Rootkit TDSS (Skynet)
Remylenain
Messages postés
27
Statut
Membre
-
afideg Messages postés 10970 Statut Contributeur sécurité -
afideg Messages postés 10970 Statut Contributeur sécurité -
Bonjour,
Désolé de vous déranger, mais j'ai depuis quelques temps de gros ralentissement avec ma navigation, et même des ralentissement sur l'ordinateur tout court.
J'ai donc fait quelques scans avec différents antivirus (Antivir, avast ...) mais ceux-ci ne trouvent rien du tout pour le moment.
J'ai beaucoup parcourus le web pour trouver une solution a mon problème (enfin j'ai fais comme j'ai pu avec une navigation aussi lente, je ne fais que ca depuis 2 jours ^^), mais celle-ci me parait fort complexe, et, ne préférant pas faire de bêtises, je me tourne vers vous.
Voici les logs de Hijackthis : Log Hijackthis
Et ceux de Random's System Information Tool : info.txt et log.txt
J'avais commencer un scan de Gmer (qui m'a montrer en rouge 2 choses dont le fameux SKYNET), mais j'ai planté et je ne l'ai pas en entier je crois, enfin je ne suis pas sur : Gmer.log
Je suis en train de refaire le scan, je le reposterais si besoin est.
Merci d'avance.
Désolé de vous déranger, mais j'ai depuis quelques temps de gros ralentissement avec ma navigation, et même des ralentissement sur l'ordinateur tout court.
J'ai donc fait quelques scans avec différents antivirus (Antivir, avast ...) mais ceux-ci ne trouvent rien du tout pour le moment.
J'ai beaucoup parcourus le web pour trouver une solution a mon problème (enfin j'ai fais comme j'ai pu avec une navigation aussi lente, je ne fais que ca depuis 2 jours ^^), mais celle-ci me parait fort complexe, et, ne préférant pas faire de bêtises, je me tourne vers vous.
Voici les logs de Hijackthis : Log Hijackthis
Et ceux de Random's System Information Tool : info.txt et log.txt
J'avais commencer un scan de Gmer (qui m'a montrer en rouge 2 choses dont le fameux SKYNET), mais j'ai planté et je ne l'ai pas en entier je crois, enfin je ne suis pas sur : Gmer.log
Je suis en train de refaire le scan, je le reposterais si besoin est.
Merci d'avance.
A voir également:
- Rootkit TDSS (Skynet)
- Rootkit - Télécharger - Antivirus & Antimalwares
- Rootkit hunter - Télécharger - Antivirus & Antimalwares
- Sophos anti rootkit - Télécharger - Antivirus & Antimalwares
- Avg anti rootkit - Télécharger - Antivirus & Antimalwares
- Panda anti-rootkit - Télécharger - Antivirus & Antimalwares
44 réponses
Voici le log obtenu après l'installation de la console de récupération : CF_RC.txt :
WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect
Puis-je maintenant faire la dernière étape de votre post précédent ?
WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect
Puis-je maintenant faire la dernière étape de votre post précédent ?
bonsoir a tous
Afideg :
C:\WINDOWS\system32\CF20190.exe
ceci montre apparement que Combofix a deja ete utilisé sur ce pc
Afideg :
C:\WINDOWS\system32\CF20190.exe
ceci montre apparement que Combofix a deja ete utilisé sur ce pc
oui je l'avais déjà télécharger et lancé (mais je n'ai fais aucune manip avec) car ils en parlaient sur d'autres post, et je ne pensais pas que c'était aussi dangereux de l'utiliser.
Cela change-t-il quelque chose ?
Puis-je maintenant faire le D qu'Al m'a dit de faire ?
D)- Procédure :
S’assurer que tous les programmes sont fermés avant de commencer.
==> Déconnecter le PC d'Internet et refermer les fenêtres de tous les programmes en cours.
==> Désactiver provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de Antivirus et Antispywares, (activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil).
Éventuellement, pour éviter leur réactivation après un redémarrage, les décocher dans la liste sous l’onglet “Démarrage”, via -> [Démarrer] > Exécuter > coller Msconfig et valider par [OK]
( il faudra faire l’inverse immédiatement à l’issue de la procédure ; soit avant de se reconnecter au Net )
==> Connecter tous les disques amovibles (disque dur externe, clé USB…).
• Double-cliquer combofix.exe afin de l'exécuter.
Cliquer sur "Oui" au message de Limitation de Garantie qui s'affiche.
Il est possible que le pare-feu (firewall) demande d’accepter ou non l'accès de “nircmd.cfexe” à la zone sûre ; ==> [Accepter].
Ou bien --> Répondre oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
• Ne pas fermer la fenêtre qui vient de s'ouvrir, ce qui donnerait un bureau vide.
Laisser se dérouler le scan.
/!\ Pendant la durée de cette étape, ne pas se servir du PC et n'ouvrir aucun programme. Rester patient (même si l’on pense que le PC est arrêté) ; les temps « d'arrêt apparent » sont parfois de plusieurs minutes (il y a ± 50 étapes d’analyse)./i\
• Lorsque l'analyse sera terminée, un rapport apparaîtra.
Copier/coller ce rapport dans la prochaine réponse.
Le rapport se trouve dans : C:\Combofix.txt (si jamais).
Cela change-t-il quelque chose ?
Puis-je maintenant faire le D qu'Al m'a dit de faire ?
D)- Procédure :
S’assurer que tous les programmes sont fermés avant de commencer.
==> Déconnecter le PC d'Internet et refermer les fenêtres de tous les programmes en cours.
==> Désactiver provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de Antivirus et Antispywares, (activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil).
Éventuellement, pour éviter leur réactivation après un redémarrage, les décocher dans la liste sous l’onglet “Démarrage”, via -> [Démarrer] > Exécuter > coller Msconfig et valider par [OK]
( il faudra faire l’inverse immédiatement à l’issue de la procédure ; soit avant de se reconnecter au Net )
==> Connecter tous les disques amovibles (disque dur externe, clé USB…).
• Double-cliquer combofix.exe afin de l'exécuter.
Cliquer sur "Oui" au message de Limitation de Garantie qui s'affiche.
Il est possible que le pare-feu (firewall) demande d’accepter ou non l'accès de “nircmd.cfexe” à la zone sûre ; ==> [Accepter].
Ou bien --> Répondre oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
• Ne pas fermer la fenêtre qui vient de s'ouvrir, ce qui donnerait un bureau vide.
Laisser se dérouler le scan.
/!\ Pendant la durée de cette étape, ne pas se servir du PC et n'ouvrir aucun programme. Rester patient (même si l’on pense que le PC est arrêté) ; les temps « d'arrêt apparent » sont parfois de plusieurs minutes (il y a ± 50 étapes d’analyse)./i\
• Lorsque l'analyse sera terminée, un rapport apparaîtra.
Copier/coller ce rapport dans la prochaine réponse.
Le rapport se trouve dans : C:\Combofix.txt (si jamais).
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Ah d'accord ^^
J'ai eu peur d'avoir fait une grosse erreur et que je ne pouvais plus réparé cette infection ... ouf ^^
J'ai eu peur d'avoir fait une grosse erreur et que je ne pouvais plus réparé cette infection ... ouf ^^
Re,
Cit. « Puis-je maintenant faire la dernière étape de votre post précédent ? »
OK --> Fonce.
Merci
Salut P.. ;)
Al.
Cit. « Puis-je maintenant faire la dernière étape de votre post précédent ? »
OK --> Fonce.
Merci
Salut P.. ;)
Al.
Voila, ComboFix s'est terminé , voici le log :
ComboFix 09-08-10.06 - Remylenain 13/08/2009 21:16.1.2 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.44.1036.18.2046.1469 [GMT 2:00]
Running from: c:\documents and settings\Remylenain\Bureau\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\Remylenain\Application Data\wiaserva.log
c:\windows\Installer\372eb.msp
c:\windows\system32\drivers\328dbfd3.sys
c:\windows\system32\SKYNETqlmyugvl.da_
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_skynetfvumgexi
-------\Service_SKYNETfvumgexi
-------\Service_328dbfd3
((((((((((((((((((((((((( Files Created from 2009-07-13 to 2009-08-13 )))))))))))))))))))))))))))))))
.
2009-08-13 11:21 . 2009-08-13 11:22 -------- d-s---w- C:\cmbfxit
2009-08-12 16:01 . 2009-08-12 20:05 -------- d-----w- c:\documents and settings\Remylenain\DoctorWeb
2009-08-12 11:27 . 2009-08-12 21:11 -------- d-----w- C:\UsbFix
2009-08-12 10:51 . 2009-08-12 10:51 -------- d-----w- c:\program files\GameTop.com
2009-08-12 09:39 . 2009-08-12 09:39 -------- d-----w- C:\rsit
2009-08-12 09:35 . 2009-08-12 09:35 -------- d-----w- c:\documents and settings\Remylenain\Application Data\Malwarebytes
2009-08-12 09:35 . 2009-08-12 09:35 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-08-12 08:54 . 2009-08-12 08:54 -------- dc----w- c:\documents and settings\All Users\Application Data\{C4C0E335-EDDF-46A0-A57D-F3802AE44275}
2009-08-12 08:40 . 2009-08-12 08:40 -------- d--h--r- C:\AHCache
2009-08-06 11:48 . 2005-01-01 09:43 4682 ----a-w- c:\windows\system32\npptNT2.sys
2009-08-05 08:20 . 2009-08-05 08:20 167376 ----a-w- c:\documents and settings\Remylenain\Application Data\Mozilla\Firefox\Profiles\2ioqhyf5.default\FlashGot.exe
2009-08-03 13:01 . 2009-08-03 13:02 34 ----a-w- c:\documents and settings\Remylenain\jagex_runescape_preferences.dat
2009-08-03 13:01 . 2009-08-03 13:01 -------- d-----w- c:\windows\.jagex_cache_32
2009-08-03 09:28 . 2009-08-03 09:28 -------- d-----w- c:\documents and settings\Remylenain\Local Settings\Application Data\assembly
2009-08-03 09:28 . 2009-08-03 09:28 -------- d-----w- c:\program files\NCSoft
2009-08-03 09:24 . 2009-08-03 09:27 -------- d-----w- c:\documents and settings\Remylenain\Application Data\GetRightToGo
2009-07-27 07:15 . 2009-07-27 07:15 -------- d-----w- c:\program files\Trend Micro
2009-07-23 09:03 . 2009-07-23 09:17 -------- d-----w- c:\program files\Navilog1
2009-07-22 09:59 . 2008-02-17 15:16 90112 ----a-w- c:\documents and settings\Remylenain\Application Data\Mozilla\Firefox\Profiles\2ioqhyf5.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc.dll
2009-07-22 09:59 . 2007-12-28 09:15 172032 ----a-w- c:\documents and settings\Remylenain\Application Data\Mozilla\Firefox\Profiles\2ioqhyf5.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\puttygen.exe
2009-07-22 09:59 . 2007-10-07 23:57 307200 ----a-w- c:\documents and settings\Remylenain\Application Data\Mozilla\Firefox\Profiles\2ioqhyf5.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\psftp.exe
2009-07-21 18:37 . 2009-07-21 18:37 -------- d-----w- c:\program files\QuickTime
2009-07-20 14:48 . 2008-12-03 23:25 120832 ----a-w- c:\documents and settings\Remylenain\Application Data\Mozilla\Firefox\Profiles\2ioqhyf5.default\extensions\{77b819fa-95ad-4f2c-ac7c-486b356188a9}\plugins\npietab.dll
2009-07-20 14:24 . 2001-10-28 15:42 116224 ----a-w- c:\windows\system32\pdfcmnnt.dll
2009-07-20 14:24 . 1998-07-13 00:08 119568 ----a-w- c:\windows\system32\VB6FR.DLL
2009-07-20 14:24 . 1998-07-13 00:08 59904 ----a-w- c:\windows\system32\MSCC2FR.DLL
2009-07-20 14:24 . 1998-07-13 00:08 141312 ----a-w- c:\windows\system32\MSCMCFR.DLL
2009-07-20 14:23 . 2009-07-20 14:25 -------- d-----w- c:\program files\PDFCreator
2009-07-20 14:23 . 1998-07-05 23:00 23552 ----a-w- c:\windows\system32\MSMPIDE.DLL
2009-07-20 13:08 . 2009-07-20 14:11 -------- d-----w- c:\documents and settings\Remylenain\Application Data\Magic Set Editor
2009-07-17 13:10 . 2009-07-17 13:17 -------- d-----w- c:\documents and settings\Remylenain\.maptool
2009-07-16 10:08 . 2009-07-16 10:10 4082 ----a-w- c:\windows\BricoPackFoldersDelete.cmd
2009-07-15 20:35 . 2009-07-15 20:35 65536 ----a-w- c:\windows\ICE_JNIRegistry.dll
2009-07-15 12:23 . 2009-08-13 11:05 -------- d-----w- c:\documents and settings\Remylenain\Application Data\vlc
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-13 19:21 . 2008-10-01 10:06 -------- d-----w- c:\program files\SuperCopier2
2009-08-13 16:43 . 2008-09-30 09:29 -------- d-----w- c:\documents and settings\Remylenain\Application Data\uTorrent
2009-08-12 15:49 . 2008-10-05 16:03 -------- d-----w- c:\documents and settings\Remylenain\Application Data\dvdcss
2009-08-10 19:00 . 2008-09-25 20:33 -------- d-----w- c:\documents and settings\All Users\Application Data\DVD Shrink
2009-08-10 15:45 . 2008-10-30 20:43 -------- d-----w- c:\documents and settings\Remylenain\Application Data\CyberLink
2009-08-07 10:56 . 2008-09-30 09:29 -------- d-----w- c:\program files\uTorrent
2009-08-06 11:48 . 2008-10-30 20:39 -------- d-----w- c:\program files\Common Files
2009-08-06 09:30 . 2008-12-19 20:24 -------- d-----w- c:\documents and settings\Remylenain\Application Data\Skype
2009-08-06 08:59 . 2008-12-19 20:25 -------- d-----w- c:\documents and settings\Remylenain\Application Data\skypePM
2009-08-06 08:48 . 2008-09-25 13:27 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-08-05 09:13 . 2009-07-04 19:58 -------- d-----w- c:\program files\LG Electronics
2009-08-04 07:31 . 2008-09-25 17:36 -------- d-----w- c:\program files\Fichiers communs\Adobe
2009-07-22 12:28 . 2008-09-27 21:43 -------- d-----w- c:\program files\eMule
2009-07-21 18:44 . 2009-02-23 10:11 -------- d-----w- c:\documents and settings\Remylenain\Application Data\Apple Computer
2009-07-21 08:36 . 2008-09-25 17:24 229984 ----a-w- c:\documents and settings\Remylenain\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-07-21 08:05 . 2004-08-05 12:00 92550 ----a-w- c:\windows\system32\perfc00C.dat
2009-07-21 08:05 . 2004-08-05 12:00 504400 ----a-w- c:\windows\system32\perfh00C.dat
2009-07-16 18:07 . 2008-11-09 20:42 -------- d-----w- c:\program files\CDBurnerXP
2009-07-16 10:10 . 2008-09-25 14:10 56179 ----a-w- c:\windows\BricoPackUninst.cmd
2009-07-16 10:10 . 2004-08-05 12:00 219648 ----a-w- c:\windows\system32\uxtheme.dll
2009-07-15 12:21 . 2009-05-26 07:56 -------- d-----w- c:\documents and settings\All Users\Application Data\VMware
2009-07-13 09:28 . 2009-05-26 07:59 -------- d-----w- c:\documents and settings\LocalService\Application Data\VMware
2009-07-04 20:06 . 2009-07-04 19:58 -------- d-----w- c:\documents and settings\Remylenain\Application Data\LG Electronics
2009-07-04 20:01 . 2008-12-29 02:18 -------- d-----w- c:\program files\DivX
2009-07-04 13:42 . 2008-10-11 11:05 -------- d-----w- c:\program files\AviSynth 2.5
2009-07-04 13:39 . 2009-07-04 13:39 -------- d-----w- c:\program files\Magicbit
2009-07-03 14:53 . 2009-07-03 14:51 -------- d-----w- c:\documents and settings\Remylenain\Application Data\codeblocks
2009-06-29 16:07 . 2009-06-29 16:07 -------- d-----w- c:\documents and settings\Remylenain\Application Data\LaCie
2009-06-29 16:07 . 2009-06-29 16:07 133 ----a-w- c:\documents and settings\Remylenain\Local Settings\Application Data\fusioncache.dat
2009-06-24 14:58 . 2009-03-17 10:18 -------- d-----w- c:\documents and settings\Remylenain\Application Data\OpenOffice.org2
2009-06-24 08:11 . 2008-10-02 19:12 -------- d-----w- c:\program files\Ahead
2009-06-24 08:11 . 2008-10-02 19:12 -------- d-----w- c:\program files\Fichiers communs\Ahead
2009-06-17 13:20 . 2009-06-17 13:20 -------- d-----w- c:\program files\Sophos
2009-05-29 20:41 . 2009-05-08 17:41 1 ----a-w- c:\documents and settings\Remylenain\Application Data\OpenOffice.org2\user\uno_packages\cache\stamp.sys
2009-05-29 15:26 . 2009-05-29 15:26 10134 ----a-r- c:\documents and settings\Remylenain\Application Data\Microsoft\Installer\{E3E71D07-CD27-46CB-8448-16D4FB29AA13}\ARPPRODUCTICON.exe
2009-05-22 09:09 . 2009-05-22 09:09 125636 ---ha-w- c:\windows\system32\mlfcache.dat
.
------- Sigcheck -------
[7] 2008-08-26 09:10 827904 4B0E70D44297877A313045BD059770E1 c:\windows\$hf_mig$\KB956390-IE7\SP2QFE\wininet.dll
[-] 2004-08-05 12:00 1138176 9A803A6E5354FC4B6BBB032CAD5E294C c:\windows\ie7\wininet.dll
[7] 2007-08-13 17:54 818688 A4A0FC92358F39538A6494C42EF99FE9 c:\windows\ie7updates\KB956390-IE7\wininet.dll
[-] 2008-08-26 08:11 1260544 3C0F0A411C9C30E6EBA24E24EDB0096F c:\windows\ServicePackFiles\i386\wininet.dll
[-] 2008-08-26 08:11 1260544 3C0F0A411C9C30E6EBA24E24EDB0096F c:\windows\system32\wininet.dll
[7] 2008-08-26 08:11 826368 E30CACD98479B36A3DBFA3267BF62DD0 c:\windows\system32\dllcache\wininet.dll
[-] 2008-04-13 18:34 3200000 5158A1C542A355B3A67E59538BBD894D c:\windows\explorer.exe
[-] 2004-08-05 12:00 3198464 CDC990FBECEFF120D114C94CF07AF248 c:\windows\$NtServicePackUninstall$\explorer.exe
[-] 2008-04-13 18:34 3200000 5158A1C542A355B3A67E59538BBD894D c:\windows\ServicePackFiles\i386\explorer.exe
[7] 2008-04-13 18:34 1037824 F2317622D29F9FF0F88AEECD5F60F0DD c:\windows\SoftwareDistribution\Download\d43a20c40794c502928d4b7d8ff0ea20\explorer.exe
[-] 2008-10-16 13:09 69144 2BD9953CEFE840CAF31C2D6D1F9AD179 c:\windows\ServicePackFiles\i386\wuauclt.exe
[-] 2008-10-16 13:09 69144 2BD9953CEFE840CAF31C2D6D1F9AD179 c:\windows\system32\wuauclt.exe
[7] 2008-10-16 13:09 51224 E654B78D2F1D791B30D0ED9A8195EC22 c:\windows\system32\dllcache\wuauclt.exe
[7] 2008-08-26 09:10 3594752 0F345A2FE55C3DC9693AAAF2E983F4AD c:\windows\$hf_mig$\KB956390-IE7\SP2QFE\mshtml.dll
[-] 2004-08-05 12:00 4606976 786652CCCEF7A32953BF426BB366063E c:\windows\ie7\mshtml.dll
[7] 2007-08-13 17:54 3578368 C6EC2493346ED8888A549F59210A8ED3 c:\windows\ie7updates\KB956390-IE7\mshtml.dll
[-] 2008-08-27 13:41 5028864 077F70E62A9DDDAAF13C05636D5DA005 c:\windows\ServicePackFiles\i386\mshtml.dll
[-] 2008-08-27 13:41 5028864 077F70E62A9DDDAAF13C05636D5DA005 c:\windows\system32\mshtml.dll
[7] 2008-08-27 13:41 3593216 3CCDB836BBAB800FDED3181AF7EED38F c:\windows\system32\dllcache\mshtml.dll
c:\windows\system32\appmgmts.dll ... is missing !!
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SuperCopier2.exe"="c:\program files\SuperCopier2\SuperCopier2.exe" [2006-07-07 1052672]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2005-10-07 737370]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-03-02 7557120]
"MSConfig"="c:\windows\pchealth\helpctr\Binaries\MSCONFIG.EXE" [2008-04-13 172544]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2005-12-19 15797248]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]
[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
Source= c:\documents and settings\Remylenain\Mes documents\Mes images\GIFS\One piece\one_piece16.gif
FriendlyName=
[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\1]
Source= c:\documents and settings\Remylenain\Mes documents\Mes images\GIFS\One piece\one_piece13.gif
FriendlyName=
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WB]
2001-12-20 22:34 24576 ----a-w- c:\program files\AlienGUIse\fastload.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\system32\wbsys.dll
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0OODBS
[HKLM\~\startupfolder\C:^Documents and Settings^Remylenain^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 2.3.lnk]
path=c:\documents and settings\Remylenain\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 2.3.lnk
backup=c:\windows\pss\OpenOffice.org 2.3.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"AntiVirService"=2 (0x2)
"AntiVirSchedulerService"=2 (0x2)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\Home Cinema\\PowerCinema\\PowerCinema.exe"=
"c:\\Program Files\\Home Cinema\\PowerCinema\\PCMService.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"12497:TCP"= 12497:TCP:NortonAV
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\icmpsettings]
"AllowInboundEchoRequest"= 1 (0x1)
R0 psdrv02;CD Guard Environment Driver (v2);c:\windows\system32\drivers\psdrv02.sys [11/09/2006 14:01 67960]
R0 pssync05;CD Guard Synchronization Driver (v5);c:\windows\system32\drivers\pssync05.sys [03/11/2006 10:24 61312]
R0 sojubus;sojubus;c:\windows\system32\drivers\sojubus.sys [05/10/2003 10:41 123520]
R0 sojuscsi;sojuscsi;c:\windows\system32\drivers\sojuscsi.sys [28/09/2003 10:57 5504]
R3 acfva;acfva;c:\windows\system32\drivers\ACFVA32.sys [26/01/2009 20:12 86784]
R3 dgcfltr;DGC Filter Driver;c:\windows\system32\drivers\ACFDCP32.sys [26/01/2009 20:12 29056]
R3 X10Hid;X10 Hid Device;c:\windows\system32\drivers\x10hid.sys [31/12/2008 14:30 7040]
S2 psrem02;CD Guard Drivers Auto Removal (v2);c:\windows\system32\psrem02.exe svc --> c:\windows\system32\psrem02.exe svc [?]
S3 lgbttport;LGE Bluetooth TransPort;c:\windows\system32\DRIVERS\lgbtport.sys --> c:\windows\system32\DRIVERS\lgbtport.sys [?]
S3 lgbusenum;LG Bluetooth Bus Enumerator;c:\windows\system32\DRIVERS\lgbtbus.sys --> c:\windows\system32\DRIVERS\lgbtbus.sys [?]
S3 lgvmodem;LGE Virtual Modem;c:\windows\system32\DRIVERS\lgvmodem.sys --> c:\windows\system32\DRIVERS\lgvmodem.sys [?]
S3 memsweep2;MEMSWEEP2;\??\c:\windows\system32\10B.tmp --> c:\windows\system32\10B.tmp [?]
S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]
S3 NTProcDrv;Process creation detector for NT.;\??\c:\windows\TEMP\drv1.tmp --> c:\windows\TEMP\drv1.tmp [?]
S4 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [05/05/2009 20:15 108289]
S4 HdThemeEnabler;Hyperdesk Theme Enabler;c:\program files\The Skins Factory\Hyperdesk\Common\HdThemeEnabler.exe [24/07/2008 21:23 102400]
--- Other Services/Drivers In Memory ---
*Deregistered* - mchInjDrv
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
p2psvc REG_MULTI_SZ p2psvc p2pimsvc p2pgasvc PNRPSvc
.
Contents of the 'Scheduled Tasks' folder
.
.
------- Supplementary Scan -------
.
TCP: {73DE8D07-C097-40C2-A6FC-E35772CB6F09} = 80.10.246.5 80.10.246.136
FF - ProfilePath - c:\documents and settings\Remylenain\Application Data\Mozilla\Firefox\Profiles\2ioqhyf5.default\
FF - prefs.js: network.proxy.ftp - localhost
FF - prefs.js: network.proxy.ftp_port - 8800
FF - prefs.js: network.proxy.gopher - localhost
FF - prefs.js: network.proxy.gopher_port - 8800
FF - prefs.js: network.proxy.http - localhost
FF - prefs.js: network.proxy.http_port - 8800
FF - prefs.js: network.proxy.socks - localhost
FF - prefs.js: network.proxy.socks_port - 8800
FF - prefs.js: network.proxy.ssl - localhost
FF - prefs.js: network.proxy.ssl_port - 8800
FF - prefs.js: network.proxy.type - 4
FF - component: c:\documents and settings\Remylenain\Application Data\Mozilla\Firefox\Profiles\2ioqhyf5.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc.dll
FF - component: c:\program files\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npdrmv2.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npdsplay.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npwmsdrm.dll
---- FIREFOX POLICIES ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota", 5120);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json");
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-13 21:22
Windows 5.1.2600 Service Pack 3 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\mchInjDrv]
"ImagePath"="\??\c:\docume~1\REMYLE~1\LOCALS~1\Temp\mc21.tmp"
[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\memsweep2]
"ImagePath"="\??\c:\windows\system32\10B.tmp"
[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\NTProcDrv]
"ImagePath"="\??\c:\windows\TEMP\drv1.tmp"
.
--------------------- LOCKED REGISTRY KEYS ---------------------
[HKEY_USERS\S-1-5-21-1220945662-823518204-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID]
@Denied: (Full) (LocalSystem)
[HKEY_USERS\S-1-5-21-1220945662-823518204-839522115-1004\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:e3,48,85,b0,aa,ea,42,a1,51,74,59,d4,79,1c,24,06,a7,f1,e0,69,f5,1c,33,
bd,d0,5b,52,7a,cb,73,48,a7,c6,e8,e2,08,ec,c7,c0,03,95,1d,29,0c,9d,7f,6e,f3,\
"??"=hex:72,11,da,bf,c1,55,ba,58,8b,7d,f0,ec,6a,4d,80,80
[HKEY_USERS\S-1-5-21-1220945662-823518204-839522115-1004\Software\SecuROM\License information*]
"datasecu"=hex:5d,b3,ee,d3,e3,43,b5,cc,42,f3,22,1b,b0,65,90,e1,02,07,2d,0d,ea,
35,7c,90,b4,d1,a2,90,6f,bb,f6,74,06,2e,fc,cc,59,1a,ee,96,6d,41,86,af,f0,81,\
"rkeysecu"=hex:29,23,be,84,e1,6c,d6,ae,52,90,49,f1,f1,bb,e9,eb
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
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
.
--------------------- DLLs Loaded Under Running Processes ---------------------
- - - - - - - > 'winlogon.exe'(912)
c:\program files\AlienGUIse\fastload.dll
- - - - - - - > 'lsass.exe'(968)
c:\windows\system32\scecli.dll
- - - - - - - > 'explorer.exe'(3156)
c:\windows\system32\SHDOCVW.dll
c:\program files\SuperCopier2\SC2Hook.dll
c:\progra~1\WINDOW~2\wmpband.dll
c:\windows\system32\ntshrui.dll
c:\windows\system32\msi.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\stobject.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\windows\system32\NETSHELL.dll
c:\windows\system32\credui.dll
c:\windows\system32\MSVCP60.dll
c:\windows\system32\eappprxy.dll
.
------------------------ Other Running Processes ------------------------
.
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
c:\program files\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\program files\CyberLink\Shared Files\RichVideo.exe
c:\program files\Common Files\X10\Common\X10nets.exe
c:\program files\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Completion time: 2009-08-13 21:26 - machine was rebooted
ComboFix-quarantined-files.txt 2009-08-13 19:26
Pre-Run: 5 038 292 992 octets libres
Post-Run: 4 915 707 904 octets libres
329 --- E O F --- 2008-12-02 14:49
Merci beaucoup de votre aide afideg, j'espère que mon pc est maintenant désinfecté, il reste encore des chose à faire ?
ComboFix 09-08-10.06 - Remylenain 13/08/2009 21:16.1.2 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.44.1036.18.2046.1469 [GMT 2:00]
Running from: c:\documents and settings\Remylenain\Bureau\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\Remylenain\Application Data\wiaserva.log
c:\windows\Installer\372eb.msp
c:\windows\system32\drivers\328dbfd3.sys
c:\windows\system32\SKYNETqlmyugvl.da_
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_skynetfvumgexi
-------\Service_SKYNETfvumgexi
-------\Service_328dbfd3
((((((((((((((((((((((((( Files Created from 2009-07-13 to 2009-08-13 )))))))))))))))))))))))))))))))
.
2009-08-13 11:21 . 2009-08-13 11:22 -------- d-s---w- C:\cmbfxit
2009-08-12 16:01 . 2009-08-12 20:05 -------- d-----w- c:\documents and settings\Remylenain\DoctorWeb
2009-08-12 11:27 . 2009-08-12 21:11 -------- d-----w- C:\UsbFix
2009-08-12 10:51 . 2009-08-12 10:51 -------- d-----w- c:\program files\GameTop.com
2009-08-12 09:39 . 2009-08-12 09:39 -------- d-----w- C:\rsit
2009-08-12 09:35 . 2009-08-12 09:35 -------- d-----w- c:\documents and settings\Remylenain\Application Data\Malwarebytes
2009-08-12 09:35 . 2009-08-12 09:35 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-08-12 08:54 . 2009-08-12 08:54 -------- dc----w- c:\documents and settings\All Users\Application Data\{C4C0E335-EDDF-46A0-A57D-F3802AE44275}
2009-08-12 08:40 . 2009-08-12 08:40 -------- d--h--r- C:\AHCache
2009-08-06 11:48 . 2005-01-01 09:43 4682 ----a-w- c:\windows\system32\npptNT2.sys
2009-08-05 08:20 . 2009-08-05 08:20 167376 ----a-w- c:\documents and settings\Remylenain\Application Data\Mozilla\Firefox\Profiles\2ioqhyf5.default\FlashGot.exe
2009-08-03 13:01 . 2009-08-03 13:02 34 ----a-w- c:\documents and settings\Remylenain\jagex_runescape_preferences.dat
2009-08-03 13:01 . 2009-08-03 13:01 -------- d-----w- c:\windows\.jagex_cache_32
2009-08-03 09:28 . 2009-08-03 09:28 -------- d-----w- c:\documents and settings\Remylenain\Local Settings\Application Data\assembly
2009-08-03 09:28 . 2009-08-03 09:28 -------- d-----w- c:\program files\NCSoft
2009-08-03 09:24 . 2009-08-03 09:27 -------- d-----w- c:\documents and settings\Remylenain\Application Data\GetRightToGo
2009-07-27 07:15 . 2009-07-27 07:15 -------- d-----w- c:\program files\Trend Micro
2009-07-23 09:03 . 2009-07-23 09:17 -------- d-----w- c:\program files\Navilog1
2009-07-22 09:59 . 2008-02-17 15:16 90112 ----a-w- c:\documents and settings\Remylenain\Application Data\Mozilla\Firefox\Profiles\2ioqhyf5.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc.dll
2009-07-22 09:59 . 2007-12-28 09:15 172032 ----a-w- c:\documents and settings\Remylenain\Application Data\Mozilla\Firefox\Profiles\2ioqhyf5.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\puttygen.exe
2009-07-22 09:59 . 2007-10-07 23:57 307200 ----a-w- c:\documents and settings\Remylenain\Application Data\Mozilla\Firefox\Profiles\2ioqhyf5.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\psftp.exe
2009-07-21 18:37 . 2009-07-21 18:37 -------- d-----w- c:\program files\QuickTime
2009-07-20 14:48 . 2008-12-03 23:25 120832 ----a-w- c:\documents and settings\Remylenain\Application Data\Mozilla\Firefox\Profiles\2ioqhyf5.default\extensions\{77b819fa-95ad-4f2c-ac7c-486b356188a9}\plugins\npietab.dll
2009-07-20 14:24 . 2001-10-28 15:42 116224 ----a-w- c:\windows\system32\pdfcmnnt.dll
2009-07-20 14:24 . 1998-07-13 00:08 119568 ----a-w- c:\windows\system32\VB6FR.DLL
2009-07-20 14:24 . 1998-07-13 00:08 59904 ----a-w- c:\windows\system32\MSCC2FR.DLL
2009-07-20 14:24 . 1998-07-13 00:08 141312 ----a-w- c:\windows\system32\MSCMCFR.DLL
2009-07-20 14:23 . 2009-07-20 14:25 -------- d-----w- c:\program files\PDFCreator
2009-07-20 14:23 . 1998-07-05 23:00 23552 ----a-w- c:\windows\system32\MSMPIDE.DLL
2009-07-20 13:08 . 2009-07-20 14:11 -------- d-----w- c:\documents and settings\Remylenain\Application Data\Magic Set Editor
2009-07-17 13:10 . 2009-07-17 13:17 -------- d-----w- c:\documents and settings\Remylenain\.maptool
2009-07-16 10:08 . 2009-07-16 10:10 4082 ----a-w- c:\windows\BricoPackFoldersDelete.cmd
2009-07-15 20:35 . 2009-07-15 20:35 65536 ----a-w- c:\windows\ICE_JNIRegistry.dll
2009-07-15 12:23 . 2009-08-13 11:05 -------- d-----w- c:\documents and settings\Remylenain\Application Data\vlc
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-13 19:21 . 2008-10-01 10:06 -------- d-----w- c:\program files\SuperCopier2
2009-08-13 16:43 . 2008-09-30 09:29 -------- d-----w- c:\documents and settings\Remylenain\Application Data\uTorrent
2009-08-12 15:49 . 2008-10-05 16:03 -------- d-----w- c:\documents and settings\Remylenain\Application Data\dvdcss
2009-08-10 19:00 . 2008-09-25 20:33 -------- d-----w- c:\documents and settings\All Users\Application Data\DVD Shrink
2009-08-10 15:45 . 2008-10-30 20:43 -------- d-----w- c:\documents and settings\Remylenain\Application Data\CyberLink
2009-08-07 10:56 . 2008-09-30 09:29 -------- d-----w- c:\program files\uTorrent
2009-08-06 11:48 . 2008-10-30 20:39 -------- d-----w- c:\program files\Common Files
2009-08-06 09:30 . 2008-12-19 20:24 -------- d-----w- c:\documents and settings\Remylenain\Application Data\Skype
2009-08-06 08:59 . 2008-12-19 20:25 -------- d-----w- c:\documents and settings\Remylenain\Application Data\skypePM
2009-08-06 08:48 . 2008-09-25 13:27 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-08-05 09:13 . 2009-07-04 19:58 -------- d-----w- c:\program files\LG Electronics
2009-08-04 07:31 . 2008-09-25 17:36 -------- d-----w- c:\program files\Fichiers communs\Adobe
2009-07-22 12:28 . 2008-09-27 21:43 -------- d-----w- c:\program files\eMule
2009-07-21 18:44 . 2009-02-23 10:11 -------- d-----w- c:\documents and settings\Remylenain\Application Data\Apple Computer
2009-07-21 08:36 . 2008-09-25 17:24 229984 ----a-w- c:\documents and settings\Remylenain\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-07-21 08:05 . 2004-08-05 12:00 92550 ----a-w- c:\windows\system32\perfc00C.dat
2009-07-21 08:05 . 2004-08-05 12:00 504400 ----a-w- c:\windows\system32\perfh00C.dat
2009-07-16 18:07 . 2008-11-09 20:42 -------- d-----w- c:\program files\CDBurnerXP
2009-07-16 10:10 . 2008-09-25 14:10 56179 ----a-w- c:\windows\BricoPackUninst.cmd
2009-07-16 10:10 . 2004-08-05 12:00 219648 ----a-w- c:\windows\system32\uxtheme.dll
2009-07-15 12:21 . 2009-05-26 07:56 -------- d-----w- c:\documents and settings\All Users\Application Data\VMware
2009-07-13 09:28 . 2009-05-26 07:59 -------- d-----w- c:\documents and settings\LocalService\Application Data\VMware
2009-07-04 20:06 . 2009-07-04 19:58 -------- d-----w- c:\documents and settings\Remylenain\Application Data\LG Electronics
2009-07-04 20:01 . 2008-12-29 02:18 -------- d-----w- c:\program files\DivX
2009-07-04 13:42 . 2008-10-11 11:05 -------- d-----w- c:\program files\AviSynth 2.5
2009-07-04 13:39 . 2009-07-04 13:39 -------- d-----w- c:\program files\Magicbit
2009-07-03 14:53 . 2009-07-03 14:51 -------- d-----w- c:\documents and settings\Remylenain\Application Data\codeblocks
2009-06-29 16:07 . 2009-06-29 16:07 -------- d-----w- c:\documents and settings\Remylenain\Application Data\LaCie
2009-06-29 16:07 . 2009-06-29 16:07 133 ----a-w- c:\documents and settings\Remylenain\Local Settings\Application Data\fusioncache.dat
2009-06-24 14:58 . 2009-03-17 10:18 -------- d-----w- c:\documents and settings\Remylenain\Application Data\OpenOffice.org2
2009-06-24 08:11 . 2008-10-02 19:12 -------- d-----w- c:\program files\Ahead
2009-06-24 08:11 . 2008-10-02 19:12 -------- d-----w- c:\program files\Fichiers communs\Ahead
2009-06-17 13:20 . 2009-06-17 13:20 -------- d-----w- c:\program files\Sophos
2009-05-29 20:41 . 2009-05-08 17:41 1 ----a-w- c:\documents and settings\Remylenain\Application Data\OpenOffice.org2\user\uno_packages\cache\stamp.sys
2009-05-29 15:26 . 2009-05-29 15:26 10134 ----a-r- c:\documents and settings\Remylenain\Application Data\Microsoft\Installer\{E3E71D07-CD27-46CB-8448-16D4FB29AA13}\ARPPRODUCTICON.exe
2009-05-22 09:09 . 2009-05-22 09:09 125636 ---ha-w- c:\windows\system32\mlfcache.dat
.
------- Sigcheck -------
[7] 2008-08-26 09:10 827904 4B0E70D44297877A313045BD059770E1 c:\windows\$hf_mig$\KB956390-IE7\SP2QFE\wininet.dll
[-] 2004-08-05 12:00 1138176 9A803A6E5354FC4B6BBB032CAD5E294C c:\windows\ie7\wininet.dll
[7] 2007-08-13 17:54 818688 A4A0FC92358F39538A6494C42EF99FE9 c:\windows\ie7updates\KB956390-IE7\wininet.dll
[-] 2008-08-26 08:11 1260544 3C0F0A411C9C30E6EBA24E24EDB0096F c:\windows\ServicePackFiles\i386\wininet.dll
[-] 2008-08-26 08:11 1260544 3C0F0A411C9C30E6EBA24E24EDB0096F c:\windows\system32\wininet.dll
[7] 2008-08-26 08:11 826368 E30CACD98479B36A3DBFA3267BF62DD0 c:\windows\system32\dllcache\wininet.dll
[-] 2008-04-13 18:34 3200000 5158A1C542A355B3A67E59538BBD894D c:\windows\explorer.exe
[-] 2004-08-05 12:00 3198464 CDC990FBECEFF120D114C94CF07AF248 c:\windows\$NtServicePackUninstall$\explorer.exe
[-] 2008-04-13 18:34 3200000 5158A1C542A355B3A67E59538BBD894D c:\windows\ServicePackFiles\i386\explorer.exe
[7] 2008-04-13 18:34 1037824 F2317622D29F9FF0F88AEECD5F60F0DD c:\windows\SoftwareDistribution\Download\d43a20c40794c502928d4b7d8ff0ea20\explorer.exe
[-] 2008-10-16 13:09 69144 2BD9953CEFE840CAF31C2D6D1F9AD179 c:\windows\ServicePackFiles\i386\wuauclt.exe
[-] 2008-10-16 13:09 69144 2BD9953CEFE840CAF31C2D6D1F9AD179 c:\windows\system32\wuauclt.exe
[7] 2008-10-16 13:09 51224 E654B78D2F1D791B30D0ED9A8195EC22 c:\windows\system32\dllcache\wuauclt.exe
[7] 2008-08-26 09:10 3594752 0F345A2FE55C3DC9693AAAF2E983F4AD c:\windows\$hf_mig$\KB956390-IE7\SP2QFE\mshtml.dll
[-] 2004-08-05 12:00 4606976 786652CCCEF7A32953BF426BB366063E c:\windows\ie7\mshtml.dll
[7] 2007-08-13 17:54 3578368 C6EC2493346ED8888A549F59210A8ED3 c:\windows\ie7updates\KB956390-IE7\mshtml.dll
[-] 2008-08-27 13:41 5028864 077F70E62A9DDDAAF13C05636D5DA005 c:\windows\ServicePackFiles\i386\mshtml.dll
[-] 2008-08-27 13:41 5028864 077F70E62A9DDDAAF13C05636D5DA005 c:\windows\system32\mshtml.dll
[7] 2008-08-27 13:41 3593216 3CCDB836BBAB800FDED3181AF7EED38F c:\windows\system32\dllcache\mshtml.dll
c:\windows\system32\appmgmts.dll ... is missing !!
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SuperCopier2.exe"="c:\program files\SuperCopier2\SuperCopier2.exe" [2006-07-07 1052672]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2005-10-07 737370]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-03-02 7557120]
"MSConfig"="c:\windows\pchealth\helpctr\Binaries\MSCONFIG.EXE" [2008-04-13 172544]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2005-12-19 15797248]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]
[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
Source= c:\documents and settings\Remylenain\Mes documents\Mes images\GIFS\One piece\one_piece16.gif
FriendlyName=
[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\1]
Source= c:\documents and settings\Remylenain\Mes documents\Mes images\GIFS\One piece\one_piece13.gif
FriendlyName=
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WB]
2001-12-20 22:34 24576 ----a-w- c:\program files\AlienGUIse\fastload.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\system32\wbsys.dll
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0OODBS
[HKLM\~\startupfolder\C:^Documents and Settings^Remylenain^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 2.3.lnk]
path=c:\documents and settings\Remylenain\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 2.3.lnk
backup=c:\windows\pss\OpenOffice.org 2.3.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"AntiVirService"=2 (0x2)
"AntiVirSchedulerService"=2 (0x2)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\Home Cinema\\PowerCinema\\PowerCinema.exe"=
"c:\\Program Files\\Home Cinema\\PowerCinema\\PCMService.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"12497:TCP"= 12497:TCP:NortonAV
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\icmpsettings]
"AllowInboundEchoRequest"= 1 (0x1)
R0 psdrv02;CD Guard Environment Driver (v2);c:\windows\system32\drivers\psdrv02.sys [11/09/2006 14:01 67960]
R0 pssync05;CD Guard Synchronization Driver (v5);c:\windows\system32\drivers\pssync05.sys [03/11/2006 10:24 61312]
R0 sojubus;sojubus;c:\windows\system32\drivers\sojubus.sys [05/10/2003 10:41 123520]
R0 sojuscsi;sojuscsi;c:\windows\system32\drivers\sojuscsi.sys [28/09/2003 10:57 5504]
R3 acfva;acfva;c:\windows\system32\drivers\ACFVA32.sys [26/01/2009 20:12 86784]
R3 dgcfltr;DGC Filter Driver;c:\windows\system32\drivers\ACFDCP32.sys [26/01/2009 20:12 29056]
R3 X10Hid;X10 Hid Device;c:\windows\system32\drivers\x10hid.sys [31/12/2008 14:30 7040]
S2 psrem02;CD Guard Drivers Auto Removal (v2);c:\windows\system32\psrem02.exe svc --> c:\windows\system32\psrem02.exe svc [?]
S3 lgbttport;LGE Bluetooth TransPort;c:\windows\system32\DRIVERS\lgbtport.sys --> c:\windows\system32\DRIVERS\lgbtport.sys [?]
S3 lgbusenum;LG Bluetooth Bus Enumerator;c:\windows\system32\DRIVERS\lgbtbus.sys --> c:\windows\system32\DRIVERS\lgbtbus.sys [?]
S3 lgvmodem;LGE Virtual Modem;c:\windows\system32\DRIVERS\lgvmodem.sys --> c:\windows\system32\DRIVERS\lgvmodem.sys [?]
S3 memsweep2;MEMSWEEP2;\??\c:\windows\system32\10B.tmp --> c:\windows\system32\10B.tmp [?]
S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]
S3 NTProcDrv;Process creation detector for NT.;\??\c:\windows\TEMP\drv1.tmp --> c:\windows\TEMP\drv1.tmp [?]
S4 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [05/05/2009 20:15 108289]
S4 HdThemeEnabler;Hyperdesk Theme Enabler;c:\program files\The Skins Factory\Hyperdesk\Common\HdThemeEnabler.exe [24/07/2008 21:23 102400]
--- Other Services/Drivers In Memory ---
*Deregistered* - mchInjDrv
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
p2psvc REG_MULTI_SZ p2psvc p2pimsvc p2pgasvc PNRPSvc
.
Contents of the 'Scheduled Tasks' folder
.
.
------- Supplementary Scan -------
.
TCP: {73DE8D07-C097-40C2-A6FC-E35772CB6F09} = 80.10.246.5 80.10.246.136
FF - ProfilePath - c:\documents and settings\Remylenain\Application Data\Mozilla\Firefox\Profiles\2ioqhyf5.default\
FF - prefs.js: network.proxy.ftp - localhost
FF - prefs.js: network.proxy.ftp_port - 8800
FF - prefs.js: network.proxy.gopher - localhost
FF - prefs.js: network.proxy.gopher_port - 8800
FF - prefs.js: network.proxy.http - localhost
FF - prefs.js: network.proxy.http_port - 8800
FF - prefs.js: network.proxy.socks - localhost
FF - prefs.js: network.proxy.socks_port - 8800
FF - prefs.js: network.proxy.ssl - localhost
FF - prefs.js: network.proxy.ssl_port - 8800
FF - prefs.js: network.proxy.type - 4
FF - component: c:\documents and settings\Remylenain\Application Data\Mozilla\Firefox\Profiles\2ioqhyf5.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc.dll
FF - component: c:\program files\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npdrmv2.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npdsplay.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npwmsdrm.dll
---- FIREFOX POLICIES ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota", 5120);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json");
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-13 21:22
Windows 5.1.2600 Service Pack 3 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\mchInjDrv]
"ImagePath"="\??\c:\docume~1\REMYLE~1\LOCALS~1\Temp\mc21.tmp"
[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\memsweep2]
"ImagePath"="\??\c:\windows\system32\10B.tmp"
[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\NTProcDrv]
"ImagePath"="\??\c:\windows\TEMP\drv1.tmp"
.
--------------------- LOCKED REGISTRY KEYS ---------------------
[HKEY_USERS\S-1-5-21-1220945662-823518204-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID]
@Denied: (Full) (LocalSystem)
[HKEY_USERS\S-1-5-21-1220945662-823518204-839522115-1004\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:e3,48,85,b0,aa,ea,42,a1,51,74,59,d4,79,1c,24,06,a7,f1,e0,69,f5,1c,33,
bd,d0,5b,52,7a,cb,73,48,a7,c6,e8,e2,08,ec,c7,c0,03,95,1d,29,0c,9d,7f,6e,f3,\
"??"=hex:72,11,da,bf,c1,55,ba,58,8b,7d,f0,ec,6a,4d,80,80
[HKEY_USERS\S-1-5-21-1220945662-823518204-839522115-1004\Software\SecuROM\License information*]
"datasecu"=hex:5d,b3,ee,d3,e3,43,b5,cc,42,f3,22,1b,b0,65,90,e1,02,07,2d,0d,ea,
35,7c,90,b4,d1,a2,90,6f,bb,f6,74,06,2e,fc,cc,59,1a,ee,96,6d,41,86,af,f0,81,\
"rkeysecu"=hex:29,23,be,84,e1,6c,d6,ae,52,90,49,f1,f1,bb,e9,eb
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
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
.
--------------------- DLLs Loaded Under Running Processes ---------------------
- - - - - - - > 'winlogon.exe'(912)
c:\program files\AlienGUIse\fastload.dll
- - - - - - - > 'lsass.exe'(968)
c:\windows\system32\scecli.dll
- - - - - - - > 'explorer.exe'(3156)
c:\windows\system32\SHDOCVW.dll
c:\program files\SuperCopier2\SC2Hook.dll
c:\progra~1\WINDOW~2\wmpband.dll
c:\windows\system32\ntshrui.dll
c:\windows\system32\msi.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\stobject.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\windows\system32\NETSHELL.dll
c:\windows\system32\credui.dll
c:\windows\system32\MSVCP60.dll
c:\windows\system32\eappprxy.dll
.
------------------------ Other Running Processes ------------------------
.
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
c:\program files\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\program files\CyberLink\Shared Files\RichVideo.exe
c:\program files\Common Files\X10\Common\X10nets.exe
c:\program files\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Completion time: 2009-08-13 21:26 - machine was rebooted
ComboFix-quarantined-files.txt 2009-08-13 19:26
Pre-Run: 5 038 292 992 octets libres
Post-Run: 4 915 707 904 octets libres
329 --- E O F --- 2008-12-02 14:49
Merci beaucoup de votre aide afideg, j'espère que mon pc est maintenant désinfecté, il reste encore des chose à faire ?
Re,
Bien.
A)- J'ai un doute sur ceci (il faut que je demande de l'aide; et nous pourrons y revenir)
[HKEY_USERS\S-1-5-21-1220945662-823518204-839522115-1004\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:e3,48,85,b0,aa,ea,42,a1,51,74,59,d4,79,1c,24,06,a7,f1,e0,69,f5,1c,33,
bd,d0,5b,52,7a,cb,73,48,a7,c6,e8,e2,08,ec,c7,c0,03,95,1d,29,0c,9d,7f,6e,f3,\
"??"=hex:72,11,da,bf,c1,55,ba,58,8b,7d,f0,ec,6a,4d,80,80
[HKEY_USERS\S-1-5-21-1220945662-823518204-839522115-1004\Software\SecuROM\License information*]
"datasecu"=hex:5d,b3,ee,d3,e3,43,b5,cc,42,f3,22,1b,b0,65,90,e1,02,07,2d,0d,ea,
35,7c,90,b4,d1,a2,90,6f,bb,f6,74,06,2e,fc,cc,59,1a,ee,96,6d,41,86,af,f0,81,\
"rkeysecu"=hex:29,23,be,84,e1,6c,d6,ae,52,90,49,f1,f1,bb,e9,eb
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
"OODEFRAG08.00.00.01WORKSTATION"="852BCB265112F642F5D9A91B6240BE2BD8B0215E4A76D1D796D61736500C2A550A32FDD1D69168D3F8EECA6B663C8B7228D4F148BEA43CE2F76700FB02D02BDA11DB3903E790734EA364C929072D1D07 .......... DA3A52326DEDD69BD8A302083C0FD3F8E605A678A04DA45F1EBA33969C78EDBA390CE5E470EA3C8067B0BFEB5E54AD4FF5E04DE22F17DE"
B)- Je voudrais que tu puisses faire un petit cotrôle pour moi.
Il s'agit de vérifier si ces sous-clés (ou valeurs) sont encore présentes dans la base de registres:
--> [HKLM\SYSTEM\ControlSet001\Services]
"328dbfd3@F96ZK6nPB"=-
--> [HKLM\SYSTEM\CurrentControlSet\Services]
SKYNETfvumgexi@imagepath
Sais-tu comment faire ? Ne touche à rien si tu ne sais pas.
C)- Peux-tu maintenant lancer une analyse complète du PC avec ton AntiVir ?
Merci
Al.
Bien.
A)- J'ai un doute sur ceci (il faut que je demande de l'aide; et nous pourrons y revenir)
[HKEY_USERS\S-1-5-21-1220945662-823518204-839522115-1004\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:e3,48,85,b0,aa,ea,42,a1,51,74,59,d4,79,1c,24,06,a7,f1,e0,69,f5,1c,33,
bd,d0,5b,52,7a,cb,73,48,a7,c6,e8,e2,08,ec,c7,c0,03,95,1d,29,0c,9d,7f,6e,f3,\
"??"=hex:72,11,da,bf,c1,55,ba,58,8b,7d,f0,ec,6a,4d,80,80
[HKEY_USERS\S-1-5-21-1220945662-823518204-839522115-1004\Software\SecuROM\License information*]
"datasecu"=hex:5d,b3,ee,d3,e3,43,b5,cc,42,f3,22,1b,b0,65,90,e1,02,07,2d,0d,ea,
35,7c,90,b4,d1,a2,90,6f,bb,f6,74,06,2e,fc,cc,59,1a,ee,96,6d,41,86,af,f0,81,\
"rkeysecu"=hex:29,23,be,84,e1,6c,d6,ae,52,90,49,f1,f1,bb,e9,eb
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
"OODEFRAG08.00.00.01WORKSTATION"="852BCB265112F642F5D9A91B6240BE2BD8B0215E4A76D1D796D61736500C2A550A32FDD1D69168D3F8EECA6B663C8B7228D4F148BEA43CE2F76700FB02D02BDA11DB3903E790734EA364C929072D1D07 .......... DA3A52326DEDD69BD8A302083C0FD3F8E605A678A04DA45F1EBA33969C78EDBA390CE5E470EA3C8067B0BFEB5E54AD4FF5E04DE22F17DE"
B)- Je voudrais que tu puisses faire un petit cotrôle pour moi.
Il s'agit de vérifier si ces sous-clés (ou valeurs) sont encore présentes dans la base de registres:
--> [HKLM\SYSTEM\ControlSet001\Services]
"328dbfd3@F96ZK6nPB"=-
--> [HKLM\SYSTEM\CurrentControlSet\Services]
SKYNETfvumgexi@imagepath
Sais-tu comment faire ? Ne touche à rien si tu ne sais pas.
C)- Peux-tu maintenant lancer une analyse complète du PC avec ton AntiVir ?
Merci
Al.
Salut Al.
Tu es sur de ton alerte, car c'est 60 minutes normalement ( et sans que quelqu'un est fait "répondre à...")
N'aurai-tu pas été déconnecté, ça expliquerait l'absence d'outils?
Tu es sur de ton alerte, car c'est 60 minutes normalement ( et sans que quelqu'un est fait "répondre à...")
N'aurai-tu pas été déconnecté, ça expliquerait l'absence d'outils?
Salut F.
Content de te lire. ;)
Non, rien de cela.
Et mon post # 31 en question date de jeudi 13 août 2009 à 22:03:48
Il n'y a pas encore 1 heure.
Aucune déconnexion du Net non plus.
Mystère. ==> c'est correct maintenant (mais perdu pour le post # 31).
Bonne soirée à toi et aux amis modérateurs.
Albert
Content de te lire. ;)
Non, rien de cela.
Et mon post # 31 en question date de jeudi 13 août 2009 à 22:03:48
Il n'y a pas encore 1 heure.
Aucune déconnexion du Net non plus.
Mystère. ==> c'est correct maintenant (mais perdu pour le post # 31).
Bonne soirée à toi et aux amis modérateurs.
Albert
B)- Je voudrais que tu puisses faire un petit cotrôle pour moi.
Il s'agit de vérifier si ces sous-clés (ou valeurs) sont encore présentes dans la base de registres:
--> [HKLM\SYSTEM\ControlSet001\Services]
"328dbfd3@F96ZK6nPB"=-
--> [HKLM\SYSTEM\CurrentControlSet\Services]
SKYNETfvumgexi@imagepath
Sais-tu comment faire ? Ne touche à rien si tu ne sais pas.
Désolé je ne sais pas exactement comment faire, et je ne préfère pas le faire approximativement, c'est trop "dangereux" je pense.
Le scan est en train de se faire.
merci encore :)
Il s'agit de vérifier si ces sous-clés (ou valeurs) sont encore présentes dans la base de registres:
--> [HKLM\SYSTEM\ControlSet001\Services]
"328dbfd3@F96ZK6nPB"=-
--> [HKLM\SYSTEM\CurrentControlSet\Services]
SKYNETfvumgexi@imagepath
Sais-tu comment faire ? Ne touche à rien si tu ne sais pas.
Désolé je ne sais pas exactement comment faire, et je ne préfère pas le faire approximativement, c'est trop "dangereux" je pense.
Le scan est en train de se faire.
merci encore :)
Re,
Bien, merci de l'avouer.
Attendre la fin de l'analyse par AntiVir !!
1°- Comment faire une sauvegarde l'intégralité du registre
Mais très important avant de se lancer, il faut que tu fasses une sauvegarde de cette base de registre.
- Comme ceci:
• Cliquez sur Démarrer / Exécuter
• Dans le champ « Ouvrir » tapez : « regedit » et cliquez sur « OK ».
• Ne sélectionnez ( = mettre en surbrillance ) rien d'autre que le « Poste de travail » de la page qui s'affiche.
( Explication: Ici, dans la suite logique, le "Poste de travail" , est celui en tête de la liste des clés du registre ; puisqu’à cette étape, on est dans l’éditeur de registres )
• Dans le menu « Fichier » cliquez sur « Exporter.... »
• Dans le menu de gauche, choisissez de sauvegarder dans le BUREAU.
• Dans le champ "Nom de fichier" : tapez le nom de votre fichier de sauvegarde. (ex : registre1)
• Dans le champ déroulant "Type" , choisissez "Fichiers d’enregistrement (*.reg)".
< http://img252.imageshack.us/img252/8522/screenshot258es5.gif >
• Cochez la case (= le bouton ratio ) « Tout ».
• Cliquez sur [Enregistrer]… et patiente
Puis Quitter le registre.
L'icône du fichier de sauvegarde du Registre est maintenant sur le bureau
Si tu n’as pas compris suis le tuto en image : < https://www.generation-nt.com/sauvegardez-restaurez-la-base-de-registre-astuce-24586-1.html >
2°- Donc, pour accéder à la Base de registres, il faut cliquer sur "Démarrer" > "Exécuter" > saisir (= copier/coller REGEDIT dans la zone de saisie) REGEDIT puis [OK] et naviguer dans la plage de gauche en cliquant sur le + devant HKEY_LOCAL_MACHINE (en abrégé = HKLM)
Ensuite descendre jusque SYSTEM et cliquer sur +,
puis descendre jusque ControlSet001 et cliquer sur +,
puis descendre jusque Services là, cliquer sur le petit dossier jaune pour l'ouvrir
Dis-moi maintenant si tu vois, notamment cette ligne 328dbfd3@F96ZK6nPB dans la colonne de droite.
Merci
Al
Bien, merci de l'avouer.
Attendre la fin de l'analyse par AntiVir !!
1°- Comment faire une sauvegarde l'intégralité du registre
Mais très important avant de se lancer, il faut que tu fasses une sauvegarde de cette base de registre.
- Comme ceci:
• Cliquez sur Démarrer / Exécuter
• Dans le champ « Ouvrir » tapez : « regedit » et cliquez sur « OK ».
• Ne sélectionnez ( = mettre en surbrillance ) rien d'autre que le « Poste de travail » de la page qui s'affiche.
( Explication: Ici, dans la suite logique, le "Poste de travail" , est celui en tête de la liste des clés du registre ; puisqu’à cette étape, on est dans l’éditeur de registres )
• Dans le menu « Fichier » cliquez sur « Exporter.... »
• Dans le menu de gauche, choisissez de sauvegarder dans le BUREAU.
• Dans le champ "Nom de fichier" : tapez le nom de votre fichier de sauvegarde. (ex : registre1)
• Dans le champ déroulant "Type" , choisissez "Fichiers d’enregistrement (*.reg)".
< http://img252.imageshack.us/img252/8522/screenshot258es5.gif >
• Cochez la case (= le bouton ratio ) « Tout ».
• Cliquez sur [Enregistrer]… et patiente
Puis Quitter le registre.
L'icône du fichier de sauvegarde du Registre est maintenant sur le bureau
Si tu n’as pas compris suis le tuto en image : < https://www.generation-nt.com/sauvegardez-restaurez-la-base-de-registre-astuce-24586-1.html >
2°- Donc, pour accéder à la Base de registres, il faut cliquer sur "Démarrer" > "Exécuter" > saisir (= copier/coller REGEDIT dans la zone de saisie) REGEDIT puis [OK] et naviguer dans la plage de gauche en cliquant sur le + devant HKEY_LOCAL_MACHINE (en abrégé = HKLM)
Ensuite descendre jusque SYSTEM et cliquer sur +,
puis descendre jusque ControlSet001 et cliquer sur +,
puis descendre jusque Services là, cliquer sur le petit dossier jaune pour l'ouvrir
Dis-moi maintenant si tu vois, notamment cette ligne 328dbfd3@F96ZK6nPB dans la colonne de droite.
Merci
Al
D'accord, merci, j'attends la fin du scan, il va y en avoir pour encore un bon moment.
Je vais me couché en laissant tourné le pc.
@ demain.
Bonne nuit et merci encore et toujours ^^
Je vais me couché en laissant tourné le pc.
@ demain.
Bonne nuit et merci encore et toujours ^^
Finalement le scan s'est terminer plus tôt que prévu.
Voici une partie du rapport, dite moi s'il faut que je colle tout :
La recherche sur les fichiers sélectionnés commence :
Recherche débutant dans 'C:\'
C:\hiberfil.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\_328dbfd3_.sys.zip
[0] Type d'archive: ZIP
--> 328dbfd3.sys
[RESULTAT] Contient le modèle de détection du rootkit RKIT/Agent.maq
--> 328dbfd3.sys.1
[RESULTAT] Contient le modèle de détection du rootkit RKIT/Agent.maq
C:\System Volume Information\_restore{BC00196C-AF7A-44B5-A994-F518A2D660B5}\RP283\A0219244.sys
[RESULTAT] Contient le cheval de Troie TR/Trash.Gen
Recherche débutant dans 'D:\' <BACKUP>
D:\Tools\eTrust Antivirus7.1\eTrustAntivirusOEM\Bin\eAV_S.Win\webpkg.exe
[0] Type d'archive: RSRC
[AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
--> Object
[1] Type d'archive: CAB (Microsoft)
--> inoweb.exe
[AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
Recherche débutant dans 'E:\' <RECOVER>
Recherche débutant dans 'K:\' <Elements>
Début de la désinfection :
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\_328dbfd3_.sys.zip
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4ab69694.qua' !
C:\System Volume Information\_restore{BC00196C-AF7A-44B5-A994-F518A2D660B5}\RP283\A0219244.sys
[RESULTAT] Contient le cheval de Troie TR/Trash.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4ab69691.qua' !
Fin de la recherche : vendredi 14 août 2009 00:40
Temps nécessaire: 1:24:55 Heure(s)
La recherche a été effectuée intégralement
15731 Les répertoires ont été contrôlés
896361 Des fichiers ont été contrôlés
3 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
2 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
2 Impossible de contrôler des fichiers
896356 Fichiers non infectés
6479 Les archives ont été contrôlées
4 Avertissements
4 Consignes
64888 Des objets ont été contrôlés lors du Rootkitscan
0 Des objets cachés ont été trouvés
Je ferais les manipulations sur la base de registre demain, il est grand temps pour moi d'aller dormir ^^
Bonne nuit et @ demain !
Voici une partie du rapport, dite moi s'il faut que je colle tout :
La recherche sur les fichiers sélectionnés commence :
Recherche débutant dans 'C:\'
C:\hiberfil.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\_328dbfd3_.sys.zip
[0] Type d'archive: ZIP
--> 328dbfd3.sys
[RESULTAT] Contient le modèle de détection du rootkit RKIT/Agent.maq
--> 328dbfd3.sys.1
[RESULTAT] Contient le modèle de détection du rootkit RKIT/Agent.maq
C:\System Volume Information\_restore{BC00196C-AF7A-44B5-A994-F518A2D660B5}\RP283\A0219244.sys
[RESULTAT] Contient le cheval de Troie TR/Trash.Gen
Recherche débutant dans 'D:\' <BACKUP>
D:\Tools\eTrust Antivirus7.1\eTrustAntivirusOEM\Bin\eAV_S.Win\webpkg.exe
[0] Type d'archive: RSRC
[AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
--> Object
[1] Type d'archive: CAB (Microsoft)
--> inoweb.exe
[AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
Recherche débutant dans 'E:\' <RECOVER>
Recherche débutant dans 'K:\' <Elements>
Début de la désinfection :
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\_328dbfd3_.sys.zip
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4ab69694.qua' !
C:\System Volume Information\_restore{BC00196C-AF7A-44B5-A994-F518A2D660B5}\RP283\A0219244.sys
[RESULTAT] Contient le cheval de Troie TR/Trash.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4ab69691.qua' !
Fin de la recherche : vendredi 14 août 2009 00:40
Temps nécessaire: 1:24:55 Heure(s)
La recherche a été effectuée intégralement
15731 Les répertoires ont été contrôlés
896361 Des fichiers ont été contrôlés
3 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
2 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
2 Impossible de contrôler des fichiers
896356 Fichiers non infectés
6479 Les archives ont été contrôlées
4 Avertissements
4 Consignes
64888 Des objets ont été contrôlés lors du Rootkitscan
0 Des objets cachés ont été trouvés
Je ferais les manipulations sur la base de registre demain, il est grand temps pour moi d'aller dormir ^^
Bonne nuit et @ demain !
je te conseille d'instaler not32 sur ton pc , sé un entivirus gratuit ! et il est très éficase, sé lec meilleur en se moment .
Ah ok ^^' Dommage, je pensais que c'était celle là qui serait intéressante lol.
Voici le scan en entier :
Avira AntiVir Personal
Date de création du fichier de rapport : jeudi 13 août 2009 22:56
La recherche porte sur 1633098 souches de virus.
Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows XP
Version de Windows : (Service Pack 3) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur : RÉMYLENAIN
Informations de version :
BUILD.DAT : 9.0.0.66 17958 Bytes 17/06/2009 14:44:00
AVSCAN.EXE : 9.0.3.6 466689 Bytes 21/04/2009 12:20:54
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 11:30:36
ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24/06/2009 21:57:39
ANTIVIR2.VDF : 7.1.5.88 2668032 Bytes 10/08/2009 07:54:29
ANTIVIR3.VDF : 7.1.5.101 208384 Bytes 12/08/2009 07:54:39
Version du moteur : 8.2.1.0
AEVDF.DLL : 8.1.1.1 106868 Bytes 05/05/2009 18:56:45
AESCRIPT.DLL : 8.1.2.24 459131 Bytes 12/08/2009 07:55:50
AESCN.DLL : 8.1.2.4 127348 Bytes 23/07/2009 07:09:24
AERDL.DLL : 8.1.2.4 430452 Bytes 15/07/2009 12:30:10
AEPACK.DLL : 8.1.3.18 401783 Bytes 03/06/2009 19:45:48
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 19/06/2009 11:03:13
AEHEUR.DLL : 8.1.0.154 1917302 Bytes 12/08/2009 07:55:22
AEHELP.DLL : 8.1.5.3 233846 Bytes 23/07/2009 07:09:24
AEGEN.DLL : 8.1.1.56 356725 Bytes 12/08/2009 07:54:46
AEEMU.DLL : 8.1.0.9 393588 Bytes 09/10/2008 13:32:40
AECORE.DLL : 8.1.7.6 184694 Bytes 23/07/2009 07:09:22
AEBB.DLL : 8.1.0.3 53618 Bytes 09/10/2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30
AVPREF.DLL : 9.0.0.1 43777 Bytes 03/12/2008 10:39:26
AVREP.DLL : 8.0.0.3 155905 Bytes 20/01/2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 13/07/2009 09:26:02
RCTEXT.DLL : 9.0.37.0 88321 Bytes 15/04/2009 09:07:05
Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, D:, E:, K:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Recherche optimisée...........................: marche
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen
Début de la recherche : jeudi 13 août 2009 22:56
La recherche d'objets cachés commence.
'64888' objets ont été contrôlés, '0' objets cachés ont été trouvés.
La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmplayer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wscntfy.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmiapsrv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'CLSched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'X10nets.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RichVideo.exe' - '1' module(s) sont contrôlés
Processus de recherche 'nvsvc32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SuperCopier2.exe' - '1' module(s) sont contrôlés
Processus de recherche 'CLMLServer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'CLCapSvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RTHDCPL.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SynTPEnh.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'36' processus ont été contrôlés avec '36' modules
La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD1
[INFO] Aucun virus trouvé !
La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'D:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'E:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'K:\'
[INFO] Aucun virus trouvé !
La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '52' fichiers).
La recherche sur les fichiers sélectionnés commence :
Recherche débutant dans 'C:\'
C:\hiberfil.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\_328dbfd3_.sys.zip
[0] Type d'archive: ZIP
--> 328dbfd3.sys
[RESULTAT] Contient le modèle de détection du rootkit RKIT/Agent.maq
--> 328dbfd3.sys.1
[RESULTAT] Contient le modèle de détection du rootkit RKIT/Agent.maq
C:\System Volume Information\_restore{BC00196C-AF7A-44B5-A994-F518A2D660B5}\RP283\A0219244.sys
[RESULTAT] Contient le cheval de Troie TR/Trash.Gen
Recherche débutant dans 'D:\' <BACKUP>
D:\Tools\eTrust Antivirus7.1\eTrustAntivirusOEM\Bin\eAV_S.Win\webpkg.exe
[0] Type d'archive: RSRC
[AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
--> Object
[1] Type d'archive: CAB (Microsoft)
--> inoweb.exe
[AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
Recherche débutant dans 'E:\' <RECOVER>
Recherche débutant dans 'K:\' <Elements>
Début de la désinfection :
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\_328dbfd3_.sys.zip
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4ab69694.qua' !
C:\System Volume Information\_restore{BC00196C-AF7A-44B5-A994-F518A2D660B5}\RP283\A0219244.sys
[RESULTAT] Contient le cheval de Troie TR/Trash.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4ab69691.qua' !
Fin de la recherche : vendredi 14 août 2009 00:40
Temps nécessaire: 1:24:55 Heure(s)
La recherche a été effectuée intégralement
15731 Les répertoires ont été contrôlés
896361 Des fichiers ont été contrôlés
3 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
2 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
2 Impossible de contrôler des fichiers
896356 Fichiers non infectés
6479 Les archives ont été contrôlées
4 Avertissements
4 Consignes
64888 Des objets ont été contrôlés lors du Rootkitscan
0 Des objets cachés ont été trouvés
Kiki :
Je te conseille d'instaler not32 sur ton pc , sé un entivirus gratuit ! et il est très éficase, sé lec meilleur en se moment .
Euh désolé mais je suis très satisfait d'Antivir d'Avira, il est gratuit également, et a part ce root-kit, je n'avais encore jamais eu de problème avec (surtout que niveau téléchargement et site un peu bizarre, je suis plutôt sérieux et assez parano donc ^^)
De plus, ce n'est pas pour être méchant mais ton orthographe ne donne pas envie de te faire confiance, je ne dis pas que je suis très bon (bien au contraire ^^) mais les "sé" etc font trop sms désolé.
Enfin quand on fait quelques recherches sur google, Not32 n'a pas l'air si génial, il y a bien noD32 qui est dit comme le meilleur anti-virus 2007 mais bon.
Merci quand même de vouloir aidé.
Pour afideg :
2°- Donc, pour accéder à la Base de registres, il faut cliquer sur "Démarrer" > "Exécuter" > saisir (= copier/coller REGEDIT dans la zone de saisie) REGEDIT puis [OK] et naviguer dans la plage de gauche en cliquant sur le + devant HKEY_LOCAL_MACHINE (en abrégé = HKLM)
Ensuite descendre jusque SYSTEM et cliquer sur +,
puis descendre jusque ControlSet001 et cliquer sur +,
puis descendre jusque Services là, cliquer sur le petit dossier jaune pour l'ouvrir
Dis-moi maintenant si tu vois, notamment cette ligne 328dbfd3@F96ZK6nPB dans la colonne de droite.
Non c'est bon je ne vois ni 328dbfd3@F96ZK6nPB ni un Skynet@xxxxxx nul part dans service (il n'y a que "par défaut" dedans)
Et merci encore à gen-hackman, et afideg de m'aider, c'est très gentil de votre part.
Voici le scan en entier :
Avira AntiVir Personal
Date de création du fichier de rapport : jeudi 13 août 2009 22:56
La recherche porte sur 1633098 souches de virus.
Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows XP
Version de Windows : (Service Pack 3) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur : RÉMYLENAIN
Informations de version :
BUILD.DAT : 9.0.0.66 17958 Bytes 17/06/2009 14:44:00
AVSCAN.EXE : 9.0.3.6 466689 Bytes 21/04/2009 12:20:54
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 11:30:36
ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24/06/2009 21:57:39
ANTIVIR2.VDF : 7.1.5.88 2668032 Bytes 10/08/2009 07:54:29
ANTIVIR3.VDF : 7.1.5.101 208384 Bytes 12/08/2009 07:54:39
Version du moteur : 8.2.1.0
AEVDF.DLL : 8.1.1.1 106868 Bytes 05/05/2009 18:56:45
AESCRIPT.DLL : 8.1.2.24 459131 Bytes 12/08/2009 07:55:50
AESCN.DLL : 8.1.2.4 127348 Bytes 23/07/2009 07:09:24
AERDL.DLL : 8.1.2.4 430452 Bytes 15/07/2009 12:30:10
AEPACK.DLL : 8.1.3.18 401783 Bytes 03/06/2009 19:45:48
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 19/06/2009 11:03:13
AEHEUR.DLL : 8.1.0.154 1917302 Bytes 12/08/2009 07:55:22
AEHELP.DLL : 8.1.5.3 233846 Bytes 23/07/2009 07:09:24
AEGEN.DLL : 8.1.1.56 356725 Bytes 12/08/2009 07:54:46
AEEMU.DLL : 8.1.0.9 393588 Bytes 09/10/2008 13:32:40
AECORE.DLL : 8.1.7.6 184694 Bytes 23/07/2009 07:09:22
AEBB.DLL : 8.1.0.3 53618 Bytes 09/10/2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30
AVPREF.DLL : 9.0.0.1 43777 Bytes 03/12/2008 10:39:26
AVREP.DLL : 8.0.0.3 155905 Bytes 20/01/2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 13/07/2009 09:26:02
RCTEXT.DLL : 9.0.37.0 88321 Bytes 15/04/2009 09:07:05
Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, D:, E:, K:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Recherche optimisée...........................: marche
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen
Début de la recherche : jeudi 13 août 2009 22:56
La recherche d'objets cachés commence.
'64888' objets ont été contrôlés, '0' objets cachés ont été trouvés.
La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmplayer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wscntfy.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmiapsrv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'CLSched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'X10nets.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RichVideo.exe' - '1' module(s) sont contrôlés
Processus de recherche 'nvsvc32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SuperCopier2.exe' - '1' module(s) sont contrôlés
Processus de recherche 'CLMLServer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'CLCapSvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RTHDCPL.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SynTPEnh.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'36' processus ont été contrôlés avec '36' modules
La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD1
[INFO] Aucun virus trouvé !
La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'D:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'E:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'K:\'
[INFO] Aucun virus trouvé !
La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '52' fichiers).
La recherche sur les fichiers sélectionnés commence :
Recherche débutant dans 'C:\'
C:\hiberfil.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\_328dbfd3_.sys.zip
[0] Type d'archive: ZIP
--> 328dbfd3.sys
[RESULTAT] Contient le modèle de détection du rootkit RKIT/Agent.maq
--> 328dbfd3.sys.1
[RESULTAT] Contient le modèle de détection du rootkit RKIT/Agent.maq
C:\System Volume Information\_restore{BC00196C-AF7A-44B5-A994-F518A2D660B5}\RP283\A0219244.sys
[RESULTAT] Contient le cheval de Troie TR/Trash.Gen
Recherche débutant dans 'D:\' <BACKUP>
D:\Tools\eTrust Antivirus7.1\eTrustAntivirusOEM\Bin\eAV_S.Win\webpkg.exe
[0] Type d'archive: RSRC
[AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
--> Object
[1] Type d'archive: CAB (Microsoft)
--> inoweb.exe
[AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
Recherche débutant dans 'E:\' <RECOVER>
Recherche débutant dans 'K:\' <Elements>
Début de la désinfection :
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\_328dbfd3_.sys.zip
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4ab69694.qua' !
C:\System Volume Information\_restore{BC00196C-AF7A-44B5-A994-F518A2D660B5}\RP283\A0219244.sys
[RESULTAT] Contient le cheval de Troie TR/Trash.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4ab69691.qua' !
Fin de la recherche : vendredi 14 août 2009 00:40
Temps nécessaire: 1:24:55 Heure(s)
La recherche a été effectuée intégralement
15731 Les répertoires ont été contrôlés
896361 Des fichiers ont été contrôlés
3 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
2 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
2 Impossible de contrôler des fichiers
896356 Fichiers non infectés
6479 Les archives ont été contrôlées
4 Avertissements
4 Consignes
64888 Des objets ont été contrôlés lors du Rootkitscan
0 Des objets cachés ont été trouvés
Kiki :
Je te conseille d'instaler not32 sur ton pc , sé un entivirus gratuit ! et il est très éficase, sé lec meilleur en se moment .
Euh désolé mais je suis très satisfait d'Antivir d'Avira, il est gratuit également, et a part ce root-kit, je n'avais encore jamais eu de problème avec (surtout que niveau téléchargement et site un peu bizarre, je suis plutôt sérieux et assez parano donc ^^)
De plus, ce n'est pas pour être méchant mais ton orthographe ne donne pas envie de te faire confiance, je ne dis pas que je suis très bon (bien au contraire ^^) mais les "sé" etc font trop sms désolé.
Enfin quand on fait quelques recherches sur google, Not32 n'a pas l'air si génial, il y a bien noD32 qui est dit comme le meilleur anti-virus 2007 mais bon.
Merci quand même de vouloir aidé.
Pour afideg :
2°- Donc, pour accéder à la Base de registres, il faut cliquer sur "Démarrer" > "Exécuter" > saisir (= copier/coller REGEDIT dans la zone de saisie) REGEDIT puis [OK] et naviguer dans la plage de gauche en cliquant sur le + devant HKEY_LOCAL_MACHINE (en abrégé = HKLM)
Ensuite descendre jusque SYSTEM et cliquer sur +,
puis descendre jusque ControlSet001 et cliquer sur +,
puis descendre jusque Services là, cliquer sur le petit dossier jaune pour l'ouvrir
Dis-moi maintenant si tu vois, notamment cette ligne 328dbfd3@F96ZK6nPB dans la colonne de droite.
Non c'est bon je ne vois ni 328dbfd3@F96ZK6nPB ni un Skynet@xxxxxx nul part dans service (il n'y a que "par défaut" dedans)
Et merci encore à gen-hackman, et afideg de m'aider, c'est très gentil de votre part.
Suis-je totalement guérie ? Je peux mettre "Résolu" ?
Edit : j'avais oublié de préciser pour :
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
"OODEFRAG08.00.00.01WORKSTATION"="852BCB265112F642F5D9A91B6240BE2BD8B0215E4A76D1D796D61736500C2A550A32FDD1D69168D3F8EECA6B663C8B7228D4F148BEA43CE2F76700FB02D02BDA11DB3903E790734EA364C929072D1D07 .......... DA3A52326DEDD69BD8A302083C0FD3F8E605A678A04DA45F1EBA33969C78EDBA390CE5E470EA3C8067B0BFEB5E54AD4FF5E04DE22F17DE"
OODEFRAG est un defragmenteur de disque que j'ai depuis un bon moment maintenant mais qui me satisfait toujours.
Dois-je le désinstallé ?
Edit : j'avais oublié de préciser pour :
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
"OODEFRAG08.00.00.01WORKSTATION"="852BCB265112F642F5D9A91B6240BE2BD8B0215E4A76D1D796D61736500C2A550A32FDD1D69168D3F8EECA6B663C8B7228D4F148BEA43CE2F76700FB02D02BDA11DB3903E790734EA364C929072D1D07 .......... DA3A52326DEDD69BD8A302083C0FD3F8E605A678A04DA45F1EBA33969C78EDBA390CE5E470EA3C8067B0BFEB5E54AD4FF5E04DE22F17DE"
OODEFRAG est un defragmenteur de disque que j'ai depuis un bon moment maintenant mais qui me satisfait toujours.
Dois-je le désinstallé ?
