-17 22:55 . 2009-03-17 22:55 <DIR> d-------- C:\rsit
2009-03-17 22:21 . 2009-03-17 22:21 <DIR> d-------- c:\program files\Sophos
2009-03-17 21:46 . 2009-03-17 23:56 <DIR> d-------- c:\program files\Panda Security
2009-03-17 21:01 . 2009-03-17 21:01 <DIR> d-------- c:\program files\Trend Micro
2009-03-17 19:59 . 2009-03-17 20:03 <DIR> d-------- c:\documents and settings\All Users\Application Data\Lavasoft
2009-03-08 16:34 . 2009-03-08 16:34 <DIR> d-------- c:\program files\Auslogics
2009-03-06 16:00 . 2009-03-06 16:00 <DIR> d-------- c:\documents and settings\REMI\Application Data\CoSoSys
2009-03-01 00:23 . 2009-03-01 00:23 <DIR> d-------- c:\documents and settings\REMI\Application Data\Malwarebytes
2009-03-01 00:23 . 2009-03-01 00:23 <DIR> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-02-27 20:17 . 2009-02-27 20:17 <DIR> d-------- c:\documents and settings\REMI\Application Data\3M
2009-02-27 20:16 . 2009-02-27 20:16 <DIR> d-------- c:\program files\3M
2009-02-23 12:42 . 2009-02-23 12:42 <DIR> d-------- c:\program files\ffdshow
2009-02-23 12:42 . 2009-02-09 19:56 67,584 --a------ c:\windows\system32\ff_vfw.dll
2009-02-23 12:42 . 2007-07-10 17:10 547 --a------ c:\windows\system32\ff_vfw.dll.manifest
2009-02-23 12:33 . 2009-02-23 12:33 <DIR> d-------- c:\documents and settings\REMI\Application Data\Media Player Classic
2009-02-19 15:13 . 2009-02-19 15:13 <DIR> d-------- c:\program files\Kerio
2009-02-19 15:02 . 2009-02-19 15:02 <DIR> d-------- c:\program files\Alwil Software
2009-02-19 15:02 . 2003-03-18 20:20 1,060,864 --a------ c:\windows\system32\MFC71.dll
2009-02-19 15:02 . 2003-03-18 19:14 499,712 --a------ c:\windows\system32\MSVCP71.dll
2009-02-19 15:02 . 2003-02-21 03:42 348,160 --a------ c:\windows\system32\MSVCR71.dll
2009-02-19 14:51 . 2009-03-01 20:15 <DIR> d-------- c:\documents and settings\REMI\Application Data\skypePM
2009-02-19 14:51 . 2009-02-19 14:51 56 --ah----- c:\windows\system32\ezsidmv.dat
2009-02-19 14:46 . 2009-02-19 14:46 <DIR> dr------- c:\program files\Skype
2009-02-19 14:46 . 2009-02-19 14:46 <DIR> d-------- c:\program files\Common Files\Skype
2009-02-19 14:46 . 2009-03-01 21:15 <DIR> d-------- c:\documents and settings\REMI\Application Data\Skype
2009-02-19 14:46 . 2009-02-19 14:46 <DIR> d-------- c:\documents and settings\All Users\Application Data\Skype
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-18 00:39 --------- d-----w c:\program files\AskBarDis
2009-03-04 16:04 --------- d-----w c:\documents and settings\REMI\Application Data\Azureus
2009-03-02 00:15 --------- d-----w c:\program files\eMule
2009-02-19 15:01 --------- d-----w c:\documents and settings\All Users\Application Data\McAfee
2009-02-16 13:39 --------- d-----w c:\program files\xp-AntiSpy
2009-02-16 13:39 --------- d-----w c:\program files\Webteh
2009-02-16 13:37 --------- d-----w c:\program files\FastStone Image Viewer
2009-02-16 12:34 --------- d-----w c:\program files\PDFCreator
2009-02-13 18:29 --------- d-----w c:\program files\Microsoft ActiveSync
2009-02-12 07:36 --------- d-----w c:\documents and settings\All Users\Application Data\Azureus
2009-02-12 07:35 --------- d-----w c:\program files\Vuze
2009-02-12 06:53 --------- d-----w c:\program files\Samsung
2009-02-12 06:51 0 ----a-w c:\windows\system32\drivers\144D_SAMSUNG_N_NC10_04CA.mrk
2009-02-12 06:51 --------- d-----w c:\program files\WIDCOMM
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\program files\Java\jre1.5.0\bin\jusched.exe" [2008-11-11 36972]
"EDS"="c:\program files\Samsung\Samsung EDS\EDSAgent.exe" [2007-12-21 659456]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-28 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-28 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-28 137752]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-08-28 1044480]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-12 39792]
"DMHotKey"="c:\program files\Samsung\Easy Display Manager\DMLoader.exe" [2006-12-27 466944]
"BatteryManager"="c:\program files\Samsung\Samsung Battery Manager\BatteryManager.exe" [2008-10-20 2768896]
"MagicKeyboard"="c:\program files\SAMSUNG\MagicKBD\PreMKBD.exe" [2006-05-15 151552]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"RTHDCPL"="RTHDCPL.EXE" [2008-08-26 c:\windows\RTHDCPL.EXE]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\documents and settings\All Users\Start Menu\Programs\Startup\
Post-it© Software Notes Lite.lnk - c:\program files\3M\PSNLite\PsnLite.exe [2004-10-15 2080768]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Program Files\\Kerio\\Personal Firewall 4\\kpf4gui.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2009-02-19 114768]
R1 fwdrv;Firewall Driver;c:\windows\system32\drivers\fwdrv.sys [2004-09-01 262144]
R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-03-17 108289]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2009-02-19 20560]
R2 DOSMEMIO;MEMIO;c:\windows\system32\MEMIO.SYS [2008-11-11 4300]
R2 SNM WLAN Service;SNM WLAN Service;c:\program files\Samsung\Samsung Network Manager\SNMWLANService.exe [2006-10-30 36864]
R3 DNSeFilter;DNSeFilter;c:\windows\system32\drivers\SamsungEDS.SYS [2008-01-15 30208]
R3 VMC326;Vimicro Camera Service VMC326;c:\windows\system32\drivers\VMC326.sys [2008-11-11 238464]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [2009-03-18 38496]
S3 MEMSWEEP2;MEMSWEEP2;\??\c:\windows\system32\9E.tmp --> c:\windows\system32\9E.tmp [?]
S4 ASKService;ASKService;c:\program files\AskBarDis\bar\bin\AskService.exe --> c:\program files\AskBarDis\bar\bin\AskService.exe [?]
S4 ASKUpgrade;ASKUpgrade;c:\program files\AskBarDis\bar\bin\ASKUpgrade.exe --> c:\program files\AskBarDis\bar\bin\ASKUpgrade.exe [?]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RECYCLER\S-5-7-22-100021119-100021215-100004872-9977.com c:\
\Shell\Open\command - RECYCLER\S-5-7-22-100021119-100021215-100004872-9977.com c:\
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RECYCLER\S-5-7-22-100021119-100021215-100004872-9977.com d:\
\Shell\Open\command - RECYCLER\S-5-7-22-100021119-100021215-100004872-9977.com d:\
.
Contents of the 'Scheduled Tasks' folder
2009-03-17 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe []
.
- - - - ORPHANS REMOVED - - - -
WebBrowser-{3041D03E-FD4B-44E0-B742-2D9B88305F98} - c:\program files\AskBarDis\bar\bin\askBar.dll
.
------- Supplementary Scan -------
.
FF - ProfilePath - c:\documents and settings\REMI\Application Data\Mozilla\Firefox\Profiles\ubgpzyrv.default\
FF - plugin: c:\program files\Java\jre1.5.0\bin\NPJava11.dll
FF - plugin: c:\program files\Java\jre1.5.0\bin\NPJava12.dll
FF - plugin: c:\program files\Java\jre1.5.0\bin\NPJava13.dll
FF - plugin: c:\program files\Java\jre1.5.0\bin\NPJava14.dll
FF - plugin: c:\program files\Java\jre1.5.0\bin\NPJava32.dll
FF - plugin: c:\program files\Java\jre1.5.0\bin\NPJPI150.dll
FF - plugin: c:\program files\Java\jre1.5.0\bin\NPOJI610.dll
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-18 01:32:54
Windows 5.1.2600 Service Pack 3 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2]
"ImagePath"="\??\c:\windows\system32\9E.tmp"
.
Completion time: 2009-03-18 1:35:03
ComboFix-quarantined-files.txt 2009-03-18 01:34:59
Pre-Run: 31,063,830,528 bytes free
Post-Run: 31,056,244,736 bytes free
169 --- E O F --- 2009-02-14 10:29:04
ComboFix 09-03-15.01 - REMI 2009-03-18 1:29:52.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1033.18.1014.650 [GMT 0:00]
Running from: c:\documents and settings\REMI\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated)
AV: avast! antivirus 4.8.1335 [VPS 090317-0] *On-access scanning disabled* (Updated)
FW: Kerio Personal Firewall *enabled*
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\msetup
c:\windows\msetup\MSetup.exe
c:\windows\system32\drivers\gaopdxrixbufpwnpcpnwwbwvvkjwipmqaqxjua.sys
c:\windows\system32\drivers\gaopdxwgdlysirookjsmfwktsaobifkxhqttif.sys
c:\windows\system32\gaopdxcounter
c:\windows\system32\gaopdxefpwjspgvrhkviaotmkfvyecpekycppf.dll
c:\windows\system32\pthreadGC2.dll
c:\windows\system32\tmp.reg
d:\recycler\S-3-4-54-100026191-100018289-100000623-2272.com
d:\recycler\S-5-3-84-100032675-100032688-100006413-8937.com
d:\recycler\S-9-9-59-100005604-100001042-100029473-1274.com
f:\recycler\S-5-3-84-100032675-100032688-100006413-8937.com
g:\recycler\S-3-4-54-100026191-100018289-100000623-2272.com
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Service_gaopdxserv.sys
((((((((((((((((((((((((( Files Created from 2009-02-18 to 2009-03-18 )))))))))))))))))))))))))))))))
.
2009-03-18 00:39 . 2009-03-18 00:39 <DIR> d-------- C:\_OTMoveIt
2009-03-18 00:35 . 2009-03-18 00:35 <DIR> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-03-18 00:35 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-03-18 00:35 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-03-17 23:40 . 2009-03-18 00:15 <DIR> d-------- c:\program files\FindyKill
2009-03-17 23:31 . 2009-03-17 23:31 <DIR> d-------- c:\program files\CCleaner
2009-03-17 23:05 . 2009-03-17 23:05 <DIR> d-------- c:\program files\Avira
2009-03-17 23:05 . 2009-03-17 23:05 <DIR> d-------- c:\documents and settings\All Users\Application Data\Avira
2009-03-17 23:05 . 2009-02-13 11:31 55,640 --a------ c:\windows\system32\drivers\avgntflt.sys
2009-03-17 22:55 . 2009-03-17 22:55 <DIR> d-------- C:\rsit
2009-03-17 22:21 . 2009-03-17 22:21 <DIR> d-------- c:\program files\Sophos
2009-03-17 21:46 . 2009-03-17 23:56 <DIR> d-------- c:\program files\Panda Security
2009-03-17 21:01 . 2009-03-17 21:01 <DIR> d-------- c:\program files\Trend Micro
2009-03-17 19:59 . 2009-03-17 20:03 <DIR> d-------- c:\documents and settings\All Users\Application Data\Lavasoft
2009-03-08 16:34 . 2009-03-08 16:34 <DIR> d-------- c:\program files\Auslogics
2009-03-06 16:00 . 2009-03-06 16:00 <DIR> d-------- c:\documents and settings\REMI\Application Data\CoSoSys
2009-03-01 00:23 . 2009-03-01 00:23 <DIR> d-------- c:\documents and settings\REMI\Application Data\Malwarebytes
2009-03-01 00:23 . 2009-03-01 00:23 <DIR> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-02-27 20:17 . 2009-02-27 20:17 <DIR> d-------- c:\documents and settings\REMI\Application Data\3M
2009-02-27 20:16 . 2009-02-27 20:16 <DIR> d-------- c:\program files\3M
2009-02-23 12:42 . 2009-02-23 12:42 <DIR> d-------- c:\program files\ffdshow
2009-02-23 12:42 . 2009-02-09 19:56 67,584 --a------ c:\windows\system32\ff_vfw.dll
2009-02-23 12:42 . 2007-07-10 17:10 547 --a------ c:\windows\system32\ff_vfw.dll.manifest
2009-02-23 12:33 . 2009-02-23 12:33 <DIR> d-------- c:\documents and settings\REMI\Application Data\Media Player Classic
2009-02-19 15:13 . 2009-02-19 15:13 <DIR> d-------- c:\program files\Kerio
2009-02-19 15:02 . 2009-02-19 15:02 <DIR> d-------- c:\program files\Alwil Software
2009-02-19 15:02 . 2003-03-18 20:20 1,060,864 --a------ c:\windows\system32\MFC71.dll
2009-02-19 15:02 . 2003-03-18 19:14 499,712 --a------ c:\windows\system32\MSVCP71.dll
2009-02-19 15:02 . 2003-02-21 03:42 348,160 --a------ c:\windows\system32\MSVCR71.dll
2009-02-19 14:51 . 2009-03-01 20:15 <DIR> d-------- c:\documents and settings\REMI\Application Data\skypePM
2009-02-19 14:51 . 2009-02-19 14:51 56 --ah----- c:\windows\system32\ezsidmv.dat
2009-02-19 14:46 . 2009-02-19 14:46 <DIR> dr------- c:\program files\Skype
2009-02-19 14:46 . 2009-02-19 14:46 <DIR> d-------- c:\program files\Common Files\Skype
2009-02-19 14:46 . 2009-03-01 21:15 <DIR> d-------- c:\documents and settings\REMI\Application Data\Skype
2009-02-19 14:46 . 2009-02-19 14:46 <DIR> d-------- c:\documents and settings\All Users\Application Data\Skype
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-18 00:39 --------- d-----w c:\program files\AskBarDis
2009-03-04 16:04 --------- d-----w c:\documents and settings\REMI\Application Data\Azureus
2009-03-02 00:15 --------- d-----w c:\program files\eMule
2009-02-19 15:01 --------- d-----w c:\documents and settings\All Users\Application Data\McAfee
2009-02-16 13:39 --------- d-----w c:\program files\xp-AntiSpy
2009-02-16 13:39 --------- d-----w c:\program files\Webteh
2009-02-16 13:37 --------- d-----w c:\program files\FastStone Image Viewer
2009-02-16 12:34 --------- d-----w c:\program files\PDFCreator
2009-02-13 18:29 --------- d-----w c:\program files\Microsoft ActiveSync
2009-02-12 07:36 --------- d-----w c:\documents and settings\All Users\Application Data\Azureus
2009-02-12 07:35 --------- d-----w c:\program files\Vuze
2009-02-12 06:53 --------- d-----w c:\program files\Samsung
2009-02-12 06:51 0 ----a-w c:\windows\system32\drivers\144D_SAMSUNG_N_NC10_04CA.mrk
2009-02-12 06:51 --------- d-----w c:\program files\WIDCOMM
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\program files\Java\jre1.5.0\bin\jusched.exe" [2008-11-11 36972]
"EDS"="c:\program files\Samsung\Samsung EDS\EDSAgent.exe" [2007-12-21 659456]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-28 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-28 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-28 137752]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-08-28 1044480]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-12 39792]
"DMHotKey"="c:\program files\Samsung\Easy Display Manager\DMLoader.exe" [2006-12-27 466944]
"BatteryManager"="c:\program files\Samsung\Samsung Battery Manager\BatteryManager.exe" [2008-10-20 2768896]
"MagicKeyboard"="c:\program files\SAMSUNG\MagicKBD\PreMKBD.exe" [2006-05-15 151552]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"RTHDCPL"="RTHDCPL.EXE" [2008-08-26 c:\windows\RTHDCPL.EXE]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\documents and settings\All Users\Start Menu\Programs\Startup\
Post-it© Software Notes Lite.lnk - c:\program files\3M\PSNLite\PsnLite.exe [2004-10-15 2080768]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Program Files\\Kerio\\Personal Firewall 4\\kpf4gui.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2009-02-19 114768]
R1 fwdrv;Firewall Driver;c:\windows\system32\drivers\fwdrv.sys [2004-09-01 262144]
R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-03-17 108289]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2009-02-19 20560]
R2 DOSMEMIO;MEMIO;c:\windows\system32\MEMIO.SYS [2008-11-11 4300]
R2 SNM WLAN Service;SNM WLAN Service;c:\program files\Samsung\Samsung Network Manager\SNMWLANService.exe [2006-10-30 36864]
R3 DNSeFilter;DNSeFilter;c:\windows\system32\drivers\SamsungEDS.SYS [2008-01-15 30208]
R3 VMC326;Vimicro Camera Service VMC326;c:\windows\system32\drivers\VMC326.sys [2008-11-11 238464]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [2009-03-18 38496]
S3 MEMSWEEP2;MEMSWEEP2;\??\c:\windows\system32\9E.tmp --> c:\windows\system32\9E.tmp [?]
S4 ASKService;ASKService;c:\program files\AskBarDis\bar\bin\AskService.exe --> c:\program files\AskBarDis\bar\bin\AskService.exe [?]
S4 ASKUpgrade;ASKUpgrade;c:\program files\AskBarDis\bar\bin\ASKUpgrade.exe --> c:\program files\AskBarDis\bar\bin\ASKUpgrade.exe [?]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RECYCLER\S-5-7-22-100021119-100021215-100004872-9977.com c:\
\Shell\Open\command - RECYCLER\S-5-7-22-100021119-100021215-100004872-9977.com c:\
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RECYCLER\S-5-7-22-100021119-100021215-100004872-9977.com d:\
\Shell\Open\command - RECYCLER\S-5-7-22-100021119-100021215-100004872-9977.com d:\
.
Contents of the 'Scheduled Tasks' folder
2009-03-17 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe []
.
- - - - ORPHANS REMOVED - - - -
WebBrowser-{3041D03E-FD4B-44E0-B742-2D9B88305F98} - c:\program files\AskBarDis\bar\bin\askBar.dll
.
------- Supplementary Scan -------
.
FF - ProfilePath - c:\documents and settings\REMI\Application Data\Mozilla\Firefox\Profiles\ubgpzyrv.default\
FF - plugin: c:\program files\Java\jre1.5.0\bin\NPJava11.dll
FF - plugin: c:\program files\Java\jre1.5.0\bin\NPJava12.dll
FF - plugin: c:\program files\Java\jre1.5.0\bin\NPJava13.dll
FF - plugin: c:\program files\Java\jre1.5.0\bin\NPJava14.dll
FF - plugin: c:\program files\Java\jre1.5.0\bin\NPJava32.dll
FF - plugin: c:\program files\Java\jre1.5.0\bin\NPJPI150.dll
FF - plugin: c:\program files\Java\jre1.5.0\bin\NPOJI610.dll
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-18 01:32:54
Windows 5.1.2600 Service Pack 3 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2]
"ImagePath"="\??\c:\windows\system32\9E.tmp"
.
Completion time: 2009-03-18 1:35:03
ComboFix-quarantined-files.txt 2009-03-18 01:34:59
Pre-Run: 31,063,830,528 bytes free
Post-Run: 31,056,244,736 bytes free
169 --- E O F --- 2009-02-14 10:29:04
Une autre question, si je peux me permettre, c est combofix qui a remit le racourci IE sur le bureau?
- Branches tes disques amovibles ( clé usb, didsue dur, ipod etc...) sans les ouvrir
- Relances Findykill et choisis l'option4
- Patientes le temps du scan et postes le rapport généré
.
- Relances Findykill et choisis l'option4
- Patientes le temps du scan et postes le rapport généré
.
K ai jeter un coup d oeil et j ai un processus wuauclt.exe qui tourne, l executable est present ds le dossier system32 comme d autre exec qui sont peut etre suspect tels que
wowdeb.exe
winspool.exe
tskill.exe
usrshta.exe....etc et il y en a pleins d autres....
wowdeb.exe
winspool.exe
tskill.exe
usrshta.exe....etc et il y en a pleins d autres....
- Telecharges ToolbarSD et enregistres le sur ton bureau :
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2
- Desactives la garde residente de ton antivirus et la garde de ton antispyware
pour Spybot, desactives le tea-timer >> ouvres spybot >> clic sur " Mode > avancé > outil > resident > tea-timer et decoches la case
- Lances l'installation en executant le fichier téléchargé
- Fermes toutes les apllications en cours et double clic sur Toolbarsd.exe
- Selectionnes la langue et presse la touche ENTREE
- Selectionnes l'option1 au menu et patientes le temps de la recherche
- A la fin de la recherche, un rapport s'affichera, postes son contenu
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2
- Desactives la garde residente de ton antivirus et la garde de ton antispyware
pour Spybot, desactives le tea-timer >> ouvres spybot >> clic sur " Mode > avancé > outil > resident > tea-timer et decoches la case
- Lances l'installation en executant le fichier téléchargé
- Fermes toutes les apllications en cours et double clic sur Toolbarsd.exe
- Selectionnes la langue et presse la touche ENTREE
- Selectionnes l'option1 au menu et patientes le temps de la recherche
- A la fin de la recherche, un rapport s'affichera, postes son contenu
