Rapport hijack this
Fermé
zoalia
-
19 mars 2009 à 21:56
loloetseb Messages postés 5508 Date d'inscription dimanche 14 décembre 2008 Statut Membre Dernière intervention 22 avril 2012 - 5 avril 2009 à 02:09
loloetseb Messages postés 5508 Date d'inscription dimanche 14 décembre 2008 Statut Membre Dernière intervention 22 avril 2012 - 5 avril 2009 à 02:09
A voir également:
- Rapport hijack this
- Impossible d'afficher le rapport de tableau croisé dynamique sur un rapport existant ✓ - Forum Excel
- Rapport de stage - Guide
- This java ✓ - Forum Java
- You don't have permission to access this resource ✓ - Forum Internet / Réseaux sociaux
- Exemple de rapport de travail word ✓ - Forum Word
111 réponses
lol, oui c vrai, mais là c'est encore un autre ordi, un ordi du boulot qui fonctionne avec une carte internet!je n'arrive vraiment pas à desactiver avast, combofix me dit " a dédecté qu le scanneur en temps réel avast....?
loloetseb
Messages postés
5508
Date d'inscription
dimanche 14 décembre 2008
Statut
Membre
Dernière intervention
22 avril 2012
174
21 mars 2009 à 13:45
21 mars 2009 à 13:45
Tu cliques sur l'icone avst en bas de ta page et tu fais arreter la protection residente
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
loloetseb
Messages postés
5508
Date d'inscription
dimanche 14 décembre 2008
Statut
Membre
Dernière intervention
22 avril 2012
174
21 mars 2009 à 13:50
21 mars 2009 à 13:50
Oui je te conseille Antivir,suis cette procedure (mais n'installes pas encore antivir avant la procedure combofix)
Passer de Avast à AntiVir :
Désinstalle via Ajout/Suppression de Programmes (si présents) :
* Avast!
Télécharge et exécute le Désinstalleur d'Avast!. : https://www.avast.com/uninstall-utility
Ceci effacera la majorité des traces du produit Avast! d'Alwil Software.
Télécharge Ccleaner sur ton Bureau. : https://filehippo.com/download_ccleaner/
* Clique sur "download the latest version"
* Installe-le en laissant seulement les options suivantes cochées :
- Ajouter un raccourci sur le Bureau
- Contrôler automatiquement les mises à jour de CCleaner
* Lance le Nettoyage
* Clique sur Chercher des erreurs et sauvegarde si tu le souhaites.
Aide : Comment utiliser CCleaner.: http://www.infos-du-net.com/forum/272336-7-Ccleaner-under-construction
***************
Télécharge AntiVir sur ton Bureau.: http://dlce.antivir.com/down/windows/antivir_workstation_winu_fr_h.exe
* Double clique sur l'exécutable téléchargé pour lancer l'installation.
* À la fin de l'installation, clique sur Finish.
* Ouvre Antivir, assure-toi qu’il soit bien à jour !
* Dans l'onglet Protection Locale, choisis Contrôler.
* Active la recherche de rootkits via le + de Recherche de Rootkits, puis dans Sélection manuelle, coche tout (tes partitions de disque dur).
* Clique sur la loupe du milieu pour lancer le scan en tant qu'Administrateur.
* Poste moi le rapport généré : Pour cela, clique sur l'onglet Aperçu, puis choisis Rapports, tu trouveras son rapport..
* Sélectionne le rapport et clique sur l'icône "Afficher le fichier de rapport du rapport sélectionné.
Note : Pour une éradication des menaces plus efficace, lance le scan en mode sans échec.
Pourquoi changer ? Avast vs Antivir.:http://forum.malekal.com/ftopic3528.php
Aide : Comment installer et utiliser AntiVir.
https://www.malekal.com/avira-free-security-antivirus-gratuit/
Passer de Avast à AntiVir :
Désinstalle via Ajout/Suppression de Programmes (si présents) :
* Avast!
Télécharge et exécute le Désinstalleur d'Avast!. : https://www.avast.com/uninstall-utility
Ceci effacera la majorité des traces du produit Avast! d'Alwil Software.
Télécharge Ccleaner sur ton Bureau. : https://filehippo.com/download_ccleaner/
* Clique sur "download the latest version"
* Installe-le en laissant seulement les options suivantes cochées :
- Ajouter un raccourci sur le Bureau
- Contrôler automatiquement les mises à jour de CCleaner
* Lance le Nettoyage
* Clique sur Chercher des erreurs et sauvegarde si tu le souhaites.
Aide : Comment utiliser CCleaner.: http://www.infos-du-net.com/forum/272336-7-Ccleaner-under-construction
***************
Télécharge AntiVir sur ton Bureau.: http://dlce.antivir.com/down/windows/antivir_workstation_winu_fr_h.exe
* Double clique sur l'exécutable téléchargé pour lancer l'installation.
* À la fin de l'installation, clique sur Finish.
* Ouvre Antivir, assure-toi qu’il soit bien à jour !
* Dans l'onglet Protection Locale, choisis Contrôler.
* Active la recherche de rootkits via le + de Recherche de Rootkits, puis dans Sélection manuelle, coche tout (tes partitions de disque dur).
* Clique sur la loupe du milieu pour lancer le scan en tant qu'Administrateur.
* Poste moi le rapport généré : Pour cela, clique sur l'onglet Aperçu, puis choisis Rapports, tu trouveras son rapport..
* Sélectionne le rapport et clique sur l'icône "Afficher le fichier de rapport du rapport sélectionné.
Note : Pour une éradication des menaces plus efficace, lance le scan en mode sans échec.
Pourquoi changer ? Avast vs Antivir.:http://forum.malekal.com/ftopic3528.php
Aide : Comment installer et utiliser AntiVir.
https://www.malekal.com/avira-free-security-antivirus-gratuit/
merci c'est exactement ce que je voulais faire, mettre antivir, mais aprés combofix, et cleaner je l'ai dejà!
loloetseb
Messages postés
5508
Date d'inscription
dimanche 14 décembre 2008
Statut
Membre
Dernière intervention
22 avril 2012
174
21 mars 2009 à 14:02
21 mars 2009 à 14:02
Ben suis bien la procedure ,tu desinstalles avast,puis tu utilises le petit programme pour supprimer les traces tenaces ety ensuite un petit coup de ccleaner.Apres tu fais la procedure Combofix.Ensuite,tu installes Antivir.Ensuite on va faire en sorte de faire une procedure pour que tu retrouves ta connexion internet.
loloetseb
Messages postés
5508
Date d'inscription
dimanche 14 décembre 2008
Statut
Membre
Dernière intervention
22 avril 2012
174
21 mars 2009 à 14:14
21 mars 2009 à 14:14
Quand tu cliques droit sur combofix ,puis renommer,il faut renommer moi.exe et non pas moi.C'est ce que tu as fait,tu as bien laissé l'extension exe?
loloetseb
Messages postés
5508
Date d'inscription
dimanche 14 décembre 2008
Statut
Membre
Dernière intervention
22 avril 2012
174
21 mars 2009 à 14:18
21 mars 2009 à 14:18
bon ben renommes pas combofix alors.
il me dit "veuillez choisir un autre nom de préférence composé de caractère alpha numérique",mais c'est pas déjà le cas?
loloetseb
Messages postés
5508
Date d'inscription
dimanche 14 décembre 2008
Statut
Membre
Dernière intervention
22 avril 2012
174
21 mars 2009 à 14:23
21 mars 2009 à 14:23
C'est peut etre un nouveau process,essaies de le renommer killvundo.exe.Si ca ne marche pas,ne modifies pas le nom
voi le rapport combofix :
ComboFix 09-03-19.02 - zohra 2009-03-21 14:25:03.1 - NTFSx86
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6001.1.1252.1.1036.18.1021.325 [GMT 1:00]
Lancé depuis: c:\users\zohra\Desktop\ComboFix.exe
* Un nouveau point de restauration a été créé
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_ISODRIVE
-------\Service_ISODrive
((((((((((((((((((((((((((((( Fichiers créés du 2009-02-21 au 2009-03-21 ))))))))))))))))))))))))))))))))))))
.
2009-03-21 14:00 . 2009-03-21 14:00 <REP> d-------- C:\moi.exe
2009-03-21 11:33 . 2009-03-21 11:33 <REP> d-------- c:\program files\UltraISO
2009-03-21 11:33 . 2009-03-21 11:33 <REP> d-------- c:\program files\Common Files\EZB Systems
2009-03-21 00:02 . 2009-03-21 00:02 <REP> d-------- c:\program files\Windows Imaging
2009-03-20 23:58 . 2009-03-21 00:02 <REP> d-------- c:\program files\Windows AIK
2009-03-20 12:08 . 2009-03-20 22:43 193,627,961 --a------ c:\windows\MEMORY.DMP
2009-03-20 08:39 . 2009-03-20 10:11 <REP> d-------- c:\users\zohra\DoctorWeb
2009-03-20 00:56 . 2009-03-20 00:56 <REP> d-------- c:\users\All Users\SUPERAntiSpyware.com
2009-03-20 00:56 . 2009-03-20 00:56 <REP> d-------- c:\progra~2\SUPERAntiSpyware.com
2009-03-20 00:55 . 2009-03-20 00:55 <REP> d-------- c:\users\zohra\AppData\Roaming\SUPERAntiSpyware.com
2009-03-20 00:55 . 2009-03-20 00:55 <REP> d-------- c:\program files\SUPERAntiSpyware
2009-03-20 00:26 . 2009-03-20 00:49 <REP> d-------- c:\program files\FindyKill
2009-03-19 23:36 . 2009-03-19 23:37 <REP> d-------- C:\rsit
2009-03-19 23:36 . 2009-03-19 23:37 <REP> d-------- c:\program files\trend micro
2009-03-19 23:25 . 2009-03-19 23:25 <REP> d-------- c:\users\All Users\NortonInstaller
2009-03-19 23:25 . 2009-03-19 23:25 <REP> d-------- c:\progra~2\NortonInstaller
2009-03-19 22:21 . 2009-03-19 22:21 <REP> d-------- c:\program files\Ad-remover
2009-03-19 21:23 . 2009-03-19 21:38 <REP> d-------- C:\contre virus
2009-03-13 09:13 . 2009-03-13 09:17 <REP> d-------- C:\xampp
2009-03-11 11:05 . 2008-12-16 04:29 8,147,456 --a------ c:\windows\System32\wmploc.DLL
2009-03-11 11:05 . 2009-02-09 04:10 2,033,152 --a------ c:\windows\System32\win32k.sys
2009-03-11 11:05 . 2008-11-27 05:43 268,288 --a------ c:\windows\System32\schannel.dll
2009-03-11 11:05 . 2008-12-16 06:31 7,680 --a------ c:\windows\System32\spwmp.dll
2009-03-11 11:05 . 2008-12-16 06:31 4,096 --a------ c:\windows\System32\msdxm.ocx
2009-03-11 11:05 . 2008-12-16 06:31 4,096 --a------ c:\windows\System32\dxmasf.dll
2009-03-10 16:35 . 2009-03-10 16:35 <REP> d-------- c:\users\zohra\AppData\Roaming\Podmailing
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-21 13:36 25,159 ----a-w c:\users\zohra\AppData\Roaming\nvModes.dat
2009-03-21 13:35 --------- d-----w c:\users\zohra\AppData\Roaming\WTablet
2009-03-19 23:54 --------- d-----w c:\program files\Common Files\Wise Installation Wizard
2009-03-19 22:29 --------- d-----w c:\program files\Common Files\Symantec Shared
2009-03-12 08:01 --------- d-----w c:\program files\Windows Mail
2009-02-16 18:28 0 ---ha-w c:\windows\system32\drivers\Msft_User_WpdMtpDr_01_00_00.Wdf
2009-01-26 08:23 0 ---ha-w c:\windows\system32\drivers\Msft_User_WpdFs_01_00_00.Wdf
2009-01-22 22:25 --------- d-----w c:\progra~2\WindowsSearch
2009-01-22 21:46 --------- d-----w c:\users\zohra\AppData\Roaming\dvdcss
2009-01-22 09:34 174 --sha-w c:\program files\desktop.ini
2009-01-22 09:22 --------- d-----w c:\program files\Windows Sidebar
2009-01-22 09:22 --------- d-----w c:\program files\Windows Photo Gallery
2009-01-22 09:22 --------- d-----w c:\program files\Windows Journal
2009-01-22 09:22 --------- d-----w c:\program files\Windows Defender
2009-01-22 09:22 --------- d-----w c:\program files\Windows Collaboration
2009-01-22 09:22 --------- d-----w c:\program files\Windows Calendar
2008-12-30 09:31 319,456 ----a-w c:\windows\DIFxAPI.dll
2004-12-07 15:07 32 ----a-w c:\users\zohra\bdcore.dll
2008-03-21 17:36 16,384 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
2008-03-21 17:36 32,768 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
2008-03-21 17:36 16,384 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
2007-06-08 08:00 16,384 --sha-w c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
2007-06-08 08:00 32,768 --sha-w c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
2007-06-08 08:00 16,384 --sha-w c:\windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
2008-03-03 16:24 88 --sh--r c:\windows\System32\6443A1D6BF.sys
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-18 125952]
"EPSON Stylus DX4400 Series"="c:\windows\system32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE" [2007-03-01 180736]
"Podmailing"="e:\podmailing\Podmailing.exe" [2008-12-11 173568]
"SUPERAntiSpyware"="c:\program files\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-02-17 1830128]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Camera Assistant Software"="c:\program files\Camera Assistant Software for Toshiba\traybar.exe" [2007-02-13 405504]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-02-02 835584]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-11-04 413696]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-11-20 290088]
"NvSvc"="c:\windows\system32\nvsvc.dll" [2007-01-13 90191]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-01-13 7766016]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-01-13 81920]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program files\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 11:05 356352 c:\program files\SUPERAntiSpyware\SASWINLO.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.dvacm"= c:\progra~1\COMMON~1\ULEADS~1\vio\dvacm.acm
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Adobe Gamma Loader.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Gamma Loader.lnk
backup=c:\windows\pss\Adobe Gamma Loader.lnk.CommonStartup
backupExtension=.CommonStartup
[HKLM\~\startupfolder\C:^Users^zohra^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^GigaTribe.lnk]
path=c:\users\zohra\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\GigaTribe.lnk
backup=c:\windows\pss\GigaTribe.lnk.Startup
backupExtension=.Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
--a------ 2008-12-10 10:02 216520 c:\program files\DAEMON Tools Lite\daemon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UacDisableNotify"=dword:00000001
"InternetSettingsDisableNotify"=dword:00000001
"AutoUpdateDisableNotify"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{179A48CD-5B64-4632-A42A-CD49DECC8BFB}"= UDP:c:\program files\MSN Messenger\msnmsgr.exe:MSN Messenger 7.0
"{D8167AB5-015F-452C-9FCF-087EF4F45A32}"= TCP:c:\program files\MSN Messenger\msnmsgr.exe:MSN Messenger 7.0
"{BF09EDB8-47F8-4F65-ABAF-30F7835007E4}"= UDP:c:\program files\MSN Messenger\msnmsgr.exe:MSN Messenger 7.0
"{39BCDE42-94E2-42C6-8E00-035F280EBF68}"= TCP:c:\program files\MSN Messenger\msnmsgr.exe:MSN Messenger 7.0
"{9CBFB6A2-F089-4C05-9A70-2D72070226CB}"= UDP:c:\program files\MSN Messenger\msnmsgr.exe:MSN Messenger 7.0
"{37F67A14-7218-4DC2-9109-47EE0CDEFAD6}"= TCP:c:\program files\MSN Messenger\msnmsgr.exe:MSN Messenger 7.0
"{1BD5EA53-E734-4B49-815D-84AF890FEEAA}"= c:\program files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone)
"TCP Query User{3E80C8AD-F58D-460B-A989-8B912E52C7F0}c:\\program files\\veoh networks\\veoh\\veohclient.exe"= UDP:c:\program files\veoh networks\veoh\veohclient.exe:Veoh Client
"UDP Query User{9BB8A06A-C96A-4DDB-AE40-72E5D76F2B1B}c:\\program files\\veoh networks\\veoh\\veohclient.exe"= TCP:c:\program files\veoh networks\veoh\veohclient.exe:Veoh Client
"TCP Query User{00ABD7BA-475A-4407-A10C-31377EA068A7}e:\\gigatribe\\gigatribe.exe"= UDP:e:\gigatribe\gigatribe.exe:gigatribe
"UDP Query User{FEA0DE2F-E4FF-4776-9796-BF30E229D57E}e:\\gigatribe\\gigatribe.exe"= TCP:e:\gigatribe\gigatribe.exe:gigatribe
"{A902B6E6-56F7-4125-B57F-EBA0DB3BBBAB}"= UDP:c:\program files\Bonjour\mDNSResponder.exe:Bonjour
"{82C449A9-01D3-418E-99E1-DAC52B4CC82A}"= TCP:c:\program files\Bonjour\mDNSResponder.exe:Bonjour
"{DAB01321-34DA-49E6-8401-72CA24B3BBFC}"= UDP:c:\program files\iTunes\iTunes.exe:iTunes
"{070B5C9F-A4EB-4DFD-AFF2-E328DEFB2F1A}"= TCP:c:\program files\iTunes\iTunes.exe:iTunes
"TCP Query User{267C52F5-04C8-4FD7-97AC-14A3E3BD6531}e:\\program files\\adobe\\adobe flash cs3\\flash.exe"= UDP:e:\program files\adobe\adobe flash cs3\flash.exe:Adobe Flash CS3
"UDP Query User{2D32437C-195F-4D07-AD51-6135ADB8B83B}e:\\program files\\adobe\\adobe flash cs3\\flash.exe"= TCP:e:\program files\adobe\adobe flash cs3\flash.exe:Adobe Flash CS3
"{841CD505-FBD0-4ADB-998D-AFEBAEF6023C}"= UDP:e:\podmailing\podmailing.exe:Podmailing Beta
"{756D2D82-6BC0-4BD6-9DB0-983B6E8437BC}"= TCP:e:\podmailing\podmailing.exe:Podmailing Beta
"TCP Query User{041DB3EC-DBBC-4261-93A5-741D9618A12C}c:\\xampp\\apache\\bin\\apache.exe"= UDP:c:\xampp\apache\bin\apache.exe:Apache HTTP Server
"UDP Query User{F8CED6AA-D545-4FCB-AA6C-B4FF1C684F44}c:\\xampp\\apache\\bin\\apache.exe"= TCP:c:\xampp\apache\bin\apache.exe:Apache HTTP Server
"{B61CFAAA-9F1F-4CCB-979A-3DA2E11D12ED}"= UDP:c:\users\zohra\AppData\Local\Temp\7zS1FC0.tmp\SymNRT.exe:Norton Removal Tool
"{D6992DB9-7D92-4FD5-B0AE-03710F4BE6EF}"= TCP:c:\users\zohra\AppData\Local\Temp\7zS1FC0.tmp\SymNRT.exe:Norton Removal Tool
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
"EnableFirewall"= 0 (0x0)
R1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\sasdifsv.sys [2009-02-17 8944]
R1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [2009-02-17 55024]
R2 TabletServicePen;TabletServicePen;c:\windows\System32\Pen_Tablet.exe [2008-12-02 1373480]
R3 SASENUM;SASENUM;c:\program files\SUPERAntiSpyware\SASENUM.SYS [2009-02-17 7408]
S3 PCAMp50;PCAMp50 NDIS Protocol Driver;c:\windows\System32\drivers\PCAMp50.sys [2007-05-25 28224]
S3 Trumbio;Trumbio;c:\windows\System32\attrib.exe [2006-11-02 16384]
--- Autres Services/Pilotes en mémoire ---
*Deregistered* - sptd
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2d001178-f12d-11dd-9faa-0016d496b2bb}]
\shell\AutoRun\command - H:\LaunchU3.exe -a
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3eb37d0b-fc2e-11dd-8100-0016d496b2bb}]
\shell\AutoRun\command - G:\EmDesk.exe
\shell\EmDesk\command - G:\EmDesk.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{48803a67-c8be-11dc-b86b-0016d496b2bb}]
\shell\AutoRun\command - G:\ClickMe.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{573c710d-7bd6-11dc-9834-0016d496b2bb}]
\shell\AutoRun\command - D:\LaunchU3.exe -a
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5f56073f-9f75-11dd-8536-0016d496b2bb}]
\shell\AutoRun\command - D:\mvxm.cmd
\shell\explore\Command - D:\mvxm.cmd
\shell\open\Command - D:\mvxm.cmd
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7325a85e-7e26-11dc-b230-0016d496b2bb}]
\shell\AutoRun\command - D:\LaunchU3.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8e8d0051-2bdf-11dd-8de7-0016d496b2bb}]
\shell\AutoRun\command - D:\9n1k0g6t.cmd
\shell\explore\Command - D:\9n1k0g6t.cmd
\shell\open\Command - D:\9n1k0g6t.cmd
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c2716da5-eddc-11dd-ad8d-0016d496b2bb}]
\shell\AutoRun\command - G:\a2h2.com
\shell\open\Command - G:\a2h2.com
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fc76b2fd-233f-11dc-9eb6-0016d496b2bb}]
\shell\AutoRun\command - G:\LaunchU3.exe -a
.
- - - - ORPHELINS SUPPRIMES - - - -
WebBrowser-{A057A204-BACC-4D26-C39E-35F1D2A32EC8} - (no file)
HKCU-Run-TOSCDSPD - TOSCDSPD.EXE
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = *.local
IE: {{C08CAF1D-C0A3-40D5-9970-06D067EAC017} - http://www.webtip.ch/cgi-bin/toshiba/tracker_url.pl?FR
FF - ProfilePath - c:\users\zohra\AppData\Roaming\Mozilla\Firefox\Profiles\jdj8fnf2.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr
FF - prefs.js: keyword.URL - hxxp://fr.search.yahoo.com/search?ei=utf-8&fr=megaup&p=
FF - plugin: c:\program files\Java\jre1.6.0\bin\npjava11.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin\npjava12.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin\npjava13.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin\npjava14.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin\npjava32.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin\npjpi160.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin\npoji610.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-21 14:36:13
Windows 6.0.6001 Service Pack 1 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
c:\windows\System32\audiodg.exe
c:\windows\System32\wisptis.exe
c:\program files\Common Files\microsoft shared\ink\TabTip.exe
c:\program files\Lavasoft\Ad-Aware\aawservice.exe
c:\windows\System32\wisptis.exe
c:\program files\Common Files\microsoft shared\ink\TabTip.exe
c:\windows\System32\agrsmsvc.exe
c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\TOSHIBA\ConfigFree\CFSvcs.exe
c:\windows\System32\PSIService.exe
c:\windows\System32\TODDSrv.exe
c:\program files\TOSHIBA\Power Saver\TosCoSrv.exe
c:\program files\TOSHIBA\Bluetooth Toshiba Stack\TosBtSrv.exe
c:\program files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
c:\windows\System32\WTablet\Pen_TabletUser.exe
c:\windows\System32\conime.exe
c:\program files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe
c:\windows\System32\rundll32.exe
c:\program files\Synaptics\SynTP\SynToshiba.exe
c:\windows\ehome\ehmsas.exe
c:\program files\Camera Assistant Software for Toshiba\CEC_MAIN.exe
c:\program files\iPod\bin\iPodService.exe
c:\windows\System32\wbem\unsecapp.exe
c:\program files\Common Files\microsoft shared\ink\InputPersonalization.exe
c:\windows\System32\dllhost.exe
.
**************************************************************************
.
Heure de fin: 2009-03-21 14:41:49 - La machine a redémarré [zohra]
ComboFix-quarantined-files.txt 2009-03-21 13:41:45
Avant-CF: 34,647,879,680 octets libres
Après-CF: 34,318,974,976 octets libres
242 --- E O F --- 2009-03-17 10:33:34
ComboFix 09-03-19.02 - zohra 2009-03-21 14:25:03.1 - NTFSx86
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6001.1.1252.1.1036.18.1021.325 [GMT 1:00]
Lancé depuis: c:\users\zohra\Desktop\ComboFix.exe
* Un nouveau point de restauration a été créé
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_ISODRIVE
-------\Service_ISODrive
((((((((((((((((((((((((((((( Fichiers créés du 2009-02-21 au 2009-03-21 ))))))))))))))))))))))))))))))))))))
.
2009-03-21 14:00 . 2009-03-21 14:00 <REP> d-------- C:\moi.exe
2009-03-21 11:33 . 2009-03-21 11:33 <REP> d-------- c:\program files\UltraISO
2009-03-21 11:33 . 2009-03-21 11:33 <REP> d-------- c:\program files\Common Files\EZB Systems
2009-03-21 00:02 . 2009-03-21 00:02 <REP> d-------- c:\program files\Windows Imaging
2009-03-20 23:58 . 2009-03-21 00:02 <REP> d-------- c:\program files\Windows AIK
2009-03-20 12:08 . 2009-03-20 22:43 193,627,961 --a------ c:\windows\MEMORY.DMP
2009-03-20 08:39 . 2009-03-20 10:11 <REP> d-------- c:\users\zohra\DoctorWeb
2009-03-20 00:56 . 2009-03-20 00:56 <REP> d-------- c:\users\All Users\SUPERAntiSpyware.com
2009-03-20 00:56 . 2009-03-20 00:56 <REP> d-------- c:\progra~2\SUPERAntiSpyware.com
2009-03-20 00:55 . 2009-03-20 00:55 <REP> d-------- c:\users\zohra\AppData\Roaming\SUPERAntiSpyware.com
2009-03-20 00:55 . 2009-03-20 00:55 <REP> d-------- c:\program files\SUPERAntiSpyware
2009-03-20 00:26 . 2009-03-20 00:49 <REP> d-------- c:\program files\FindyKill
2009-03-19 23:36 . 2009-03-19 23:37 <REP> d-------- C:\rsit
2009-03-19 23:36 . 2009-03-19 23:37 <REP> d-------- c:\program files\trend micro
2009-03-19 23:25 . 2009-03-19 23:25 <REP> d-------- c:\users\All Users\NortonInstaller
2009-03-19 23:25 . 2009-03-19 23:25 <REP> d-------- c:\progra~2\NortonInstaller
2009-03-19 22:21 . 2009-03-19 22:21 <REP> d-------- c:\program files\Ad-remover
2009-03-19 21:23 . 2009-03-19 21:38 <REP> d-------- C:\contre virus
2009-03-13 09:13 . 2009-03-13 09:17 <REP> d-------- C:\xampp
2009-03-11 11:05 . 2008-12-16 04:29 8,147,456 --a------ c:\windows\System32\wmploc.DLL
2009-03-11 11:05 . 2009-02-09 04:10 2,033,152 --a------ c:\windows\System32\win32k.sys
2009-03-11 11:05 . 2008-11-27 05:43 268,288 --a------ c:\windows\System32\schannel.dll
2009-03-11 11:05 . 2008-12-16 06:31 7,680 --a------ c:\windows\System32\spwmp.dll
2009-03-11 11:05 . 2008-12-16 06:31 4,096 --a------ c:\windows\System32\msdxm.ocx
2009-03-11 11:05 . 2008-12-16 06:31 4,096 --a------ c:\windows\System32\dxmasf.dll
2009-03-10 16:35 . 2009-03-10 16:35 <REP> d-------- c:\users\zohra\AppData\Roaming\Podmailing
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-21 13:36 25,159 ----a-w c:\users\zohra\AppData\Roaming\nvModes.dat
2009-03-21 13:35 --------- d-----w c:\users\zohra\AppData\Roaming\WTablet
2009-03-19 23:54 --------- d-----w c:\program files\Common Files\Wise Installation Wizard
2009-03-19 22:29 --------- d-----w c:\program files\Common Files\Symantec Shared
2009-03-12 08:01 --------- d-----w c:\program files\Windows Mail
2009-02-16 18:28 0 ---ha-w c:\windows\system32\drivers\Msft_User_WpdMtpDr_01_00_00.Wdf
2009-01-26 08:23 0 ---ha-w c:\windows\system32\drivers\Msft_User_WpdFs_01_00_00.Wdf
2009-01-22 22:25 --------- d-----w c:\progra~2\WindowsSearch
2009-01-22 21:46 --------- d-----w c:\users\zohra\AppData\Roaming\dvdcss
2009-01-22 09:34 174 --sha-w c:\program files\desktop.ini
2009-01-22 09:22 --------- d-----w c:\program files\Windows Sidebar
2009-01-22 09:22 --------- d-----w c:\program files\Windows Photo Gallery
2009-01-22 09:22 --------- d-----w c:\program files\Windows Journal
2009-01-22 09:22 --------- d-----w c:\program files\Windows Defender
2009-01-22 09:22 --------- d-----w c:\program files\Windows Collaboration
2009-01-22 09:22 --------- d-----w c:\program files\Windows Calendar
2008-12-30 09:31 319,456 ----a-w c:\windows\DIFxAPI.dll
2004-12-07 15:07 32 ----a-w c:\users\zohra\bdcore.dll
2008-03-21 17:36 16,384 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
2008-03-21 17:36 32,768 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
2008-03-21 17:36 16,384 --sha-w c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
2007-06-08 08:00 16,384 --sha-w c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
2007-06-08 08:00 32,768 --sha-w c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
2007-06-08 08:00 16,384 --sha-w c:\windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
2008-03-03 16:24 88 --sh--r c:\windows\System32\6443A1D6BF.sys
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-18 125952]
"EPSON Stylus DX4400 Series"="c:\windows\system32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE" [2007-03-01 180736]
"Podmailing"="e:\podmailing\Podmailing.exe" [2008-12-11 173568]
"SUPERAntiSpyware"="c:\program files\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-02-17 1830128]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Camera Assistant Software"="c:\program files\Camera Assistant Software for Toshiba\traybar.exe" [2007-02-13 405504]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-02-02 835584]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-11-04 413696]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-11-20 290088]
"NvSvc"="c:\windows\system32\nvsvc.dll" [2007-01-13 90191]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-01-13 7766016]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-01-13 81920]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program files\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 11:05 356352 c:\program files\SUPERAntiSpyware\SASWINLO.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.dvacm"= c:\progra~1\COMMON~1\ULEADS~1\vio\dvacm.acm
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Adobe Gamma Loader.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Gamma Loader.lnk
backup=c:\windows\pss\Adobe Gamma Loader.lnk.CommonStartup
backupExtension=.CommonStartup
[HKLM\~\startupfolder\C:^Users^zohra^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^GigaTribe.lnk]
path=c:\users\zohra\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\GigaTribe.lnk
backup=c:\windows\pss\GigaTribe.lnk.Startup
backupExtension=.Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
--a------ 2008-12-10 10:02 216520 c:\program files\DAEMON Tools Lite\daemon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UacDisableNotify"=dword:00000001
"InternetSettingsDisableNotify"=dword:00000001
"AutoUpdateDisableNotify"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{179A48CD-5B64-4632-A42A-CD49DECC8BFB}"= UDP:c:\program files\MSN Messenger\msnmsgr.exe:MSN Messenger 7.0
"{D8167AB5-015F-452C-9FCF-087EF4F45A32}"= TCP:c:\program files\MSN Messenger\msnmsgr.exe:MSN Messenger 7.0
"{BF09EDB8-47F8-4F65-ABAF-30F7835007E4}"= UDP:c:\program files\MSN Messenger\msnmsgr.exe:MSN Messenger 7.0
"{39BCDE42-94E2-42C6-8E00-035F280EBF68}"= TCP:c:\program files\MSN Messenger\msnmsgr.exe:MSN Messenger 7.0
"{9CBFB6A2-F089-4C05-9A70-2D72070226CB}"= UDP:c:\program files\MSN Messenger\msnmsgr.exe:MSN Messenger 7.0
"{37F67A14-7218-4DC2-9109-47EE0CDEFAD6}"= TCP:c:\program files\MSN Messenger\msnmsgr.exe:MSN Messenger 7.0
"{1BD5EA53-E734-4B49-815D-84AF890FEEAA}"= c:\program files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone)
"TCP Query User{3E80C8AD-F58D-460B-A989-8B912E52C7F0}c:\\program files\\veoh networks\\veoh\\veohclient.exe"= UDP:c:\program files\veoh networks\veoh\veohclient.exe:Veoh Client
"UDP Query User{9BB8A06A-C96A-4DDB-AE40-72E5D76F2B1B}c:\\program files\\veoh networks\\veoh\\veohclient.exe"= TCP:c:\program files\veoh networks\veoh\veohclient.exe:Veoh Client
"TCP Query User{00ABD7BA-475A-4407-A10C-31377EA068A7}e:\\gigatribe\\gigatribe.exe"= UDP:e:\gigatribe\gigatribe.exe:gigatribe
"UDP Query User{FEA0DE2F-E4FF-4776-9796-BF30E229D57E}e:\\gigatribe\\gigatribe.exe"= TCP:e:\gigatribe\gigatribe.exe:gigatribe
"{A902B6E6-56F7-4125-B57F-EBA0DB3BBBAB}"= UDP:c:\program files\Bonjour\mDNSResponder.exe:Bonjour
"{82C449A9-01D3-418E-99E1-DAC52B4CC82A}"= TCP:c:\program files\Bonjour\mDNSResponder.exe:Bonjour
"{DAB01321-34DA-49E6-8401-72CA24B3BBFC}"= UDP:c:\program files\iTunes\iTunes.exe:iTunes
"{070B5C9F-A4EB-4DFD-AFF2-E328DEFB2F1A}"= TCP:c:\program files\iTunes\iTunes.exe:iTunes
"TCP Query User{267C52F5-04C8-4FD7-97AC-14A3E3BD6531}e:\\program files\\adobe\\adobe flash cs3\\flash.exe"= UDP:e:\program files\adobe\adobe flash cs3\flash.exe:Adobe Flash CS3
"UDP Query User{2D32437C-195F-4D07-AD51-6135ADB8B83B}e:\\program files\\adobe\\adobe flash cs3\\flash.exe"= TCP:e:\program files\adobe\adobe flash cs3\flash.exe:Adobe Flash CS3
"{841CD505-FBD0-4ADB-998D-AFEBAEF6023C}"= UDP:e:\podmailing\podmailing.exe:Podmailing Beta
"{756D2D82-6BC0-4BD6-9DB0-983B6E8437BC}"= TCP:e:\podmailing\podmailing.exe:Podmailing Beta
"TCP Query User{041DB3EC-DBBC-4261-93A5-741D9618A12C}c:\\xampp\\apache\\bin\\apache.exe"= UDP:c:\xampp\apache\bin\apache.exe:Apache HTTP Server
"UDP Query User{F8CED6AA-D545-4FCB-AA6C-B4FF1C684F44}c:\\xampp\\apache\\bin\\apache.exe"= TCP:c:\xampp\apache\bin\apache.exe:Apache HTTP Server
"{B61CFAAA-9F1F-4CCB-979A-3DA2E11D12ED}"= UDP:c:\users\zohra\AppData\Local\Temp\7zS1FC0.tmp\SymNRT.exe:Norton Removal Tool
"{D6992DB9-7D92-4FD5-B0AE-03710F4BE6EF}"= TCP:c:\users\zohra\AppData\Local\Temp\7zS1FC0.tmp\SymNRT.exe:Norton Removal Tool
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
"EnableFirewall"= 0 (0x0)
R1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\sasdifsv.sys [2009-02-17 8944]
R1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [2009-02-17 55024]
R2 TabletServicePen;TabletServicePen;c:\windows\System32\Pen_Tablet.exe [2008-12-02 1373480]
R3 SASENUM;SASENUM;c:\program files\SUPERAntiSpyware\SASENUM.SYS [2009-02-17 7408]
S3 PCAMp50;PCAMp50 NDIS Protocol Driver;c:\windows\System32\drivers\PCAMp50.sys [2007-05-25 28224]
S3 Trumbio;Trumbio;c:\windows\System32\attrib.exe [2006-11-02 16384]
--- Autres Services/Pilotes en mémoire ---
*Deregistered* - sptd
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2d001178-f12d-11dd-9faa-0016d496b2bb}]
\shell\AutoRun\command - H:\LaunchU3.exe -a
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3eb37d0b-fc2e-11dd-8100-0016d496b2bb}]
\shell\AutoRun\command - G:\EmDesk.exe
\shell\EmDesk\command - G:\EmDesk.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{48803a67-c8be-11dc-b86b-0016d496b2bb}]
\shell\AutoRun\command - G:\ClickMe.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{573c710d-7bd6-11dc-9834-0016d496b2bb}]
\shell\AutoRun\command - D:\LaunchU3.exe -a
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5f56073f-9f75-11dd-8536-0016d496b2bb}]
\shell\AutoRun\command - D:\mvxm.cmd
\shell\explore\Command - D:\mvxm.cmd
\shell\open\Command - D:\mvxm.cmd
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7325a85e-7e26-11dc-b230-0016d496b2bb}]
\shell\AutoRun\command - D:\LaunchU3.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8e8d0051-2bdf-11dd-8de7-0016d496b2bb}]
\shell\AutoRun\command - D:\9n1k0g6t.cmd
\shell\explore\Command - D:\9n1k0g6t.cmd
\shell\open\Command - D:\9n1k0g6t.cmd
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c2716da5-eddc-11dd-ad8d-0016d496b2bb}]
\shell\AutoRun\command - G:\a2h2.com
\shell\open\Command - G:\a2h2.com
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fc76b2fd-233f-11dc-9eb6-0016d496b2bb}]
\shell\AutoRun\command - G:\LaunchU3.exe -a
.
- - - - ORPHELINS SUPPRIMES - - - -
WebBrowser-{A057A204-BACC-4D26-C39E-35F1D2A32EC8} - (no file)
HKCU-Run-TOSCDSPD - TOSCDSPD.EXE
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = *.local
IE: {{C08CAF1D-C0A3-40D5-9970-06D067EAC017} - http://www.webtip.ch/cgi-bin/toshiba/tracker_url.pl?FR
FF - ProfilePath - c:\users\zohra\AppData\Roaming\Mozilla\Firefox\Profiles\jdj8fnf2.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr
FF - prefs.js: keyword.URL - hxxp://fr.search.yahoo.com/search?ei=utf-8&fr=megaup&p=
FF - plugin: c:\program files\Java\jre1.6.0\bin\npjava11.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin\npjava12.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin\npjava13.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin\npjava14.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin\npjava32.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin\npjpi160.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin\npoji610.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-21 14:36:13
Windows 6.0.6001 Service Pack 1 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
c:\windows\System32\audiodg.exe
c:\windows\System32\wisptis.exe
c:\program files\Common Files\microsoft shared\ink\TabTip.exe
c:\program files\Lavasoft\Ad-Aware\aawservice.exe
c:\windows\System32\wisptis.exe
c:\program files\Common Files\microsoft shared\ink\TabTip.exe
c:\windows\System32\agrsmsvc.exe
c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\TOSHIBA\ConfigFree\CFSvcs.exe
c:\windows\System32\PSIService.exe
c:\windows\System32\TODDSrv.exe
c:\program files\TOSHIBA\Power Saver\TosCoSrv.exe
c:\program files\TOSHIBA\Bluetooth Toshiba Stack\TosBtSrv.exe
c:\program files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
c:\windows\System32\WTablet\Pen_TabletUser.exe
c:\windows\System32\conime.exe
c:\program files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe
c:\windows\System32\rundll32.exe
c:\program files\Synaptics\SynTP\SynToshiba.exe
c:\windows\ehome\ehmsas.exe
c:\program files\Camera Assistant Software for Toshiba\CEC_MAIN.exe
c:\program files\iPod\bin\iPodService.exe
c:\windows\System32\wbem\unsecapp.exe
c:\program files\Common Files\microsoft shared\ink\InputPersonalization.exe
c:\windows\System32\dllhost.exe
.
**************************************************************************
.
Heure de fin: 2009-03-21 14:41:49 - La machine a redémarré [zohra]
ComboFix-quarantined-files.txt 2009-03-21 13:41:45
Avant-CF: 34,647,879,680 octets libres
Après-CF: 34,318,974,976 octets libres
242 --- E O F --- 2009-03-17 10:33:34
loloetseb
Messages postés
5508
Date d'inscription
dimanche 14 décembre 2008
Statut
Membre
Dernière intervention
22 avril 2012
174
21 mars 2009 à 14:51
21 mars 2009 à 14:51
Tu as retrouvé ta connexion internet?
la connexion sa n'a rien à voir, c'est que orange n'a pas encore reçut le cheque!puis commencer à installer antivir? suis je guérit? je peus désisntaller tous ce que j'ai installer depuis le début?
loloetseb
Messages postés
5508
Date d'inscription
dimanche 14 décembre 2008
Statut
Membre
Dernière intervention
22 avril 2012
174
21 mars 2009 à 14:56
21 mars 2009 à 14:56
1/
Télécharge Lop S&D.exe sur ton Bureau.https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/LopSD.exe?attachauth=ANoY7co3ntqUavpZ3q1BG-h4pc13vqDZmhcNeEPChtsyrgAykRbhE8bZzhk979EfQD4AgwtQUHCaQ7ZQwNYMo3_0kA8htAspckDJtu2K5t6J9z6dLW4fpZyH4FpFL1tVMBZ8H-KnN7afZ5vt-WxZRpnynk-a0XmV_Y0C0q6DxGEDKie1TnPT7gFoZnoCnspzBmbW6ZzxA4fNr3oEDlbelNZON-LjF8nOmQ%3D%3D&attredirects=2
* Double-clique dessus pour lancer l'installation
* Puis double-clique sur le raccourci Lop S&D présent sur ton Bureau
* Séléctionne la langue souhaitée , puis choisis l'option 1 (Recherche)
* Patiente jusqu'à la fin du scan
* Poste le rapport généré (C:\lopR.txt)
2/Suppression + Hosts
double-clique sur le raccourci Lop S&D présent sur ton Bureau
* Séléctionne la langue souhaitée , puis choisis l'option "Suppression + Hosts"
* Patiente jusqu'à la fin du scan
* Poste le rapport généré (C:\lopR.txt)
3/
R-hosts http://siri.urz.free.fr/RHosts.php
tu cliques sur Download
tu l'enregistre sur le bureau
tu double-cliques sur hosts
puis sur Restaurer
tu confirmes par OK et puis tu fermes la fenêtre
Télécharge Lop S&D.exe sur ton Bureau.https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/LopSD.exe?attachauth=ANoY7co3ntqUavpZ3q1BG-h4pc13vqDZmhcNeEPChtsyrgAykRbhE8bZzhk979EfQD4AgwtQUHCaQ7ZQwNYMo3_0kA8htAspckDJtu2K5t6J9z6dLW4fpZyH4FpFL1tVMBZ8H-KnN7afZ5vt-WxZRpnynk-a0XmV_Y0C0q6DxGEDKie1TnPT7gFoZnoCnspzBmbW6ZzxA4fNr3oEDlbelNZON-LjF8nOmQ%3D%3D&attredirects=2
* Double-clique dessus pour lancer l'installation
* Puis double-clique sur le raccourci Lop S&D présent sur ton Bureau
* Séléctionne la langue souhaitée , puis choisis l'option 1 (Recherche)
* Patiente jusqu'à la fin du scan
* Poste le rapport généré (C:\lopR.txt)
2/Suppression + Hosts
double-clique sur le raccourci Lop S&D présent sur ton Bureau
* Séléctionne la langue souhaitée , puis choisis l'option "Suppression + Hosts"
* Patiente jusqu'à la fin du scan
* Poste le rapport généré (C:\lopR.txt)
3/
R-hosts http://siri.urz.free.fr/RHosts.php
tu cliques sur Download
tu l'enregistre sur le bureau
tu double-cliques sur hosts
puis sur Restaurer
tu confirmes par OK et puis tu fermes la fenêtre
loloetseb
Messages postés
5508
Date d'inscription
dimanche 14 décembre 2008
Statut
Membre
Dernière intervention
22 avril 2012
174
21 mars 2009 à 15:00
21 mars 2009 à 15:00
1/ Fais la procedure 1 et 2,ne fais pas la 3 donc si c'est un probleme de cheque!!!!!
2/ Ensuite,fais la procedure 2 de findy kill,tu as encore des mountpoints infectueux
Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir
--> Fais clic droit sur le raccourci FindyKill sur ton bureau
--> Au menu principal,choisi l option 2 (Suppression)
/!\ il y aura 2 redémarrage, laisse travailler l outils jusqu a l apparition du message "nettoyage effectué"
/!\ Ne te sert pas du pc durant la suppression , ton bureau ne sera pas accessible c est normal !
-------> ensuite post le rapport FindyKill.txt
Note : le rapport FindyKill.txt est sauvegardé a la racine du disque
3/Ensuite supprimes les logiciels de desinfection inutiles avec toolcleaner
http://www.commentcamarche.net/telecharger/telechargement 34055291 toolscleaner
---> Télécharge ToolsCleaner2 sur ton Bureau.
* Double-clique sur ToolsCleaner2.exe pour le lancer.
* Clique sur Recherche et laisse le scan agir.
* Clique sur Suppression pour finaliser.
* Tu peux, si tu le souhaites, te servir des Options Facultatives.
* Clique sur Quitter pour obtenir le rapport.
* Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).
_________________________________________________
4/ Fais un scan complet avec antivir et postes moi le rapport
2/ Ensuite,fais la procedure 2 de findy kill,tu as encore des mountpoints infectueux
Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir
--> Fais clic droit sur le raccourci FindyKill sur ton bureau
--> Au menu principal,choisi l option 2 (Suppression)
/!\ il y aura 2 redémarrage, laisse travailler l outils jusqu a l apparition du message "nettoyage effectué"
/!\ Ne te sert pas du pc durant la suppression , ton bureau ne sera pas accessible c est normal !
-------> ensuite post le rapport FindyKill.txt
Note : le rapport FindyKill.txt est sauvegardé a la racine du disque
3/Ensuite supprimes les logiciels de desinfection inutiles avec toolcleaner
http://www.commentcamarche.net/telecharger/telechargement 34055291 toolscleaner
---> Télécharge ToolsCleaner2 sur ton Bureau.
* Double-clique sur ToolsCleaner2.exe pour le lancer.
* Clique sur Recherche et laisse le scan agir.
* Clique sur Suppression pour finaliser.
* Tu peux, si tu le souhaites, te servir des Options Facultatives.
* Clique sur Quitter pour obtenir le rapport.
* Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).
_________________________________________________
4/ Fais un scan complet avec antivir et postes moi le rapport
sa fait 2 fois que j'essaye la procédure avec Lop S&Det vista me dit que le programme à cesser de fonctionner!?
loloetseb
Messages postés
5508
Date d'inscription
dimanche 14 décembre 2008
Statut
Membre
Dernière intervention
22 avril 2012
174
21 mars 2009 à 15:24
21 mars 2009 à 15:24
As tu bien desactivé ton Uac,et executes tu le programme en tant qu'administrateur? (cliques droit sur l'icone avec la souris)