A voir également:
- Gen.TDSS!IK * 29 sur mon pc help
- Test performance pc - Guide
- Plus de son sur mon pc - Guide
- Mon pc rame que faire - Guide
- Reinitialiser pc - Guide
- Mon pc s'allume mais ne démarre pas windows 10 - Guide
12 réponses
Utilisateur anonyme
15 août 2009 à 16:08
15 août 2009 à 16:08
bonjour :
Desactive la protection residente de ton antivirus et ton parefeu si present , le temps du scan
Telecharge List'em et enregistre-le sur ton bureau et pas ailleurs
double-clic (Pour vista clic droit "executer en tant qu'administrateur")sur l'icone présent sur le bureau pour le lancer
laisse travailler l'outil, le scan devrait durer moins de 10 mn
une fois le scan Terminé le rapport s'affiche
colle son contenu si des fichiers sont detectés dans ta prochaine reponse ici.
ensuite :
/!\ ATTENTION SUIVRE SCRUPULEUSEMENT A LA LETTRE CES INDICATIONS/!\
▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe"
_________________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================
▶ On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Avant d'utiliser ComboFix :
______________________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°
▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!
▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
>> Reviens sur le forum, et
▶ copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
Desactive la protection residente de ton antivirus et ton parefeu si present , le temps du scan
Telecharge List'em et enregistre-le sur ton bureau et pas ailleurs
double-clic (Pour vista clic droit "executer en tant qu'administrateur")sur l'icone présent sur le bureau pour le lancer
laisse travailler l'outil, le scan devrait durer moins de 10 mn
une fois le scan Terminé le rapport s'affiche
colle son contenu si des fichiers sont detectés dans ta prochaine reponse ici.
ensuite :
/!\ ATTENTION SUIVRE SCRUPULEUSEMENT A LA LETTRE CES INDICATIONS/!\
▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe"
_________________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================
▶ On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Avant d'utiliser ComboFix :
______________________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°
▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!
▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
>> Reviens sur le forum, et
▶ copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
Utilisateur anonyme
15 août 2009 à 16:53
15 août 2009 à 16:53
oui
tu as le cd de windows ?
tu as le cd de windows ?
sloan17
Messages postés
8
Date d'inscription
samedi 15 août 2009
Statut
Membre
Dernière intervention
15 août 2009
15 août 2009 à 16:59
15 août 2009 à 16:59
argh non je sent que ce la vas pas me plaire :s
Utilisateur anonyme
15 août 2009 à 17:03
15 août 2009 à 17:03
de plus tu n'as absolument pas suivi les indications que je t'ai donné pour utiliser Combofix
tu as telechargé , executé , et rien calculé !!
tu as telechargé , executé , et rien calculé !!
sloan17
Messages postés
8
Date d'inscription
samedi 15 août 2009
Statut
Membre
Dernière intervention
15 août 2009
15 août 2009 à 17:06
15 août 2009 à 17:06
donc si je comprend bien je doit tout refaire ????
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
sloan17
Messages postés
8
Date d'inscription
samedi 15 août 2009
Statut
Membre
Dernière intervention
15 août 2009
15 août 2009 à 17:16
15 août 2009 à 17:16
je vien de relire vos instruction s mais je ne vois pas l etape que g louper ???
Utilisateur anonyme
15 août 2009 à 17:18
15 août 2009 à 17:18
non mais maintenant ca a fracassé des fichiers de windows j'ai l impression
pour listem :
apparemment tu n as pas deactivé l'antivirus
Pour Combofix :
il n'a pas ete renommé comme demandé
il a ete executé avec l'antivirus actif
la console de recuperation n'a pas ete installée
controle s'il te manque vraiment ces trois fichiers :
h:\windows\system32\ctfmon.exe
h:\windows\system32\msgsvc.dll
h:\windows\system32\wscntfy.exe
pour listem :
apparemment tu n as pas deactivé l'antivirus
Pour Combofix :
il n'a pas ete renommé comme demandé
il a ete executé avec l'antivirus actif
la console de recuperation n'a pas ete installée
controle s'il te manque vraiment ces trois fichiers :
h:\windows\system32\ctfmon.exe
h:\windows\system32\msgsvc.dll
h:\windows\system32\wscntfy.exe
sloan17
Messages postés
8
Date d'inscription
samedi 15 août 2009
Statut
Membre
Dernière intervention
15 août 2009
15 août 2009 à 17:28
15 août 2009 à 17:28
je les ais trouver ils etait present
Utilisateur anonyme
15 août 2009 à 17:37
15 août 2009 à 17:37
bien :
Télécharge OTL de OLDTimer
▶ enregistre le sur ton Bureau.
▶ Double clic sur OTL.exe pour le lancer.
▶ Coche les 2 cases Lop et Purity
▶ Coche la case devant scan all users
▶ règle-le sur "60 Days"
▶Clic sur Run Scan.
A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).
Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)
▶▶▶ NE LE POSTE PAS SUR LE FORUM
Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/
▶ Clique sur Parcourir et cherche le fichier ci-dessus.
▶ Clique sur Ouvrir.
▶ Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
est ajouté dans la page.
▶ Copie ce lien dans ta réponse.
Tu feras la meme chose avec le "Extra.txt".
Télécharge OTL de OLDTimer
▶ enregistre le sur ton Bureau.
▶ Double clic sur OTL.exe pour le lancer.
▶ Coche les 2 cases Lop et Purity
▶ Coche la case devant scan all users
▶ règle-le sur "60 Days"
▶Clic sur Run Scan.
A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).
Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)
▶▶▶ NE LE POSTE PAS SUR LE FORUM
Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/
▶ Clique sur Parcourir et cherche le fichier ci-dessus.
▶ Clique sur Ouvrir.
▶ Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
est ajouté dans la page.
▶ Copie ce lien dans ta réponse.
Tu feras la meme chose avec le "Extra.txt".
sloan17
Messages postés
8
Date d'inscription
samedi 15 août 2009
Statut
Membre
Dernière intervention
15 août 2009
15 août 2009 à 17:43
15 août 2009 à 17:43
je ferme toutes les aplication avant ???
Utilisateur anonyme
15 août 2009 à 17:44
15 août 2009 à 17:44
surtout les pages internet stp
sloan17
Messages postés
8
Date d'inscription
samedi 15 août 2009
Statut
Membre
Dernière intervention
15 août 2009
15 août 2009 à 18:20
15 août 2009 à 18:20
je v devoir aller bosser on peut poursuivre demain ou lundi suivant vos disponibilter ???
sloan17
Messages postés
8
Date d'inscription
samedi 15 août 2009
Statut
Membre
Dernière intervention
15 août 2009
15 août 2009 à 17:53
15 août 2009 à 17:53
voici les deux lien :
http://www.cijoint.fr/cjlink.php?file=cj200908/cijDnbAb05.txt
http://www.cijoint.fr/cjlink.php?file=cj200908/cij8gNrDMT.txt
...
http://www.cijoint.fr/cjlink.php?file=cj200908/cijDnbAb05.txt
http://www.cijoint.fr/cjlink.php?file=cj200908/cij8gNrDMT.txt
...
Utilisateur anonyme
15 août 2009 à 18:21
15 août 2009 à 18:21
pas de souci tu feras ceci :
▶ Télécharge Ad-remover ( de C_XX ) sur ton bureau :
▶ Déconnecte toi et ferme toutes applications en cours !
▶ Double clique sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut .
▶ Double-clique sur le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
▶ Au menu principal choisis l'option "L" et tape sur [entrée] .
▶ Laisse travailler l'outil et ne touche à rien ...
▶ Poste le rapport qui apparait à la fin , sur le forum ...
( Le rapport est sauvegardé aussi sous C:\Ad-report.log )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
▶ Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
▶ Télécharge Ad-remover ( de C_XX ) sur ton bureau :
▶ Déconnecte toi et ferme toutes applications en cours !
▶ Double clique sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut .
▶ Double-clique sur le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
▶ Au menu principal choisis l'option "L" et tape sur [entrée] .
▶ Laisse travailler l'outil et ne touche à rien ...
▶ Poste le rapport qui apparait à la fin , sur le forum ...
( Le rapport est sauvegardé aussi sous C:\Ad-report.log )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
▶ Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
15 août 2009 à 16:47
list'em:
List'em by g3n-h@ckm@n 1.0.1.6
15/08/2009 16:20:53,59
Microsoft Windows XP [version 5.1.2600]
Infections possibles
¤¤¤¤¤¤¤¤¤¤ Fichiers et dossiers presents : ¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤ Clés de registre Presentes : ¤¤¤¤¤¤¤¤¤¤
et ensuite combofix:
ComboFix 09-08-10.06 - sloan 15/08/2009 16:30.1.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.1023.716 [GMT 2:00]
Running from: h:\documents and settings\sloan\Bureau\ComboFix.exe
* Resident AV is active
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
H:\Autorun.inf
h:\documents and settings\sloan\Application Data\.#
h:\documents and settings\sloan\Application Data\.#\MBX@1D74@A141A8.###
h:\documents and settings\sloan\Application Data\.#\MBX@1D74@A141D8.###
h:\documents and settings\sloan\Application Data\.#\MBX@1D74@A14208.###
h:\documents and settings\sloan\Local Settings\Application Data\ewemgoy.dat
h:\documents and settings\sloan\Local Settings\Application Data\ewemgoy_nav.dat
h:\documents and settings\sloan\Local Settings\Application Data\ewemgoy_navps.dat
h:\documents and settings\sloan\Local Settings\Application Data\gsywimo.dat
h:\documents and settings\sloan\Local Settings\Application Data\gsywimo_nav.dat
h:\documents and settings\sloan\Local Settings\Application Data\gsywimo_navps.dat
h:\recycler\S-1-5-21-7052228394-1415672210-286476908-1235
h:\recycler\S-1-5-21-9519498284-1012135478-474006297-9328
h:\windows\system32\drivers\gxvxcnesnalkkravunhnmiaacbpsjyuhdctav.sys
h:\windows\system32\gxvxccounter
h:\windows\system32\gxvxcxduhnergxupsxtpwvsalhdblydrharvp.dll
h:\windows\system32\msconfig.exe
Y:\autorun.inf
Z:\Autorun.inf
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Service_gxvxcserv.sys
-------\Legacy_gxvxcserv.sys
((((((((((((((((((((((((( Files Created from 2009-07-15 to 2009-08-15 )))))))))))))))))))))))))))))))
.
2009-08-15 14:20 . 2009-08-15 14:20 -------- d-----w- H:\List'em
2009-08-15 14:02 . 2009-08-15 14:02 -------- d-----w- h:\program files\JRE
2009-08-15 13:04 . 2009-08-15 13:04 -------- d-----w- h:\program files\Trend Micro
2009-08-15 13:01 . 2009-08-15 13:01 -------- d-----w- H:\!KillBox
2009-08-11 22:51 . 2009-08-11 22:51 -------- d-----w- h:\documents and settings\sloan\Application Data\Hamachi
2009-08-11 14:06 . 2009-08-11 14:06 -------- d-----w- h:\program files\iPod
2009-08-11 14:06 . 2009-08-11 14:06 -------- d-----w- h:\program files\iTunes
2009-08-11 14:00 . 2009-08-11 14:00 75040 ----a-w- h:\documents and settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 8.2.1.6\SetupAdmin.exe
2009-08-09 13:12 . 2009-08-10 00:04 -------- d-----r- H:\Warcraft III
2009-08-09 12:21 . 2009-08-09 13:15 32105 ----a-w- h:\windows\War3Unin.dat
2009-08-09 12:21 . 2009-08-09 13:15 2829 ----a-w- h:\windows\War3Unin.pif
2009-08-09 12:21 . 2009-08-09 13:15 126976 ----a-w- h:\windows\War3Unin.exe
2009-08-04 19:49 . 2009-08-04 19:49 -------- d-----w- h:\documents and settings\WTrust-Enigma\Application Data\vlc
2009-08-02 14:19 . 2009-08-14 23:47 -------- d-----w- h:\documents and settings\sloan\Application Data\vlc
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-15 14:04 . 2009-05-17 12:11 1 ----a-w- h:\documents and settings\sloan\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2009-08-15 14:02 . 2009-04-30 12:56 -------- d-----w- h:\program files\OpenOffice.org 3
2009-08-15 12:56 . 2008-11-12 17:32 -------- d-----w- h:\documents and settings\All Users\Application Data\Google Updater
2009-08-15 12:31 . 2009-02-17 22:45 -------- d-----w- h:\program files\a-squared Free
2009-08-14 14:01 . 2009-04-19 12:55 -------- d-----w- h:\documents and settings\All Users\Application Data\CanonIJ
2009-08-14 14:00 . 2009-04-19 12:33 -------- d-----w- h:\documents and settings\All Users\Application Data\CanonIJPLM
2009-08-13 13:27 . 2008-04-03 10:18 90112 ----a-w- h:\windows\DUMP2470.tmp
2009-08-11 14:06 . 2008-09-07 13:30 -------- d-----w- h:\program files\Fichiers communs\Apple
2009-08-07 22:53 . 2008-04-03 10:18 90112 ----a-w- h:\windows\DUMP227c.tmp
2009-08-06 13:26 . 2008-09-09 11:56 -------- d-----w- h:\documents and settings\sloan\Application Data\uTorrent
2009-08-03 19:10 . 2009-06-18 22:15 -------- d-----w- h:\documents and settings\sloan\Application Data\dvdcss
2009-08-03 18:51 . 2008-04-03 09:58 -------- d--h--w- h:\program files\InstallShield Installation Information
2009-08-03 16:06 . 2008-10-12 14:45 -------- d-----w- h:\program files\Glary Utilities
2009-08-02 13:46 . 2009-05-13 13:07 25992 ----a-w- h:\windows\system32\pgdfgsvc.exe
2009-08-02 12:22 . 2008-04-03 20:01 -------- d-----w- h:\documents and settings\WTrust-Enigma\Application Data\teamspeak2
2009-07-25 23:04 . 2009-07-15 13:07 -------- d-----w- h:\program files\C-Media USB 106 Sound
2009-07-08 15:02 . 2008-04-03 10:06 67912 ----a-w- h:\documents and settings\WTrust-Enigma\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-07-08 09:13 . 2009-02-04 14:02 -------- d-----w- h:\documents and settings\All Users\Application Data\NOS
2009-07-08 07:00 . 2009-02-04 14:02 -------- d-----w- h:\program files\NOS
2009-07-07 12:02 . 2009-07-07 12:02 -------- d-----w- h:\program files\devolo
2009-06-25 17:25 . 2008-10-12 14:49 -------- d-----w- h:\documents and settings\sloan\Application Data\GlarySoft
2009-06-25 17:23 . 2009-01-11 00:26 -------- d-----w- h:\documents and settings\WTrust-Enigma\Application Data\Skype
2009-06-25 17:23 . 2008-04-04 21:21 -------- d-----w- h:\program files\WowCartographe
2009-06-25 17:23 . 2008-04-03 10:17 -------- d-----w- h:\documents and settings\WTrust-Enigma\Application Data\uTorrent
2009-06-25 17:23 . 2008-04-03 08:29 -------- d-----w- h:\program files\Notepad++
2009-06-02 16:23 . 2008-09-09 11:51 67912 ----a-w- h:\documents and settings\sloan\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- h:\program files\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- h:\program files\mozilla firefox\plugins\ssldivx.dll
.
------- Sigcheck -------
[-] 2008-04-14 02:33 579584 E853F84D3CE2FAA2A802E33CF89AC023 h:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\user32.dll
[-] 2007-08-10 02:47 636416 39AD2A0B2E445C2A9E2E48ADBD03058F h:\windows\system32\user32.dll
[-] 2008-04-13 19:20 361344 93EA8D04EC73A85DB02EB8805988F733 h:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\tcpip.sys
[-] 2008-06-20 10:45 360320 2A5554FC5B1E04E131230E3CE035C3F9 h:\windows\SoftwareDistribution\Download\7b6e084e897a416dad6204fec54d1e00\SP2GDR\tcpip.sys
[-] 2008-06-20 10:44 360960 744E57C99232201AE98C49168B918F48 h:\windows\SoftwareDistribution\Download\7b6e084e897a416dad6204fec54d1e00\SP2QFE\tcpip.sys
[-] 2008-06-20 11:51 361600 9AEFA14BD6B182D61E3119FA5F436D3D h:\windows\SoftwareDistribution\Download\7b6e084e897a416dad6204fec54d1e00\SP3GDR\tcpip.sys
[-] 2008-06-20 11:59 361600 AD978A1B783B5719720CFF204B666C8E h:\windows\SoftwareDistribution\Download\7b6e084e897a416dad6204fec54d1e00\SP3QFE\tcpip.sys
[-] 2007-08-10 02:48 360576 BB4D3A8E6F7EB1D370BC4AD27AB23368 h:\windows\system32\drivers\tcpip.sys
[-] 2008-04-14 02:07 2067968 B71A8F101CEFAF82FC5EC16130A54A3F h:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\ntkrnlpa.exe
[-] 2007-08-10 02:54 2159104 A49AACB13D01A8F5295006A5A13BC841 h:\windows\system32\ntkrnlpa.exe
[-] 2008-04-14 02:08 2191104 099D639DA1EF6968D4E41795BB507E6B h:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\ntoskrnl.exe
[-] 2007-08-10 02:48 2279424 837A42A2196A02AB0DE3993516EC9F75 h:\windows\system32\ntoskrnl.exe
[-] 2007-08-10 02:47 1016832 7A0ADBFEC6AB00F73EDD829FF1709F0B h:\windows\explorer.exe
[-] 2008-04-14 02:34 1037824 F2317622D29F9FF0F88AEECD5F60F0DD h:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\explorer.exe
[-] 2008-04-14 02:33 15360 59DC5BB82E4C8E0B3EADCFDBC44BA6E4 h:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\ctfmon.exe
[-] 2008-04-14 02:33 851968 F4B7146C7EED6C4E158DCD9B5266C25A h:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\comres.dll
[-] 2007-08-10 02:46 1450496 36C879188154FE3FF796A6FA1B737628 h:\windows\system32\comres.dll
[-] 2008-04-14 02:33 33792 E67A66A3781C1A483F0F8992664CBE0D h:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\msgsvc.dll
[-] 2008-04-14 02:34 13824 02DA31AB433A6C1110A736C85701DECA h:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\wscntfy.exe
[-] 2008-04-14 02:33 1571840 E17C85D5B5CF477638433B851A98499E h:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\sfcfiles.dll
[-] 2007-08-09 23:59 1548288 528A7BCF9F41D64A1B8631AF89917567 h:\windows\system32\sfcfiles.dll
h:\windows\system32\ctfmon.exe ... is missing !!
h:\windows\system32\msgsvc.dll ... is missing !!
h:\windows\system32\wscntfy.exe ... is missing !!
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]
2008-07-17 15:20 279944 ----a-w- h:\program files\AskBarDis\bar\bin\askBar.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{3041d03e-fd4b-44e0-b742-2d9b88305f98}"= "h:\program files\AskBarDis\bar\bin\askBar.dll" [2008-07-17 279944]
[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{3041D03E-FD4B-44E0-B742-2D9B88305F98}"= "h:\program files\AskBarDis\bar\bin\askBar.dll" [2008-07-17 279944]
[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ccleaner"="h:\program files\CCleaner\CCleaner.exe" [2009-07-27 1644784]
"msnmsgr"="h:\program files\MSN Messenger\msnmsgr.exe" [2007-01-19 5674352]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nod32kui"="h:\program files\Eset\nod32kui.exe" [2008-04-03 949376]
"NvCplDaemon"="h:\windows\system32\NvCpl.dll" [2008-09-17 13574144]
"NvMediaCenter"="h:\windows\system32\NvMcTray.dll" [2008-09-17 86016]
"SunJavaUpdateSched"="h:\program files\Java\jre6\bin\jusched.exe" [2009-05-04 148888]
"avgnt"="h:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Adobe Reader Speed Launcher"="h:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"AppleSyncNotifier"="h:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2009-05-13 177472]
"iTunesHelper"="h:\program files\iTunes\iTunesHelper.exe" [2009-07-13 292128]
"QuickTime Task"="h:\program files\QuickTime\qttask.exe" [2009-05-26 413696]
"nwiz"="nwiz.exe" - h:\windows\system32\nwiz.exe [2008-09-17 1657376]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" - h:\windows\system32\HdAShCut.exe [2005-01-07 61952]
h:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma Loader.lnk - h:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2009-5-17 113664]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SynchronousMachineGroupPolicy"= 0 (0x0)
"SynchronousUserGroupPolicy"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 1 (0x1)
"HideRunAsVerb"= 1 (0x1)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)
"ForceClassicControlPanel"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
"NoStrCmpLogical"= 0 (0x0)
"NoWelcomeScreen"= 1 (0x1)
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)
"ForceClassicControlPanel"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
"NoStrCmpLogical"= 0 (0x0)
"NoWelcomeScreen"= 1 (0x1)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WB]
2001-12-20 22:34 24576 ----a-w- h:\program files\Stardock\Object Desktop\ThemeManager\fastload.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=h:\windows\system32\wbsys.dll
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"SeaPort"=2 (0x2)
"Nero BackItUp Scheduler 4.0"=2 (0x2)
"NBService"=3 (0x3)
"iPod Service"=3 (0x3)
"gusvc"=2 (0x2)
"Apple Mobile Device"=2 (0x2)
"a2free"=2 (0x2)
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-disabled]
"SSBkgdUpdate"="h:\program files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
"ControlCenter2.0"=h:\program files\Brother\ControlCenter2\brctrcen.exe /autorun
"iTunesHelper"="h:\program files\iTunes\iTunesHelper.exe"
"SetDefPrt"=h:\program files\Brother\Brmfl05a\BrStDvPt.exe
"QuickTime Task"="h:\program files\QuickTime\QTTask.exe" -atboottime
"CanonMyPrinter"=h:\program files\Canon\MyPrinter\BJMyPrt.exe /logon
"CanonSolutionMenu"=h:\program files\Canon\SolutionMenu\CNSLMAIN.exe /logon
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"h:\\Program Files\\uTorrent\\uTorrent.exe"=
"h:\\Program Files\\Warsow\\warsow_x86.exe"=
"h:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"h:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"h:\\World of Warcraft\\Launcher.exe"=
"h:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"h:\\Program Files\\MSN Messenger\\livecall.exe"=
"h:\\World of Warcraft\\WoW-3.1.0.9767-to-3.1.1.9806-frFR-downloader.exe"=
"h:\\WINDOWS\\system32\\dpvsetup.exe"=
"h:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"h:\\Program Files\\devolo\\informer\\devinf.exe"=
"h:\\World of Warcraft\\WoW-3.1.3.9947-to-3.2.0.10192-frFR-downloader.exe"=
"h:\\Warcraft III\\Warcraft III.exe"=
"h:\\Program Files\\iTunes\\iTunes.exe"=
"y:\\Program Files\\Microsoft Games\\Age of Empires II\\empires2.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)
R0 m5287;m5287;h:\windows\system32\drivers\m5287.sys [10/08/2007 04:54 103680]
R1 nod32drv;nod32drv;h:\windows\system32\drivers\nod32drv.sys [03/04/2008 12:22 15424]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;h:\program files\Avira\AntiVir Desktop\sched.exe [04/05/2009 15:17 108289]
R2 NPF_devolo;NetGroup Packet Filter Driver (devolo);h:\windows\system32\drivers\npf_devolo.sys [13/05/2008 16:00 35840]
R3 CM1063264;C-Media CM106 Like Sound UDAX Interface;h:\windows\system32\drivers\CM106.sys [15/07/2009 15:08 1306112]
--- Other Services/Drivers In Memory ---
*NewlyCreated* - HELPSVC
[COLOR=RED]NETSVCS REQUIRES REPAIRS - current entries shown/COLOR
6to4
AppMgmt
AudioSrv
Browser
CryptSvc
DMServer
DHCP
EventSystem
FastUserSwitchingCompatibility
HidServ
Ias
Iprip
Irmon
LanmanServer
LanmanWorkstation
Netman
Nla
Ntmssvc
NWCWorkstation
Nwsapagent
Rasauto
Rasman
Remoteaccess
Schedule
Seclogon
SENS
Sharedaccess
SRService
Tapisrv
Themes
W32Time
WZCSVC
Wmi
WmdmPmSp
winmgmt
xmlprov
BITS
ShellHWDetection
WmdmPmSN
wuauserv
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
.
Contents of the 'Scheduled Tasks' folder
2008-09-19 h:\windows\Tasks\AppleSoftwareUpdate.job
- h:\program files\Apple Software Update\SoftwareUpdate.exe [2008-04-11 10:34]
2009-08-03 h:\windows\Tasks\GlaryInitialize.job
- h:\program files\Glary Utilities\initialize.exe [2008-10-12 14:55]
2009-08-15 h:\windows\Tasks\Google Software Updater.job
- h:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-04-30 13:18]
.
- - - - ORPHANS REMOVED - - - -
HKLM-Run-CM106Sound - CM106.cpl
Notify-AtiExtEvent - (no file)
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.cooxer.com/
mStart Page = hxxp://www.cooxer.com/
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - h:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000
LSP: h:\windows\system32\imon.dll
DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
FF - ProfilePath - h:\documents and settings\sloan\Application Data\Mozilla\Firefox\Profiles\1vx1q4fp.default\
FF - plugin: h:\program files\Google\Google Updater\2.4.1399.3742\npCIDetect13.dll
---- FIREFOX POLICIES ----
FF - user.js: yahoo.homepage.dontask - trueh:\program files\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);
h:\program files\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);
h:\program files\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);
h:\program files\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);
h:\program files\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);
h:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
h:\program files\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
h:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota", 5120);
h:\program files\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);
h:\program files\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true);
h:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);
h:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);
h:\program files\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);
h:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);
h:\program files\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
h:\program files\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);
h:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);
h:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");
h:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");
h:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
h:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
h:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
h:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history", true);
h:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata", true);
h:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords", false);
h:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads", true);
h:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies", true);
h:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache", true);
h:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions", true);
h:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);
h:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);
h:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history", true);
h:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata", true);
h:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords", false);
h:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads", true);
h:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies", true);
h:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache", true);
h:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions", true);
h:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps", false);
h:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings", false);
h:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs", false);
h:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
h:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
h:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
h:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
h:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json");
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-15 16:34
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------
[HKEY_USERS\S-1-5-21-790525478-1425521274-839522115-1002\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:dd,61,ff,9e,ea,2b,58,a4,46,56,46,43,89,e3,f6,7d,e7,29,f4,68,53,28,96,
dc,01,32,ab,78,8e,cd,10,c3,f6,76,6d,5d,f3,3b,94,fb,41,1c,a8,d2,a4,a5,88,8f,\
"??"=hex:cf,55,c7,95,2b,14,4d,f8,66,7b,0c,1b,19,52,fe,22
[HKEY_USERS\S-1-5-21-790525478-1425521274-839522115-1002\Software\SecuROM\License information*]
"datasecu"=hex:a9,f5,2a,0b,3b,e2,66,7b,29,6e,0e,b5,45,ca,be,d7,af,98,c3,55,44,
fc,ad,c5,87,ab,c5,6c,e9,27,5b,01,ab,c4,6a,93,de,4b,27,1c,35,35,d3,f0,bc,b5,\
"rkeysecu"=hex:cb,bd,f2,61,5a,4e,c6,95,f2,29,8b,82,ba,6b,3d,44
.
--------------------- DLLs Loaded Under Running Processes ---------------------
- - - - - - - > 'winlogon.exe'(760)
h:\windows\system32\SETUPAPI.dll
h:\program files\Stardock\Object Desktop\ThemeManager\fastload.dll
- - - - - - - > 'lsass.exe'(860)
h:\windows\system32\setupapi.dll
.
Completion time: 2009-08-15 16:36
ComboFix-quarantined-files.txt 2009-08-15 14:36
Pre-Run: 270 372 999 168 octets libres
Post-Run: 270 390 792 192 octets libres
357
voilas mais le deuxieme rapport me fait peur :s^^