Virus + lenteur

Réponse 41 / 97

Cahpine

Bon je n'ai toujours pas très bien compris, mais je suppose que c'est pas très bien... l'analyse navilog semble fini, je dois redémarrer mon ordi

Réponse 42 / 97

Utilisateur anonyme

bébé tout jeune ?

Réponse 43 / 97

Cahpine

Fix Navipromo version 4.0.1 commencé le 07/08/2009 2:33:27,11

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 18.07.2009 à 11h00 par IL-MAFIOSO

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : Intel(R) Pentium(R) M processor 1.60GHz )
BIOS : Insyde Software MobilePRO BIOS Version 4.00.00
USER : Albert ( Administrator )
BOOT : Normal boot

C:\ (Local Disk) - NTFS - Total:39 Go (Free:6 Go)
D:\ (CD or DVD)
F:\ (Local Disk) - NTFS - Total:16 Go (Free:2 Go)
G:\ (Local Disk) - NTFS - Total:149 Go (Free:113 Go)

Recherche executée en mode normal

Nettoyage exécuté au redémarrage de l'ordinateur

C:\WINDOWS\Downloaded Program Files\EGAUTH.inf supprimé !
C:\WINDOWS\tmlpcert2007 supprimé !
C:\WINDOWS\prefetch\cecpmq*.pf supprimé !
C:\WINDOWS\system32\jahrpvmkzf.dat supprimé !
C:\WINDOWS\system32\jahrpvmkzf_nav.dat supprimé !
C:\WINDOWS\system32\jahrpvmkzf_navps.dat supprimé !
C:\Documents and Settings\Albert\locals~1\applic~1\cecpmq.exe supprimé !
C:\Documents and Settings\Albert\locals~1\applic~1\cecpmq.dat supprimé !
C:\Documents and Settings\Albert\locals~1\applic~1\cecpmq_nav.dat supprimé !
C:\Documents and Settings\Albert\locals~1\applic~1\cecpmq_navps.dat supprimé !

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Albert\locals~1\Temp effectué !

*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok

*** Scan terminé 07/08/2009 3:01:36,63 ***

Réponse 44 / 97

Cahpine

Malwarebytes' Anti-Malware 1.40
Version de la base de données: 2573
Windows 5.1.2600 Service Pack 3

07/08/2009 03:24:34
mbam-log-2009-08-07 (03-24-34).txt

Type de recherche: Examen rapide
Eléments examinés: 89927
Temps écoulé: 5 minute(s), 19 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 16

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b64f4a7c-97c9-11da-8bde-f66bad1e3f3a} (Rogue.WinAntiVirus) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\MediaHoldings (Malware.Trace) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux: (Trojan.JSRedir.H) -> Bad: (C:\WINDOWS\system32\..\felqfby.xkm) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
C:\WINDOWS\system32\GroupPolicyManifest (Worm.Archive) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\WINDOWS\felqfby.xkm (Trojan.JSRedir.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\Albert\Menu Démarrer\Programmes\Démarrage\rncsys32.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\GroupPolicyManifest\32.crack.zip.kwd (Worm.Archive) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\GroupPolicyManifest\33.video.zip.kwd (Worm.Archive) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\GroupPolicyManifest\34.setup.zip.kwd (Worm.Archive) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\GroupPolicyManifest\35.unpack.zip.kwd (Worm.Archive) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\GroupPolicyManifest\36.keygen.zip.kwd (Worm.Archive) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\GroupPolicyManifest\37.serial.zip (Worm.Archive) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\GroupPolicyManifest\37.serial.zip.kwd (Worm.Archive) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\GroupPolicyManifest\39.music.mp3 (Worm.Archive) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\GroupPolicyManifest\39.music.mp3.kwd (Worm.Archive) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\GroupPolicyManifest\40.mpgvideo.mpg (Worm.Archive) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\GroupPolicyManifest\40.mpgvideo.mpg.kwd (Worm.Archive) -> Quarantined and deleted successfully.
C:\Documents and Settings\Albert\Application Data\wiaserva.log (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\2.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\hosts (Trojan.Agent) -> Quarantined and deleted successfully.

Réponse 45 / 97

Cahpine

Bon alors, voici le dernier rapport RSIT (j'espère que c'est mieux, sur ce je vais moi aussi me coucher !)

Logfile of random's system information tool 1.06 (written by random/random)
Run by Albert at 2009-08-07 03:30:33
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 8 GB (21%) free of 40 GB
Total RAM: 511 MB (40% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:31:02, on 07/08/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\System32\GEARSec.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\drivers\Icon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\CardDetector\HUAWEI\CardDetector.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\OLYMPUS\OLYMPUS Master 2\MMonitor.exe
C:\Documents and Settings\Albert\Bureau\RSIT.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\trend micro\Albert.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cherchermalin.com/?t=Q0908051982&s=h
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.01net.com/telecharger/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.01net.com/telecharger/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\system32\BhoECart.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.15642\swg.dll
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Icon] C:\WINDOWS\system32\drivers\Icon.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [OM2_Monitor] "C:\Program Files\OLYMPUS\OLYMPUS Master 2\FirstStart.exe" /OM
O4 - HKLM\..\Run: [CardDetectorHUAWEI] C:\Program Files\CardDetector\HUAWEI\CardDetector.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [OM2_Monitor] "C:\Program Files\OLYMPUS\OLYMPUS Master 2\MMonitor.exe"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [DWQueuedReporting] "C:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" -t (User 'Default user')
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.mail.live.com/mail/w1/resources/MSNPUpld.cab
O16 - DPF: {C1F5F062-F670-4AA4-9972-862E5200C73A} (NFCObject2 Class) - https://www.ter.ritmx.sncf.com/activex/RITMxIECardClient.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\System32\cnetcfg32.dll
O20 - Winlogon Notify: b480b6de517 - C:\WINDOWS\System32\cnetcfg32.dll (file missing)
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - Unknown owner - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe (file missing)
O23 - Service: Service de transfert intelligent en arrière-plan (BITS) - Unknown owner - C:\WINDOWS\
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Boonty Games (boonty games) - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: MySqlInventime - Unknown owner - c:\mysql\bin\mysqld-max-nt.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: Mises à jour automatiques (wuauserv) - Unknown owner - C:\WINDOWS\

Réponse 46 / 97

chimay8 Messages postés 7720 Date d'inscription Statut Contributeur sécurité Dernière intervention 60

bien,

MBAM a bien travaillé mais il reste du trojan vundo
cnetcfg32.dll

Télécharge ==>Combofix sUBs<==
et sauvegarde le sur ton bureau et pas ailleurs!

**Désactive les logiciels de protection** (Antivirus, Antispywares) puis :
deconnecte toi d'internet,ferme tout les programmes

Double-clique sur combofix,si il te demande d'installer la console,fais le(voir plus bas)
ensuite,
il va te poser une question, réponds par la touche 1 et entrée pour valider.
ne touche plus à rien, même pas ta souris!!

Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.

-----------------------------------------------------

installer la Console de Récupération sur ton pc(cela permettra de réparer ton système au cas où le pc ne redémarrerait plus suite à la désinfection.)

Clique sur le lien ci-dessous pour aller sur le site Web de Microsoft:

https://support.microsoft.com/en-us/help/310994

descend jusqu'à "Téléchargement du fichier programme des disquettes d'installation" et clique sur le téléchargement correspondant à ta version de Windows XP (Édition familiale ou Professionnel) et au Service Pack que tu as installé.
**note: pour le SP3 charge le Service Pack 2
pour Windows XP Media Center charge XP Pro Service Pack 2.

enregistre le sur ton bureau.

fais un glisser/déposer du fichier sur l'icone de combofix comme ceci
http://img.bleepingcomputer.com/combofix/usage/rc.gif

Combofix va installer la console de récupération sur ton pc

a la fin de l'installation,combofix va afficher un message qui te signale que la console est installée.

---------------------------------------------------------------------

Réponse 47 / 97

Cahpine

ComboFix 09-08-06.01 - Albert 07/08/2009 14:56.1.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.511.183 [GMT 2:00]
Running from: c:\documents and settings\Albert\Bureau\ComboFix.exe
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Albert\Application Data\020000005c597a2e517C.manifest
c:\documents and settings\Albert\Application Data\020000005c597a2e517O.manifest
c:\documents and settings\Albert\Application Data\020000005c597a2e517P.manifest
c:\documents and settings\Albert\Application Data\020000005c597a2e517S.manifest
c:\windows\Installer\117a1a.msp
c:\windows\Installer\117a30.msp
c:\windows\Installer\117a47.msp
c:\windows\Installer\171413.msp
c:\windows\Installer\1b9914.msi
c:\windows\Installer\1d7c5b6.msi
c:\windows\Installer\3e39a.msp
c:\windows\Installer\5554f.msp
c:\windows\Installer\55568.msp
c:\windows\Installer\71ad4.msp
c:\windows\Installer\9a381.msp
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\drivers\1d74a1c5.sys
c:\windows\system32\FM20(2).DLL
c:\windows\system32\GroupPolicy000.dat
c:\windows\system32\MabryObj.dll
F:\Autorun.inf
G:\autorun.inf

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_boonty_games
-------\Service_boonty games
-------\Service_1d74a1c5

((((((((((((((((((((((((( Files Created from 2009-07-07 to 2009-08-07 )))))))))))))))))))))))))))))))
.

2009-08-07 00:50 . 2009-08-07 00:50 -------- d-----w- c:\program files\CCleaner
2009-08-07 00:32 . 2009-08-07 01:01 -------- d-----w- c:\program files\Navilog1
2009-08-06 23:55 . 2009-08-06 23:56 -------- dc----w- C:\rsit
2009-08-04 21:14 . 2009-08-04 21:14 -------- d-----w- c:\documents and settings\All Users\Application Data\FarmFrenzy-PizzaParty
2009-08-03 21:28 . 2009-08-03 21:28 -------- d-----w- c:\documents and settings\All Users\Application Data\JollyBear
2009-08-03 21:28 . 2009-08-03 21:28 -------- d-----w- c:\documents and settings\Albert\Local Settings\Application Data\JollyBear
2009-08-02 12:05 . 2009-08-02 12:05 -------- d-----w- c:\documents and settings\All Users\Application Data\Fugazo
2009-07-31 22:59 . 2009-07-31 22:59 -------- d-----w- c:\documents and settings\All Users\Application Data\BOONTY
2009-07-31 22:59 . 2009-07-31 22:59 -------- d-----w- c:\program files\Fichiers communs\BOONTY Shared
2009-07-31 22:57 . 2009-08-06 23:28 -------- d-----w- c:\program files\BoontyGames
2009-07-31 22:57 . 2009-07-31 22:57 -------- d-----w- c:\program files\Boonty
2009-07-31 17:15 . 2008-11-12 10:53 99840 ----a-r- c:\windows\system32\drivers\ewusbfake.sys
2009-07-31 17:14 . 2008-11-12 10:53 101120 ----a-r- c:\windows\system32\drivers\ewusbmdm.sys
2009-07-31 17:12 . 2009-07-31 17:12 -------- d-----w- c:\program files\CardDetector
2009-07-15 13:17 . 2009-07-31 16:00 -------- d-----w- c:\program files\Norton Security Scan

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-07 13:14 . 2009-08-07 13:14 1075178 ----a-w- c:\windows\system32\PerfStringBackup.TMP
2009-08-07 13:14 . 2004-08-16 16:41 83552 ----a-w- c:\windows\system32\perfc00C.dat
2009-08-07 13:14 . 2004-08-16 16:41 488664 ----a-w- c:\windows\system32\perfh00C.dat
2009-08-07 01:30 . 2008-03-27 22:08 -------- d-----w- c:\program files\Trend Micro
2009-08-07 01:15 . 2009-08-07 01:15 -------- d-----w- c:\documents and settings\Albert\Application Data\Malwarebytes
2009-08-07 01:15 . 2009-08-07 01:14 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-08-07 01:14 . 2009-08-07 01:14 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-08-06 23:35 . 2009-01-27 20:45 -------- d-----w- c:\documents and settings\All Users\Application Data\McAfee
2009-08-06 23:28 . 2005-12-11 11:58 -------- d-----w- c:\program files\Spybot - Search & Destroy
2009-08-06 23:28 . 2005-12-11 11:58 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-08-06 23:20 . 2008-03-30 18:48 -------- d-----w- c:\program files\DivX
2009-08-06 21:52 . 2008-05-19 16:25 -------- d-----w- c:\documents and settings\All Users\Application Data\Google Updater
2009-08-03 11:36 . 2009-08-07 01:15 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-03 11:36 . 2009-08-07 01:14 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-08-02 11:40 . 2009-02-03 21:26 -------- d-----w- c:\documents and settings\Albert\Application Data\Skype
2009-08-01 23:18 . 2006-12-10 11:46 -------- d-----w- c:\documents and settings\All Users\Application Data\PlayFirst
2009-08-01 23:18 . 2006-12-10 11:46 -------- d-----w- c:\documents and settings\Albert\Application Data\PlayFirst
2009-07-31 22:19 . 2009-02-03 21:27 -------- d-----w- c:\documents and settings\Albert\Application Data\skypePM
2009-07-31 16:08 . 2005-03-15 20:19 -------- d-----w- c:\program files\Fichiers communs\Symantec Shared
2009-07-29 10:49 . 2009-01-27 21:40 -------- d-----w- c:\documents and settings\LocalService\Application Data\SACore
2009-06-14 16:44 . 2009-06-14 16:44 868352 ----a-w- c:\documents and settings\All Users\Application Data\Skype\Plugins\Plugins\E12C95FCBD1240FEAE314D89676CA6F8\LieDetector.exe
2009-06-14 16:44 . 2009-06-14 16:44 53760 ----a-w- c:\documents and settings\All Users\Application Data\Skype\Plugins\Plugins\E12C95FCBD1240FEAE314D89676CA6F8\zlib.dll
2009-06-14 16:44 . 2009-06-14 16:44 640000 ----a-w- c:\documents and settings\All Users\Application Data\Skype\Plugins\Plugins\E12C95FCBD1240FEAE314D89676CA6F8\dbghelp.dll
2009-06-14 16:44 . 2009-06-14 16:44 1712128 ----a-w- c:\documents and settings\All Users\Application Data\Skype\Plugins\Plugins\E12C95FCBD1240FEAE314D89676CA6F8\GdiPlus.dll
2009-06-09 21:00 . 2009-06-09 21:00 -------- d-----w- c:\documents and settings\Albert\Application Data\Icones
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2009-02-02 23975720]
"OM2_Monitor"="c:\program files\OLYMPUS\OLYMPUS Master 2\MMonitor.exe" [2008-11-07 95536]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-05-19 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-05 208952]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
"Icon"="c:\windows\system32\drivers\Icon.exe" [2004-04-19 221184]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"PinnacleDriverCheck"="c:\windows\system32\PSDrvCheck.exe" [2004-03-10 406016]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-10-01 289576]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-01-05 413696]
"OM2_Monitor"="c:\program files\OLYMPUS\OLYMPUS Master 2\FirstStart.exe" [2008-11-07 54576]
"CardDetectorHUAWEI"="c:\program files\CardDetector\HUAWEI\CardDetector.exe" [2008-12-01 274432]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2004-02-26 65024]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2007-03-22 39264]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0aswBoot.exe /M:805471b8d3

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk
backup=c:\windows\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Packard Bell EverSafe Tray Control.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Packard Bell EverSafe Tray Control.lnk
backup=c:\windows\pss\Packard Bell EverSafe Tray Control.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^WiFi Station pour Livebox.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\WiFi Station pour Livebox.lnk
backup=c:\windows\pss\WiFi Station pour Livebox.lnkCommon Startup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"g:\\Musique\\shared\\iTunes.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=

R0 PQV2i;PQV2i;c:\windows\system32\drivers\PQV2i.sys [02/08/2004 18:04 138780]
R1 PQIMount;PQIMount;c:\windows\system32\drivers\PQIMount.sys [02/08/2004 18:23 46779]
R1 SSHDRV64;SSHDRV64;c:\windows\system32\drivers\SSHDRV64.sys [30/08/2005 01:37 113152]
R2 MTC0005_MTCDIO;Wireless HotKey Driver;c:\windows\system32\drivers\MTCDIO.sys [01/01/1980 01:00 11316]
R3 EMCR;EMCR;c:\windows\system32\drivers\EMCR7SK.sys [01/01/1980 01:00 68224]
R3 ovt530;Webcam Deluxe;c:\windows\system32\drivers\ov530vid.sys [09/06/2007 23:58 161792]
S2 MTCDIO;MTCDIO;c:\windows\system32\drivers\MTCDIO.sys [01/01/1980 01:00 11316]
S3 8b89c851-c9f1-4b45-b902-40bafa597dbf;8b89c851-c9f1-4b45-b902-40bafa597dbf;\??\d:\player\cds300.dll --> d:\player\cds300.dll [?]
S3 c479165b-e964-4cb2-8d15-f40d57375104;c479165b-e964-4cb2-8d15-f40d57375104;\??\d:\player\cds300.dll --> d:\player\cds300.dll [?]
S3 hwusbfake;Huawei DataCard USB Fake;c:\windows\system32\drivers\ewusbfake.sys [31/07/2009 19:15 99840]
S3 lac97inf;lac97inf;\??\c:\docume~1\Albert\LOCALS~1\Temp\lac97inf.sys --> c:\docume~1\Albert\LOCALS~1\Temp\lac97inf.sys [?]
S3 PhTVTune;Cap7134 TVTuner;c:\windows\system32\drivers\PhTVTune.sys [15/06/2004 11:16 42080]
S3 ZDCndis5;ZDCndis5 Protocol Driver;\??\c:\windows\system32\ZDCndis5.SYS --> c:\windows\system32\ZDCndis5.SYS [?]
S4 Asapi;Asapi;c:\windows\system32\drivers\asapi.sys [15/03/2005 22:23 11264]
.
Contents of the 'Scheduled Tasks' folder

2009-07-31 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-04-11 10:34]

2009-08-07 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-05-19 12:00]

2009-07-31 c:\windows\Tasks\Norton Security Scan for Albert.job
- c:\program files\Norton Security Scan\Nss.exe [2009-03-13 18:20]

2005-03-15 c:\windows\Tasks\Rappel d'enregistrement 3.job
- c:\windows\system32\OOBE\oobebaln.exe [2004-08-16 02:34]

2009-08-06 c:\windows\Tasks\Symantec NetDetect.job
- c:\program files\Symantec\LiveUpdate\NDETECT.EXE [2005-03-15 13:59]
.
- - - - ORPHANS REMOVED - - - -

Notify-b480b6de517 - c:\windows\System32\cnetcfg32.dll

.
------- Supplementary Scan -------
.
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uStart Page = hxxp://www.cherchermalin.com/?t=Q0908051982&s=h
mStart Page = hxxp://www.01net.com/telecharger/
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
DPF: {C1F5F062-F670-4AA4-9972-862E5200C73A} - hxxps://www.ter.ritmx.sncf.com/activex/RITMxIECardClient.cab
FF - ProfilePath - c:\documents and settings\Albert\Application Data\Mozilla\Firefox\Profiles\td8zp2pg.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - component: c:\program files\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
FF - plugin: c:\program files\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\program files\Java\jre1.5.0_03\bin\NPJava11.dll
FF - plugin: c:\program files\Java\jre1.5.0_03\bin\NPJava12.dll
FF - plugin: c:\program files\Java\jre1.5.0_03\bin\NPJava13.dll
FF - plugin: c:\program files\Java\jre1.5.0_03\bin\NPJava14.dll
FF - plugin: c:\program files\Java\jre1.5.0_03\bin\NPJava32.dll
FF - plugin: c:\program files\Java\jre1.5.0_03\bin\NPJPI150_03.dll
FF - plugin: c:\program files\Java\jre1.5.0_03\bin\NPOJI610.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npqtplugin8.dll
FF - plugin: c:\program files\QuickTime\Plugins\npqtplugin8.dll
FF - plugin: c:\program files\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-07 15:10
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MySqlInventime]
"ImagePath"="c:\mysql\bin\mysqld-max-nt MySqlInventime"
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"cd042efbbd7f7af1647644e76e06692b"=hex:c8,28,51,af,b0,29,a3,98,d3,34,80,40,3c,
9a,2d,f9,2e,e8,e1,00,eb,16,2b,de,1f,7b,e3,f4,e6,88,fd,d9,e2,63,26,f1,3f,c8,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"bca643cdc5c2726b20d2ecedcc62c59b"=hex:6a,9c,d6,61,af,45,84,18,08,1d,bf,f6,df,
b9,43,94,46,47,15,b0,92,4b,c7,ef,84,70,87,70,af,74,76,d4,6a,9c,d6,61,af,45,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"2c81e34222e8052573023a60d06dd016"=hex:ff,7c,85,e0,43,d4,0e,fe,de,94,fc,bf,5b,
16,2a,18,7a,45,05,fd,91,e8,6f,31,16,fe,68,d9,38,3e,02,4f,ff,7c,85,e0,43,d4,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"2582ae41fb52324423be06337561aa48"=hex:86,8c,21,01,be,91,eb,e7,75,9c,09,9a,6b,
89,8d,80,6b,65,49,6a,7e,99,74,f7,6b,5e,da,f8,c6,15,02,e9,86,8c,21,01,be,91,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"caaeda5fd7a9ed7697d9686d4b818472"=hex:e9,02,6c,fa,fb,1d,47,57,e3,86,6e,15,3a,
80,93,86,e9,02,6c,fa,fb,1d,47,57,e5,a3,e0,07,35,09,81,af,f5,1d,4d,73,a8,13,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"a4a1bcf2cc2b8bc3716b74b2b4522f5d"=hex:b0,18,ed,a7,3f,8d,37,a4,5d,eb,43,5f,d4,
18,f5,a7,50,93,e5,ab,ec,6a,4e,ab,47,cb,31,d9,29,12,1d,b1,df,20,58,62,78,6b,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"4d370831d2c43cd13623e232fed27b7b"=hex:31,77,e1,ba,b1,f8,68,02,6f,2d,f1,da,3f,
a4,f8,57,97,20,4e,9a,c7,f1,35,ee,2b,06,d9,b1,ea,af,b5,a0,fb,a7,78,e6,12,2f,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"1d68fe701cdea33e477eb204b76f993d"=hex:83,6c,56,8b,a0,85,96,ab,7f,73,6b,25,0e,
6c,ff,fb,aa,52,c6,00,84,3c,26,64,f0,10,c9,c4,0b,48,ff,96,01,3a,48,fc,e8,04,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"1fac81b91d8e3c5aa4b0a51804d844a3"=hex:f6,0f,4e,58,98,5b,89,c9,4a,15,49,9a,d8,
8c,c0,b0,b2,46,9a,e2,1b,fe,1b,94,1d,69,4f,2a,39,6b,17,aa,f6,0f,4e,58,98,5b,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"f5f62a6129303efb32fbe080bb27835b"=hex:b1,cd,45,5a,a8,c4,f8,b9,9e,6b,80,94,f4,
0c,69,6a,37,a4,aa,c3,a6,15,56,0a,4a,2e,72,3a,fe,c3,6d,4a,3d,ce,ea,26,2d,45,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"fd4e2e1a3940b94dceb5a6a021f2e3c6"=hex:2a,b7,cc,b5,b9,7f,41,e7,c3,33,19,e7,f7,
6a,d6,b7,f8,31,0f,a9,5f,a0,ec,fb,32,e3,20,88,30,99,7c,b0,2a,b7,cc,b5,b9,7f,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"8a8aec57dd6508a385616fbc86791ec2"=hex:05,73,21,dd,54,d8,4a,c5,6a,d6,84,fa,61,
ef,06,54,05,73,21,dd,54,d8,4a,c5,ea,e1,28,91,4a,b7,da,32,6c,43,2d,1e,aa,22,\

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•9~*]
"C0403E1900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
"OODEFRAG08.00.00.01WORKSTATION"="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"
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'explorer.exe'(2332)
c:\windows\system32\eappprxy.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Other Running Processes ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\program files\Ahead\InCD\incdsrv.exe
c:\program files\Intel\Wireless\Bin\EvtEng.exe
c:\program files\Intel\Wireless\Bin\S24EvMon.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\windows\system32\drivers\CDANTSRV.EXE
c:\windows\system32\gearsec.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7Debug\MDM.EXE
c:\program files\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
c:\program files\Intel\Wireless\Bin\RegSrvc.exe
c:\program files\Fichiers communs\Symantec Shared\Security Center\symwsc.exe
c:\windows\system32\wscntfy.exe
c:\program files\iPod\bin\iPodService.exe
.
**************************************************************************
.
Completion time: 2009-08-07 15:17 - machine was rebooted
ComboFix-quarantined-files.txt 2009-08-07 13:17

Pre-Run: 8 501 354 496 octets libres
Post-Run: 8 524 337 152 octets libres

293 --- E O F --- 2009-06-12 11:06

Réponse 48 / 97

Cahpine

Voila le rapport, parcontre aucune question ne m'a été posée, et combofix ne m'a pas demander d'installer la console non plus

Réponse 49 / 97

chimay8 Messages postés 7720 Date d'inscription Statut Contributeur sécurité Dernière intervention 60

on a presque fini

• Télécharge Ad-remover sur ton bureau :

http://sd-1.archive-host.com/membres/up/16506160323759868/AD-R.exe

! Déconnecte toi et ferme toutes applications en cours !

• Double clique sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut .

• Double-clique sur le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
• Au menu principal choisis l'option "S" et tape sur [entrée] .

• Laisse travailler l'outil et ne touche à rien ...

--> Poste le rapport qui apparait à la fin , sur le forum ...

( Le rapport est sauvegardé sous C:\Ad-report-scan.log )

Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Aides en images (Recherche) : http://pagesperso-orange.fr/NosTools/tuto_ad_r2.html

Réponse 50 / 97

Cahpine

.
======= RAPPORT D'AD-REMOVER 1.1.4.5_O | UNIQUEMENT XP/VISTA/SEVEN =======
.
Mit à jour par C_XX le 24/06/2009 à 7:10 PM
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 15:46:13, 07/08/2009 | Mode Normal | Option: SCAN
Exécuté de: C:\Program Files\Ad-remover\
Système d'exploitation: Microsoft® Windows XP™ Service Pack 3 v5.1.2600
Nom du PC: SN221100190235 | Utilisateur actuel: Albert
.
Administrateur: Administrateur
Administrateur: Albert
N'est pas administrateur: ASPNET
N'est pas administrateur: HelpAssistant *Desactive*
N'est pas administrateur: Invité *Desactive*
N'est pas administrateur: SUPPORT_388945a0 *Desactive*
.
============== ÉLÉMENT(S) TROUVÉ(S) ==============
.
.
.
C:\DOCUME~1\Albert\APPLIC~1\EoRezo
C:\Program Files\EoRezo
.
============== Scan additionnel ==============
.

* Mozilla FireFox Version 3.0.13 *

Nom du profil: td8zp2pg.default (Albert)
.
(Prefs.js) user_pref("browser.search.defaultenginename", "Google");
(Prefs.js) user_pref("browser.search.selectedEngine", "Google");
(Prefs.js) user_pref("browser.search.defaulturl", "hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=");
(Prefs.js) user_pref("browser.startup.homepage_override.mstone", "rv:1.9.0.13");
.
.

* Internet Explorer Version 7.0.5730.11 *

[HKEY_CURRENT_USER\..\Internet Explorer\Main]

Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://www.cherchermalin.com/?t=Q0908051982&s=h

[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]

Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start Page: hxxp://www.01net.com/telecharger/

[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]

Tabs: res://ieframe.dll/tabswelcome.htm

============== Suspect (Cracks, Serials ... ) ==============

.
.
===================================
.
2057 Octet(s) - C:\Ad-Report-SCAN.log
.
3 Fichier(s) - C:\DOCUME~1\Albert\LOCALS~1\Temp
0 Fichier(s) - C:\WINDOWS\Temp
.
1 Fichier(s) - C:\Program Files\Ad-remover\BACKUP
0 Fichier(s) - C:\Program Files\Ad-remover\QUARANTINE
.
Fin à: 16:16:01 | 07/08/2009
.
============== E.O.F ==============
.

Réponse 51 / 97

chimay8 Messages postés 7720 Date d'inscription Statut Contributeur sécurité Dernière intervention 60

• Relance Ad-remover,
• Au menu principal choisis l'option "L" et tape sur [entrée] .

• Laisse travailler l'outil et ne touche à rien ...

--> Poste le rapport qui apparait à la fin , sur le forum ...

( Le rapport est sauvegardé sous C:\Ad-report-clean.log )

désinstalle ces deux programmes
C:\Program Files\Bonjour et
Boontygames

Télécharge JavaRa.zip de Paul 'Prm753' McLain et Fred de Vries.
Décompresse le fichier sur ton bureau (clique droit > Extraire tout.)
Double-clique sur le répertoire JavaRa obtenu.
Puis double-clique sur le fichier JavaRa.exe (le .exe peut ne pas s'afficher)
Clique sur Search For Updates.
Sélectionne Update Using jucheck.exe puis clique sur Search.
Autorise le processus à se connecter s'il te le demande, clique sur Install et suis les instructions d'installation. Cela prendra quelques minutes.
Quand l'installation est terminée, revient à l'écran de JavaRa et clique sur Remove Older Versions.
Clique sur Oui pour confirmer. L'outil va travailler, clique ensuite sur Ok, puis une deuxième fois sur Ok.
Un rapport va s'ouvrir, copie-colle le dans ta prochaine réponse.
Note : le rapport se trouve aussi à la racine de la partition système, en général C:\ sous le nom JavaRa.log
(c:\JavaRa.log)
Ferme l'application.

tu as des restes de norton

Rends toi sur ce lien : Norton removal tool
Clique sur "Download" en fin de page.
Enregistre le fichier sur ton bureau, puis double-clique dessus et suis les instructions.
Il te sera normalement demandé de redémarrer ton PC, redémarre.

si cela ne fonctionne pas

Vas dans ajout/suppression de programmes du panneau de configuration.
Dans la liste, cherche tout ce qui peut porter le mot suivant et lance la désinstallation :
CC_ccProxyMSI
CC_ccStart
ccCommon
LiveReg (Symantec Corporation)
LiveUpdate (Symantec Corporation)
Tout ce qui porte le mot Symantec
Tout ce qui porte le mot Norton

services norton:
Symantec Event Manager
SAVScan
Symantec Network proxy
SymWMI Service
Symantec Password Validation Service
ScriptBlocking Service
Norton AntiVirus Auto Protect Service
Symantec Network Drivers Service
Symantec Setting Manager
Norton Unerase Protection

processus norton:
SNDSrvc.exe
ccProxy.exe
SAVScan.exe
symlcsvc.exe
SPBBCSvc.exe
SBServ.exe
ccEvtMgr.exe
navapsvc.exe
ccSetMgr.exe
ccPwdSvc.exe
NPFMntor.exe
SymWSC.exe
ccApp.exe
ccSetMgr.exe

relance ccleaner pour nettoyer

Mon avis est qu'Avast!,Norton et McAfee sont loin de ce que l'on a fait de mieux en matière de protection, voir ce lien pour plus d'informations :
https://forum.malekal.com/viewtopic.php?f=45&t=3528
http://forum.malekal.com/ftopic3123.php

Pour moi, Antivir est beaucoup plus performant, c'est pourquoi, je te conseille TRES VIVEMENT de désinstaller Mac afee et installer Antivir à la place (ce n'est pas une obligation) : https://www.malekal.com/avira-free-security-antivirus-gratuit/

Pour t'aider tu peux suivre ce lien : http://forum.malekal.com/ftopic4192.php

- Après l'installation, mets le à jour - si ton firewall fait une alerte.. accepte la connexion.
- Assure toi qu'Antivir est bien à jour, vérifie la date d'update.

-- Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.

- Ouvre Antivir par le menu Démarrer / Programmes
- Configure antivir correctement en cochant les cases comme sur cette video :
https://www.malekal.com/fichiers/antivir/ConfigurationAntivirV9.avi
- Clique sur l'onglet Scanner.
- Lance le scan - Mets en quarantaine tous les éléments détectés.
- Une fois le scan terminé enregistre le rapport.

Redémarre en mode normal.

Poste le rapport ici.

Réponse 52 / 97

Utilisateur anonyme

excellent ce canned pour virer norton

salut et pris ^^

lac97inf;lac97inf;\??\c:\docume~1\Albert\LOCALS~1\Temp\lac97inf.sys --> c:\docume~1\Albert\LOCALS~1\Temp\lac97inf.sys

Réponse 53 / 97

chimay8 Messages postés 7720 Date d'inscription Statut Contributeur sécurité Dernière intervention 60

ouais,je l'ai vu,
mais regarde dans le log rsit
S3 lac97inf;lac97inf; \??\C:\DOCUME~1\Albert\LOCALS~1\Temp\lac97inf.sys []

Réponse 54 / 97

Utilisateur anonyme

oui j'ai vu mais à mon avis cela peut vouloir dire que la signature du fichier est cachée non ?

Réponse 55 / 97

Cahpine

.
======= RAPPORT D'AD-REMOVER 1.1.4.5_O | UNIQUEMENT XP/VISTA/SEVEN =======
.
Mit à jour par C_XX le 24/06/2009 à 7:10 PM
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 20:40:06, 07/08/2009 | Mode Normal | Option: CLEAN
Exécuté de: C:\Program Files\Ad-remover\
Système d'exploitation: Microsoft® Windows XP™ Service Pack 3 v5.1.2600
Nom du PC: SN221100190235 | Utilisateur actuel: Albert
.
Administrateur: Administrateur
Administrateur: Albert
N'est pas administrateur: ASPNET
N'est pas administrateur: HelpAssistant *Desactive*
N'est pas administrateur: Invité *Desactive*
N'est pas administrateur: SUPPORT_388945a0 *Desactive*
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.
.
.
C:\DOCUME~1\Albert\APPLIC~1\EoRezo\cache
C:\DOCUME~1\Albert\APPLIC~1\EoRezo\ConfMedia.cyp
C:\DOCUME~1\Albert\APPLIC~1\EoRezo\host.cyp
C:\DOCUME~1\Albert\APPLIC~1\EoRezo\user.cyp
C:\DOCUME~1\Albert\APPLIC~1\EoRezo
C:\Program Files\EoRezo\cmhost.cyp
C:\Program Files\EoRezo\EoAdv
C:\Program Files\EoRezo\EoAdv\eoAdv.url
C:\Program Files\EoRezo

(!) -- Fichiers temporaires supprimés.

.
============== Scan additionnel ==============
.

* Mozilla FireFox Version 3.0.13 *

Nom du profil: td8zp2pg.default (Albert)
.
(Prefs.js) user_pref("browser.search.defaultenginename", "Google");
(Prefs.js) user_pref("browser.search.selectedEngine", "Google");
(Prefs.js) user_pref("browser.search.defaulturl", "hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=");
(Prefs.js) user_pref("browser.startup.homepage_override.mstone", "rv:1.9.0.13");
.
.

* Internet Explorer Version 7.0.5730.11 *

[HKEY_CURRENT_USER\..\Internet Explorer\Main]

Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]

Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]

Tabs: res://ieframe.dll/tabswelcome.htm

============== Suspect (Cracks, Serials ... ) ==============

.
.
===================================
.
2728 Octet(s) - C:\Ad-Report-CLEAN.log
2368 Octet(s) - C:\Ad-Report-SCAN.log
.
3 Fichier(s) - C:\DOCUME~1\Albert\LOCALS~1\Temp
32 Fichier(s) - C:\WINDOWS\Temp
.
19 Fichier(s) - C:\Program Files\Ad-remover\BACKUP
6 Fichier(s) - C:\Program Files\Ad-remover\QUARANTINE
.
Fin à: 21:05:56 | 07/08/2009
.
============== E.O.F ==============
.

Réponse 56 / 97

Cahpine

Qu'est ce que vous dites ?

Réponse 57 / 97

Cahpine

Je dois m'absenter 1H je continuerai après mais la ça ne marchait pas quand je cliquait "rechercher" pour une nouvelle mise à jour dans Java, comme tu me la indiquer ... Peut etre qu'il faut attendre, je vais réessayer tout a l'heure !

Réponse 58 / 97

chimay8 Messages postés 7720 Date d'inscription Statut Contributeur sécurité Dernière intervention 60

Oui j'ai vu mais à mon avis cela peut vouloir dire que la signature du fichier est cachée non ?

en fait,le "?" dans combofix signifie que CF n'a pu énumérer le fichier correctement. Impossible de savoir si le fichier existe.

Cahpine,
si cela ne fonctionne pas,tu peux essayer sur leur site
https://www.java.com/fr/download/windows_manual.jsp?locale=fr&host=www.java.com:80

Réponse 59 / 97

Utilisateur anonyme

retenu merci

Réponse 60 / 97

Cahpine

Je suis revenue enfaite le téléchargement de Java s'est très bien passé, le seul problème est quand je clique sur "mettre à jour via jucheck.exe " et ensuite sur recherche ma souris se transforme en sablier 2 secondes, et puis ensuite aucune réaction...

Virus + lenteur

97 réponses

Votre réponse

Discussions similaires