Google redirigé

Résolu
culturelles2 Messages postés 121 Statut Membre -  
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
Bonjour,J'ai un virus qui me redirige sur des sites non voulu en fesant des recherches sur google.j'utilise mozilla firefox alors j'ai testé avec internet explorer et la meme chose se produit.Je suis redirigé sur plusieurs site souvent les memes reviens avec quelques uns avec des virus (pas trop dangereux).C'est vraiment frustrant car parfois ca prends 5 coups avant d'avoir la bonne page.J'ai regardé dans plusieurs forums et testé plusieurs tolls et anti-malware,anti-spyware et anti-virus et rien c'est toujours la.Meme en safe mode ca ne change rien.je suis vraiment desesperé.Voici un log de hijack this:
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\agrsmsvc.exe
C:\WINDOWS\arservice.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Program Files\Common Files\InterVideo\DeviceService\DevSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgam.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Webroot\Washer\WasherSvc.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\Program Files\AVG\AVG8\avgcsrvx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\WinTV\Ir.exe
C:\WINDOWS\ehome\ehmsas.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\Program Files\DU Meter\DUMeter.exe
C:\Program Files\DU Meter\DUMeterSvc.exe
C:\Documents and Settings\HP_Administrator\My Documents\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.ca/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :
R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - (no file)
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Program Files\Orbitdownloader\orbitcth.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Ask Search Assistant BHO - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - (no file)
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Google Gears Helper - {E0FEFE40-FBF9-42AE-BA58-794CA7E3FB53} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.21.0\gears.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Program Files\Orbitdownloader\GrabPro.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [googletalk] C:\Program Files\Google\Google Talk\googletalk.exe /autostart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [googletalk] "C:\Program Files\Google\Google Talk\googletalk.exe" /autostart
O4 - HKCU\..\Run: [DU Meter] C:\Program Files\DU Meter\DUMeter.exe
O4 - HKCU\..\RunOnce: [Index Washer] C:\Program Files\Webroot\Washer\WashIdx.exe "HP_Administrator"
O4 - .DEFAULT User Startup: Pin.lnk = C:\hp\bin\CLOAKER.EXE (User 'Default user')
O4 - Global Startup: AutoStart IR.lnk = C:\Program Files\WinTV\Ir.exe
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Download by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Append Link Target to Existing PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Append to Existing PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert Link Target to Adobe PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/202
O9 - Extra button: (no name) - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.21.0\gears.dll
O9 - Extra 'Tools' menuitem: &Gears Settings - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.21.0\gears.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Connection Help - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Connection Help - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} -
O16 - DPF: {49232000-16E4-426C-A231-62846947304B} (SysData Class) - https://wimpro.cce.hp.com/ChatEntry/downloads/sysinfo.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase5483.cab
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} - https://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {DA758BB1-5F89-4465-975F-8D7179A4BCF3} - http://messenger.zone.msn.com/binary/WoF.cab57176.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: acaptuser32.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Capture Device Service - InterVideo Inc. - C:\Program Files\Common Files\InterVideo\DeviceService\DevSvc.exe
O23 - Service: Defragmentation-Service (DfSdkS) - mst software GmbH, Germany - C:\Program Files\Ashampoo\Ashampoo WinOptimizer 6\Dfsdks.exe
O23 - Service: DU Meter Service (DUMeterSvc) - Hagel Technologies Ltd - C:\Program Files\DU Meter\DUMeterSvc.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - Unknown owner - C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Update Service (gupdate1c9275bef2d4b40) (gupdate1c9275bef2d4b40) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: HauppaugeTVServer - Unknown owner - C:\PROGRA~1\WinTV\HCWTVS~1.EXE (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: Window Washer Engine (wwEngineSvc) - Webroot Software, Inc. - C:\Program Files\Webroot\Washer\WasherSvc.exe

Merci votre aide sera tres apprecié
Configuration: Windows XP
Firefox 3.0.10

11 réponses

  1. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    slt

    tu es redirigé sur quoi?

    ________________

    malwarebyte et avg8 ne trouvent rien?

    _________________

    télécharge combofix (par sUBs) ici :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    et enregistre le sur le bureau.

    déconnecte toi d'internet et ferme toutes tes applications.

    désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)

    double-clique sur combofix.exe et suis les instructions

    à la fin, il va produire un rapport C:\ComboFix.txt

    réactive ton parefeu, ton antivirus, la garde de ton antispyware

    copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

    Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

    Tu as un tutoriel complet ici :

    https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
    0
  2. culturelles2 Messages postés 121 Statut Membre 15
     
    Merci de m'aider.
    Je suis redirigé sur plusieurs site
    exemple: https://encyclopedia.thefreedictionary.com -https://parkavedomains.com/domain/FindStuff.com/
    des sites qui vends des anti-malware,et surtout de la pub
    lorsque que je reessaye le lien apres plusieurs fois ca me redirige vers http://www.google.ca/undefined ensuite le lien marche.Voici le log de combofix:
    ComboFix 09-05-31.06 - HP_Administrator 01/06/2009 17:48.2 - NTFSx86
    Microsoft Windows XP Professional 5.1.2600.3.1252.1.1033.18.2047.1518 [GMT -4:00]
    Running from: c:\documents and settings\HP_Administrator\My Documents\ComboFix.exe
    AV: AVG Anti-Virus *On-access scanning enabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
    .

    ((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\documents and settings\HP_Administrator\Application Data\inst.exe
    c:\windows\system32\mfc45.dll
    D:\Desktop.ini

    .
    ((((((((((((((((((((((((( Files Created from 2009-05-01 to 2009-06-01 )))))))))))))))))))))))))))))))
    .

    2009-06-01 21:43 . 2009-06-01 21:44 -------- d-----w- C:\ComboKill
    2009-05-28 21:24 . 2009-05-28 21:25 3371383 ----a-w- c:\documents and settings\All Users\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
    2009-05-28 21:24 . 2009-05-26 17:19 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
    2009-05-28 21:24 . 2009-05-26 17:20 40160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2009-05-28 21:24 . 2009-05-28 21:25 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2009-05-27 19:50 . 2009-05-27 19:50 -------- d-----w- c:\documents and settings\HP_Administrator\Local Settings\Application Data\Xenocode
    2009-05-26 02:10 . 2009-05-26 02:23 -------- d-----w- c:\program files\Nufsoft
    2009-05-25 04:47 . 2003-08-04 05:15 9804 ----a-w- c:\windows\system\vdremote.dll
    2009-05-25 04:47 . 2003-08-04 05:14 7244 ----a-w- c:\windows\system\vdsvrlnk.dll
    2009-05-24 21:12 . 2009-05-24 21:12 -------- d-----w- c:\program files\CCleaner
    2009-05-22 03:44 . 2009-05-24 21:10 -------- d-----w- c:\documents and settings\HP_Administrator\Application Data\NLauncher
    2009-05-19 02:41 . 2009-05-19 16:17 -------- d-----w- c:\documents and settings\HP_Administrator\Local Settings\Application Data\MotionDSP
    2009-05-19 02:39 . 2009-05-19 16:17 -------- d-----w- c:\documents and settings\All Users\Application Data\MotionDSP
    2009-05-19 02:37 . 2009-05-19 02:37 -------- d-----w- c:\program files\Common Files\Borland Shared
    2009-05-19 02:37 . 1999-01-20 09:01 210032 ----a-w- c:\windows\system32\DBCLIENT.DLL
    2009-05-19 02:37 . 2005-01-10 21:42 361472 ----a-w- c:\windows\system32\wPDF200A.dll
    2009-05-19 02:37 . 2009-05-25 19:59 -------- d-----w- c:\program files\CV Expert 3
    2009-05-18 13:22 . 2009-05-04 02:08 312088 ----a-w- c:\documents and settings\All Users\Application Data\avg8\update\backup\avglngx.dll
    2009-05-14 12:44 . 2009-05-14 12:44 2051864 ----a-w- c:\documents and settings\All Users\Application Data\avg8\update\backup\avgcorex.dll
    2009-05-14 12:44 . 2009-05-04 02:08 2302232 ----a-w- c:\documents and settings\All Users\Application Data\avg8\update\backup\avguiadv.dll
    2009-05-14 12:44 . 2009-05-04 02:08 3399960 ----a-w- c:\documents and settings\All Users\Application Data\avg8\update\backup\avgui.exe
    2009-05-14 12:44 . 2009-05-04 02:08 3288344 ----a-w- c:\documents and settings\All Users\Application Data\avg8\update\backup\setup.exe
    2009-05-14 12:44 . 2009-05-04 02:08 424472 ----a-w- c:\documents and settings\All Users\Application Data\avg8\update\backup\avgwdwsc.dll
    2009-05-14 12:44 . 2009-05-04 02:08 1262880 ----a-w- c:\documents and settings\All Users\Application Data\avg8\update\backup\avgwd.dll
    2009-05-14 12:44 . 2009-05-04 02:08 177432 ----a-w- c:\documents and settings\All Users\Application Data\avg8\update\backup\avgmail.dll
    2009-05-14 12:44 . 2009-05-04 02:08 486168 ----a-w- c:\documents and settings\All Users\Application Data\avg8\update\backup\avgrsx.exe
    2009-05-12 23:21 . 2009-05-12 23:21 -------- d-----w- c:\program files\easetech
    2009-05-07 05:24 . 2009-05-07 05:24 -------- d-----w- C:\ERDNT
    2009-05-06 23:51 . 2008-07-31 14:41 238088 ----a-w- c:\windows\system32\xactengine3_2.dll
    2009-05-06 23:51 . 2008-07-31 14:41 68616 ----a-w- c:\windows\system32\XAPOFX1_1.dll
    2009-05-06 23:51 . 2008-07-31 14:40 509448 ----a-w- c:\windows\system32\XAudio2_2.dll
    2009-05-06 23:51 . 2008-07-12 12:18 467984 ----a-w- c:\windows\system32\d3dx10_39.dll
    2009-05-06 23:51 . 2008-07-12 12:18 3851784 ----a-w- c:\windows\system32\D3DX9_39.dll
    2009-05-06 23:51 . 2008-07-12 12:18 1493528 ----a-w- c:\windows\system32\D3DCompiler_39.dll
    2009-05-04 21:31 . 2009-05-04 21:31 -------- d-sh--w- c:\documents and settings\HP_Administrator\IECompatCache
    2009-05-04 21:31 . 2009-05-04 21:31 -------- d-sh--w- c:\documents and settings\HP_Administrator\PrivacIE
    2009-05-04 21:28 . 2009-05-04 21:28 -------- d-sh--w- c:\documents and settings\HP_Administrator\IETldCache
    2009-05-04 21:26 . 2009-05-04 21:26 -------- d-----w- c:\windows\ie8updates
    2009-05-04 21:26 . 2009-02-28 04:55 105984 ------w- c:\windows\system32\dllcache\iecompat.dll
    2009-05-04 21:25 . 2009-05-04 21:25 -------- dc-h--w- c:\windows\ie8
    2009-05-04 20:59 . 2009-05-04 20:59 578560 ----a-w- c:\windows\system32\dllcache\user32.dll
    2009-05-04 20:56 . 2009-05-04 21:56 -------- d-----w- c:\windows\ERUNT
    2009-05-04 20:56 . 2009-05-04 21:07 -------- d-----w- C:\Backups
    2009-05-04 02:07 . 2009-05-04 02:07 1083672 ----a-w- c:\documents and settings\All Users\Application Data\avg8\update\backup\avgupd.exe
    2009-05-04 02:07 . 2009-05-04 02:07 755992 ----a-w- c:\documents and settings\All Users\Application Data\avg8\update\backup\avginet.dll
    2009-05-04 02:07 . 2009-05-04 02:07 1437464 ----a-w- c:\documents and settings\All Users\Application Data\avg8\update\backup\avgupd.dll
    2009-05-04 02:07 . 2009-05-03 03:09 587032 ----a-w- c:\documents and settings\All Users\Application Data\avg8\update\backup\avgiproxy.exe
    2009-05-04 02:05 . 2009-05-04 02:05 -------- d-----w- c:\windows\system32\wbem\Repository
    2009-05-04 01:08 . 2009-05-04 01:08 -------- d-----w- c:\documents and settings\All Users\Application Data\NortonInstaller
    2009-05-03 03:31 . 2009-05-04 02:04 -------- d-sh--w- C:\RECYCLER(2)
    2009-05-03 03:06 . 2009-05-03 03:06 -------- d-----w- c:\documents and settings\All Users\Application Data\Kaspersky Lab Setup Files

    .
    (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2009-06-01 21:32 . 2009-03-23 01:05 117760 ----a-w- c:\documents and settings\HP_Administrator\Application Data\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
    2009-06-01 16:14 . 2009-04-21 17:32 -------- d-----w- c:\program files\DU Meter
    2009-06-01 15:47 . 2008-07-02 11:51 -------- d-----w- c:\documents and settings\HP_Administrator\Application Data\Azureus
    2009-06-01 15:42 . 2008-10-24 20:14 -------- d-----w- c:\program files\Autorun
    2009-05-30 18:28 . 2009-05-30 18:01 131 ----a-w- c:\program files\pec.ini
    2009-05-29 03:18 . 2006-04-07 07:18 -------- d-----w- c:\program files\Google
    2009-05-28 22:02 . 2008-11-19 01:58 -------- d-----w- c:\program files\WinTV
    2009-05-28 22:02 . 2006-04-07 07:13 -------- d-----w- c:\program files\PC-Doctor 5 for Windows
    2009-05-28 21:14 . 2008-07-01 22:10 -------- d-----w- c:\program files\Windows Media Connect 2
    2009-05-28 20:53 . 2008-07-03 11:38 -------- d-----w- c:\documents and settings\All Users\Application Data\iolo
    2009-05-27 22:15 . 2008-07-09 00:37 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
    2009-05-27 00:16 . 2009-01-07 17:03 -------- d-----w- c:\program files\VS Revo Group
    2009-05-25 02:39 . 2008-07-02 14:41 -------- d-----w- c:\program files\Ultra Video Splitter
    2009-05-24 21:15 . 2009-01-18 05:38 -------- d-----w- c:\program files\SUPERAntiSpyware
    2009-05-24 02:11 . 2009-01-22 09:25 -------- d-----w- c:\program files\Ashampoo
    2009-05-22 04:26 . 2008-07-02 14:48 -------- d-----w- c:\documents and settings\HP_Administrator\Application Data\Vso
    2009-05-22 04:26 . 2008-07-02 14:48 47360 ----a-w- c:\documents and settings\HP_Administrator\Application Data\pcouffin.sys
    2009-05-22 04:26 . 2008-07-02 14:48 47360 ----a-w- c:\documents and settings\HP_Administrator\Application Data\pcouffin.sys
    2009-05-21 15:17 . 2008-10-21 05:31 -------- d-----w- c:\documents and settings\HP_Administrator\Application Data\Orbit
    2009-05-21 15:06 . 2008-08-29 02:55 -------- d-----w- c:\program files\Orbitdownloader
    2009-05-19 02:41 . 2006-04-07 06:49 85688 ----a-w- c:\documents and settings\Administrator\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
    2009-05-15 14:26 . 2008-07-02 20:08 -------- d-----w- c:\documents and settings\All Users\Application Data\Zultrax P2P
    2009-05-15 00:02 . 2008-07-02 15:08 -------- d-----w- c:\program files\Windows Live
    2009-05-13 04:05 . 2009-03-12 11:32 606096 ----a-w- c:\documents and settings\LocalService\Local Settings\Application Data\FontCache3.0.0.0.dat
    2009-05-13 01:42 . 2008-08-30 05:06 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP
    2009-05-09 05:53 . 2008-08-08 03:11 -------- d-----w- c:\documents and settings\HP_Administrator\Application Data\dvdcss
    2009-05-08 16:47 . 2009-03-04 20:56 -------- d-----w- c:\program files\ImpotExpert 2008
    2009-05-04 21:35 . 2008-07-18 22:30 -------- d-----w- c:\program files\Windows Live Safety Center
    2009-05-04 17:32 . 2009-02-28 15:34 -------- d-----w- c:\program files\K-Lite Codec Pack
    2009-05-04 02:08 . 2008-12-01 15:03 11952 ----a-w- c:\windows\system32\avgrsstx.dll
    2009-05-04 02:08 . 2008-12-01 15:03 325896 ----a-w- c:\windows\system32\drivers\avgldx86.sys
    2009-05-04 02:08 . 2008-12-01 15:03 27784 ----a-w- c:\windows\system32\drivers\avgmfx86.sys
    2009-05-04 02:08 . 2008-12-01 15:03 12552 ----a-w- c:\windows\system32\drivers\avgrkx86.sys
    2009-05-04 02:08 . 2008-12-01 15:03 108552 ----a-w- c:\windows\system32\drivers\avgtdix.sys
    2009-04-21 17:32 . 2009-04-21 17:32 -------- d-----w- c:\documents and settings\All Users\Application Data\Hagel Technologies
    2009-04-19 18:17 . 2009-04-19 18:04 237568 ----a-w- c:\windows\system32\rmc_rtspdl.dll
    2009-04-19 18:17 . 2009-04-19 18:04 156672 ----a-w- c:\windows\system32\rmc_fixasf.exe
    2009-04-19 18:17 . 2009-04-19 18:03 323584 ----a-w- c:\windows\system32\AUDIOGENIE2.DLL
    2009-04-19 16:36 . 2006-04-07 06:24 -------- d-----w- c:\program files\Java
    2009-04-19 16:35 . 2009-04-19 16:35 152576 ----a-w- c:\documents and settings\HP_Administrator\Application Data\Sun\Java\jre1.6.0_13\lzma.dll
    2009-04-18 16:21 . 2008-09-14 10:09 -------- d-----w- c:\documents and settings\HP_Administrator\Application Data\DVD Flick
    2009-04-18 16:21 . 2009-01-23 07:21 -------- d-----w- c:\program files\DVD Flick
    2009-04-15 17:57 . 2008-07-01 22:14 -------- d-----w- c:\documents and settings\HP_Administrator\Application Data\HP
    2009-04-15 17:57 . 2006-04-07 06:41 -------- d-----w- c:\documents and settings\All Users\Application Data\HP
    2009-04-15 01:07 . 2009-04-15 01:07 -------- d-----w- c:\documents and settings\All Users\Application Data\Trymedia
    2009-04-07 22:41 . 2009-04-07 22:41 -------- d-----w- c:\documents and settings\HP_Administrator\Application Data\Emulators
    2009-04-05 16:26 . 2008-08-08 11:57 -------- d-----w- c:\program files\Microsoft Silverlight
    2009-04-03 17:48 . 2009-04-03 17:48 -------- d-----w- c:\program files\Xilisoft
    2009-04-03 17:35 . 2009-03-28 04:33 -------- d-----w- c:\program files\WMR11
    2009-03-24 04:29 . 2006-04-06 18:56 14336 ----a-w- c:\windows\system32\svchost.exe
    2009-03-24 04:29 . 2006-04-06 18:56 14336 ----a-w- c:\windows\system32\svchost(2).exe
    2009-03-24 03:12 . 2009-03-24 03:12 7168 ----a-w- c:\documents and settings\HP_Administrator\Application Data\Thinstall\Fast AVI MPEG Joiner 1.2.0812\40000062700003i\avm.exe
    2009-03-22 21:21 . 2009-03-22 21:21 4096 ----a-w- c:\windows\system32\drivers\nocashio.sys
    2009-03-20 19:32 . 2009-03-20 19:32 717296 ----a-w- c:\windows\system32\drivers\sptd.sys
    2009-03-19 14:08 . 2009-03-05 21:19 152576 ----a-w- c:\documents and settings\HP_Administrator\Application Data\Sun\Java\jre1.6.0_12\lzma.dll
    2009-03-18 14:54 . 2009-03-18 14:50 0 ----a-w- c:\program files\Common Files\chd.exe
    2009-03-18 01:55 . 2009-03-16 21:23 1024 ----a-w- c:\documents and settings\All Users\Application Data\sowdp88.dat
    2009-03-12 11:35 . 2009-01-07 15:50 164812 ----a-w- c:\windows\hpoins21.dat
    2009-03-09 09:19 . 2008-11-28 19:30 410984 ----a-w- c:\windows\system32\deploytk.dll
    2009-03-08 08:34 . 2006-04-07 01:58 914944 ----a-w- c:\windows\system32\wininet.dll
    2009-03-08 08:34 . 2006-04-06 18:53 43008 ----a-w- c:\windows\system32\licmgr10.dll
    2009-03-08 08:33 . 2006-04-06 18:50 18944 ----a-w- c:\windows\system32\corpol.dll
    2009-03-08 08:33 . 2006-04-06 18:58 420352 ----a-w- c:\windows\system32\vbscript.dll
    2009-03-08 08:32 . 2006-04-06 18:50 72704 ----a-w- c:\windows\system32\admparse.dll
    2009-03-08 08:32 . 2006-04-06 18:53 71680 ----a-w- c:\windows\system32\iesetup.dll
    2009-03-08 08:31 . 2006-04-06 18:53 34816 ----a-w- c:\windows\system32\imgutil.dll
    2009-03-08 08:31 . 2006-04-06 18:53 48128 ----a-w- c:\windows\system32\mshtmler.dll
    2009-03-08 08:31 . 2006-04-06 18:53 45568 ----a-w- c:\windows\system32\mshta.exe
    2009-03-08 08:22 . 2006-04-06 18:53 156160 ----a-w- c:\windows\system32\msls31.dll
    2009-03-06 14:22 . 2006-04-06 18:54 284160 ----a-w- c:\windows\system32\pdh.dll
    2009-03-04 20:56 . 2009-03-04 20:56 10134 ----a-r- c:\documents and settings\HP_Administrator\Application Data\Microsoft\Installer\{451BB54C-8B23-4455-8BDC-14FC7D43E056}\ARPPRODUCTICON.exe
    2007-04-01 20:06 . 2008-07-01 23:04 22 --sha-w- c:\windows\SMINST\HPCD.SYS
    .

    ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* empty entries & legit default entries are not shown
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
    "googletalk"="c:\program files\Google\Google Talk\googletalk.exe" [2007-01-01 3739648]
    "DU Meter"="c:\program files\DU Meter\DUMeter.exe" [2008-06-10 2645528]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-06 64512]
    "ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" [2004-08-09 81920]
    "AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2009-05-04 1947928]
    "googletalk"="c:\program files\Google\Google Talk\googletalk.exe" [2007-01-01 3739648]
    "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-09-17 13574144]
    "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
    "Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2009-05-26 414480]
    "RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2006-03-08 16010240]

    c:\documents and settings\All Users\Start Menu\Programs\Startup\
    AutoStart IR.lnk - c:\program files\WinTV\Ir.exe [2008-11-18 106551]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
    "NoResolveTrack"= 1 (0x1)
    "NoFileAssociate"= 0 (0x0)

    [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
    "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program files\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
    2008-12-03 19:56 352256 ----a-w- c:\program files\SUPERAntiSpyware\SASWINLO.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
    2009-05-04 02:08 11952 ----a-w- c:\windows\system32\avgrsstx.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
    "AppInit_DLLs"=c:\windows\system32\acaptuser32.dll

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start Menu^Programs^Startup^Adobe Acrobat Speed Launcher.lnk]
    backup=c:\windows\pss\Adobe Acrobat Speed Launcher.lnkCommon Startup

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start Menu^Programs^Startup^Updates from HP.lnk]
    path=c:\documents and settings\All Users\Start Menu\Programs\Startup\Updates from HP.lnk
    backup=c:\windows\pss\Updates from HP.lnkCommon Startup
    HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccApp

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
    "McrdSvc"=2 (0x2)
    "ehRecvr"=2 (0x2)
    "ehSched"=2 (0x2)
    "Nero BackItUp Scheduler 3"=2 (0x2)
    "navapsvc"=2 (0x2)
    "idsvc"=3 (0x3)
    "Bonjour Service"=2 (0x2)
    "Apple Mobile Device"=2 (0x2)

    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "AntiVirusOverride"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
    "DisableMonitoring"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\Vuze\\Azureus.exe"=
    "c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
    "c:\\Program Files\\Sorenson Media\\Sorenson Squeeze\\Squeeze.exe"=
    "c:\\Program Files\\Orbitdownloader\\orbitnet.exe"=
    "c:\\Program Files\\Orbitdownloader\\orbitdm.exe"=
    "c:\\Program Files\\Zultrax P2P\\Zultrax.Exe"=
    "c:\\Program Files\\Google\\Google Talk\\googletalk.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
    "c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

    R0 AvgRkx86;avgrkx86.sys;c:\windows\system32\drivers\avgrkx86.sys [01/12/2008 11:03 AM 12552]
    R1 AvgLdx86;AVG AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [01/12/2008 11:03 AM 325896]
    R1 AvgTdiX;AVG8 Network Redirector;c:\windows\system32\drivers\avgtdix.sys [01/12/2008 11:03 AM 108552]
    R1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\sasdifsv.sys [04/12/2008 2:50 PM 8944]
    R1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [04/12/2008 2:50 PM 55024]
    R2 avg8emc;AVG8 E-mail Scanner;c:\progra~1\AVG\AVG8\avgemc.exe [08/01/2009 8:58 AM 908568]
    R2 avg8wd;AVG8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [08/01/2009 8:58 AM 298776]
    R3 iComp;Hauppauge WinTV PVR2 USB2 Encoder;c:\windows\system32\drivers\HCWUSB2.sys [18/11/2008 10:09 PM 1458688]
    R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [28/05/2009 5:24 PM 19096]
    S2 DUMeterSvc;DU Meter Service;c:\program files\DU Meter\DUMeterSvc.exe [01/06/2009 12:14 PM 1386008]
    S2 gupdate1c9275bef2d4b40;Google Update Service (gupdate1c9275bef2d4b40);c:\program files\Google\Update\GoogleUpdate.exe [05/10/2008 10:33 PM 133104]
    S2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [28/05/2009 5:24 PM 194832]
    S2 wwEngineSvc;Window Washer Engine;c:\program files\Webroot\Washer\WasherSvc.exe [24/01/2009 10:56 PM 598856]
    S3 DfSdkS;Defragmentation-Service;c:\program files\Ashampoo\Ashampoo WinOptimizer 6\DfSdkS.exe [27/04/2009 9:59 PM 410976]
    S3 DrvFltIp;DrvFltIp;\??\c:\documents and settings\HP_Administrator\Local Settings\TEMP\DrvFltIp --> c:\documents and settings\HP_Administrator\Local Settings\TEMP\DrvFltIp [?]
    S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\program files\MAGIX\Common\Database\bin\fbserver.exe --> c:\program files\MAGIX\Common\Database\bin\fbserver.exe [?]
    S3 HauppaugeTVServer;HauppaugeTVServer;c:\progra~1\WinTV\HCWTVS~1.EXE --> c:\progra~1\WinTV\HCWTVS~1.EXE [?]
    S3 MEMSWEEP2;MEMSWEEP2;\??\c:\windows\system32\35.tmp --> c:\windows\system32\35.tmp [?]
    S3 SASENUM;SASENUM;c:\program files\SUPERAntiSpyware\SASENUM.SYS [04/12/2008 2:50 PM 7408]

    --- Other Services/Drivers In Memory ---

    *Deregistered* - PROCEXP113

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
    hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

    [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
    "c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
    .
    Contents of the 'Scheduled Tasks' folder

    2009-06-01 c:\windows\Tasks\GoogleUpdateTaskMachine.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2008-10-06 02:33]
    .
    - - - - ORPHANS REMOVED - - - -

    SafeBoot-procexp90.Sys

    .
    ------- Supplementary Scan -------
    .
    uStart Page = hxxp://google.ca/
    IE: &Download by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/201
    IE: &Grab video by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/204
    IE: Append Link Target to Existing PDF - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
    IE: Append to Existing PDF - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
    IE: Convert Link Target to Adobe PDF - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
    IE: Convert to Adobe PDF - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
    IE: Do&wnload selected by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/203
    IE: Down&load all by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/202
    DPF: CabBuilder - hxxp://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
    FF - ProfilePath - c:\documents and settings\HP_Administrator\Application Data\Mozilla\Firefox\Profiles\8xoe2yxu.default\
    FF - prefs.js: browser.startup.homepage - hxxp://www.google.ca/
    FF - component: c:\program files\AVG\AVG8\Firefox\components\avgssff.dll
    FF - component: c:\program files\Google\Google Gears\Firefox\components\gears.dll
    FF - plugin: c:\documents and settings\All Users\Application Data\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
    FF - plugin: c:\program files\Google\Update\1.2.145.5\npGoogleOneClick8.dll
    FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
    FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
    FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
    FF - plugin: c:\program files\Mozilla Firefox\plugins\npzylomgamesplayer.dll
    .
    .
    ------- File Associations -------
    .
    JSEFile=NOTEPAD.EXE %1
    VBEFile=NOTEPAD.EXE %1
    VBSFile=NOTEPAD.EXE %1
    .

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2009-06-01 17:51
    Windows 5.1.2600 Service Pack 3 NTFS

    scanning hidden processes ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully
    hidden files: 0

    **************************************************************************

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\DUMeterSvc]
    "ImagePath"="c:\program files\DU Meter\DUMeterSvc.exe /startedbyscm:E1F6D4BE-40E33354-DUMeterService"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ASFWHide]
    "ImagePath"="\??\c:\documents and settings\HP_Administrator\Local Settings\TEMP\ASFWHide"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\DrvFltIp]
    "ImagePath"="\??\c:\documents and settings\HP_Administrator\Local Settings\TEMP\DrvFltIp"

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2]
    "ImagePath"="\??\c:\windows\system32\35.tmp"
    .
    --------------------- DLLs Loaded Under Running Processes ---------------------

    - - - - - - - > 'winlogon.exe'(504)
    c:\program files\SUPERAntiSpyware\SASWINLO.dll
    c:\documents and settings\HP_Administrator\Application Data\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
    c:\windows\system32\Ati2evxx.dll
    .
    Completion time: 2009-06-01 17:53
    ComboFix-quarantined-files.txt 2009-06-01 21:53

    Pre-Run: 187,433,549,824 bytes free
    Post-Run: 187,416,879,104 bytes free

    305 --- E O F --- 2009-05-12 20:11

    Combofix n'a pas resolu mon probleme.J'avais l'ancienne version celle ci n'a pas fais de tort.
    0
    1. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
       
      colle un rapport avec malwarebyte et avg 8 pour voir
      0
  3. culturelles2 Messages postés 121 Statut Membre 15
     
    Log Malwarebytes' Anti-Malware 1.37

    Database version: 2214
    Windows 5.1.2600 Service Pack 3

    02/06/2009 3:33:11 PM
    mbam-log-2009-06-02 (15-33-11).txt

    Scan type: Full Scan (C:\|D:\|)
    Objects scanned: 210089
    Time elapsed: 1 hour(s), 25 minute(s), 15 second(s)

    Memory Processes Infected: 0
    Memory Modules Infected: 0
    Registry Keys Infected: 0
    Registry Values Infected: 0
    Registry Data Items Infected: 0
    Folders Infected: 0
    Files Infected: 0

    Memory Processes Infected:
    (No malicious items detected)

    Memory Modules Infected:
    (No malicious items detected)

    Registry Keys Infected:
    (No malicious items detected)

    Registry Values Infected:
    (No malicious items detected)

    Registry Data Items Infected:
    (No malicious items detected)

    Folders Infected:
    (No malicious items detected)

    Files Infected:
    (No malicious items detected)

    Pour avg 8 je ne trouve pas de log(option) il y ajuste le log event mais ca dis juste qu'un scan a ete fait telle date.Le log de file je ne trouve pas
    0
  4. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    initialise firefox ou internet explorer comme ceci:

    http://www.commentcamarche.net/faq/sujet 9525 reinitialiser firefox reset

    https://www.pcastuces.com/newsletter/adj/1943.htm

    ________________

    colle un scan en ligne panda

    https://www.informatruc.com
    0
    1. culturelles2 Messages postés 121 Statut Membre 15
       
      J'ai remarqué que lorsque je suis parfois redirigé je vois mon ip en bas a gauche avant la redirection.
      0
    2. culturelles2 Messages postés 121 Statut Membre 15
       
      Toujours le meme probleme 8 juin 2009
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. culturelles2 Messages postés 121 Statut Membre 15
     
    internet explorer 8 reinitialiser
    firefox ca marche pas es-ce bien pour xp de toute facon la semaine passé j'avais toute enleve et reinstallé avec le defaut.
    scan panda;
    Ne pas tenir compte de la description qui commence par k car c'est mon disque dur externe que j'ai oublié d'enlever.ni du systeme volume car c'est mon systeme restore point que j'ai nettoyé
    il reste pas grand chose et de toute facon j'ai enlevé et sans resultat.

    ;***********************************************************************************************************************************************************************************
    ANALYSIS: 2009-06-03 22:35:03
    PROTECTIONS: 2
    MALWARE: 7
    SUSPECTS: 19
    ;***********************************************************************************************************************************************************************************
    PROTECTIONS
    Description Version Active Updated
    ;===================================================================================================================================================================================
    Antivirus BitDefender 12.0 No Yes
    AVG Anti-Virus 8.5 No Yes
    ;===================================================================================================================================================================================
    MALWARE
    Id Description Type Active Severity Disinfectable Disinfected Location
    ;===================================================================================================================================================================================
    00003428 adware/memorywatcher Adware No 0 Yes No hkey_classes_root\vbrad.trayicon
    00487624 Trj/Banker.LNO Virus/Trojan No 1 Yes No C:\hp\recovery\wizard\SWR_Wizard.exe
    00590315 Rootkit/Agent.LNB HackTools No 0 Yes No C:\System Volume Information\_restore{106CF321-99A3-4E3A-9103-1BD027606A99}\RP453\A0090872.sys
    00590315 Rootkit/Agent.LNB HackTools No 0 Yes No C:\System Volume Information\_restore{106CF321-99A3-4E3A-9103-1BD027606A99}\RP452\A0090601.sys
    00921467 Generic Malware Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{106CF321-99A3-4E3A-9103-1BD027606A99}\RP409\A0080882.exe
    00921467 Generic Malware Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{106CF321-99A3-4E3A-9103-1BD027606A99}\RP412\A0081768.exe
    01185375 Application/Psexec.A HackTools No 0 Yes No C:\System Volume Information\_restore{106CF321-99A3-4E3A-9103-1BD027606A99}\RP412\A0082702.EXE
    01185375 Application/Psexec.A HackTools No 0 Yes No C:\System Volume Information\_restore{106CF321-99A3-4E3A-9103-1BD027606A99}\RP409\A0080912.EXE
    02885963 Rootkit/Booto.C Virus/Worm No 0 Yes No C:\System Volume Information\_restore{106CF321-99A3-4E3A-9103-1BD027606A99}\RP409\A0080901.sys
    02885963 Rootkit/Booto.C Virus/Worm No 0 Yes No C:\System Volume Information\_restore{106CF321-99A3-4E3A-9103-1BD027606A99}\RP412\A0082691.sys
    05304580 Generic Trojan Virus/Trojan No 0 No No K:\logiciel\vReveal-1.0.1.rar[vReveal-1.0.1\Cerise\vReveal.exe]
    ;===================================================================================================================================================================================
    SUSPECTS
    Sent Location `.
    ;===================================================================================================================================================================================
    No C:\Documents and Settings\HP_Administrator\My Documents\wintv\smd\hcwsmd05.exe `.
    No C:\System Volume Information\_restore{106CF321-99A3-4E3A-9103-1BD027606A99}\RP420\A0083996.exe `.
    No C:\System Volume Information\_restore{106CF321-99A3-4E3A-9103-1BD027606A99}\RP420\A0083996.exe[32788R22FWJFW\n.com]
    No C:\System Volume Information\_restore{106CF321-99A3-4E3A-9103-1BD027606A99}\RP420\A0083996.exe[32788R22FWJFW\NirCmd.cfexe]
    No C:\System Volume Information\_restore{106CF321-99A3-4E3A-9103-1BD027606A99}\RP420\A0083996.exe[32788R22FWJFW\n.com]
    No C:\System Volume Information\_restore{106CF321-99A3-4E3A-9103-1BD027606A99}\RP420\A0083996.exe[32788R22FWJFW\NirCmd.cfexe]
    No C:\System Volume Information\_restore{106CF321-99A3-4E3A-9103-1BD027606A99}\RP420\A0083996.exe[32788R22FWJFW\n.com]
    No C:\System Volume Information\_restore{106CF321-99A3-4E3A-9103-1BD027606A99}\RP420\A0083996.exe[32788R22FWJFW\NirCmd.cfexe]
    No C:\System Volume Information\_restore{106CF321-99A3-4E3A-9103-1BD027606A99}\RP452\A0090789.com `.
    No C:\System Volume Information\_restore{106CF321-99A3-4E3A-9103-1BD027606A99}\RP452\A0090791.com `.
    No C:\WINDOWS\NIRCMD.exe `.
    No K:\logiciel\allok video joiner\KeyGen.rar[keygen.exe] `.
    No K:\logiciel\Allok.Video.Joiner.v2.0.2.Keygen..rar[keygen\keygen.exe] `.
    No K:\logiciel\ComboFix.exe[32788R22FWJFW\NirCmd.cfexe] `.
    No K:\logiciel\ComboFix.exe[32788R22FWJFW\n.com] `.
    No K:\logiciel\hcw2_7_24117_usb2.zip[smd/hcwsmd05.exe] `.
    No K:\System Volume Information\_restore{106CF321-99A3-4E3A-9103-1BD027606A99}\RP375\A0077726.exe `.
    No K:\System Volume Information\_restore{106CF321-99A3-4E3A-9103-1BD027606A99}\RP410\A0081451.exe `.
    No K:\System Volume Information\_restore{106CF321-99A3-4E3A-9103-1BD027606A99}\RP453\A0090925.exe `.
    ;===================================================================================================================================================================================
    VULNERABILITIES
    Id Severity Description `.
    ;===================================================================================================================================================================================
    ;===================================================================================================================================================================================
    0
  7. Noni
     
    http://darfuns.com/remove-google-search-result-redirect-virus/
    0
    1. culturelles2 Messages postés 121 Statut Membre 15
       
      toujours le meme probleme(not go.google for me but a nother redirect virus for google)
      0
  8. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    télécharge OTMoveIt
    http://oldtimer.geekstogo.com/OTMoveIt3.exe (de Old_Timer) sur ton Bureau.

    double-clique sur OTMoveIt.exe pour le lancer.
    copie la liste qui se trouve en citation ci-dessous,
    et colle-la dans le cadre de gauche de OTMoveIt :Paste instruction for items to be moved.
    (attention bien mettre :files)

    :processes
    explorer.exe
    :files
    C:\hp\recovery\wizard\SWR_Wizard.exe
    K:\logiciel\vReveal-1.0.1.rar
    :reg
    hkey_classes_root\vbrad.trayicon
    :commands
    [purity]
    [emptytemp]
    [start explorer]

    clique sur MoveIt! pour lancer la suppression.
    le résultat apparaitra dans le cadre "Results".
    clique sur Exit pour fermer.
    poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

    il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.

    __________________

    ceci si t'es pas sur tu vire:

    C:\Documents and Settings\HP_Administrator\My Documents\wintv\smd\hcwsmd05.exe
    K:\logiciel\allok video joiner\KeyGen.rar[
    K:\logiciel\Allok.Video.Joiner.v2.0.2.Keygen..rar
    K:\logiciel\hcw2_7_24117_usb2.zip

    _____________________

    # télécharger Hoster :
    http://www.funkytoad.com/download/HostsXpert.zip

    # Dézipper le dossier sur le bureau.
    # Lancer Hoster et cliquer sur Restore Microsoft's Hosts File

    si impossible fais RHOST

    http://siri.urz.free.fr/RHosts.php

    ________________________

    Télécharge Toolbar-S&D (Team IDN) sur ton Bureau.
    https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2

    * Lance l'installation du programme en exécutant le fichier téléchargé.
    * Double-clique maintenant sur le raccourci de Toolbar-S&D.
    * Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.
    * Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche.
    * Poste le rapport généré. (C:\TB.txt)
    0
    1. culturelles2 Messages postés 121 Statut Membre 15
       
      merci pour ton aide
      rapport
      -----------\\ ToolBar S&D 1.2.8 XP/Vista


      "C:\ToolBar SD" ( MAJ : 21-12-2008|20:47 )
      Option : [1] ( 08/06/2009|12:07 )

      -----------\\ Recherche de Fichiers / Dossiers ...


      -----------\\ Extensions

      (HP_Administrator) - {0545b830-f0aa-4d7e-8820-50a4629a56fe} => clrtabs
      (HP_Administrator) - {a0d7ccb3-214d-498b-b4aa-0e8fda9a7bf7} => wot
      (HP_Administrator) - {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} => adblockplus


      -----------\\ [..\Internet Explorer\Main]

      [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
      "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
      "Local Page"="C:\\windows\\system32\\blank.htm"
      "Start Page Redirect Cache"="https://www.msn.com/fr-fr/?redirfallthru=http%3a%2f%2fsympatico.msn.ca%2f%3flang%3den-CA%26OCID%3dFW69157"
      "Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
      "Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
      "Url"="http://www.microsoft.com/atwork/community/rss.xml"
      "Url"="http://www.microsoft.com/athome/community/rss.xml"
      "Url"="http://www.microsoft.com/athome/community/rss.xml"
      "Url"="http://www.microsoft.com/atwork/community/rss.xml"

      [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
      "Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
      "Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
      "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
      "Start Page"="https://www.msn.com/fr-fr/"
      "Local Page"="C:\\windows\\system32\\blank.htm"


      --------------------\\ Recherche d'autres infections

      --------------------\\ Cracks & Keygens ..

      C:\DOCUME~1\HP_ADM~1\Application Data\Azureus\torrents\Anonymus_Virtua_Girl_HD_Install_KeyGen[1].torrent
      C:\DOCUME~1\HP_ADM~1\Local Settings\Application Data\ApplicationHistory\VGHDKeygen.exe.1ae07cd0.ini
      C:\DOCUME~1\HP_ADM~1\Local Settings\Application Data\ApplicationHistory\VGHDKeygen.exe.3ad2215d.ini
      C:\DOCUME~1\HP_ADM~1\Local Settings\Application Data\ApplicationHistory\VGHDKeygen.exe.87c72bb7.ini
      C:\DOCUME~1\HP_ADM~1\My Documents\Portable Acoustica CD_DVD Label Maker v3.32\keygen
      C:\DOCUME~1\HP_ADM~1\My Documents\Portable Acoustica CD_DVD Label Maker v3.32\keygen\CDDVDLabelMakerKeygen.exe



      1 - "C:\ToolBar SD\TB_1.txt" - 08/06/2009|11:46 - Option : [1]
      2 - "C:\ToolBar SD\TB_2.txt" - 08/06/2009|12:05 - Option : [2]
      3 - "C:\ToolBar SD\TB_3.txt" - 08/06/2009|12:12 - Option : [1]

      -----------\\ Fin du rapport a 12:12:33.28

      en fin de semaine j'ai essayé Search Navipromo version 3.7.7 et SmitFraudFix v2.419 mais j'aurais du attendre un pro car maintenant mon dvdv burner ne fonction plus comme avant il lis les cd et dvd mais le lecteur ne brule plus j'ai ete chercher un driver du dvd lg gsa-h55n mais maintenant il me dis valid atapi cannot be found f/w model is dvd-ram gsa-h55n.J'aurais jamais du utiliser c'est programme de nettoyage sans un pro.En plus toujours le meme probleme.
      0
  9. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    Télécharge OTMoveIt
    http://oldtimer.geekstogo.com/OTMoveIt3.exe (de Old_Timer) sur ton Bureau.

    double-clique sur OTMoveIt.exe pour le lancer.
    copie la liste qui se trouve en citation ci-dessous,
    et colle-la dans le cadre de gauche de OTMoveIt :Paste instruction for items to be moved.
    (attention bien mettre :files)

    :processes
    explorer.exe
    :files
    C:\DOCUME~1\HP_ADM~1\Application Data\Azureus\torrents\Anonymus_Virtua_Girl_HD_Install_KeyGen[1].torrent
    C:\DOCUME~1\HP_ADM~1\Local Settings\Application Data\ApplicationHistory\VGHDKeygen.exe.1ae07cd0.ini
    C:\DOCUME~1\HP_ADM~1\Local Settings\Application Data\ApplicationHistory\VGHDKeygen.exe.3ad2215d.ini
    C:\DOCUME~1\HP_ADM~1\Local Settings\Application Data\ApplicationHistory\VGHDKeygen.exe.87c72bb7.ini
    C:\DOCUME~1\HP_ADM~1\My Documents\Portable Acoustica CD_DVD Label Maker v3.32\keygen
    C:\DOCUME~1\HP_ADM~1\My Documents\Portable Acoustica CD_DVD Label Maker v3.32\keygen\CDDVDLabelMakerKeygen.exe
    :commands
    [purity]
    [emptytemp]
    [start explorer]

    clique sur MoveIt! pour lancer la suppression.
    le résultat apparaitra dans le cadre "Results".
    clique sur Exit pour fermer.
    poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

    il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.

    _____________________________

    utilise pour supprimer tes traces

    CCLEANER: (lance un nettoyage et répare 3 fois le registre) sans installer la barre yahoo
    (dans les options puis avancé :désactive la case: effacer les fichiers de plus de 48 heures)
    https://www.malekal.com/tutoriel-ccleaner/
    https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html

    _______________________________

    cela persiste?
    0
    1. culturelles2 Messages postés 121 Statut Membre 15
       
      Oui cela persiste toujours.J'ai remarqué que j'ai du cliquer sur plusieurs lien sur google avant que ca revienne.Un fois redirrigé ca devient pire en pire.
      0
  10. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    vire firefox puis remets le

    c'est bon?
    0
    1. culturelles2 Messages postés 121 Statut Membre 15
       
      Non enlever firefox et le remettre ne donne rien.hier avec les nouveau update de malwarebytes et avg j'ai trouvé des hidden rootkit trojan tdss
      voici la liste trouvé par avg
      "C:\WINDOWS\system32\kungsfvgnijejy.dll";"Hidden file";"Object is hidden"
      "C:\WINDOWS\system32\kungsfnkrjufbw.dat.rmv";"Hidden file";"Object is hidden"
      "C:\WINDOWS\system32\kungsfnkrjufbw.dat";"Hidden file";"Object is hidden"
      "C:\WINDOWS\system32\kungsfmodanxob.dll.rmv";"Hidden file";"Object is hidden"
      "C:\WINDOWS\system32\kungsfmodanxob.dll";"Hidden file";"Object is hidden"
      "C:\WINDOWS\system32\drivers\kungsfunbxcpxe.sys.rmv";"Hidden file";"Object is hidden"
      "C:\WINDOWS\system32\drivers\kungsfunbxcpxe.sys";"Hidden file";"Object is hidden"
      "C:\WINDOWS\system32\drivers\kungsfunbxcpxe.sys";"Hidden driver";"Object is hidden"
      Je l'ais enleve et ensuite ont me demande de faire un restart mais ca reviens
      des fois c'est un des fopis c'est plein comme cette exemple si je pouvais enlever celui qui est sur la derniere ligne hidden driver Mon probleme disparaiterais.
      je cherche un moyen de l'enlever pour de bons mais a date je ne trouve pas voici un lien qui m'a aidé
      https://www.daniweb.com/hardware-and-software/information-security/threads/153664/go-google-redirection-and-tdss-trojan-cured
      Lui a reussi mais moi il se regenere au redemarage de mon ordi.
      apres plusieurs restart les virus tdss sont parti mais helas c'etais pas juste ca.C'est moin pire mais encore certaine recherche redirigé.Avant d'etre redirigé je vois en bas a gauche overclick.c'est encore un rootkit.
      j'ai essayé les rootkit removers de ce site http://www.solveithere.com/Removaltools/antirootkits.html mais il ne trouve pas le probleme.Je suis pas loin mais vraiment epuisé.Un bon coup de masse pis le tour et joué.
      Blague a part merci pour ton aide ca s'en viens(je crois que les mises a jour des logiciels vont en venir a bout)
      0
      1. culturelles2 Messages postés 121 Statut Membre 15 > culturelles2 Messages postés 121 Statut Membre
         
        Mise a jour un scan de rootkit detective de mcafee a retrouvé les 8 rootkit du dernier post
        "C:\WINDOWS\system32\kungsfvgnijejy.dll";"Hidden file";"Object is hidden"
        "C:\WINDOWS\system32\kungsfnkrjufbw.dat.rmv";"Hidden file";"Object is hidden"
        "C:\WINDOWS\system32\kungsfnkrjufbw.dat";"Hidden file";"Object is hidden"
        "C:\WINDOWS\system32\kungsfmodanxob.dll.rmv";"Hidden file";"Object is hidden"
        "C:\WINDOWS\system32\kungsfmodanxob.dll";"Hidden file";"Object is hidden"
        "C:\WINDOWS\system32\drivers\kungsfunbxcpxe.sys.rmv";"Hidden file";"Object is hidden"
        "C:\WINDOWS\system32\drivers\kungsfunbxcpxe.sys";"Hidden file";"Object is hidden"
        "C:\WINDOWS\system32\drivers\kungsfunbxcpxe.sys";"Hidden driver";"Object is hidden"
        Voici un rapport complet de rootkit detective 1.1 de mcafee
        McAfee(R) Rootkit Detective 1.1 scan report
        On 10-06-2009 at 01:53:28
        OS-Version 5.1.2600
        Service Pack 3.0
        ====================================

        Object-Type: SSDT-hook
        Object-Name: ZwCreateKey
        Object-Path: \SystemRoot\System32\drivers\spbb.sys

        Object-Type: SSDT-hook
        Object-Name: ZwEnumerateKey
        Object-Path: \SystemRoot\System32\drivers\spbb.sys

        Object-Type: SSDT-hook
        Object-Name: ZwEnumerateValueKey
        Object-Path: \SystemRoot\System32\drivers\spbb.sys

        Object-Type: SSDT-hook
        Object-Name: ZwOpenKey
        Object-Path: \SystemRoot\System32\drivers\spbb.sys

        Object-Type: SSDT-hook
        Object-Name: ZwQueryKey
        Object-Path: \SystemRoot\System32\drivers\spbb.sys

        Object-Type: SSDT-hook
        Object-Name: ZwQueryValueKey
        Object-Path: \SystemRoot\System32\drivers\spbb.sys

        Object-Type: SSDT-hook
        Object-Name: ZwSetValueKey
        Object-Path: \SystemRoot\System32\drivers\spbb.sys

        Object-Type: IRP-hook
        Object-Name: \Driver\Ftdisk->IRP_MJ_SYSTEM_CONTROL
        Object-Path:

        Object-Type: IRP-hook
        Object-Name: \Driver\Ftdisk->IRP_MJ_POWER
        Object-Path:

        Object-Type: IRP-hook
        Object-Name: \Driver\Ftdisk->IRP_MJ_CLEANUP
        Object-Path:

        Object-Type: IRP-hook
        Object-Name: \Driver\Ftdisk->IRP_MJ_SHUTDOWN
        Object-Path:

        Object-Type: IRP-hook
        Object-Name: \Driver\Ftdisk->IRP_MJ_INTERNAL_DEVICE_CONTROL
        Object-Path:

        Object-Type: IRP-hook
        Object-Name: \Driver\Ftdisk->IRP_MJ_DEVICE_CONTROL
        Object-Path:

        Object-Type: IRP-hook
        Object-Name: \Driver\Ftdisk->IRP_MJ_FLUSH_BUFFERS
        Object-Path:

        Object-Type: IRP-hook
        Object-Name: \Driver\Ftdisk->IRP_MJ_WRITE
        Object-Path:

        Object-Type: IRP-hook
        Object-Name: \Driver\Ftdisk->IRP_MJ_READ
        Object-Path:

        Object-Type: IRP-hook
        Object-Name: \Driver\Ftdisk->IRP_MJ_CREATE
        Object-Path:

        Object-Type: Registry-key
        Object-Name: mainMJ_CREATE
        Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kungsfyenktlrr\main
        Status: Hidden

        Object-Type: Registry-key
        Object-Name: modulesControlSet001\Services\kungsfyenktlrr\main
        Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kungsfyenktlrr\modules
        Status: Hidden

        Object-Type: Registry-value
        Object-Name: start
        Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kungsfyenktlrr
        Status: Hidden

        Object-Type: Registry-value
        Object-Name: type
        Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kungsfyenktlrr
        Status: Hidden

        Object-Type: Registry-value
        Object-Name: group
        Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kungsfyenktlrr
        Status: Hidden

        Object-Type: Registry-value
        Object-Name: imagepath
        Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kungsfyenktlrr
        Status: Hidden

        Object-Type: Registry-value
        Object-Name: (Default)
        Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg
        Status: Unable to access registry key

        Object-Type: Registry-key
        Object-Name: 0D79C293C1ED61418462E24595C90D04td\Cfg
        Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
        Status: Hidden

        Object-Type: Registry-value
        Object-Name: (Default)
        Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
        Status: Unable to access registry key

        Object-Type: Registry-value
        Object-Name: h0
        Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
        Status: Hidden

        Object-Type: Registry-value
        Object-Name: ujdew
        Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
        Status: Hidden

        Object-Type: Registry-value
        Object-Name: s1
        Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg
        Status: Hidden

        Object-Type: Registry-value
        Object-Name: s2
        Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg
        Status: Hidden

        Object-Type: Registry-value
        Object-Name: g0
        Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg
        Status: Hidden

        Object-Type: Registry-value
        Object-Name: h0
        Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg
        Status: Hidden
        0
  11. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    Pour fusionner:

    http://img.photobucket.com/albums/v666/sUBs/CFScript.gif

    _______________

    telecharge combofix:

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    Sauvegarde le sur ton bureau et pas ailleurs !

    _________________

    Ferme tous tes navigateurs (donc copie ou imprime les instructions avant)

    Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

    Collect::
    C:\WINDOWS\system32\kungsfvgnijejy.dll
    C:\WINDOWS\system32\kungsfnkrjufbw.dat.rmv
    C:\WINDOWS\system32\kungsfnkrjufbw.dat
    C:\WINDOWS\system32\kungsfmodanxob.dll.rmv
    C:\WINDOWS\system32\kungsfmodanxob.dll
    C:\WINDOWS\system32\drivers\kungsfunbxcpxe.sys.rmv
    C:\WINDOWS\system32\drivers\kungsfunbxcpxe.sys
    Driver ::
    kungsfunbxcpxe
    File::
    C:\WINDOWS\system32\kungsfvgnijejy.dll
    C:\WINDOWS\system32\kungsfnkrjufbw.dat.rmv
    C:\WINDOWS\system32\kungsfnkrjufbw.dat
    C:\WINDOWS\system32\kungsfmodanxob.dll.rmv
    C:\WINDOWS\system32\kungsfmodanxob.dll
    C:\WINDOWS\system32\drivers\kungsfunbxcpxe.sys.rmv
    C:\WINDOWS\system32\drivers\kungsfunbxcpxe.sys
    C:\WINDOWS\system32\drivers\kungsfunbxcpxe.sys

    Enregistre ce fichier sous le nom CFscript

    Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe

    Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

    Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

    Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

    Ne touche à rien tant que le scan n'est pas terminé.

    Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

    Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
    0
    1. culturelles2 Messages postés 121 Statut Membre 15
       
      Merci combofix aurait surement marché mais je n'avais pas remarqué que mcafee a renommé les registre.J'ai fais des teste sur google ca prends plusieurs recherche mais ca reviens.J'ai remarqué que les files qui commence par kungs traine un peu partout ex:system32,system etc...mais les anti-virus ne l'AIS CLASSE pas comme malware.Je l'ai enleve manuellement mais j'ai bien peur que ca revienne.Ca se regenere et change mes registres de mon ordi. . Mon ordi est de moins en moins stable.
      0
      1. culturelles2 Messages postés 121 Statut Membre 15 > culturelles2 Messages postés 121 Statut Membre
         
        mise a jour j'ai enleve tous les fichiers,registre etc qui commancais par kungs ou tdss et fais un scan de superantispyware qui a trouvé 3 trojan unknow origin et fais un reboot et paf maintenant google n'ais plus redirigé.Merci jlpjlp pour ton aide.Mon ordi. va pas numero 1 car ca ete dur sur lui mais au moins ils est guerris.
        Alors pour ceux qui sont redirigé sur google faite des scan de rootkit ici: http://www.solveithere.com/Removaltools/antirootkits.html Moi mcafee a trouve plein.malrarbytes avg et superantispyware mon aidé.
        Eliminé les donnes commencant par kungs et cherché si vous avez un virus nommez tdss.
        beaucoup de reboot seraon demandeé car le virus ce regenere.
        0
  12. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok parfait!
    0