Troyen Inject.cspc
saian
-
Saian -
Saian -
Bonjour,
j'essaie de "soigner" un poste sous Windows XP SP3, avec le parefeu d'xp et Avira Antivir comme antivirus, derrière une livebox pro.
Avira détecte un troyen nommé TR/Inject.cspc, dans le fichier ubcohiling.exe (dans /Windows/temp). Il propose toutes les actions (supprimer, refuser l'accès, renommer, ignorer), sauf de le réparer.
J'ai tout essayé, mais la fenêtre d'Avira Antivir revient systématiquement quelques secondes après quel que soit le choix effectué.
J'ai essayé de désinfecter le système avec MalwareByte AntiMalware et Spybot, en mode normal puis en mode sans échec, mais au redémarrage du poste le problème se représente.
Je ne trouve aucune information sur Internet sur ce troyen ni d'outil ou de méthode spécifique pour l'éradiquer...
Merci si une bonne âme peut me donner quelques conseils !
Cordialement,
Yann
j'essaie de "soigner" un poste sous Windows XP SP3, avec le parefeu d'xp et Avira Antivir comme antivirus, derrière une livebox pro.
Avira détecte un troyen nommé TR/Inject.cspc, dans le fichier ubcohiling.exe (dans /Windows/temp). Il propose toutes les actions (supprimer, refuser l'accès, renommer, ignorer), sauf de le réparer.
J'ai tout essayé, mais la fenêtre d'Avira Antivir revient systématiquement quelques secondes après quel que soit le choix effectué.
J'ai essayé de désinfecter le système avec MalwareByte AntiMalware et Spybot, en mode normal puis en mode sans échec, mais au redémarrage du poste le problème se représente.
Je ne trouve aucune information sur Internet sur ce troyen ni d'outil ou de méthode spécifique pour l'éradiquer...
Merci si une bonne âme peut me donner quelques conseils !
Cordialement,
Yann
A voir également:
- Troyen Inject.cspc
- Anti troyen - Télécharger - Antivirus & Antimalwares
- Anti-Trojan Elite - Télécharger - Pare-feu
9 réponses
bonjour
Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau.
-> http://images.malwareremoval.com/random/RSIT.exe
! Déconnecte toi et ferme toutes tes applications en cours !
Double-clique sur " RSIT.exe " pour le lancer .
-> Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " .
* Devant l'option "List files/folders created ..." , tu choisis : 2 months
* clique ensuite sur " Continue " pour lancer l'analyse ...
-> laisse faire le scan et ne touche pas au PC ...
Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note).
Poste le contenu de " log.txt " (c'est celui qui apparait à l'écran), ainsi que de " info.txt " (que tu verras dans la barre des tâches), pour analyse et attends la suite ...
Important : poste un rapport, puis l'autre dans la réponse suivante
Si tu essaies de poster les deux en même temps, cela risque d'être trop long pour le forum
( Note : les rapports seront en outre sauvegardés dans ce dossier -> C:\rsit )
Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau.
-> http://images.malwareremoval.com/random/RSIT.exe
! Déconnecte toi et ferme toutes tes applications en cours !
Double-clique sur " RSIT.exe " pour le lancer .
-> Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " .
* Devant l'option "List files/folders created ..." , tu choisis : 2 months
* clique ensuite sur " Continue " pour lancer l'analyse ...
-> laisse faire le scan et ne touche pas au PC ...
Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note).
Poste le contenu de " log.txt " (c'est celui qui apparait à l'écran), ainsi que de " info.txt " (que tu verras dans la barre des tâches), pour analyse et attends la suite ...
Important : poste un rapport, puis l'autre dans la réponse suivante
Si tu essaies de poster les deux en même temps, cela risque d'être trop long pour le forum
( Note : les rapports seront en outre sauvegardés dans ce dossier -> C:\rsit )
Merci de ta super réactivité.
Il s'agit d'un poste distant que je contrôle avec logmein donc je vais demander à l'utilisateur de faire les manip indiquées et te poste les éléments en début d'après-midi.
Cordialement,
Yann
Il s'agit d'un poste distant que je contrôle avec logmein donc je vais demander à l'utilisateur de faire les manip indiquées et te poste les éléments en début d'après-midi.
Cordialement,
Yann
bonsoir,
désolé, je n'ai pas pu obtenir le log aujourd'hui, le les postes ici dès que possible.
Cordialement
Yann
désolé, je n'ai pas pu obtenir le log aujourd'hui, le les postes ici dès que possible.
Cordialement
Yann
Bonjour,
voici le contenu du fichier log.txt :
Logfile of random's system information tool 1.06 (written by random/random)
Run by Administrateur at 2009-07-22 12:49:41
Microsoft Windows XP Professionnel Service Pack 3
System drive C: has 20 GB (68%) free of 30 GB
Total RAM: 1015 MB (42% free)
HijackThis download failed
======Scheduled tasks folder======
C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1177238915-362288127-515967899-500Core.job
C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1177238915-362288127-515967899-500UA.job
======Registry dump======
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]
Spybot-S&D IE Protection - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll [2009-01-26 1879896]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7E853D72-626A-48EC-A868-BA8D5E23E045}]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"igfxtray"=C:\WINDOWS\system32\igfxtray.exe [2005-11-28 98304]
"igfxhkcmd"=C:\WINDOWS\system32\hkcmd.exe [2005-11-28 77824]
"igfxpers"=C:\WINDOWS\system32\igfxpers.exe [2005-11-28 118784]
"RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2008-02-13 16857600]
"Alcmtr"=C:\WINDOWS\ALCMTR.EXE [2005-05-03 69632]
"avgnt"=C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]
"LogMeIn GUI"=C:\Program Files\LogMeIn\x86\LogMeInSystray.exe [2008-07-24 63048]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2008-08-24 15360]
"Google Update"=C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2009-06-09 133104]
"SpybotSD TeaTimer"=C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe [2009-03-05 2260480]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
C:\Program Files\DAEMON Tools Lite\daemon.exe [2008-07-24 490952]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2009-06-09 133104]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TaskSwitchXP]
C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe []
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage
Accélérateur de démarrage AutoCAD.lnk - C:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]
C:\WINDOWS\system32\igfxdev.dll [2005-11-28 135168]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\LMIinit]
C:\WINDOWS\system32\LMIinit.dll [2008-10-16 87352]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
WgaLogon.dll []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\wpdshserviceobj.dll [2008-08-24 133632]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
======File associations======
.scr - open - "C:\WINDOWS\system32\notepad.exe" "%1"
.scr - install -
.scr - config -
======List of files/folders created in the last 1 months======
2009-07-22 12:49:42 ----D---- C:\Program Files\trend micro
2009-07-22 12:49:41 ----D---- C:\rsit
2009-07-21 18:22:52 ----A---- C:\WINDOWS\ntbtlog.txt
2009-07-21 17:44:46 ----D---- C:\Program Files\Spybot - Search & Destroy
2009-07-21 17:44:46 ----D---- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2009-07-21 17:38:06 ----D---- C:\Documents and Settings\Administrateur\Application Data\Malwarebytes
2009-07-21 17:37:58 ----D---- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2009-07-21 17:37:57 ----D---- C:\Program Files\Malwarebytes' Anti-Malware
2009-07-15 09:02:25 ----HDC---- C:\WINDOWS\$NtUninstallKB973346$
2009-07-15 09:02:20 ----HDC---- C:\WINDOWS\$NtUninstallKB971633$
2009-07-15 09:02:17 ----A---- C:\WINDOWS\system32\MRT.INI
2009-07-15 09:00:24 ----HDC---- C:\WINDOWS\$NtUninstallKB961371$
2009-07-10 08:44:55 ----D---- C:\Program Files\AnswerWorks 4.0
2009-07-10 08:07:30 ----SHD---- C:\Config.Msi
2009-07-08 13:34:43 ----D---- C:\Documents and Settings\Administrateur\Application Data\Softplicity
2009-07-08 13:34:31 ----D---- C:\Program Files\Total PDF Converter
2009-07-06 15:19:07 ----A---- C:\WINDOWS\iltwain.ini
2009-07-06 15:18:59 ----AD---- C:\Documents and Settings\All Users\Application Data\TEMP
2009-07-06 15:18:47 ----D---- C:\Program Files\Blue Label Soft
2009-07-01 12:15:15 ----A---- C:\WINDOWS\imsins.BAK
2009-06-30 06:11:04 ----DC---- C:\WINDOWS\ie8
2009-06-29 11:32:34 ----D---- C:\Program Files\Aide PDF to DXF Converter
======List of files/folders modified in the last 1 months======
2009-07-22 12:49:42 ----D---- C:\Program Files
2009-07-22 07:54:27 ----D---- C:\WINDOWS\Temp
2009-07-22 07:53:17 ----D---- C:\WINDOWS\system32\CatRoot2
2009-07-22 07:53:07 ----D---- C:\WINDOWS
2009-07-22 07:51:31 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-07-22 07:04:38 ----D---- C:\Program Files\LogMeIn
2009-07-21 18:46:16 ----D---- C:\WINDOWS\system32
2009-07-21 17:50:28 ----D---- C:\WINDOWS\system32\drivers
2009-07-17 12:32:48 ----D---- C:\Program Files\DYNALOG
2009-07-17 07:25:51 ----D---- C:\Program Files\Windows Media Player
2009-07-15 11:37:54 ----D---- C:\WINDOWS\system32\Adobe
2009-07-15 09:02:25 ----HD---- C:\WINDOWS\$hf_mig$
2009-07-15 09:02:25 ----D---- C:\WINDOWS\inf
2009-07-15 09:02:21 ----D---- C:\WINDOWS\system32\dllcache
2009-07-10 08:46:15 ----SHD---- C:\WINDOWS\Installer
2009-07-10 08:46:11 ----D---- C:\Program Files\Fichiers communs\Autodesk Shared
2009-07-10 08:46:10 ----RSD---- C:\WINDOWS\assembly
2009-07-10 08:46:10 ----D---- C:\WINDOWS\WinSxS
2009-07-10 08:46:05 ----D---- C:\Program Files\AutoCAD 2006
2009-07-10 08:45:09 ----D---- C:\Program Files\Microsoft Office
2009-07-10 08:45:08 ----D---- C:\Program Files\Fichiers communs\DESIGNER
2009-07-10 08:45:00 ----RSD---- C:\WINDOWS\Fonts
2009-07-10 08:44:26 ----D---- C:\WINDOWS\Help
2009-07-10 08:43:25 ----D---- C:\Documents and Settings\All Users\Application Data\Autodesk
2009-07-10 08:03:29 ----D---- C:\temp
2009-07-07 17:10:56 ----A---- C:\WINDOWS\system32\mrt.exe
2009-07-07 14:58:46 ----D---- C:\WINDOWS\system32\CatRoot
2009-07-03 10:33:12 ----D---- C:\Documents and Settings\Administrateur\Application Data\Microsoft
2009-07-01 09:45:35 ----SD---- C:\WINDOWS\Tasks
2009-06-30 12:14:42 ----D---- C:\WINDOWS\system32\config
2009-06-30 12:14:23 ----D---- C:\WINDOWS\system32\wbem
2009-06-30 12:14:23 ----D---- C:\WINDOWS\Registration
2009-06-30 12:14:08 ----D---- C:\Program Files\Internet Explorer
2009-06-30 12:13:48 ----D---- C:\WINDOWS\system32\Restore
2009-06-30 10:26:36 ----D---- C:\WINDOWS\Debug
2009-06-30 06:14:24 ----D---- C:\WINDOWS\system32\fr-fr
======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
R1 avgio;avgio; \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104]
R1 intelppm;Pilote de processeur Intel; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-13 40576]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-07-15 28520]
R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-03-24 55640]
R2 LMIInfo;LogMeIn Kernel Information Provider; \??\C:\Program Files\LogMeIn\x86\RaInfo.sys []
R2 LMIRfsDriver;LogMeIn Remote File System Driver; \??\C:\WINDOWS\system32\drivers\LMIRfsDriver.sys []
R3 HDAudBus;Pilote de bus Microsoft UAA pour High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-08-24 144384]
R3 ialm;ialm; C:\WINDOWS\system32\DRIVERS\ialmnt5.sys [2005-11-28 1353820]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2008-02-14 4676096]
R3 lmimirr;lmimirr; C:\WINDOWS\system32\DRIVERS\lmimirr.sys [2008-07-24 10144]
R3 usbehci;Pilote miniport de contrôleur d'hôte amélioré Microsoft USB 2.0; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;Concentrateur USB2; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 usbuhci;Pilote miniport de contrôleur hôte universel USB Microsoft; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-13 20608]
S3 gdrv;gdrv; \??\C:\WINDOWS\gdrv.sys []
S3 RTLE8023xp;Realtek 10/100/1000 PCI-E NIC Family NDIS XP Driver; C:\WINDOWS\system32\DRIVERS\Rtenicxp.sys [2008-01-03 105856]
S3 USBSTOR;Pilote de stockage de masse USB; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2008-08-24 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2008-08-24 82944]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []
S4 LMIRfsClientNP;LMIRfsClientNP; C:\WINDOWS\system32\drivers\LMIRfsClientNP.sys []
======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
R2 ALGAntiVirSchedulerService;Service de la passerelle de la couche Application ALGAntiVirSchedulerService; C:\WINDOWS\TEMP\ubcohiling.exe [2009-07-10 24064]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur; C:\Program Files\Avira\AntiVir Desktop\sched.exe [2009-07-15 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [2009-07-15 185089]
R2 LMIMaint;LogMeIn Maintenance Service; C:\Program Files\LogMeIn\x86\RaMaint.exe [2008-10-16 116032]
R2 LogMeIn;LogMeIn; C:\Program Files\LogMeIn\x86\LogMeIn.exe [2008-07-24 63040]
S2 Fax;Fax; C:\WINDOWS\system32\fxssvc.exe [2008-08-24 268800]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2007-07-16 33632]
S3 Autodesk Licensing Service;Autodesk Licensing Service; C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe [2009-07-10 77944]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2007-07-16 68952]
S3 ose;Office Source Engine; C:\Program Files\Fichiers communs\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136]
S3 usnjsvc;Service Messenger Sharing Folders USN Journal Reader; C:\Program Files\Windows Live\Messenger\usnsvc.exe [2007-10-18 98328]
S3 WMPNetworkSvc;Service Partage réseau du Lecteur Windows Media; C:\Program Files\Windows Media Player\WMPNetwk.exe [2006-11-03 918016]
S3 WPEServ;soft Xpansion Print2Document; C:\Program Files\Fichiers communs\WPE\wpeserv.exe [2008-10-30 339968]
S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-08-24 14336]
-----------------EOF-----------------
Je poste le contenu du second fichier dans le poste suivant.
voici le contenu du fichier log.txt :
Logfile of random's system information tool 1.06 (written by random/random)
Run by Administrateur at 2009-07-22 12:49:41
Microsoft Windows XP Professionnel Service Pack 3
System drive C: has 20 GB (68%) free of 30 GB
Total RAM: 1015 MB (42% free)
HijackThis download failed
======Scheduled tasks folder======
C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1177238915-362288127-515967899-500Core.job
C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1177238915-362288127-515967899-500UA.job
======Registry dump======
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]
Spybot-S&D IE Protection - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll [2009-01-26 1879896]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7E853D72-626A-48EC-A868-BA8D5E23E045}]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"igfxtray"=C:\WINDOWS\system32\igfxtray.exe [2005-11-28 98304]
"igfxhkcmd"=C:\WINDOWS\system32\hkcmd.exe [2005-11-28 77824]
"igfxpers"=C:\WINDOWS\system32\igfxpers.exe [2005-11-28 118784]
"RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2008-02-13 16857600]
"Alcmtr"=C:\WINDOWS\ALCMTR.EXE [2005-05-03 69632]
"avgnt"=C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]
"LogMeIn GUI"=C:\Program Files\LogMeIn\x86\LogMeInSystray.exe [2008-07-24 63048]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2008-08-24 15360]
"Google Update"=C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2009-06-09 133104]
"SpybotSD TeaTimer"=C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe [2009-03-05 2260480]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
C:\Program Files\DAEMON Tools Lite\daemon.exe [2008-07-24 490952]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2009-06-09 133104]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TaskSwitchXP]
C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe []
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage
Accélérateur de démarrage AutoCAD.lnk - C:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]
C:\WINDOWS\system32\igfxdev.dll [2005-11-28 135168]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\LMIinit]
C:\WINDOWS\system32\LMIinit.dll [2008-10-16 87352]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
WgaLogon.dll []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\wpdshserviceobj.dll [2008-08-24 133632]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
======File associations======
.scr - open - "C:\WINDOWS\system32\notepad.exe" "%1"
.scr - install -
.scr - config -
======List of files/folders created in the last 1 months======
2009-07-22 12:49:42 ----D---- C:\Program Files\trend micro
2009-07-22 12:49:41 ----D---- C:\rsit
2009-07-21 18:22:52 ----A---- C:\WINDOWS\ntbtlog.txt
2009-07-21 17:44:46 ----D---- C:\Program Files\Spybot - Search & Destroy
2009-07-21 17:44:46 ----D---- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2009-07-21 17:38:06 ----D---- C:\Documents and Settings\Administrateur\Application Data\Malwarebytes
2009-07-21 17:37:58 ----D---- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2009-07-21 17:37:57 ----D---- C:\Program Files\Malwarebytes' Anti-Malware
2009-07-15 09:02:25 ----HDC---- C:\WINDOWS\$NtUninstallKB973346$
2009-07-15 09:02:20 ----HDC---- C:\WINDOWS\$NtUninstallKB971633$
2009-07-15 09:02:17 ----A---- C:\WINDOWS\system32\MRT.INI
2009-07-15 09:00:24 ----HDC---- C:\WINDOWS\$NtUninstallKB961371$
2009-07-10 08:44:55 ----D---- C:\Program Files\AnswerWorks 4.0
2009-07-10 08:07:30 ----SHD---- C:\Config.Msi
2009-07-08 13:34:43 ----D---- C:\Documents and Settings\Administrateur\Application Data\Softplicity
2009-07-08 13:34:31 ----D---- C:\Program Files\Total PDF Converter
2009-07-06 15:19:07 ----A---- C:\WINDOWS\iltwain.ini
2009-07-06 15:18:59 ----AD---- C:\Documents and Settings\All Users\Application Data\TEMP
2009-07-06 15:18:47 ----D---- C:\Program Files\Blue Label Soft
2009-07-01 12:15:15 ----A---- C:\WINDOWS\imsins.BAK
2009-06-30 06:11:04 ----DC---- C:\WINDOWS\ie8
2009-06-29 11:32:34 ----D---- C:\Program Files\Aide PDF to DXF Converter
======List of files/folders modified in the last 1 months======
2009-07-22 12:49:42 ----D---- C:\Program Files
2009-07-22 07:54:27 ----D---- C:\WINDOWS\Temp
2009-07-22 07:53:17 ----D---- C:\WINDOWS\system32\CatRoot2
2009-07-22 07:53:07 ----D---- C:\WINDOWS
2009-07-22 07:51:31 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-07-22 07:04:38 ----D---- C:\Program Files\LogMeIn
2009-07-21 18:46:16 ----D---- C:\WINDOWS\system32
2009-07-21 17:50:28 ----D---- C:\WINDOWS\system32\drivers
2009-07-17 12:32:48 ----D---- C:\Program Files\DYNALOG
2009-07-17 07:25:51 ----D---- C:\Program Files\Windows Media Player
2009-07-15 11:37:54 ----D---- C:\WINDOWS\system32\Adobe
2009-07-15 09:02:25 ----HD---- C:\WINDOWS\$hf_mig$
2009-07-15 09:02:25 ----D---- C:\WINDOWS\inf
2009-07-15 09:02:21 ----D---- C:\WINDOWS\system32\dllcache
2009-07-10 08:46:15 ----SHD---- C:\WINDOWS\Installer
2009-07-10 08:46:11 ----D---- C:\Program Files\Fichiers communs\Autodesk Shared
2009-07-10 08:46:10 ----RSD---- C:\WINDOWS\assembly
2009-07-10 08:46:10 ----D---- C:\WINDOWS\WinSxS
2009-07-10 08:46:05 ----D---- C:\Program Files\AutoCAD 2006
2009-07-10 08:45:09 ----D---- C:\Program Files\Microsoft Office
2009-07-10 08:45:08 ----D---- C:\Program Files\Fichiers communs\DESIGNER
2009-07-10 08:45:00 ----RSD---- C:\WINDOWS\Fonts
2009-07-10 08:44:26 ----D---- C:\WINDOWS\Help
2009-07-10 08:43:25 ----D---- C:\Documents and Settings\All Users\Application Data\Autodesk
2009-07-10 08:03:29 ----D---- C:\temp
2009-07-07 17:10:56 ----A---- C:\WINDOWS\system32\mrt.exe
2009-07-07 14:58:46 ----D---- C:\WINDOWS\system32\CatRoot
2009-07-03 10:33:12 ----D---- C:\Documents and Settings\Administrateur\Application Data\Microsoft
2009-07-01 09:45:35 ----SD---- C:\WINDOWS\Tasks
2009-06-30 12:14:42 ----D---- C:\WINDOWS\system32\config
2009-06-30 12:14:23 ----D---- C:\WINDOWS\system32\wbem
2009-06-30 12:14:23 ----D---- C:\WINDOWS\Registration
2009-06-30 12:14:08 ----D---- C:\Program Files\Internet Explorer
2009-06-30 12:13:48 ----D---- C:\WINDOWS\system32\Restore
2009-06-30 10:26:36 ----D---- C:\WINDOWS\Debug
2009-06-30 06:14:24 ----D---- C:\WINDOWS\system32\fr-fr
======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
R1 avgio;avgio; \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-03-30 96104]
R1 intelppm;Pilote de processeur Intel; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-13 40576]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-07-15 28520]
R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-03-24 55640]
R2 LMIInfo;LogMeIn Kernel Information Provider; \??\C:\Program Files\LogMeIn\x86\RaInfo.sys []
R2 LMIRfsDriver;LogMeIn Remote File System Driver; \??\C:\WINDOWS\system32\drivers\LMIRfsDriver.sys []
R3 HDAudBus;Pilote de bus Microsoft UAA pour High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-08-24 144384]
R3 ialm;ialm; C:\WINDOWS\system32\DRIVERS\ialmnt5.sys [2005-11-28 1353820]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2008-02-14 4676096]
R3 lmimirr;lmimirr; C:\WINDOWS\system32\DRIVERS\lmimirr.sys [2008-07-24 10144]
R3 usbehci;Pilote miniport de contrôleur d'hôte amélioré Microsoft USB 2.0; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;Concentrateur USB2; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 usbuhci;Pilote miniport de contrôleur hôte universel USB Microsoft; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-13 20608]
S3 gdrv;gdrv; \??\C:\WINDOWS\gdrv.sys []
S3 RTLE8023xp;Realtek 10/100/1000 PCI-E NIC Family NDIS XP Driver; C:\WINDOWS\system32\DRIVERS\Rtenicxp.sys [2008-01-03 105856]
S3 USBSTOR;Pilote de stockage de masse USB; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2008-08-24 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2008-08-24 82944]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []
S4 LMIRfsClientNP;LMIRfsClientNP; C:\WINDOWS\system32\drivers\LMIRfsClientNP.sys []
======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
R2 ALGAntiVirSchedulerService;Service de la passerelle de la couche Application ALGAntiVirSchedulerService; C:\WINDOWS\TEMP\ubcohiling.exe [2009-07-10 24064]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur; C:\Program Files\Avira\AntiVir Desktop\sched.exe [2009-07-15 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [2009-07-15 185089]
R2 LMIMaint;LogMeIn Maintenance Service; C:\Program Files\LogMeIn\x86\RaMaint.exe [2008-10-16 116032]
R2 LogMeIn;LogMeIn; C:\Program Files\LogMeIn\x86\LogMeIn.exe [2008-07-24 63040]
S2 Fax;Fax; C:\WINDOWS\system32\fxssvc.exe [2008-08-24 268800]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2007-07-16 33632]
S3 Autodesk Licensing Service;Autodesk Licensing Service; C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe [2009-07-10 77944]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2007-07-16 68952]
S3 ose;Office Source Engine; C:\Program Files\Fichiers communs\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136]
S3 usnjsvc;Service Messenger Sharing Folders USN Journal Reader; C:\Program Files\Windows Live\Messenger\usnsvc.exe [2007-10-18 98328]
S3 WMPNetworkSvc;Service Partage réseau du Lecteur Windows Media; C:\Program Files\Windows Media Player\WMPNetwk.exe [2006-11-03 918016]
S3 WPEServ;soft Xpansion Print2Document; C:\Program Files\Fichiers communs\WPE\wpeserv.exe [2008-10-30 339968]
S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-08-24 14336]
-----------------EOF-----------------
Je poste le contenu du second fichier dans le poste suivant.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
et voici info.txt :
info.txt logfile of random's system information tool 1.06 2009-07-22 12:49:51
======Uninstall list======
Adobe Flash Player ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Shockwave Player 11.5-->"C:\WINDOWS\system32\Adobe\Shockwave 11\uninstaller.exe"
AFPL Ghostscript 8.14-->C:\gs\uninstgs.exe "C:\gs\gs8.14\uninstal.txt"
AFPL Ghostscript Fonts-->C:\gs\uninstgs.exe "C:\gs\fonts\uninstal.txt"
Archiveur WinRAR-->C:\Program Files\WinRAR\uninstall.exe
AutoCAD 2006 - Français-->MsiExec.exe /I{5783F2D7-4001-040C-0002-0060B0CE6BBA}
Autodesk DWF Viewer-->C:\PROGRA~1\Autodesk\AUTODE~1\Setup.exe /remove
Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir Desktop\setup.exe /REMOVE
Blum to AutoCAD-->MsiExec.exe /X{D6F0AF4D-92C1-4409-9524-18CF315D4177}
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
DYNALOG-->C:\PROGRA~1\DYNALOG\UNWISE.EXE C:\PROGRA~1\DYNALOG\INSTALL.LOG
Intel(R) Graphics Media Accelerator Driver-->RUNDLL32.EXE C:\WINDOWS\system32\ialmrem.dll,UninstallW2KIGfx2ID PCI\VEN_8086&DEV_2776 PCI\VEN_8086&DEV_2772
LogMeIn-->MsiExec.exe /I{7F831576-6246-42C7-B523-55B3F96509CC}
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework 1.1 French Language Pack-->MsiExec.exe /X{9A394342-4A68-4EBA-85A6-55B559F4E700}
Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 2.0-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.exe
Microsoft Office Professional Edition 2003-->MsiExec.exe /I{9011040C-6000-11D3-8CFE-0150048383C9}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Mise à jour critique pour Lecteur Windows Media 11 (KB959772)-->"C:\WINDOWS\$NtUninstallKB959772_WM11$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Lecteur Windows Media (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Lecteur Windows Media 11 (KB954154)-->"C:\WINDOWS\$NtUninstallKB954154_WM11$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB969897)-->"C:\WINDOWS\ie7updates\KB969897-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB938464-v2)-->"C:\WINDOWS\$NtUninstallKB938464-v2$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB952004)-->"C:\WINDOWS\$NtUninstallKB952004$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB954459)-->"C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956572)-->"C:\WINDOWS\$NtUninstallKB956572$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB959426)-->"C:\WINDOWS\$NtUninstallKB959426$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB960225)-->"C:\WINDOWS\$NtUninstallKB960225$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB960803)-->"C:\WINDOWS\$NtUninstallKB960803$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB961371)-->"C:\WINDOWS\$NtUninstallKB961371$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB961373)-->"C:\WINDOWS\$NtUninstallKB961373$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB961501)-->"C:\WINDOWS\$NtUninstallKB961501$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB968537)-->"C:\WINDOWS\$NtUninstallKB968537$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB969898)-->"C:\WINDOWS\$NtUninstallKB969898$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB970238)-->"C:\WINDOWS\$NtUninstallKB970238$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB971633)-->"C:\WINDOWS\$NtUninstallKB971633$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB973346)-->"C:\WINDOWS\$NtUninstallKB973346$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe"
Module de prise en charge linguistique de Microsoft .NET Framework 2.0 - FRA-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0 Language Pack - FRA\install.exe
Mozilla Firefox (3.0.1)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
Mozilla Thunderbird (2.0.0.14)-->C:\Program Files\Mozilla Thunderbird\uninstall\helper.exe
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MSXML 6.0 Parser-->MsiExec.exe /I{AEB9948B-4FF2-47C9-990E-47014492A0FE}
Nero 8 Lite 8.3.2.1-->"C:\Program Files\Nero\unins000.exe"
PDFTOEXCEL-->"C:\Program Files\Blue Label Soft\PDF to Excel 2.4\unins000.exe"
REALTEK GbE & FE Ethernet PCI-E NIC Driver-->C:\Program Files\InstallShield Installation Information\{C9BED750-1211-4480-B1A5-718A3BE15525}\SETUP.EXE -runfromtemp -l0x040c -removeonly
Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\SETUP.EXE" -l0x40c -removeonly
RedMon - Redirection Port Monitor-->C:\WINDOWS\system32\unredmon.exe
Security Update pour Microsoft .NET Framework 2.0 (KB928365)-->C:\WINDOWS\system32\msiexec.exe /promptrestart /uninstall {8056AC9E-49C5-4375-9ADE-B2F862C9DF51} /package {7131646D-CD3C-40F4-97B9-CD9E4E6262EF}
soft Xpansion Perfect PDF Master 5-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{8B049241-2FA4-461D-AE21-F8EA06B79482}\setup.exe" -l0x9
Spybot - Search & Destroy-->"C:\Program Files\Spybot - Search & Destroy\unins000.exe"
TotalPDFConverter-->"C:\Program Files\Total PDF Converter\unins000.exe"
Windows Live Messenger-->MsiExec.exe /X{BADF6744-3787-48F6-B8C9-4C4995401D65}
Windows Media Player Firefox Plugin-->MsiExec.exe /I{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}
======Hosts File======
127.0.0.1 localhost
127.0.0.1 ad.a8.net
127.0.0.1 asy.a8ww.net
127.0.0.1 www.abx4.com #[Adware.ABXToolbar]
127.0.0.1 acezip.net #[SiteAdvisor.acezip.net]
127.0.0.1 www.acezip.net #[Win32/Adware.180Solutions]
127.0.0.1 phpadsnew.abac.com
127.0.0.1 a.abnad.net
127.0.0.1 b.abnad.net
127.0.0.1 c.abnad.net #[eTrust.Tracking.Cookie]
======Security center information======
AV: AntiVir Desktop (disabled) (outdated)
======System event log======
Computer Name: 6621582F9E7B4E5
Event Code: 3260
Message: Cet ordinateur a correctement été joint au workgroup 'WORKGROUP'.
Record Number: 5
Source Name: Workstation
Time Written: 20090609180841.000000+120
Event Type: Informations
User:
Computer Name: 6621582F9E7B4E5
Event Code: 6011
Message: Le nom NetBIOS et le nom de l'hôte DNS de cet ordinateur ont été modifiés de MACHINENAME vers 6621582F9E7B4E5.
Record Number: 4
Source Name: EventLog
Time Written: 20090609180802.000000+120
Event Type: Informations
User:
Computer Name: MACHINENAME
Event Code: 2
Message: Pendant la validation de \Device\Serial0 en tant que port série, une FIFO a été détectée. La FIFO sera utilisée.
Record Number: 3
Source Name: Serial
Time Written: 20090609200244.000000+120
Event Type: Informations
User:
Computer Name: MACHINENAME
Event Code: 6005
Message: Le service d'Enregistrement d'événement a démarré.
Record Number: 2
Source Name: EventLog
Time Written: 20090609200225.000000+120
Event Type: Informations
User:
Computer Name: MACHINENAME
Event Code: 6009
Message: Microsoft (R) Windows (R) 5.01. 2600 Service Pack 3 Multiprocessor Free.
Record Number: 1
Source Name: EventLog
Time Written: 20090609200225.000000+120
Event Type: Informations
User:
=====Application event log=====
Computer Name: POSTELUCIEN
Event Code: 4096
Message: Le service AntiVir a bien démarré!
Record Number: 644
Source Name: Avira AntiVir
Time Written: 20090716072643.000000+120
Event Type: Informations
User: AUTORITE NT\SYSTEM
Computer Name: POSTELUCIEN
Event Code: 32068
Message: La règle de routage de trafic sortant n'est pas valide car elle ne peut pas trouver de périphérique valide. Les télécopies sortantes qui utilisent cette règle ne peuvent pas être acheminées. Vérifiez que le ou les périphériques concernés (en cas de routage vers un groupe de périphériques) sont connectés et installés correctement et allumés. En cas de routage vers un groupe, vérifiez que le groupe est configuré correctement.
Code de pays/région : '*'
Indicatif régional : '*'
Record Number: 643
Source Name: Microsoft Fax
Time Written: 20090716072637.000000+120
Event Type: Avertissement
User:
Computer Name: POSTELUCIEN
Event Code: 32026
Message: Le service de télécopie n'a pas pu initialiser de périphériques de télécopies attribués (virtuel ou TAPI).
Aucune télécopie ne peut être envoyée ou reçue tant qu'un périphérique de télécopies n'a pas été installé.
Record Number: 642
Source Name: Microsoft Fax
Time Written: 20090716072637.000000+120
Event Type: Avertissement
User:
Computer Name: POSTELUCIEN
Event Code: 100
Message: The Service has started.
Record Number: 641
Source Name: LogMeIn
Time Written: 20090716072636.000000+120
Event Type: Informations
User: AUTORITE NT\SYSTEM
Computer Name: POSTELUCIEN
Event Code: 0
Message:
Record Number: 640
Source Name: WPEServ
Time Written: 20090715161114.000000+120
Event Type: Informations
User:
======Environment variables======
"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\Fichiers communs\Autodesk Shared\
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 28 Stepping 2, GenuineIntel
"PROCESSOR_REVISION"=1c02
"NUMBER_OF_PROCESSORS"=2
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
-----------------EOF-----------------
Bien cordialement,
Yann
info.txt logfile of random's system information tool 1.06 2009-07-22 12:49:51
======Uninstall list======
Adobe Flash Player ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Shockwave Player 11.5-->"C:\WINDOWS\system32\Adobe\Shockwave 11\uninstaller.exe"
AFPL Ghostscript 8.14-->C:\gs\uninstgs.exe "C:\gs\gs8.14\uninstal.txt"
AFPL Ghostscript Fonts-->C:\gs\uninstgs.exe "C:\gs\fonts\uninstal.txt"
Archiveur WinRAR-->C:\Program Files\WinRAR\uninstall.exe
AutoCAD 2006 - Français-->MsiExec.exe /I{5783F2D7-4001-040C-0002-0060B0CE6BBA}
Autodesk DWF Viewer-->C:\PROGRA~1\Autodesk\AUTODE~1\Setup.exe /remove
Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir Desktop\setup.exe /REMOVE
Blum to AutoCAD-->MsiExec.exe /X{D6F0AF4D-92C1-4409-9524-18CF315D4177}
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
DYNALOG-->C:\PROGRA~1\DYNALOG\UNWISE.EXE C:\PROGRA~1\DYNALOG\INSTALL.LOG
Intel(R) Graphics Media Accelerator Driver-->RUNDLL32.EXE C:\WINDOWS\system32\ialmrem.dll,UninstallW2KIGfx2ID PCI\VEN_8086&DEV_2776 PCI\VEN_8086&DEV_2772
LogMeIn-->MsiExec.exe /I{7F831576-6246-42C7-B523-55B3F96509CC}
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework 1.1 French Language Pack-->MsiExec.exe /X{9A394342-4A68-4EBA-85A6-55B559F4E700}
Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 2.0-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.exe
Microsoft Office Professional Edition 2003-->MsiExec.exe /I{9011040C-6000-11D3-8CFE-0150048383C9}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Mise à jour critique pour Lecteur Windows Media 11 (KB959772)-->"C:\WINDOWS\$NtUninstallKB959772_WM11$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Lecteur Windows Media (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Lecteur Windows Media 11 (KB954154)-->"C:\WINDOWS\$NtUninstallKB954154_WM11$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB969897)-->"C:\WINDOWS\ie7updates\KB969897-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB938464-v2)-->"C:\WINDOWS\$NtUninstallKB938464-v2$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB952004)-->"C:\WINDOWS\$NtUninstallKB952004$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB954459)-->"C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956572)-->"C:\WINDOWS\$NtUninstallKB956572$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB959426)-->"C:\WINDOWS\$NtUninstallKB959426$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB960225)-->"C:\WINDOWS\$NtUninstallKB960225$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB960803)-->"C:\WINDOWS\$NtUninstallKB960803$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB961371)-->"C:\WINDOWS\$NtUninstallKB961371$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB961373)-->"C:\WINDOWS\$NtUninstallKB961373$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB961501)-->"C:\WINDOWS\$NtUninstallKB961501$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB968537)-->"C:\WINDOWS\$NtUninstallKB968537$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB969898)-->"C:\WINDOWS\$NtUninstallKB969898$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB970238)-->"C:\WINDOWS\$NtUninstallKB970238$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB971633)-->"C:\WINDOWS\$NtUninstallKB971633$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB973346)-->"C:\WINDOWS\$NtUninstallKB973346$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe"
Module de prise en charge linguistique de Microsoft .NET Framework 2.0 - FRA-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0 Language Pack - FRA\install.exe
Mozilla Firefox (3.0.1)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
Mozilla Thunderbird (2.0.0.14)-->C:\Program Files\Mozilla Thunderbird\uninstall\helper.exe
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MSXML 6.0 Parser-->MsiExec.exe /I{AEB9948B-4FF2-47C9-990E-47014492A0FE}
Nero 8 Lite 8.3.2.1-->"C:\Program Files\Nero\unins000.exe"
PDFTOEXCEL-->"C:\Program Files\Blue Label Soft\PDF to Excel 2.4\unins000.exe"
REALTEK GbE & FE Ethernet PCI-E NIC Driver-->C:\Program Files\InstallShield Installation Information\{C9BED750-1211-4480-B1A5-718A3BE15525}\SETUP.EXE -runfromtemp -l0x040c -removeonly
Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\SETUP.EXE" -l0x40c -removeonly
RedMon - Redirection Port Monitor-->C:\WINDOWS\system32\unredmon.exe
Security Update pour Microsoft .NET Framework 2.0 (KB928365)-->C:\WINDOWS\system32\msiexec.exe /promptrestart /uninstall {8056AC9E-49C5-4375-9ADE-B2F862C9DF51} /package {7131646D-CD3C-40F4-97B9-CD9E4E6262EF}
soft Xpansion Perfect PDF Master 5-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{8B049241-2FA4-461D-AE21-F8EA06B79482}\setup.exe" -l0x9
Spybot - Search & Destroy-->"C:\Program Files\Spybot - Search & Destroy\unins000.exe"
TotalPDFConverter-->"C:\Program Files\Total PDF Converter\unins000.exe"
Windows Live Messenger-->MsiExec.exe /X{BADF6744-3787-48F6-B8C9-4C4995401D65}
Windows Media Player Firefox Plugin-->MsiExec.exe /I{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}
======Hosts File======
127.0.0.1 localhost
127.0.0.1 ad.a8.net
127.0.0.1 asy.a8ww.net
127.0.0.1 www.abx4.com #[Adware.ABXToolbar]
127.0.0.1 acezip.net #[SiteAdvisor.acezip.net]
127.0.0.1 www.acezip.net #[Win32/Adware.180Solutions]
127.0.0.1 phpadsnew.abac.com
127.0.0.1 a.abnad.net
127.0.0.1 b.abnad.net
127.0.0.1 c.abnad.net #[eTrust.Tracking.Cookie]
======Security center information======
AV: AntiVir Desktop (disabled) (outdated)
======System event log======
Computer Name: 6621582F9E7B4E5
Event Code: 3260
Message: Cet ordinateur a correctement été joint au workgroup 'WORKGROUP'.
Record Number: 5
Source Name: Workstation
Time Written: 20090609180841.000000+120
Event Type: Informations
User:
Computer Name: 6621582F9E7B4E5
Event Code: 6011
Message: Le nom NetBIOS et le nom de l'hôte DNS de cet ordinateur ont été modifiés de MACHINENAME vers 6621582F9E7B4E5.
Record Number: 4
Source Name: EventLog
Time Written: 20090609180802.000000+120
Event Type: Informations
User:
Computer Name: MACHINENAME
Event Code: 2
Message: Pendant la validation de \Device\Serial0 en tant que port série, une FIFO a été détectée. La FIFO sera utilisée.
Record Number: 3
Source Name: Serial
Time Written: 20090609200244.000000+120
Event Type: Informations
User:
Computer Name: MACHINENAME
Event Code: 6005
Message: Le service d'Enregistrement d'événement a démarré.
Record Number: 2
Source Name: EventLog
Time Written: 20090609200225.000000+120
Event Type: Informations
User:
Computer Name: MACHINENAME
Event Code: 6009
Message: Microsoft (R) Windows (R) 5.01. 2600 Service Pack 3 Multiprocessor Free.
Record Number: 1
Source Name: EventLog
Time Written: 20090609200225.000000+120
Event Type: Informations
User:
=====Application event log=====
Computer Name: POSTELUCIEN
Event Code: 4096
Message: Le service AntiVir a bien démarré!
Record Number: 644
Source Name: Avira AntiVir
Time Written: 20090716072643.000000+120
Event Type: Informations
User: AUTORITE NT\SYSTEM
Computer Name: POSTELUCIEN
Event Code: 32068
Message: La règle de routage de trafic sortant n'est pas valide car elle ne peut pas trouver de périphérique valide. Les télécopies sortantes qui utilisent cette règle ne peuvent pas être acheminées. Vérifiez que le ou les périphériques concernés (en cas de routage vers un groupe de périphériques) sont connectés et installés correctement et allumés. En cas de routage vers un groupe, vérifiez que le groupe est configuré correctement.
Code de pays/région : '*'
Indicatif régional : '*'
Record Number: 643
Source Name: Microsoft Fax
Time Written: 20090716072637.000000+120
Event Type: Avertissement
User:
Computer Name: POSTELUCIEN
Event Code: 32026
Message: Le service de télécopie n'a pas pu initialiser de périphériques de télécopies attribués (virtuel ou TAPI).
Aucune télécopie ne peut être envoyée ou reçue tant qu'un périphérique de télécopies n'a pas été installé.
Record Number: 642
Source Name: Microsoft Fax
Time Written: 20090716072637.000000+120
Event Type: Avertissement
User:
Computer Name: POSTELUCIEN
Event Code: 100
Message: The Service has started.
Record Number: 641
Source Name: LogMeIn
Time Written: 20090716072636.000000+120
Event Type: Informations
User: AUTORITE NT\SYSTEM
Computer Name: POSTELUCIEN
Event Code: 0
Message:
Record Number: 640
Source Name: WPEServ
Time Written: 20090715161114.000000+120
Event Type: Informations
User:
======Environment variables======
"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\Fichiers communs\Autodesk Shared\
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 28 Stepping 2, GenuineIntel
"PROCESSOR_REVISION"=1c02
"NUMBER_OF_PROCESSORS"=2
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
-----------------EOF-----------------
Bien cordialement,
Yann
va sur virus total et analyse les fichiers
C:\WINDOWS\TEMP\ubcohiling.exe
, tu obtiens un rapport pour chacun d eux , colle le.
https://www.virustotal.com/gui/
C:\WINDOWS\TEMP\ubcohiling.exe
, tu obtiens un rapport pour chacun d eux , colle le.
https://www.virustotal.com/gui/
Bonjour,
voici le rapport d'antivirustotal sur le fichier (je l'ai renommé via antivir) :
Fichier ubcohiling.VIR reçu le 2009.07.24 10:12:33 (UTC)
Situation actuelle: terminé
Résultat: 18/41 (43.90%)
Formaté
Impression des résultats
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.24 2009.07.24 Trojan-Proxy.Win32.Sefbov!IK
AhnLab-V3 5.0.0.2 2009.07.24 -
AntiVir 7.9.0.228 2009.07.24 TR/Inject.cspc
Antiy-AVL 2.0.3.7 2009.07.24 -
Authentium 5.1.2.4 2009.07.24 -
Avast 4.8.1335.0 2009.07.24 Win32:Trojan-gen {Other}
AVG 8.5.0.387 2009.07.24 Injector.EW
BitDefender 7.2 2009.07.24 -
CAT-QuickHeal 10.00 2009.07.24 -
ClamAV 0.94.1 2009.07.24 -
Comodo 1749 2009.07.24 TrojWare.Win32.Trojan.Agent.Gen
DrWeb 5.0.0.12182 2009.07.24 -
eSafe 7.0.17.0 2009.07.23 Suspicious File
eTrust-Vet 31.6.6637 2009.07.24 -
F-Prot 4.4.4.56 2009.07.23 -
F-Secure 8.0.14470.0 2009.07.24 Trojan-Proxy:W32/Agent.LEA
Fortinet 3.120.0.0 2009.07.24 -
GData 19 2009.07.24 Win32:Trojan-gen {Other}
Ikarus T3.1.1.64.0 2009.07.24 Trojan-Proxy.Win32.Sefbov
Jiangmin 11.0.800 2009.07.24 -
K7AntiVirus 7.10.800 2009.07.23 -
Kaspersky 7.0.0.125 2009.07.24 -
McAfee 5686 2009.07.23 -
McAfee+Artemis 5686 2009.07.23 Artemis!D5B869C41CC7
McAfee-GW-Edition 6.8.5 2009.07.24 Trojan.Inject.cspc
Microsoft 1.4903 2009.07.24 TrojanProxy:Win32/Sefbov.B
NOD32 4273 2009.07.24 a variant of Win32/Kryptik.ZH
Norman 6.01.09 2009.07.22 -
nProtect 2009.1.8.0 2009.07.24 -
Panda 10.0.0.14 2009.07.24 Generic Trojan
PCTools 4.4.2.0 2009.07.23 -
Prevx 3.0 2009.07.24 Medium Risk Malware
Rising 21.39.42.00 2009.07.24 -
Sophos 4.44.0 2009.07.24 Mal/Generic-A
Sunbelt 3.2.1858.2 2009.07.23 TrojanProxy-Win32/Sefbov.B
Symantec 1.4.4.12 2009.07.24 -
TheHacker 6.3.4.3.373 2009.07.24 -
TrendMicro 8.950.0.1094 2009.07.24 TROJ_SEFBOV.G
VBA32 3.12.10.9 2009.07.24 -
ViRobot 2009.7.24.1851 2009.07.24 -
VirusBuster 4.6.5.0 2009.07.23 -
Information additionnelle
File size: 24064 bytes
MD5 : d5b869c41cc7a4eaf23a01541892bf25
SHA1 : e16aec66a363ab2f47e6deffe24f02d471d5b1a7
SHA256: b8979e0ade4163989fd568967c26ba1bd4396701798f24259d394aad530e3f31
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x492A
timedatestamp.....: 0x47D21F1B (Sat Mar 8 06:07:39 2008)
machinetype.......: 0x14C (Intel I386)
( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3E2A 0x4000 7.81 f78c145c7d5a2985996add7a7740ed7b
.rdata 0x5000 0xB04 0xC00 6.45 9144687e3fa748aa418dd8401c35c97d
.data 0x6000 0x60A 0x800 5.35 a1bea1c15b01458aebc3ad9f6c835305
.reloc 0x7000 0x41C 0x600 5.29 7fd085b7273a6dec7e9358bb1c145de8
( 2 imports )
> kernel32.dll: GetModuleHandleA, GetModuleFileNameA, GetVersion, LoadLibraryA, GetLastError, GetCommandLineA, ExitProcess, GetCurrentThreadId, GetSystemTimeAsFileTime, GetTickCount, OpenFile, SetConsoleMode
> msvcrt.dll: _isctype, strncpy, sprintf, _snwprintf, wcsncpy, fprintf, strtoul, wcsrchr
( 0 exports )
TrID : File type identification
Win32 Executable MS Visual C++ 4.x (85.8%)
Win32 Executable Generic (5.4%)
Win32 Dynamic Link Library (generic) (4.8%)
Win16/32 Executable Delphi generic (1.3%)
Generic Win/DOS Executable (1.2%)
ssdeep: 384:W28YRWtJ4juux000EfXljuoQgT80uNZQOkTDY5r8gywDAeru79Y9FUc7HWoiAsLQ:3RWgjuQ0ZSXl6olTOQOD8gyheq7qFUcj
Prevx Info: http://info.prevx.com/aboutprogramtext.asp?PX5=BDFC500B004195F45EC3002DEFE3F800D6BA7D85
PEiD : Armadillo v1.71
RDS : NSRL Reference Data Set
Cordialement,
Yann
voici le rapport d'antivirustotal sur le fichier (je l'ai renommé via antivir) :
Fichier ubcohiling.VIR reçu le 2009.07.24 10:12:33 (UTC)
Situation actuelle: terminé
Résultat: 18/41 (43.90%)
Formaté
Impression des résultats
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.24 2009.07.24 Trojan-Proxy.Win32.Sefbov!IK
AhnLab-V3 5.0.0.2 2009.07.24 -
AntiVir 7.9.0.228 2009.07.24 TR/Inject.cspc
Antiy-AVL 2.0.3.7 2009.07.24 -
Authentium 5.1.2.4 2009.07.24 -
Avast 4.8.1335.0 2009.07.24 Win32:Trojan-gen {Other}
AVG 8.5.0.387 2009.07.24 Injector.EW
BitDefender 7.2 2009.07.24 -
CAT-QuickHeal 10.00 2009.07.24 -
ClamAV 0.94.1 2009.07.24 -
Comodo 1749 2009.07.24 TrojWare.Win32.Trojan.Agent.Gen
DrWeb 5.0.0.12182 2009.07.24 -
eSafe 7.0.17.0 2009.07.23 Suspicious File
eTrust-Vet 31.6.6637 2009.07.24 -
F-Prot 4.4.4.56 2009.07.23 -
F-Secure 8.0.14470.0 2009.07.24 Trojan-Proxy:W32/Agent.LEA
Fortinet 3.120.0.0 2009.07.24 -
GData 19 2009.07.24 Win32:Trojan-gen {Other}
Ikarus T3.1.1.64.0 2009.07.24 Trojan-Proxy.Win32.Sefbov
Jiangmin 11.0.800 2009.07.24 -
K7AntiVirus 7.10.800 2009.07.23 -
Kaspersky 7.0.0.125 2009.07.24 -
McAfee 5686 2009.07.23 -
McAfee+Artemis 5686 2009.07.23 Artemis!D5B869C41CC7
McAfee-GW-Edition 6.8.5 2009.07.24 Trojan.Inject.cspc
Microsoft 1.4903 2009.07.24 TrojanProxy:Win32/Sefbov.B
NOD32 4273 2009.07.24 a variant of Win32/Kryptik.ZH
Norman 6.01.09 2009.07.22 -
nProtect 2009.1.8.0 2009.07.24 -
Panda 10.0.0.14 2009.07.24 Generic Trojan
PCTools 4.4.2.0 2009.07.23 -
Prevx 3.0 2009.07.24 Medium Risk Malware
Rising 21.39.42.00 2009.07.24 -
Sophos 4.44.0 2009.07.24 Mal/Generic-A
Sunbelt 3.2.1858.2 2009.07.23 TrojanProxy-Win32/Sefbov.B
Symantec 1.4.4.12 2009.07.24 -
TheHacker 6.3.4.3.373 2009.07.24 -
TrendMicro 8.950.0.1094 2009.07.24 TROJ_SEFBOV.G
VBA32 3.12.10.9 2009.07.24 -
ViRobot 2009.7.24.1851 2009.07.24 -
VirusBuster 4.6.5.0 2009.07.23 -
Information additionnelle
File size: 24064 bytes
MD5 : d5b869c41cc7a4eaf23a01541892bf25
SHA1 : e16aec66a363ab2f47e6deffe24f02d471d5b1a7
SHA256: b8979e0ade4163989fd568967c26ba1bd4396701798f24259d394aad530e3f31
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x492A
timedatestamp.....: 0x47D21F1B (Sat Mar 8 06:07:39 2008)
machinetype.......: 0x14C (Intel I386)
( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3E2A 0x4000 7.81 f78c145c7d5a2985996add7a7740ed7b
.rdata 0x5000 0xB04 0xC00 6.45 9144687e3fa748aa418dd8401c35c97d
.data 0x6000 0x60A 0x800 5.35 a1bea1c15b01458aebc3ad9f6c835305
.reloc 0x7000 0x41C 0x600 5.29 7fd085b7273a6dec7e9358bb1c145de8
( 2 imports )
> kernel32.dll: GetModuleHandleA, GetModuleFileNameA, GetVersion, LoadLibraryA, GetLastError, GetCommandLineA, ExitProcess, GetCurrentThreadId, GetSystemTimeAsFileTime, GetTickCount, OpenFile, SetConsoleMode
> msvcrt.dll: _isctype, strncpy, sprintf, _snwprintf, wcsncpy, fprintf, strtoul, wcsrchr
( 0 exports )
TrID : File type identification
Win32 Executable MS Visual C++ 4.x (85.8%)
Win32 Executable Generic (5.4%)
Win32 Dynamic Link Library (generic) (4.8%)
Win16/32 Executable Delphi generic (1.3%)
Generic Win/DOS Executable (1.2%)
ssdeep: 384:W28YRWtJ4juux000EfXljuoQgT80uNZQOkTDY5r8gywDAeru79Y9FUc7HWoiAsLQ:3RWgjuQ0ZSXl6olTOQOD8gyheq7qFUcj
Prevx Info: http://info.prevx.com/aboutprogramtext.asp?PX5=BDFC500B004195F45EC3002DEFE3F800D6BA7D85
PEiD : Armadillo v1.71
RDS : NSRL Reference Data Set
Cordialement,
Yann
pour voir télécharge combofix (par sUBs) ici :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
et enregistre le sur le bureau.
déconnecte toi d'internet et ferme toutes tes applications.
désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)
double-clique sur combofix.exe et suis les instructions
à la fin, il va produire un rapport C:\ComboFix.txt
réactive ton parefeu, ton antivirus, la garde de ton antispyware
copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.
Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.
Tu as un tutoriel complet ici :
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
et enregistre le sur le bureau.
déconnecte toi d'internet et ferme toutes tes applications.
désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)
double-clique sur combofix.exe et suis les instructions
à la fin, il va produire un rapport C:\ComboFix.txt
réactive ton parefeu, ton antivirus, la garde de ton antispyware
copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.
Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.
Tu as un tutoriel complet ici :
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Bonjour,
quelques précisions avant de poster le rapport :
- le troyen n'est plus détecté par antivir, d'ailleurs il n'y a plus rien dans le répertoire \windows\temp. C'est peut etre lié au fait que j'ai à un moment choisi "renommer" au lieu de supprimer ou refuser l'accès et supprimé les fichiers en quarantaine.
- ne sachant pas comment désactiver la protection de spybot, je l'ai désinstallé avant d'utiliser combofix.
Le rapport :
ComboFix 09-07-24.01 - Administrateur 25/07/2009 11:42.1.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.1015.602 [GMT 2:00]
Running from: c:\documents and settings\Administrateur\Bureau\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\hjgruidiummprp.dat
c:\windows\system32\hjgruipwrdlvor.dat
c:\windows\system32\msconfig.exe
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Service_hjgruigidoroyo
((((((((((((((((((((((((( Files Created from 2009-06-25 to 2009-07-25 )))))))))))))))))))))))))))))))
.
2009-07-24 10:05 . 2009-07-24 10:05 -------- d-----w- c:\program files\VirusTotalUploader
2009-07-24 09:55 . 2009-07-24 09:55 0 ----a-w- c:\windows\nsreg.dat
2009-07-24 09:55 . 2009-07-24 09:55 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Mozilla
2009-07-22 10:49 . 2009-07-22 10:49 -------- d-----w- c:\program files\trend micro
2009-07-22 10:49 . 2009-07-22 10:49 -------- d-----w- C:\rsit
2009-07-21 16:46 . 2009-07-21 16:46 552 ----a-w- c:\windows\system32\d3d8caps.dat
2009-07-21 15:44 . 2009-07-25 09:39 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-07-21 15:38 . 2009-07-21 15:38 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Malwarebytes
2009-07-21 15:38 . 2009-07-13 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-07-21 15:37 . 2009-07-21 15:37 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-07-21 15:37 . 2009-07-13 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-07-21 15:37 . 2009-07-21 15:38 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-07-21 05:50 . 2009-07-21 05:51 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Temp
2009-07-15 05:37 . 2009-06-16 14:40 81920 ------w- c:\windows\system32\dllcache\fontsub.dll
2009-07-15 05:37 . 2009-06-16 14:40 119808 ------w- c:\windows\system32\dllcache\t2embed.dll
2009-07-10 06:44 . 2009-07-10 06:45 -------- d-----w- c:\program files\AnswerWorks 4.0
2009-07-08 11:34 . 2009-07-08 11:34 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Softplicity
2009-07-08 11:34 . 2009-07-08 11:34 -------- d-----w- c:\program files\Total PDF Converter
2009-07-06 13:18 . 2009-07-08 11:34 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP
2009-07-06 13:18 . 2009-07-06 13:18 -------- d-----w- c:\program files\Blue Label Soft
2009-06-30 10:14 . 2009-06-30 10:14 -------- d-----w- c:\windows\system32\wbem\Repository
2009-06-30 08:26 . 2009-06-30 08:26 -------- d-----w- c:\documents and settings\Administrateur\IECompatCache
2009-06-30 05:02 . 2009-06-30 05:02 -------- d-----w- c:\documents and settings\Administrateur\PrivacIE
2009-06-30 04:15 . 2009-06-30 04:15 -------- d-----w- c:\documents and settings\LocalService\IETldCache
2009-06-30 04:15 . 2009-06-30 04:15 -------- d-----w- c:\documents and settings\Administrateur\IETldCache
2009-06-30 04:11 . 2009-06-30 10:14 -------- dc----w- c:\windows\ie8
2009-06-29 09:32 . 2009-06-30 10:14 -------- d-----w- c:\program files\Aide PDF to DXF Converter
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-25 09:47 . 2009-07-25 09:47 -------- d-----w- c:\program files\microsoft frontpage
2009-07-25 09:23 . 2009-06-16 11:51 -------- d-----w- c:\program files\LogMeIn
2009-07-17 10:32 . 2009-06-09 14:12 -------- d-----w- c:\program files\DYNALOG
2009-07-10 06:47 . 2009-06-09 13:04 67136 ----a-w- c:\documents and settings\Administrateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-07-10 06:46 . 2009-06-09 12:57 -------- d-----w- c:\program files\Fichiers communs\Autodesk Shared
2009-07-10 06:46 . 2009-06-09 13:01 -------- d-----w- c:\program files\AutoCAD 2006
2009-07-10 06:43 . 2009-06-09 13:01 -------- d-----w- c:\documents and settings\All Users\Application Data\Autodesk
2009-06-19 11:56 . 2009-06-19 11:56 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Nero
2009-06-16 18:41 . 2009-06-16 18:41 -------- d-----w- c:\documents and settings\All Users\Application Data\Office Genuine Advantage
2009-06-16 14:40 . 2008-08-23 23:53 81920 ----a-w- c:\windows\system32\fontsub.dll
2009-06-16 14:40 . 2008-08-23 23:53 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-06-16 11:51 . 2009-06-16 11:51 -------- d-----w- c:\documents and settings\All Users\Application Data\LogMeIn
2009-06-15 10:23 . 2009-06-15 10:23 -------- d-----w- c:\program files\Fichiers communs\wpe
2009-06-15 10:23 . 2009-06-15 10:23 -------- d-----w- c:\program files\soft Xpansion
2009-06-15 10:23 . 2009-06-09 16:34 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-06-15 10:15 . 2009-06-10 15:50 -------- d-----w- c:\program files\FreePDF_XP
2009-06-12 05:07 . 2008-08-23 23:53 75318 ----a-w- c:\windows\system32\perfc00C.dat
2009-06-12 05:07 . 2008-08-23 23:53 469512 ----a-w- c:\windows\system32\perfh00C.dat
2009-06-11 16:16 . 2009-06-11 16:16 -------- d-----w- c:\program files\MSXML 4.0
2009-06-10 16:02 . 2009-06-10 16:02 -------- d-----w- c:\program files\gs
2009-06-10 15:43 . 2009-06-10 15:43 -------- d-----w- c:\documents and settings\Administrateur\Application Data\eXPert PDF Editor
2009-06-10 12:51 . 2009-06-10 12:50 -------- d-----w- c:\program files\Fichiers communs\Wise Installation Wizard
2009-06-09 17:38 . 2009-06-09 17:38 -------- d-----w- c:\program files\Microsoft.NET
2009-06-09 17:03 . 2009-06-09 17:03 -------- d-----w- c:\program files\DAEMON Tools Lite
2009-06-09 16:59 . 2009-06-09 16:59 717296 ----a-w- c:\windows\system32\drivers\sptd.sys
2009-06-09 16:59 . 2009-06-09 16:59 -------- d-----w- c:\documents and settings\Administrateur\Application Data\DAEMON Tools
2009-06-09 16:55 . 2009-06-09 16:29 16608 ----a-w- c:\windows\gdrv.sys
2009-06-09 16:43 . 2009-06-09 16:17 -------- d-----w- c:\program files\CCleaner
2009-06-09 16:40 . 2009-06-09 16:40 -------- d-----w- c:\program files\Avira
2009-06-09 16:40 . 2009-06-09 16:40 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
2009-06-09 16:36 . 2009-06-09 16:34 -------- d-----w- c:\program files\Realtek
2009-06-09 16:36 . 2009-06-09 16:36 -------- d-----w- c:\documents and settings\Administrateur\Application Data\InstallShield
2009-06-09 16:34 . 2009-06-09 16:34 315392 ----a-w- c:\windows\HideWin.exe
2009-06-09 16:34 . 2009-06-09 16:34 -------- d-----w- c:\program files\Fichiers communs\InstallShield
2009-06-09 16:30 . 2009-06-09 16:30 -------- d-----w- c:\program files\Intel
2009-06-09 16:19 . 2009-06-09 16:19 -------- d-----w- c:\program files\Fichiers communs\Nero
2009-06-09 16:19 . 2009-06-09 16:19 -------- d-----w- c:\program files\Nero
2009-06-09 16:19 . 2009-06-09 16:19 -------- d-----w- c:\documents and settings\All Users\Application Data\Nero
2009-06-09 16:18 . 2009-06-09 16:18 -------- d-----w- c:\program files\Mozilla Thunderbird
2009-06-09 16:17 . 2009-06-09 16:17 2678 ----a-w- c:\windows\java\Packages\Data\53PJ1J9F.DAT
2009-06-09 16:17 . 2009-06-09 16:17 2678 ----a-w- c:\windows\java\Packages\Data\L3FBTNDV.DAT
2009-06-09 16:17 . 2009-06-09 16:17 2678 ----a-w- c:\windows\java\Packages\Data\O2HRX3PJ.DAT
2009-06-09 16:17 . 2009-06-09 16:17 2678 ----a-w- c:\windows\java\Packages\Data\AKW5NJ7F.DAT
2009-06-09 16:17 . 2009-06-09 16:17 2678 ----a-w- c:\windows\java\Packages\Data\5RXNLBHJ.DAT
2009-06-09 16:09 . 2009-06-09 16:09 21892 ----a-w- c:\windows\system32\emptyregdb.dat
2009-06-09 16:09 . 2009-06-09 16:09 -------- d-----w- c:\program files\Windows Media Connect 2
2009-06-09 14:19 . 2009-06-09 14:19 -------- d-----w- c:\program files\Borland
2009-06-09 13:05 . 2009-06-09 13:01 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Autodesk
2009-06-09 13:04 . 2009-06-09 13:04 137 ----a-w- c:\documents and settings\Administrateur\Local Settings\Application Data\fusioncache.dat
2009-06-09 12:57 . 2009-06-09 12:57 -------- d-----w- c:\program files\Autodesk
2009-06-04 11:37 . 2009-06-04 11:37 348160 ----a-w- c:\windows\system32\msvcr71.dll
2009-06-04 11:37 . 2009-06-04 11:37 499712 ----a-w- c:\windows\system32\msvcp71.dll
2009-06-03 19:10 . 2008-08-23 23:53 1297408 ----a-w- c:\windows\system32\quartz.dll
2009-05-07 15:33 . 2008-08-23 23:53 348672 ----a-w- c:\windows\system32\localspl.dll
2009-04-29 04:37 . 2008-08-23 23:53 828928 ----a-w- c:\windows\system32\wininet.dll
2009-04-29 04:37 . 2008-08-23 23:53 78336 ----a-w- c:\windows\system32\ieencode.dll
2008-07-03 02:56 . 2009-06-09 16:18 134144 ----a-w- c:\program files\mozilla firefox\components\brwsrcmp.dll
.
------- Sigcheck -------
[-] 2008-08-23 23:53 361600 E88631E21A9CACA06104802F9E915115 c:\windows\system32\drivers\tcpip.sys
[-] 2008-08-23 23:53 2011136 22F702A6DCBDB4F7282C4B73B95EE4E4 c:\windows\explorer.exe
[-] 2008-08-23 23:53 1648640 F2614128EF03320BBFCF17F19A1633E9 c:\windows\system32\comres.dll
[-] 2008-08-23 23:53 1571840 A9658459BB4F4EE00FA117C9382C0D3A c:\windows\system32\sfcfiles.dll
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-08-23 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-11-28 98304]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-11-28 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-11-28 118784]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"LogMeIn GUI"="c:\program files\LogMeIn\x86\LogMeInSystray.exe" [2008-07-24 63048]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2008-02-13 16857600]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]
"nltide_3"="advpack.dll" - c:\windows\system32\advpack.dll [2009-04-29 124928]
c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Acc‚l‚rateur de d‚marrage AutoCAD.lnk - c:\program files\Fichiers communs\Autodesk Shared\acstart16.exe [2005-3-5 10872]
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LMIinit]
2008-10-16 18:35 87352 ----a-w- c:\windows\system32\LMIinit.dll
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
R0 Si3124;Si3124;c:\windows\system32\drivers\si3124.sys [24/08/2008 01:53 76208]
R0 Si3531;Si3531;c:\windows\system32\drivers\Si3531.sys [24/08/2008 01:53 210224]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [09/06/2009 18:40 108289]
R2 LMIInfo;LogMeIn Kernel Information Provider;c:\program files\LogMeIn\x86\rainfo.sys [24/07/2008 18:46 12856]
R2 LMIRfsDriver;LogMeIn Remote File System Driver;c:\windows\system32\drivers\LMIRfsDriver.sys [16/06/2009 13:51 47640]
S2 ALGAntiVirSchedulerService;Service de la passerelle de la couche Application ALGAntiVirSchedulerService;c:\windows\TEMP\ubcohiling.exe service --> c:\windows\TEMP\ubcohiling.exe service [?]
S3 WPEServ;soft Xpansion Print2Document;c:\program files\Fichiers communs\wpe\wpeserv.exe [15/06/2009 12:23 339968]
S4 LMIRfsClientNP;LMIRfsClientNP; [x]
--- Other Services/Drivers In Memory ---
*NewlyCreated* - HELPSVC
.
Contents of the 'Scheduled Tasks' folder
2009-07-24 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1177238915-362288127-515967899-500Core.job
- c:\documents and settings\Administrateur\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2009-06-09 15:16]
2009-07-24 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1177238915-362288127-515967899-500UA.job
- c:\documents and settings\Administrateur\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2009-06-09 15:16]
.
- - - - ORPHANS REMOVED - - - -
Toolbar-ITBar7Layout - (no file)
Toolbar-ITBar7Position - (no file)
HKU-Default-Run-TaskSwitchXP - c:\program files\TaskSwitchXP\TaskSwitchXP.exe
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.google.fr
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
TCP: {108673E2-7A8A-49F7-BF82-7AF3125D8C48} = 212.27.53.252
FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\dbxjnxgv.default\
FF - plugin: c:\documents and settings\Administrateur\Local Settings\Application Data\Google\Update\1.2.183.7\npGoogleOneClick8.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-25 11:47
Windows 5.1.2600 Service Pack 3 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
- - - - - - - > 'winlogon.exe'(528)
c:\windows\system32\SETUPAPI.dll
c:\windows\system32\LMIinit.dll
c:\windows\system32\LMIRfsClientNP.dll
c:\windows\system32\COMRes.dll
- - - - - - - > 'lsass.exe'(584)
c:\windows\system32\setupapi.dll
c:\windows\system32\scecli.dll
- - - - - - - > 'explorer.exe'(3552)
c:\windows\system32\SHDOCVW.dll
c:\windows\system32\COMRes.dll
c:\windows\system32\LMIRfsClientNP.dll
c:\windows\system32\msi.dll
c:\windows\system32\SETUPAPI.dll
c:\windows\system32\wpdshserviceobj.dll
c:\windows\system32\portabledevicetypes.dll
c:\windows\system32\portabledeviceapi.dll
c:\windows\system32\NETSHELL.dll
c:\windows\system32\credui.dll
c:\windows\system32\eappprxy.dll
.
------------------------ Other Running Processes ------------------------
.
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\LogMeIn\x86\ramaint.exe
c:\program files\LogMeIn\x86\LogMeIn.exe
c:\program files\LogMeIn\x86\LMIGuardian.exe
c:\windows\system32\rundll32.exe
c:\program files\LogMeIn\x86\LMIGuardian.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Completion time: 2009-07-25 11:51 - machine was rebooted
ComboFix-quarantined-files.txt 2009-07-25 09:51
Pre-Run: 21 375 324 160 octets libres
Post-Run: 21 317 984 256 octets libres
221 --- E O F --- 2009-07-15 07:02
Cordialement,
Yann
quelques précisions avant de poster le rapport :
- le troyen n'est plus détecté par antivir, d'ailleurs il n'y a plus rien dans le répertoire \windows\temp. C'est peut etre lié au fait que j'ai à un moment choisi "renommer" au lieu de supprimer ou refuser l'accès et supprimé les fichiers en quarantaine.
- ne sachant pas comment désactiver la protection de spybot, je l'ai désinstallé avant d'utiliser combofix.
Le rapport :
ComboFix 09-07-24.01 - Administrateur 25/07/2009 11:42.1.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.1015.602 [GMT 2:00]
Running from: c:\documents and settings\Administrateur\Bureau\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\hjgruidiummprp.dat
c:\windows\system32\hjgruipwrdlvor.dat
c:\windows\system32\msconfig.exe
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Service_hjgruigidoroyo
((((((((((((((((((((((((( Files Created from 2009-06-25 to 2009-07-25 )))))))))))))))))))))))))))))))
.
2009-07-24 10:05 . 2009-07-24 10:05 -------- d-----w- c:\program files\VirusTotalUploader
2009-07-24 09:55 . 2009-07-24 09:55 0 ----a-w- c:\windows\nsreg.dat
2009-07-24 09:55 . 2009-07-24 09:55 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Mozilla
2009-07-22 10:49 . 2009-07-22 10:49 -------- d-----w- c:\program files\trend micro
2009-07-22 10:49 . 2009-07-22 10:49 -------- d-----w- C:\rsit
2009-07-21 16:46 . 2009-07-21 16:46 552 ----a-w- c:\windows\system32\d3d8caps.dat
2009-07-21 15:44 . 2009-07-25 09:39 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-07-21 15:38 . 2009-07-21 15:38 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Malwarebytes
2009-07-21 15:38 . 2009-07-13 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-07-21 15:37 . 2009-07-21 15:37 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-07-21 15:37 . 2009-07-13 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-07-21 15:37 . 2009-07-21 15:38 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-07-21 05:50 . 2009-07-21 05:51 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Temp
2009-07-15 05:37 . 2009-06-16 14:40 81920 ------w- c:\windows\system32\dllcache\fontsub.dll
2009-07-15 05:37 . 2009-06-16 14:40 119808 ------w- c:\windows\system32\dllcache\t2embed.dll
2009-07-10 06:44 . 2009-07-10 06:45 -------- d-----w- c:\program files\AnswerWorks 4.0
2009-07-08 11:34 . 2009-07-08 11:34 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Softplicity
2009-07-08 11:34 . 2009-07-08 11:34 -------- d-----w- c:\program files\Total PDF Converter
2009-07-06 13:18 . 2009-07-08 11:34 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP
2009-07-06 13:18 . 2009-07-06 13:18 -------- d-----w- c:\program files\Blue Label Soft
2009-06-30 10:14 . 2009-06-30 10:14 -------- d-----w- c:\windows\system32\wbem\Repository
2009-06-30 08:26 . 2009-06-30 08:26 -------- d-----w- c:\documents and settings\Administrateur\IECompatCache
2009-06-30 05:02 . 2009-06-30 05:02 -------- d-----w- c:\documents and settings\Administrateur\PrivacIE
2009-06-30 04:15 . 2009-06-30 04:15 -------- d-----w- c:\documents and settings\LocalService\IETldCache
2009-06-30 04:15 . 2009-06-30 04:15 -------- d-----w- c:\documents and settings\Administrateur\IETldCache
2009-06-30 04:11 . 2009-06-30 10:14 -------- dc----w- c:\windows\ie8
2009-06-29 09:32 . 2009-06-30 10:14 -------- d-----w- c:\program files\Aide PDF to DXF Converter
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-25 09:47 . 2009-07-25 09:47 -------- d-----w- c:\program files\microsoft frontpage
2009-07-25 09:23 . 2009-06-16 11:51 -------- d-----w- c:\program files\LogMeIn
2009-07-17 10:32 . 2009-06-09 14:12 -------- d-----w- c:\program files\DYNALOG
2009-07-10 06:47 . 2009-06-09 13:04 67136 ----a-w- c:\documents and settings\Administrateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-07-10 06:46 . 2009-06-09 12:57 -------- d-----w- c:\program files\Fichiers communs\Autodesk Shared
2009-07-10 06:46 . 2009-06-09 13:01 -------- d-----w- c:\program files\AutoCAD 2006
2009-07-10 06:43 . 2009-06-09 13:01 -------- d-----w- c:\documents and settings\All Users\Application Data\Autodesk
2009-06-19 11:56 . 2009-06-19 11:56 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Nero
2009-06-16 18:41 . 2009-06-16 18:41 -------- d-----w- c:\documents and settings\All Users\Application Data\Office Genuine Advantage
2009-06-16 14:40 . 2008-08-23 23:53 81920 ----a-w- c:\windows\system32\fontsub.dll
2009-06-16 14:40 . 2008-08-23 23:53 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-06-16 11:51 . 2009-06-16 11:51 -------- d-----w- c:\documents and settings\All Users\Application Data\LogMeIn
2009-06-15 10:23 . 2009-06-15 10:23 -------- d-----w- c:\program files\Fichiers communs\wpe
2009-06-15 10:23 . 2009-06-15 10:23 -------- d-----w- c:\program files\soft Xpansion
2009-06-15 10:23 . 2009-06-09 16:34 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-06-15 10:15 . 2009-06-10 15:50 -------- d-----w- c:\program files\FreePDF_XP
2009-06-12 05:07 . 2008-08-23 23:53 75318 ----a-w- c:\windows\system32\perfc00C.dat
2009-06-12 05:07 . 2008-08-23 23:53 469512 ----a-w- c:\windows\system32\perfh00C.dat
2009-06-11 16:16 . 2009-06-11 16:16 -------- d-----w- c:\program files\MSXML 4.0
2009-06-10 16:02 . 2009-06-10 16:02 -------- d-----w- c:\program files\gs
2009-06-10 15:43 . 2009-06-10 15:43 -------- d-----w- c:\documents and settings\Administrateur\Application Data\eXPert PDF Editor
2009-06-10 12:51 . 2009-06-10 12:50 -------- d-----w- c:\program files\Fichiers communs\Wise Installation Wizard
2009-06-09 17:38 . 2009-06-09 17:38 -------- d-----w- c:\program files\Microsoft.NET
2009-06-09 17:03 . 2009-06-09 17:03 -------- d-----w- c:\program files\DAEMON Tools Lite
2009-06-09 16:59 . 2009-06-09 16:59 717296 ----a-w- c:\windows\system32\drivers\sptd.sys
2009-06-09 16:59 . 2009-06-09 16:59 -------- d-----w- c:\documents and settings\Administrateur\Application Data\DAEMON Tools
2009-06-09 16:55 . 2009-06-09 16:29 16608 ----a-w- c:\windows\gdrv.sys
2009-06-09 16:43 . 2009-06-09 16:17 -------- d-----w- c:\program files\CCleaner
2009-06-09 16:40 . 2009-06-09 16:40 -------- d-----w- c:\program files\Avira
2009-06-09 16:40 . 2009-06-09 16:40 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
2009-06-09 16:36 . 2009-06-09 16:34 -------- d-----w- c:\program files\Realtek
2009-06-09 16:36 . 2009-06-09 16:36 -------- d-----w- c:\documents and settings\Administrateur\Application Data\InstallShield
2009-06-09 16:34 . 2009-06-09 16:34 315392 ----a-w- c:\windows\HideWin.exe
2009-06-09 16:34 . 2009-06-09 16:34 -------- d-----w- c:\program files\Fichiers communs\InstallShield
2009-06-09 16:30 . 2009-06-09 16:30 -------- d-----w- c:\program files\Intel
2009-06-09 16:19 . 2009-06-09 16:19 -------- d-----w- c:\program files\Fichiers communs\Nero
2009-06-09 16:19 . 2009-06-09 16:19 -------- d-----w- c:\program files\Nero
2009-06-09 16:19 . 2009-06-09 16:19 -------- d-----w- c:\documents and settings\All Users\Application Data\Nero
2009-06-09 16:18 . 2009-06-09 16:18 -------- d-----w- c:\program files\Mozilla Thunderbird
2009-06-09 16:17 . 2009-06-09 16:17 2678 ----a-w- c:\windows\java\Packages\Data\53PJ1J9F.DAT
2009-06-09 16:17 . 2009-06-09 16:17 2678 ----a-w- c:\windows\java\Packages\Data\L3FBTNDV.DAT
2009-06-09 16:17 . 2009-06-09 16:17 2678 ----a-w- c:\windows\java\Packages\Data\O2HRX3PJ.DAT
2009-06-09 16:17 . 2009-06-09 16:17 2678 ----a-w- c:\windows\java\Packages\Data\AKW5NJ7F.DAT
2009-06-09 16:17 . 2009-06-09 16:17 2678 ----a-w- c:\windows\java\Packages\Data\5RXNLBHJ.DAT
2009-06-09 16:09 . 2009-06-09 16:09 21892 ----a-w- c:\windows\system32\emptyregdb.dat
2009-06-09 16:09 . 2009-06-09 16:09 -------- d-----w- c:\program files\Windows Media Connect 2
2009-06-09 14:19 . 2009-06-09 14:19 -------- d-----w- c:\program files\Borland
2009-06-09 13:05 . 2009-06-09 13:01 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Autodesk
2009-06-09 13:04 . 2009-06-09 13:04 137 ----a-w- c:\documents and settings\Administrateur\Local Settings\Application Data\fusioncache.dat
2009-06-09 12:57 . 2009-06-09 12:57 -------- d-----w- c:\program files\Autodesk
2009-06-04 11:37 . 2009-06-04 11:37 348160 ----a-w- c:\windows\system32\msvcr71.dll
2009-06-04 11:37 . 2009-06-04 11:37 499712 ----a-w- c:\windows\system32\msvcp71.dll
2009-06-03 19:10 . 2008-08-23 23:53 1297408 ----a-w- c:\windows\system32\quartz.dll
2009-05-07 15:33 . 2008-08-23 23:53 348672 ----a-w- c:\windows\system32\localspl.dll
2009-04-29 04:37 . 2008-08-23 23:53 828928 ----a-w- c:\windows\system32\wininet.dll
2009-04-29 04:37 . 2008-08-23 23:53 78336 ----a-w- c:\windows\system32\ieencode.dll
2008-07-03 02:56 . 2009-06-09 16:18 134144 ----a-w- c:\program files\mozilla firefox\components\brwsrcmp.dll
.
------- Sigcheck -------
[-] 2008-08-23 23:53 361600 E88631E21A9CACA06104802F9E915115 c:\windows\system32\drivers\tcpip.sys
[-] 2008-08-23 23:53 2011136 22F702A6DCBDB4F7282C4B73B95EE4E4 c:\windows\explorer.exe
[-] 2008-08-23 23:53 1648640 F2614128EF03320BBFCF17F19A1633E9 c:\windows\system32\comres.dll
[-] 2008-08-23 23:53 1571840 A9658459BB4F4EE00FA117C9382C0D3A c:\windows\system32\sfcfiles.dll
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-08-23 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-11-28 98304]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-11-28 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-11-28 118784]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"LogMeIn GUI"="c:\program files\LogMeIn\x86\LogMeInSystray.exe" [2008-07-24 63048]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2008-02-13 16857600]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]
"nltide_3"="advpack.dll" - c:\windows\system32\advpack.dll [2009-04-29 124928]
c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Acc‚l‚rateur de d‚marrage AutoCAD.lnk - c:\program files\Fichiers communs\Autodesk Shared\acstart16.exe [2005-3-5 10872]
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LMIinit]
2008-10-16 18:35 87352 ----a-w- c:\windows\system32\LMIinit.dll
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
R0 Si3124;Si3124;c:\windows\system32\drivers\si3124.sys [24/08/2008 01:53 76208]
R0 Si3531;Si3531;c:\windows\system32\drivers\Si3531.sys [24/08/2008 01:53 210224]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [09/06/2009 18:40 108289]
R2 LMIInfo;LogMeIn Kernel Information Provider;c:\program files\LogMeIn\x86\rainfo.sys [24/07/2008 18:46 12856]
R2 LMIRfsDriver;LogMeIn Remote File System Driver;c:\windows\system32\drivers\LMIRfsDriver.sys [16/06/2009 13:51 47640]
S2 ALGAntiVirSchedulerService;Service de la passerelle de la couche Application ALGAntiVirSchedulerService;c:\windows\TEMP\ubcohiling.exe service --> c:\windows\TEMP\ubcohiling.exe service [?]
S3 WPEServ;soft Xpansion Print2Document;c:\program files\Fichiers communs\wpe\wpeserv.exe [15/06/2009 12:23 339968]
S4 LMIRfsClientNP;LMIRfsClientNP; [x]
--- Other Services/Drivers In Memory ---
*NewlyCreated* - HELPSVC
.
Contents of the 'Scheduled Tasks' folder
2009-07-24 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1177238915-362288127-515967899-500Core.job
- c:\documents and settings\Administrateur\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2009-06-09 15:16]
2009-07-24 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1177238915-362288127-515967899-500UA.job
- c:\documents and settings\Administrateur\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2009-06-09 15:16]
.
- - - - ORPHANS REMOVED - - - -
Toolbar-ITBar7Layout - (no file)
Toolbar-ITBar7Position - (no file)
HKU-Default-Run-TaskSwitchXP - c:\program files\TaskSwitchXP\TaskSwitchXP.exe
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.google.fr
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
TCP: {108673E2-7A8A-49F7-BF82-7AF3125D8C48} = 212.27.53.252
FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\dbxjnxgv.default\
FF - plugin: c:\documents and settings\Administrateur\Local Settings\Application Data\Google\Update\1.2.183.7\npGoogleOneClick8.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-25 11:47
Windows 5.1.2600 Service Pack 3 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
- - - - - - - > 'winlogon.exe'(528)
c:\windows\system32\SETUPAPI.dll
c:\windows\system32\LMIinit.dll
c:\windows\system32\LMIRfsClientNP.dll
c:\windows\system32\COMRes.dll
- - - - - - - > 'lsass.exe'(584)
c:\windows\system32\setupapi.dll
c:\windows\system32\scecli.dll
- - - - - - - > 'explorer.exe'(3552)
c:\windows\system32\SHDOCVW.dll
c:\windows\system32\COMRes.dll
c:\windows\system32\LMIRfsClientNP.dll
c:\windows\system32\msi.dll
c:\windows\system32\SETUPAPI.dll
c:\windows\system32\wpdshserviceobj.dll
c:\windows\system32\portabledevicetypes.dll
c:\windows\system32\portabledeviceapi.dll
c:\windows\system32\NETSHELL.dll
c:\windows\system32\credui.dll
c:\windows\system32\eappprxy.dll
.
------------------------ Other Running Processes ------------------------
.
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\LogMeIn\x86\ramaint.exe
c:\program files\LogMeIn\x86\LogMeIn.exe
c:\program files\LogMeIn\x86\LMIGuardian.exe
c:\windows\system32\rundll32.exe
c:\program files\LogMeIn\x86\LMIGuardian.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Completion time: 2009-07-25 11:51 - machine was rebooted
ComboFix-quarantined-files.txt 2009-07-25 09:51
Pre-Run: 21 375 324 160 octets libres
Post-Run: 21 317 984 256 octets libres
221 --- E O F --- 2009-07-15 07:02
Cordialement,
Yann
