Rootkit UACD.SYS Windowsclick.com
Résolu
Pim
-
sKe69 Messages postés 21955 Statut Contributeur sécurité -
sKe69 Messages postés 21955 Statut Contributeur sécurité -
Bonjour à tous,
depuis quelques temps j'essaye de me débarasser d'un rootkit. J'ai lancé Malware, avira, adaware, rien n'y fait, ce rootkit est bien ancré.
Entre les windowsclick et surtout depuis peu les reboot intempestifs qui font frémir ma bécane.
J'aurais besoin d'assistance pour "cleaner" mon souci svp.
Merci d'avance.
Voici ci-dessous le rapport de GMER.
GMER 1.0.15.15077 [gmer.exe] - http://www.gmer.net
Rootkit scan 2009-08-23 12:42:36
Windows 5.1.2600 Service Pack 2
---- System - GMER 1.0.15 ----
SSDT \SystemRoot\System32\DRIVERS\klif.sys (spuper-ptor/Kaspersky Lab) SSDT[284] [0xEE906D40]
SSDT \SystemRoot\System32\DRIVERS\klif.sys (spuper-ptor/Kaspersky Lab) SSDT[285] [0xEE906D50]
SSDT \SystemRoot\System32\DRIVERS\klif.sys (spuper-ptor/Kaspersky Lab) SSDT[286] [0xEE906D60]
SSDT \SystemRoot\System32\DRIVERS\klif.sys (spuper-ptor/Kaspersky Lab) SSDT[287] [0xEE906D80]
SSDT \SystemRoot\System32\DRIVERS\klif.sys (spuper-ptor/Kaspersky Lab) SSDT[288] [0xEE906DA0]
SSDT \SystemRoot\System32\DRIVERS\klif.sys (spuper-ptor/Kaspersky Lab) SSDT[289] [0xEE906DD0]
SSDT \SystemRoot\System32\DRIVERS\klif.sys (spuper-ptor/Kaspersky Lab) SSDT[290] [0xEE906DE0]
SSDT \SystemRoot\System32\DRIVERS\klif.sys (spuper-ptor/Kaspersky Lab) SSDT[291] [0xEE906E00]
SSDT \SystemRoot\System32\DRIVERS\klif.sys (spuper-ptor/Kaspersky Lab) SSDT[292] [0xEE906E10]
SSDT \SystemRoot\System32\DRIVERS\klif.sys (spuper-ptor/Kaspersky Lab) SSDT[293] [0xEE906ED0]
SSDT \SystemRoot\System32\DRIVERS\klif.sys (spuper-ptor/Kaspersky Lab) SSDT[294] [0xEE906FA0]
SSDT \SystemRoot\System32\DRIVERS\klif.sys (spuper-ptor/Kaspersky Lab) SSDT[295] [0xEE906FE0]
SSDT \SystemRoot\System32\DRIVERS\klif.sys (spuper-ptor/Kaspersky Lab) SSDT[296] [0xEE907020]
Code 86457968 ZwEnumerateKey
Code 865FAD60 ZwFlushInstructionCache
Code \SystemRoot\System32\DRIVERS\klif.sys (spuper-ptor/Kaspersky Lab) FsRtlCheckLockForReadAccess
Code \SystemRoot\System32\DRIVERS\klif.sys (spuper-ptor/Kaspersky Lab) IoIsOperationSynchronous
Code 8660CAF6 IofCallDriver
Code 864D395E IofCompleteRequest
---- Kernel code sections - GMER 1.0.15 ----
.text ntoskrnl.exe!IofCallDriver 804E37C5 5 Bytes JMP 8660CAFB
.text ntoskrnl.exe!IofCompleteRequest 804E3BF6 5 Bytes JMP 864D3963
.text ntoskrnl.exe!IoIsOperationSynchronous 804E8752 5 Bytes JMP EE90CE80 \SystemRoot\System32\DRIVERS\klif.sys (spuper-ptor/Kaspersky Lab)
.text ntoskrnl.exe!FsRtlCheckLockForReadAccess 80503C29 5 Bytes JMP EE90C980 \SystemRoot\System32\DRIVERS\klif.sys (spuper-ptor/Kaspersky Lab)
PAGE ntoskrnl.exe!ZwEnumerateKey 8056EF30 4 Bytes JMP 8645796C
PAGE ntoskrnl.exe!ZwFlushInstructionCache 80576A6A 5 Bytes JMP 865FAD64
? C:\WINDOWS\system32\drivers\sptd.sys Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus.
.text USBPORT.SYS!DllUnload F6F1862C 5 Bytes JMP 8656A358
? System32\Drivers\avqu456y.SYS Le chemin d'accès spécifié est introuvable. !
---- Kernel IAT/EAT - GMER 1.0.15 ----
IAT \WINDOWS\System32\Drivers\SCSIPORT.SYS[ntoskrnl.exe!IoConnectInterrupt] [F7771886] sptd.sys
IAT pci.sys[ntoskrnl.exe!IoDetachDevice] [F7771832] sptd.sys
IAT pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F7793892] sptd.sys
IAT atapi.sys[ntoskrnl.exe!IoConnectInterrupt] [F7771886] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F775BAD4] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F775BC1A] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F775BB9C] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F775C748] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F775C61E] sptd.sys
IAT \SystemRoot\System32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F7770ACA] sptd.sys
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs 867631E8
AttachedDevice \FileSystem\Ntfs \Ntfs klif.sys (spuper-ptor/Kaspersky Lab)
Device \FileSystem\Fastfat \FatCdrom 866531E8
Device \Driver\usbohci \Device\USBPDO-0 8646F4C8
Device \Driver\usbohci \Device\USBPDO-1 8646F4C8
Device \Driver\dmio \Device\DmControl\DmIoDaemon 867D31E8
Device \Driver\dmio \Device\DmControl\DmConfig 867D31E8
Device \Driver\dmio \Device\DmControl\DmPnP 867D31E8
Device \Driver\dmio \Device\DmControl\DmInfo 867D31E8
Device \Driver\usbohci \Device\USBPDO-2 8646F4C8
Device \Driver\usbehci \Device\USBPDO-3 864467A0
AttachedDevice \Driver\Tcpip \Device\Tcp Lbd.sys (Boot Driver/Lavasoft AB)
Device \Driver\Ftdisk \Device\HarddiskVolume1 867651E8
Device \Driver\USBSTOR \Device\00000072 864CF1E8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 867641E8
Device \Driver\atapi \Device\Ide\IdePort0 867641E8
Device \Driver\atapi \Device\Ide\IdePort1 867641E8
Device \Driver\atapi \Device\Ide\IdePort2 867641E8
Device \Driver\atapi \Device\Ide\IdePort3 867641E8
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-1b 867641E8
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-13 867641E8
Device \Driver\USBSTOR \Device\00000073 864CF1E8
Device \Driver\NetBT \Device\NetBt_Wins_Export 863D97A0
Device \Driver\PCI_NTPNP1520 \Device\0000004b sptd.sys
Device \Driver\NetBT \Device\NetbiosSmb 863D97A0
Device \Driver\NetBT \Device\NetBT_Tcpip_{CB5239B1-6846-498E-8AA6-2D2946BFEA3A} 863D97A0
Device \Driver\usbohci \Device\USBFDO-0 8646F4C8
Device \Driver\usbohci \Device\USBFDO-1 8646F4C8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 865B77A0
Device \Driver\usbohci \Device\USBFDO-2 8646F4C8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 865B77A0
Device \Driver\usbehci \Device\USBFDO-3 864467A0
Device \Driver\Ftdisk \Device\FtControl 867651E8
Device \Driver\avqu456y \Device\Scsi\avqu456y1Port4Path0Target2Lun0 863B5510
Device \Driver\avqu456y \Device\Scsi\avqu456y1Port4Path0Target1Lun0 863B5510
Device \Driver\avqu456y \Device\Scsi\avqu456y1Port4Path0Target3Lun0 863B5510
Device \Driver\avqu456y \Device\Scsi\avqu456y1Port4Path0Target0Lun0 863B5510
Device \Driver\avqu456y \Device\Scsi\avqu456y1 863B5510
Device \FileSystem\Fastfat \Fat 866531E8
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat klif.sys (spuper-ptor/Kaspersky Lab)
Device \FileSystem\Cdfs \Cdfs 865CF7A0
---- Processes - GMER 1.0.15 ----
Library \\?\globalroot\systemroot\system32\UACxkrrwipjvu.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [204] 0x10000000
Library \\?\globalroot\systemroot\system32\UACxkrrwipjvu.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [600] 0x10000000
Library \\?\globalroot\systemroot\system32\UACxkrrwipjvu.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [892] 0x026B0000
Library \\?\globalroot\systemroot\system32\UACxkrrwipjvu.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [984] 0x10000000
Library \\?\globalroot\systemroot\system32\UACxkrrwipjvu.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [1052] 0x10000000
Library \\?\globalroot\systemroot\system32\UACxkrrwipjvu.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [1124] 0x10000000
Library \\?\globalroot\systemroot\system32\UACxkrrwipjvu.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [1268] 0x10000000
Library \\?\globalroot\systemroot\system32\UACxkrrwipjvu.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [3020] 0x10000000
---- Services - GMER 1.0.15 ----
Service C:\WINDOWS\system32\drivers\UACmxdoyrjbap.sys (*** hidden *** ) [SYSTEM] UACd.sys <-- ROOTKIT !!!
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x7B 0x02 0xAC 0x30 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files\DAEMON Tools\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x62 0x1C 0x9D 0x26 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xB9 0x58 0x99 0x4D ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh 0x23 0xDF 0x4F 0x36 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42@khjeh 0x9B 0x1E 0xCD 0x78 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43@khjeh 0x9B 0x1E 0xCD 0x78 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@start 4
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@imagepath \systemroot\system32\drivers\UACmxdoyrjbap.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@UACd \\?\globalroot\systemroot\system32\drivers\UACmxdoyrjbap.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@UACc \\?\globalroot\systemroot\system32\UACqmuptxvkdw.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacbbr \\?\globalroot\systemroot\system32\UACxkrrwipjvu.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacsr \\?\globalroot\systemroot\system32\UACsqklvbsdov.dat
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacserf \\?\globalroot\systemroot\system32\UACwqqpfulqib.dll
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xA6 0x30 0x34 0x86 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x06 0x33 0x71 0xAA ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x9B 0x1E 0xCD 0x78 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x7B 0x02 0xAC 0x30 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x62 0x1C 0x9D 0x26 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xB9 0x58 0x99 0x4D ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh 0x23 0xDF 0x4F 0x36 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42@khjeh 0x9B 0x1E 0xCD 0x78 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43@khjeh 0x9B 0x1E 0xCD 0x78 ...
Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys@start 1
Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys@type 1
Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys@imagepath \systemroot\system32\drivers\UACmxdoyrjbap.sys
Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys@group file system
Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules@UACd \\?\globalroot\systemroot\system32\drivers\UACmxdoyrjbap.sys
Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules@UACc \\?\globalroot\systemroot\system32\UACqmuptxvkdw.dll
Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules@uacbbr \\?\globalroot\systemroot\system32\UACxkrrwipjvu.dll
Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules@uacsr \\?\globalroot\systemroot\system32\UACsqklvbsdov.dat
Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules@uacserf \\?\globalroot\systemroot\system32\UACwqqpfulqib.dll
---- Files - GMER 1.0.15 ----
File C:\Level1_Arial.css.mno 413 bytes
File C:\Level1_Times.css.mno 423 bytes
File C:\Level1_Verdana.css.mno 419 bytes
File C:\Level2_Arial_Forms.css.mno 485 bytes
File C:\Level2_Arial_Text.css.mno 461 bytes
File C:\Level2_Times_Forms.css.mno 495 bytes
File C:\Level2_Times_Text.css.mno 471 bytes
File C:\Level2_Verdana_Forms.css.mno 491 bytes
File C:\Level2_Verdana_Text.css.mno 467 bytes
File C:\Level3_1.css.mno 475 bytes
File C:\Level3_2.css.mno 472 bytes
File C:\Level3_3.css.mno 470 bytes
---- EOF - GMER 1.0.15 ----
depuis quelques temps j'essaye de me débarasser d'un rootkit. J'ai lancé Malware, avira, adaware, rien n'y fait, ce rootkit est bien ancré.
Entre les windowsclick et surtout depuis peu les reboot intempestifs qui font frémir ma bécane.
J'aurais besoin d'assistance pour "cleaner" mon souci svp.
Merci d'avance.
Voici ci-dessous le rapport de GMER.
GMER 1.0.15.15077 [gmer.exe] - http://www.gmer.net
Rootkit scan 2009-08-23 12:42:36
Windows 5.1.2600 Service Pack 2
---- System - GMER 1.0.15 ----
SSDT \SystemRoot\System32\DRIVERS\klif.sys (spuper-ptor/Kaspersky Lab) SSDT[284] [0xEE906D40]
SSDT \SystemRoot\System32\DRIVERS\klif.sys (spuper-ptor/Kaspersky Lab) SSDT[285] [0xEE906D50]
SSDT \SystemRoot\System32\DRIVERS\klif.sys (spuper-ptor/Kaspersky Lab) SSDT[286] [0xEE906D60]
SSDT \SystemRoot\System32\DRIVERS\klif.sys (spuper-ptor/Kaspersky Lab) SSDT[287] [0xEE906D80]
SSDT \SystemRoot\System32\DRIVERS\klif.sys (spuper-ptor/Kaspersky Lab) SSDT[288] [0xEE906DA0]
SSDT \SystemRoot\System32\DRIVERS\klif.sys (spuper-ptor/Kaspersky Lab) SSDT[289] [0xEE906DD0]
SSDT \SystemRoot\System32\DRIVERS\klif.sys (spuper-ptor/Kaspersky Lab) SSDT[290] [0xEE906DE0]
SSDT \SystemRoot\System32\DRIVERS\klif.sys (spuper-ptor/Kaspersky Lab) SSDT[291] [0xEE906E00]
SSDT \SystemRoot\System32\DRIVERS\klif.sys (spuper-ptor/Kaspersky Lab) SSDT[292] [0xEE906E10]
SSDT \SystemRoot\System32\DRIVERS\klif.sys (spuper-ptor/Kaspersky Lab) SSDT[293] [0xEE906ED0]
SSDT \SystemRoot\System32\DRIVERS\klif.sys (spuper-ptor/Kaspersky Lab) SSDT[294] [0xEE906FA0]
SSDT \SystemRoot\System32\DRIVERS\klif.sys (spuper-ptor/Kaspersky Lab) SSDT[295] [0xEE906FE0]
SSDT \SystemRoot\System32\DRIVERS\klif.sys (spuper-ptor/Kaspersky Lab) SSDT[296] [0xEE907020]
Code 86457968 ZwEnumerateKey
Code 865FAD60 ZwFlushInstructionCache
Code \SystemRoot\System32\DRIVERS\klif.sys (spuper-ptor/Kaspersky Lab) FsRtlCheckLockForReadAccess
Code \SystemRoot\System32\DRIVERS\klif.sys (spuper-ptor/Kaspersky Lab) IoIsOperationSynchronous
Code 8660CAF6 IofCallDriver
Code 864D395E IofCompleteRequest
---- Kernel code sections - GMER 1.0.15 ----
.text ntoskrnl.exe!IofCallDriver 804E37C5 5 Bytes JMP 8660CAFB
.text ntoskrnl.exe!IofCompleteRequest 804E3BF6 5 Bytes JMP 864D3963
.text ntoskrnl.exe!IoIsOperationSynchronous 804E8752 5 Bytes JMP EE90CE80 \SystemRoot\System32\DRIVERS\klif.sys (spuper-ptor/Kaspersky Lab)
.text ntoskrnl.exe!FsRtlCheckLockForReadAccess 80503C29 5 Bytes JMP EE90C980 \SystemRoot\System32\DRIVERS\klif.sys (spuper-ptor/Kaspersky Lab)
PAGE ntoskrnl.exe!ZwEnumerateKey 8056EF30 4 Bytes JMP 8645796C
PAGE ntoskrnl.exe!ZwFlushInstructionCache 80576A6A 5 Bytes JMP 865FAD64
? C:\WINDOWS\system32\drivers\sptd.sys Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus.
.text USBPORT.SYS!DllUnload F6F1862C 5 Bytes JMP 8656A358
? System32\Drivers\avqu456y.SYS Le chemin d'accès spécifié est introuvable. !
---- Kernel IAT/EAT - GMER 1.0.15 ----
IAT \WINDOWS\System32\Drivers\SCSIPORT.SYS[ntoskrnl.exe!IoConnectInterrupt] [F7771886] sptd.sys
IAT pci.sys[ntoskrnl.exe!IoDetachDevice] [F7771832] sptd.sys
IAT pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F7793892] sptd.sys
IAT atapi.sys[ntoskrnl.exe!IoConnectInterrupt] [F7771886] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F775BAD4] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F775BC1A] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F775BB9C] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F775C748] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F775C61E] sptd.sys
IAT \SystemRoot\System32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F7770ACA] sptd.sys
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs 867631E8
AttachedDevice \FileSystem\Ntfs \Ntfs klif.sys (spuper-ptor/Kaspersky Lab)
Device \FileSystem\Fastfat \FatCdrom 866531E8
Device \Driver\usbohci \Device\USBPDO-0 8646F4C8
Device \Driver\usbohci \Device\USBPDO-1 8646F4C8
Device \Driver\dmio \Device\DmControl\DmIoDaemon 867D31E8
Device \Driver\dmio \Device\DmControl\DmConfig 867D31E8
Device \Driver\dmio \Device\DmControl\DmPnP 867D31E8
Device \Driver\dmio \Device\DmControl\DmInfo 867D31E8
Device \Driver\usbohci \Device\USBPDO-2 8646F4C8
Device \Driver\usbehci \Device\USBPDO-3 864467A0
AttachedDevice \Driver\Tcpip \Device\Tcp Lbd.sys (Boot Driver/Lavasoft AB)
Device \Driver\Ftdisk \Device\HarddiskVolume1 867651E8
Device \Driver\USBSTOR \Device\00000072 864CF1E8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 867641E8
Device \Driver\atapi \Device\Ide\IdePort0 867641E8
Device \Driver\atapi \Device\Ide\IdePort1 867641E8
Device \Driver\atapi \Device\Ide\IdePort2 867641E8
Device \Driver\atapi \Device\Ide\IdePort3 867641E8
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-1b 867641E8
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-13 867641E8
Device \Driver\USBSTOR \Device\00000073 864CF1E8
Device \Driver\NetBT \Device\NetBt_Wins_Export 863D97A0
Device \Driver\PCI_NTPNP1520 \Device\0000004b sptd.sys
Device \Driver\NetBT \Device\NetbiosSmb 863D97A0
Device \Driver\NetBT \Device\NetBT_Tcpip_{CB5239B1-6846-498E-8AA6-2D2946BFEA3A} 863D97A0
Device \Driver\usbohci \Device\USBFDO-0 8646F4C8
Device \Driver\usbohci \Device\USBFDO-1 8646F4C8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 865B77A0
Device \Driver\usbohci \Device\USBFDO-2 8646F4C8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 865B77A0
Device \Driver\usbehci \Device\USBFDO-3 864467A0
Device \Driver\Ftdisk \Device\FtControl 867651E8
Device \Driver\avqu456y \Device\Scsi\avqu456y1Port4Path0Target2Lun0 863B5510
Device \Driver\avqu456y \Device\Scsi\avqu456y1Port4Path0Target1Lun0 863B5510
Device \Driver\avqu456y \Device\Scsi\avqu456y1Port4Path0Target3Lun0 863B5510
Device \Driver\avqu456y \Device\Scsi\avqu456y1Port4Path0Target0Lun0 863B5510
Device \Driver\avqu456y \Device\Scsi\avqu456y1 863B5510
Device \FileSystem\Fastfat \Fat 866531E8
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat klif.sys (spuper-ptor/Kaspersky Lab)
Device \FileSystem\Cdfs \Cdfs 865CF7A0
---- Processes - GMER 1.0.15 ----
Library \\?\globalroot\systemroot\system32\UACxkrrwipjvu.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [204] 0x10000000
Library \\?\globalroot\systemroot\system32\UACxkrrwipjvu.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [600] 0x10000000
Library \\?\globalroot\systemroot\system32\UACxkrrwipjvu.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [892] 0x026B0000
Library \\?\globalroot\systemroot\system32\UACxkrrwipjvu.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [984] 0x10000000
Library \\?\globalroot\systemroot\system32\UACxkrrwipjvu.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [1052] 0x10000000
Library \\?\globalroot\systemroot\system32\UACxkrrwipjvu.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [1124] 0x10000000
Library \\?\globalroot\systemroot\system32\UACxkrrwipjvu.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [1268] 0x10000000
Library \\?\globalroot\systemroot\system32\UACxkrrwipjvu.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [3020] 0x10000000
---- Services - GMER 1.0.15 ----
Service C:\WINDOWS\system32\drivers\UACmxdoyrjbap.sys (*** hidden *** ) [SYSTEM] UACd.sys <-- ROOTKIT !!!
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x7B 0x02 0xAC 0x30 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files\DAEMON Tools\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x62 0x1C 0x9D 0x26 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xB9 0x58 0x99 0x4D ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh 0x23 0xDF 0x4F 0x36 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42@khjeh 0x9B 0x1E 0xCD 0x78 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43@khjeh 0x9B 0x1E 0xCD 0x78 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@start 4
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@imagepath \systemroot\system32\drivers\UACmxdoyrjbap.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@UACd \\?\globalroot\systemroot\system32\drivers\UACmxdoyrjbap.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@UACc \\?\globalroot\systemroot\system32\UACqmuptxvkdw.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacbbr \\?\globalroot\systemroot\system32\UACxkrrwipjvu.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacsr \\?\globalroot\systemroot\system32\UACsqklvbsdov.dat
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacserf \\?\globalroot\systemroot\system32\UACwqqpfulqib.dll
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xA6 0x30 0x34 0x86 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x06 0x33 0x71 0xAA ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x9B 0x1E 0xCD 0x78 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x7B 0x02 0xAC 0x30 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x62 0x1C 0x9D 0x26 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xB9 0x58 0x99 0x4D ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh 0x23 0xDF 0x4F 0x36 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42@khjeh 0x9B 0x1E 0xCD 0x78 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43@khjeh 0x9B 0x1E 0xCD 0x78 ...
Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys@start 1
Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys@type 1
Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys@imagepath \systemroot\system32\drivers\UACmxdoyrjbap.sys
Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys@group file system
Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules@UACd \\?\globalroot\systemroot\system32\drivers\UACmxdoyrjbap.sys
Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules@UACc \\?\globalroot\systemroot\system32\UACqmuptxvkdw.dll
Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules@uacbbr \\?\globalroot\systemroot\system32\UACxkrrwipjvu.dll
Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules@uacsr \\?\globalroot\systemroot\system32\UACsqklvbsdov.dat
Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules@uacserf \\?\globalroot\systemroot\system32\UACwqqpfulqib.dll
---- Files - GMER 1.0.15 ----
File C:\Level1_Arial.css.mno 413 bytes
File C:\Level1_Times.css.mno 423 bytes
File C:\Level1_Verdana.css.mno 419 bytes
File C:\Level2_Arial_Forms.css.mno 485 bytes
File C:\Level2_Arial_Text.css.mno 461 bytes
File C:\Level2_Times_Forms.css.mno 495 bytes
File C:\Level2_Times_Text.css.mno 471 bytes
File C:\Level2_Verdana_Forms.css.mno 491 bytes
File C:\Level2_Verdana_Text.css.mno 467 bytes
File C:\Level3_1.css.mno 475 bytes
File C:\Level3_2.css.mno 472 bytes
File C:\Level3_3.css.mno 470 bytes
---- EOF - GMER 1.0.15 ----
A voir également:
- Rootkit UACD.SYS Windowsclick.com
- Rootkit - Télécharger - Antivirus & Antimalwares
- Rootkit hunter - Télécharger - Antivirus & Antimalwares
- Sophos anti rootkit - Télécharger - Antivirus & Antimalwares
- Avg anti rootkit - Télécharger - Antivirus & Antimalwares
- Panda anti-rootkit - Télécharger - Antivirus & Antimalwares
30 réponses
Salut,
infection Tibs donc ! ....
/!\ N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
Si tu as un quelconque prb n' hésite pas à m'en faire part ( évite les prises de décision hasardeuses ) .
Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .
Fais ceci pour avoir un diagnostique du PC dans un premier temps :
Télécharge ZHPDiag de Nicolas Coolman sur ton bureau :
-> https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
!! déconnecte toi et ferme toutes tes applications en cours !!
> double-clique sur "ZHPDiag.exe" pour lancer l'installation de l'outil et laisse toi guider ( ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ) .
> Lance ZHPDiag depuis le raccourci du bureau .
> Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite .
( celui avec le tournevis )
Une liste apparait dans l'encadré principal > clique en bas sur le bouton " Tous " et décoche la ligne 061 ( important ! ) .
> Puis clique sur le bouton de "la loupe" pour lancer le scan .
Laisses travailler l'outil ...
> Une fois terminé , le rapport s'affiche : clique sur bouton "appareil photo" pour sauvegarder le rapport obtenu ...
Enregistres bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).
( Sinon rapport sera en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag )
Puis ferme le programme ...
> rends toi ensuite sur ce site : http://www.cijoint.fr/
Clique sur "parcourir" et va jusqu'au rapport que tu as sauvegardé .
Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....
infection Tibs donc ! ....
/!\ N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
Si tu as un quelconque prb n' hésite pas à m'en faire part ( évite les prises de décision hasardeuses ) .
Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .
Fais ceci pour avoir un diagnostique du PC dans un premier temps :
Télécharge ZHPDiag de Nicolas Coolman sur ton bureau :
-> https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
!! déconnecte toi et ferme toutes tes applications en cours !!
> double-clique sur "ZHPDiag.exe" pour lancer l'installation de l'outil et laisse toi guider ( ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ) .
> Lance ZHPDiag depuis le raccourci du bureau .
> Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite .
( celui avec le tournevis )
Une liste apparait dans l'encadré principal > clique en bas sur le bouton " Tous " et décoche la ligne 061 ( important ! ) .
> Puis clique sur le bouton de "la loupe" pour lancer le scan .
Laisses travailler l'outil ...
> Une fois terminé , le rapport s'affiche : clique sur bouton "appareil photo" pour sauvegarder le rapport obtenu ...
Enregistres bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).
( Sinon rapport sera en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag )
Puis ferme le programme ...
> rends toi ensuite sur ce site : http://www.cijoint.fr/
Clique sur "parcourir" et va jusqu'au rapport que tu as sauvegardé .
Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....
re,
pas de protections ! faut pas s'étonner ! ... on reglera ce point une fois le PC clean ....
commence par ceci dans l'ordre :
1- Utilsation de l'outil ZHPFix :
> Lance ZHPFix depuis le raccouci du bureau .
* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .
* Dans l'encadré principal ( qui est vierge ), copie/colle tout le texte qui se trouve sur cette page ( et rien d'autre ! ) :
> https://www.cjoint.com/?ixnLsvdjIq
Vérifie bien que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
* Puis clique sur le bouton [ OK ] .
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien !
!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!
* Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .
* Enfin clique sur le bouton [ Nettoyer ] .
-> laisse travailler l'outil et ne touche à rien ...
-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le !
Une fois terminé , un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...
( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )
=========================
2- Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !):
http://download.bleepingcomputer.com/sUBs/ComboFix.exe <--- clique droit sur ce lien et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tape CFix et valide .
- le renommage au téléchargement est primordial pour contrer l'infection, sinon l'outil sera inutilisable -
--------------------------------- [ ! ATTENTION ! ] ------------------------------------------
!! Déconnecte toi,ferme tes applications en cours ( ainsi que ton navigateur ) et DESACTIVE TOUTES TES DEFENSES (anti-virus, guarde anti spy-ware, pare-feu) le temps de la manipe :
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!
--->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Note : pour XP, il est IMPERATIF d'installer la Console de Récupération de Windows si l'outil le demande ( voir tuto ci-dessus ).
--------------------------------------------------------------------------------------------
Ensuite :
> Double-clique sur l'icône "Combofix.exe" pour lancer l'outil .
> A la fenêtre "DISCLAIMER..." , clique sur "oui" et laisse travailler ...
-- Pour XP, l' installation de la Console de Récupération sera demandé :
* Laisse toi guider et fais l'installe de la "console de récupération" ( en anglais, "Windows Recovery Console" ) lorsque l'outil te le demandera ( important ! ).
image > http://img.photobucket.com/albums/v706/ried7/RcAuto1.gif
*Reconnecte toi avant de cliquer sur "yes", et uniquement le temps de cette manipulation.
*Une fois la console installée,
image > http://img.photobucket.com/albums/v706/ried7/whatnext.png
re-déconnecte toi avant de cliquer sur "yes" pour lancer le scan --
Notes importantes :
-> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
-> Si l'outil t'annonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarrer votre machine", tu acceptes ...
-> si un message d'erreur windows apparait à un moment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )
Le rapport sera crée ici: C:\Combofix.txt
Réactive bien tes défenses
Poste le rapport Combofix pour analyse et attends la suite ...
pas de protections ! faut pas s'étonner ! ... on reglera ce point une fois le PC clean ....
commence par ceci dans l'ordre :
1- Utilsation de l'outil ZHPFix :
> Lance ZHPFix depuis le raccouci du bureau .
* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .
* Dans l'encadré principal ( qui est vierge ), copie/colle tout le texte qui se trouve sur cette page ( et rien d'autre ! ) :
> https://www.cjoint.com/?ixnLsvdjIq
Vérifie bien que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
* Puis clique sur le bouton [ OK ] .
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien !
!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!
* Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .
* Enfin clique sur le bouton [ Nettoyer ] .
-> laisse travailler l'outil et ne touche à rien ...
-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le !
Une fois terminé , un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...
( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )
=========================
2- Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !):
http://download.bleepingcomputer.com/sUBs/ComboFix.exe <--- clique droit sur ce lien et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tape CFix et valide .
- le renommage au téléchargement est primordial pour contrer l'infection, sinon l'outil sera inutilisable -
--------------------------------- [ ! ATTENTION ! ] ------------------------------------------
!! Déconnecte toi,ferme tes applications en cours ( ainsi que ton navigateur ) et DESACTIVE TOUTES TES DEFENSES (anti-virus, guarde anti spy-ware, pare-feu) le temps de la manipe :
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!
--->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Note : pour XP, il est IMPERATIF d'installer la Console de Récupération de Windows si l'outil le demande ( voir tuto ci-dessus ).
--------------------------------------------------------------------------------------------
Ensuite :
> Double-clique sur l'icône "Combofix.exe" pour lancer l'outil .
> A la fenêtre "DISCLAIMER..." , clique sur "oui" et laisse travailler ...
-- Pour XP, l' installation de la Console de Récupération sera demandé :
* Laisse toi guider et fais l'installe de la "console de récupération" ( en anglais, "Windows Recovery Console" ) lorsque l'outil te le demandera ( important ! ).
image > http://img.photobucket.com/albums/v706/ried7/RcAuto1.gif
*Reconnecte toi avant de cliquer sur "yes", et uniquement le temps de cette manipulation.
*Une fois la console installée,
image > http://img.photobucket.com/albums/v706/ried7/whatnext.png
re-déconnecte toi avant de cliquer sur "yes" pour lancer le scan --
Notes importantes :
-> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
-> Si l'outil t'annonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarrer votre machine", tu acceptes ...
-> si un message d'erreur windows apparait à un moment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )
Le rapport sera crée ici: C:\Combofix.txt
Réactive bien tes défenses
Poste le rapport Combofix pour analyse et attends la suite ...
re,
c'est tout de même bizard que Combo n'est rein attrapperde l'infection tibs .... tu as suivis une autre désinfection ?...
fais ce qui suit dans l'ordre :
1-Créer un doc texte sur ton bureau :
pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .
Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\drivers\\svchost.exe"=-
Folder::
c:\program files\AskBarDis
Driver::
XDva252
ASKUpgrade
npggsvc
Puis va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valide ...
2-Nettoyage :
!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!
--->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .
(Regarde ici : http://img.photobucket.com/albums/v666/sUBs/CFScript.gif )
Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tape 1 puis valide.
Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)
!! Ne touches à rien tant que le scan n'est pas terminé !!
Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse ...
( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )
================================
2- Télécharge ToolBar S&D ( de Eric_71/Team IDN ) sur ton bureau :
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2
( Tuto : https://sites.google.com/site/toolbarsd/aideenimages )
!! Déconnecte toi et ferme toutes tes applications en cours le temps de la manipe !!
* Double-clique sur ToolBar SD.exe pour lancer l'outil et laisse toi guider ...
--> Tapes directement sur 2 ( option " suppression " ) puis tape sur [Entrée].
Le nettoyage commence .
! ne touche à rien lors de la suppression !
Un rapport sera généré à la fin du processus : poste son contenu dans ta prochaine réponse
pour analyse ...
( le rapport est en outre sauvegardé ici -> C:\TB.txt )
==========================
3- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...
c'est tout de même bizard que Combo n'est rein attrapperde l'infection tibs .... tu as suivis une autre désinfection ?...
fais ce qui suit dans l'ordre :
1-Créer un doc texte sur ton bureau :
pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .
Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\drivers\\svchost.exe"=-
Folder::
c:\program files\AskBarDis
Driver::
XDva252
ASKUpgrade
npggsvc
Puis va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valide ...
2-Nettoyage :
!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!
--->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .
(Regarde ici : http://img.photobucket.com/albums/v666/sUBs/CFScript.gif )
Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tape 1 puis valide.
Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)
!! Ne touches à rien tant que le scan n'est pas terminé !!
Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse ...
( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )
================================
2- Télécharge ToolBar S&D ( de Eric_71/Team IDN ) sur ton bureau :
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2
( Tuto : https://sites.google.com/site/toolbarsd/aideenimages )
!! Déconnecte toi et ferme toutes tes applications en cours le temps de la manipe !!
* Double-clique sur ToolBar SD.exe pour lancer l'outil et laisse toi guider ...
--> Tapes directement sur 2 ( option " suppression " ) puis tape sur [Entrée].
Le nettoyage commence .
! ne touche à rien lors de la suppression !
Un rapport sera généré à la fin du processus : poste son contenu dans ta prochaine réponse
pour analyse ...
( le rapport est en outre sauvegardé ici -> C:\TB.txt )
==========================
3- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...
bon ...
nos message se sont croisés !
autrement j'ai testé plusieurs logieicles tels que adaware, malware, et combofix avant de venir ici...
ceci explique beaucoup de choses ... ^^
et on ne "test" surtout pas Combofix ! c'est un outil puissant qu'il faut utilisé d'une manière très précise !
dans l'ordre :
1- Télécharge CCleaner :
https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
ou https://www.pcastuces.com/logitheque/ccleaner.htm
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre .
Lors de l'installation:
-choisis bien "français" en langue .
-avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières.
Un tuto ( aide ):
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm
---> Utilisation:
*Décocher dans le menu Options - sous-menu Avancé :
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .
! déconnecte toi et ferme toutes applications en cours !
* va dans "nettoyeur" : fais -analyse- puis -nettoyage-
* va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs-
( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .
( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )
==========================
2- Poste moi le dernier rapport Malwarebytes que tu as eu lorsque tu l'as utilisé (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date) pour analyse stp ....
nos message se sont croisés !
autrement j'ai testé plusieurs logieicles tels que adaware, malware, et combofix avant de venir ici...
ceci explique beaucoup de choses ... ^^
et on ne "test" surtout pas Combofix ! c'est un outil puissant qu'il faut utilisé d'une manière très précise !
dans l'ordre :
1- Télécharge CCleaner :
https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
ou https://www.pcastuces.com/logitheque/ccleaner.htm
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre .
Lors de l'installation:
-choisis bien "français" en langue .
-avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières.
Un tuto ( aide ):
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm
---> Utilisation:
*Décocher dans le menu Options - sous-menu Avancé :
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .
! déconnecte toi et ferme toutes applications en cours !
* va dans "nettoyeur" : fais -analyse- puis -nettoyage-
* va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs-
( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .
( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )
==========================
2- Poste moi le dernier rapport Malwarebytes que tu as eu lorsque tu l'as utilisé (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date) pour analyse stp ....
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
bien ...
si tu n'as plus de soucis , on finalise :
1- Mets à jours ce qui suit, c'est important ( des versions pas à jours = failles de sécurité ) :
Version Console Java à jour > 6 Update 15
* pour la console Java :
-> désinstalle toutes les versions antérieurs via le panneau de config./"Ajout et suppression de programmes" (pour XP) ou " Programmes et fonctionnalités " (pour Vista) .
-> Puis télécharge et installe la dernière version ici :
https://www.commentcamarche.net/telecharger/developpement/12917-java-runtime-environment/
ou https://www.java.com/fr/
( Autre astuce pour faire cette maj ainsi que la suppression des anciennes versions
avec l'outil Javara : https://www.commentcamarche.net/faq/15645-supprimer-les-anciennes-versions-de-java-avec-javara )
-> Enfin contrôle ceci :
Démarrer > Panneau de configuration > Icône Java > onglet Mise à jour > cocher la case "Automatiser la détection des mises à jour".
==========================
2- Fais une mise à jours de ton Système via panneau de config / "Windows Update" :
-> fais toutes les mises à jours disponibles, surtout les dites "critiques" et "importantes" ( SP3 , ect ... ).
-> tu les télécharges , puis une fois celles-ci téléchargées , lance les installations ( il te sera surement demandé de redémarrer le PC pour finir les installes ...).
Astuce ici :
https://www.commentcamarche.net/faq/273-windows-update-toutes-versions
Note :
ferme toutes applications en cours et ne fais rien d'autre avec le PC lors de la mise à jour du système .
============================
3- une fois tout ceci fait , utilise Hijackthis :
tuto pour utilisation :
Regarde ici, c'est parfaitement expliqué en images (merci balltrap34),
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm
( Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement )
> !! Déconnecte toi et ferme toutes tes applications en cours !!
Clique sur le raccourci du bureau pour lancer le prg :
fais un scan HijackThis en cliquant sur : "Do a system scan and save a logfile"
---> Poste le rapport généré pour analyse ...
si tu n'as plus de soucis , on finalise :
1- Mets à jours ce qui suit, c'est important ( des versions pas à jours = failles de sécurité ) :
Version Console Java à jour > 6 Update 15
* pour la console Java :
-> désinstalle toutes les versions antérieurs via le panneau de config./"Ajout et suppression de programmes" (pour XP) ou " Programmes et fonctionnalités " (pour Vista) .
-> Puis télécharge et installe la dernière version ici :
https://www.commentcamarche.net/telecharger/developpement/12917-java-runtime-environment/
ou https://www.java.com/fr/
( Autre astuce pour faire cette maj ainsi que la suppression des anciennes versions
avec l'outil Javara : https://www.commentcamarche.net/faq/15645-supprimer-les-anciennes-versions-de-java-avec-javara )
-> Enfin contrôle ceci :
Démarrer > Panneau de configuration > Icône Java > onglet Mise à jour > cocher la case "Automatiser la détection des mises à jour".
==========================
2- Fais une mise à jours de ton Système via panneau de config / "Windows Update" :
-> fais toutes les mises à jours disponibles, surtout les dites "critiques" et "importantes" ( SP3 , ect ... ).
-> tu les télécharges , puis une fois celles-ci téléchargées , lance les installations ( il te sera surement demandé de redémarrer le PC pour finir les installes ...).
Astuce ici :
https://www.commentcamarche.net/faq/273-windows-update-toutes-versions
Note :
ferme toutes applications en cours et ne fais rien d'autre avec le PC lors de la mise à jour du système .
============================
3- une fois tout ceci fait , utilise Hijackthis :
tuto pour utilisation :
Regarde ici, c'est parfaitement expliqué en images (merci balltrap34),
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm
( Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement )
> !! Déconnecte toi et ferme toutes tes applications en cours !!
Clique sur le raccourci du bureau pour lancer le prg :
fais un scan HijackThis en cliquant sur : "Do a system scan and save a logfile"
---> Poste le rapport généré pour analyse ...
Bien ...
Désinstalle proprement Sybot S&D , puis supprime le dossier Spybot S&D qui restera dans "program files" ... je te ferai parvenir des anti-spy plus performant et gratos bien sûr ... ;)
Suite et fin dans l'ordre :
1- Ferme toutes tes applications ( navigateur compris ) et déconnecte toi .
Relance Hijackthis mais click sur " Do a scan only "
Tu vois donc apparaitre le résultat du scan : une multitudes de lignes ,chacunes précédées d'un carré vide .
Tu vas cliquer sur les carrés des lignes suivantes :
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60347
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
Tu cliques en bas sur le bouton FIX CHECKED et valides .
====================
2- Déconnecte toi et ferme bien toutes tes applications en cours .
Relance Toolscleaner2 .
*Clique sur Recherche et laisse le scan se terminer (cela peut être long).
*Clique sur Suppression pour finaliser.
*Clique sur "quitter" pour générer un rapport ( et pas sur la croix rouge !) :
---> Poste ce rapport : il se trouve à la racine de ton disque dur -> C:\TCleaner.txt .
Note : Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection ( tu n'en as plus besion ! ) .
Supprime tout les outils , dossiers ou rapports consernant la désinfection que Toolscleaner2 n'a pas supprimé .
Puis enfin supprime Toolscleaner2 ...
=================
3- Refais un coup de CCleaner ( registre compris ) .
=================
4- Fais ce check-up pour finir :
A-Re-purge de la restauration système
*Désactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK
--->Redémarre ton PC ...
*Réactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK
--->Redémarre ton PC ...
( Note : tu peux aussi y accéder via panneau de configuration->" système "->" restauration système " ).
Attention : ne pas toucher au PC pendant qu'il travaille !
B-Nettoyage et Défragmentation de tes Disques
*Nettoyage :
Clique droit sur "poste de travail" ==>"ouvrir" ==>clique droit sur le disque C ==>Propriétés ==>onglet "Général"
Clique sur le bouton "nettoyage de disque", OK .
tu le fais pour chacun de tes disques ...
*Vérifications des erreurs :
Clique droit sur "poste de travail" ==>"ouvrir" ==>clique droit sur le disque C ==>Propriétés ==>onglet "Outil"
"Vérifier maintenant", une boîte s'ouvre, cocher les cases :
-réparer automatiquement les erreurs...
-rechercher et tenter une récupération...
--->Démarrer, ok
Note : s'il te dis de redémarrer ton Pc pour le faire , tu redémarres et tu laisses faire, cela prend un peu de temps c'est normal
tu le fais pour chacun de tes disques ...
ensuite toujours dans le même onglet tu choisis :
*Défragmentation :
"défragmenter maintenant", OK
une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter" > OK .
Tu le fais pour chacun de tes disques ...
Note : si tu as un utilitaire pour défragmenter , utilise le à la place ...
( attention , cela peut durer assez longtemps - plus de dix heures dans certains cas )
C-Créer un point de restauration de ton PC :
Aller dans le Menu Démarrer puis dans Programmes,
- Ensuite dans Accessoires et enfin dans Outils système,
- Choisir "Restauration du système",
- Sélectionner "Créer un point de restauration",
- Cliquer sur "Suivant",
- Entrer un nom pour le point de restauration (ce nom doit être assez évocateur), exemple :
<< Point restauration sain >> .
--> Cliquer sur "Créer" et le point de restauration se créé automatiquement.
---> une fois terminé, dis moi ce que cela a donné et comment va le PC ... =)
Désinstalle proprement Sybot S&D , puis supprime le dossier Spybot S&D qui restera dans "program files" ... je te ferai parvenir des anti-spy plus performant et gratos bien sûr ... ;)
Suite et fin dans l'ordre :
1- Ferme toutes tes applications ( navigateur compris ) et déconnecte toi .
Relance Hijackthis mais click sur " Do a scan only "
Tu vois donc apparaitre le résultat du scan : une multitudes de lignes ,chacunes précédées d'un carré vide .
Tu vas cliquer sur les carrés des lignes suivantes :
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60347
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
Tu cliques en bas sur le bouton FIX CHECKED et valides .
====================
2- Déconnecte toi et ferme bien toutes tes applications en cours .
Relance Toolscleaner2 .
*Clique sur Recherche et laisse le scan se terminer (cela peut être long).
*Clique sur Suppression pour finaliser.
*Clique sur "quitter" pour générer un rapport ( et pas sur la croix rouge !) :
---> Poste ce rapport : il se trouve à la racine de ton disque dur -> C:\TCleaner.txt .
Note : Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection ( tu n'en as plus besion ! ) .
Supprime tout les outils , dossiers ou rapports consernant la désinfection que Toolscleaner2 n'a pas supprimé .
Puis enfin supprime Toolscleaner2 ...
=================
3- Refais un coup de CCleaner ( registre compris ) .
=================
4- Fais ce check-up pour finir :
A-Re-purge de la restauration système
*Désactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK
--->Redémarre ton PC ...
*Réactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK
--->Redémarre ton PC ...
( Note : tu peux aussi y accéder via panneau de configuration->" système "->" restauration système " ).
Attention : ne pas toucher au PC pendant qu'il travaille !
B-Nettoyage et Défragmentation de tes Disques
*Nettoyage :
Clique droit sur "poste de travail" ==>"ouvrir" ==>clique droit sur le disque C ==>Propriétés ==>onglet "Général"
Clique sur le bouton "nettoyage de disque", OK .
tu le fais pour chacun de tes disques ...
*Vérifications des erreurs :
Clique droit sur "poste de travail" ==>"ouvrir" ==>clique droit sur le disque C ==>Propriétés ==>onglet "Outil"
"Vérifier maintenant", une boîte s'ouvre, cocher les cases :
-réparer automatiquement les erreurs...
-rechercher et tenter une récupération...
--->Démarrer, ok
Note : s'il te dis de redémarrer ton Pc pour le faire , tu redémarres et tu laisses faire, cela prend un peu de temps c'est normal
tu le fais pour chacun de tes disques ...
ensuite toujours dans le même onglet tu choisis :
*Défragmentation :
"défragmenter maintenant", OK
une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter" > OK .
Tu le fais pour chacun de tes disques ...
Note : si tu as un utilitaire pour défragmenter , utilise le à la place ...
( attention , cela peut durer assez longtemps - plus de dix heures dans certains cas )
C-Créer un point de restauration de ton PC :
Aller dans le Menu Démarrer puis dans Programmes,
- Ensuite dans Accessoires et enfin dans Outils système,
- Choisir "Restauration du système",
- Sélectionner "Créer un point de restauration",
- Cliquer sur "Suivant",
- Entrer un nom pour le point de restauration (ce nom doit être assez évocateur), exemple :
<< Point restauration sain >> .
--> Cliquer sur "Créer" et le point de restauration se créé automatiquement.
---> une fois terminé, dis moi ce que cela a donné et comment va le PC ... =)
Salut,
impec ...
Il te faut absolument un anti-spyware résident pour épauler ton AV .
Choisi l'un d'entre eux ( c'est du gratos ) :
Télécharger Spyware Terminator :
https://www.commentcamarche.net/telecharger/securite/20947-spyware-terminator/
Mais en faisant attention ; lors de l'installation, tu dois décocher devant :
"autoriser Web Security Guard"
Ne pas accepter le 'Web Security Guard' !!
Vérifie régulièrement la mise à jour.
Active la protection en temps réel comme ceci : http://img220.imageshack.us/img220/1985/screenshot269jn3.png
et comme ceci dans l'onglet "Avancé" http://img223.imageshack.us/img223/19/screenshot270fm3.png (HIPS activé).
Note ==> Remarque la fonction 'LANGUE' ;) ==> elle est là : http://img146.imageshack.us/img146/8679/screenshot271db0.png
Tuto Spyware Terminator :
https://www.malekal.com/tutorial-et-guide-spywareterminator/
Note : si tu n'as pas d'antivirus, Spyware Terminator contient un aussi.
/!\ Si tu as déjà un antivirus, ne pas mettre en service "Clam Antivirus" (1 seul antivirus actif par PC) :
->http://img210.imageshack.us/img210/3191/screenshot272kq3.png )
OU ************************************************
SpywareBlaster + SpywareGuard:
* SpywareBlaster :
http://www.brightfort.com/spywareblaster.html
c´est un resident uniquement ( pas de scan possible ) . Il suffit de le mettre a jour de temps en temps car la version gratuite ne le fait pas toute seul , une fois installé et mis a jour tu mets toutes les protections sur "enable"
tuto : https://www.malekal.com/tutorial-spywareblaster/
* SpywareGuard :
SpywareGuard offre une protection en temps réel contre les tentatives d'installation des spywares.
https://www.commentcamarche.net/download/telecharger-34055277-spywareguard
Tuto : https://www.zebulon.fr/dossiers/securite/47-spywareguard.html
( controle les mises à jour / " live update " régulièrement )
=====================
=====================
=====================
Content d'avoir pu te rendre service ... ^^
Potasse ces quelques recommandations :
=> Comportement à adopter avec son PC : http://assiste.com.free.fr/p/abc/a/safe_cex.html
et pourquoi ( exemple ) : http://assiste.com.free.fr/p/abc/a/zombies_et_botnets.html
=> Surveillance :
Effectue des scan réguliers de surveillance (une fois tous les 15 jours, par exemple) avec ton antivirus puis avec ton anti-spyware (après les avoir mis à jour bien sur !) et supprime ce qu'ils peuvent trouver (où mets en quarantaine, en pensant à la vider ultérieurement).
=> Il faut absolument tenir à jour régulièrement Windows:
Via Internet Explorer ( impératif ), rends toi sur Microsoft Update
http://www.update.microsoft.com/windowsupdate/v6/default.aspx
Effectue toutes les mise à jour critiques proposées.
Tu seras obligé de faire redémarrer ton PC et de retourner à la fonction de mise à jour jusqu'à ce qu'il n'y ait plus rien de signalé.
Par la suite, vérifie que les mises à jours de Windows soient bien en automatiques, pour cela :
Démarrer / Panneau de configuration et dans Centre de sécurité, clique sur Mises à jour automatiques, puis coche Installation automatique (recommandé), en dessous indique une heure où tu es connecté habituellement, puis clique sur Appliquer puis sur OK
=============================================================
=> Il faut mettre a jour la console Java régulièrement aussi :
( Pourquoi : http://www.secuser.com/vulnerabilite/2008/080305-java.htm )
Donc pour se faire, rends toi sur https://www.java.com/fr/download/manual.jsp et télécharge la dernière version (si ta version actuelle n'est pas à jour) ou ici https://filehippo.com/download_jre_32/?ex=CORE-116.0
Après avoir installé la dernière version, désinstalle les anciennes versions (de Java) afin d’éliminer les failles de sécurité présentes dans ces anciennes versions.
via Démarrer / Paramètres / Panneau de config / et dans Ajout/Suppression de programmes navigue jusqu'aux anciennes versions de la console Java qui s'y trouvent, puis clique sur « Supprimer », suis les invites de commandes dans la boite de dialogue qui va s'ouvrir afin d'amener la désinstallation à son terme.
Fais cela pour chacune d'elles, une à une, fais redémarrer ton PC quand cela te sera demandé .
Retourne ensuite chez Java ci-dessus et clique sur le bouton "Vérifier l'installation" pour t'assurer que tout est en ordre.
Autre astuce : https://www.commentcamarche.net/faq/15645-supprimer-les-anciennes-versions-de-java-avec-javara
=============================================================
=> Afin d’éviter les autres failles de sécurité des différents programmes présents sur ton PC :
Vérifie tes mises à jours des différents softs régulièrement ici et mets à jour ce qui ne l’est pas. https://www.flexera.com/products/operations/software-vulnerability-management.html
- Tuto https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/
- Autre possibilité, t'abonner gratuitement a "la lettre hebdomadaire de secuser.com" ici http://www.secuser.com/ a gauche en bas de page.
-> autre très bon soft similaire dans cette astuce :
https://www.commentcamarche.net/faq/9908-filehippo-app-manager-vos-logiciels-sont-ils-a-jour
===========================================================
* le pare- feu de Xp vaut rien , je te conseille fortement dans installer un :
( Important > si votre antivirus fait aussi pare-feu , ne pas en installer un autre ! conflits et plantages assurés ! )
Armor ou Comodo sont très bien ( en anglais mais gratuit )...Tu trouveras tout ce qu'il faut ici :
https://www.commentcamarche.net/telecharger/securite/pare-feu/
tutos :
https://www.malekal.com/tutorial-online-armor-free/
https://www.malekal.com/tutorial-comodo-firewall/
( Attention : pour Comodo 3 , choisir uniquement l'installation du pare-feu seul. Ne pas installer la barre d'outil pour les navigateurs ! )
En deuxieme choix ( gratuit aussi ) :
->Comodo ancienne version 2.4 ( en francais ) :
http://download.comodo.com/cpf/download/setups/release/languages/CFP_Setup_English_French_2.4.16.174.exe
tuto: https://infomars.fr/forum/index.php?s=908072e48ff7cf0359366440cb26c93f&showtopic=389
->PC Tools Firewall Plus (en français) :
https://fr.norton.com/
Tuto : http://www.6ma.fr/tuto/utilisation-pc-tools-firewall-plus/
(Note: pensez bien à désactiver le pare-feu de Windows avant de lancer l'installe de tout autre pare-feu !)
* teste l'efficacité de ton pare-feu ici ( à titre indicatif ):
http://www.zebulon.fr/outils/scanports/test-securite.php
* tests firewall: http://www.matousec.com/index.html
=> Un complément au pare-feu pour fermer les ports risqués (dangereux, s’ils restent ouverts) :
ZebProtect (application ne nécessitant pas d’installation à lancer et paramétrer une unique fois) http://telechargement.zebulon.fr/123.html
-Tuto https://www.zebulon.fr/dossiers/autres/40-zebprotect.html
================================================================
Pour une meilleur sécurité lorsque tu surfes :
* Je te conseille d'utiliser le navigateur " FireFox " :
télécharge le ici -> http://www.mozilla-europe.org/fr/
ou -> https://www.commentcamarche.net/telecharger/web-internet/9879-firefox/
( Attention : toujours garder IE sur son PC ! Il est indispensable pour les mises à jour de ton système ainsi que pour pas mal de choses, comme les scan d'antivirus en ligne, ect... )
-> Tutorial pour sécuriser Firefox :
https://www.malekal.com/securiser-le-navigateur-web-firefox-2/
https://forum.zebulon.fr/topic/69628-s%C3%A9curiser-un-peu-plus-firefox/
* tu peux installer cet Add-ons : WOT ( gratuit / compatible IE et FireFox )
-> Firefox https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp - IE https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp
-> Démo : http://www.mywot.com/fr/demo
Très simple et léger , WOT permet d'avoir un aperçu sur la dangerosité et la fiabilité des sites donnés par les moteurs de recherche tel que Google ou Live Search .
> https://www.commentcamarche.net/faq/15620-wot-web-of-trust-essentiel-pour-l-internaute-avise
* Noscript est un autre "Add-ons" ( pour Firefox ) qui empêche l'exécution de scripts en provenance des sites Web.
Il stoppe l'installation de logiciels infectieux via flash, java, javascript et d'autres points d'entrée :
http://www.geekstogo.com/forum/redirect.php?url=http%3A%2F%2Fwww.noscript.net
=================================================================
=> Rappel sur les principales causes d'infection :
A lire > https://www.malekal.com/fichiers/projetantimalwares/prevention-protection.pdf
( merci aux auteurs de ce pdf )
* L'utilisation de cracks ou keygens est à proscrire, de même que le surf sur les sites de téléchargement de ceux-ci :
Les dangers des cracks : http://forum.malekal.com/ftopic893.php
-> Le crack dans toute sa splendeur, journal d'une infection attendue :
https://forum.zebulon.fr/topic/93281-pr%C3%A9vention-le-crack-dans-toute-sa-splendeur/
-> Fléaux du moment par le biais de pseudo crack sur réseau P2P : Virut/Scrible !
> https://www.futura-sciences.com/tech/actualites/informatique-virut-scribble-retour-infection-redoutable-18310/
* Le P2P ( l'utilisation de logiciels comme eMule, Sharazaa, LimeWire, Bit torrent):
Les conséquences du P2P : https://forum.zebulon.fr/topic/85544-pr%C3%A9vention-le-p2p-et-ses-cons%C3%A9quences/
Pourquoi éviter le P2P (emule ,Shareaza, kazza ... ect):
> http://www.libellules.ch/...
> http://www.speedweb1.org/forum-tesgaz/viewtopic.php?t=1793
> https://lexpansion.lexpress.fr/actualite-economique/
* Faire attention avec les ActiveX :
http://assiste.com.free.fr/p/abc/a/activex_dangers.html
et comment :
http://assiste.com.free.fr/p/abc/c/anti_activex.html
* Prévention sur deux autres types d'infection d'actualité :
MSN prévention :
https://forum.zebulon.fr/topic/130590-infection-par-msn-ou-wlm/
-> autre danger grandissant , le " phishing " (= hameçonnage ) :
http://msnfix.changelog.fr/index.php/2008/05/18/32-alerte
Infection par supports amovibles (clefs usb, flash, DD externes ..) :
https://forum.zebulon.fr/topic/131959-infections-par-supports-amovibles/
https://forum.malekal.com/viewtopic.php?f=45&t=5544
* Rappel sur l'utilisation d'une version piratée de Windows :
https://www.commentcamarche.net/faq/2981-j-utilise-une-version-piratee-de-windows
=================================================================
Bon à savoir :
* La "Console de récupération" ( XP ):
face aux nouvelles menaces (attaque du secteur de boot par exemple), la Console de récupération peut être la seule solution pour pallier à un système très endomagé et particulièrement instable.
tutoriels ici :
https://www.pcastuces.com/pratique/windows/xp/console_recuperation/page1.htm .
https://www.informatruc.com
Equivalent Vista : http://www.forum-vista.net/forum/
* Conserve une sauvegarde des fichiers importants ( Sur CD/DVD rom ,DD externe ,ect ...).
* Ne pas telecharger n'importe quoi, éviter les programes gratuits genre smileys, Macrogaming\SweetIM, Boonty games, ...ect
* Analyser les fichiers reçus/téléchargés :
Pour les adeptes du Peer 2 Peer ( que je déconseille fortement ),toujours analyser les fichiers telechargés avec l'antivirus, l'anti-spyware/malaware du PC avant de les executer ... Cela minimise les risques ( mais ceux-ci restent tout de même présents ! )
Ne pas ouvrir les pieces jointes d'un expediteur inconnu et toujours les analyser avant de les ouvrir .
Toujours analyser les fichiers reçus via MSN ou autre avec ton antivirus .
* Idées reçus en sécurité informatique ( très instructif ) >
http://www.libellules.ch/idees_recues_securite.php
=================================================================
( merci le sioux )
voilou ...
bonne suite à toi .... =)
A+
impec ...
Il te faut absolument un anti-spyware résident pour épauler ton AV .
Choisi l'un d'entre eux ( c'est du gratos ) :
Télécharger Spyware Terminator :
https://www.commentcamarche.net/telecharger/securite/20947-spyware-terminator/
Mais en faisant attention ; lors de l'installation, tu dois décocher devant :
"autoriser Web Security Guard"
Ne pas accepter le 'Web Security Guard' !!
Vérifie régulièrement la mise à jour.
Active la protection en temps réel comme ceci : http://img220.imageshack.us/img220/1985/screenshot269jn3.png
et comme ceci dans l'onglet "Avancé" http://img223.imageshack.us/img223/19/screenshot270fm3.png (HIPS activé).
Note ==> Remarque la fonction 'LANGUE' ;) ==> elle est là : http://img146.imageshack.us/img146/8679/screenshot271db0.png
Tuto Spyware Terminator :
https://www.malekal.com/tutorial-et-guide-spywareterminator/
Note : si tu n'as pas d'antivirus, Spyware Terminator contient un aussi.
/!\ Si tu as déjà un antivirus, ne pas mettre en service "Clam Antivirus" (1 seul antivirus actif par PC) :
->http://img210.imageshack.us/img210/3191/screenshot272kq3.png )
OU ************************************************
SpywareBlaster + SpywareGuard:
* SpywareBlaster :
http://www.brightfort.com/spywareblaster.html
c´est un resident uniquement ( pas de scan possible ) . Il suffit de le mettre a jour de temps en temps car la version gratuite ne le fait pas toute seul , une fois installé et mis a jour tu mets toutes les protections sur "enable"
tuto : https://www.malekal.com/tutorial-spywareblaster/
* SpywareGuard :
SpywareGuard offre une protection en temps réel contre les tentatives d'installation des spywares.
https://www.commentcamarche.net/download/telecharger-34055277-spywareguard
Tuto : https://www.zebulon.fr/dossiers/securite/47-spywareguard.html
( controle les mises à jour / " live update " régulièrement )
=====================
=====================
=====================
Content d'avoir pu te rendre service ... ^^
Potasse ces quelques recommandations :
=> Comportement à adopter avec son PC : http://assiste.com.free.fr/p/abc/a/safe_cex.html
et pourquoi ( exemple ) : http://assiste.com.free.fr/p/abc/a/zombies_et_botnets.html
=> Surveillance :
Effectue des scan réguliers de surveillance (une fois tous les 15 jours, par exemple) avec ton antivirus puis avec ton anti-spyware (après les avoir mis à jour bien sur !) et supprime ce qu'ils peuvent trouver (où mets en quarantaine, en pensant à la vider ultérieurement).
=> Il faut absolument tenir à jour régulièrement Windows:
Via Internet Explorer ( impératif ), rends toi sur Microsoft Update
http://www.update.microsoft.com/windowsupdate/v6/default.aspx
Effectue toutes les mise à jour critiques proposées.
Tu seras obligé de faire redémarrer ton PC et de retourner à la fonction de mise à jour jusqu'à ce qu'il n'y ait plus rien de signalé.
Par la suite, vérifie que les mises à jours de Windows soient bien en automatiques, pour cela :
Démarrer / Panneau de configuration et dans Centre de sécurité, clique sur Mises à jour automatiques, puis coche Installation automatique (recommandé), en dessous indique une heure où tu es connecté habituellement, puis clique sur Appliquer puis sur OK
=============================================================
=> Il faut mettre a jour la console Java régulièrement aussi :
( Pourquoi : http://www.secuser.com/vulnerabilite/2008/080305-java.htm )
Donc pour se faire, rends toi sur https://www.java.com/fr/download/manual.jsp et télécharge la dernière version (si ta version actuelle n'est pas à jour) ou ici https://filehippo.com/download_jre_32/?ex=CORE-116.0
Après avoir installé la dernière version, désinstalle les anciennes versions (de Java) afin d’éliminer les failles de sécurité présentes dans ces anciennes versions.
via Démarrer / Paramètres / Panneau de config / et dans Ajout/Suppression de programmes navigue jusqu'aux anciennes versions de la console Java qui s'y trouvent, puis clique sur « Supprimer », suis les invites de commandes dans la boite de dialogue qui va s'ouvrir afin d'amener la désinstallation à son terme.
Fais cela pour chacune d'elles, une à une, fais redémarrer ton PC quand cela te sera demandé .
Retourne ensuite chez Java ci-dessus et clique sur le bouton "Vérifier l'installation" pour t'assurer que tout est en ordre.
Autre astuce : https://www.commentcamarche.net/faq/15645-supprimer-les-anciennes-versions-de-java-avec-javara
=============================================================
=> Afin d’éviter les autres failles de sécurité des différents programmes présents sur ton PC :
Vérifie tes mises à jours des différents softs régulièrement ici et mets à jour ce qui ne l’est pas. https://www.flexera.com/products/operations/software-vulnerability-management.html
- Tuto https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/
- Autre possibilité, t'abonner gratuitement a "la lettre hebdomadaire de secuser.com" ici http://www.secuser.com/ a gauche en bas de page.
-> autre très bon soft similaire dans cette astuce :
https://www.commentcamarche.net/faq/9908-filehippo-app-manager-vos-logiciels-sont-ils-a-jour
===========================================================
* le pare- feu de Xp vaut rien , je te conseille fortement dans installer un :
( Important > si votre antivirus fait aussi pare-feu , ne pas en installer un autre ! conflits et plantages assurés ! )
Armor ou Comodo sont très bien ( en anglais mais gratuit )...Tu trouveras tout ce qu'il faut ici :
https://www.commentcamarche.net/telecharger/securite/pare-feu/
tutos :
https://www.malekal.com/tutorial-online-armor-free/
https://www.malekal.com/tutorial-comodo-firewall/
( Attention : pour Comodo 3 , choisir uniquement l'installation du pare-feu seul. Ne pas installer la barre d'outil pour les navigateurs ! )
En deuxieme choix ( gratuit aussi ) :
->Comodo ancienne version 2.4 ( en francais ) :
http://download.comodo.com/cpf/download/setups/release/languages/CFP_Setup_English_French_2.4.16.174.exe
tuto: https://infomars.fr/forum/index.php?s=908072e48ff7cf0359366440cb26c93f&showtopic=389
->PC Tools Firewall Plus (en français) :
https://fr.norton.com/
Tuto : http://www.6ma.fr/tuto/utilisation-pc-tools-firewall-plus/
(Note: pensez bien à désactiver le pare-feu de Windows avant de lancer l'installe de tout autre pare-feu !)
* teste l'efficacité de ton pare-feu ici ( à titre indicatif ):
http://www.zebulon.fr/outils/scanports/test-securite.php
* tests firewall: http://www.matousec.com/index.html
=> Un complément au pare-feu pour fermer les ports risqués (dangereux, s’ils restent ouverts) :
ZebProtect (application ne nécessitant pas d’installation à lancer et paramétrer une unique fois) http://telechargement.zebulon.fr/123.html
-Tuto https://www.zebulon.fr/dossiers/autres/40-zebprotect.html
================================================================
Pour une meilleur sécurité lorsque tu surfes :
* Je te conseille d'utiliser le navigateur " FireFox " :
télécharge le ici -> http://www.mozilla-europe.org/fr/
ou -> https://www.commentcamarche.net/telecharger/web-internet/9879-firefox/
( Attention : toujours garder IE sur son PC ! Il est indispensable pour les mises à jour de ton système ainsi que pour pas mal de choses, comme les scan d'antivirus en ligne, ect... )
-> Tutorial pour sécuriser Firefox :
https://www.malekal.com/securiser-le-navigateur-web-firefox-2/
https://forum.zebulon.fr/topic/69628-s%C3%A9curiser-un-peu-plus-firefox/
* tu peux installer cet Add-ons : WOT ( gratuit / compatible IE et FireFox )
-> Firefox https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp - IE https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp
-> Démo : http://www.mywot.com/fr/demo
Très simple et léger , WOT permet d'avoir un aperçu sur la dangerosité et la fiabilité des sites donnés par les moteurs de recherche tel que Google ou Live Search .
> https://www.commentcamarche.net/faq/15620-wot-web-of-trust-essentiel-pour-l-internaute-avise
* Noscript est un autre "Add-ons" ( pour Firefox ) qui empêche l'exécution de scripts en provenance des sites Web.
Il stoppe l'installation de logiciels infectieux via flash, java, javascript et d'autres points d'entrée :
http://www.geekstogo.com/forum/redirect.php?url=http%3A%2F%2Fwww.noscript.net
=================================================================
=> Rappel sur les principales causes d'infection :
A lire > https://www.malekal.com/fichiers/projetantimalwares/prevention-protection.pdf
( merci aux auteurs de ce pdf )
* L'utilisation de cracks ou keygens est à proscrire, de même que le surf sur les sites de téléchargement de ceux-ci :
Les dangers des cracks : http://forum.malekal.com/ftopic893.php
-> Le crack dans toute sa splendeur, journal d'une infection attendue :
https://forum.zebulon.fr/topic/93281-pr%C3%A9vention-le-crack-dans-toute-sa-splendeur/
-> Fléaux du moment par le biais de pseudo crack sur réseau P2P : Virut/Scrible !
> https://www.futura-sciences.com/tech/actualites/informatique-virut-scribble-retour-infection-redoutable-18310/
* Le P2P ( l'utilisation de logiciels comme eMule, Sharazaa, LimeWire, Bit torrent):
Les conséquences du P2P : https://forum.zebulon.fr/topic/85544-pr%C3%A9vention-le-p2p-et-ses-cons%C3%A9quences/
Pourquoi éviter le P2P (emule ,Shareaza, kazza ... ect):
> http://www.libellules.ch/...
> http://www.speedweb1.org/forum-tesgaz/viewtopic.php?t=1793
> https://lexpansion.lexpress.fr/actualite-economique/
* Faire attention avec les ActiveX :
http://assiste.com.free.fr/p/abc/a/activex_dangers.html
et comment :
http://assiste.com.free.fr/p/abc/c/anti_activex.html
* Prévention sur deux autres types d'infection d'actualité :
MSN prévention :
https://forum.zebulon.fr/topic/130590-infection-par-msn-ou-wlm/
-> autre danger grandissant , le " phishing " (= hameçonnage ) :
http://msnfix.changelog.fr/index.php/2008/05/18/32-alerte
Infection par supports amovibles (clefs usb, flash, DD externes ..) :
https://forum.zebulon.fr/topic/131959-infections-par-supports-amovibles/
https://forum.malekal.com/viewtopic.php?f=45&t=5544
* Rappel sur l'utilisation d'une version piratée de Windows :
https://www.commentcamarche.net/faq/2981-j-utilise-une-version-piratee-de-windows
=================================================================
Bon à savoir :
* La "Console de récupération" ( XP ):
face aux nouvelles menaces (attaque du secteur de boot par exemple), la Console de récupération peut être la seule solution pour pallier à un système très endomagé et particulièrement instable.
tutoriels ici :
https://www.pcastuces.com/pratique/windows/xp/console_recuperation/page1.htm .
https://www.informatruc.com
Equivalent Vista : http://www.forum-vista.net/forum/
* Conserve une sauvegarde des fichiers importants ( Sur CD/DVD rom ,DD externe ,ect ...).
* Ne pas telecharger n'importe quoi, éviter les programes gratuits genre smileys, Macrogaming\SweetIM, Boonty games, ...ect
* Analyser les fichiers reçus/téléchargés :
Pour les adeptes du Peer 2 Peer ( que je déconseille fortement ),toujours analyser les fichiers telechargés avec l'antivirus, l'anti-spyware/malaware du PC avant de les executer ... Cela minimise les risques ( mais ceux-ci restent tout de même présents ! )
Ne pas ouvrir les pieces jointes d'un expediteur inconnu et toujours les analyser avant de les ouvrir .
Toujours analyser les fichiers reçus via MSN ou autre avec ton antivirus .
* Idées reçus en sécurité informatique ( très instructif ) >
http://www.libellules.ch/idees_recues_securite.php
=================================================================
( merci le sioux )
voilou ...
bonne suite à toi .... =)
A+
Merci pour ton assistance sKe69, voici le lien :
http://www.cijoint.fr/cjlink.php?file=cj200908/cijA6QLezh.txt
http://www.cijoint.fr/cjlink.php?file=cj200908/cijA6QLezh.txt
Rapport Combofix :
ComboFix 09-08-22.06 - pim 23/08/2009 14:17.2.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.1022.660 [GMT 2:00]
Running from: c:\documents and settings\pim\Bureau\pimfix.exe
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
((((((((((((((((((((((((( Files Created from 2009-07-23 to 2009-08-23 )))))))))))))))))))))))))))))))
.
2009-09-15 11:49 . 2009-09-15 11:49 -------- d-----w- c:\windows\system32\XPSViewer
2009-09-15 11:48 . 2009-09-15 11:48 -------- d-----w- c:\program files\MSBuild
2009-09-15 11:48 . 2009-09-15 11:48 -------- d-----w- c:\program files\Reference Assemblies
2009-09-15 11:46 . 2008-07-06 12:06 117760 ------w- c:\windows\system32\prntvpt.dll
2009-09-15 11:46 . 2008-07-06 12:06 89088 -c----w- c:\windows\system32\dllcache\filterpipelineprintproc.dll
2009-09-15 11:46 . 2008-07-06 12:06 575488 -c----w- c:\windows\system32\dllcache\xpsshhdr.dll
2009-09-15 11:46 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\xpsshhdr.dll
2009-09-15 11:46 . 2008-07-06 10:50 597504 -c----w- c:\windows\system32\dllcache\printfilterpipelinesvc.exe
2009-09-15 11:46 . 2008-07-06 12:06 1676288 -c----w- c:\windows\system32\dllcache\xpssvcs.dll
2009-09-15 11:46 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\xpssvcs.dll
2009-09-15 11:46 . 2009-09-15 11:47 -------- d-----w- C:\728b3cda264b81871d20a9
2009-09-15 11:33 . 2009-09-15 11:33 -------- d-----w- c:\program files\MSXML 6.0
2009-08-23 11:20 . 2009-08-23 11:43 -------- d-----w- c:\program files\ZHPDiag
2009-08-23 09:51 . 2009-08-23 09:51 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Malwarebytes
2009-08-23 09:50 . 2009-08-23 09:50 -------- d-sh--w- c:\documents and settings\Administrateur\PrivacIE
2009-08-23 09:50 . 2009-08-23 09:50 -------- d-sh--w- c:\documents and settings\Administrateur\IETldCache
2009-08-22 11:14 . 2009-08-22 11:15 -------- d-----w- c:\documents and settings\pim\Local Settings\Application Data\Deployment
2009-08-20 14:47 . 2009-08-20 14:47 -------- d-sh--w- c:\documents and settings\LocalService\IETldCache
2009-08-20 12:48 . 2009-08-20 12:48 -------- d-sh--w- c:\documents and settings\pim\IECompatCache
2009-08-20 12:47 . 2009-08-20 12:47 -------- d-sh--w- c:\documents and settings\pim\PrivacIE
2009-08-20 12:46 . 2009-08-20 12:46 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache
2009-08-20 12:46 . 2009-08-20 12:46 -------- d-sh--w- c:\documents and settings\pim\IETldCache
2009-08-20 12:42 . 2009-07-03 16:57 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll
2009-08-20 12:42 . 2009-07-03 16:57 246272 -c----w- c:\windows\system32\dllcache\ieproxy.dll
2009-08-20 12:42 . 2009-08-20 12:42 -------- d-----w- c:\windows\ie8updates
2009-08-20 12:41 . 2009-07-01 07:08 101376 -c----w- c:\windows\system32\dllcache\iecompat.dll
2009-08-20 12:39 . 2009-08-20 12:41 -------- dc-h--w- c:\windows\ie8
2009-08-20 08:21 . 2009-03-06 14:46 286208 -c----w- c:\windows\system32\dllcache\pdh.dll
2009-08-20 08:21 . 2009-02-06 16:39 227840 -c----w- c:\windows\system32\dllcache\wmiprvse.exe
2009-08-20 08:21 . 2005-07-26 04:39 60416 -c----w- c:\windows\system32\dllcache\colbact.dll
2009-08-20 08:21 . 2009-02-09 10:20 685056 -c----w- c:\windows\system32\dllcache\advapi32.dll
2009-08-20 08:21 . 2009-02-09 10:20 473088 -c----w- c:\windows\system32\dllcache\fastprox.dll
2009-08-20 08:21 . 2009-02-09 10:20 399360 -c----w- c:\windows\system32\dllcache\rpcss.dll
2009-08-20 08:21 . 2009-02-09 10:08 111104 -c----w- c:\windows\system32\dllcache\services.exe
2009-08-20 08:21 . 2009-02-09 10:20 739840 -c----w- c:\windows\system32\dllcache\ntdll.dll
2009-08-20 08:21 . 2009-02-09 10:20 453120 -c----w- c:\windows\system32\dllcache\wmiprvsd.dll
2009-08-20 08:19 . 2009-06-05 07:46 655872 -c----w- c:\windows\system32\dllcache\mstscax.dll
2009-08-20 08:19 . 2008-12-16 12:49 351232 -c----w- c:\windows\system32\dllcache\winhttp.dll
2009-08-20 08:18 . 2008-04-21 21:27 219136 -c----w- c:\windows\system32\dllcache\wordpad.exe
2009-08-19 22:27 . 2009-08-23 12:22 394272 --sha-w- c:\windows\system32\drivers\fidbox.dat
2009-08-19 22:27 . 2009-08-23 12:21 7712 --sha-w- c:\windows\system32\drivers\fidbox2.dat
2009-08-19 21:56 . 2009-09-15 11:31 -------- d-----w- c:\program files\Fichiers communs\ParetoLogic
2009-08-19 21:56 . 2009-09-15 11:31 -------- d-----w- c:\documents and settings\All Users\Application Data\ParetoLogic
2009-08-19 20:16 . 2009-08-19 20:16 -------- d-----w- c:\documents and settings\pim\Application Data\Malwarebytes
2009-08-19 20:13 . 2009-08-03 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-19 20:13 . 2009-08-19 20:13 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-08-19 20:13 . 2009-08-19 20:14 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-08-19 20:13 . 2009-08-03 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-08-19 19:09 . 2009-08-19 19:09 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-08-19 19:09 . 2009-08-19 19:09 -------- d-----w- c:\program files\Java
2009-08-19 19:09 . 2009-08-19 19:09 152576 ----a-w- c:\documents and settings\pim\Application Data\Sun\Java\jre1.6.0_15\lzma.dll
2009-08-13 11:48 . 2009-08-13 11:48 -------- d-----w- c:\documents and settings\pim\DoctorWeb
2009-08-10 19:54 . 2009-07-03 14:49 15688 ----a-w- c:\windows\system32\lsdelete.exe
2009-08-10 19:45 . 2009-07-03 14:49 64160 ----a-w- c:\windows\system32\drivers\Lbd.sys
2009-08-10 19:45 . 2009-08-10 19:45 -------- dc-h--w- c:\documents and settings\All Users\Application Data\{EF63305C-BAD7-4144-9208-D65528260864}
2009-08-10 19:45 . 2009-07-08 17:28 2920112 -c--a-w- c:\documents and settings\All Users\Application Data\{EF63305C-BAD7-4144-9208-D65528260864}\Ad-AwareAE.exe
2009-08-10 19:44 . 2009-08-10 19:44 -------- d-----w- c:\program files\Lavasoft
2009-08-10 15:41 . 2009-08-18 21:20 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-08-10 15:41 . 2009-08-10 15:41 -------- d-----w- c:\program files\Avira
2009-08-09 11:30 . 2009-08-09 11:30 86576 ----a-w- c:\documents and settings\pim\Application Data\Microsoft\Services Windows Live\Raccourci Galerie de Photos Windows Live.exe
2009-08-09 11:30 . 2009-08-09 11:30 392728 ----a-w- c:\documents and settings\pim\Application Data\Microsoft\Services Windows Live\Services Windows Live.dll
2009-08-09 11:30 . 2009-08-09 11:30 132672 ----a-w- c:\documents and settings\pim\Application Data\Microsoft\Services Windows Live\Raccourci Windows Live Messenger.exe
2009-08-05 09:06 . 2009-08-05 09:06 205312 -c----w- c:\windows\system32\dllcache\mswebdvd.dll
2009-07-29 04:53 . 2009-07-29 04:53 119808 -c----w- c:\windows\system32\dllcache\t2embed.dll
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-15 09:05 . 2009-03-04 18:11 -------- d-----w- c:\documents and settings\All Users\Application Data\Google Updater
2009-08-22 17:12 . 2008-03-10 21:13 -------- d-----w- c:\documents and settings\pim\Application Data\Azureus
2009-08-22 11:15 . 2007-05-21 22:36 25680 ----a-w- c:\documents and settings\pim\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-08-20 12:44 . 2009-08-19 22:27 1100 --sha-w- c:\windows\system32\drivers\fidbox2.idx
2009-08-20 12:34 . 2001-08-28 12:00 80508 ----a-w- c:\windows\system32\perfc00C.dat
2009-08-20 12:34 . 2001-08-28 12:00 500482 ----a-w- c:\windows\system32\perfh00C.dat
2009-08-20 12:24 . 2009-08-19 22:27 1244 --sha-w- c:\windows\system32\drivers\fidbox.idx
2009-08-19 21:54 . 2008-05-13 10:21 -------- d-----w- c:\program files\AoA Audio Extractor
2009-08-17 09:58 . 2009-05-22 08:56 -------- d-----w- c:\program files\OceanDive
2009-08-10 19:44 . 2009-03-31 20:52 -------- d-----w- c:\documents and settings\All Users\Application Data\Lavasoft
2009-08-07 21:28 . 2007-05-17 11:58 -------- d-----w- c:\program files\Dictionnaire
2009-08-05 09:06 . 2007-05-15 22:30 205312 ----a-w- c:\windows\system32\mswebdvd.dll
2009-07-29 20:48 . 2009-07-03 20:33 -------- d-----w- c:\program files\Vuze
2009-07-29 04:53 . 2001-08-28 12:00 82432 ----a-w- c:\windows\system32\fontsub.dll
2009-07-29 04:53 . 2001-08-28 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-07-21 09:02 . 2007-05-14 09:50 -------- d-----w- c:\documents and settings\pim\Application Data\dvdcss
2009-07-17 22:12 . 2007-05-12 23:55 -------- d-----w- c:\program files\Spybot - Search & Destroy
2009-07-17 22:12 . 2007-05-12 23:55 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-07-17 18:56 . 2001-08-28 12:00 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-17 18:45 . 2009-06-17 21:26 -------- d-----w- c:\documents and settings\pim\Application Data\Petroglyph
2009-07-17 18:45 . 2008-08-20 17:41 -------- d-----w- c:\program files\LucasArts
2009-07-13 21:43 . 2004-08-19 23:09 286208 ----a-w- c:\windows\system32\wmpdxm.dll
2009-07-06 19:55 . 2009-07-06 14:06 -------- d-----w- c:\program files\vghd
2009-07-06 15:16 . 2009-07-06 14:06 -------- d-----w- c:\documents and settings\pim\Application Data\vghd
2009-07-06 14:33 . 2009-07-06 14:06 3 ----a-w- c:\windows\sbacknt.bin
2009-07-06 14:06 . 2009-07-06 14:06 152904 ----a-w- c:\windows\system32\vghd.scr
2009-07-03 20:35 . 2009-07-03 20:35 -------- d-----w- c:\documents and settings\All Users\Application Data\Azureus
2009-07-03 16:57 . 2001-08-28 12:00 915456 ------w- c:\windows\system32\wininet.dll
2009-07-03 01:17 . 2009-05-11 19:13 335 ----a-w- c:\windows\nsreg.dat
2009-06-25 18:36 . 2001-08-28 12:00 95744 ----a-w- c:\windows\system32\mqsec.dll
2009-06-25 18:36 . 2001-08-28 12:00 661504 ----a-w- c:\windows\system32\mqqm.dll
2009-06-25 18:36 . 2001-08-28 12:00 527360 ----a-w- c:\windows\system32\mqutil.dll
2009-06-25 18:36 . 2001-08-28 12:00 517120 ----a-w- c:\windows\system32\mqsnap.dll
2009-06-25 18:36 . 2001-08-28 12:00 48640 ----a-w- c:\windows\system32\mqupgrd.dll
2009-06-25 18:36 . 2001-08-28 12:00 186880 ----a-w- c:\windows\system32\mqtrig.dll
2009-06-25 18:36 . 2001-08-28 12:00 177152 ----a-w- c:\windows\system32\mqrt.dll
2009-06-25 18:36 . 2001-08-28 12:00 123392 ----a-w- c:\windows\system32\mqrtdep.dll
2009-06-25 18:36 . 2001-08-28 12:00 47104 ----a-w- c:\windows\system32\mqdscli.dll
2009-06-25 18:36 . 2001-08-28 12:00 225280 ----a-w- c:\windows\system32\mqoa.dll
2009-06-25 18:36 . 2001-08-28 12:00 16896 ----a-w- c:\windows\system32\mqise.dll
2009-06-25 18:36 . 2001-08-28 12:00 138240 ----a-w- c:\windows\system32\mqad.dll
2009-06-22 11:49 . 2001-08-28 12:00 19968 ----a-w- c:\windows\system32\mqbkup.exe
2009-06-22 11:49 . 2001-08-28 12:00 117248 ----a-w- c:\windows\system32\mqtgsvc.exe
2009-06-22 11:49 . 2001-08-28 12:00 4608 ----a-w- c:\windows\system32\mqsvc.exe
2009-06-22 11:48 . 2001-08-28 12:00 91776 ----a-w- c:\windows\system32\drivers\mqac.sys
2009-06-17 21:24 . 2007-05-28 19:21 107888 ----a-w- c:\windows\system32\CmdLineExt.dll
2009-06-15 11:33 . 2001-08-28 12:00 78848 ----a-w- c:\windows\system32\telnet.exe
2009-06-15 11:32 . 2001-08-28 12:00 82944 ----a-w- c:\windows\system32\tlntsess.exe
2009-06-10 14:23 . 2001-08-28 12:00 85504 ----a-w- c:\windows\system32\avifil32.dll
2009-06-10 06:30 . 2001-08-28 12:00 132096 ----a-w- c:\windows\system32\wkssvc.dll
2009-06-05 07:46 . 2007-05-12 23:29 655872 ----a-w- c:\windows\system32\mstscax.dll
2009-06-03 19:27 . 2007-05-15 22:30 1296896 ----a-w- c:\windows\system32\quartz.dll
2007-09-03 15:28 . 2007-09-03 15:28 5 ----a-w- c:\program files\lang.cfg
2006-10-07 19:54 . 2006-05-28 15:45 390023 --sha-r- c:\program files\wunauclt.zip
2006-10-07 19:54 . 2006-05-28 15:45 390023 --sha-r- c:\program files\wunauclt.tbe
2006-08-27 14:38 . 2006-08-27 14:39 1015973 --sha-r- c:\program files\serial.tde
2006-08-27 14:19 . 2006-08-27 14:19 56239 ----a-w- c:\program files\svchosts.tbe
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSConfig"="c:\windows\pchealth\helpctr\Binaries\MSCONFIG.EXE" [2004-08-19 160768]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-19 15360]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^pim^Menu Démarrer^Programmes^Démarrage^fsbackup.lnk]
path=c:\documents and settings\pim\Menu Démarrer\Programmes\Démarrage\fsbackup.lnk
backup=c:\windows\pss\fsbackup.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"NBService"=3 (0x3)
"PnkBstrA"=2 (0x2)
"idsvc"=3 (0x3)
"IDriverT"=3 (0x3)
"gusvc"=2 (0x2)
"ASKUpgrade"=2 (0x2)
"npggsvc"=3 (0x3)
"AntiVirService"=2 (0x2)
"AntiVirSchedulerService"=2 (0x2)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\LucasArts\\Star Wars Empire at War\\GameData\\sweaw.exe"=
"c:\\Program Files\\Vuze\\Azureus.exe"=
"%windir%\\system32\\drivers\\svchost.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"63032:TCP"= 63032:TCP:*:Disabled:SolidNetworkManager
"63032:UDP"= 63032:UDP:*:Disabled:SolidNetworkManager
"5386:TCP"= 5386:TCP:*:Disabled:SolidNetworkManager
"5386:UDP"= 5386:UDP:*:Disabled:SolidNetworkManager
"8192:TCP"= 8192:TCP:*:Disabled:SolidNetworkManager
"8192:UDP"= 8192:UDP:*:Disabled:SolidNetworkManager
R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [10/08/2009 21:45 64160]
S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [03/07/2009 16:49 1029456]
S3 XDva252;XDva252;\??\c:\windows\system32\XDva252.sys --> c:\windows\system32\XDva252.sys [?]
S4 ASKUpgrade;ASKUpgrade;c:\program files\AskBarDis\bar\bin\ASKUpgrade.exe --> c:\program files\AskBarDis\bar\bin\ASKUpgrade.exe [?]
S4 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]
--- Other Services/Drivers In Memory ---
*Deregistered* - avgio
*Deregistered* - avipbb
*Deregistered* - ssmdrv
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Contents of the 'Scheduled Tasks' folder
2009-08-10 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-07-03 14:49]
2009-08-23 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-05-12 21:27]
2009-08-22 c:\windows\Tasks\User_Feed_Synchronization-{DB953880-083E-4816-B4C5-20F20CBD34C6}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 02:31]
.
- - - - ORPHANS REMOVED - - - -
Toolbar-{3041d03e-fd4b-44e0-b742-2d9b88305f98} - c:\program files\AskBarDis\bar\bin\askBar.dll
WebBrowser-{3041D03E-FD4B-44E0-B742-2D9B88305F98} - c:\program files\AskBarDis\bar\bin\askBar.dll
.
------- Supplementary Scan -------
.
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uStart Page = hxxp://shotokukan.110mb.com/1024/index.htm
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} - hxxps://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.0.cab
FF - ProfilePath - c:\documents and settings\pim\Application Data\Mozilla\Firefox\Profiles\880hc0pi.default\
FF - prefs.js: browser.startup.homepage - hxxp://shotokukan.110mb.com/1024/index.htm
FF - plugin: c:\program files\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\program files\MpcStar\Codecs\Real\browser\plugins\nppl3260.dll
FF - plugin: c:\program files\MpcStar\Codecs\Real\browser\plugins\nprpjplug.dll
---- FIREFOX POLICIES ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota", 5120);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json");
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-23 14:22
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- DLLs Loaded Under Running Processes ---------------------
- - - - - - - > 'winlogon.exe'(632)
c:\windows\system32\Ati2evxx.dll
- - - - - - - > 'explorer.exe'(2304)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Completion time: 2009-08-23 14:24
ComboFix-quarantined-files.txt 2009-08-23 12:24
ComboFix2.txt 2009-08-23 11:05
Pre-Run: 587 681 792 octets libres
Post-Run: 529 031 168 octets libres
286 --- E O F --- 2009-08-20 17:07
Rapport ZHPFix :
ZHPFix v1.12.09 by Nicolas Coolman - Rapport de suppression du 23/08/2009 13:44:59
Fichier Registre : C:\ZHPExportRegistry-23-08-2009-13-43-18.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Processus mémoire :
(Néant)
Module mémoire :
(Néant)
Clé du Registre :
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll => Registry key not found
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AskBarDis\bar\bin\askBar.dll => Registry key not found
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\AskBarDis\bar\bin\askBar.dll => Registry key not found
Valeur du Registre :
(Néant)
Elément de données du Registre :
(Néant)
Dossier :
C:\Program Files\AskBarDis => Folder not found
Fichier :
C:\Program Files\AskBarDis\bar\bin\askBar.dll => File not found
Logiciel :
(Néant)
Autre :
(Néant)
Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 3
Valeur du Registre : 0
Elément de données du Registre : 0
Dossier : 1
Fichier : 1
Logiciel : 0
Autre : 0
End of the scan
ComboFix 09-08-22.06 - pim 23/08/2009 14:17.2.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.1022.660 [GMT 2:00]
Running from: c:\documents and settings\pim\Bureau\pimfix.exe
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
((((((((((((((((((((((((( Files Created from 2009-07-23 to 2009-08-23 )))))))))))))))))))))))))))))))
.
2009-09-15 11:49 . 2009-09-15 11:49 -------- d-----w- c:\windows\system32\XPSViewer
2009-09-15 11:48 . 2009-09-15 11:48 -------- d-----w- c:\program files\MSBuild
2009-09-15 11:48 . 2009-09-15 11:48 -------- d-----w- c:\program files\Reference Assemblies
2009-09-15 11:46 . 2008-07-06 12:06 117760 ------w- c:\windows\system32\prntvpt.dll
2009-09-15 11:46 . 2008-07-06 12:06 89088 -c----w- c:\windows\system32\dllcache\filterpipelineprintproc.dll
2009-09-15 11:46 . 2008-07-06 12:06 575488 -c----w- c:\windows\system32\dllcache\xpsshhdr.dll
2009-09-15 11:46 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\xpsshhdr.dll
2009-09-15 11:46 . 2008-07-06 10:50 597504 -c----w- c:\windows\system32\dllcache\printfilterpipelinesvc.exe
2009-09-15 11:46 . 2008-07-06 12:06 1676288 -c----w- c:\windows\system32\dllcache\xpssvcs.dll
2009-09-15 11:46 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\xpssvcs.dll
2009-09-15 11:46 . 2009-09-15 11:47 -------- d-----w- C:\728b3cda264b81871d20a9
2009-09-15 11:33 . 2009-09-15 11:33 -------- d-----w- c:\program files\MSXML 6.0
2009-08-23 11:20 . 2009-08-23 11:43 -------- d-----w- c:\program files\ZHPDiag
2009-08-23 09:51 . 2009-08-23 09:51 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Malwarebytes
2009-08-23 09:50 . 2009-08-23 09:50 -------- d-sh--w- c:\documents and settings\Administrateur\PrivacIE
2009-08-23 09:50 . 2009-08-23 09:50 -------- d-sh--w- c:\documents and settings\Administrateur\IETldCache
2009-08-22 11:14 . 2009-08-22 11:15 -------- d-----w- c:\documents and settings\pim\Local Settings\Application Data\Deployment
2009-08-20 14:47 . 2009-08-20 14:47 -------- d-sh--w- c:\documents and settings\LocalService\IETldCache
2009-08-20 12:48 . 2009-08-20 12:48 -------- d-sh--w- c:\documents and settings\pim\IECompatCache
2009-08-20 12:47 . 2009-08-20 12:47 -------- d-sh--w- c:\documents and settings\pim\PrivacIE
2009-08-20 12:46 . 2009-08-20 12:46 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache
2009-08-20 12:46 . 2009-08-20 12:46 -------- d-sh--w- c:\documents and settings\pim\IETldCache
2009-08-20 12:42 . 2009-07-03 16:57 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll
2009-08-20 12:42 . 2009-07-03 16:57 246272 -c----w- c:\windows\system32\dllcache\ieproxy.dll
2009-08-20 12:42 . 2009-08-20 12:42 -------- d-----w- c:\windows\ie8updates
2009-08-20 12:41 . 2009-07-01 07:08 101376 -c----w- c:\windows\system32\dllcache\iecompat.dll
2009-08-20 12:39 . 2009-08-20 12:41 -------- dc-h--w- c:\windows\ie8
2009-08-20 08:21 . 2009-03-06 14:46 286208 -c----w- c:\windows\system32\dllcache\pdh.dll
2009-08-20 08:21 . 2009-02-06 16:39 227840 -c----w- c:\windows\system32\dllcache\wmiprvse.exe
2009-08-20 08:21 . 2005-07-26 04:39 60416 -c----w- c:\windows\system32\dllcache\colbact.dll
2009-08-20 08:21 . 2009-02-09 10:20 685056 -c----w- c:\windows\system32\dllcache\advapi32.dll
2009-08-20 08:21 . 2009-02-09 10:20 473088 -c----w- c:\windows\system32\dllcache\fastprox.dll
2009-08-20 08:21 . 2009-02-09 10:20 399360 -c----w- c:\windows\system32\dllcache\rpcss.dll
2009-08-20 08:21 . 2009-02-09 10:08 111104 -c----w- c:\windows\system32\dllcache\services.exe
2009-08-20 08:21 . 2009-02-09 10:20 739840 -c----w- c:\windows\system32\dllcache\ntdll.dll
2009-08-20 08:21 . 2009-02-09 10:20 453120 -c----w- c:\windows\system32\dllcache\wmiprvsd.dll
2009-08-20 08:19 . 2009-06-05 07:46 655872 -c----w- c:\windows\system32\dllcache\mstscax.dll
2009-08-20 08:19 . 2008-12-16 12:49 351232 -c----w- c:\windows\system32\dllcache\winhttp.dll
2009-08-20 08:18 . 2008-04-21 21:27 219136 -c----w- c:\windows\system32\dllcache\wordpad.exe
2009-08-19 22:27 . 2009-08-23 12:22 394272 --sha-w- c:\windows\system32\drivers\fidbox.dat
2009-08-19 22:27 . 2009-08-23 12:21 7712 --sha-w- c:\windows\system32\drivers\fidbox2.dat
2009-08-19 21:56 . 2009-09-15 11:31 -------- d-----w- c:\program files\Fichiers communs\ParetoLogic
2009-08-19 21:56 . 2009-09-15 11:31 -------- d-----w- c:\documents and settings\All Users\Application Data\ParetoLogic
2009-08-19 20:16 . 2009-08-19 20:16 -------- d-----w- c:\documents and settings\pim\Application Data\Malwarebytes
2009-08-19 20:13 . 2009-08-03 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-19 20:13 . 2009-08-19 20:13 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-08-19 20:13 . 2009-08-19 20:14 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-08-19 20:13 . 2009-08-03 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-08-19 19:09 . 2009-08-19 19:09 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-08-19 19:09 . 2009-08-19 19:09 -------- d-----w- c:\program files\Java
2009-08-19 19:09 . 2009-08-19 19:09 152576 ----a-w- c:\documents and settings\pim\Application Data\Sun\Java\jre1.6.0_15\lzma.dll
2009-08-13 11:48 . 2009-08-13 11:48 -------- d-----w- c:\documents and settings\pim\DoctorWeb
2009-08-10 19:54 . 2009-07-03 14:49 15688 ----a-w- c:\windows\system32\lsdelete.exe
2009-08-10 19:45 . 2009-07-03 14:49 64160 ----a-w- c:\windows\system32\drivers\Lbd.sys
2009-08-10 19:45 . 2009-08-10 19:45 -------- dc-h--w- c:\documents and settings\All Users\Application Data\{EF63305C-BAD7-4144-9208-D65528260864}
2009-08-10 19:45 . 2009-07-08 17:28 2920112 -c--a-w- c:\documents and settings\All Users\Application Data\{EF63305C-BAD7-4144-9208-D65528260864}\Ad-AwareAE.exe
2009-08-10 19:44 . 2009-08-10 19:44 -------- d-----w- c:\program files\Lavasoft
2009-08-10 15:41 . 2009-08-18 21:20 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-08-10 15:41 . 2009-08-10 15:41 -------- d-----w- c:\program files\Avira
2009-08-09 11:30 . 2009-08-09 11:30 86576 ----a-w- c:\documents and settings\pim\Application Data\Microsoft\Services Windows Live\Raccourci Galerie de Photos Windows Live.exe
2009-08-09 11:30 . 2009-08-09 11:30 392728 ----a-w- c:\documents and settings\pim\Application Data\Microsoft\Services Windows Live\Services Windows Live.dll
2009-08-09 11:30 . 2009-08-09 11:30 132672 ----a-w- c:\documents and settings\pim\Application Data\Microsoft\Services Windows Live\Raccourci Windows Live Messenger.exe
2009-08-05 09:06 . 2009-08-05 09:06 205312 -c----w- c:\windows\system32\dllcache\mswebdvd.dll
2009-07-29 04:53 . 2009-07-29 04:53 119808 -c----w- c:\windows\system32\dllcache\t2embed.dll
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-15 09:05 . 2009-03-04 18:11 -------- d-----w- c:\documents and settings\All Users\Application Data\Google Updater
2009-08-22 17:12 . 2008-03-10 21:13 -------- d-----w- c:\documents and settings\pim\Application Data\Azureus
2009-08-22 11:15 . 2007-05-21 22:36 25680 ----a-w- c:\documents and settings\pim\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-08-20 12:44 . 2009-08-19 22:27 1100 --sha-w- c:\windows\system32\drivers\fidbox2.idx
2009-08-20 12:34 . 2001-08-28 12:00 80508 ----a-w- c:\windows\system32\perfc00C.dat
2009-08-20 12:34 . 2001-08-28 12:00 500482 ----a-w- c:\windows\system32\perfh00C.dat
2009-08-20 12:24 . 2009-08-19 22:27 1244 --sha-w- c:\windows\system32\drivers\fidbox.idx
2009-08-19 21:54 . 2008-05-13 10:21 -------- d-----w- c:\program files\AoA Audio Extractor
2009-08-17 09:58 . 2009-05-22 08:56 -------- d-----w- c:\program files\OceanDive
2009-08-10 19:44 . 2009-03-31 20:52 -------- d-----w- c:\documents and settings\All Users\Application Data\Lavasoft
2009-08-07 21:28 . 2007-05-17 11:58 -------- d-----w- c:\program files\Dictionnaire
2009-08-05 09:06 . 2007-05-15 22:30 205312 ----a-w- c:\windows\system32\mswebdvd.dll
2009-07-29 20:48 . 2009-07-03 20:33 -------- d-----w- c:\program files\Vuze
2009-07-29 04:53 . 2001-08-28 12:00 82432 ----a-w- c:\windows\system32\fontsub.dll
2009-07-29 04:53 . 2001-08-28 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-07-21 09:02 . 2007-05-14 09:50 -------- d-----w- c:\documents and settings\pim\Application Data\dvdcss
2009-07-17 22:12 . 2007-05-12 23:55 -------- d-----w- c:\program files\Spybot - Search & Destroy
2009-07-17 22:12 . 2007-05-12 23:55 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-07-17 18:56 . 2001-08-28 12:00 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-17 18:45 . 2009-06-17 21:26 -------- d-----w- c:\documents and settings\pim\Application Data\Petroglyph
2009-07-17 18:45 . 2008-08-20 17:41 -------- d-----w- c:\program files\LucasArts
2009-07-13 21:43 . 2004-08-19 23:09 286208 ----a-w- c:\windows\system32\wmpdxm.dll
2009-07-06 19:55 . 2009-07-06 14:06 -------- d-----w- c:\program files\vghd
2009-07-06 15:16 . 2009-07-06 14:06 -------- d-----w- c:\documents and settings\pim\Application Data\vghd
2009-07-06 14:33 . 2009-07-06 14:06 3 ----a-w- c:\windows\sbacknt.bin
2009-07-06 14:06 . 2009-07-06 14:06 152904 ----a-w- c:\windows\system32\vghd.scr
2009-07-03 20:35 . 2009-07-03 20:35 -------- d-----w- c:\documents and settings\All Users\Application Data\Azureus
2009-07-03 16:57 . 2001-08-28 12:00 915456 ------w- c:\windows\system32\wininet.dll
2009-07-03 01:17 . 2009-05-11 19:13 335 ----a-w- c:\windows\nsreg.dat
2009-06-25 18:36 . 2001-08-28 12:00 95744 ----a-w- c:\windows\system32\mqsec.dll
2009-06-25 18:36 . 2001-08-28 12:00 661504 ----a-w- c:\windows\system32\mqqm.dll
2009-06-25 18:36 . 2001-08-28 12:00 527360 ----a-w- c:\windows\system32\mqutil.dll
2009-06-25 18:36 . 2001-08-28 12:00 517120 ----a-w- c:\windows\system32\mqsnap.dll
2009-06-25 18:36 . 2001-08-28 12:00 48640 ----a-w- c:\windows\system32\mqupgrd.dll
2009-06-25 18:36 . 2001-08-28 12:00 186880 ----a-w- c:\windows\system32\mqtrig.dll
2009-06-25 18:36 . 2001-08-28 12:00 177152 ----a-w- c:\windows\system32\mqrt.dll
2009-06-25 18:36 . 2001-08-28 12:00 123392 ----a-w- c:\windows\system32\mqrtdep.dll
2009-06-25 18:36 . 2001-08-28 12:00 47104 ----a-w- c:\windows\system32\mqdscli.dll
2009-06-25 18:36 . 2001-08-28 12:00 225280 ----a-w- c:\windows\system32\mqoa.dll
2009-06-25 18:36 . 2001-08-28 12:00 16896 ----a-w- c:\windows\system32\mqise.dll
2009-06-25 18:36 . 2001-08-28 12:00 138240 ----a-w- c:\windows\system32\mqad.dll
2009-06-22 11:49 . 2001-08-28 12:00 19968 ----a-w- c:\windows\system32\mqbkup.exe
2009-06-22 11:49 . 2001-08-28 12:00 117248 ----a-w- c:\windows\system32\mqtgsvc.exe
2009-06-22 11:49 . 2001-08-28 12:00 4608 ----a-w- c:\windows\system32\mqsvc.exe
2009-06-22 11:48 . 2001-08-28 12:00 91776 ----a-w- c:\windows\system32\drivers\mqac.sys
2009-06-17 21:24 . 2007-05-28 19:21 107888 ----a-w- c:\windows\system32\CmdLineExt.dll
2009-06-15 11:33 . 2001-08-28 12:00 78848 ----a-w- c:\windows\system32\telnet.exe
2009-06-15 11:32 . 2001-08-28 12:00 82944 ----a-w- c:\windows\system32\tlntsess.exe
2009-06-10 14:23 . 2001-08-28 12:00 85504 ----a-w- c:\windows\system32\avifil32.dll
2009-06-10 06:30 . 2001-08-28 12:00 132096 ----a-w- c:\windows\system32\wkssvc.dll
2009-06-05 07:46 . 2007-05-12 23:29 655872 ----a-w- c:\windows\system32\mstscax.dll
2009-06-03 19:27 . 2007-05-15 22:30 1296896 ----a-w- c:\windows\system32\quartz.dll
2007-09-03 15:28 . 2007-09-03 15:28 5 ----a-w- c:\program files\lang.cfg
2006-10-07 19:54 . 2006-05-28 15:45 390023 --sha-r- c:\program files\wunauclt.zip
2006-10-07 19:54 . 2006-05-28 15:45 390023 --sha-r- c:\program files\wunauclt.tbe
2006-08-27 14:38 . 2006-08-27 14:39 1015973 --sha-r- c:\program files\serial.tde
2006-08-27 14:19 . 2006-08-27 14:19 56239 ----a-w- c:\program files\svchosts.tbe
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSConfig"="c:\windows\pchealth\helpctr\Binaries\MSCONFIG.EXE" [2004-08-19 160768]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-19 15360]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^pim^Menu Démarrer^Programmes^Démarrage^fsbackup.lnk]
path=c:\documents and settings\pim\Menu Démarrer\Programmes\Démarrage\fsbackup.lnk
backup=c:\windows\pss\fsbackup.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"NBService"=3 (0x3)
"PnkBstrA"=2 (0x2)
"idsvc"=3 (0x3)
"IDriverT"=3 (0x3)
"gusvc"=2 (0x2)
"ASKUpgrade"=2 (0x2)
"npggsvc"=3 (0x3)
"AntiVirService"=2 (0x2)
"AntiVirSchedulerService"=2 (0x2)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\LucasArts\\Star Wars Empire at War\\GameData\\sweaw.exe"=
"c:\\Program Files\\Vuze\\Azureus.exe"=
"%windir%\\system32\\drivers\\svchost.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"63032:TCP"= 63032:TCP:*:Disabled:SolidNetworkManager
"63032:UDP"= 63032:UDP:*:Disabled:SolidNetworkManager
"5386:TCP"= 5386:TCP:*:Disabled:SolidNetworkManager
"5386:UDP"= 5386:UDP:*:Disabled:SolidNetworkManager
"8192:TCP"= 8192:TCP:*:Disabled:SolidNetworkManager
"8192:UDP"= 8192:UDP:*:Disabled:SolidNetworkManager
R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [10/08/2009 21:45 64160]
S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [03/07/2009 16:49 1029456]
S3 XDva252;XDva252;\??\c:\windows\system32\XDva252.sys --> c:\windows\system32\XDva252.sys [?]
S4 ASKUpgrade;ASKUpgrade;c:\program files\AskBarDis\bar\bin\ASKUpgrade.exe --> c:\program files\AskBarDis\bar\bin\ASKUpgrade.exe [?]
S4 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]
--- Other Services/Drivers In Memory ---
*Deregistered* - avgio
*Deregistered* - avipbb
*Deregistered* - ssmdrv
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Contents of the 'Scheduled Tasks' folder
2009-08-10 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-07-03 14:49]
2009-08-23 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-05-12 21:27]
2009-08-22 c:\windows\Tasks\User_Feed_Synchronization-{DB953880-083E-4816-B4C5-20F20CBD34C6}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 02:31]
.
- - - - ORPHANS REMOVED - - - -
Toolbar-{3041d03e-fd4b-44e0-b742-2d9b88305f98} - c:\program files\AskBarDis\bar\bin\askBar.dll
WebBrowser-{3041D03E-FD4B-44E0-B742-2D9B88305F98} - c:\program files\AskBarDis\bar\bin\askBar.dll
.
------- Supplementary Scan -------
.
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uStart Page = hxxp://shotokukan.110mb.com/1024/index.htm
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} - hxxps://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.0.cab
FF - ProfilePath - c:\documents and settings\pim\Application Data\Mozilla\Firefox\Profiles\880hc0pi.default\
FF - prefs.js: browser.startup.homepage - hxxp://shotokukan.110mb.com/1024/index.htm
FF - plugin: c:\program files\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\program files\MpcStar\Codecs\Real\browser\plugins\nppl3260.dll
FF - plugin: c:\program files\MpcStar\Codecs\Real\browser\plugins\nprpjplug.dll
---- FIREFOX POLICIES ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota", 5120);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json");
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-23 14:22
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- DLLs Loaded Under Running Processes ---------------------
- - - - - - - > 'winlogon.exe'(632)
c:\windows\system32\Ati2evxx.dll
- - - - - - - > 'explorer.exe'(2304)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Completion time: 2009-08-23 14:24
ComboFix-quarantined-files.txt 2009-08-23 12:24
ComboFix2.txt 2009-08-23 11:05
Pre-Run: 587 681 792 octets libres
Post-Run: 529 031 168 octets libres
286 --- E O F --- 2009-08-20 17:07
Rapport ZHPFix :
ZHPFix v1.12.09 by Nicolas Coolman - Rapport de suppression du 23/08/2009 13:44:59
Fichier Registre : C:\ZHPExportRegistry-23-08-2009-13-43-18.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Processus mémoire :
(Néant)
Module mémoire :
(Néant)
Clé du Registre :
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll => Registry key not found
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AskBarDis\bar\bin\askBar.dll => Registry key not found
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\AskBarDis\bar\bin\askBar.dll => Registry key not found
Valeur du Registre :
(Néant)
Elément de données du Registre :
(Néant)
Dossier :
C:\Program Files\AskBarDis => Folder not found
Fichier :
C:\Program Files\AskBarDis\bar\bin\askBar.dll => File not found
Logiciel :
(Néant)
Autre :
(Néant)
Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 3
Valeur du Registre : 0
Elément de données du Registre : 0
Dossier : 1
Fichier : 1
Logiciel : 0
Autre : 0
End of the scan
Rapport ComboFix :
ComboFix 09-08-22.06 - pim 23/08/2009 14:50.3.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.1022.628 [GMT 2:00]
Running from: c:\documents and settings\pim\Bureau\pimfix.exe
Command switches used :: c:\documents and settings\pim\Bureau\CFScript.txt
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_ASKUPGRADE
-------\Legacy_XDVA252
-------\Service_ASKUpgrade
-------\Service_npggsvc
-------\Service_XDva252
((((((((((((((((((((((((( Files Created from 2009-07-23 to 2009-08-23 )))))))))))))))))))))))))))))))
.
2009-09-15 11:49 . 2009-09-15 11:49 -------- d-----w- c:\windows\system32\XPSViewer
2009-09-15 11:48 . 2009-09-15 11:48 -------- d-----w- c:\program files\MSBuild
2009-09-15 11:48 . 2009-09-15 11:48 -------- d-----w- c:\program files\Reference Assemblies
2009-09-15 11:46 . 2008-07-06 12:06 117760 ------w- c:\windows\system32\prntvpt.dll
2009-09-15 11:46 . 2008-07-06 12:06 89088 -c----w- c:\windows\system32\dllcache\filterpipelineprintproc.dll
2009-09-15 11:46 . 2008-07-06 12:06 575488 -c----w- c:\windows\system32\dllcache\xpsshhdr.dll
2009-09-15 11:46 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\xpsshhdr.dll
2009-09-15 11:46 . 2008-07-06 10:50 597504 -c----w- c:\windows\system32\dllcache\printfilterpipelinesvc.exe
2009-09-15 11:46 . 2008-07-06 12:06 1676288 -c----w- c:\windows\system32\dllcache\xpssvcs.dll
2009-09-15 11:46 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\xpssvcs.dll
2009-09-15 11:46 . 2009-09-15 11:47 -------- d-----w- C:\728b3cda264b81871d20a9
2009-09-15 11:33 . 2009-09-15 11:33 -------- d-----w- c:\program files\MSXML 6.0
2009-08-23 11:20 . 2009-08-23 11:43 -------- d-----w- c:\program files\ZHPDiag
2009-08-23 09:51 . 2009-08-23 09:51 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Malwarebytes
2009-08-23 09:50 . 2009-08-23 09:50 -------- d-sh--w- c:\documents and settings\Administrateur\PrivacIE
2009-08-23 09:50 . 2009-08-23 09:50 -------- d-sh--w- c:\documents and settings\Administrateur\IETldCache
2009-08-22 11:14 . 2009-08-22 11:15 -------- d-----w- c:\documents and settings\pim\Local Settings\Application Data\Deployment
2009-08-20 14:47 . 2009-08-20 14:47 -------- d-sh--w- c:\documents and settings\LocalService\IETldCache
2009-08-20 12:48 . 2009-08-20 12:48 -------- d-sh--w- c:\documents and settings\pim\IECompatCache
2009-08-20 12:47 . 2009-08-20 12:47 -------- d-sh--w- c:\documents and settings\pim\PrivacIE
2009-08-20 12:46 . 2009-08-20 12:46 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache
2009-08-20 12:46 . 2009-08-20 12:46 -------- d-sh--w- c:\documents and settings\pim\IETldCache
2009-08-20 12:42 . 2009-07-03 16:57 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll
2009-08-20 12:42 . 2009-07-03 16:57 246272 -c----w- c:\windows\system32\dllcache\ieproxy.dll
2009-08-20 12:42 . 2009-08-20 12:42 -------- d-----w- c:\windows\ie8updates
2009-08-20 12:41 . 2009-07-01 07:08 101376 -c----w- c:\windows\system32\dllcache\iecompat.dll
2009-08-20 12:39 . 2009-08-20 12:41 -------- dc-h--w- c:\windows\ie8
2009-08-20 08:21 . 2009-03-06 14:46 286208 -c----w- c:\windows\system32\dllcache\pdh.dll
2009-08-20 08:21 . 2009-02-06 16:39 227840 -c----w- c:\windows\system32\dllcache\wmiprvse.exe
2009-08-20 08:21 . 2005-07-26 04:39 60416 -c----w- c:\windows\system32\dllcache\colbact.dll
2009-08-20 08:21 . 2009-02-09 10:20 685056 -c----w- c:\windows\system32\dllcache\advapi32.dll
2009-08-20 08:21 . 2009-02-09 10:20 473088 -c----w- c:\windows\system32\dllcache\fastprox.dll
2009-08-20 08:21 . 2009-02-09 10:20 399360 -c----w- c:\windows\system32\dllcache\rpcss.dll
2009-08-20 08:21 . 2009-02-09 10:08 111104 -c----w- c:\windows\system32\dllcache\services.exe
2009-08-20 08:21 . 2009-02-09 10:20 739840 -c----w- c:\windows\system32\dllcache\ntdll.dll
2009-08-20 08:21 . 2009-02-09 10:20 453120 -c----w- c:\windows\system32\dllcache\wmiprvsd.dll
2009-08-20 08:19 . 2009-06-05 07:46 655872 -c----w- c:\windows\system32\dllcache\mstscax.dll
2009-08-20 08:19 . 2008-12-16 12:49 351232 -c----w- c:\windows\system32\dllcache\winhttp.dll
2009-08-20 08:18 . 2008-04-21 21:27 219136 -c----w- c:\windows\system32\dllcache\wordpad.exe
2009-08-19 22:27 . 2009-08-23 12:54 492832 --sha-w- c:\windows\system32\drivers\fidbox.dat
2009-08-19 22:27 . 2009-08-23 12:54 11552 --sha-w- c:\windows\system32\drivers\fidbox2.dat
2009-08-19 21:56 . 2009-09-15 11:31 -------- d-----w- c:\program files\Fichiers communs\ParetoLogic
2009-08-19 21:56 . 2009-09-15 11:31 -------- d-----w- c:\documents and settings\All Users\Application Data\ParetoLogic
2009-08-19 20:16 . 2009-08-19 20:16 -------- d-----w- c:\documents and settings\pim\Application Data\Malwarebytes
2009-08-19 20:13 . 2009-08-03 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-19 20:13 . 2009-08-19 20:13 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-08-19 20:13 . 2009-08-19 20:14 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-08-19 20:13 . 2009-08-03 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-08-19 19:09 . 2009-08-19 19:09 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-08-19 19:09 . 2009-08-19 19:09 -------- d-----w- c:\program files\Java
2009-08-19 19:09 . 2009-08-19 19:09 152576 ----a-w- c:\documents and settings\pim\Application Data\Sun\Java\jre1.6.0_15\lzma.dll
2009-08-13 11:48 . 2009-08-13 11:48 -------- d-----w- c:\documents and settings\pim\DoctorWeb
2009-08-10 19:54 . 2009-07-03 14:49 15688 ----a-w- c:\windows\system32\lsdelete.exe
2009-08-10 19:45 . 2009-07-03 14:49 64160 ----a-w- c:\windows\system32\drivers\Lbd.sys
2009-08-10 19:45 . 2009-08-10 19:45 -------- dc-h--w- c:\documents and settings\All Users\Application Data\{EF63305C-BAD7-4144-9208-D65528260864}
2009-08-10 19:45 . 2009-07-08 17:28 2920112 -c--a-w- c:\documents and settings\All Users\Application Data\{EF63305C-BAD7-4144-9208-D65528260864}\Ad-AwareAE.exe
2009-08-10 19:44 . 2009-08-10 19:44 -------- d-----w- c:\program files\Lavasoft
2009-08-10 15:41 . 2009-08-18 21:20 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-08-09 11:30 . 2009-08-09 11:30 86576 ----a-w- c:\documents and settings\pim\Application Data\Microsoft\Services Windows Live\Raccourci Galerie de Photos Windows Live.exe
2009-08-09 11:30 . 2009-08-09 11:30 392728 ----a-w- c:\documents and settings\pim\Application Data\Microsoft\Services Windows Live\Services Windows Live.dll
2009-08-09 11:30 . 2009-08-09 11:30 132672 ----a-w- c:\documents and settings\pim\Application Data\Microsoft\Services Windows Live\Raccourci Windows Live Messenger.exe
2009-08-05 09:06 . 2009-08-05 09:06 205312 -c----w- c:\windows\system32\dllcache\mswebdvd.dll
2009-07-29 04:53 . 2009-07-29 04:53 119808 -c----w- c:\windows\system32\dllcache\t2embed.dll
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-15 09:05 . 2009-03-04 18:11 -------- d-----w- c:\documents and settings\All Users\Application Data\Google Updater
2009-08-23 12:53 . 2009-08-19 22:27 7652 --sha-w- c:\windows\system32\drivers\fidbox.idx
2009-08-23 12:53 . 2009-08-19 22:27 2132 --sha-w- c:\windows\system32\drivers\fidbox2.idx
2009-08-22 17:12 . 2008-03-10 21:13 -------- d-----w- c:\documents and settings\pim\Application Data\Azureus
2009-08-22 11:15 . 2007-05-21 22:36 25680 ----a-w- c:\documents and settings\pim\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-08-20 12:34 . 2001-08-28 12:00 80508 ----a-w- c:\windows\system32\perfc00C.dat
2009-08-20 12:34 . 2001-08-28 12:00 500482 ----a-w- c:\windows\system32\perfh00C.dat
2009-08-19 21:54 . 2008-05-13 10:21 -------- d-----w- c:\program files\AoA Audio Extractor
2009-08-17 09:58 . 2009-05-22 08:56 -------- d-----w- c:\program files\OceanDive
2009-08-10 19:44 . 2009-03-31 20:52 -------- d-----w- c:\documents and settings\All Users\Application Data\Lavasoft
2009-08-07 21:28 . 2007-05-17 11:58 -------- d-----w- c:\program files\Dictionnaire
2009-08-05 09:06 . 2007-05-15 22:30 205312 ----a-w- c:\windows\system32\mswebdvd.dll
2009-07-29 20:48 . 2009-07-03 20:33 -------- d-----w- c:\program files\Vuze
2009-07-29 04:53 . 2001-08-28 12:00 82432 ----a-w- c:\windows\system32\fontsub.dll
2009-07-29 04:53 . 2001-08-28 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-07-21 09:02 . 2007-05-14 09:50 -------- d-----w- c:\documents and settings\pim\Application Data\dvdcss
2009-07-17 22:12 . 2007-05-12 23:55 -------- d-----w- c:\program files\Spybot - Search & Destroy
2009-07-17 22:12 . 2007-05-12 23:55 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-07-17 18:56 . 2001-08-28 12:00 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-17 18:45 . 2009-06-17 21:26 -------- d-----w- c:\documents and settings\pim\Application Data\Petroglyph
2009-07-17 18:45 . 2008-08-20 17:41 -------- d-----w- c:\program files\LucasArts
2009-07-13 21:43 . 2004-08-19 23:09 286208 ----a-w- c:\windows\system32\wmpdxm.dll
2009-07-06 19:55 . 2009-07-06 14:06 -------- d-----w- c:\program files\vghd
2009-07-06 15:16 . 2009-07-06 14:06 -------- d-----w- c:\documents and settings\pim\Application Data\vghd
2009-07-06 14:33 . 2009-07-06 14:06 3 ----a-w- c:\windows\sbacknt.bin
2009-07-06 14:06 . 2009-07-06 14:06 152904 ----a-w- c:\windows\system32\vghd.scr
2009-07-03 20:35 . 2009-07-03 20:35 -------- d-----w- c:\documents and settings\All Users\Application Data\Azureus
2009-07-03 16:57 . 2001-08-28 12:00 915456 ------w- c:\windows\system32\wininet.dll
2009-07-03 01:17 . 2009-05-11 19:13 335 ----a-w- c:\windows\nsreg.dat
2009-06-25 18:36 . 2001-08-28 12:00 95744 ----a-w- c:\windows\system32\mqsec.dll
2009-06-25 18:36 . 2001-08-28 12:00 661504 ----a-w- c:\windows\system32\mqqm.dll
2009-06-25 18:36 . 2001-08-28 12:00 527360 ----a-w- c:\windows\system32\mqutil.dll
2009-06-25 18:36 . 2001-08-28 12:00 517120 ----a-w- c:\windows\system32\mqsnap.dll
2009-06-25 18:36 . 2001-08-28 12:00 48640 ----a-w- c:\windows\system32\mqupgrd.dll
2009-06-25 18:36 . 2001-08-28 12:00 186880 ----a-w- c:\windows\system32\mqtrig.dll
2009-06-25 18:36 . 2001-08-28 12:00 177152 ----a-w- c:\windows\system32\mqrt.dll
2009-06-25 18:36 . 2001-08-28 12:00 123392 ----a-w- c:\windows\system32\mqrtdep.dll
2009-06-25 18:36 . 2001-08-28 12:00 47104 ----a-w- c:\windows\system32\mqdscli.dll
2009-06-25 18:36 . 2001-08-28 12:00 225280 ----a-w- c:\windows\system32\mqoa.dll
2009-06-25 18:36 . 2001-08-28 12:00 16896 ----a-w- c:\windows\system32\mqise.dll
2009-06-25 18:36 . 2001-08-28 12:00 138240 ----a-w- c:\windows\system32\mqad.dll
2009-06-22 11:49 . 2001-08-28 12:00 19968 ----a-w- c:\windows\system32\mqbkup.exe
2009-06-22 11:49 . 2001-08-28 12:00 117248 ----a-w- c:\windows\system32\mqtgsvc.exe
2009-06-22 11:49 . 2001-08-28 12:00 4608 ----a-w- c:\windows\system32\mqsvc.exe
2009-06-22 11:48 . 2001-08-28 12:00 91776 ----a-w- c:\windows\system32\drivers\mqac.sys
2009-06-17 21:24 . 2007-05-28 19:21 107888 ----a-w- c:\windows\system32\CmdLineExt.dll
2009-06-15 11:33 . 2001-08-28 12:00 78848 ----a-w- c:\windows\system32\telnet.exe
2009-06-15 11:32 . 2001-08-28 12:00 82944 ----a-w- c:\windows\system32\tlntsess.exe
2009-06-10 14:23 . 2001-08-28 12:00 85504 ----a-w- c:\windows\system32\avifil32.dll
2009-06-10 06:30 . 2001-08-28 12:00 132096 ----a-w- c:\windows\system32\wkssvc.dll
2009-06-05 07:46 . 2007-05-12 23:29 655872 ----a-w- c:\windows\system32\mstscax.dll
2009-06-03 19:27 . 2007-05-15 22:30 1296896 ----a-w- c:\windows\system32\quartz.dll
2007-09-03 15:28 . 2007-09-03 15:28 5 ----a-w- c:\program files\lang.cfg
2006-10-07 19:54 . 2006-05-28 15:45 390023 --sha-r- c:\program files\wunauclt.zip
2006-10-07 19:54 . 2006-05-28 15:45 390023 --sha-r- c:\program files\wunauclt.tbe
2006-08-27 14:38 . 2006-08-27 14:39 1015973 --sha-r- c:\program files\serial.tde
2006-08-27 14:19 . 2006-08-27 14:19 56239 ----a-w- c:\program files\svchosts.tbe
.
((((((((((((((((((((((((((((( SnapShot@2009-08-23_11.03.33 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-08-23 12:54 . 2009-08-23 12:54 16384 c:\windows\Temp\Perflib_Perfdata_ac.dat
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSConfig"="c:\windows\pchealth\helpctr\Binaries\MSCONFIG.EXE" [2004-08-19 160768]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-19 15360]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^pim^Menu Démarrer^Programmes^Démarrage^fsbackup.lnk]
path=c:\documents and settings\pim\Menu Démarrer\Programmes\Démarrage\fsbackup.lnk
backup=c:\windows\pss\fsbackup.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"NBService"=3 (0x3)
"PnkBstrA"=2 (0x2)
"idsvc"=3 (0x3)
"IDriverT"=3 (0x3)
"gusvc"=2 (0x2)
"ASKUpgrade"=2 (0x2)
"npggsvc"=3 (0x3)
"AntiVirService"=2 (0x2)
"AntiVirSchedulerService"=2 (0x2)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\LucasArts\\Star Wars Empire at War\\GameData\\sweaw.exe"=
"c:\\Program Files\\Vuze\\Azureus.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"63032:TCP"= 63032:TCP:*:Disabled:SolidNetworkManager
"63032:UDP"= 63032:UDP:*:Disabled:SolidNetworkManager
"5386:TCP"= 5386:TCP:*:Disabled:SolidNetworkManager
"5386:UDP"= 5386:UDP:*:Disabled:SolidNetworkManager
"8192:TCP"= 8192:TCP:*:Disabled:SolidNetworkManager
"8192:UDP"= 8192:UDP:*:Disabled:SolidNetworkManager
R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [10/08/2009 21:45 64160]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [03/07/2009 16:49 1029456]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Contents of the 'Scheduled Tasks' folder
2009-08-10 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-07-03 14:49]
2009-08-23 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-05-12 21:27]
2009-08-22 c:\windows\Tasks\User_Feed_Synchronization-{DB953880-083E-4816-B4C5-20F20CBD34C6}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 02:31]
.
.
------- Supplementary Scan -------
.
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uStart Page = hxxp://shotokukan.110mb.com/1024/index.htm
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} - hxxps://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.0.cab
FF - ProfilePath - c:\documents and settings\pim\Application Data\Mozilla\Firefox\Profiles\880hc0pi.default\
FF - prefs.js: browser.startup.homepage - hxxp://shotokukan.110mb.com/1024/index.htm
FF - plugin: c:\program files\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\program files\MpcStar\Codecs\Real\browser\plugins\nppl3260.dll
FF - plugin: c:\program files\MpcStar\Codecs\Real\browser\plugins\nprpjplug.dll
---- FIREFOX POLICIES ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota", 5120);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json");
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-23 14:55
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
- - - - - - - > 'winlogon.exe'(628)
c:\windows\system32\Ati2evxx.dll
- - - - - - - > 'explorer.exe'(1580)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Other Running Processes ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\wbem\unsecapp.exe
c:\windows\system32\wscntfy.exe
c:\program files\Lavasoft\Ad-Aware\AAWTray.exe
.
**************************************************************************
.
Completion time: 2009-08-23 15:00 - machine was rebooted
ComboFix-quarantined-files.txt 2009-08-23 13:00
ComboFix2.txt 2009-08-23 12:24
ComboFix3.txt 2009-08-23 11:05
Pre-Run: 548 376 576 octets libres
Post-Run: 429 494 272 octets libres
299 --- E O F --- 2009-08-20 17:07
Rapports Toolbar :
-----------\\ ToolBar S&D 1.2.9 XP/Vista
Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
X86-based PC ( Uniprocessor Free : Intel(R) Pentium(R) 4 CPU 2.80GHz )
BIOS : Phoenix - AwardBIOS v6.00PG
USER : pim ( Administrator )
BOOT : Normal boot
C:\ (Local Disk) - NTFS - Total:18 Go (Free:0 Go)
D:\ (CD or DVD)
E:\ (CD or DVD)
F:\ (CD or DVD)
G:\ (CD or DVD)
H:\ (CD or DVD)
I:\ (CD or DVD)
J:\ (USB) - FAT - Total:6 Mo (Free:0 Go)
"C:\ToolBar SD" ( MAJ : 22-08-2009|18:42 )
Option : [2] ( 23/08/2009|15:04 )
C:\Program Files\Mozilla Firefox\searchplugins\crawlersrch.xml
-----------\\ SUPPRESSION
Supprime! - C:\DOCUME~1\pim\APPLIC~1\VMNToolbar\New York_NY_weather.txt
Supprime! - C:\DOCUME~1\pim\APPLIC~1\VMNToolbar\sinfo.txt
Supprime! - C:\Program Files\Mozilla Firefox\searchplugins\crawlersrch.xml
Supprime! - C:\DOCUME~1\pim\APPLIC~1\VMNToolbar
-----------\\ Recherche de Fichiers / Dossiers ...
-----------\\ [..\Internet Explorer\Main]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Local Page"="C:\\WINDOWS\\system32\\blank.htm"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"SearchMigratedDefaultURL"="https://www.google.com/webhp?gws_rd=ssl{searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8"
"Start Page"="http://shotokukan.110mb.com/1024/index.htm"
"Url"="http://www.microsoft.com/athome/community/rss.xml"
"Url"="http://rss.msn.com/en-us/?feedoutput=rss&ocid=iehrs&unsub=true"
"Url"="http://www.microsoft.com/atwork/community/rss.xml"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="https://www.msn.com/fr-fr/?ocid=iehp"
"Default_Search_URL"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
"Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
"Local Page"="C:\\WINDOWS\\system32\\blank.htm"
"Start Page"="https://www.msn.com/fr-fr/"
"SearchAssistant"="http://www.crawler.com/search/ie.aspx?tb_id=60347"
"CustomizeSearch"="http://dnl.crawler.com/support/sa_customize.aspx?TbId=60347"
--------------------\\ Recherche d'autres infections
--------------------\\ Cracks & Keygens ..
C:\DOCUME~1\pim\Bureau\Ghost_Recon_-_Iso_-_Fr_-_Toxic_-_Spartateur_www.internity-game.fr.st\Ghost.Recon.French.Iso-TOXiC\uncrack.ppf
1 - "C:\ToolBar SD\TB_1.txt" - 23/08/2009|15:05 - Option : [2]
-----------\\ Fin du rapport a 15:05:14,72
ComboFix 09-08-22.06 - pim 23/08/2009 14:50.3.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.1022.628 [GMT 2:00]
Running from: c:\documents and settings\pim\Bureau\pimfix.exe
Command switches used :: c:\documents and settings\pim\Bureau\CFScript.txt
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_ASKUPGRADE
-------\Legacy_XDVA252
-------\Service_ASKUpgrade
-------\Service_npggsvc
-------\Service_XDva252
((((((((((((((((((((((((( Files Created from 2009-07-23 to 2009-08-23 )))))))))))))))))))))))))))))))
.
2009-09-15 11:49 . 2009-09-15 11:49 -------- d-----w- c:\windows\system32\XPSViewer
2009-09-15 11:48 . 2009-09-15 11:48 -------- d-----w- c:\program files\MSBuild
2009-09-15 11:48 . 2009-09-15 11:48 -------- d-----w- c:\program files\Reference Assemblies
2009-09-15 11:46 . 2008-07-06 12:06 117760 ------w- c:\windows\system32\prntvpt.dll
2009-09-15 11:46 . 2008-07-06 12:06 89088 -c----w- c:\windows\system32\dllcache\filterpipelineprintproc.dll
2009-09-15 11:46 . 2008-07-06 12:06 575488 -c----w- c:\windows\system32\dllcache\xpsshhdr.dll
2009-09-15 11:46 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\xpsshhdr.dll
2009-09-15 11:46 . 2008-07-06 10:50 597504 -c----w- c:\windows\system32\dllcache\printfilterpipelinesvc.exe
2009-09-15 11:46 . 2008-07-06 12:06 1676288 -c----w- c:\windows\system32\dllcache\xpssvcs.dll
2009-09-15 11:46 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\xpssvcs.dll
2009-09-15 11:46 . 2009-09-15 11:47 -------- d-----w- C:\728b3cda264b81871d20a9
2009-09-15 11:33 . 2009-09-15 11:33 -------- d-----w- c:\program files\MSXML 6.0
2009-08-23 11:20 . 2009-08-23 11:43 -------- d-----w- c:\program files\ZHPDiag
2009-08-23 09:51 . 2009-08-23 09:51 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Malwarebytes
2009-08-23 09:50 . 2009-08-23 09:50 -------- d-sh--w- c:\documents and settings\Administrateur\PrivacIE
2009-08-23 09:50 . 2009-08-23 09:50 -------- d-sh--w- c:\documents and settings\Administrateur\IETldCache
2009-08-22 11:14 . 2009-08-22 11:15 -------- d-----w- c:\documents and settings\pim\Local Settings\Application Data\Deployment
2009-08-20 14:47 . 2009-08-20 14:47 -------- d-sh--w- c:\documents and settings\LocalService\IETldCache
2009-08-20 12:48 . 2009-08-20 12:48 -------- d-sh--w- c:\documents and settings\pim\IECompatCache
2009-08-20 12:47 . 2009-08-20 12:47 -------- d-sh--w- c:\documents and settings\pim\PrivacIE
2009-08-20 12:46 . 2009-08-20 12:46 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache
2009-08-20 12:46 . 2009-08-20 12:46 -------- d-sh--w- c:\documents and settings\pim\IETldCache
2009-08-20 12:42 . 2009-07-03 16:57 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll
2009-08-20 12:42 . 2009-07-03 16:57 246272 -c----w- c:\windows\system32\dllcache\ieproxy.dll
2009-08-20 12:42 . 2009-08-20 12:42 -------- d-----w- c:\windows\ie8updates
2009-08-20 12:41 . 2009-07-01 07:08 101376 -c----w- c:\windows\system32\dllcache\iecompat.dll
2009-08-20 12:39 . 2009-08-20 12:41 -------- dc-h--w- c:\windows\ie8
2009-08-20 08:21 . 2009-03-06 14:46 286208 -c----w- c:\windows\system32\dllcache\pdh.dll
2009-08-20 08:21 . 2009-02-06 16:39 227840 -c----w- c:\windows\system32\dllcache\wmiprvse.exe
2009-08-20 08:21 . 2005-07-26 04:39 60416 -c----w- c:\windows\system32\dllcache\colbact.dll
2009-08-20 08:21 . 2009-02-09 10:20 685056 -c----w- c:\windows\system32\dllcache\advapi32.dll
2009-08-20 08:21 . 2009-02-09 10:20 473088 -c----w- c:\windows\system32\dllcache\fastprox.dll
2009-08-20 08:21 . 2009-02-09 10:20 399360 -c----w- c:\windows\system32\dllcache\rpcss.dll
2009-08-20 08:21 . 2009-02-09 10:08 111104 -c----w- c:\windows\system32\dllcache\services.exe
2009-08-20 08:21 . 2009-02-09 10:20 739840 -c----w- c:\windows\system32\dllcache\ntdll.dll
2009-08-20 08:21 . 2009-02-09 10:20 453120 -c----w- c:\windows\system32\dllcache\wmiprvsd.dll
2009-08-20 08:19 . 2009-06-05 07:46 655872 -c----w- c:\windows\system32\dllcache\mstscax.dll
2009-08-20 08:19 . 2008-12-16 12:49 351232 -c----w- c:\windows\system32\dllcache\winhttp.dll
2009-08-20 08:18 . 2008-04-21 21:27 219136 -c----w- c:\windows\system32\dllcache\wordpad.exe
2009-08-19 22:27 . 2009-08-23 12:54 492832 --sha-w- c:\windows\system32\drivers\fidbox.dat
2009-08-19 22:27 . 2009-08-23 12:54 11552 --sha-w- c:\windows\system32\drivers\fidbox2.dat
2009-08-19 21:56 . 2009-09-15 11:31 -------- d-----w- c:\program files\Fichiers communs\ParetoLogic
2009-08-19 21:56 . 2009-09-15 11:31 -------- d-----w- c:\documents and settings\All Users\Application Data\ParetoLogic
2009-08-19 20:16 . 2009-08-19 20:16 -------- d-----w- c:\documents and settings\pim\Application Data\Malwarebytes
2009-08-19 20:13 . 2009-08-03 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-19 20:13 . 2009-08-19 20:13 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-08-19 20:13 . 2009-08-19 20:14 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-08-19 20:13 . 2009-08-03 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-08-19 19:09 . 2009-08-19 19:09 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-08-19 19:09 . 2009-08-19 19:09 -------- d-----w- c:\program files\Java
2009-08-19 19:09 . 2009-08-19 19:09 152576 ----a-w- c:\documents and settings\pim\Application Data\Sun\Java\jre1.6.0_15\lzma.dll
2009-08-13 11:48 . 2009-08-13 11:48 -------- d-----w- c:\documents and settings\pim\DoctorWeb
2009-08-10 19:54 . 2009-07-03 14:49 15688 ----a-w- c:\windows\system32\lsdelete.exe
2009-08-10 19:45 . 2009-07-03 14:49 64160 ----a-w- c:\windows\system32\drivers\Lbd.sys
2009-08-10 19:45 . 2009-08-10 19:45 -------- dc-h--w- c:\documents and settings\All Users\Application Data\{EF63305C-BAD7-4144-9208-D65528260864}
2009-08-10 19:45 . 2009-07-08 17:28 2920112 -c--a-w- c:\documents and settings\All Users\Application Data\{EF63305C-BAD7-4144-9208-D65528260864}\Ad-AwareAE.exe
2009-08-10 19:44 . 2009-08-10 19:44 -------- d-----w- c:\program files\Lavasoft
2009-08-10 15:41 . 2009-08-18 21:20 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-08-09 11:30 . 2009-08-09 11:30 86576 ----a-w- c:\documents and settings\pim\Application Data\Microsoft\Services Windows Live\Raccourci Galerie de Photos Windows Live.exe
2009-08-09 11:30 . 2009-08-09 11:30 392728 ----a-w- c:\documents and settings\pim\Application Data\Microsoft\Services Windows Live\Services Windows Live.dll
2009-08-09 11:30 . 2009-08-09 11:30 132672 ----a-w- c:\documents and settings\pim\Application Data\Microsoft\Services Windows Live\Raccourci Windows Live Messenger.exe
2009-08-05 09:06 . 2009-08-05 09:06 205312 -c----w- c:\windows\system32\dllcache\mswebdvd.dll
2009-07-29 04:53 . 2009-07-29 04:53 119808 -c----w- c:\windows\system32\dllcache\t2embed.dll
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-15 09:05 . 2009-03-04 18:11 -------- d-----w- c:\documents and settings\All Users\Application Data\Google Updater
2009-08-23 12:53 . 2009-08-19 22:27 7652 --sha-w- c:\windows\system32\drivers\fidbox.idx
2009-08-23 12:53 . 2009-08-19 22:27 2132 --sha-w- c:\windows\system32\drivers\fidbox2.idx
2009-08-22 17:12 . 2008-03-10 21:13 -------- d-----w- c:\documents and settings\pim\Application Data\Azureus
2009-08-22 11:15 . 2007-05-21 22:36 25680 ----a-w- c:\documents and settings\pim\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-08-20 12:34 . 2001-08-28 12:00 80508 ----a-w- c:\windows\system32\perfc00C.dat
2009-08-20 12:34 . 2001-08-28 12:00 500482 ----a-w- c:\windows\system32\perfh00C.dat
2009-08-19 21:54 . 2008-05-13 10:21 -------- d-----w- c:\program files\AoA Audio Extractor
2009-08-17 09:58 . 2009-05-22 08:56 -------- d-----w- c:\program files\OceanDive
2009-08-10 19:44 . 2009-03-31 20:52 -------- d-----w- c:\documents and settings\All Users\Application Data\Lavasoft
2009-08-07 21:28 . 2007-05-17 11:58 -------- d-----w- c:\program files\Dictionnaire
2009-08-05 09:06 . 2007-05-15 22:30 205312 ----a-w- c:\windows\system32\mswebdvd.dll
2009-07-29 20:48 . 2009-07-03 20:33 -------- d-----w- c:\program files\Vuze
2009-07-29 04:53 . 2001-08-28 12:00 82432 ----a-w- c:\windows\system32\fontsub.dll
2009-07-29 04:53 . 2001-08-28 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-07-21 09:02 . 2007-05-14 09:50 -------- d-----w- c:\documents and settings\pim\Application Data\dvdcss
2009-07-17 22:12 . 2007-05-12 23:55 -------- d-----w- c:\program files\Spybot - Search & Destroy
2009-07-17 22:12 . 2007-05-12 23:55 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-07-17 18:56 . 2001-08-28 12:00 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-17 18:45 . 2009-06-17 21:26 -------- d-----w- c:\documents and settings\pim\Application Data\Petroglyph
2009-07-17 18:45 . 2008-08-20 17:41 -------- d-----w- c:\program files\LucasArts
2009-07-13 21:43 . 2004-08-19 23:09 286208 ----a-w- c:\windows\system32\wmpdxm.dll
2009-07-06 19:55 . 2009-07-06 14:06 -------- d-----w- c:\program files\vghd
2009-07-06 15:16 . 2009-07-06 14:06 -------- d-----w- c:\documents and settings\pim\Application Data\vghd
2009-07-06 14:33 . 2009-07-06 14:06 3 ----a-w- c:\windows\sbacknt.bin
2009-07-06 14:06 . 2009-07-06 14:06 152904 ----a-w- c:\windows\system32\vghd.scr
2009-07-03 20:35 . 2009-07-03 20:35 -------- d-----w- c:\documents and settings\All Users\Application Data\Azureus
2009-07-03 16:57 . 2001-08-28 12:00 915456 ------w- c:\windows\system32\wininet.dll
2009-07-03 01:17 . 2009-05-11 19:13 335 ----a-w- c:\windows\nsreg.dat
2009-06-25 18:36 . 2001-08-28 12:00 95744 ----a-w- c:\windows\system32\mqsec.dll
2009-06-25 18:36 . 2001-08-28 12:00 661504 ----a-w- c:\windows\system32\mqqm.dll
2009-06-25 18:36 . 2001-08-28 12:00 527360 ----a-w- c:\windows\system32\mqutil.dll
2009-06-25 18:36 . 2001-08-28 12:00 517120 ----a-w- c:\windows\system32\mqsnap.dll
2009-06-25 18:36 . 2001-08-28 12:00 48640 ----a-w- c:\windows\system32\mqupgrd.dll
2009-06-25 18:36 . 2001-08-28 12:00 186880 ----a-w- c:\windows\system32\mqtrig.dll
2009-06-25 18:36 . 2001-08-28 12:00 177152 ----a-w- c:\windows\system32\mqrt.dll
2009-06-25 18:36 . 2001-08-28 12:00 123392 ----a-w- c:\windows\system32\mqrtdep.dll
2009-06-25 18:36 . 2001-08-28 12:00 47104 ----a-w- c:\windows\system32\mqdscli.dll
2009-06-25 18:36 . 2001-08-28 12:00 225280 ----a-w- c:\windows\system32\mqoa.dll
2009-06-25 18:36 . 2001-08-28 12:00 16896 ----a-w- c:\windows\system32\mqise.dll
2009-06-25 18:36 . 2001-08-28 12:00 138240 ----a-w- c:\windows\system32\mqad.dll
2009-06-22 11:49 . 2001-08-28 12:00 19968 ----a-w- c:\windows\system32\mqbkup.exe
2009-06-22 11:49 . 2001-08-28 12:00 117248 ----a-w- c:\windows\system32\mqtgsvc.exe
2009-06-22 11:49 . 2001-08-28 12:00 4608 ----a-w- c:\windows\system32\mqsvc.exe
2009-06-22 11:48 . 2001-08-28 12:00 91776 ----a-w- c:\windows\system32\drivers\mqac.sys
2009-06-17 21:24 . 2007-05-28 19:21 107888 ----a-w- c:\windows\system32\CmdLineExt.dll
2009-06-15 11:33 . 2001-08-28 12:00 78848 ----a-w- c:\windows\system32\telnet.exe
2009-06-15 11:32 . 2001-08-28 12:00 82944 ----a-w- c:\windows\system32\tlntsess.exe
2009-06-10 14:23 . 2001-08-28 12:00 85504 ----a-w- c:\windows\system32\avifil32.dll
2009-06-10 06:30 . 2001-08-28 12:00 132096 ----a-w- c:\windows\system32\wkssvc.dll
2009-06-05 07:46 . 2007-05-12 23:29 655872 ----a-w- c:\windows\system32\mstscax.dll
2009-06-03 19:27 . 2007-05-15 22:30 1296896 ----a-w- c:\windows\system32\quartz.dll
2007-09-03 15:28 . 2007-09-03 15:28 5 ----a-w- c:\program files\lang.cfg
2006-10-07 19:54 . 2006-05-28 15:45 390023 --sha-r- c:\program files\wunauclt.zip
2006-10-07 19:54 . 2006-05-28 15:45 390023 --sha-r- c:\program files\wunauclt.tbe
2006-08-27 14:38 . 2006-08-27 14:39 1015973 --sha-r- c:\program files\serial.tde
2006-08-27 14:19 . 2006-08-27 14:19 56239 ----a-w- c:\program files\svchosts.tbe
.
((((((((((((((((((((((((((((( SnapShot@2009-08-23_11.03.33 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-08-23 12:54 . 2009-08-23 12:54 16384 c:\windows\Temp\Perflib_Perfdata_ac.dat
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSConfig"="c:\windows\pchealth\helpctr\Binaries\MSCONFIG.EXE" [2004-08-19 160768]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-19 15360]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^pim^Menu Démarrer^Programmes^Démarrage^fsbackup.lnk]
path=c:\documents and settings\pim\Menu Démarrer\Programmes\Démarrage\fsbackup.lnk
backup=c:\windows\pss\fsbackup.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"NBService"=3 (0x3)
"PnkBstrA"=2 (0x2)
"idsvc"=3 (0x3)
"IDriverT"=3 (0x3)
"gusvc"=2 (0x2)
"ASKUpgrade"=2 (0x2)
"npggsvc"=3 (0x3)
"AntiVirService"=2 (0x2)
"AntiVirSchedulerService"=2 (0x2)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\LucasArts\\Star Wars Empire at War\\GameData\\sweaw.exe"=
"c:\\Program Files\\Vuze\\Azureus.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"63032:TCP"= 63032:TCP:*:Disabled:SolidNetworkManager
"63032:UDP"= 63032:UDP:*:Disabled:SolidNetworkManager
"5386:TCP"= 5386:TCP:*:Disabled:SolidNetworkManager
"5386:UDP"= 5386:UDP:*:Disabled:SolidNetworkManager
"8192:TCP"= 8192:TCP:*:Disabled:SolidNetworkManager
"8192:UDP"= 8192:UDP:*:Disabled:SolidNetworkManager
R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [10/08/2009 21:45 64160]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [03/07/2009 16:49 1029456]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Contents of the 'Scheduled Tasks' folder
2009-08-10 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-07-03 14:49]
2009-08-23 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-05-12 21:27]
2009-08-22 c:\windows\Tasks\User_Feed_Synchronization-{DB953880-083E-4816-B4C5-20F20CBD34C6}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 02:31]
.
.
------- Supplementary Scan -------
.
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uStart Page = hxxp://shotokukan.110mb.com/1024/index.htm
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} - hxxps://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.0.cab
FF - ProfilePath - c:\documents and settings\pim\Application Data\Mozilla\Firefox\Profiles\880hc0pi.default\
FF - prefs.js: browser.startup.homepage - hxxp://shotokukan.110mb.com/1024/index.htm
FF - plugin: c:\program files\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\program files\MpcStar\Codecs\Real\browser\plugins\nppl3260.dll
FF - plugin: c:\program files\MpcStar\Codecs\Real\browser\plugins\nprpjplug.dll
---- FIREFOX POLICIES ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota", 5120);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json");
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-23 14:55
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
- - - - - - - > 'winlogon.exe'(628)
c:\windows\system32\Ati2evxx.dll
- - - - - - - > 'explorer.exe'(1580)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Other Running Processes ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\wbem\unsecapp.exe
c:\windows\system32\wscntfy.exe
c:\program files\Lavasoft\Ad-Aware\AAWTray.exe
.
**************************************************************************
.
Completion time: 2009-08-23 15:00 - machine was rebooted
ComboFix-quarantined-files.txt 2009-08-23 13:00
ComboFix2.txt 2009-08-23 12:24
ComboFix3.txt 2009-08-23 11:05
Pre-Run: 548 376 576 octets libres
Post-Run: 429 494 272 octets libres
299 --- E O F --- 2009-08-20 17:07
Rapports Toolbar :
-----------\\ ToolBar S&D 1.2.9 XP/Vista
Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
X86-based PC ( Uniprocessor Free : Intel(R) Pentium(R) 4 CPU 2.80GHz )
BIOS : Phoenix - AwardBIOS v6.00PG
USER : pim ( Administrator )
BOOT : Normal boot
C:\ (Local Disk) - NTFS - Total:18 Go (Free:0 Go)
D:\ (CD or DVD)
E:\ (CD or DVD)
F:\ (CD or DVD)
G:\ (CD or DVD)
H:\ (CD or DVD)
I:\ (CD or DVD)
J:\ (USB) - FAT - Total:6 Mo (Free:0 Go)
"C:\ToolBar SD" ( MAJ : 22-08-2009|18:42 )
Option : [2] ( 23/08/2009|15:04 )
C:\Program Files\Mozilla Firefox\searchplugins\crawlersrch.xml
-----------\\ SUPPRESSION
Supprime! - C:\DOCUME~1\pim\APPLIC~1\VMNToolbar\New York_NY_weather.txt
Supprime! - C:\DOCUME~1\pim\APPLIC~1\VMNToolbar\sinfo.txt
Supprime! - C:\Program Files\Mozilla Firefox\searchplugins\crawlersrch.xml
Supprime! - C:\DOCUME~1\pim\APPLIC~1\VMNToolbar
-----------\\ Recherche de Fichiers / Dossiers ...
-----------\\ [..\Internet Explorer\Main]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Local Page"="C:\\WINDOWS\\system32\\blank.htm"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"SearchMigratedDefaultURL"="https://www.google.com/webhp?gws_rd=ssl{searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8"
"Start Page"="http://shotokukan.110mb.com/1024/index.htm"
"Url"="http://www.microsoft.com/athome/community/rss.xml"
"Url"="http://rss.msn.com/en-us/?feedoutput=rss&ocid=iehrs&unsub=true"
"Url"="http://www.microsoft.com/atwork/community/rss.xml"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="https://www.msn.com/fr-fr/?ocid=iehp"
"Default_Search_URL"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
"Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
"Local Page"="C:\\WINDOWS\\system32\\blank.htm"
"Start Page"="https://www.msn.com/fr-fr/"
"SearchAssistant"="http://www.crawler.com/search/ie.aspx?tb_id=60347"
"CustomizeSearch"="http://dnl.crawler.com/support/sa_customize.aspx?TbId=60347"
--------------------\\ Recherche d'autres infections
--------------------\\ Cracks & Keygens ..
C:\DOCUME~1\pim\Bureau\Ghost_Recon_-_Iso_-_Fr_-_Toxic_-_Spartateur_www.internity-game.fr.st\Ghost.Recon.French.Iso-TOXiC\uncrack.ppf
1 - "C:\ToolBar SD\TB_1.txt" - 23/08/2009|15:05 - Option : [2]
-----------\\ Fin du rapport a 15:05:14,72
Re,
j'attends toujours l'étape 3 , le nouveau rapport ZHPDiag ... ^^
et tu n'as pas répondu à la question que je t'ai donné ...
j'attends toujours l'étape 3 , le nouveau rapport ZHPDiag ... ^^
et tu n'as pas répondu à la question que je t'ai donné ...
Je ne comprends pas trop là, à chaque fois que je veux te passer le message sur le forum, ça me dit message envoyé mais rien n'apparaît, ici d'où le test.....
http://www.cijoint.fr/cjlink.php?file=cj200908/cijlj44BoK.txt
voici l'adresse du fichier ZHPDiag, autrement j'ai testé plusieurs logieicles tels que adaware, malware, et combofix avant de venir ici...
voici l'adresse du fichier ZHPDiag, autrement j'ai testé plusieurs logieicles tels que adaware, malware, et combofix avant de venir ici...
re,
c'est normal !!! il trop long pour le forum !
c'est pour cela que je t'ai demandé de me le faire parvenir par Cijoint comme dans le premier message ! .....
c'est normal !!! il trop long pour le forum !
c'est pour cela que je t'ai demandé de me le faire parvenir par Cijoint comme dans le premier message ! .....
Voici :
Malwarebytes' Anti-Malware 1.40
Version de la base de données: 2682
Windows 5.1.2600 Service Pack 2
23/08/2009 16:05:36
mbam-log-2009-08-23 (16-05-36).txt
Type de recherche: Examen rapide
Eléments examinés: 95761
Temps écoulé: 5 minute(s), 58 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Malwarebytes' Anti-Malware 1.40
Version de la base de données: 2682
Windows 5.1.2600 Service Pack 2
23/08/2009 16:05:36
mbam-log-2009-08-23 (16-05-36).txt
Type de recherche: Examen rapide
Eléments examinés: 95761
Temps écoulé: 5 minute(s), 58 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
C'est par cette analyse la première fois que je n'ai plus de résident en root. Ca fait plaisir, les navigateurs fonctionne sans aller sur un site autre que ceux demandés et le PC ne reboote plus.
J'ai par contre changé tout mes mots de passe de sites sensibles dont j'ai besoin. J'ai réinstallé Avira dont le logo ne s'affichait plus en barre d'état, maintenant il est bien là.
CCleaner ok, Malware ok, quoi de plus? :o).
CCleaner ok, Malware ok, quoi de plus? :o).
bien ...
ce rapport MBAM ne montre aucune suppression de rootkit ou de quoi que ce soit ... il me faudrait donc le rapport précédant avec les suppressions d'objets infectés ...
ensuite tu fait ceci :
Télécharge GenProc (de Jean-Chretien1 et Narco4) sur ton bureau (et pas ailleur !) :
http://www.genproc.com/GenProc.exe
!! ferme tes applications en cours !!
* clique droit / " executer entant qu'admin..." sur GenProc.exe pour lancer le scan et laisse faire...
* A la question "faites vous aidez sur un forum..." > clique sur " oui " .
-> poste le contenu du rapport qui s'ouvre ...
Aide en images ici : http://www.alt-shift-return.org/Info/GenProc-HowTo.html
IMPORTANT : poste le rapport et ne fais rien d'autre pour l'instant ( souvant il faut ajouter des consignes à la manipe indiquée pour que cela fonctionne parfaitement ) .
ce rapport MBAM ne montre aucune suppression de rootkit ou de quoi que ce soit ... il me faudrait donc le rapport précédant avec les suppressions d'objets infectés ...
ensuite tu fait ceci :
Télécharge GenProc (de Jean-Chretien1 et Narco4) sur ton bureau (et pas ailleur !) :
http://www.genproc.com/GenProc.exe
!! ferme tes applications en cours !!
* clique droit / " executer entant qu'admin..." sur GenProc.exe pour lancer le scan et laisse faire...
* A la question "faites vous aidez sur un forum..." > clique sur " oui " .
-> poste le contenu du rapport qui s'ouvre ...
Aide en images ici : http://www.alt-shift-return.org/Info/GenProc-HowTo.html
IMPORTANT : poste le rapport et ne fais rien d'autre pour l'instant ( souvant il faut ajouter des consignes à la manipe indiquée pour que cela fonctionne parfaitement ) .
