Infection pc
Résolu
quicker
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour,
Je suis sous WIN XP SP3
Depuis un certain temps mon pc au demarrage m'affiche des messages d'erreur type c:win\syst32\KOZEZUPO.dll ou RIBEMAGO.dll et d'autres...
J'ai fais des analyses antivirus, plusieurs logiciels anti spyware trojan, comme spybot ad-aware, spyrware pc doctor.
Et rien ne change. Si quelqu'un pouvait me venir en aide!!!!!!!!
Voici un rapport Hijackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:13:57, on 20/06/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\Documents and Settings\yannick creusot\Bureau\PampersPregnancyWidget.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wbem\unsecapp.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [WinPatrol] C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe -expressboot
O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Pampers Pregnancy Widget.lnk = C:\Documents and Settings\yannick creusot\Bureau\PampersPregnancyWidget.exe
O4 - Startup: Yahoo! Widgets.lnk = C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{52441C7C-E5B9-4D6F-A48A-236A4BC93B2D}: NameServer = 212.27.53.252,212.27.54.252
O20 - AppInit_DLLs: c:\windows\system32\vegozadi.dll,,c:\windows\system32\sujibiwi.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: Google Update Service (gupdate1c9087ee8c5a21c) (gupdate1c9087ee8c5a21c) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
Je suis sous WIN XP SP3
Depuis un certain temps mon pc au demarrage m'affiche des messages d'erreur type c:win\syst32\KOZEZUPO.dll ou RIBEMAGO.dll et d'autres...
J'ai fais des analyses antivirus, plusieurs logiciels anti spyware trojan, comme spybot ad-aware, spyrware pc doctor.
Et rien ne change. Si quelqu'un pouvait me venir en aide!!!!!!!!
Voici un rapport Hijackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:13:57, on 20/06/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\Documents and Settings\yannick creusot\Bureau\PampersPregnancyWidget.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wbem\unsecapp.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [WinPatrol] C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe -expressboot
O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Pampers Pregnancy Widget.lnk = C:\Documents and Settings\yannick creusot\Bureau\PampersPregnancyWidget.exe
O4 - Startup: Yahoo! Widgets.lnk = C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{52441C7C-E5B9-4D6F-A48A-236A4BC93B2D}: NameServer = 212.27.53.252,212.27.54.252
O20 - AppInit_DLLs: c:\windows\system32\vegozadi.dll,,c:\windows\system32\sujibiwi.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: Google Update Service (gupdate1c9087ee8c5a21c) (gupdate1c9087ee8c5a21c) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
A voir également:
- Infection pc
- Reinitialiser pc - Guide
- Pc lent - Guide
- Downloader for pc - Télécharger - Téléchargement & Transfert
- Test performance pc - Guide
- Double ecran pc - Guide
57 réponses
Bonjour j'ai fait la manip et voici le rapport
C:\Documents and Settings\-t\DoctorWeb\Quarantine\Process.exe Win32/PrcView application nettoyé par suppression - mis en quarantaine
C:\Documents and Settings\-\DoctorWeb\Quarantine\SDFix.exe Win32/PrcView application supprimé - mis en quarantaine
C:\Qoobox\Quarantine\C\WINDOWS\system32\otenipev.ini.vir Win32/Adware.Virtumonde.NEO application nettoyé par suppression - mis en quarantaine
C:\Qoobox\Quarantine\C\WINDOWS\system32\ukahogak.ini.vir Win32/Adware.Virtumonde.NEO application nettoyé par suppression - mis en quarantaine
C:\System Volume Information\_restore{D26B2554-A21D-4D5E-B071-8EFF73F4461A}\RP446\A0054216.ini Win32/Adware.Virtumonde.NEO application nettoyé par suppression - mis en quarantaine
C:\System Volume Information\_restore{D26B2554-A21D-4D5E-B071-8EFF73F4461A}\RP446\A0054217.ini Win32/Adware.Virtumonde.NEO application nettoyé par suppression - mis en quarantaine
C:\System Volume Information\_restore{D26B2554-A21D-4D5E-B071-8EFF73F4461A}\RP446\A0054521.exe Win32/PrcView application nettoyé par suppression - mis en quarantaine
C:\System Volume Information\_restore{D26B2554-A21D-4D5E-B071-8EFF73F4461A}\RP447\A0054595.exe Win32/PrcView application nettoyé par suppression - mis en quarantaine
C:\System Volume Information\_restore{D26B2554-A21D-4D5E-B071-8EFF73F4461A}\RP447\A0054596.exe Win32/PrcView application supprimé - mis en quarantaine
Voila, est ce bon ou pas?
Merci
C:\Documents and Settings\-t\DoctorWeb\Quarantine\Process.exe Win32/PrcView application nettoyé par suppression - mis en quarantaine
C:\Documents and Settings\-\DoctorWeb\Quarantine\SDFix.exe Win32/PrcView application supprimé - mis en quarantaine
C:\Qoobox\Quarantine\C\WINDOWS\system32\otenipev.ini.vir Win32/Adware.Virtumonde.NEO application nettoyé par suppression - mis en quarantaine
C:\Qoobox\Quarantine\C\WINDOWS\system32\ukahogak.ini.vir Win32/Adware.Virtumonde.NEO application nettoyé par suppression - mis en quarantaine
C:\System Volume Information\_restore{D26B2554-A21D-4D5E-B071-8EFF73F4461A}\RP446\A0054216.ini Win32/Adware.Virtumonde.NEO application nettoyé par suppression - mis en quarantaine
C:\System Volume Information\_restore{D26B2554-A21D-4D5E-B071-8EFF73F4461A}\RP446\A0054217.ini Win32/Adware.Virtumonde.NEO application nettoyé par suppression - mis en quarantaine
C:\System Volume Information\_restore{D26B2554-A21D-4D5E-B071-8EFF73F4461A}\RP446\A0054521.exe Win32/PrcView application nettoyé par suppression - mis en quarantaine
C:\System Volume Information\_restore{D26B2554-A21D-4D5E-B071-8EFF73F4461A}\RP447\A0054595.exe Win32/PrcView application nettoyé par suppression - mis en quarantaine
C:\System Volume Information\_restore{D26B2554-A21D-4D5E-B071-8EFF73F4461A}\RP447\A0054596.exe Win32/PrcView application supprimé - mis en quarantaine
Voila, est ce bon ou pas?
Merci
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
j'ai ca comme premier rapport
Rapport GenProc 2.594 [7] - 22/06/2009 à 17:28:35
@ Windows XP Service Pack 3 - Mode normal
@ Internet Explorer (6.0.2900.5512) [Navigateur par défaut]
GenProc n'a détecté aucune infection caractéristique et suggère de suivre la procédure suivante :
Poste un rapport Nod32 https://www.eset.com/ (il faut utiliser Internet Explorer)
- coche toutes les cases à chaque fois, et lorsque c'est terminé, colle le rapport :
- C:\Program Files\EsetOnlineScanner\log.txt
----------------------------------------------------------------------
Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com
----------------------------------------------------------------------
~~ Fin à 17:30:09 ~~
Rapport GenProc 2.594 [7] - 22/06/2009 à 17:28:35
@ Windows XP Service Pack 3 - Mode normal
@ Internet Explorer (6.0.2900.5512) [Navigateur par défaut]
GenProc n'a détecté aucune infection caractéristique et suggère de suivre la procédure suivante :
Poste un rapport Nod32 https://www.eset.com/ (il faut utiliser Internet Explorer)
- coche toutes les cases à chaque fois, et lorsque c'est terminé, colle le rapport :
- C:\Program Files\EsetOnlineScanner\log.txt
----------------------------------------------------------------------
Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com
----------------------------------------------------------------------
~~ Fin à 17:30:09 ~~
Créer un doc texte sur ton bureau :
pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .
Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :
File::
c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\ThreatWork\Submit\kozezupo.dll
C:\WINDOWS\system32\ribemago.dll
Puis va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valide ...
* Nettoyage :
!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!
--->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .
(Regarde ici : http://img.photobucket.com/albums/v666/sUBs/CFScript.gif )
Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tape 1 puis valide.
Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)
!! Ne touches à rien tant que le scan n'est pas terminé !!
Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse ...
( Attention : cette manipe a été faite pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )
pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .
Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :
File::
c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\ThreatWork\Submit\kozezupo.dll
C:\WINDOWS\system32\ribemago.dll
Puis va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valide ...
* Nettoyage :
!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!
--->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .
(Regarde ici : http://img.photobucket.com/albums/v666/sUBs/CFScript.gif )
Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tape 1 puis valide.
Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)
!! Ne touches à rien tant que le scan n'est pas terminé !!
Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse ...
( Attention : cette manipe a été faite pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )
c'est fait mais il me dit que la console de recuperation n'est pas activé. Grave ou pas?
voici le rapport merci:
ComboFix 09-06-19.01 - yannick creusot 22/06/2009 20:10.3 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1023.689 [GMT 2:00]
Lancé depuis: c:\documents and settings\yannick creusot\Bureau\Combofix.exe
Commutateurs utilisés :: c:\documents and settings\yannick creusot\Bureau\CFScript.txt
AV: Kaspersky Anti-Virus *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
FILE ::
"c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\ThreatWork\Submit\kozezupo.dll"
"c:\windows\system32\ribemago.dll"
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\ThreatWork\Submit\kozezupo.dll
.
((((((((((((((((((((((((((((( Fichiers créés du 2009-05-22 au 2009-06-22 ))))))))))))))))))))))))))))))))))))
.
2009-06-21 17:11 . 2009-06-22 15:28 -------- d-----w- C:\GenProc
2009-06-21 15:51 . 2009-06-21 16:16 -------- d-----w- c:\windows\BDOSCAN8
2009-06-21 09:31 . 2009-06-21 13:15 -------- d-----w- c:\documents and settings\yannick creusot\DoctorWeb
2009-06-20 19:12 . 2009-06-20 19:12 579584 -c--a-w- c:\windows\system32\dllcache\user32.dll
2009-06-20 19:10 . 2009-06-20 19:10 -------- d-----w- c:\windows\ERUNT
2009-06-20 18:39 . 2009-06-20 19:22 -------- d-----w- C:\SDFix
2009-06-20 18:24 . 2009-06-20 18:24 -------- d-----w- C:\rsit
2009-06-13 14:33 . 2008-12-11 06:38 159600 ----a-w- c:\windows\system32\drivers\pctgntdi.sys
2009-06-13 14:33 . 2009-04-03 09:18 130936 ----a-w- c:\windows\system32\drivers\PCTCore.sys
2009-06-13 14:33 . 2008-12-18 10:16 73840 ----a-w- c:\windows\system32\drivers\PCTAppEvent.sys
2009-06-13 14:33 . 2009-06-20 17:35 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP
2009-06-13 14:32 . 2009-06-13 14:34 -------- d-----w- c:\program files\Fichiers communs\PC Tools
2009-06-13 14:32 . 2008-12-10 09:36 64392 ----a-w- c:\windows\system32\drivers\pctplsg.sys
2009-06-13 14:32 . 2009-06-20 07:28 -------- d-----w- c:\program files\Spyware Doctor
2009-06-13 14:32 . 2009-06-13 14:32 -------- d-----w- c:\documents and settings\yannick creusot\Application Data\PC Tools
2009-06-13 14:32 . 2009-06-13 14:32 -------- d-----w- c:\documents and settings\All Users\Application Data\PC Tools
2009-06-11 15:18 . 2009-06-19 12:57 -------- d-----w- c:\program files\Ahead DVD Ripper
2009-06-06 14:27 . 2009-06-06 14:27 33808 ----a-w- c:\documents and settings\All Users\Application Data\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.506\klbg.sys
2009-06-06 14:27 . 2009-06-06 14:27 206088 ----a-w- c:\documents and settings\All Users\Application Data\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.506\avp.exe
2009-06-06 14:27 . 2009-06-06 14:27 226832 ----a-w- c:\documents and settings\All Users\Application Data\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.506\XP\klif.sys
2009-06-06 14:19 . 2009-06-06 14:27 94643 ----a-w- c:\windows\system32\drivers\klick.dat
2009-06-06 14:19 . 2009-06-06 14:27 105395 ----a-w- c:\windows\system32\drivers\klin.dat
2009-06-06 14:18 . 2009-06-22 15:18 -------- d-----w- c:\documents and settings\All Users\Application Data\Kaspersky Lab
2009-06-06 14:18 . 2009-06-22 15:16 548896 --sha-w- c:\windows\system32\drivers\fidbox2.dat
2009-06-06 14:18 . 2009-06-22 15:16 2254368 --sha-w- c:\windows\system32\drivers\fidbox.dat
2009-06-06 12:20 . 2009-06-06 19:44 -------- d-----w- c:\program files\Loaris Trojan Remover
2009-05-29 17:48 . 2009-05-29 17:48 15688 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\lsdelete.exe
2009-05-29 17:48 . 2009-05-29 17:48 83808 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\ShellExt.dll
2009-05-29 17:48 . 2009-05-29 17:48 40288 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\PrivacyClean.dll
2009-05-29 17:48 . 2009-05-29 17:48 212848 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\RPAPI.dll
2009-05-29 17:20 . 2009-05-29 17:20 -------- d-----w- c:\documents and settings\yannick creusot\Application Data\MSN6
2009-05-29 17:20 . 2009-05-29 17:20 -------- d-----w- c:\documents and settings\All Users\Application Data\MSN6
2009-05-28 20:38 . 2009-05-28 20:38 -------- d-----w- c:\documents and settings\yannick creusot\Application Data\VitySoft
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-22 15:16 . 2009-06-06 14:18 2956 --sha-w- c:\windows\system32\drivers\fidbox2.idx
2009-06-22 15:16 . 2009-06-06 14:18 18692 --sha-w- c:\windows\system32\drivers\fidbox.idx
2009-06-21 08:14 . 2009-06-21 08:14 0 --sh--w- c:\windows\SEA7077AE.tmp
2009-06-20 12:43 . 2008-02-26 11:31 -------- d-----w- c:\documents and settings\yannick creusot\Application Data\U3
2009-06-20 12:29 . 2008-04-20 11:51 110592 ----a-w- c:\documents and settings\yannick creusot\Application Data\U3\temp\cleanup.exe
2009-06-20 07:31 . 2008-12-13 09:08 -------- d-----w- c:\documents and settings\yannick creusot\Application Data\FrostWire
2009-06-13 13:48 . 2009-06-13 13:48 844134 ----a-w- c:\windows\system32\rn.tmp
2009-06-09 15:40 . 2008-03-02 12:40 -------- d-----w- c:\documents and settings\yannick creusot\Application Data\dvdcss
2009-06-06 14:27 . 2008-01-29 15:29 33808 ----a-w- c:\windows\system32\drivers\klbg.sys
2009-06-06 14:18 . 2008-02-26 11:46 -------- d-----w- c:\program files\Kaspersky Lab
2009-06-06 13:24 . 2008-02-26 14:24 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-06-06 13:24 . 2008-02-26 14:24 -------- d-----w- c:\program files\Spybot - Search & Destroy
2009-06-06 13:08 . 2009-02-21 08:54 -------- d-----w- c:\documents and settings\All Users\Application Data\Kaspersky Lab Setup Files
2009-06-06 12:54 . 2009-05-07 19:04 -------- d-----w- c:\program files\ZebHelpProcess
2009-06-01 08:04 . 2008-06-13 14:53 -------- d-----w- c:\program files\Google
2009-05-13 12:38 . 2009-05-13 12:38 52228 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\ThreatWork\Submit\nifodiyu.exe
2009-05-13 12:38 . 2009-05-13 12:38 88580 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\ThreatWork\Submit\haditapo.dll
2009-05-13 12:38 . 2009-05-13 12:38 52228 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\ThreatWork\Submit\jevaziji.exe
2009-05-13 12:38 . 2009-05-13 12:38 49668 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\ThreatWork\Submit\kozafuli.dll
2009-05-13 12:38 . 2009-05-13 12:38 49668 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\ThreatWork\Submit\dowuvedo.dll
2009-05-11 16:28 . 2008-09-13 13:24 -------- d-----w- c:\program files\Tomtomax Maxi-Box
2009-05-08 19:05 . 2009-05-08 19:04 -------- d-----w- c:\documents and settings\yannick creusot\Application Data\vlc
2009-05-08 07:24 . 2009-05-08 07:24 -------- d-----w- c:\program files\Trend Micro
2009-05-07 19:04 . 2009-05-07 19:04 -------- d-----w- c:\program files\Fichiers communs\Borland Shared
2009-05-07 15:33 . 2001-08-28 12:00 348672 ----a-w- c:\windows\system32\localspl.dll
2009-05-04 17:12 . 2008-02-26 14:09 -------- d-----w- c:\program files\CCleaner
2009-05-01 17:48 . 2009-05-01 17:46 -------- d-----w- c:\documents and settings\All Users\Application Data\Lavasoft
2009-05-01 17:48 . 2009-05-01 19:11 15688 ----a-w- c:\windows\system32\lsdelete.exe
2009-05-01 17:48 . 2009-05-01 17:48 64160 ----a-w- c:\windows\system32\drivers\Lbd.sys
2009-05-01 17:48 . 2009-05-01 17:48 64160 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\Drivers\32\lbd.sys
2009-05-01 17:47 . 2009-05-01 17:47 -------- dc-h--w- c:\documents and settings\All Users\Application Data\{83C91755-2546-441D-AC40-9A6B4B860800}
2009-05-01 17:46 . 2008-02-26 14:23 -------- d-----w- c:\program files\Lavasoft
2009-04-29 04:34 . 2001-08-28 12:00 670720 ----a-w- c:\windows\system32\wininet.dll
2009-04-29 04:34 . 2004-08-19 23:09 81920 ------w- c:\windows\system32\ieencode.dll
2009-04-25 11:08 . 2009-04-23 08:22 -------- d-----w- c:\documents and settings\All Users\Application Data\POPWWPROFILES
2009-04-19 19:50 . 2001-08-28 12:00 1847296 ----a-w- c:\windows\system32\win32k.sys
2009-04-15 14:55 . 2001-08-28 12:00 71488 ----a-w- c:\windows\system32\perfc00C.dat
2009-04-15 14:55 . 2001-08-28 12:00 458648 ----a-w- c:\windows\system32\perfh00C.dat
2009-04-15 14:53 . 2008-02-26 12:17 585216 ----a-w- c:\windows\system32\rpcrt4.dll
.
((((((((((((((((((((((((((((( SnapShot@2009-06-20_17.43.30 )))))))))))))))))))))))))))))))))))))))))
.
+ 2006-05-24 23:21 . 2006-05-24 23:21 53248 c:\windows\Downloaded Program Files\ipsupd.dll
+ 2006-05-24 23:22 . 2006-05-24 23:22 53248 c:\windows\bdoscandel.exe
+ 2009-06-21 15:52 . 2009-06-21 15:52 86016 c:\windows\BDOSCAN8\librtvr.dll
+ 2006-05-24 23:21 . 2006-05-24 23:21 53248 c:\windows\BDOSCAN8\ipsupd.dll
+ 2009-06-21 15:52 . 2009-06-21 15:52 27136 c:\windows\BDOSCAN8\avxt.dll
+ 2009-06-21 15:52 . 2009-06-21 15:52 10240 c:\windows\BDOSCAN8\avxs.dll
+ 2009-06-21 15:52 . 2009-06-21 15:52 45056 c:\windows\BDOSCAN8\avxdisk.dll
+ 2009-06-20 19:10 . 2009-06-20 19:10 155648 c:\windows\ERUNT\SDFIX_First_Run\Users\[u]0/u0000002\UsrClass.dat
+ 2009-06-20 19:10 . 2008-08-07 13:27 163328 c:\windows\ERUNT\SDFIX_First_Run\ERDNT.EXE
+ 2009-06-20 19:10 . 2009-06-20 19:10 155648 c:\windows\ERUNT\SDFIX\Users\[u]0/u0000002\UsrClass.dat
+ 2009-06-20 19:10 . 2008-08-07 13:27 163328 c:\windows\ERUNT\SDFIX\ERDNT.EXE
+ 2006-05-24 23:21 . 2006-05-24 23:21 118784 c:\windows\Downloaded Program Files\bdupd.dll
+ 2004-12-07 15:07 . 2009-06-21 15:52 142848 c:\windows\BDOSCAN8\libfn.dll
+ 2006-05-24 23:21 . 2006-05-24 23:21 118784 c:\windows\BDOSCAN8\bdupd.dll
+ 2004-12-07 15:07 . 2009-06-21 15:52 102400 c:\windows\BDOSCAN8\bdcore.dll
+ 2009-06-20 19:10 . 2009-06-20 19:10 7319552 c:\windows\ERUNT\SDFIX_First_Run\Users\[u]0/u0000001\NTUSER.DAT
+ 2009-06-20 19:10 . 2009-06-20 19:10 7319552 c:\windows\ERUNT\SDFIX\Users\[u]0/u0000001\NTUSER.DAT
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinPatrol"="c:\program files\BillP Studios\WinPatrol\winpatrol.exe" [2009-04-20 337216]
"Ad-Watch"="c:\program files\Lavasoft\Ad-Aware\AAWTray.exe" [2009-06-19 518488]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-12-05 8523776]
"AVP"="c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe" [2009-06-06 206088]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
c:\documents and settings\yannick creusot\Menu D‚marrer\Programmes\D‚marrage\
Pampers Pregnancy Widget.lnk - c:\documents and settings\yannick creusot\Bureau\PampersPregnancyWidget.exe [2009-1-5 4924787]
Yahoo! Widgets.lnk - c:\program files\Yahoo!\Widgets\YahooWidgets.exe [2007-12-12 3746856]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]
@=""
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]
@=""
[HKLM\~\startupfolder\C:^Documents and Settings^yannick creusot^Menu Démarrer^Programmes^Démarrage^Pampers Pregnancy Widget.lnk]
path=c:\documents and settings\yannick creusot\Menu Démarrer\Programmes\Démarrage\Pampers Pregnancy Widget.lnk
backup=c:\windows\pss\Pampers Pregnancy Widget.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\HomePlayer1.5.4\\HomePlayer.exe"=
"c:\\Program Files\\Freeplayer\\vlc\\vlc.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\program files\uTorrent\uTorrent.exe"= c:\program files\uTorrent\uTorrent.exe:89.226.204.137/255.255.255.255:Enabled:µTorrent
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\FrostWire\\FrostWire.exe"=
"c:\\Program Files\\Sony\\Media Manager for WALKMAN\\MediaManager.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Pando Networks\\Pando\\pando.exe"=
"c:\\Program Files\\Google\\Update\\GoogleUpdate.exe"=
"c:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus 2009\\avp.exe"=
"c:\\Program Files\\Java\\jre1.6.0_03\\launch4j-tmp\\frd.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"57488:TCP"= 57488:TCP:Pando P2P TCP Listening Port
"57488:UDP"= 57488:UDP:Pando P2P UDP Listening Port
"6881:TCP"= 6881:TCP:azureus
"8080:TCP"= 8080:TCP:freeplayer
"56680:TCP"= 56680:TCP:Pando P2P TCP Listening Port
"56680:UDP"= 56680:UDP:Pando P2P UDP Listening Port
R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [29/01/2008 17:29 33808]
R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [01/05/2009 19:48 64160]
R0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [13/06/2009 16:33 130936]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [30/04/2008 17:06 24592]
S2 gupdate1c9087ee8c5a21c;Google Update Service (gupdate1c9087ee8c5a21c);c:\program files\Google\Update\GoogleUpdate.exe [27/08/2008 21:55 133104]
S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [18/01/2009 23:34 1003344]
S3 adiusbae;USB ADSL LAN Adapter;c:\windows\system32\DRIVERS\adiusbae.sys --> c:\windows\system32\DRIVERS\adiusbae.sys [?]
S3 fbxusb;FreeBox USB Network Adapter;c:\windows\system32\drivers\fbxusb.sys [01/08/2008 18:46 18953]
S3 sdAuxService;PC Tools Auxiliary Service;c:\program files\Spyware Doctor\pctsAuxs.exe [13/06/2009 16:32 348752]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\e:\ntglm7x.sys --> e:\NTGLM7X.sys [?]
S4 spupdsvc;Windows Service Pack Installer update service;c:\windows\system32\spupdsvc.exe [26/02/2008 15:24 26488]
.
Contenu du dossier 'Tâches planifiées'
2009-06-22 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-01-18 17:48]
2009-06-22 c:\windows\Tasks\GoogleUpdateTaskMachine.job
- c:\program files\Google\Update\GoogleUpdate.exe [2008-08-27 05:33]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://fr.yahoo.com/
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000
IE: Easy-WebPrint Ajouter à la liste d'impressions - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
IE: Easy-WebPrint Impression rapide - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
IE: Easy-WebPrint Imprimer - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
IE: Easy-WebPrint Prévisualiser - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
Trusted Zone: secuser.com\www
TCP: {52441C7C-E5B9-4D6F-A48A-236A4BC93B2D} = 212.27.53.252,212.27.54.252
DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - hxxp://download.eset.com/special/eos/OnlineScanner.cab
FF - ProfilePath -
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-22 20:13
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
Heure de fin: 2009-06-22 20:14
ComboFix-quarantined-files.txt 2009-06-22 18:14
ComboFix2.txt 2009-06-21 08:17
ComboFix3.txt 2009-06-20 17:46
Avant-CF: 7 426 617 344 octets libres
Après-CF: 7 472 484 352 octets libres
214 --- E O F --- 2009-06-20 13:03
voici le rapport merci:
ComboFix 09-06-19.01 - yannick creusot 22/06/2009 20:10.3 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1023.689 [GMT 2:00]
Lancé depuis: c:\documents and settings\yannick creusot\Bureau\Combofix.exe
Commutateurs utilisés :: c:\documents and settings\yannick creusot\Bureau\CFScript.txt
AV: Kaspersky Anti-Virus *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
FILE ::
"c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\ThreatWork\Submit\kozezupo.dll"
"c:\windows\system32\ribemago.dll"
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\ThreatWork\Submit\kozezupo.dll
.
((((((((((((((((((((((((((((( Fichiers créés du 2009-05-22 au 2009-06-22 ))))))))))))))))))))))))))))))))))))
.
2009-06-21 17:11 . 2009-06-22 15:28 -------- d-----w- C:\GenProc
2009-06-21 15:51 . 2009-06-21 16:16 -------- d-----w- c:\windows\BDOSCAN8
2009-06-21 09:31 . 2009-06-21 13:15 -------- d-----w- c:\documents and settings\yannick creusot\DoctorWeb
2009-06-20 19:12 . 2009-06-20 19:12 579584 -c--a-w- c:\windows\system32\dllcache\user32.dll
2009-06-20 19:10 . 2009-06-20 19:10 -------- d-----w- c:\windows\ERUNT
2009-06-20 18:39 . 2009-06-20 19:22 -------- d-----w- C:\SDFix
2009-06-20 18:24 . 2009-06-20 18:24 -------- d-----w- C:\rsit
2009-06-13 14:33 . 2008-12-11 06:38 159600 ----a-w- c:\windows\system32\drivers\pctgntdi.sys
2009-06-13 14:33 . 2009-04-03 09:18 130936 ----a-w- c:\windows\system32\drivers\PCTCore.sys
2009-06-13 14:33 . 2008-12-18 10:16 73840 ----a-w- c:\windows\system32\drivers\PCTAppEvent.sys
2009-06-13 14:33 . 2009-06-20 17:35 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP
2009-06-13 14:32 . 2009-06-13 14:34 -------- d-----w- c:\program files\Fichiers communs\PC Tools
2009-06-13 14:32 . 2008-12-10 09:36 64392 ----a-w- c:\windows\system32\drivers\pctplsg.sys
2009-06-13 14:32 . 2009-06-20 07:28 -------- d-----w- c:\program files\Spyware Doctor
2009-06-13 14:32 . 2009-06-13 14:32 -------- d-----w- c:\documents and settings\yannick creusot\Application Data\PC Tools
2009-06-13 14:32 . 2009-06-13 14:32 -------- d-----w- c:\documents and settings\All Users\Application Data\PC Tools
2009-06-11 15:18 . 2009-06-19 12:57 -------- d-----w- c:\program files\Ahead DVD Ripper
2009-06-06 14:27 . 2009-06-06 14:27 33808 ----a-w- c:\documents and settings\All Users\Application Data\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.506\klbg.sys
2009-06-06 14:27 . 2009-06-06 14:27 206088 ----a-w- c:\documents and settings\All Users\Application Data\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.506\avp.exe
2009-06-06 14:27 . 2009-06-06 14:27 226832 ----a-w- c:\documents and settings\All Users\Application Data\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.506\XP\klif.sys
2009-06-06 14:19 . 2009-06-06 14:27 94643 ----a-w- c:\windows\system32\drivers\klick.dat
2009-06-06 14:19 . 2009-06-06 14:27 105395 ----a-w- c:\windows\system32\drivers\klin.dat
2009-06-06 14:18 . 2009-06-22 15:18 -------- d-----w- c:\documents and settings\All Users\Application Data\Kaspersky Lab
2009-06-06 14:18 . 2009-06-22 15:16 548896 --sha-w- c:\windows\system32\drivers\fidbox2.dat
2009-06-06 14:18 . 2009-06-22 15:16 2254368 --sha-w- c:\windows\system32\drivers\fidbox.dat
2009-06-06 12:20 . 2009-06-06 19:44 -------- d-----w- c:\program files\Loaris Trojan Remover
2009-05-29 17:48 . 2009-05-29 17:48 15688 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\lsdelete.exe
2009-05-29 17:48 . 2009-05-29 17:48 83808 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\ShellExt.dll
2009-05-29 17:48 . 2009-05-29 17:48 40288 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\PrivacyClean.dll
2009-05-29 17:48 . 2009-05-29 17:48 212848 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\RPAPI.dll
2009-05-29 17:20 . 2009-05-29 17:20 -------- d-----w- c:\documents and settings\yannick creusot\Application Data\MSN6
2009-05-29 17:20 . 2009-05-29 17:20 -------- d-----w- c:\documents and settings\All Users\Application Data\MSN6
2009-05-28 20:38 . 2009-05-28 20:38 -------- d-----w- c:\documents and settings\yannick creusot\Application Data\VitySoft
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-22 15:16 . 2009-06-06 14:18 2956 --sha-w- c:\windows\system32\drivers\fidbox2.idx
2009-06-22 15:16 . 2009-06-06 14:18 18692 --sha-w- c:\windows\system32\drivers\fidbox.idx
2009-06-21 08:14 . 2009-06-21 08:14 0 --sh--w- c:\windows\SEA7077AE.tmp
2009-06-20 12:43 . 2008-02-26 11:31 -------- d-----w- c:\documents and settings\yannick creusot\Application Data\U3
2009-06-20 12:29 . 2008-04-20 11:51 110592 ----a-w- c:\documents and settings\yannick creusot\Application Data\U3\temp\cleanup.exe
2009-06-20 07:31 . 2008-12-13 09:08 -------- d-----w- c:\documents and settings\yannick creusot\Application Data\FrostWire
2009-06-13 13:48 . 2009-06-13 13:48 844134 ----a-w- c:\windows\system32\rn.tmp
2009-06-09 15:40 . 2008-03-02 12:40 -------- d-----w- c:\documents and settings\yannick creusot\Application Data\dvdcss
2009-06-06 14:27 . 2008-01-29 15:29 33808 ----a-w- c:\windows\system32\drivers\klbg.sys
2009-06-06 14:18 . 2008-02-26 11:46 -------- d-----w- c:\program files\Kaspersky Lab
2009-06-06 13:24 . 2008-02-26 14:24 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-06-06 13:24 . 2008-02-26 14:24 -------- d-----w- c:\program files\Spybot - Search & Destroy
2009-06-06 13:08 . 2009-02-21 08:54 -------- d-----w- c:\documents and settings\All Users\Application Data\Kaspersky Lab Setup Files
2009-06-06 12:54 . 2009-05-07 19:04 -------- d-----w- c:\program files\ZebHelpProcess
2009-06-01 08:04 . 2008-06-13 14:53 -------- d-----w- c:\program files\Google
2009-05-13 12:38 . 2009-05-13 12:38 52228 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\ThreatWork\Submit\nifodiyu.exe
2009-05-13 12:38 . 2009-05-13 12:38 88580 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\ThreatWork\Submit\haditapo.dll
2009-05-13 12:38 . 2009-05-13 12:38 52228 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\ThreatWork\Submit\jevaziji.exe
2009-05-13 12:38 . 2009-05-13 12:38 49668 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\ThreatWork\Submit\kozafuli.dll
2009-05-13 12:38 . 2009-05-13 12:38 49668 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\ThreatWork\Submit\dowuvedo.dll
2009-05-11 16:28 . 2008-09-13 13:24 -------- d-----w- c:\program files\Tomtomax Maxi-Box
2009-05-08 19:05 . 2009-05-08 19:04 -------- d-----w- c:\documents and settings\yannick creusot\Application Data\vlc
2009-05-08 07:24 . 2009-05-08 07:24 -------- d-----w- c:\program files\Trend Micro
2009-05-07 19:04 . 2009-05-07 19:04 -------- d-----w- c:\program files\Fichiers communs\Borland Shared
2009-05-07 15:33 . 2001-08-28 12:00 348672 ----a-w- c:\windows\system32\localspl.dll
2009-05-04 17:12 . 2008-02-26 14:09 -------- d-----w- c:\program files\CCleaner
2009-05-01 17:48 . 2009-05-01 17:46 -------- d-----w- c:\documents and settings\All Users\Application Data\Lavasoft
2009-05-01 17:48 . 2009-05-01 19:11 15688 ----a-w- c:\windows\system32\lsdelete.exe
2009-05-01 17:48 . 2009-05-01 17:48 64160 ----a-w- c:\windows\system32\drivers\Lbd.sys
2009-05-01 17:48 . 2009-05-01 17:48 64160 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\Drivers\32\lbd.sys
2009-05-01 17:47 . 2009-05-01 17:47 -------- dc-h--w- c:\documents and settings\All Users\Application Data\{83C91755-2546-441D-AC40-9A6B4B860800}
2009-05-01 17:46 . 2008-02-26 14:23 -------- d-----w- c:\program files\Lavasoft
2009-04-29 04:34 . 2001-08-28 12:00 670720 ----a-w- c:\windows\system32\wininet.dll
2009-04-29 04:34 . 2004-08-19 23:09 81920 ------w- c:\windows\system32\ieencode.dll
2009-04-25 11:08 . 2009-04-23 08:22 -------- d-----w- c:\documents and settings\All Users\Application Data\POPWWPROFILES
2009-04-19 19:50 . 2001-08-28 12:00 1847296 ----a-w- c:\windows\system32\win32k.sys
2009-04-15 14:55 . 2001-08-28 12:00 71488 ----a-w- c:\windows\system32\perfc00C.dat
2009-04-15 14:55 . 2001-08-28 12:00 458648 ----a-w- c:\windows\system32\perfh00C.dat
2009-04-15 14:53 . 2008-02-26 12:17 585216 ----a-w- c:\windows\system32\rpcrt4.dll
.
((((((((((((((((((((((((((((( SnapShot@2009-06-20_17.43.30 )))))))))))))))))))))))))))))))))))))))))
.
+ 2006-05-24 23:21 . 2006-05-24 23:21 53248 c:\windows\Downloaded Program Files\ipsupd.dll
+ 2006-05-24 23:22 . 2006-05-24 23:22 53248 c:\windows\bdoscandel.exe
+ 2009-06-21 15:52 . 2009-06-21 15:52 86016 c:\windows\BDOSCAN8\librtvr.dll
+ 2006-05-24 23:21 . 2006-05-24 23:21 53248 c:\windows\BDOSCAN8\ipsupd.dll
+ 2009-06-21 15:52 . 2009-06-21 15:52 27136 c:\windows\BDOSCAN8\avxt.dll
+ 2009-06-21 15:52 . 2009-06-21 15:52 10240 c:\windows\BDOSCAN8\avxs.dll
+ 2009-06-21 15:52 . 2009-06-21 15:52 45056 c:\windows\BDOSCAN8\avxdisk.dll
+ 2009-06-20 19:10 . 2009-06-20 19:10 155648 c:\windows\ERUNT\SDFIX_First_Run\Users\[u]0/u0000002\UsrClass.dat
+ 2009-06-20 19:10 . 2008-08-07 13:27 163328 c:\windows\ERUNT\SDFIX_First_Run\ERDNT.EXE
+ 2009-06-20 19:10 . 2009-06-20 19:10 155648 c:\windows\ERUNT\SDFIX\Users\[u]0/u0000002\UsrClass.dat
+ 2009-06-20 19:10 . 2008-08-07 13:27 163328 c:\windows\ERUNT\SDFIX\ERDNT.EXE
+ 2006-05-24 23:21 . 2006-05-24 23:21 118784 c:\windows\Downloaded Program Files\bdupd.dll
+ 2004-12-07 15:07 . 2009-06-21 15:52 142848 c:\windows\BDOSCAN8\libfn.dll
+ 2006-05-24 23:21 . 2006-05-24 23:21 118784 c:\windows\BDOSCAN8\bdupd.dll
+ 2004-12-07 15:07 . 2009-06-21 15:52 102400 c:\windows\BDOSCAN8\bdcore.dll
+ 2009-06-20 19:10 . 2009-06-20 19:10 7319552 c:\windows\ERUNT\SDFIX_First_Run\Users\[u]0/u0000001\NTUSER.DAT
+ 2009-06-20 19:10 . 2009-06-20 19:10 7319552 c:\windows\ERUNT\SDFIX\Users\[u]0/u0000001\NTUSER.DAT
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinPatrol"="c:\program files\BillP Studios\WinPatrol\winpatrol.exe" [2009-04-20 337216]
"Ad-Watch"="c:\program files\Lavasoft\Ad-Aware\AAWTray.exe" [2009-06-19 518488]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-12-05 8523776]
"AVP"="c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe" [2009-06-06 206088]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
c:\documents and settings\yannick creusot\Menu D‚marrer\Programmes\D‚marrage\
Pampers Pregnancy Widget.lnk - c:\documents and settings\yannick creusot\Bureau\PampersPregnancyWidget.exe [2009-1-5 4924787]
Yahoo! Widgets.lnk - c:\program files\Yahoo!\Widgets\YahooWidgets.exe [2007-12-12 3746856]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]
@=""
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]
@=""
[HKLM\~\startupfolder\C:^Documents and Settings^yannick creusot^Menu Démarrer^Programmes^Démarrage^Pampers Pregnancy Widget.lnk]
path=c:\documents and settings\yannick creusot\Menu Démarrer\Programmes\Démarrage\Pampers Pregnancy Widget.lnk
backup=c:\windows\pss\Pampers Pregnancy Widget.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\HomePlayer1.5.4\\HomePlayer.exe"=
"c:\\Program Files\\Freeplayer\\vlc\\vlc.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\program files\uTorrent\uTorrent.exe"= c:\program files\uTorrent\uTorrent.exe:89.226.204.137/255.255.255.255:Enabled:µTorrent
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\FrostWire\\FrostWire.exe"=
"c:\\Program Files\\Sony\\Media Manager for WALKMAN\\MediaManager.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Pando Networks\\Pando\\pando.exe"=
"c:\\Program Files\\Google\\Update\\GoogleUpdate.exe"=
"c:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus 2009\\avp.exe"=
"c:\\Program Files\\Java\\jre1.6.0_03\\launch4j-tmp\\frd.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"57488:TCP"= 57488:TCP:Pando P2P TCP Listening Port
"57488:UDP"= 57488:UDP:Pando P2P UDP Listening Port
"6881:TCP"= 6881:TCP:azureus
"8080:TCP"= 8080:TCP:freeplayer
"56680:TCP"= 56680:TCP:Pando P2P TCP Listening Port
"56680:UDP"= 56680:UDP:Pando P2P UDP Listening Port
R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [29/01/2008 17:29 33808]
R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [01/05/2009 19:48 64160]
R0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [13/06/2009 16:33 130936]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [30/04/2008 17:06 24592]
S2 gupdate1c9087ee8c5a21c;Google Update Service (gupdate1c9087ee8c5a21c);c:\program files\Google\Update\GoogleUpdate.exe [27/08/2008 21:55 133104]
S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [18/01/2009 23:34 1003344]
S3 adiusbae;USB ADSL LAN Adapter;c:\windows\system32\DRIVERS\adiusbae.sys --> c:\windows\system32\DRIVERS\adiusbae.sys [?]
S3 fbxusb;FreeBox USB Network Adapter;c:\windows\system32\drivers\fbxusb.sys [01/08/2008 18:46 18953]
S3 sdAuxService;PC Tools Auxiliary Service;c:\program files\Spyware Doctor\pctsAuxs.exe [13/06/2009 16:32 348752]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\e:\ntglm7x.sys --> e:\NTGLM7X.sys [?]
S4 spupdsvc;Windows Service Pack Installer update service;c:\windows\system32\spupdsvc.exe [26/02/2008 15:24 26488]
.
Contenu du dossier 'Tâches planifiées'
2009-06-22 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-01-18 17:48]
2009-06-22 c:\windows\Tasks\GoogleUpdateTaskMachine.job
- c:\program files\Google\Update\GoogleUpdate.exe [2008-08-27 05:33]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://fr.yahoo.com/
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000
IE: Easy-WebPrint Ajouter à la liste d'impressions - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
IE: Easy-WebPrint Impression rapide - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
IE: Easy-WebPrint Imprimer - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
IE: Easy-WebPrint Prévisualiser - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
Trusted Zone: secuser.com\www
TCP: {52441C7C-E5B9-4D6F-A48A-236A4BC93B2D} = 212.27.53.252,212.27.54.252
DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - hxxp://download.eset.com/special/eos/OnlineScanner.cab
FF - ProfilePath -
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-22 20:13
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
Heure de fin: 2009-06-22 20:14
ComboFix-quarantined-files.txt 2009-06-22 18:14
ComboFix2.txt 2009-06-21 08:17
ComboFix3.txt 2009-06-20 17:46
Avant-CF: 7 426 617 344 octets libres
Après-CF: 7 472 484 352 octets libres
214 --- E O F --- 2009-06-20 13:03
Ok,
Toujours les messages ?
Télécharger ToolsCleaner! de A.Rothstein pour enlever les programmes utilisés pendant la procédure.
http://pc-system.fr/
* Enregistrer ToolsCleaner2.exe sur le Bureau.
Sous Vista,Clic-droit > Exécuter en tant qu' Administrateur
* Double-cliquer dessus, puis cliquer sur Recherche --> Le programme va chercher les utilitaires installés
------> Il se peut que la fenêtre devienne blanche pendant le scan, c'est normal !
* Copier-coller le contenu du rapport qui apparait dans la fenêtre blanche.
Lorsque la recherche est terminée ToolsCleaner affiche une liste des différents outils trouvés, cliquez sur "Suppression" afin de les supprimer.
Fermez le programme en cliquant sur "Quitter ".
Mets ensuite ToolsCleaner2 à la corbeille
->Lance CCleaner.
Suppression des fichiers temporaires
Va dans la section "Options" situé dans la marge gauche.
Décoche "Avancé"
Retourne ensuite dans la section "Nettoyeur"
Fais bien attention de cocher toutes ces cases dans la marge gauche (Internet Explorer/Windows Explorer/Système)
• Clique sur [Analyse]
• Patiente le temps du scan, qui peut prendre un peu de temps si c'est la première fois.
• Une fois le scan terminé, clique sur [Lancer le Nettoyage]
Suppression des incohérences du registre
• Clique sur l'icône [Registre] situés dans la marge à gauche
• Puis clique sur [Analyser les erreurs]
• Patiente pendant que CCleaner scan ton registre.
• Une fois le scan terminé, coche toutes les entrèes qu'il t'aura trouvée.
• Tu peux cliquer ensuite sur [Corriger les erreurs].
Si tu n'est pas sur de ce que tu fais, tu peux choisir de sauvegarder les entrées cochées pour les restaurer ultérieurement.
Mets Malwares Bytes anti malware a jour et fait un scan complet, poste le rapport.
Toujours les messages ?
Télécharger ToolsCleaner! de A.Rothstein pour enlever les programmes utilisés pendant la procédure.
http://pc-system.fr/
* Enregistrer ToolsCleaner2.exe sur le Bureau.
Sous Vista,Clic-droit > Exécuter en tant qu' Administrateur
* Double-cliquer dessus, puis cliquer sur Recherche --> Le programme va chercher les utilitaires installés
------> Il se peut que la fenêtre devienne blanche pendant le scan, c'est normal !
* Copier-coller le contenu du rapport qui apparait dans la fenêtre blanche.
Lorsque la recherche est terminée ToolsCleaner affiche une liste des différents outils trouvés, cliquez sur "Suppression" afin de les supprimer.
Fermez le programme en cliquant sur "Quitter ".
Mets ensuite ToolsCleaner2 à la corbeille
->Lance CCleaner.
Suppression des fichiers temporaires
Va dans la section "Options" situé dans la marge gauche.
Décoche "Avancé"
Retourne ensuite dans la section "Nettoyeur"
Fais bien attention de cocher toutes ces cases dans la marge gauche (Internet Explorer/Windows Explorer/Système)
• Clique sur [Analyse]
• Patiente le temps du scan, qui peut prendre un peu de temps si c'est la première fois.
• Une fois le scan terminé, clique sur [Lancer le Nettoyage]
Suppression des incohérences du registre
• Clique sur l'icône [Registre] situés dans la marge à gauche
• Puis clique sur [Analyser les erreurs]
• Patiente pendant que CCleaner scan ton registre.
• Une fois le scan terminé, coche toutes les entrèes qu'il t'aura trouvée.
• Tu peux cliquer ensuite sur [Corriger les erreurs].
Si tu n'est pas sur de ce que tu fais, tu peux choisir de sauvegarder les entrées cochées pour les restaurer ultérieurement.
Mets Malwares Bytes anti malware a jour et fait un scan complet, poste le rapport.
Bonjour
Voici le rapport de malwarebyte
Malwarebytes' Anti-Malware 1.38
Version de la base de données: 2323
Windows 5.1.2600 Service Pack 3
23/06/2009 09:43:08
mbam-log-2009-06-23 (09-43-05).txt
Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 156366
Temps écoulé: 23 minute(s), 32 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
c:\WINDOWS\system32\rn.tmp (Trojan.Downloader) -> No action taken.
Merci
Voici le rapport de malwarebyte
Malwarebytes' Anti-Malware 1.38
Version de la base de données: 2323
Windows 5.1.2600 Service Pack 3
23/06/2009 09:43:08
mbam-log-2009-06-23 (09-43-05).txt
Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 156366
Temps écoulé: 23 minute(s), 32 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
c:\WINDOWS\system32\rn.tmp (Trojan.Downloader) -> No action taken.
Merci
Recommence un scan rapide de MBAM et cette fois ci supprime la menace detectée, clique sur OK et sur afficher les resultats, ensuite clique sur supprimer !
C4EST FAIT
RAPPORT
Malwarebytes' Anti-Malware 1.38
Version de la base de données: 2323
Windows 5.1.2600 Service Pack 3
23/06/2009 12:21:26
mbam-log-2009-06-23 (12-21-26).txt
Type de recherche: Examen rapide
Eléments examinés: 84948
Temps écoulé: 3 minute(s), 16 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
c:\WINDOWS\system32\rn.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
RAPPORT
Malwarebytes' Anti-Malware 1.38
Version de la base de données: 2323
Windows 5.1.2600 Service Pack 3
23/06/2009 12:21:26
mbam-log-2009-06-23 (12-21-26).txt
Type de recherche: Examen rapide
Eléments examinés: 84948
Temps écoulé: 3 minute(s), 16 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
c:\WINDOWS\system32\rn.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
J'ai redemarré mon pc et toujours ces messages au demarrage il manque ces fichiers dll: Ribemago.dll et
Kozezupo.dll
Quelle galère
:-(
Kozezupo.dll
Quelle galère
:-(
arrggh !
Télécharge Rooter de l'équipe IDN sur ton bureau :
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/Rooter.exe?attachauth=ANoY7cpzQksLcJt-e1z30LGu7t4JjUhh8amzWs_oSPSJpXbXp8ythGbW2WF8ysioh5NNlarrn7zMnYCRfsT5rCwNrfw5_CZYELApylTiY_MGu0G6uKzWpLEF2YXM3tF7nKZZAWj0JSAajXlZhd8dIyI3MrZ-lAIT5ZrAdcrct9_7bshwVpaZRPizuMTv9SDvmvY31BX4Vvvh2F2Brp1cy_K0jtTTfjttEA%3D%3D&attredirects=2
! Déconnecte toi d'internet et ferme toutes applications en cours !
* Exécute Rooter et laisse travailler l'outil .
* Une fois terminé, poste le rapport obtenu pour analyse
Télécharge Rooter de l'équipe IDN sur ton bureau :
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/Rooter.exe?attachauth=ANoY7cpzQksLcJt-e1z30LGu7t4JjUhh8amzWs_oSPSJpXbXp8ythGbW2WF8ysioh5NNlarrn7zMnYCRfsT5rCwNrfw5_CZYELApylTiY_MGu0G6uKzWpLEF2YXM3tF7nKZZAWj0JSAajXlZhd8dIyI3MrZ-lAIT5ZrAdcrct9_7bshwVpaZRPizuMTv9SDvmvY31BX4Vvvh2F2Brp1cy_K0jtTTfjttEA%3D%3D&attredirects=2
! Déconnecte toi d'internet et ferme toutes applications en cours !
* Exécute Rooter et laisse travailler l'outil .
* Une fois terminé, poste le rapport obtenu pour analyse
voila le rapport
Rooter.exe (v1.0.1) by Eric_71
¨
Microsoft Windows XP Home Edition (5.1.2600) Service Pack 3
32_bits - x86 Family 6 Model 15 Stepping 6, GenuineIntel
¨
A:\ [Removable]
C:\ [Fixed-NTFS] .. ( Total:30 Go - Free:6 Go )
D:\ [Fixed-NTFS] .. ( Total:202 Go - Free:14 Go )
E:\ [CD_Rom]
F:\ [CD_Rom]
I:\ [CD_Rom]
¨
Scan : 13:29.24
Path : C:\Documents and Settings\yannick creusot\Bureau\Rooter.exe
User : yannick creusot ( Administrator -> YES )
¨
----------------------\\ Processes
¨
Locked [System Process] (0)
______ System (4)
______ \SystemRoot\System32\smss.exe (1080)
______ \??\C:\WINDOWS\system32\csrss.exe (1160)
______ \??\C:\WINDOWS\system32\winlogon.exe (1184)
______ C:\WINDOWS\system32\services.exe (1228)
______ C:\WINDOWS\system32\lsass.exe (1240)
______ C:\WINDOWS\system32\svchost.exe (1432)
______ C:\WINDOWS\system32\svchost.exe (1516)
______ C:\WINDOWS\System32\svchost.exe (1628)
______ C:\WINDOWS\system32\svchost.exe (1668)
______ C:\WINDOWS\system32\svchost.exe (1772)
______ C:\WINDOWS\system32\spoolsv.exe (196)
______ C:\Program Files\Google\Update\GoogleUpdate.exe (348)
______ C:\WINDOWS\Explorer.EXE (380)
______ C:\Documents and Settings\yannick creusot\Bureau\PampersPregnancyWidget.exe (940)
______ C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe (960)
______ C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe (1312)
______ C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe (1460)
______ C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe (1504)
______ C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe (1588)
______ C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe (1720)
______ C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe (1780)
______ C:\WINDOWS\System32\svchost.exe (552)
______ C:\WINDOWS\system32\nvsvc32.exe (912)
______ C:\WINDOWS\System32\svchost.exe (1476)
______ C:\WINDOWS\System32\wbem\wmiprvse.exe (3052)
______ C:\WINDOWS\system32\wuauclt.exe (2148)
______ C:\Program Files\Mozilla Firefox\firefox.exe (2308)
______ C:\WINDOWS\system32\wscntfy.exe (2312)
______ C:\WINDOWS\system32\wuauclt.exe (2756)
______ C:\Documents and Settings\yannick creusot\Bureau\Rooter.exe (932)
¨
----------------------\\ Device\Harddisk0\
¨
\Device\Harddisk0 [Sectors : 63 x 512 Bytes]
¨
\Device\Harddisk0\Partition1 --[ MBR ]-- (Start_Offset:32256 | Length:32522724864)
\Device\Harddisk0\Partition0 (Start_Offset:32522757120 | Length:217533980160)
\Device\Harddisk0\Partition2 (Start_Offset:32522789376 | Length:217533947904)
¨
----------------------\\ Scheduled Tasks
¨
C:\WINDOWS\Tasks\Ad-Aware Update (Weekly).job
C:\WINDOWS\Tasks\desktop.ini
C:\WINDOWS\Tasks\GoogleUpdateTaskMachine.job
C:\WINDOWS\Tasks\SA.DAT
¨
----------------------\\ Registry
¨
¨
----------------------\\ Files & Folders
¨
----------------------\\ Scan completed at 13:29.34
¨
C:\Rooter$\Rooter_1.txt - (23/06/2009 | 13:29.34)
Rooter.exe (v1.0.1) by Eric_71
¨
Microsoft Windows XP Home Edition (5.1.2600) Service Pack 3
32_bits - x86 Family 6 Model 15 Stepping 6, GenuineIntel
¨
A:\ [Removable]
C:\ [Fixed-NTFS] .. ( Total:30 Go - Free:6 Go )
D:\ [Fixed-NTFS] .. ( Total:202 Go - Free:14 Go )
E:\ [CD_Rom]
F:\ [CD_Rom]
I:\ [CD_Rom]
¨
Scan : 13:29.24
Path : C:\Documents and Settings\yannick creusot\Bureau\Rooter.exe
User : yannick creusot ( Administrator -> YES )
¨
----------------------\\ Processes
¨
Locked [System Process] (0)
______ System (4)
______ \SystemRoot\System32\smss.exe (1080)
______ \??\C:\WINDOWS\system32\csrss.exe (1160)
______ \??\C:\WINDOWS\system32\winlogon.exe (1184)
______ C:\WINDOWS\system32\services.exe (1228)
______ C:\WINDOWS\system32\lsass.exe (1240)
______ C:\WINDOWS\system32\svchost.exe (1432)
______ C:\WINDOWS\system32\svchost.exe (1516)
______ C:\WINDOWS\System32\svchost.exe (1628)
______ C:\WINDOWS\system32\svchost.exe (1668)
______ C:\WINDOWS\system32\svchost.exe (1772)
______ C:\WINDOWS\system32\spoolsv.exe (196)
______ C:\Program Files\Google\Update\GoogleUpdate.exe (348)
______ C:\WINDOWS\Explorer.EXE (380)
______ C:\Documents and Settings\yannick creusot\Bureau\PampersPregnancyWidget.exe (940)
______ C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe (960)
______ C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe (1312)
______ C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe (1460)
______ C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe (1504)
______ C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe (1588)
______ C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe (1720)
______ C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe (1780)
______ C:\WINDOWS\System32\svchost.exe (552)
______ C:\WINDOWS\system32\nvsvc32.exe (912)
______ C:\WINDOWS\System32\svchost.exe (1476)
______ C:\WINDOWS\System32\wbem\wmiprvse.exe (3052)
______ C:\WINDOWS\system32\wuauclt.exe (2148)
______ C:\Program Files\Mozilla Firefox\firefox.exe (2308)
______ C:\WINDOWS\system32\wscntfy.exe (2312)
______ C:\WINDOWS\system32\wuauclt.exe (2756)
______ C:\Documents and Settings\yannick creusot\Bureau\Rooter.exe (932)
¨
----------------------\\ Device\Harddisk0\
¨
\Device\Harddisk0 [Sectors : 63 x 512 Bytes]
¨
\Device\Harddisk0\Partition1 --[ MBR ]-- (Start_Offset:32256 | Length:32522724864)
\Device\Harddisk0\Partition0 (Start_Offset:32522757120 | Length:217533980160)
\Device\Harddisk0\Partition2 (Start_Offset:32522789376 | Length:217533947904)
¨
----------------------\\ Scheduled Tasks
¨
C:\WINDOWS\Tasks\Ad-Aware Update (Weekly).job
C:\WINDOWS\Tasks\desktop.ini
C:\WINDOWS\Tasks\GoogleUpdateTaskMachine.job
C:\WINDOWS\Tasks\SA.DAT
¨
----------------------\\ Registry
¨
¨
----------------------\\ Files & Folders
¨
----------------------\\ Scan completed at 13:29.34
¨
C:\Rooter$\Rooter_1.txt - (23/06/2009 | 13:29.34)
voici le rapport combo.fix mais tjrs pareil au demarrage
"erreur de chargement de C:\windows\system32\Ribemago.dll ou
Kozezupo.dll - le module specifié est introuvable"
rapport:
ComboFix 09-06-22.08 - yannick creusot 23/06/2009 13:41.4 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1023.537 [GMT 2:00]
Lancé depuis: c:\documents and settings\yannick creusot\Bureau\Combofix.exe
AV: Kaspersky Anti-Virus *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\docume~1\YANNIC~1\LOCALS~1\Temp\wrd18.~lk\0.mdd
c:\docume~1\YANNIC~1\LOCALS~1\Temp\wrd18.~lk\1.mdd
c:\docume~1\YANNIC~1\LOCALS~1\Temp\wrd18.~lk\2.mdd
c:\docume~1\YANNIC~1\LOCALS~1\Temp\wrd18.~lk\3.mdd
c:\docume~1\YANNIC~1\LOCALS~1\Temp\wrd18.~lk\4.mdd
c:\docume~1\YANNIC~1\LOCALS~1\Temp\wrd18.~lk\5.mdd
c:\documents and settings\yannick creusot\Local Settings\temp\wrd18.~lk\0.mdd
c:\documents and settings\yannick creusot\Local Settings\temp\wrd18.~lk\1.mdd
c:\documents and settings\yannick creusot\Local Settings\temp\wrd18.~lk\2.mdd
c:\documents and settings\yannick creusot\Local Settings\temp\wrd18.~lk\3.mdd
c:\documents and settings\yannick creusot\Local Settings\temp\wrd18.~lk\4.mdd
c:\documents and settings\yannick creusot\Local Settings\temp\wrd18.~lk\5.mdd
c:\windows\system32\drivers\kl1.sys
.
((((((((((((((((((((((((((((( Fichiers créés du 2009-05-23 au 2009-06-23 ))))))))))))))))))))))))))))))))))))
.
2009-06-23 11:29 . 2009-06-23 11:29 -------- d-----w- C:\Rooter$
2009-06-22 19:33 . 2009-06-22 19:33 -------- d-----w- c:\documents and settings\yannick creusot\Application Data\Malwarebytes
2009-06-22 19:33 . 2009-06-17 09:27 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-06-22 19:33 . 2009-06-22 19:33 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-06-22 19:33 . 2009-06-17 09:27 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-06-22 19:33 . 2009-06-22 19:33 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-06-22 19:29 . 2009-06-22 19:29 -------- d-----w- c:\documents and settings\yannick creusot\Application Data\Yahoo!
2009-06-22 19:29 . 2009-06-22 19:29 -------- d-----w- c:\documents and settings\All Users\Application Data\Yahoo! Companion
2009-06-21 15:51 . 2009-06-21 16:16 -------- d-----w- c:\windows\BDOSCAN8
2009-06-21 09:31 . 2009-06-21 13:15 -------- d-----w- c:\documents and settings\yannick creusot\DoctorWeb
2009-06-20 19:12 . 2009-06-20 19:12 579584 -c--a-w- c:\windows\system32\dllcache\user32.dll
2009-06-20 19:10 . 2009-06-22 19:26 -------- d-----w- c:\windows\ERUNT
2009-06-20 19:10 . 2009-06-20 19:22 -------- d-----w- C:\Backups
2009-06-13 14:33 . 2008-12-11 06:38 159600 ----a-w- c:\windows\system32\drivers\pctgntdi.sys
2009-06-13 14:33 . 2009-04-03 09:18 130936 ----a-w- c:\windows\system32\drivers\PCTCore.sys
2009-06-13 14:33 . 2008-12-18 10:16 73840 ----a-w- c:\windows\system32\drivers\PCTAppEvent.sys
2009-06-13 14:33 . 2009-06-20 17:35 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP
2009-06-13 14:32 . 2009-06-13 14:34 -------- d-----w- c:\program files\Fichiers communs\PC Tools
2009-06-13 14:32 . 2008-12-10 09:36 64392 ----a-w- c:\windows\system32\drivers\pctplsg.sys
2009-06-13 14:32 . 2009-06-20 07:28 -------- d-----w- c:\program files\Spyware Doctor
2009-06-13 14:32 . 2009-06-13 14:32 -------- d-----w- c:\documents and settings\yannick creusot\Application Data\PC Tools
2009-06-13 14:32 . 2009-06-13 14:32 -------- d-----w- c:\documents and settings\All Users\Application Data\PC Tools
2009-06-11 15:18 . 2009-06-19 12:57 -------- d-----w- c:\program files\Ahead DVD Ripper
2009-06-06 14:27 . 2009-06-06 14:27 33808 ----a-w- c:\documents and settings\All Users\Application Data\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.506\klbg.sys
2009-06-06 14:27 . 2009-06-06 14:27 206088 ----a-w- c:\documents and settings\All Users\Application Data\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.506\avp.exe
2009-06-06 14:27 . 2009-06-06 14:27 226832 ----a-w- c:\documents and settings\All Users\Application Data\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.506\XP\klif.sys
2009-06-06 14:19 . 2009-06-06 14:27 94643 ----a-w- c:\windows\system32\drivers\klick.dat
2009-06-06 14:19 . 2009-06-06 14:27 105395 ----a-w- c:\windows\system32\drivers\klin.dat
2009-06-06 14:18 . 2009-06-23 11:45 -------- d-----w- c:\documents and settings\All Users\Application Data\Kaspersky Lab
2009-06-06 14:18 . 2009-06-23 11:44 548896 --sha-w- c:\windows\system32\drivers\fidbox2.dat
2009-06-06 14:18 . 2009-06-23 11:44 2254368 --sha-w- c:\windows\system32\drivers\fidbox.dat
2009-06-06 12:20 . 2009-06-06 19:44 -------- d-----w- c:\program files\Loaris Trojan Remover
2009-05-29 17:48 . 2009-05-29 17:48 15688 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\lsdelete.exe
2009-05-29 17:48 . 2009-05-29 17:48 83808 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\ShellExt.dll
2009-05-29 17:48 . 2009-05-29 17:48 40288 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\PrivacyClean.dll
2009-05-29 17:48 . 2009-05-29 17:48 212848 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\RPAPI.dll
2009-05-29 17:20 . 2009-05-29 17:20 -------- d-----w- c:\documents and settings\yannick creusot\Application Data\MSN6
2009-05-29 17:20 . 2009-05-29 17:20 -------- d-----w- c:\documents and settings\All Users\Application Data\MSN6
2009-05-28 20:38 . 2009-05-28 20:38 -------- d-----w- c:\documents and settings\yannick creusot\Application Data\VitySoft
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-23 11:44 . 2009-06-06 14:18 2956 --sha-w- c:\windows\system32\drivers\fidbox2.idx
2009-06-23 11:44 . 2009-06-06 14:18 18692 --sha-w- c:\windows\system32\drivers\fidbox.idx
2009-06-22 19:29 . 2008-07-28 14:28 -------- d-----w- c:\program files\Yahoo!
2009-06-22 19:26 . 2009-05-08 07:24 -------- d-----w- c:\program files\Trend Micro
2009-06-21 08:14 . 2009-06-21 08:14 0 --sh--w- c:\windows\SEA7077AE.tmp
2009-06-20 12:43 . 2008-02-26 11:31 -------- d-----w- c:\documents and settings\yannick creusot\Application Data\U3
2009-06-20 12:29 . 2008-04-20 11:51 110592 ----a-w- c:\documents and settings\yannick creusot\Application Data\U3\temp\cleanup.exe
2009-06-20 07:31 . 2008-12-13 09:08 -------- d-----w- c:\documents and settings\yannick creusot\Application Data\FrostWire
2009-06-09 15:40 . 2008-03-02 12:40 -------- d-----w- c:\documents and settings\yannick creusot\Application Data\dvdcss
2009-06-06 14:27 . 2008-01-29 15:29 33808 ----a-w- c:\windows\system32\drivers\klbg.sys
2009-06-06 14:18 . 2008-02-26 11:46 -------- d-----w- c:\program files\Kaspersky Lab
2009-06-06 13:24 . 2008-02-26 14:24 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-06-06 13:24 . 2008-02-26 14:24 -------- d-----w- c:\program files\Spybot - Search & Destroy
2009-06-06 13:08 . 2009-02-21 08:54 -------- d-----w- c:\documents and settings\All Users\Application Data\Kaspersky Lab Setup Files
2009-06-06 12:54 . 2009-05-07 19:04 -------- d-----w- c:\program files\ZebHelpProcess
2009-06-01 08:04 . 2008-06-13 14:53 -------- d-----w- c:\program files\Google
2009-05-13 12:38 . 2009-05-13 12:38 52228 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\ThreatWork\Submit\nifodiyu.exe
2009-05-13 12:38 . 2009-05-13 12:38 88580 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\ThreatWork\Submit\haditapo.dll
2009-05-13 12:38 . 2009-05-13 12:38 52228 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\ThreatWork\Submit\jevaziji.exe
2009-05-13 12:38 . 2009-05-13 12:38 49668 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\ThreatWork\Submit\kozafuli.dll
2009-05-13 12:38 . 2009-05-13 12:38 49668 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\ThreatWork\Submit\dowuvedo.dll
2009-05-11 16:28 . 2008-09-13 13:24 -------- d-----w- c:\program files\Tomtomax Maxi-Box
2009-05-08 19:05 . 2009-05-08 19:04 -------- d-----w- c:\documents and settings\yannick creusot\Application Data\vlc
2009-05-07 19:04 . 2009-05-07 19:04 -------- d-----w- c:\program files\Fichiers communs\Borland Shared
2009-05-07 15:33 . 2001-08-28 12:00 348672 ----a-w- c:\windows\system32\localspl.dll
2009-05-04 17:12 . 2008-02-26 14:09 -------- d-----w- c:\program files\CCleaner
2009-05-01 17:48 . 2009-05-01 17:46 -------- d-----w- c:\documents and settings\All Users\Application Data\Lavasoft
2009-05-01 17:48 . 2009-05-01 19:11 15688 ----a-w- c:\windows\system32\lsdelete.exe
2009-05-01 17:48 . 2009-05-01 17:48 64160 ----a-w- c:\windows\system32\drivers\Lbd.sys
2009-05-01 17:48 . 2009-05-01 17:48 64160 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\Drivers\32\lbd.sys
2009-05-01 17:47 . 2009-05-01 17:47 -------- dc-h--w- c:\documents and settings\All Users\Application Data\{83C91755-2546-441D-AC40-9A6B4B860800}
2009-05-01 17:46 . 2008-02-26 14:23 -------- d-----w- c:\program files\Lavasoft
2009-04-29 04:34 . 2001-08-28 12:00 670720 ----a-w- c:\windows\system32\wininet.dll
2009-04-29 04:34 . 2004-08-19 23:09 81920 ------w- c:\windows\system32\ieencode.dll
2009-04-25 11:08 . 2009-04-23 08:22 -------- d-----w- c:\documents and settings\All Users\Application Data\POPWWPROFILES
2009-04-19 19:50 . 2001-08-28 12:00 1847296 ----a-w- c:\windows\system32\win32k.sys
2009-04-15 14:55 . 2001-08-28 12:00 71488 ----a-w- c:\windows\system32\perfc00C.dat
2009-04-15 14:55 . 2001-08-28 12:00 458648 ----a-w- c:\windows\system32\perfh00C.dat
2009-04-15 14:53 . 2008-02-26 12:17 585216 ----a-w- c:\windows\system32\rpcrt4.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinPatrol"="c:\program files\BillP Studios\WinPatrol\winpatrol.exe" [2009-04-20 337216]
"Ad-Watch"="c:\program files\Lavasoft\Ad-Aware\AAWTray.exe" [2009-06-19 518488]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-12-05 8523776]
"AVP"="c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe" [2009-06-06 206088]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
c:\documents and settings\yannick creusot\Menu D‚marrer\Programmes\D‚marrage\
Pampers Pregnancy Widget.lnk - c:\documents and settings\yannick creusot\Bureau\PampersPregnancyWidget.exe [2009-1-5 4924787]
Yahoo! Widgets.lnk - c:\program files\Yahoo!\Widgets\YahooWidgets.exe [2007-12-12 3746856]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]
@=""
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]
@=""
[HKLM\~\startupfolder\C:^Documents and Settings^yannick creusot^Menu Démarrer^Programmes^Démarrage^Pampers Pregnancy Widget.lnk]
path=c:\documents and settings\yannick creusot\Menu Démarrer\Programmes\Démarrage\Pampers Pregnancy Widget.lnk
backup=c:\windows\pss\Pampers Pregnancy Widget.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\HomePlayer1.5.4\\HomePlayer.exe"=
"c:\\Program Files\\Freeplayer\\vlc\\vlc.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\program files\uTorrent\uTorrent.exe"= c:\program files\uTorrent\uTorrent.exe:89.226.204.137/255.255.255.255:Enabled:µTorrent
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\FrostWire\\FrostWire.exe"=
"c:\\Program Files\\Sony\\Media Manager for WALKMAN\\MediaManager.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Pando Networks\\Pando\\pando.exe"=
"c:\\Program Files\\Google\\Update\\GoogleUpdate.exe"=
"c:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus 2009\\avp.exe"=
"c:\\Program Files\\Java\\jre1.6.0_03\\launch4j-tmp\\frd.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"57488:TCP"= 57488:TCP:Pando P2P TCP Listening Port
"57488:UDP"= 57488:UDP:Pando P2P UDP Listening Port
"6881:TCP"= 6881:TCP:azureus
"8080:TCP"= 8080:TCP:freeplayer
"56680:TCP"= 56680:TCP:Pando P2P TCP Listening Port
"56680:UDP"= 56680:UDP:Pando P2P UDP Listening Port
R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [29/01/2008 17:29 33808]
R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [01/05/2009 19:48 64160]
R0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [13/06/2009 16:33 130936]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [18/01/2009 23:34 1003344]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [30/04/2008 17:06 24592]
S2 gupdate1c9087ee8c5a21c;Google Update Service (gupdate1c9087ee8c5a21c);c:\program files\Google\Update\GoogleUpdate.exe [27/08/2008 21:55 133104]
S3 adiusbae;USB ADSL LAN Adapter;c:\windows\system32\DRIVERS\adiusbae.sys --> c:\windows\system32\DRIVERS\adiusbae.sys [?]
S3 fbxusb;FreeBox USB Network Adapter;c:\windows\system32\drivers\fbxusb.sys [01/08/2008 18:46 18953]
S3 sdAuxService;PC Tools Auxiliary Service;c:\program files\Spyware Doctor\pctsAuxs.exe [13/06/2009 16:32 348752]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\e:\ntglm7x.sys --> e:\NTGLM7X.sys [?]
S4 spupdsvc;Windows Service Pack Installer update service;c:\windows\system32\spupdsvc.exe [26/02/2008 15:24 26488]
.
Contenu du dossier 'Tâches planifiées'
2009-06-22 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-01-18 17:48]
2009-06-23 c:\windows\Tasks\GoogleUpdateTaskMachine.job
- c:\program files\Google\Update\GoogleUpdate.exe [2008-08-27 05:33]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://fr.yahoo.com/
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000
IE: Easy-WebPrint Ajouter à la liste d'impressions - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
IE: Easy-WebPrint Impression rapide - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
IE: Easy-WebPrint Imprimer - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
IE: Easy-WebPrint Prévisualiser - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
Trusted Zone: secuser.com\www
TCP: {52441C7C-E5B9-4D6F-A48A-236A4BC93B2D} = 212.27.53.252,212.27.54.252
DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - hxxp://download.eset.com/special/eos/OnlineScanner.cab
FF - ProfilePath -
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-23 13:45
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'explorer.exe'(3048)
c:\program files\BillP Studios\WinPatrol\PATROLPRO.DLL
c:\program files\Fichiers communs\Ahead\Lib\NeroSearchBar.dll
c:\program files\Fichiers communs\Ahead\Lib\MFC71U.DLL
c:\program files\Fichiers communs\Ahead\Lib\BCGCBPRO860un71.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\windows\system32\wbem\unsecapp.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\rundll32.exe
.
**************************************************************************
.
Heure de fin: 2009-06-23 13:48 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-06-23 11:48
Avant-CF: 7 469 760 512 octets libres
Après-CF: 7 455 145 984 octets libres
WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /fastdetect /NoExecute=OptIn
234 --- E O F --- 2009-06-20 13:03
"erreur de chargement de C:\windows\system32\Ribemago.dll ou
Kozezupo.dll - le module specifié est introuvable"
rapport:
ComboFix 09-06-22.08 - yannick creusot 23/06/2009 13:41.4 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1023.537 [GMT 2:00]
Lancé depuis: c:\documents and settings\yannick creusot\Bureau\Combofix.exe
AV: Kaspersky Anti-Virus *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\docume~1\YANNIC~1\LOCALS~1\Temp\wrd18.~lk\0.mdd
c:\docume~1\YANNIC~1\LOCALS~1\Temp\wrd18.~lk\1.mdd
c:\docume~1\YANNIC~1\LOCALS~1\Temp\wrd18.~lk\2.mdd
c:\docume~1\YANNIC~1\LOCALS~1\Temp\wrd18.~lk\3.mdd
c:\docume~1\YANNIC~1\LOCALS~1\Temp\wrd18.~lk\4.mdd
c:\docume~1\YANNIC~1\LOCALS~1\Temp\wrd18.~lk\5.mdd
c:\documents and settings\yannick creusot\Local Settings\temp\wrd18.~lk\0.mdd
c:\documents and settings\yannick creusot\Local Settings\temp\wrd18.~lk\1.mdd
c:\documents and settings\yannick creusot\Local Settings\temp\wrd18.~lk\2.mdd
c:\documents and settings\yannick creusot\Local Settings\temp\wrd18.~lk\3.mdd
c:\documents and settings\yannick creusot\Local Settings\temp\wrd18.~lk\4.mdd
c:\documents and settings\yannick creusot\Local Settings\temp\wrd18.~lk\5.mdd
c:\windows\system32\drivers\kl1.sys
.
((((((((((((((((((((((((((((( Fichiers créés du 2009-05-23 au 2009-06-23 ))))))))))))))))))))))))))))))))))))
.
2009-06-23 11:29 . 2009-06-23 11:29 -------- d-----w- C:\Rooter$
2009-06-22 19:33 . 2009-06-22 19:33 -------- d-----w- c:\documents and settings\yannick creusot\Application Data\Malwarebytes
2009-06-22 19:33 . 2009-06-17 09:27 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-06-22 19:33 . 2009-06-22 19:33 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-06-22 19:33 . 2009-06-17 09:27 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-06-22 19:33 . 2009-06-22 19:33 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-06-22 19:29 . 2009-06-22 19:29 -------- d-----w- c:\documents and settings\yannick creusot\Application Data\Yahoo!
2009-06-22 19:29 . 2009-06-22 19:29 -------- d-----w- c:\documents and settings\All Users\Application Data\Yahoo! Companion
2009-06-21 15:51 . 2009-06-21 16:16 -------- d-----w- c:\windows\BDOSCAN8
2009-06-21 09:31 . 2009-06-21 13:15 -------- d-----w- c:\documents and settings\yannick creusot\DoctorWeb
2009-06-20 19:12 . 2009-06-20 19:12 579584 -c--a-w- c:\windows\system32\dllcache\user32.dll
2009-06-20 19:10 . 2009-06-22 19:26 -------- d-----w- c:\windows\ERUNT
2009-06-20 19:10 . 2009-06-20 19:22 -------- d-----w- C:\Backups
2009-06-13 14:33 . 2008-12-11 06:38 159600 ----a-w- c:\windows\system32\drivers\pctgntdi.sys
2009-06-13 14:33 . 2009-04-03 09:18 130936 ----a-w- c:\windows\system32\drivers\PCTCore.sys
2009-06-13 14:33 . 2008-12-18 10:16 73840 ----a-w- c:\windows\system32\drivers\PCTAppEvent.sys
2009-06-13 14:33 . 2009-06-20 17:35 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP
2009-06-13 14:32 . 2009-06-13 14:34 -------- d-----w- c:\program files\Fichiers communs\PC Tools
2009-06-13 14:32 . 2008-12-10 09:36 64392 ----a-w- c:\windows\system32\drivers\pctplsg.sys
2009-06-13 14:32 . 2009-06-20 07:28 -------- d-----w- c:\program files\Spyware Doctor
2009-06-13 14:32 . 2009-06-13 14:32 -------- d-----w- c:\documents and settings\yannick creusot\Application Data\PC Tools
2009-06-13 14:32 . 2009-06-13 14:32 -------- d-----w- c:\documents and settings\All Users\Application Data\PC Tools
2009-06-11 15:18 . 2009-06-19 12:57 -------- d-----w- c:\program files\Ahead DVD Ripper
2009-06-06 14:27 . 2009-06-06 14:27 33808 ----a-w- c:\documents and settings\All Users\Application Data\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.506\klbg.sys
2009-06-06 14:27 . 2009-06-06 14:27 206088 ----a-w- c:\documents and settings\All Users\Application Data\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.506\avp.exe
2009-06-06 14:27 . 2009-06-06 14:27 226832 ----a-w- c:\documents and settings\All Users\Application Data\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.506\XP\klif.sys
2009-06-06 14:19 . 2009-06-06 14:27 94643 ----a-w- c:\windows\system32\drivers\klick.dat
2009-06-06 14:19 . 2009-06-06 14:27 105395 ----a-w- c:\windows\system32\drivers\klin.dat
2009-06-06 14:18 . 2009-06-23 11:45 -------- d-----w- c:\documents and settings\All Users\Application Data\Kaspersky Lab
2009-06-06 14:18 . 2009-06-23 11:44 548896 --sha-w- c:\windows\system32\drivers\fidbox2.dat
2009-06-06 14:18 . 2009-06-23 11:44 2254368 --sha-w- c:\windows\system32\drivers\fidbox.dat
2009-06-06 12:20 . 2009-06-06 19:44 -------- d-----w- c:\program files\Loaris Trojan Remover
2009-05-29 17:48 . 2009-05-29 17:48 15688 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\lsdelete.exe
2009-05-29 17:48 . 2009-05-29 17:48 83808 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\ShellExt.dll
2009-05-29 17:48 . 2009-05-29 17:48 40288 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\PrivacyClean.dll
2009-05-29 17:48 . 2009-05-29 17:48 212848 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\RPAPI.dll
2009-05-29 17:20 . 2009-05-29 17:20 -------- d-----w- c:\documents and settings\yannick creusot\Application Data\MSN6
2009-05-29 17:20 . 2009-05-29 17:20 -------- d-----w- c:\documents and settings\All Users\Application Data\MSN6
2009-05-28 20:38 . 2009-05-28 20:38 -------- d-----w- c:\documents and settings\yannick creusot\Application Data\VitySoft
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-23 11:44 . 2009-06-06 14:18 2956 --sha-w- c:\windows\system32\drivers\fidbox2.idx
2009-06-23 11:44 . 2009-06-06 14:18 18692 --sha-w- c:\windows\system32\drivers\fidbox.idx
2009-06-22 19:29 . 2008-07-28 14:28 -------- d-----w- c:\program files\Yahoo!
2009-06-22 19:26 . 2009-05-08 07:24 -------- d-----w- c:\program files\Trend Micro
2009-06-21 08:14 . 2009-06-21 08:14 0 --sh--w- c:\windows\SEA7077AE.tmp
2009-06-20 12:43 . 2008-02-26 11:31 -------- d-----w- c:\documents and settings\yannick creusot\Application Data\U3
2009-06-20 12:29 . 2008-04-20 11:51 110592 ----a-w- c:\documents and settings\yannick creusot\Application Data\U3\temp\cleanup.exe
2009-06-20 07:31 . 2008-12-13 09:08 -------- d-----w- c:\documents and settings\yannick creusot\Application Data\FrostWire
2009-06-09 15:40 . 2008-03-02 12:40 -------- d-----w- c:\documents and settings\yannick creusot\Application Data\dvdcss
2009-06-06 14:27 . 2008-01-29 15:29 33808 ----a-w- c:\windows\system32\drivers\klbg.sys
2009-06-06 14:18 . 2008-02-26 11:46 -------- d-----w- c:\program files\Kaspersky Lab
2009-06-06 13:24 . 2008-02-26 14:24 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-06-06 13:24 . 2008-02-26 14:24 -------- d-----w- c:\program files\Spybot - Search & Destroy
2009-06-06 13:08 . 2009-02-21 08:54 -------- d-----w- c:\documents and settings\All Users\Application Data\Kaspersky Lab Setup Files
2009-06-06 12:54 . 2009-05-07 19:04 -------- d-----w- c:\program files\ZebHelpProcess
2009-06-01 08:04 . 2008-06-13 14:53 -------- d-----w- c:\program files\Google
2009-05-13 12:38 . 2009-05-13 12:38 52228 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\ThreatWork\Submit\nifodiyu.exe
2009-05-13 12:38 . 2009-05-13 12:38 88580 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\ThreatWork\Submit\haditapo.dll
2009-05-13 12:38 . 2009-05-13 12:38 52228 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\ThreatWork\Submit\jevaziji.exe
2009-05-13 12:38 . 2009-05-13 12:38 49668 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\ThreatWork\Submit\kozafuli.dll
2009-05-13 12:38 . 2009-05-13 12:38 49668 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\ThreatWork\Submit\dowuvedo.dll
2009-05-11 16:28 . 2008-09-13 13:24 -------- d-----w- c:\program files\Tomtomax Maxi-Box
2009-05-08 19:05 . 2009-05-08 19:04 -------- d-----w- c:\documents and settings\yannick creusot\Application Data\vlc
2009-05-07 19:04 . 2009-05-07 19:04 -------- d-----w- c:\program files\Fichiers communs\Borland Shared
2009-05-07 15:33 . 2001-08-28 12:00 348672 ----a-w- c:\windows\system32\localspl.dll
2009-05-04 17:12 . 2008-02-26 14:09 -------- d-----w- c:\program files\CCleaner
2009-05-01 17:48 . 2009-05-01 17:46 -------- d-----w- c:\documents and settings\All Users\Application Data\Lavasoft
2009-05-01 17:48 . 2009-05-01 19:11 15688 ----a-w- c:\windows\system32\lsdelete.exe
2009-05-01 17:48 . 2009-05-01 17:48 64160 ----a-w- c:\windows\system32\drivers\Lbd.sys
2009-05-01 17:48 . 2009-05-01 17:48 64160 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\Drivers\32\lbd.sys
2009-05-01 17:47 . 2009-05-01 17:47 -------- dc-h--w- c:\documents and settings\All Users\Application Data\{83C91755-2546-441D-AC40-9A6B4B860800}
2009-05-01 17:46 . 2008-02-26 14:23 -------- d-----w- c:\program files\Lavasoft
2009-04-29 04:34 . 2001-08-28 12:00 670720 ----a-w- c:\windows\system32\wininet.dll
2009-04-29 04:34 . 2004-08-19 23:09 81920 ------w- c:\windows\system32\ieencode.dll
2009-04-25 11:08 . 2009-04-23 08:22 -------- d-----w- c:\documents and settings\All Users\Application Data\POPWWPROFILES
2009-04-19 19:50 . 2001-08-28 12:00 1847296 ----a-w- c:\windows\system32\win32k.sys
2009-04-15 14:55 . 2001-08-28 12:00 71488 ----a-w- c:\windows\system32\perfc00C.dat
2009-04-15 14:55 . 2001-08-28 12:00 458648 ----a-w- c:\windows\system32\perfh00C.dat
2009-04-15 14:53 . 2008-02-26 12:17 585216 ----a-w- c:\windows\system32\rpcrt4.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinPatrol"="c:\program files\BillP Studios\WinPatrol\winpatrol.exe" [2009-04-20 337216]
"Ad-Watch"="c:\program files\Lavasoft\Ad-Aware\AAWTray.exe" [2009-06-19 518488]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-12-05 8523776]
"AVP"="c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe" [2009-06-06 206088]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
c:\documents and settings\yannick creusot\Menu D‚marrer\Programmes\D‚marrage\
Pampers Pregnancy Widget.lnk - c:\documents and settings\yannick creusot\Bureau\PampersPregnancyWidget.exe [2009-1-5 4924787]
Yahoo! Widgets.lnk - c:\program files\Yahoo!\Widgets\YahooWidgets.exe [2007-12-12 3746856]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]
@=""
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]
@=""
[HKLM\~\startupfolder\C:^Documents and Settings^yannick creusot^Menu Démarrer^Programmes^Démarrage^Pampers Pregnancy Widget.lnk]
path=c:\documents and settings\yannick creusot\Menu Démarrer\Programmes\Démarrage\Pampers Pregnancy Widget.lnk
backup=c:\windows\pss\Pampers Pregnancy Widget.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\HomePlayer1.5.4\\HomePlayer.exe"=
"c:\\Program Files\\Freeplayer\\vlc\\vlc.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\program files\uTorrent\uTorrent.exe"= c:\program files\uTorrent\uTorrent.exe:89.226.204.137/255.255.255.255:Enabled:µTorrent
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\FrostWire\\FrostWire.exe"=
"c:\\Program Files\\Sony\\Media Manager for WALKMAN\\MediaManager.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Pando Networks\\Pando\\pando.exe"=
"c:\\Program Files\\Google\\Update\\GoogleUpdate.exe"=
"c:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus 2009\\avp.exe"=
"c:\\Program Files\\Java\\jre1.6.0_03\\launch4j-tmp\\frd.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"57488:TCP"= 57488:TCP:Pando P2P TCP Listening Port
"57488:UDP"= 57488:UDP:Pando P2P UDP Listening Port
"6881:TCP"= 6881:TCP:azureus
"8080:TCP"= 8080:TCP:freeplayer
"56680:TCP"= 56680:TCP:Pando P2P TCP Listening Port
"56680:UDP"= 56680:UDP:Pando P2P UDP Listening Port
R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [29/01/2008 17:29 33808]
R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [01/05/2009 19:48 64160]
R0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [13/06/2009 16:33 130936]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [18/01/2009 23:34 1003344]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [30/04/2008 17:06 24592]
S2 gupdate1c9087ee8c5a21c;Google Update Service (gupdate1c9087ee8c5a21c);c:\program files\Google\Update\GoogleUpdate.exe [27/08/2008 21:55 133104]
S3 adiusbae;USB ADSL LAN Adapter;c:\windows\system32\DRIVERS\adiusbae.sys --> c:\windows\system32\DRIVERS\adiusbae.sys [?]
S3 fbxusb;FreeBox USB Network Adapter;c:\windows\system32\drivers\fbxusb.sys [01/08/2008 18:46 18953]
S3 sdAuxService;PC Tools Auxiliary Service;c:\program files\Spyware Doctor\pctsAuxs.exe [13/06/2009 16:32 348752]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\e:\ntglm7x.sys --> e:\NTGLM7X.sys [?]
S4 spupdsvc;Windows Service Pack Installer update service;c:\windows\system32\spupdsvc.exe [26/02/2008 15:24 26488]
.
Contenu du dossier 'Tâches planifiées'
2009-06-22 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-01-18 17:48]
2009-06-23 c:\windows\Tasks\GoogleUpdateTaskMachine.job
- c:\program files\Google\Update\GoogleUpdate.exe [2008-08-27 05:33]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://fr.yahoo.com/
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000
IE: Easy-WebPrint Ajouter à la liste d'impressions - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
IE: Easy-WebPrint Impression rapide - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
IE: Easy-WebPrint Imprimer - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
IE: Easy-WebPrint Prévisualiser - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
Trusted Zone: secuser.com\www
TCP: {52441C7C-E5B9-4D6F-A48A-236A4BC93B2D} = 212.27.53.252,212.27.54.252
DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - hxxp://download.eset.com/special/eos/OnlineScanner.cab
FF - ProfilePath -
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-23 13:45
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'explorer.exe'(3048)
c:\program files\BillP Studios\WinPatrol\PATROLPRO.DLL
c:\program files\Fichiers communs\Ahead\Lib\NeroSearchBar.dll
c:\program files\Fichiers communs\Ahead\Lib\MFC71U.DLL
c:\program files\Fichiers communs\Ahead\Lib\BCGCBPRO860un71.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\windows\system32\wbem\unsecapp.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\rundll32.exe
.
**************************************************************************
.
Heure de fin: 2009-06-23 13:48 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-06-23 11:48
Avant-CF: 7 469 760 512 octets libres
Après-CF: 7 455 145 984 octets libres
WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /fastdetect /NoExecute=OptIn
234 --- E O F --- 2009-06-20 13:03
Créer un doc texte sur ton bureau :
pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .
Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :
File::
c:\windows\system32\drivers\klick.dat
c:\windows\system32\drivers\klin.dat
c:\documents and settings\yannick creusot\Application Data\U3\temp\cleanup.exe
:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\ThreatWork\Submit\nifodiyu.exe
c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\ThreatWork\Submit\haditapo.dll
c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\ThreatWork\Submit\jevaziji.exe
c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\ThreatWork\Submit\kozafuli.dll
c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\ThreatWork\Submit\dowuvedo.dll
Puis va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valide ...
* Nettoyage :
!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!
--->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .
(Regarde ici : http://img.photobucket.com/albums/v666/sUBs/CFScript.gif )
Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tape 1 puis valide.
Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)
!! Ne touches à rien tant que le scan n'est pas terminé !!
Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse ...
( Attention : cette manipe a été faite pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )
Ensuite :
rends toi ici : https://www.virustotal.com/gui/
clique sur parcourir et choisi ce fichier : c:\windows\system32\drivers\fidbox2.dat
clique sur envoyer et poste le rapport.
Fait de meme pour ces fichiers : c:\windows\system32\drivers\fidbox.dat
c:\windows\SEA7077AE.tmp
pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .
Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :
File::
c:\windows\system32\drivers\klick.dat
c:\windows\system32\drivers\klin.dat
c:\documents and settings\yannick creusot\Application Data\U3\temp\cleanup.exe
:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\ThreatWork\Submit\nifodiyu.exe
c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\ThreatWork\Submit\haditapo.dll
c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\ThreatWork\Submit\jevaziji.exe
c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\ThreatWork\Submit\kozafuli.dll
c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\ThreatWork\Submit\dowuvedo.dll
Puis va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valide ...
* Nettoyage :
!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!
--->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .
(Regarde ici : http://img.photobucket.com/albums/v666/sUBs/CFScript.gif )
Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tape 1 puis valide.
Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)
!! Ne touches à rien tant que le scan n'est pas terminé !!
Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse ...
( Attention : cette manipe a été faite pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )
Ensuite :
rends toi ici : https://www.virustotal.com/gui/
clique sur parcourir et choisi ce fichier : c:\windows\system32\drivers\fidbox2.dat
clique sur envoyer et poste le rapport.
Fait de meme pour ces fichiers : c:\windows\system32\drivers\fidbox.dat
c:\windows\SEA7077AE.tmp
