Probleme security system
Résolu
Ouille
-
fix200 Messages postés 3365 Statut Contributeur sécurité -
fix200 Messages postés 3365 Statut Contributeur sécurité -
Bonjour,
j'ai téléchargé un programme infecté et maintenant je ne peux plus utiliser ma souris, les scans avast avant démarrage n'ont pas réglé le problème et je ne peux pas ouvrir regedit, ni le gestionnaire de tâches !
Le virus a changé mon wallpaper en message pour telecharger system security et d'autres messages incessants.
Voici les logs de Hijackthis
Logfile of random's system information tool 1.06 (written by random/random)
Run by Bénédicte at 2009-07-14 20:46:33
Microsoft Windows XP Édition familiale Service Pack 2
System drive C: has 48 GB (54%) free of 88 GB
Total RAM: 894 MB (49% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:46:44, on 14/07/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Windows Live\Toolbar\wltuser.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Bénédicte\Local Settings\Temporary Internet Files\Content.IE5\N1A9D2N1\RSIT[1].exe
C:\Program Files\trend micro\Bénédicte.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hp.com/fr/extension-garantie/iconlanding
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\system32\msxml71.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe"
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [RecGuard] C:\Windows\SMINST\RecGuard.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [chic media time up] C:\Documents and Settings\All Users\Application Data\bodyshowchicmedia\mathcake.exe
O4 - HKLM\..\Run: [ContentTransferWMDetector.exe] C:\Program Files\Sony\Content Transfer\ContentTransferWMDetector.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre6\bin\jusched.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\Run: [16391094] C:\Documents and Settings\All Users\Application Data\16391094\16391094.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.8472\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Shim error] C:\DOCUME~1\BNDICT~1\APPLIC~1\DEAFON~1\more plus setup.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Cognac] C:\DOCUME~1\BNDICT~1\LOCALS~1\Temp\b.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: desktop(2).ini
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Anti-Hacker(2).lnk = ?
O4 - Global Startup: Anti-Hacker.lnk = ?
O4 - Global Startup: desktop(2).ini
O4 - Global Startup: Démarrage rapide de HP Photosmart Premier(2).lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor(2).lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader(2).lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office(2).lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=https://www8.hp.com/fr/fr/home.html
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/resources/MSNPUpld.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {A9F8D9EC-3D0A-4A60-BD82-FBD64BAD370D} (DDRevision Class) - http://h20264.www2.hp.com/ediags/dd/install/HPDriverDiagnosticsxp2k.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
j'ai téléchargé un programme infecté et maintenant je ne peux plus utiliser ma souris, les scans avast avant démarrage n'ont pas réglé le problème et je ne peux pas ouvrir regedit, ni le gestionnaire de tâches !
Le virus a changé mon wallpaper en message pour telecharger system security et d'autres messages incessants.
Voici les logs de Hijackthis
Logfile of random's system information tool 1.06 (written by random/random)
Run by Bénédicte at 2009-07-14 20:46:33
Microsoft Windows XP Édition familiale Service Pack 2
System drive C: has 48 GB (54%) free of 88 GB
Total RAM: 894 MB (49% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:46:44, on 14/07/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Windows Live\Toolbar\wltuser.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Bénédicte\Local Settings\Temporary Internet Files\Content.IE5\N1A9D2N1\RSIT[1].exe
C:\Program Files\trend micro\Bénédicte.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hp.com/fr/extension-garantie/iconlanding
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\system32\msxml71.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe"
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [RecGuard] C:\Windows\SMINST\RecGuard.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [chic media time up] C:\Documents and Settings\All Users\Application Data\bodyshowchicmedia\mathcake.exe
O4 - HKLM\..\Run: [ContentTransferWMDetector.exe] C:\Program Files\Sony\Content Transfer\ContentTransferWMDetector.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre6\bin\jusched.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\Run: [16391094] C:\Documents and Settings\All Users\Application Data\16391094\16391094.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.8472\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Shim error] C:\DOCUME~1\BNDICT~1\APPLIC~1\DEAFON~1\more plus setup.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Cognac] C:\DOCUME~1\BNDICT~1\LOCALS~1\Temp\b.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: desktop(2).ini
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Anti-Hacker(2).lnk = ?
O4 - Global Startup: Anti-Hacker.lnk = ?
O4 - Global Startup: desktop(2).ini
O4 - Global Startup: Démarrage rapide de HP Photosmart Premier(2).lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor(2).lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader(2).lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office(2).lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=https://www8.hp.com/fr/fr/home.html
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/resources/MSNPUpld.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {A9F8D9EC-3D0A-4A60-BD82-FBD64BAD370D} (DDRevision Class) - http://h20264.www2.hp.com/ediags/dd/install/HPDriverDiagnosticsxp2k.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
A voir également:
- Probleme security system
- Reboot system now - Guide
- Microsoft security essentials - Télécharger - Antivirus & Antimalwares
- Ai security avis - Forum Mobile
- Cette action ne peut pas être réalisée car le fichier est ouvert dans system - Guide
- Fichier ouvert dans system ✓ - Forum Windows
126 réponses
Hello ,
Il ya une fête sur ton PC MDR :)
Bref , on commence a LES dégommer ;)
=> Fais Lop s&d option 2 et colle le rapport .
=> Télécharge CCleaner sur ton bureau
▶ Installe le .
▶ Lance CCleaner puis Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures".
▶ Dans le menu nettoyeur , clique sur "Analyse.
▶ Ensuite clique sur le bouton "Lancer le nettoyage" et laisse le faire.
▶ Maintenant dans l'onglet "Registre" , clique sur "Chercher des erreurs"
▶ Réponds a OUI a la question qui te sera posée.
▶ Enfin , répare les erreurs en cliquant sur " Réparer les erreurs sélectionnés "
N.B : Refais trois fois , une réparation du registre pour que cela soit efficace !
Regarde bien le Tutoriel CCleaner , il est bien expliqué ...
Ensuite :
Télécharge SDFix de andymanchesta
• Installe le puis redémarre en mode sans échec
• Sous XP: fais un double clique sur: C:\SDFix\RunThis.bat
=>Sous Vista: fais un clic droit sur C:\SDFix\RunThis.bat et choisis "exécuter en tant qu'administrateur"
• Appuie sur la touche Y pour commencer le processus de nettoyage.
Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum
Si SDfix ne se lance pas (ça arrive)
* Démarrer->Exécuter
* Copie/colle ceci dans la fenêtre :
%systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe
* Patiente le temps du scan...
Tutoriel SDFix
++
Il ya une fête sur ton PC MDR :)
Bref , on commence a LES dégommer ;)
=> Fais Lop s&d option 2 et colle le rapport .
=> Télécharge CCleaner sur ton bureau
▶ Installe le .
▶ Lance CCleaner puis Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures".
▶ Dans le menu nettoyeur , clique sur "Analyse.
▶ Ensuite clique sur le bouton "Lancer le nettoyage" et laisse le faire.
▶ Maintenant dans l'onglet "Registre" , clique sur "Chercher des erreurs"
▶ Réponds a OUI a la question qui te sera posée.
▶ Enfin , répare les erreurs en cliquant sur " Réparer les erreurs sélectionnés "
N.B : Refais trois fois , une réparation du registre pour que cela soit efficace !
Regarde bien le Tutoriel CCleaner , il est bien expliqué ...
Ensuite :
Télécharge SDFix de andymanchesta
• Installe le puis redémarre en mode sans échec
• Sous XP: fais un double clique sur: C:\SDFix\RunThis.bat
=>Sous Vista: fais un clic droit sur C:\SDFix\RunThis.bat et choisis "exécuter en tant qu'administrateur"
• Appuie sur la touche Y pour commencer le processus de nettoyage.
Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum
Si SDfix ne se lance pas (ça arrive)
* Démarrer->Exécuter
* Copie/colle ceci dans la fenêtre :
%systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe
* Patiente le temps du scan...
Tutoriel SDFix
++
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Oki c'est normal c'est un méchant rootkit qui bloque tout cela ;)
MOUHAHAHAHAHAHA !!
======================================================
>>>>>>>>>>>>>>>>>>>>>> /!\ Attention /!\ <<<<<<<<<<<<<<<<<<<
======================================================
/!\ SUIVRE SCRUPULEUSEMENT A LA LETTRE CES INDICATIONS /!\
_________________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================
============> A lire, Impératif <============
- Fais un clic droit ICI http://download.bleepingcomputer.com/sUBs/ComboFix.exe
- choisis enregistrer le cible du lien sous
- Dans "Nom du fichier" renomme Combofix.exe en Moi.exe
- Clic en fin sur " Enregistrer "
- Laisse le se télécharger ...
AVANT d'utiliser ComboFix :
▶ /!\ Déconnecte ton PC d'Internet et referme les fenêtres de tous les programmes en cours. /!\
▶ (!) Désactive provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de ton Antivirus et de tes Antispywares et de TOUT tes logiciels de protection (!).
▶ Double clique sur Moi.exe afin de le lancer (Sous Vista: Clique droit et choisir exécuter en tant qu'administrateur")
▶ Il va te demander d'installer le console de récupération , reconnecte toi juste le temps de la télécharger , ensuite coupe ta connexion internet .
* En cas de problèmes d'installation, Tuto
Sous XP
Sous Vista
▶ Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
/!\ Ne touche a rien tant que le scan n'est pas fini /!\
▶ A la fin du scan , il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection , laisse le faire ....
▶ Après le redémarrage du PC, un rapport s'ouvrira dans le Bloc notes en fin d'analyse,
▶ Réactive toutes tes défenses , reviens sur le forum puis copie et colle le rapport dans ton a ta prochaine réponse
Note :
(Le fichier rapport Combofix.txt , est ensuite automatiquement sauvegardé dans C:\Combofix.txt)
A+
MOUHAHAHAHAHAHA !!
======================================================
>>>>>>>>>>>>>>>>>>>>>> /!\ Attention /!\ <<<<<<<<<<<<<<<<<<<
======================================================
/!\ SUIVRE SCRUPULEUSEMENT A LA LETTRE CES INDICATIONS /!\
_________________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================
============> A lire, Impératif <============
- Fais un clic droit ICI http://download.bleepingcomputer.com/sUBs/ComboFix.exe
- choisis enregistrer le cible du lien sous
- Dans "Nom du fichier" renomme Combofix.exe en Moi.exe
- Clic en fin sur " Enregistrer "
- Laisse le se télécharger ...
AVANT d'utiliser ComboFix :
▶ /!\ Déconnecte ton PC d'Internet et referme les fenêtres de tous les programmes en cours. /!\
▶ (!) Désactive provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de ton Antivirus et de tes Antispywares et de TOUT tes logiciels de protection (!).
▶ Double clique sur Moi.exe afin de le lancer (Sous Vista: Clique droit et choisir exécuter en tant qu'administrateur")
▶ Il va te demander d'installer le console de récupération , reconnecte toi juste le temps de la télécharger , ensuite coupe ta connexion internet .
* En cas de problèmes d'installation, Tuto
Sous XP
Sous Vista
▶ Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
/!\ Ne touche a rien tant que le scan n'est pas fini /!\
▶ A la fin du scan , il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection , laisse le faire ....
▶ Après le redémarrage du PC, un rapport s'ouvrira dans le Bloc notes en fin d'analyse,
▶ Réactive toutes tes défenses , reviens sur le forum puis copie et colle le rapport dans ton a ta prochaine réponse
Note :
(Le fichier rapport Combofix.txt , est ensuite automatiquement sauvegardé dans C:\Combofix.txt)
A+
Merde !!
Tu l'as pas renommé ...
Supprime le puis refait le poste comme expliqué .
Tu as un message d'erreur ? ton PC plante ? quoi ??
Tu l'as pas renommé ...
Supprime le puis refait le poste comme expliqué .
Tu as un message d'erreur ? ton PC plante ? quoi ??
Il ne se passe rien j'ai aussi renommé.
Bah ca s'ouvre et se referme, comme le gestionnaire de taches.
Et je viens d'avoir un ecran bleu avec redemarrage =O
Bah ca s'ouvre et se referme, comme le gestionnaire de taches.
Et je viens d'avoir un ecran bleu avec redemarrage =O
On vas dégommer A la main ..
Télécharge ZEB_RESTORE
ou ICI
Enregistre ce fichier sur ton bureau.
! Déconnecte toi et ferme toutes tes applications !
- Clique droit Zeb-Restore.zip ==> "Extraire tout" choisis comme lieu d'enregistrement le bureau.
- Ouvre le dossier ZR_1.0.0.37 ==> double clique sur Zeb-Restore.exe
Coche les cases devant ( et uniquement celles-ci ! ) :
* RegEdit : réactive l'accès à RegEdit
* Gestionnaire des tâches : réactive le gestionnaire des tâches
* Policies : remet en place des éléments désactivés par "Policies"
* Bureau : réactive le bureau
* Extension des fichiers : répare les extensions des fichiers .exe .bat .reg .pif .cmd .scr .com
* Sites de confiance et sensibles : efface le contenu de ces zones (à utiliser si vous êtes infecté par des malwares)
- Clique sur : " Restaurer " et laisse faire.
- Une fois fait, redémarre ton PC pour que les réparations prennent effet ...
Télécharge OTM (Old Timer) sur ton bureau:
▶ Sous XP: Double-clique sur OTM.exe afin de le lancer.
* Sous Vista: fais un clic droit sur OTM et choisis "exécuter en tant qu'administrateur"
▶ Copie (Ctrl+C) le texte suivant ci-dessous :
:Processes
explorer.exe
msa.exe
:services
:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"chic media time up"=-
"16391094"=-
:Files
C:\WINDOWS\tasks\{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job
C:\WINDOWS\tasks\{783AF354-B514-42d6-970E-3E8BF0A5279C}.job
C:\Documents and Settings\All Users\Application Data\16391094
C:\WINDOWS\msa.exe
C:\WINDOWS\system32\geyekriprgnbju.dll
C:\WINDOWS\system32\geyekrodjukhwt.dll
C:\WINDOWS\system32\uacinit.dll
C:\WINDOWS\system32\UACmddpyplbekhrvxtpu.dll
C:\WINDOWS\msa.exe
C:\Documents and Settings\All Users\Application Data\{83C91755-2546-441D-AC40-9A6B4B860800}
C:\WINDOWS\system32\tmp.txt
:Commands
[start explorer]
[emptytemp]
[purity]
[reboot]
▶ Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.
▶ Clique maintenant sur le bouton MoveIt! puis ferme OTM.
Note : Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. => Accepte en cliquant sur YES.
▶ Poste le rapport situé dans ce dossier : C:\_OTM\MovedFiles\
* Note: Le nom du rapport correspond au moment de sa création : date_heure.log
Ensuite :
- Retente Lop s&d option 2 et colle le rapport .
- Supprime le raccourcis Combofix , puis :
* Télécharge ce fichier
* Télécharge Combofix exactement comme en haut .
Redémarre en mode sans échec https://www.malekal.com/demarrer-windows-mode-sans-echec/
Glisse maintenant le fichier sur l'icone de Combofix
▶ Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
/!\ Ne touche a rien tant que le scan n'est pas fini /!\
▶ A la fin du scan , il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection , laisse le faire ....
▶ Après le redémarrage du PC, un rapport s'ouvrira dans le Bloc notes en fin d'analyse,
▶ Réactive toutes tes défenses , reviens sur le forum puis copie et colle le rapport dans ton a ta prochaine réponse
Note :
(Le fichier rapport Combofix.txt , est ensuite automatiquement sauvegardé dans C:\Combofix.txt)
A+
Télécharge ZEB_RESTORE
ou ICI
Enregistre ce fichier sur ton bureau.
! Déconnecte toi et ferme toutes tes applications !
- Clique droit Zeb-Restore.zip ==> "Extraire tout" choisis comme lieu d'enregistrement le bureau.
- Ouvre le dossier ZR_1.0.0.37 ==> double clique sur Zeb-Restore.exe
Coche les cases devant ( et uniquement celles-ci ! ) :
* RegEdit : réactive l'accès à RegEdit
* Gestionnaire des tâches : réactive le gestionnaire des tâches
* Policies : remet en place des éléments désactivés par "Policies"
* Bureau : réactive le bureau
* Extension des fichiers : répare les extensions des fichiers .exe .bat .reg .pif .cmd .scr .com
* Sites de confiance et sensibles : efface le contenu de ces zones (à utiliser si vous êtes infecté par des malwares)
- Clique sur : " Restaurer " et laisse faire.
- Une fois fait, redémarre ton PC pour que les réparations prennent effet ...
Télécharge OTM (Old Timer) sur ton bureau:
▶ Sous XP: Double-clique sur OTM.exe afin de le lancer.
* Sous Vista: fais un clic droit sur OTM et choisis "exécuter en tant qu'administrateur"
▶ Copie (Ctrl+C) le texte suivant ci-dessous :
:Processes
explorer.exe
msa.exe
:services
:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"chic media time up"=-
"16391094"=-
:Files
C:\WINDOWS\tasks\{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job
C:\WINDOWS\tasks\{783AF354-B514-42d6-970E-3E8BF0A5279C}.job
C:\Documents and Settings\All Users\Application Data\16391094
C:\WINDOWS\msa.exe
C:\WINDOWS\system32\geyekriprgnbju.dll
C:\WINDOWS\system32\geyekrodjukhwt.dll
C:\WINDOWS\system32\uacinit.dll
C:\WINDOWS\system32\UACmddpyplbekhrvxtpu.dll
C:\WINDOWS\msa.exe
C:\Documents and Settings\All Users\Application Data\{83C91755-2546-441D-AC40-9A6B4B860800}
C:\WINDOWS\system32\tmp.txt
:Commands
[start explorer]
[emptytemp]
[purity]
[reboot]
▶ Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.
▶ Clique maintenant sur le bouton MoveIt! puis ferme OTM.
Note : Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. => Accepte en cliquant sur YES.
▶ Poste le rapport situé dans ce dossier : C:\_OTM\MovedFiles\
* Note: Le nom du rapport correspond au moment de sa création : date_heure.log
Ensuite :
- Retente Lop s&d option 2 et colle le rapport .
- Supprime le raccourcis Combofix , puis :
* Télécharge ce fichier
* Télécharge Combofix exactement comme en haut .
Redémarre en mode sans échec https://www.malekal.com/demarrer-windows-mode-sans-echec/
Glisse maintenant le fichier sur l'icone de Combofix
▶ Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
/!\ Ne touche a rien tant que le scan n'est pas fini /!\
▶ A la fin du scan , il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection , laisse le faire ....
▶ Après le redémarrage du PC, un rapport s'ouvrira dans le Bloc notes en fin d'analyse,
▶ Réactive toutes tes défenses , reviens sur le forum puis copie et colle le rapport dans ton a ta prochaine réponse
Note :
(Le fichier rapport Combofix.txt , est ensuite automatiquement sauvegardé dans C:\Combofix.txt)
A+
C'est bon au bout d'un moment je peux ouvrir les appli quand System security se ferme.
Voila
ComboFix 09-07-14.07 - Bénédicte 15/07/2009 10:28.1.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.894.560 [GMT 2:00]
Running from: c:\documents and settings\Bénédicte\Bureau\Moi.exe
AV: avast! antivirus 4.8.1335 [VPS 090714-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
FW: Anti-Hacker *disabled* {0BB8CA15-F396-46C7-9A59-108D852CFEC0}
FW: Norton Internet Worm Protection *disabled* {990F9400-4CEE-43EA-A83A-D013ADD8EA6E}
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\All Users\Application Data\16391094
c:\documents and settings\All Users\Application Data\16391094\16391094
c:\documents and settings\All Users\Application Data\16391094\16391094.exe
c:\program files\\setup.exe
c:\windows\Installer\1310bc.msp
c:\windows\Installer\929b4.msp
c:\windows\msa.exe
c:\windows\system32\404Fix.exe
c:\windows\system32\Agent.OMZ.Fix.exe
c:\windows\system32\dumphive.exe
c:\windows\system32\IEDFix.C.exe
c:\windows\system32\IEDFix.exe
c:\windows\system32\o4Patch.exe
c:\windows\system32\Process.exe
c:\windows\system32\SrchSTS.exe
c:\windows\system32\tmp.reg
c:\windows\system32\uacinit.dll
c:\windows\system32\UACmddpyplbekhrvxtpu.dll
c:\windows\system32\UACpjjaxcguelvyfddde.db
c:\windows\system32\UACshvfdieuabtqcqjsj.dat
c:\windows\system32\VACFix.exe
c:\windows\system32\VCCLSID.exe
c:\windows\system32\WS2Fix.exe
c:\windows\Tasks\{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job
c:\windows\Tasks\{783AF354-B514-42d6-970E-3E8BF0A5279C}.job
.
((((((((((((((((((((((((( Files Created from 2009-06-15 to 2009-07-15 )))))))))))))))))))))))))))))))
.
2009-07-14 20:17 . 2009-07-14 21:09 -------- d-----w- C:\FindyKill
2009-07-14 19:10 . 2009-07-14 19:56 -------- d-----w- C:\Lop SD
2009-07-14 18:46 . 2009-07-14 21:22 -------- d-----w- c:\program files\trend micro
2009-07-14 18:46 . 2009-07-14 18:46 -------- d-----w- C:\rsit
2009-07-14 16:12 . 2009-07-14 16:12 85 ----a-w- c:\windows\system32\geyekrspuknoie.dat
2009-07-14 16:12 . 2009-07-14 16:12 18944 ----a-w- c:\windows\system32\geyekriprgnbju.dll
2009-07-14 16:12 . 2009-07-14 16:12 42496 ----a-w- c:\windows\system32\geyekrodjukhwt.dll
2009-07-14 16:12 . 2009-07-14 16:12 68608 ----a-w- c:\windows\system32\drivers\geyekrakuuuvqf.sys
2009-07-14 15:59 . 2009-07-14 16:07 10142 ----a-w- c:\documents and settings\All Users\Application Data\DVD X Studios\DVD X Player 4.1 Professional\DVDXPlayer.dll
2009-07-14 15:59 . 2009-07-14 15:59 14 ----a-w- c:\windows\system32\SystemInfo32.sys
2009-07-14 15:59 . 2009-07-14 15:59 -------- d-----w- c:\documents and settings\All Users\Application Data\DVD X Studios
2009-07-14 14:16 . 2009-07-14 14:19 17828326 ----a-w- c:\program files\vlc-1.0.0-win32.exe
2009-07-13 16:48 . 2009-07-13 14:06 15688 ----a-w- c:\windows\system32\lsdelete.exe
2009-07-13 14:05 . 2009-07-13 14:05 629072 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\AAWWSC.exe
2009-07-13 14:05 . 2009-07-13 14:05 520024 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\AAWTray.exe
2009-07-13 14:05 . 2009-07-13 14:05 1029456 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\AAWService.exe
2009-07-13 13:51 . 2009-01-18 21:43 2892112 -c--a-w- c:\documents and settings\All Users\Application Data\{83C91755-2546-441D-AC40-9A6B4B860800}\Ad-AwareAE.exe
2009-07-13 13:51 . 2009-07-13 13:51 -------- d-----w- c:\program files\Lavasoft
2009-07-13 13:35 . 2009-07-13 13:51 -------- dc-h--w- c:\documents and settings\All Users\Application Data\{83C91755-2546-441D-AC40-9A6B4B860800}
2009-07-13 13:30 . 2009-07-13 13:30 34543112 ----a-w- c:\program files\Ad-AwareAE.exe
2009-07-13 09:23 . 2009-07-13 09:23 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache
2009-07-13 07:44 . 2009-06-02 10:12 102912 ------w- c:\windows\system32\dllcache\iecompat.dll
2009-07-13 07:43 . 2009-07-13 07:45 -------- d-----w- c:\windows\ie8updates
2009-07-13 07:38 . 2009-04-30 21:16 12800 ------w- c:\windows\system32\dllcache\xpshims.dll
2009-07-13 07:38 . 2009-04-30 21:16 246272 ------w- c:\windows\system32\dllcache\ieproxy.dll
2009-07-13 07:28 . 2009-07-13 07:38 -------- dc-h--w- c:\windows\ie8
2009-07-12 20:15 . 2009-07-12 20:16 8171320 ----a-w- c:\program files\Firefox Setup 3.5.exe
2009-07-12 19:00 . 2009-07-12 19:00 -------- d-----w- c:\program files\Windows Installer Clean Up
2009-07-12 18:59 . 2009-07-12 19:00 -------- d-----w- c:\program files\MSECACHE
2009-07-12 18:57 . 2009-02-05 20:06 23152 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2009-07-12 18:57 . 2009-02-05 20:06 51376 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2009-07-12 18:56 . 2009-02-05 20:05 26944 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2009-07-12 18:56 . 2009-02-05 20:04 97480 ----a-w- c:\windows\system32\AvastSS.scr
2009-07-12 18:56 . 2009-02-05 20:07 114768 ----a-w- c:\windows\system32\drivers\aswSP.sys
2009-07-12 18:56 . 2009-02-05 20:07 20560 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2009-07-12 18:56 . 2009-02-05 20:08 93296 ----a-w- c:\windows\system32\drivers\aswmon.sys
2009-07-12 18:56 . 2009-02-05 20:08 94032 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2009-07-12 18:56 . 2009-02-05 20:11 1256296 ----a-w- c:\windows\system32\aswBoot.exe
2009-07-12 18:04 . 2009-07-12 18:04 308160 ----a-w- c:\program files\avast_home_setup.exe
2009-07-04 07:54 . 2009-07-04 07:54 -------- d-----w- c:\program files\iPod
2009-07-04 07:41 . 2009-07-04 07:44 77690152 ----a-w- c:\program files\iTunesSetup.exe
2009-06-27 11:58 . 2009-06-27 12:10 -------- d-----w- c:\program files\Anuman Interactive
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-14 21:07 . 2004-08-17 09:31 76922 ----a-w- c:\windows\system32\perfc00C.dat
2009-07-14 21:07 . 2004-08-17 09:31 470610 ----a-w- c:\windows\system32\perfh00C.dat
2009-07-13 13:33 . 2008-07-13 14:02 -------- d-----w- c:\program files\Spybot - Search & Destroy
2009-07-13 13:33 . 2008-07-13 14:02 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-07-12 20:03 . 2006-12-26 11:30 -------- d-----w- c:\program files\Musicmatch
2009-07-12 19:41 . 2006-12-24 19:12 -------- d-----w- c:\program files\Fichiers communs\Teleca Shared
2009-07-12 17:47 . 2006-08-23 16:22 -------- d-----w- c:\program files\Messenger Plus! Live
2009-07-12 14:33 . 2006-04-13 06:30 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-07-12 14:28 . 2008-04-18 07:15 -------- d-----w- c:\program files\MRIcro
2009-07-12 14:23 . 2006-04-13 06:33 -------- d-----w- c:\program files\Java
2009-07-12 13:51 . 2006-08-20 12:09 -------- d-----w- c:\program files\Microsoft Games
2009-07-04 07:55 . 2007-08-18 10:36 -------- d-----w- c:\program files\iTunes
2009-07-04 07:54 . 2007-08-18 10:34 -------- d-----w- c:\program files\Fichiers communs\Apple
2009-07-04 07:52 . 2007-08-18 10:27 -------- d-----w- c:\program files\QuickTime
2009-07-04 07:49 . 2007-08-18 10:34 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple
2009-07-02 07:16 . 2006-08-19 20:17 113561 ----a-w- c:\windows\hpoins07.dat
2009-07-01 15:49 . 2006-10-01 08:11 4704 --sha-w- c:\windows\system32\KGyGaAvL.sys
2009-06-05 11:57 . 2009-06-05 11:57 75048 ----a-w- c:\documents and settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 8.2.0.23\SetupAdmin.exe
2009-06-05 09:42 . 2009-04-04 09:30 2060288 ----a-w- c:\windows\system32\usbaaplrc.dll
2009-06-05 09:42 . 2008-11-22 12:10 39424 ----a-w- c:\windows\system32\drivers\usbaapl.sys
2009-05-13 05:04 . 2004-08-05 08:00 915456 ----a-w- c:\windows\system32\wininet.dll
2009-05-07 15:43 . 2004-08-05 08:00 347136 ----a-w- c:\windows\system32\localspl.dll
2009-04-19 20:09 . 2004-08-05 08:00 1846784 ----a-w- c:\windows\system32\win32k.sys
2009-04-18 14:04 . 2009-04-18 14:04 6025212 ----a-w- c:\program files\FreeVideoToiPhoneConverter.exe
2009-04-18 13:56 . 2009-04-18 13:56 5548636 ----a-w- c:\program files\m-iphone-video-converter-for-win.exe
2009-04-07 06:57 . 2009-04-07 06:56 143875176 ----a-w- c:\program files\OOo_3.0.1_Win32Intel_install_wJRE_fr.exe
2009-03-26 15:31 . 2009-03-26 15:31 3342809 ----a-w- c:\program files\eMule0.49c-Installer.exe
2009-03-26 15:30 . 2009-03-26 15:30 2633070 ----a-w- c:\program files\emule049b.exe
2009-02-13 13:43 . 2009-02-13 13:43 4454099 ----a-w- c:\program files\techlogg.com-toneshop-build21-i386-win32.exe
2008-11-29 08:09 . 2008-11-29 08:09 6904036 ----a-w- c:\program files\nvu-1.0-win32-installer-full.exe
2008-07-13 11:17 . 2008-07-13 11:13 15083520 ----a-w- c:\program files\spybotsd160.exe
2008-07-10 09:18 . 2008-07-10 09:18 874856 ----a-w- c:\program files\BitTorrent-6.0.3.exe
2008-06-22 12:43 . 2008-06-22 12:43 19096706 ----a-w- c:\program files\izispot.exe
2008-06-21 10:51 . 2008-06-21 10:49 7599856 ----a-w- c:\program files\Firefox Setup 3.0.exe
2008-04-18 07:13 . 2008-04-18 07:13 6343320 ----a-w- c:\program files\mrizip.zip
2008-02-11 07:15 . 2008-02-11 07:15 19858624 ----a-w- c:\program files\setupfre.exe
2007-08-21 16:22 . 2007-08-21 16:22 6652812 ----a-w- c:\program files\sld.codec.pack.2.2.exe
2007-08-18 17:41 . 2007-08-18 17:41 18272684 ----a-w- c:\program files\FTB614.exe
2007-07-04 18:46 . 2007-07-04 18:46 22186192 ----a-w- c:\program files\DivXInstaller.exe
2007-07-02 19:38 . 2007-07-02 19:38 370328 ----a-w- c:\program files\jre-6u1-windows-i586-p-iftw.exe
2007-02-15 14:34 . 2008-02-27 20:56 6418 ----a-w- c:\program files\readme.txt
2007-02-15 01:23 . 2008-02-27 20:56 10984 ----a-w- c:\program files\changelog.txt
2006-10-01 08:09 . 2006-10-01 08:09 207529840 ----a-w- c:\program files\PaintShopPro1100_EN_DE_FR_ES_IT_NL_CORELTBYB_ESD.exe
2009-06-24 15:27 . 2008-06-22 11:20 137208 ----a-w- c:\program files\mozilla firefox\components\brwsrcmp.dll
2006-09-28 17:09 . 2006-10-01 08:11 88 --sh--r- c:\windows\system32\C917B0E5BD.sys
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2009-02-06 3885408]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-05 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"QPService"="c:\program files\HP\QuickPlay\QPService.exe" [2005-12-12 94208]
"eabconfg.cpl"="c:\program files\HPQ\Quick Launch Buttons\EabServr.exe" [2005-12-22 405504]
"Cpqset"="c:\program files\HPQ\Default Settings\cpqset.exe" [2005-08-01 233534]
"RecGuard"="c:\windows\SMINST\RecGuard.exe" [2005-10-11 1187840]
"hpWirelessAssistant"="c:\program files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2005-12-13 507904]
"ContentTransferWMDetector.exe"="c:\program files\Sony\Content Transfer\ContentTransferWMDetector.exe" [2008-07-11 423200]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-05-26 413696]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-06-05 292136]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]
"Ad-Watch"="c:\program files\Lavasoft\Ad-Aware\AAWTray.exe" [2009-07-13 520024]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-02-06 3885408]
c:\documents and settings\B‚n‚dicte\Menu D‚marrer\Programmes\D‚marrage\
desktop(2).ini [2004-8-17 84]
OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiHacker]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\WINDOWS\\system32\\rtcshare.exe"=
"c:\\Program Files\\NetMeeting\\conf.exe"=
"c:\\Program Files\\BitTorrent\\bittorrent.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
R0 Klpf;Klpf;c:\windows\system32\drivers\Klpf.sys [04/08/2005 17:19 25139]
R0 Klpid;Klpid;c:\windows\system32\drivers\Klpid.sys [04/08/2005 17:19 31862]
R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [13/07/2009 16:06 64160]
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [12/07/2009 20:56 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [12/07/2009 20:56 20560]
R2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr_tdi.sys [21/03/2009 10:15 55152]
R3 HSFHWATI;HSFHWATI;c:\windows\system32\drivers\HSFHWATI.sys [22/08/2005 11:06 231424]
S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [18/01/2009 23:34 1029456]
S3 fsssvc;Windows Live Contrôle parental;c:\program files\Windows Live\Family Safety\fsssvc.exe [06/02/2009 19:08 533360]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Contents of the 'Scheduled Tasks' folder
2009-07-13 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-01-18 14:06]
2009-07-11 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
2009-09-03 c:\windows\Tasks\WebReg psc 1400 series.job
- c:\program files\HP\Digital Imaging\bin\hpqwrg.exe [2005-05-11 14:45]
.
- - - - ORPHANS REMOVED - - - -
WebBrowser-{A057A204-BACC-4D26-8287-79A187E26987} - (no file)
HKCU-Run-swg - c:\program files\Google\GoogleToolbarNotifier\1.2.908.8472\GoogleToolbarNotifier.exe
HKLM-Run-chic media time up - c:\documents and settings\All Users\Application Data\bodyshowchicmedia\mathcake.exe
HKLM-Run-16391094 - c:\documents and settings\All Users\Application Data\16391094\16391094.exe
.
------- Supplementary Scan -------
.
uStart Page = hxxp://google.fr/
uInternet Connection Wizard,ShellNext = hxxp://www.hp.com/fr/extension-garantie/iconlanding
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000
Trusted Zone: localhost
FF - ProfilePath - c:\documents and settings\Bénédicte\Application Data\Mozilla\Firefox\Profiles\bvfzkeyj.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr
FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npbittorrent.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - plugin: c:\program files\Windows Media Player\npdsplay(2).dll
---- FIREFOX POLICIES ----
pref(dom.disable_open_during_load, false);FF - user.js: yahoo.homepage.dontask - truec:\program files\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota", 5120);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json");
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-15 10:36
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Cpqset = c:\program files\HPQ\Default Settings\cpqset.exe????????????n??|?????? ???B?????????????hLC? ??????
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
- - - - - - - > 'winlogon.exe'(788)
c:\windows\system32\Ati2evxx.dll
.
Completion time: 2009-07-15 10:41
ComboFix-quarantined-files.txt 2009-07-15 08:40
Pre-Run: 49 762 238 464 octets libres
Post-Run: 49 758 318 592 octets libres
297 --- E O F --- 2009-07-13 07:45
Voila
ComboFix 09-07-14.07 - Bénédicte 15/07/2009 10:28.1.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.894.560 [GMT 2:00]
Running from: c:\documents and settings\Bénédicte\Bureau\Moi.exe
AV: avast! antivirus 4.8.1335 [VPS 090714-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
FW: Anti-Hacker *disabled* {0BB8CA15-F396-46C7-9A59-108D852CFEC0}
FW: Norton Internet Worm Protection *disabled* {990F9400-4CEE-43EA-A83A-D013ADD8EA6E}
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\All Users\Application Data\16391094
c:\documents and settings\All Users\Application Data\16391094\16391094
c:\documents and settings\All Users\Application Data\16391094\16391094.exe
c:\program files\\setup.exe
c:\windows\Installer\1310bc.msp
c:\windows\Installer\929b4.msp
c:\windows\msa.exe
c:\windows\system32\404Fix.exe
c:\windows\system32\Agent.OMZ.Fix.exe
c:\windows\system32\dumphive.exe
c:\windows\system32\IEDFix.C.exe
c:\windows\system32\IEDFix.exe
c:\windows\system32\o4Patch.exe
c:\windows\system32\Process.exe
c:\windows\system32\SrchSTS.exe
c:\windows\system32\tmp.reg
c:\windows\system32\uacinit.dll
c:\windows\system32\UACmddpyplbekhrvxtpu.dll
c:\windows\system32\UACpjjaxcguelvyfddde.db
c:\windows\system32\UACshvfdieuabtqcqjsj.dat
c:\windows\system32\VACFix.exe
c:\windows\system32\VCCLSID.exe
c:\windows\system32\WS2Fix.exe
c:\windows\Tasks\{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job
c:\windows\Tasks\{783AF354-B514-42d6-970E-3E8BF0A5279C}.job
.
((((((((((((((((((((((((( Files Created from 2009-06-15 to 2009-07-15 )))))))))))))))))))))))))))))))
.
2009-07-14 20:17 . 2009-07-14 21:09 -------- d-----w- C:\FindyKill
2009-07-14 19:10 . 2009-07-14 19:56 -------- d-----w- C:\Lop SD
2009-07-14 18:46 . 2009-07-14 21:22 -------- d-----w- c:\program files\trend micro
2009-07-14 18:46 . 2009-07-14 18:46 -------- d-----w- C:\rsit
2009-07-14 16:12 . 2009-07-14 16:12 85 ----a-w- c:\windows\system32\geyekrspuknoie.dat
2009-07-14 16:12 . 2009-07-14 16:12 18944 ----a-w- c:\windows\system32\geyekriprgnbju.dll
2009-07-14 16:12 . 2009-07-14 16:12 42496 ----a-w- c:\windows\system32\geyekrodjukhwt.dll
2009-07-14 16:12 . 2009-07-14 16:12 68608 ----a-w- c:\windows\system32\drivers\geyekrakuuuvqf.sys
2009-07-14 15:59 . 2009-07-14 16:07 10142 ----a-w- c:\documents and settings\All Users\Application Data\DVD X Studios\DVD X Player 4.1 Professional\DVDXPlayer.dll
2009-07-14 15:59 . 2009-07-14 15:59 14 ----a-w- c:\windows\system32\SystemInfo32.sys
2009-07-14 15:59 . 2009-07-14 15:59 -------- d-----w- c:\documents and settings\All Users\Application Data\DVD X Studios
2009-07-14 14:16 . 2009-07-14 14:19 17828326 ----a-w- c:\program files\vlc-1.0.0-win32.exe
2009-07-13 16:48 . 2009-07-13 14:06 15688 ----a-w- c:\windows\system32\lsdelete.exe
2009-07-13 14:05 . 2009-07-13 14:05 629072 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\AAWWSC.exe
2009-07-13 14:05 . 2009-07-13 14:05 520024 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\AAWTray.exe
2009-07-13 14:05 . 2009-07-13 14:05 1029456 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\AAWService.exe
2009-07-13 13:51 . 2009-01-18 21:43 2892112 -c--a-w- c:\documents and settings\All Users\Application Data\{83C91755-2546-441D-AC40-9A6B4B860800}\Ad-AwareAE.exe
2009-07-13 13:51 . 2009-07-13 13:51 -------- d-----w- c:\program files\Lavasoft
2009-07-13 13:35 . 2009-07-13 13:51 -------- dc-h--w- c:\documents and settings\All Users\Application Data\{83C91755-2546-441D-AC40-9A6B4B860800}
2009-07-13 13:30 . 2009-07-13 13:30 34543112 ----a-w- c:\program files\Ad-AwareAE.exe
2009-07-13 09:23 . 2009-07-13 09:23 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache
2009-07-13 07:44 . 2009-06-02 10:12 102912 ------w- c:\windows\system32\dllcache\iecompat.dll
2009-07-13 07:43 . 2009-07-13 07:45 -------- d-----w- c:\windows\ie8updates
2009-07-13 07:38 . 2009-04-30 21:16 12800 ------w- c:\windows\system32\dllcache\xpshims.dll
2009-07-13 07:38 . 2009-04-30 21:16 246272 ------w- c:\windows\system32\dllcache\ieproxy.dll
2009-07-13 07:28 . 2009-07-13 07:38 -------- dc-h--w- c:\windows\ie8
2009-07-12 20:15 . 2009-07-12 20:16 8171320 ----a-w- c:\program files\Firefox Setup 3.5.exe
2009-07-12 19:00 . 2009-07-12 19:00 -------- d-----w- c:\program files\Windows Installer Clean Up
2009-07-12 18:59 . 2009-07-12 19:00 -------- d-----w- c:\program files\MSECACHE
2009-07-12 18:57 . 2009-02-05 20:06 23152 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2009-07-12 18:57 . 2009-02-05 20:06 51376 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2009-07-12 18:56 . 2009-02-05 20:05 26944 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2009-07-12 18:56 . 2009-02-05 20:04 97480 ----a-w- c:\windows\system32\AvastSS.scr
2009-07-12 18:56 . 2009-02-05 20:07 114768 ----a-w- c:\windows\system32\drivers\aswSP.sys
2009-07-12 18:56 . 2009-02-05 20:07 20560 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2009-07-12 18:56 . 2009-02-05 20:08 93296 ----a-w- c:\windows\system32\drivers\aswmon.sys
2009-07-12 18:56 . 2009-02-05 20:08 94032 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2009-07-12 18:56 . 2009-02-05 20:11 1256296 ----a-w- c:\windows\system32\aswBoot.exe
2009-07-12 18:04 . 2009-07-12 18:04 308160 ----a-w- c:\program files\avast_home_setup.exe
2009-07-04 07:54 . 2009-07-04 07:54 -------- d-----w- c:\program files\iPod
2009-07-04 07:41 . 2009-07-04 07:44 77690152 ----a-w- c:\program files\iTunesSetup.exe
2009-06-27 11:58 . 2009-06-27 12:10 -------- d-----w- c:\program files\Anuman Interactive
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-14 21:07 . 2004-08-17 09:31 76922 ----a-w- c:\windows\system32\perfc00C.dat
2009-07-14 21:07 . 2004-08-17 09:31 470610 ----a-w- c:\windows\system32\perfh00C.dat
2009-07-13 13:33 . 2008-07-13 14:02 -------- d-----w- c:\program files\Spybot - Search & Destroy
2009-07-13 13:33 . 2008-07-13 14:02 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-07-12 20:03 . 2006-12-26 11:30 -------- d-----w- c:\program files\Musicmatch
2009-07-12 19:41 . 2006-12-24 19:12 -------- d-----w- c:\program files\Fichiers communs\Teleca Shared
2009-07-12 17:47 . 2006-08-23 16:22 -------- d-----w- c:\program files\Messenger Plus! Live
2009-07-12 14:33 . 2006-04-13 06:30 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-07-12 14:28 . 2008-04-18 07:15 -------- d-----w- c:\program files\MRIcro
2009-07-12 14:23 . 2006-04-13 06:33 -------- d-----w- c:\program files\Java
2009-07-12 13:51 . 2006-08-20 12:09 -------- d-----w- c:\program files\Microsoft Games
2009-07-04 07:55 . 2007-08-18 10:36 -------- d-----w- c:\program files\iTunes
2009-07-04 07:54 . 2007-08-18 10:34 -------- d-----w- c:\program files\Fichiers communs\Apple
2009-07-04 07:52 . 2007-08-18 10:27 -------- d-----w- c:\program files\QuickTime
2009-07-04 07:49 . 2007-08-18 10:34 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple
2009-07-02 07:16 . 2006-08-19 20:17 113561 ----a-w- c:\windows\hpoins07.dat
2009-07-01 15:49 . 2006-10-01 08:11 4704 --sha-w- c:\windows\system32\KGyGaAvL.sys
2009-06-05 11:57 . 2009-06-05 11:57 75048 ----a-w- c:\documents and settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 8.2.0.23\SetupAdmin.exe
2009-06-05 09:42 . 2009-04-04 09:30 2060288 ----a-w- c:\windows\system32\usbaaplrc.dll
2009-06-05 09:42 . 2008-11-22 12:10 39424 ----a-w- c:\windows\system32\drivers\usbaapl.sys
2009-05-13 05:04 . 2004-08-05 08:00 915456 ----a-w- c:\windows\system32\wininet.dll
2009-05-07 15:43 . 2004-08-05 08:00 347136 ----a-w- c:\windows\system32\localspl.dll
2009-04-19 20:09 . 2004-08-05 08:00 1846784 ----a-w- c:\windows\system32\win32k.sys
2009-04-18 14:04 . 2009-04-18 14:04 6025212 ----a-w- c:\program files\FreeVideoToiPhoneConverter.exe
2009-04-18 13:56 . 2009-04-18 13:56 5548636 ----a-w- c:\program files\m-iphone-video-converter-for-win.exe
2009-04-07 06:57 . 2009-04-07 06:56 143875176 ----a-w- c:\program files\OOo_3.0.1_Win32Intel_install_wJRE_fr.exe
2009-03-26 15:31 . 2009-03-26 15:31 3342809 ----a-w- c:\program files\eMule0.49c-Installer.exe
2009-03-26 15:30 . 2009-03-26 15:30 2633070 ----a-w- c:\program files\emule049b.exe
2009-02-13 13:43 . 2009-02-13 13:43 4454099 ----a-w- c:\program files\techlogg.com-toneshop-build21-i386-win32.exe
2008-11-29 08:09 . 2008-11-29 08:09 6904036 ----a-w- c:\program files\nvu-1.0-win32-installer-full.exe
2008-07-13 11:17 . 2008-07-13 11:13 15083520 ----a-w- c:\program files\spybotsd160.exe
2008-07-10 09:18 . 2008-07-10 09:18 874856 ----a-w- c:\program files\BitTorrent-6.0.3.exe
2008-06-22 12:43 . 2008-06-22 12:43 19096706 ----a-w- c:\program files\izispot.exe
2008-06-21 10:51 . 2008-06-21 10:49 7599856 ----a-w- c:\program files\Firefox Setup 3.0.exe
2008-04-18 07:13 . 2008-04-18 07:13 6343320 ----a-w- c:\program files\mrizip.zip
2008-02-11 07:15 . 2008-02-11 07:15 19858624 ----a-w- c:\program files\setupfre.exe
2007-08-21 16:22 . 2007-08-21 16:22 6652812 ----a-w- c:\program files\sld.codec.pack.2.2.exe
2007-08-18 17:41 . 2007-08-18 17:41 18272684 ----a-w- c:\program files\FTB614.exe
2007-07-04 18:46 . 2007-07-04 18:46 22186192 ----a-w- c:\program files\DivXInstaller.exe
2007-07-02 19:38 . 2007-07-02 19:38 370328 ----a-w- c:\program files\jre-6u1-windows-i586-p-iftw.exe
2007-02-15 14:34 . 2008-02-27 20:56 6418 ----a-w- c:\program files\readme.txt
2007-02-15 01:23 . 2008-02-27 20:56 10984 ----a-w- c:\program files\changelog.txt
2006-10-01 08:09 . 2006-10-01 08:09 207529840 ----a-w- c:\program files\PaintShopPro1100_EN_DE_FR_ES_IT_NL_CORELTBYB_ESD.exe
2009-06-24 15:27 . 2008-06-22 11:20 137208 ----a-w- c:\program files\mozilla firefox\components\brwsrcmp.dll
2006-09-28 17:09 . 2006-10-01 08:11 88 --sh--r- c:\windows\system32\C917B0E5BD.sys
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2009-02-06 3885408]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-05 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"QPService"="c:\program files\HP\QuickPlay\QPService.exe" [2005-12-12 94208]
"eabconfg.cpl"="c:\program files\HPQ\Quick Launch Buttons\EabServr.exe" [2005-12-22 405504]
"Cpqset"="c:\program files\HPQ\Default Settings\cpqset.exe" [2005-08-01 233534]
"RecGuard"="c:\windows\SMINST\RecGuard.exe" [2005-10-11 1187840]
"hpWirelessAssistant"="c:\program files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2005-12-13 507904]
"ContentTransferWMDetector.exe"="c:\program files\Sony\Content Transfer\ContentTransferWMDetector.exe" [2008-07-11 423200]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-05-26 413696]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-06-05 292136]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]
"Ad-Watch"="c:\program files\Lavasoft\Ad-Aware\AAWTray.exe" [2009-07-13 520024]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-02-06 3885408]
c:\documents and settings\B‚n‚dicte\Menu D‚marrer\Programmes\D‚marrage\
desktop(2).ini [2004-8-17 84]
OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiHacker]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\WINDOWS\\system32\\rtcshare.exe"=
"c:\\Program Files\\NetMeeting\\conf.exe"=
"c:\\Program Files\\BitTorrent\\bittorrent.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
R0 Klpf;Klpf;c:\windows\system32\drivers\Klpf.sys [04/08/2005 17:19 25139]
R0 Klpid;Klpid;c:\windows\system32\drivers\Klpid.sys [04/08/2005 17:19 31862]
R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [13/07/2009 16:06 64160]
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [12/07/2009 20:56 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [12/07/2009 20:56 20560]
R2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr_tdi.sys [21/03/2009 10:15 55152]
R3 HSFHWATI;HSFHWATI;c:\windows\system32\drivers\HSFHWATI.sys [22/08/2005 11:06 231424]
S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [18/01/2009 23:34 1029456]
S3 fsssvc;Windows Live Contrôle parental;c:\program files\Windows Live\Family Safety\fsssvc.exe [06/02/2009 19:08 533360]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Contents of the 'Scheduled Tasks' folder
2009-07-13 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-01-18 14:06]
2009-07-11 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
2009-09-03 c:\windows\Tasks\WebReg psc 1400 series.job
- c:\program files\HP\Digital Imaging\bin\hpqwrg.exe [2005-05-11 14:45]
.
- - - - ORPHANS REMOVED - - - -
WebBrowser-{A057A204-BACC-4D26-8287-79A187E26987} - (no file)
HKCU-Run-swg - c:\program files\Google\GoogleToolbarNotifier\1.2.908.8472\GoogleToolbarNotifier.exe
HKLM-Run-chic media time up - c:\documents and settings\All Users\Application Data\bodyshowchicmedia\mathcake.exe
HKLM-Run-16391094 - c:\documents and settings\All Users\Application Data\16391094\16391094.exe
.
------- Supplementary Scan -------
.
uStart Page = hxxp://google.fr/
uInternet Connection Wizard,ShellNext = hxxp://www.hp.com/fr/extension-garantie/iconlanding
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000
Trusted Zone: localhost
FF - ProfilePath - c:\documents and settings\Bénédicte\Application Data\Mozilla\Firefox\Profiles\bvfzkeyj.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr
FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npbittorrent.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - plugin: c:\program files\Windows Media Player\npdsplay(2).dll
---- FIREFOX POLICIES ----
pref(dom.disable_open_during_load, false);FF - user.js: yahoo.homepage.dontask - truec:\program files\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota", 5120);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json");
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-15 10:36
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Cpqset = c:\program files\HPQ\Default Settings\cpqset.exe????????????n??|?????? ???B?????????????hLC? ??????
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
- - - - - - - > 'winlogon.exe'(788)
c:\windows\system32\Ati2evxx.dll
.
Completion time: 2009-07-15 10:41
ComboFix-quarantined-files.txt 2009-07-15 08:40
Pre-Run: 49 762 238 464 octets libres
Post-Run: 49 758 318 592 octets libres
297 --- E O F --- 2009-07-13 07:45
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
=> Je t'ai dit d'installer le console !! ...
Bref ...
Tu es infectée par une nouvelle variante du rootkit tibs ...
==================================================================
Fais ça
- Rends toi sur ce site :
https://www.virustotal.com/gui/
Copie ce qui suit et colles le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé ) :
c:\windows\system32\C917B0E5BD.sys
Clique sur Send File ( = " Envoyer le fichier " ).
Un rapport va s'élaborer ligne à ligne.
Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.
Sauvegarde le rapport avec le bloc-note.
Copie le dans ta prochaine réponse ...
( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )
Même chose pour :
c:\windows\system32\SystemInfo32.sys
Ensuite :
* Copie le texte ci-dessous :
File::
c:\windows\system32\geyekrspuknoie.dat
c:\windows\system32\geyekriprgnbju.dll
c:\windows\system32\geyekrodjukhwt.dll
c:\windows\system32\drivers\geyekrakuuuvqf.sys
- Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
- Sauvegarde ce fichier sous le nom de CFScript.txt
- Glisse maintenant le fichier CFScript.txt dans Moi.exe comme ceci
Cela va relancer Combofix,
Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Après redémarrage, poste le contenu du rapport Combofix.txt
===========================================================
=> Je t'ai dit d'installer le console !! ...
Bref ...
Tu es infectée par une nouvelle variante du rootkit tibs ...
==================================================================
Fais ça
- Rends toi sur ce site :
https://www.virustotal.com/gui/
Copie ce qui suit et colles le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé ) :
c:\windows\system32\C917B0E5BD.sys
Clique sur Send File ( = " Envoyer le fichier " ).
Un rapport va s'élaborer ligne à ligne.
Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.
Sauvegarde le rapport avec le bloc-note.
Copie le dans ta prochaine réponse ...
( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )
Même chose pour :
c:\windows\system32\SystemInfo32.sys
Ensuite :
* Copie le texte ci-dessous :
File::
c:\windows\system32\geyekrspuknoie.dat
c:\windows\system32\geyekriprgnbju.dll
c:\windows\system32\geyekrodjukhwt.dll
c:\windows\system32\drivers\geyekrakuuuvqf.sys
- Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
- Sauvegarde ce fichier sous le nom de CFScript.txt
- Glisse maintenant le fichier CFScript.txt dans Moi.exe comme ceci
Cela va relancer Combofix,
Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Après redémarrage, poste le contenu du rapport Combofix.txt
===========================================================
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.24 2009.07.15 -
AhnLab-V3 5.0.0.2 2009.07.15 -
AntiVir 7.9.0.215 2009.07.15 -
Antiy-AVL 2.0.3.7 2009.07.15 -
Authentium 5.1.2.4 2009.07.14 -
Avast 4.8.1335.0 2009.07.14 -
AVG 8.5.0.387 2009.07.14 -
BitDefender 7.2 2009.07.15 -
CAT-QuickHeal 10.00 2009.07.15 -
ClamAV 0.94.1 2009.07.15 -
Comodo 1657 2009.07.15 -
DrWeb 5.0.0.12182 2009.07.15 -
eSafe 7.0.17.0 2009.07.14 -
eTrust-Vet 31.6.6615 2009.07.14 -
F-Prot 4.4.4.56 2009.07.14 -
F-Secure 8.0.14470.0 2009.07.15 -
Fortinet 3.120.0.0 2009.07.15 -
GData 19 2009.07.15 -
Ikarus T3.1.1.64.0 2009.07.15 -
Jiangmin 11.0.706 2009.07.15 -
K7AntiVirus 7.10.792 2009.07.14 -
Kaspersky 7.0.0.125 2009.07.15 -
McAfee 5676 2009.07.14 -
McAfee+Artemis 5676 2009.07.14 -
McAfee-GW-Edition 6.8.5 2009.07.15 -
Microsoft 1.4803 2009.07.15 -
NOD32 4245 2009.07.15 -
Norman 6.01.09 2009.07.14 -
nProtect 2009.1.8.0 2009.07.15 -
Panda 10.0.0.14 2009.07.14 -
PCTools 4.4.2.0 2009.07.14 -
Prevx 3.0 2009.07.15 -
Rising 21.38.21.00 2009.07.15 -
Sophos 4.43.0 2009.07.15 -
Sunbelt 3.2.1858.2 2009.07.15 -
Symantec 1.4.4.12 2009.07.15 -
TheHacker 6.3.4.3.367 2009.07.14 -
TrendMicro 8.950.0.1094 2009.07.15 -
VBA32 3.12.10.8 2009.07.15 -
ViRobot 2009.7.15.1836 2009.07.15 -
VirusBuster 4.6.5.0 2009.07.14 -
Information additionnelle
File size: 88 bytes
MD5...: 0b9dc97a5f8445fbdd68ba0269578d50
SHA1..: 8c841e3bba3b0488275dc355b252e2eee797aa0f
SHA256: 2b8be48f7122c0f1ae8191ceb43ca119c28a5ed54fb025528ea9159dc3ea4c71
ssdeep: 3:hl/JgMlll/zjrtU:K2zW
PEiD..: -
TrID..: File type identification
MS Flight Simulator Aircraft Performance Info (100.0%)
PEInfo: -
PDFiD.: -
RDS...: NSRL Reference Data Set
-
a-squared 4.5.0.24 2009.07.15 -
AhnLab-V3 5.0.0.2 2009.07.15 -
AntiVir 7.9.0.215 2009.07.15 -
Antiy-AVL 2.0.3.7 2009.07.15 -
Authentium 5.1.2.4 2009.07.14 -
Avast 4.8.1335.0 2009.07.14 -
AVG 8.5.0.387 2009.07.14 -
BitDefender 7.2 2009.07.15 -
CAT-QuickHeal 10.00 2009.07.15 -
ClamAV 0.94.1 2009.07.15 -
Comodo 1657 2009.07.15 -
DrWeb 5.0.0.12182 2009.07.15 -
eSafe 7.0.17.0 2009.07.14 -
eTrust-Vet 31.6.6615 2009.07.14 -
F-Prot 4.4.4.56 2009.07.14 -
F-Secure 8.0.14470.0 2009.07.15 -
Fortinet 3.120.0.0 2009.07.15 -
GData 19 2009.07.15 -
Ikarus T3.1.1.64.0 2009.07.15 -
Jiangmin 11.0.706 2009.07.15 -
K7AntiVirus 7.10.792 2009.07.14 -
Kaspersky 7.0.0.125 2009.07.15 -
McAfee 5676 2009.07.14 -
McAfee+Artemis 5676 2009.07.14 -
McAfee-GW-Edition 6.8.5 2009.07.15 -
Microsoft 1.4803 2009.07.15 -
NOD32 4245 2009.07.15 -
Norman 6.01.09 2009.07.14 -
nProtect 2009.1.8.0 2009.07.15 -
Panda 10.0.0.14 2009.07.14 -
PCTools 4.4.2.0 2009.07.14 -
Prevx 3.0 2009.07.15 -
Rising 21.38.21.00 2009.07.15 -
Sophos 4.43.0 2009.07.15 -
Sunbelt 3.2.1858.2 2009.07.15 -
Symantec 1.4.4.12 2009.07.15 -
TheHacker 6.3.4.3.367 2009.07.14 -
TrendMicro 8.950.0.1094 2009.07.15 -
VBA32 3.12.10.8 2009.07.15 -
ViRobot 2009.7.15.1836 2009.07.15 -
VirusBuster 4.6.5.0 2009.07.14 -
Information additionnelle
File size: 88 bytes
MD5...: 0b9dc97a5f8445fbdd68ba0269578d50
SHA1..: 8c841e3bba3b0488275dc355b252e2eee797aa0f
SHA256: 2b8be48f7122c0f1ae8191ceb43ca119c28a5ed54fb025528ea9159dc3ea4c71
ssdeep: 3:hl/JgMlll/zjrtU:K2zW
PEiD..: -
TrID..: File type identification
MS Flight Simulator Aircraft Performance Info (100.0%)
PEInfo: -
PDFiD.: -
RDS...: NSRL Reference Data Set
-
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.24 2009.07.15 -
AhnLab-V3 5.0.0.2 2009.07.15 -
AntiVir 7.9.0.215 2009.07.15 -
Antiy-AVL 2.0.3.7 2009.07.15 -
Authentium 5.1.2.4 2009.07.14 -
Avast 4.8.1335.0 2009.07.14 -
AVG 8.5.0.387 2009.07.14 -
BitDefender 7.2 2009.07.15 -
CAT-QuickHeal 10.00 2009.07.15 -
ClamAV 0.94.1 2009.07.15 -
Comodo 1657 2009.07.15 -
DrWeb 5.0.0.12182 2009.07.15 -
eSafe 7.0.17.0 2009.07.14 -
eTrust-Vet 31.6.6615 2009.07.14 -
F-Prot 4.4.4.56 2009.07.14 -
F-Secure 8.0.14470.0 2009.07.15 -
Fortinet 3.120.0.0 2009.07.15 -
GData 19 2009.07.15 -
Ikarus T3.1.1.64.0 2009.07.15 -
Jiangmin 11.0.706 2009.07.15 -
K7AntiVirus 7.10.792 2009.07.14 -
Kaspersky 7.0.0.125 2009.07.15 -
McAfee 5676 2009.07.14 -
McAfee+Artemis 5676 2009.07.14 -
McAfee-GW-Edition 6.8.5 2009.07.15 -
Microsoft 1.4803 2009.07.15 -
NOD32 4245 2009.07.15 -
Norman 6.01.09 2009.07.14 -
nProtect 2009.1.8.0 2009.07.15 -
Panda 10.0.0.14 2009.07.14 -
PCTools 4.4.2.0 2009.07.14 -
Prevx 3.0 2009.07.15 -
Rising 21.38.21.00 2009.07.15 -
Sophos 4.43.0 2009.07.15 -
Sunbelt 3.2.1858.2 2009.07.15 -
Symantec 1.4.4.12 2009.07.15 -
TheHacker 6.3.4.3.367 2009.07.14 -
TrendMicro 8.950.0.1094 2009.07.15 -
VBA32 3.12.10.8 2009.07.15 -
ViRobot 2009.7.15.1836 2009.07.15 -
VirusBuster 4.6.5.0 2009.07.14 -
Information additionnelle
File size: 14 bytes
MD5...: 58d904a2fa970bc23b636c47cb60e649
SHA1..: 480556e9f81dbeec70c59cd54a21303bcf232d33
SHA256: e8fe555c024b59bff681e653e4bb1b5550f4d8052147a335d8487d6d3a976545
ssdeep: 3:Sc8y:S5y
PEiD..: -
TrID..: File type identification
Generic INI configuration (100.0%)
PEInfo: -
PDFiD.: -
RDS...: NSRL Reference Data Set
-
a-squared 4.5.0.24 2009.07.15 -
AhnLab-V3 5.0.0.2 2009.07.15 -
AntiVir 7.9.0.215 2009.07.15 -
Antiy-AVL 2.0.3.7 2009.07.15 -
Authentium 5.1.2.4 2009.07.14 -
Avast 4.8.1335.0 2009.07.14 -
AVG 8.5.0.387 2009.07.14 -
BitDefender 7.2 2009.07.15 -
CAT-QuickHeal 10.00 2009.07.15 -
ClamAV 0.94.1 2009.07.15 -
Comodo 1657 2009.07.15 -
DrWeb 5.0.0.12182 2009.07.15 -
eSafe 7.0.17.0 2009.07.14 -
eTrust-Vet 31.6.6615 2009.07.14 -
F-Prot 4.4.4.56 2009.07.14 -
F-Secure 8.0.14470.0 2009.07.15 -
Fortinet 3.120.0.0 2009.07.15 -
GData 19 2009.07.15 -
Ikarus T3.1.1.64.0 2009.07.15 -
Jiangmin 11.0.706 2009.07.15 -
K7AntiVirus 7.10.792 2009.07.14 -
Kaspersky 7.0.0.125 2009.07.15 -
McAfee 5676 2009.07.14 -
McAfee+Artemis 5676 2009.07.14 -
McAfee-GW-Edition 6.8.5 2009.07.15 -
Microsoft 1.4803 2009.07.15 -
NOD32 4245 2009.07.15 -
Norman 6.01.09 2009.07.14 -
nProtect 2009.1.8.0 2009.07.15 -
Panda 10.0.0.14 2009.07.14 -
PCTools 4.4.2.0 2009.07.14 -
Prevx 3.0 2009.07.15 -
Rising 21.38.21.00 2009.07.15 -
Sophos 4.43.0 2009.07.15 -
Sunbelt 3.2.1858.2 2009.07.15 -
Symantec 1.4.4.12 2009.07.15 -
TheHacker 6.3.4.3.367 2009.07.14 -
TrendMicro 8.950.0.1094 2009.07.15 -
VBA32 3.12.10.8 2009.07.15 -
ViRobot 2009.7.15.1836 2009.07.15 -
VirusBuster 4.6.5.0 2009.07.14 -
Information additionnelle
File size: 14 bytes
MD5...: 58d904a2fa970bc23b636c47cb60e649
SHA1..: 480556e9f81dbeec70c59cd54a21303bcf232d33
SHA256: e8fe555c024b59bff681e653e4bb1b5550f4d8052147a335d8487d6d3a976545
ssdeep: 3:Sc8y:S5y
PEiD..: -
TrID..: File type identification
Generic INI configuration (100.0%)
PEInfo: -
PDFiD.: -
RDS...: NSRL Reference Data Set
-
ComboFix 09-07-14.07 - Bénédicte 15/07/2009 11:30.2.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.894.447 [GMT 2:00]
Running from: c:\documents and settings\Bénédicte\Bureau\Moi.exe
Command switches used :: c:\documents and settings\Bénédicte\Bureau\CFScript.txt
AV: avast! antivirus 4.8.1335 [VPS 090714-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
FW: Anti-Hacker *disabled* {0BB8CA15-F396-46C7-9A59-108D852CFEC0}
FW: Norton Internet Worm Protection *disabled* {990F9400-4CEE-43EA-A83A-D013ADD8EA6E}
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
((((((((((((((((((((((((( Files Created from 2009-06-15 to 2009-07-15 )))))))))))))))))))))))))))))))
.
2009-07-14 20:17 . 2009-07-14 21:09 -------- d-----w- C:\FindyKill
2009-07-14 19:10 . 2009-07-14 19:56 -------- d-----w- C:\Lop SD
2009-07-14 18:46 . 2009-07-14 21:22 -------- d-----w- c:\program files\trend micro
2009-07-14 18:46 . 2009-07-14 18:46 -------- d-----w- C:\rsit
2009-07-14 16:12 . 2009-07-14 16:12 85 ----a-w- c:\windows\system32\geyekrspuknoie.dat
2009-07-14 16:12 . 2009-07-14 16:12 18944 ----a-w- c:\windows\system32\geyekriprgnbju.dll
2009-07-14 16:12 . 2009-07-14 16:12 42496 ----a-w- c:\windows\system32\geyekrodjukhwt.dll
2009-07-14 16:12 . 2009-07-14 16:12 68608 ----a-w- c:\windows\system32\drivers\geyekrakuuuvqf.sys
2009-07-14 15:59 . 2009-07-14 16:07 10142 ----a-w- c:\documents and settings\All Users\Application Data\DVD X Studios\DVD X Player 4.1 Professional\DVDXPlayer.dll
2009-07-14 15:59 . 2009-07-14 15:59 14 ----a-w- c:\windows\system32\SystemInfo32.sys
2009-07-14 15:59 . 2009-07-14 15:59 -------- d-----w- c:\documents and settings\All Users\Application Data\DVD X Studios
2009-07-14 14:16 . 2009-07-14 14:19 17828326 ----a-w- c:\program files\vlc-1.0.0-win32.exe
2009-07-13 16:48 . 2009-07-13 14:06 15688 ----a-w- c:\windows\system32\lsdelete.exe
2009-07-13 14:05 . 2009-07-13 14:05 629072 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\AAWWSC.exe
2009-07-13 14:05 . 2009-07-13 14:05 520024 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\AAWTray.exe
2009-07-13 14:05 . 2009-07-13 14:05 1029456 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\AAWService.exe
2009-07-13 13:51 . 2009-01-18 21:43 2892112 -c--a-w- c:\documents and settings\All Users\Application Data\{83C91755-2546-441D-AC40-9A6B4B860800}\Ad-AwareAE.exe
2009-07-13 13:51 . 2009-07-13 13:51 -------- d-----w- c:\program files\Lavasoft
2009-07-13 13:35 . 2009-07-13 13:51 -------- dc-h--w- c:\documents and settings\All Users\Application Data\{83C91755-2546-441D-AC40-9A6B4B860800}
2009-07-13 13:30 . 2009-07-13 13:30 34543112 ----a-w- c:\program files\Ad-AwareAE.exe
2009-07-13 09:23 . 2009-07-13 09:23 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache
2009-07-13 07:44 . 2009-06-02 10:12 102912 ------w- c:\windows\system32\dllcache\iecompat.dll
2009-07-13 07:43 . 2009-07-13 07:45 -------- d-----w- c:\windows\ie8updates
2009-07-13 07:38 . 2009-04-30 21:16 12800 ------w- c:\windows\system32\dllcache\xpshims.dll
2009-07-13 07:38 . 2009-04-30 21:16 246272 ------w- c:\windows\system32\dllcache\ieproxy.dll
2009-07-13 07:28 . 2009-07-13 07:38 -------- dc-h--w- c:\windows\ie8
2009-07-12 20:15 . 2009-07-12 20:16 8171320 ----a-w- c:\program files\Firefox Setup 3.5.exe
2009-07-12 19:00 . 2009-07-12 19:00 -------- d-----w- c:\program files\Windows Installer Clean Up
2009-07-12 18:59 . 2009-07-12 19:00 -------- d-----w- c:\program files\MSECACHE
2009-07-12 18:57 . 2009-02-05 20:06 23152 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2009-07-12 18:57 . 2009-02-05 20:06 51376 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2009-07-12 18:56 . 2009-02-05 20:05 26944 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2009-07-12 18:56 . 2009-02-05 20:04 97480 ----a-w- c:\windows\system32\AvastSS.scr
2009-07-12 18:56 . 2009-02-05 20:07 114768 ----a-w- c:\windows\system32\drivers\aswSP.sys
2009-07-12 18:56 . 2009-02-05 20:07 20560 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2009-07-12 18:56 . 2009-02-05 20:08 93296 ----a-w- c:\windows\system32\drivers\aswmon.sys
2009-07-12 18:56 . 2009-02-05 20:08 94032 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2009-07-12 18:56 . 2009-02-05 20:11 1256296 ----a-w- c:\windows\system32\aswBoot.exe
2009-07-12 18:04 . 2009-07-12 18:04 308160 ----a-w- c:\program files\avast_home_setup.exe
2009-07-04 07:54 . 2009-07-04 07:54 -------- d-----w- c:\program files\iPod
2009-07-04 07:41 . 2009-07-04 07:44 77690152 ----a-w- c:\program files\iTunesSetup.exe
2009-06-27 11:58 . 2009-06-27 12:10 -------- d-----w- c:\program files\Anuman Interactive
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-14 21:07 . 2004-08-17 09:31 76922 ----a-w- c:\windows\system32\perfc00C.dat
2009-07-14 21:07 . 2004-08-17 09:31 470610 ----a-w- c:\windows\system32\perfh00C.dat
2009-07-13 13:33 . 2008-07-13 14:02 -------- d-----w- c:\program files\Spybot - Search & Destroy
2009-07-13 13:33 . 2008-07-13 14:02 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-07-12 20:03 . 2006-12-26 11:30 -------- d-----w- c:\program files\Musicmatch
2009-07-12 19:41 . 2006-12-24 19:12 -------- d-----w- c:\program files\Fichiers communs\Teleca Shared
2009-07-12 17:47 . 2006-08-23 16:22 -------- d-----w- c:\program files\Messenger Plus! Live
2009-07-12 14:33 . 2006-04-13 06:30 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-07-12 14:28 . 2008-04-18 07:15 -------- d-----w- c:\program files\MRIcro
2009-07-12 14:23 . 2006-04-13 06:33 -------- d-----w- c:\program files\Java
2009-07-12 13:51 . 2006-08-20 12:09 -------- d-----w- c:\program files\Microsoft Games
2009-07-04 07:55 . 2007-08-18 10:36 -------- d-----w- c:\program files\iTunes
2009-07-04 07:54 . 2007-08-18 10:34 -------- d-----w- c:\program files\Fichiers communs\Apple
2009-07-04 07:52 . 2007-08-18 10:27 -------- d-----w- c:\program files\QuickTime
2009-07-04 07:49 . 2007-08-18 10:34 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple
2009-07-02 07:16 . 2006-08-19 20:17 113561 ----a-w- c:\windows\hpoins07.dat
2009-07-01 15:49 . 2006-10-01 08:11 4704 --sha-w- c:\windows\system32\KGyGaAvL.sys
2009-06-05 11:57 . 2009-06-05 11:57 75048 ----a-w- c:\documents and settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 8.2.0.23\SetupAdmin.exe
2009-06-05 09:42 . 2009-04-04 09:30 2060288 ----a-w- c:\windows\system32\usbaaplrc.dll
2009-06-05 09:42 . 2008-11-22 12:10 39424 ----a-w- c:\windows\system32\drivers\usbaapl.sys
2009-05-13 05:04 . 2004-08-05 08:00 915456 ----a-w- c:\windows\system32\wininet.dll
2009-05-07 15:43 . 2004-08-05 08:00 347136 ----a-w- c:\windows\system32\localspl.dll
2009-04-19 20:09 . 2004-08-05 08:00 1846784 ----a-w- c:\windows\system32\win32k.sys
2009-04-18 14:04 . 2009-04-18 14:04 6025212 ----a-w- c:\program files\FreeVideoToiPhoneConverter.exe
2009-04-18 13:56 . 2009-04-18 13:56 5548636 ----a-w- c:\program files\m-iphone-video-converter-for-win.exe
2009-04-07 06:57 . 2009-04-07 06:56 143875176 ----a-w- c:\program files\OOo_3.0.1_Win32Intel_install_wJRE_fr.exe
2009-03-26 15:31 . 2009-03-26 15:31 3342809 ----a-w- c:\program files\eMule0.49c-Installer.exe
2009-03-26 15:30 . 2009-03-26 15:30 2633070 ----a-w- c:\program files\emule049b.exe
2009-02-13 13:43 . 2009-02-13 13:43 4454099 ----a-w- c:\program files\techlogg.com-toneshop-build21-i386-win32.exe
2008-11-29 08:09 . 2008-11-29 08:09 6904036 ----a-w- c:\program files\nvu-1.0-win32-installer-full.exe
2008-07-13 11:17 . 2008-07-13 11:13 15083520 ----a-w- c:\program files\spybotsd160.exe
2008-07-10 09:18 . 2008-07-10 09:18 874856 ----a-w- c:\program files\BitTorrent-6.0.3.exe
2008-06-22 12:43 . 2008-06-22 12:43 19096706 ----a-w- c:\program files\izispot.exe
2008-06-21 10:51 . 2008-06-21 10:49 7599856 ----a-w- c:\program files\Firefox Setup 3.0.exe
2008-04-18 07:13 . 2008-04-18 07:13 6343320 ----a-w- c:\program files\mrizip.zip
2008-02-11 07:15 . 2008-02-11 07:15 19858624 ----a-w- c:\program files\setupfre.exe
2007-08-21 16:22 . 2007-08-21 16:22 6652812 ----a-w- c:\program files\sld.codec.pack.2.2.exe
2007-08-18 17:41 . 2007-08-18 17:41 18272684 ----a-w- c:\program files\FTB614.exe
2007-07-04 18:46 . 2007-07-04 18:46 22186192 ----a-w- c:\program files\DivXInstaller.exe
2007-07-02 19:38 . 2007-07-02 19:38 370328 ----a-w- c:\program files\jre-6u1-windows-i586-p-iftw.exe
2007-02-15 14:34 . 2008-02-27 20:56 6418 ----a-w- c:\program files\readme.txt
2007-02-15 01:23 . 2008-02-27 20:56 10984 ----a-w- c:\program files\changelog.txt
2006-10-01 08:09 . 2006-10-01 08:09 207529840 ----a-w- c:\program files\PaintShopPro1100_EN_DE_FR_ES_IT_NL_CORELTBYB_ESD.exe
2009-06-24 15:27 . 2008-06-22 11:20 137208 ----a-w- c:\program files\mozilla firefox\components\brwsrcmp.dll
2006-09-28 17:09 . 2006-10-01 08:11 88 --sh--r- c:\windows\system32\C917B0E5BD.sys
.
((((((((((((((((((((((((((((( SnapShot@2009-07-15_08.37.14 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-07-15 08:55 . 2009-07-15 08:55 16384 c:\windows\Temp\Perflib_Perfdata_69c.dat
+ 2009-07-15 08:55 . 2009-07-15 08:55 16384 c:\windows\Temp\Perflib_Perfdata_4b8.dat
+ 2009-07-13 09:23 . 2009-07-15 09:00 245760 c:\windows\system32\config\systemprofile\IETldCache\index.dat
- 2009-07-13 09:23 . 2009-07-14 20:31 245760 c:\windows\system32\config\systemprofile\IETldCache\index.dat
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2009-02-06 3885408]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-05 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"QPService"="c:\program files\HP\QuickPlay\QPService.exe" [2005-12-12 94208]
"eabconfg.cpl"="c:\program files\HPQ\Quick Launch Buttons\EabServr.exe" [2005-12-22 405504]
"Cpqset"="c:\program files\HPQ\Default Settings\cpqset.exe" [2005-08-01 233534]
"RecGuard"="c:\windows\SMINST\RecGuard.exe" [2005-10-11 1187840]
"hpWirelessAssistant"="c:\program files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2005-12-13 507904]
"ContentTransferWMDetector.exe"="c:\program files\Sony\Content Transfer\ContentTransferWMDetector.exe" [2008-07-11 423200]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-05-26 413696]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-06-05 292136]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]
"Ad-Watch"="c:\program files\Lavasoft\Ad-Aware\AAWTray.exe" [2009-07-13 520024]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-02-06 3885408]
c:\documents and settings\B‚n‚dicte\Menu D‚marrer\Programmes\D‚marrage\
desktop(2).ini [2004-8-17 84]
OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiHacker]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\WINDOWS\\system32\\rtcshare.exe"=
"c:\\Program Files\\NetMeeting\\conf.exe"=
"c:\\Program Files\\BitTorrent\\bittorrent.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
R0 Klpf;Klpf;c:\windows\system32\drivers\Klpf.sys [04/08/2005 17:19 25139]
R0 Klpid;Klpid;c:\windows\system32\drivers\Klpid.sys [04/08/2005 17:19 31862]
R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [13/07/2009 16:06 64160]
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [12/07/2009 20:56 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [12/07/2009 20:56 20560]
R2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr_tdi.sys [21/03/2009 10:15 55152]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [18/01/2009 23:34 1029456]
R3 HSFHWATI;HSFHWATI;c:\windows\system32\drivers\HSFHWATI.sys [22/08/2005 11:06 231424]
S3 fsssvc;Windows Live Contrôle parental;c:\program files\Windows Live\Family Safety\fsssvc.exe [06/02/2009 19:08 533360]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Contents of the 'Scheduled Tasks' folder
2009-07-13 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-01-18 14:06]
2009-07-11 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
2009-09-03 c:\windows\Tasks\WebReg psc 1400 series.job
- c:\program files\HP\Digital Imaging\bin\hpqwrg.exe [2005-05-11 14:45]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://google.fr/
uInternet Connection Wizard,ShellNext = hxxp://www.hp.com/fr/extension-garantie/iconlanding
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000
Trusted Zone: localhost
FF - ProfilePath - c:\documents and settings\Bénédicte\Application Data\Mozilla\Firefox\Profiles\bvfzkeyj.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr
FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npbittorrent.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - plugin: c:\program files\Windows Media Player\npdsplay(2).dll
---- FIREFOX POLICIES ----
pref(dom.disable_open_during_load, false);FF - user.js: yahoo.homepage.dontask - truec:\program files\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota", 5120);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json");
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-15 11:41
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Cpqset = c:\program files\HPQ\Default Settings\cpqset.exe????????????n??|?????? ???B?????????????hLC? ??????
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
- - - - - - - > 'winlogon.exe'(788)
c:\windows\system32\Ati2evxx.dll
- - - - - - - > 'explorer.exe'(1512)
c:\program files\iTunes\iTunesMiniPlayer.dll
c:\program files\iTunes\iTunesMiniPlayer.Resources\fr.lproj\iTunesMiniPlayerLocalized.dll
c:\program files\iTunes\iTunesMiniPlayer.Resources\iTunesMiniPlayer.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Completion time: 2009-07-15 11:47
ComboFix-quarantined-files.txt 2009-07-15 09:47
ComboFix2.txt 2009-07-15 08:41
Pre-Run: 49 766 932 480 octets libres
Post-Run: 49 741 586 432 octets libres
281 --- E O F --- 2009-07-13 07:45
Euh ca a marché là ?
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.894.447 [GMT 2:00]
Running from: c:\documents and settings\Bénédicte\Bureau\Moi.exe
Command switches used :: c:\documents and settings\Bénédicte\Bureau\CFScript.txt
AV: avast! antivirus 4.8.1335 [VPS 090714-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
FW: Anti-Hacker *disabled* {0BB8CA15-F396-46C7-9A59-108D852CFEC0}
FW: Norton Internet Worm Protection *disabled* {990F9400-4CEE-43EA-A83A-D013ADD8EA6E}
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
((((((((((((((((((((((((( Files Created from 2009-06-15 to 2009-07-15 )))))))))))))))))))))))))))))))
.
2009-07-14 20:17 . 2009-07-14 21:09 -------- d-----w- C:\FindyKill
2009-07-14 19:10 . 2009-07-14 19:56 -------- d-----w- C:\Lop SD
2009-07-14 18:46 . 2009-07-14 21:22 -------- d-----w- c:\program files\trend micro
2009-07-14 18:46 . 2009-07-14 18:46 -------- d-----w- C:\rsit
2009-07-14 16:12 . 2009-07-14 16:12 85 ----a-w- c:\windows\system32\geyekrspuknoie.dat
2009-07-14 16:12 . 2009-07-14 16:12 18944 ----a-w- c:\windows\system32\geyekriprgnbju.dll
2009-07-14 16:12 . 2009-07-14 16:12 42496 ----a-w- c:\windows\system32\geyekrodjukhwt.dll
2009-07-14 16:12 . 2009-07-14 16:12 68608 ----a-w- c:\windows\system32\drivers\geyekrakuuuvqf.sys
2009-07-14 15:59 . 2009-07-14 16:07 10142 ----a-w- c:\documents and settings\All Users\Application Data\DVD X Studios\DVD X Player 4.1 Professional\DVDXPlayer.dll
2009-07-14 15:59 . 2009-07-14 15:59 14 ----a-w- c:\windows\system32\SystemInfo32.sys
2009-07-14 15:59 . 2009-07-14 15:59 -------- d-----w- c:\documents and settings\All Users\Application Data\DVD X Studios
2009-07-14 14:16 . 2009-07-14 14:19 17828326 ----a-w- c:\program files\vlc-1.0.0-win32.exe
2009-07-13 16:48 . 2009-07-13 14:06 15688 ----a-w- c:\windows\system32\lsdelete.exe
2009-07-13 14:05 . 2009-07-13 14:05 629072 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\AAWWSC.exe
2009-07-13 14:05 . 2009-07-13 14:05 520024 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\AAWTray.exe
2009-07-13 14:05 . 2009-07-13 14:05 1029456 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\AAWService.exe
2009-07-13 13:51 . 2009-01-18 21:43 2892112 -c--a-w- c:\documents and settings\All Users\Application Data\{83C91755-2546-441D-AC40-9A6B4B860800}\Ad-AwareAE.exe
2009-07-13 13:51 . 2009-07-13 13:51 -------- d-----w- c:\program files\Lavasoft
2009-07-13 13:35 . 2009-07-13 13:51 -------- dc-h--w- c:\documents and settings\All Users\Application Data\{83C91755-2546-441D-AC40-9A6B4B860800}
2009-07-13 13:30 . 2009-07-13 13:30 34543112 ----a-w- c:\program files\Ad-AwareAE.exe
2009-07-13 09:23 . 2009-07-13 09:23 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache
2009-07-13 07:44 . 2009-06-02 10:12 102912 ------w- c:\windows\system32\dllcache\iecompat.dll
2009-07-13 07:43 . 2009-07-13 07:45 -------- d-----w- c:\windows\ie8updates
2009-07-13 07:38 . 2009-04-30 21:16 12800 ------w- c:\windows\system32\dllcache\xpshims.dll
2009-07-13 07:38 . 2009-04-30 21:16 246272 ------w- c:\windows\system32\dllcache\ieproxy.dll
2009-07-13 07:28 . 2009-07-13 07:38 -------- dc-h--w- c:\windows\ie8
2009-07-12 20:15 . 2009-07-12 20:16 8171320 ----a-w- c:\program files\Firefox Setup 3.5.exe
2009-07-12 19:00 . 2009-07-12 19:00 -------- d-----w- c:\program files\Windows Installer Clean Up
2009-07-12 18:59 . 2009-07-12 19:00 -------- d-----w- c:\program files\MSECACHE
2009-07-12 18:57 . 2009-02-05 20:06 23152 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2009-07-12 18:57 . 2009-02-05 20:06 51376 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2009-07-12 18:56 . 2009-02-05 20:05 26944 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2009-07-12 18:56 . 2009-02-05 20:04 97480 ----a-w- c:\windows\system32\AvastSS.scr
2009-07-12 18:56 . 2009-02-05 20:07 114768 ----a-w- c:\windows\system32\drivers\aswSP.sys
2009-07-12 18:56 . 2009-02-05 20:07 20560 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2009-07-12 18:56 . 2009-02-05 20:08 93296 ----a-w- c:\windows\system32\drivers\aswmon.sys
2009-07-12 18:56 . 2009-02-05 20:08 94032 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2009-07-12 18:56 . 2009-02-05 20:11 1256296 ----a-w- c:\windows\system32\aswBoot.exe
2009-07-12 18:04 . 2009-07-12 18:04 308160 ----a-w- c:\program files\avast_home_setup.exe
2009-07-04 07:54 . 2009-07-04 07:54 -------- d-----w- c:\program files\iPod
2009-07-04 07:41 . 2009-07-04 07:44 77690152 ----a-w- c:\program files\iTunesSetup.exe
2009-06-27 11:58 . 2009-06-27 12:10 -------- d-----w- c:\program files\Anuman Interactive
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-14 21:07 . 2004-08-17 09:31 76922 ----a-w- c:\windows\system32\perfc00C.dat
2009-07-14 21:07 . 2004-08-17 09:31 470610 ----a-w- c:\windows\system32\perfh00C.dat
2009-07-13 13:33 . 2008-07-13 14:02 -------- d-----w- c:\program files\Spybot - Search & Destroy
2009-07-13 13:33 . 2008-07-13 14:02 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-07-12 20:03 . 2006-12-26 11:30 -------- d-----w- c:\program files\Musicmatch
2009-07-12 19:41 . 2006-12-24 19:12 -------- d-----w- c:\program files\Fichiers communs\Teleca Shared
2009-07-12 17:47 . 2006-08-23 16:22 -------- d-----w- c:\program files\Messenger Plus! Live
2009-07-12 14:33 . 2006-04-13 06:30 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-07-12 14:28 . 2008-04-18 07:15 -------- d-----w- c:\program files\MRIcro
2009-07-12 14:23 . 2006-04-13 06:33 -------- d-----w- c:\program files\Java
2009-07-12 13:51 . 2006-08-20 12:09 -------- d-----w- c:\program files\Microsoft Games
2009-07-04 07:55 . 2007-08-18 10:36 -------- d-----w- c:\program files\iTunes
2009-07-04 07:54 . 2007-08-18 10:34 -------- d-----w- c:\program files\Fichiers communs\Apple
2009-07-04 07:52 . 2007-08-18 10:27 -------- d-----w- c:\program files\QuickTime
2009-07-04 07:49 . 2007-08-18 10:34 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple
2009-07-02 07:16 . 2006-08-19 20:17 113561 ----a-w- c:\windows\hpoins07.dat
2009-07-01 15:49 . 2006-10-01 08:11 4704 --sha-w- c:\windows\system32\KGyGaAvL.sys
2009-06-05 11:57 . 2009-06-05 11:57 75048 ----a-w- c:\documents and settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 8.2.0.23\SetupAdmin.exe
2009-06-05 09:42 . 2009-04-04 09:30 2060288 ----a-w- c:\windows\system32\usbaaplrc.dll
2009-06-05 09:42 . 2008-11-22 12:10 39424 ----a-w- c:\windows\system32\drivers\usbaapl.sys
2009-05-13 05:04 . 2004-08-05 08:00 915456 ----a-w- c:\windows\system32\wininet.dll
2009-05-07 15:43 . 2004-08-05 08:00 347136 ----a-w- c:\windows\system32\localspl.dll
2009-04-19 20:09 . 2004-08-05 08:00 1846784 ----a-w- c:\windows\system32\win32k.sys
2009-04-18 14:04 . 2009-04-18 14:04 6025212 ----a-w- c:\program files\FreeVideoToiPhoneConverter.exe
2009-04-18 13:56 . 2009-04-18 13:56 5548636 ----a-w- c:\program files\m-iphone-video-converter-for-win.exe
2009-04-07 06:57 . 2009-04-07 06:56 143875176 ----a-w- c:\program files\OOo_3.0.1_Win32Intel_install_wJRE_fr.exe
2009-03-26 15:31 . 2009-03-26 15:31 3342809 ----a-w- c:\program files\eMule0.49c-Installer.exe
2009-03-26 15:30 . 2009-03-26 15:30 2633070 ----a-w- c:\program files\emule049b.exe
2009-02-13 13:43 . 2009-02-13 13:43 4454099 ----a-w- c:\program files\techlogg.com-toneshop-build21-i386-win32.exe
2008-11-29 08:09 . 2008-11-29 08:09 6904036 ----a-w- c:\program files\nvu-1.0-win32-installer-full.exe
2008-07-13 11:17 . 2008-07-13 11:13 15083520 ----a-w- c:\program files\spybotsd160.exe
2008-07-10 09:18 . 2008-07-10 09:18 874856 ----a-w- c:\program files\BitTorrent-6.0.3.exe
2008-06-22 12:43 . 2008-06-22 12:43 19096706 ----a-w- c:\program files\izispot.exe
2008-06-21 10:51 . 2008-06-21 10:49 7599856 ----a-w- c:\program files\Firefox Setup 3.0.exe
2008-04-18 07:13 . 2008-04-18 07:13 6343320 ----a-w- c:\program files\mrizip.zip
2008-02-11 07:15 . 2008-02-11 07:15 19858624 ----a-w- c:\program files\setupfre.exe
2007-08-21 16:22 . 2007-08-21 16:22 6652812 ----a-w- c:\program files\sld.codec.pack.2.2.exe
2007-08-18 17:41 . 2007-08-18 17:41 18272684 ----a-w- c:\program files\FTB614.exe
2007-07-04 18:46 . 2007-07-04 18:46 22186192 ----a-w- c:\program files\DivXInstaller.exe
2007-07-02 19:38 . 2007-07-02 19:38 370328 ----a-w- c:\program files\jre-6u1-windows-i586-p-iftw.exe
2007-02-15 14:34 . 2008-02-27 20:56 6418 ----a-w- c:\program files\readme.txt
2007-02-15 01:23 . 2008-02-27 20:56 10984 ----a-w- c:\program files\changelog.txt
2006-10-01 08:09 . 2006-10-01 08:09 207529840 ----a-w- c:\program files\PaintShopPro1100_EN_DE_FR_ES_IT_NL_CORELTBYB_ESD.exe
2009-06-24 15:27 . 2008-06-22 11:20 137208 ----a-w- c:\program files\mozilla firefox\components\brwsrcmp.dll
2006-09-28 17:09 . 2006-10-01 08:11 88 --sh--r- c:\windows\system32\C917B0E5BD.sys
.
((((((((((((((((((((((((((((( SnapShot@2009-07-15_08.37.14 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-07-15 08:55 . 2009-07-15 08:55 16384 c:\windows\Temp\Perflib_Perfdata_69c.dat
+ 2009-07-15 08:55 . 2009-07-15 08:55 16384 c:\windows\Temp\Perflib_Perfdata_4b8.dat
+ 2009-07-13 09:23 . 2009-07-15 09:00 245760 c:\windows\system32\config\systemprofile\IETldCache\index.dat
- 2009-07-13 09:23 . 2009-07-14 20:31 245760 c:\windows\system32\config\systemprofile\IETldCache\index.dat
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2009-02-06 3885408]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-05 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"QPService"="c:\program files\HP\QuickPlay\QPService.exe" [2005-12-12 94208]
"eabconfg.cpl"="c:\program files\HPQ\Quick Launch Buttons\EabServr.exe" [2005-12-22 405504]
"Cpqset"="c:\program files\HPQ\Default Settings\cpqset.exe" [2005-08-01 233534]
"RecGuard"="c:\windows\SMINST\RecGuard.exe" [2005-10-11 1187840]
"hpWirelessAssistant"="c:\program files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2005-12-13 507904]
"ContentTransferWMDetector.exe"="c:\program files\Sony\Content Transfer\ContentTransferWMDetector.exe" [2008-07-11 423200]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-05-26 413696]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-06-05 292136]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]
"Ad-Watch"="c:\program files\Lavasoft\Ad-Aware\AAWTray.exe" [2009-07-13 520024]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-02-06 3885408]
c:\documents and settings\B‚n‚dicte\Menu D‚marrer\Programmes\D‚marrage\
desktop(2).ini [2004-8-17 84]
OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiHacker]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\WINDOWS\\system32\\rtcshare.exe"=
"c:\\Program Files\\NetMeeting\\conf.exe"=
"c:\\Program Files\\BitTorrent\\bittorrent.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
R0 Klpf;Klpf;c:\windows\system32\drivers\Klpf.sys [04/08/2005 17:19 25139]
R0 Klpid;Klpid;c:\windows\system32\drivers\Klpid.sys [04/08/2005 17:19 31862]
R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [13/07/2009 16:06 64160]
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [12/07/2009 20:56 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [12/07/2009 20:56 20560]
R2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr_tdi.sys [21/03/2009 10:15 55152]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [18/01/2009 23:34 1029456]
R3 HSFHWATI;HSFHWATI;c:\windows\system32\drivers\HSFHWATI.sys [22/08/2005 11:06 231424]
S3 fsssvc;Windows Live Contrôle parental;c:\program files\Windows Live\Family Safety\fsssvc.exe [06/02/2009 19:08 533360]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Contents of the 'Scheduled Tasks' folder
2009-07-13 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-01-18 14:06]
2009-07-11 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
2009-09-03 c:\windows\Tasks\WebReg psc 1400 series.job
- c:\program files\HP\Digital Imaging\bin\hpqwrg.exe [2005-05-11 14:45]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://google.fr/
uInternet Connection Wizard,ShellNext = hxxp://www.hp.com/fr/extension-garantie/iconlanding
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000
Trusted Zone: localhost
FF - ProfilePath - c:\documents and settings\Bénédicte\Application Data\Mozilla\Firefox\Profiles\bvfzkeyj.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr
FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npbittorrent.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - plugin: c:\program files\Windows Media Player\npdsplay(2).dll
---- FIREFOX POLICIES ----
pref(dom.disable_open_during_load, false);FF - user.js: yahoo.homepage.dontask - truec:\program files\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota", 5120);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json");
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-15 11:41
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Cpqset = c:\program files\HPQ\Default Settings\cpqset.exe????????????n??|?????? ???B?????????????hLC? ??????
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
- - - - - - - > 'winlogon.exe'(788)
c:\windows\system32\Ati2evxx.dll
- - - - - - - > 'explorer.exe'(1512)
c:\program files\iTunes\iTunesMiniPlayer.dll
c:\program files\iTunes\iTunesMiniPlayer.Resources\fr.lproj\iTunesMiniPlayerLocalized.dll
c:\program files\iTunes\iTunesMiniPlayer.Resources\iTunesMiniPlayer.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Completion time: 2009-07-15 11:47
ComboFix-quarantined-files.txt 2009-07-15 09:47
ComboFix2.txt 2009-07-15 08:41
Pre-Run: 49 766 932 480 octets libres
Post-Run: 49 741 586 432 octets libres
281 --- E O F --- 2009-07-13 07:45
Euh ca a marché là ?
Arrfff :(
Copie le texte ci-dessous :
Rootkit::
c:\windows\system32\geyekrspuknoie.dat
c:\windows\system32\geyekriprgnbju.dll
c:\windows\system32\geyekrodjukhwt.dll
c:\windows\system32\drivers\geyekrakuuuvqf.sys
- Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
- Sauvegarde ce fichier sous le nom de CFScript.txt
- Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ceci
Cela va relancer Combofix,
Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Après redémarrage, poste le contenu du rapport Combofix.txt
Copie le texte ci-dessous :
Rootkit::
c:\windows\system32\geyekrspuknoie.dat
c:\windows\system32\geyekriprgnbju.dll
c:\windows\system32\geyekrodjukhwt.dll
c:\windows\system32\drivers\geyekrakuuuvqf.sys
- Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
- Sauvegarde ce fichier sous le nom de CFScript.txt
- Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ceci
Cela va relancer Combofix,
Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Après redémarrage, poste le contenu du rapport Combofix.txt
